任务16：单臂路由的实现16.1工作任务某公司有两个主要部门：销售部和财务部，分处于不同的办公室。为了安全和便于管理，对两个部门的主机进行VLAN划分，销售部和财务部处于不同的VLAN。现由于业务需要，要求(yāoqiú)这两个部门的主机之间能相互访问，获得相应资源，两个部门的交换机通过一台二层交换机进行连接，此时公司有一台路由器可用。16.2相关知识为了通过路由器实现交换机VLAN之间的通信，作为网络工程师，需要了解(liǎojiě)本工作任务所涉及的以下几方面知识：■VLAN间路由技术；■单臂路由技术；■单臂路由的配置。16.2.1VLAN间路由简介下列设备能够提供VLAN间路由选择的功能：■任意第3层catalyst多层交换机；■具有支持链路聚集的接口的任意外部路由器（单臂路由器）；16.2.2单臂路由工作原理如图16.1所示，一台交换机连接到一台路由器，在路由器和交换机之间的配置通常被叫做单臂路由。路由器可以从某一个VLAN接收数据包在图16.2中，路由器的fastethernet0/0接口被划分为3个子(gèzi)接口，fastethernet0/0.1、fastethernet0/0.2、fastethernet0/0.3，每个子(gèzi)接口为一个单独的VLAN服务。16.2.3单臂路由配置在做配置之前，首先需要核实每一台路由器和交换机都支持哪些VLAN的封装格式。为了VLAN间的路由可以正常地工作，所有的路由器和交换机必须支持同样的封装。在一个(yīɡè)路由器上一个(yīɡè)物理接口可以逻辑划分为多个子接口，这可以为多重的数据流通过物理接口提供灵活的解决方案。配置单臂路由操作步骤为：步骤1：在交换机连接到路由器的哪个接口上启动干线封装（在Catalyst2950交换机上只支持802.1Q封装，可忽略此步）。步骤2：在交换机连接到路由器的那个接口上启动干线模式。步骤3：在交换机的接口上指定本征VLAN（仅当你使用802.1Q封装且不想将VLAN1设置为本征VLAN时应用本操作）。如果干线两端的本征VLAN不匹配将会发生错误。步骤4：在路由器的快速以太网接口上启动干线的封装（如果子接口连接的是本征VLAN，配置时需要加上Native关键字）。（1）标识接口要标识接口，在全局配置模式下使用Interface命令(mìnglìng)：Router(config)#interfacefastethernetport-number其中：port-number标识了物理接口；subinterface-number标识了虚拟子接口。如图16.3所示，把子接口绑定到VLAN上。Router(config-if)#encapsulationislvlan-idRouter(config-if)#encapsulationdot1qvlan-id[native]步骤5：给接口分配IP地址。要定义接口的IP地址，在接口配置模式下键入下列命令：Router(config-if)#ipaddressip-addresssubnetmask其中：ip-address和subnetmask分别是32位主机地址和特定接口的掩码，记住每一个VLAN都对应(duìyìng)一个子网如果干线的封装是ISL，路由器的配置过程基本相同，除了没有本征VLAN的概念和所有涉及dot1Q关键字的地方都替换为ISL。在交换机方面，配置上没有任何本征VLAN的选项，所以在输入switchporttrunkencapsulationisl命令之前需要先输入switchportmodetrunk命令。16.3方案(fāngàn)分析在交换机上建立两个VLAN：VLAN10分配给销售部，VLAN20分配给财务部。为了实现两部门的主机能够相互访问，在二层交换机上无法实现，必须借助第3层设备－路由器，交换机的f0/1端口与路由器的f0/0相连，配置成trunk，在路由器配置虚拟子接口从而实现VLAN间的路由。16.4项目实施－单臂路由VLAN技术16.4.1任务目标通过(tōngguò)工作任务的完成，使学生可以掌握以下技能：（1）能够配置路由器以太网接口上的子接口；（2）能够通过(tōngguò)单臂路由实现VLAN间的路由。16.4.2设备清单（1）Cisco2950交换机1台；（2）Cisco2811路由器1台；（3）PC计算机2台；（4）直通线若干。16.4.3网络拓扑本任务的网络拓扑，如图16.4所示，按照图16.4连接硬件和设置IP地址。16.4.4实施过程我们要用Router1来实现分别处于VLAN10和VLAN20的PC1和PC2间的通信。步骤1：按照图16.4连接硬