如今，世界上几乎所有的网络都使用虚拟局域网。在我们关于 VLAN 的课程中，我们学到了一条一般的经验法则：

这意味着如果我们有节点连接在不同的 VLAN 中，它们很可能是不同子网的一部分。如果我们以图 1 所示的拓扑为例，我们在 VLAN10 中有四个客户端，地址在子网 192.168.1.0/24，在 VLAN20 中有四个服务器，地址在 10.1.0.0/24。因此，两个 VLAN 之间的通信必须由可以在子网之间执行 IP 路由的设备来处理。该设备必须在每个网络中都有一个 IP 地址，然后客户端需要将这些地址分别用作其默认网关。

有两种典型的设备用于在 VLAN 之间执行路由：

• 多层交换机（第 3 层交换机） - MLS 交换机在 OSI 模型的第 2 层和第 3 层都工作。它们可以在 VLAN 之间交换帧并执行 IP 路由。我们将在下一课中研究这种 VLAN 间路由技术。

• 路由器- 有两种方法可以将路由器用作在 VLAN 之间执行 IP 路由的设备。

• 将单独的路由器接口连接到每个 VLAN，并为每个接口提供来自相应 VLAN 子网的 IP 地址。那么它只是网络之间的常规路由。我们已经在之前的一课中详细讨论了这种技术。

• 将具有单个链路的路由器连接到交换机中继端口并为每个 vlan 定义子接口。然后在相应 VLAN 的每个子接口上配置一个 IP 地址。这种技术称为棒上路由器 (ROAS)，因为路由器和交换机之间只有一条物理链路，如图 1 所示。

什么是单臂路由器？

棒上路由器 (ROAS)是一种将具有单个物理链路的路由器连接到交换机并在 VLAN 之间执行 IP 路由的技术。从交换机的角度来看，这个物理链路被配置为一个中继端口，允许所有将要路由的 VLAN。从路由器的角度来看，这个物理接口表示为多个虚拟子接口，每个 VLAN 一个。然后在每个子接口上配置来自每个 VLAN 的 IP 地址，路由器在连接的网络之间执行 IP 路由。

将此方法与我们可以为每个 VLAN 使用物理接口的其他方案进行比较。如图 1 所示，在交换机和路由器之间使用单个中继链路显然是一种更好、更具可扩展性的技术。

图 1. 棒上的路由器，物理视图

让我们更仔细地看一下上面的物理图。有一根电缆将 Router1 连接到 Switch1。从交换机的角度来看，端口 9 是一个 802.1q 中继，它将所有帧发送到带有 VLAN 标记的路由器。

从路由器的角度来看，所有帧都带有标记。因此，基于此标记，路由器可以区分哪些传入帧属于哪个 VLAN。知道每个帧的 VLAN 号，路由器也知道它属于哪个子网，因为 VLAN = Broadcast Domain = Subnet。考虑到这个逻辑，我们可以在路由器上创建一个虚拟接口，它威胁所有标记为 VLAN 10 的帧连接到虚拟接口 Gi0/0.10，以及所有标记为 VLAN20 的帧连接到子接口 Gi0/0.20。

我们使用命令interface [interface-name].[sub-interface number]创建一个子接口。这将创建一个具有指定编号的虚拟接口，并引导我们进入子接口配置模式。在那里，我们使用命令encapsulation dot1Q [vlan-id]指定 VLAN ID ，它告诉路由器当帧进入物理接口并用这个特定的 VLAN 号标记时，它们应该由这个子接口处理。请记住，子接口编号不必与 VLAN-ID 匹配，可以是 1-429496729 之间的任何随机数. 但是，encapsulation 命令下的 VLAN-ID 必须与交换机上的 VLAN 号匹配。

图 2. 棒上的路由器，逻辑视图

物理图

图 1 显示了我们在此示例中的物理拓扑。注意交换机和路由器之间只有一条物理链路这将用于所有 VLAN。将此拓扑与上一课中的拓扑进行比较，其中每个 VLAN 都有一条物理链路。

图 3. 使用单臂路由器进行 VLAN 间路由，物理图。

配置交换机

让我们首先在交换机上定义 VLAN：

然后配置客户端的端口：

最后一部分是将路由器连接的端口配置为 802.1Q 中继端口。

配置路由器

让我们看看路由器是默认设置的。它有三个物理接口，目前在管理上完全没有配置。

根据我们的物理图，我们将有一个路由器接口 Gi0/0 连接到端口 9 上的交换机。我们必须执行的第一个配置步骤是启用该接口。只是提醒您 - 默认情况下，所有路由器接口都关闭（管理关闭）并且所有交换机接口都启用。这也适用于我们的设备同时具有交换机端口（第 2 层接口）和路由器端口（第 3 层接口）的情况。二层接口默认开启，三层接口关闭。

单臂路由器的目标是仅使用一条物理链路在 VLAN 之间路由数据。但是，路由器需要有一个与每个 VLAN 关联的 IP 地址/掩码，因为 VLAN = 广播域 = 子网。因此，为了在每个 VLAN 中都有一个地址，路由器可以创建与每个 VLAN 关联的虚拟路由接口。这些虚拟接口称为子接口。让我们为 VLAN10 配置一个子接口。

还有一个 VLAN20 的子接口。

现在我们已经为每个 VLAN 创建了一个子接口。路由器可以在子网之间转发数据，如图 2 所示。

图 4. 棒上的路由器，逻辑视图

现在让我们看一下路由器的接口配置。

请注意，在以黄色突出显示的物理接口 Gi0/0 上没有配置 IP 地址。所有第 3 层配置都应用在相应的子接口下。如果我们现在检查 router1 的路由表，我们将看到它连接到两个网络（VLAN10 192.168.1.0/24 和 VLAN20 10.1.0.0/24）

最后一个验证步骤是尝试在 VLAN10 中的客户端和 VLAN20 中的服务器之间进行 ping。并确保有连接。