单臂路由实验

以太网中，通常会使用 VLAN 技术隔离二层广播域来减少广播的影响，并增强网络安

全性和网络的可管理性，但同时也严格的隔离了不同 VLAN 之间的任何二层流量，分属于

不同 VLAN 的用户不能直接互相通信。在现实中，经常会出现某些用户需要跨越 VLAN 实

现通信的情况，单臂路由技术就是解决 VLAN 间通信的一种方法。

单臂路由的原理是通过一台路由器，使 VLAN 间互通数据通过路由器进行三层转发。

如果在路由器上为每个 VLAN 分配一个单独的路由器物理接口，随着 VLAN 数量的增加，

必然需要更多的接口，而路由器能提供的接口数量比较有限，所以在路由器的一个物理接口

上通过配置子接口（即逻辑接口）的方式来实现以一当多的功能，将是一种非常好的方式，

路由器同一物理接口的不同的子接口作为不同 VLAN 的缺省网关，当不同 VLAN 间的用户

主机需要通信时，只需将数据包发送给网关，网关处理后再发送至目的主机所在 VLAN，从

而实现 VLAN 间通信。由于从拓扑结构图上看，在交换机与路由器之间，数据仅通过一条

物理链路传输，故形象的称之为“单臂路由”。

虽然目前已经创建了不同的子接口，并配置了相关 IP 地址，但是仍然无法通信。是由

于处于不同VLAN下，不同网段的PC间要实现互相通信，数据包必须通过路由器进行中转。

由 S1 发送到 R1 的数据都加上了 VLAN 标签，而路由器作为三层设备，默认无法处理带了

VLAN 标签的数据包。因此需要在路由器上的子接口下配置对应 VLAN 的封装，使路由器

能够识别和处理 VLAN 标签，包括剥离和封装 VLAN 标签。

在 R1 的子接口 GE 0/0/1.1 上封装 VLAN 10，在子接口 GE 0/0/1.2 上封装 VLAN 20，在

子接口 GE 0/0/1.3 上封装 VLAN 30。并开启子接口的 ARP 广播功能。

使用 dot1q termination vid 命令配置子接口对一层 tag 报文的终结功能。即配置该命令

后，路由器子接口在接收带有 VLAN tag 的报文时，将剥掉 tag 进行三层转发，在发送报文

时，会将与该子接口对应 VLAN 的 VLAN tag 添加到报文中。

dot1q termination vid vlan_id

两台 PC 由于处于不同的网络中，这时 PC-1 会将数据包发往自己的网关，即路由器 R1

的子接口 GE 0/0/1.1 的地址 10.1.1.254。

数据包到达路由器 R1 后，由于路由器的子接口 GE 0/0/1.1 已经配置了 VLAN 封装，当

接收到 PC-1 发送的 VLAN 10 的数据帧时，发现数据帧的 VLAN ID 跟自身 GE 0/0/1/1 接口

配置的 VLAN ID 一样，便会剥离掉数据帧的 VLAN 标签后后通过三层路由转发。

通过查找路由表后，发现数据包中的目的地址 20.1.1.1 所属的 20.1.1.0/24 网段的路由条

目，已经是路由器 R1 上的直连路由，且出接口为 GE 0/0/1.2，便将该数据包发送至 GE 0/0/1.2

接口。

当 GE 0/0/1.2 接口接收到一个没有带 VLAN 标签的数据帧时，便会加上自身接口所配

置的 VLAN ID 20 后再进行转发，然后通过交换机将数据帧顺利转发给 PC-2。

以上便是通过配置单臂路由实现不同 VLAN 间的路由的整个过程。