方法一:建議路由器下連接三層交換機(例如Cisco3650)。大體思路是,三層交換機與路由器之間建立OSPF鄰居,將交換機上的Vlan三層網段宣告出來,Vlan中主機的默認網關設置爲Vlan三層網段實現Vlan間互通以及對外通信。
其中,Vlan三層網段其實就是交換機的SVI(Switch Virtual Interface)。因爲一個Vlan通常在一個網段中,設置SVI以便Vlan間以及與外界進行三層路由。配置方法很簡單:
Switch(config)#ip routing
Switch(config-if)#interface vlan 2
Switch(config-if)#ip address 192.168.1.1255.255.255.0
Switch(config-if)#no shutdown
保證互通後,再根據網絡策略增加設施訪問控制列表限制特定訪問。
方法二:如果路由器下連接的是二層交換機(例如Cisco2960),那麼VLAN間路由的方法通常是單臂路由模式。即將路由器接口配置爲中繼鏈路Trunk,通過中繼接口接收來自相鄰交換機的VLAN標記流量,並通過路由器子接口在VLAN間進行內部路由。Vlan主機的默認網關設置爲路由器上對應子接口的IP地址。
其中子接口擁有自己的IP、掩碼和VLAN ID,使得每個物理接口可以同時屬於多個邏輯網絡。具體配置示例爲:
R1(config)# interface f0/0.10
R1(config-subif)# encapsulation dot1q 10 //在配置子接口IP前,使用encapsulationdot1q vlan-id使之在特定的VLAN中運行。
R1(config-subif)# ip address 172.17.10.1255.255.255.0
R1(config)# interface f0/0.30
R1(config-subif)# encapsulation dot1q 30
R1(config-subif)# ip address 172.17.30.1255.255.255.0
R1(config)# interface f0/0 //這是路由器上的非trunk連接那個接口
R1(config-if)# no shutdown //物理接口上所有子接口均啓動
當然還有一種最笨的方法就是路由器上多個物理接口分別對應不同的VLAN,連接到被分配了不同VLAN的交換機物理端口實現路由。這時交換機端口以接入Access模式連接到路由器。