问题描述

部署 VLAN 的传统交换机不能实现不同 VLAN 间的二层报文转发，因此必须引入路由技术来实现不同 VLAN 间的通信。

解决方案

多个 VLAN 路由：
1）能够通过二层交换机 + 路由器来实现，
2）也能够通过三层交换机来实现。

其中，通过三层交换机来实现是最常用的解决方案。

原理简述

交换机 + 路由器（双路）

原理：
1）创建逻辑通过路由互联的链路；

配置过程：
1）在 SWA 上，配置 VLAN，每个 VLAN 使用一条独占的物理链路，并连接到路由器的一个接口上。
2）在逻辑上，Host A ⇒ SWA VLAN 2 ⇒ RTA ⇒ SWB VLAN 3 ⇒ Host B
3）当数据包到达 RTA 后，通过 RTA 进行数据路由；

已知问题：
1）扩展性差：三层路由器一般接口数量较少，扩展新较差；
—- 解决方案：在 RTA 上，创建子接口，以解决物理接口占用过多的问题。即单臂路由，此时 SWA 连接 RTA 的接口无法使用 Access 模式。
2）单点故障；
3）流量瓶颈；

交换机 + 路由器（单臂）

原理：Dot1q终结子接口子接口也是一种三层的逻辑接口。跟VLANIF接口一样，在子接口上配置Dot1q终结功能和IP地址后，设备也会添加相应的MAC表项并置位三层转发标志位，进而实现VLAN间的三层互通

配置过程：
WIP

已知问题：
WIP

通过三层交换机（常用）

原理：
1）通过三层交换机的功能（具有路由功能的交换机），创建 VLANIF 并配置地址，形成直连路由；
2）在 VLANIF 上配置网络地址后，设备会在MAC地址表中添加 VLANIF 的MAC地址+VID表项，并且为表项的三层转发标志位置位；
3）当报文的 DMAC 匹配该表项后，会进行三层转发，进而实现VLAN间的三层互通

配置过程：
1）需要使用三层交换机，
2）为每个 VLAN 创建 VLANIF 接口
3）并配置网关地址，此时交换机内部将形成直连路由。
4）当交换机收到不同数据包，在内部直接完成路由。

已知问题：
1）当用户通过远端网管集中管理设备时，需要在设备上通过VLANIF接口配置IP地址作为设备管理IP，通过管理IP来STelnet到设备上进行管理。若设备上其他接口相连的用户加入该VLAN，也可以访问该设备，增加了设备的不安全因素。
—- 解决方案：配置VLAN为管理VLAN（与管理VLAN对应，没有指定为管理VLAN的VLAN称为业务VLAN），不允许Access类型和Dot1q-tunnel类型接口加入该VLAN。由于Access类型和Dot1q-tunnel类型通常用于连接用户，限制这两种类型接口加入管理VLAN后，与该接口相连的用户就无法访问该设备，从而增加了设备的安全性

补充：
1）某些交换机支持 switch port 切换为 router port 特性，但是其 router port 无法配置 IP 地址，所以要创建 VLANIF 并指定地址

配置实现

通过单臂路由实现

[RT1] interface GigabitEthernet0/0/1.10

[RT1-interface.10] dot1q termination vid 10 
[RT1-interface.10] ip address 192.168.10.254
[RT1-interface.10] arp broadcast enable # 否则无法回应 ARP 报文

# 创建另外子接口
# 并进行相同配置

在交换机上，把连接到路由器的端口配置成 Trunk 类型的端口,并允许相关 VLAN 的帧通过

通过三层交换实现

[SWA] interface vlanif 2
[SWA-Vlanif2] ip address 192.168.2.254 24
[SWA-Vlanif2] quit

[SWA] interface vlanif 3
[SWA-Vlanif3] ip address 192.168.3.254 24
[SWA-Vlanif3] quit

注意事项：
1）必须事先创建 VLAN 才能创建 Vlanif 接口；

参考文献

What is VLAN Routing? | Answer | NETGEAR Support