什么是vlan间路由

题图来自Unsplash，基于CC0协议

导读

VLAN间路由是指在虚拟局域网(VLAN)划分的网络环境中，允许不同VLAN子网上的主机进行通信的技术和过程。VLAN本身是一种二层广播域隔离技术，同一VLAN内的主机可以相互通信，但不同VLAN之间的设备被认为是不同的广播域。为了让这些原本隔离的广播域能够相互通信，就像传统局域网中的不同子网需要路由器连接一样，也需要三层设备或功能来进行路由选择和转发。这就是VLAN间路由的核心意义。

VLAN间路由原理

在只有二层交换机（只能处理VLAN标签）的情况下，不同VLAN间的主机无法直接通信，因为二层交换机只识别并转发基于MAC地址和VLAN ID的流量，而忽略三层信息。要实现通信，必须引入支持三层功能的设备。数据包从源VLAN发送到目标VLAN时，需要经过一个路由器或三层交换机。这个三层设备需要查看数据包中的目标IP地址，并根据其路由表决定下一跳或出接口，然后将数据包发送到目标VLAN。在这个转发过程中，三层设备会更新目标IP地址对应的MAC地址（即下一跳或出接口的MAC地址），而该设备本身的接口通常会被分配一个IP地址（即子网网关地址），并且该接口在不同的VLAN上下文中扮演路由接口的角色。

VLAN间路由配置示例

最基础的配置方式是配置静态路由或在三层交换机上启用路由功能。以下是一个简化的示例：

• 网络拓扑（图示辅助理解，此处不详述图形）：一台三层交换机，划分了VLAN 10（IP网段10.1.10.0/24）和VLAN 20（IP网段10.1.20.0/24）。
• 配置步骤 (假设设备型号为某品牌型号，图略)：
  1. 在交换机上创建VLAN 10和VLAN 20并正确分配端口。
  2. 进入VLAN 10接口，并配置其IP地址（如10.1.10.1/24），将其设置为路由接口。
  3. 进入VLAN 20接口，并配置其IP地址（如10.1.20.1/24）。
  4. 启用路由功能（如运行ip routing命令）。
  5. 在配置了路由功能的接口下指定/启用路由协议（如RIP、OSPF），或者手动添加静态路由（例如，在VLAN 10接口上添加指向10.1.20.0网段的静态路由，下一跳为10.1.20.1即VLAN 20接口的IP地址，或者如果三层交换机有多条物理路由路径，可以配置指向目标网络的下一跳地址）。
• 具体命令示例（非标准格式文案，仅为示意）：
  • 配置VLAN（省略具体vlan 10和vlan 20的创建和成员端口设置）...
  • 配置VLAN 10接口：

    interface vlan 10
      ip address 10.1.10.1 255.255.255.0

  • 配置VLAN 20接口：

    interface vlan 20
      ip address 10.1.20.1 255.255.255.0

  • 启用三层路由：

    ip routing

  • 添加静态路由（如果VLAN 10想访问VLAN 20）：

    ip route 10.1.20.0 255.255.255.0 10.1.20.1

  • 开启RIP协议：

    router rip
     network 10.1.10.0
     network 10.1.20.0

  • 要注意这是一个极端简化的例子，实际配置涉及子接口（单臂路由）、DHCP中继、多层网关等多种情况，但核心思想是为每个VLAN配置一个具有三层能力的接口或路由入口，并通过路由表实现转发。

VLAN间路由与单臂路由区别

当使用经典的二层交换机和专门的路由器实现VLAN间通信时，常用的技术是“单臂路由”或“多臂路由”。单臂路由的核心是路由器的一个物理接口，通过配置多个逻辑子接口，每个子接口对应一个VLAN，并被分配到相应的VLAN中，扮演该VLAN的网关。通信时，VLAN间主机的流量首先被二层交换机发送到这个路由器子接口，由路由器负责进行三层路由选择，然后转发出去。

VLAN间路由（更准确地说，是使用三层交换机实现）的主要区别在于设备本身：

1. 设备类型：单臂路由依赖外部路由器和二层交换机；VLAN间路由使用的是具备三层交换功能的三层交换机。
2. 性能：三层交换机内部集成的路由芯片通常经过特殊优化，相比传统路由器，三层交换性能高很多，特别是在处理大量VLAN间的转发（即线速路由）时，三层交换机的延迟和处理能力都优于传统的路由/交换分层设计。
3. 设计哲学：三层交换机将交换与路由融合在同一台设备中，遵循平滑扩展的思想，从二层交换机升级为三层设备，而无需引入独立的路由器。这使得网络部署更简洁，成本可能更低（如果与独立路由器相比，尤其对于核心层级），且扩展性更好。

总的来说，三层交换是一种集成了路由功能的交换器，而单臂路由是通过路由器物理接口的子接口来实现路由功能。

三层交换机实现VLAN间路由

三层交换机是实现VLAN间路由最常见的现代设备。它结合了二层交换和三层路由的功能。

• 每个VLAN都需要在三层交换机上配置对应的物理接口或子接口。
• 这些三层接口（物理或子接口）需要配置IP地址，这个地址通常是该VLAN子网的网关地址。
• 三层交换机能自己学习MAC地址，并具备路由表，用于查找路由并进行IP包的转发。
• 路由表可以通过多种方式获得：静态路由配置、动态路由协议（如RIP, OSPF, BGP等）、或者提供到另一台三层设备（可能是另一台三层交换机或独立路由器）的默认路由。
• 当一个目标IP地址和源IP地址不在同一VLAN（同一广播域）的数据包到达三层交换机时，它的二层交换引擎会检查本地MAC表，发现没有直接连接（或者说目标不在M表），接着查询三层路由表。如果找到通往目标网段的路由，并且同时知道出接口（或下一跳），它会查看接口配置，必要的进行ARP请求（即使是自己的物理接口或子接口），然后将数据包从正确的接口（或子接口）转发出去。如果是通过ARP查找下一跳MAC地址，则遵循传统的三层转发流程。

VLAN间路由的作用

实现VLAN间路由带来的好处显著：

1. 扩展性：允许网络管理员划分更多VLAN来控制广播域、进行部门划分、安全分区等，而无需担心每个子网都需要独立的路由器端口连接。VLAN只是一个逻辑分组，网关通信建立在需达到网络层互通的前提下。
2. 灵活性：方便地构建跨越多台设备的大型可扩展网络架构。
3. 成本效益：避免为每个VLAN划分都需要购买独立路由器端口的情况，尤其是在构建大型VLAN体系时，三层交换替代部分路由器的功能，可能降低总体拥有成本。
4. 安全性：通过隔离广播域并仅开放必要的路由可达点（例如基于策略的防火墙策略），可以加强不同VLAN之间访问的控制。
5. 简化管理：相比于传统的单臂路由部署，三层交换机架构通常简化了骨干网的层级设计。