提高傳輸效率 三層交換及VLAN設(shè)置實(shí)例

鯨魚(yú)終結(jié)者

　　筆者在參與一些公司的網(wǎng)絡(luò)工程建設(shè)中，發(fā)現(xiàn)一些公司對(duì)交換機(jī)的選擇大多依然停留在過(guò)去，完全不考慮企業(yè)內(nèi)網(wǎng)基于不同部門(mén)的子網(wǎng)劃分，只要一般百兆交換機(jī)，把所有的電腦接起來(lái)就行。

　　這要是在ADSL等寬帶技術(shù)還沒(méi)有普及之前，企業(yè)接入廣域網(wǎng)需要專(zhuān)門(mén)的企業(yè)級(jí)傳統(tǒng)路由器，如;CISCO 2600系列接入路由器，來(lái)接入幀中繼(FRAME RELAY)、數(shù)字?jǐn)?shù)據(jù)網(wǎng)(DDN)、x.25等。而企業(yè)要部署VLAN，要具有VLAN劃分功能的交換機(jī)來(lái)與傳統(tǒng)路由器配合，由傳統(tǒng)路由器來(lái)做VLAN間通信的路由，那么面對(duì)昂貴的傳統(tǒng)路由器，小企業(yè)無(wú)力承受，這是可以理解的。但現(xiàn)在寬帶技術(shù)普及之后，一般的企業(yè)都會(huì)選擇ADSL或城域網(wǎng)，除非是非常傳統(tǒng)的行業(yè)企業(yè)，如銀行業(yè)還是采用DDN。同時(shí)擔(dān)當(dāng)接入的網(wǎng)關(guān)設(shè)備也不在唯一的由傳統(tǒng)路由器來(lái)承擔(dān)，而是出現(xiàn)了種類(lèi)繁多的寬帶接入設(shè)備，如:寬帶路由器、VPN防火墻等。代替?zhèn)鹘y(tǒng)路由器做VLAN路由的三層交換機(jī)已經(jīng)出現(xiàn)，基于硬件的路由轉(zhuǎn)發(fā)比傳統(tǒng)路由器基于軟件的路由轉(zhuǎn)發(fā)效率更高、更快。

　　現(xiàn)在企業(yè)部署VLAN有了更好的選擇，那就是由三層交換機(jī)和有VLAN功能的二層接入交換機(jī)來(lái)配合實(shí)現(xiàn)。并且隨著生產(chǎn)三層交換機(jī)的廠家越來(lái)越多，市場(chǎng)供應(yīng)的豐富，使原來(lái)價(jià)格也高高在上的三層交換機(jī)將很快走向平民化，特別是千兆三層交換機(jī)在高端市場(chǎng)的普及，促使百兆三層交換機(jī)向中低端市場(chǎng)普及，并且價(jià)位降到一般中小企業(yè)有能力接受的程度。因此在這里進(jìn)一步點(diǎn)出本文的題目“三層交換，你也可以”的主旨。在網(wǎng)絡(luò)核心部署三層交換對(duì)中小企業(yè)已不是什么新鮮話題。

　　劃分VLAN子網(wǎng)的好處

　　VLAN(Virtual Local Area Network)稱為虛擬局域網(wǎng)，是指在邏輯上將物理的LAN分成不同小的邏輯子網(wǎng)，每一個(gè)邏輯子網(wǎng)就是一個(gè)單獨(dú)的播域。簡(jiǎn)單地說(shuō)，就是將一個(gè)大的物理的局域網(wǎng)(LAN)在交換機(jī)上通過(guò)軟件劃分成若干個(gè)小的虛擬的局域網(wǎng)(VLAN)。因?yàn)榻粨Q機(jī)通信的原理就是要通過(guò)“廣播”來(lái)發(fā)現(xiàn)通往的目的MAC地址，以便在交換機(jī)內(nèi)部的MAC數(shù)據(jù)庫(kù)建立MAC地址表，而廣播不能跨越不同網(wǎng)段。通過(guò)劃分VLAN子網(wǎng)，能劃小了廣播域，避免了數(shù)據(jù)碰撞在大的物理LAN內(nèi)產(chǎn)生嚴(yán)重后果的可能，也避免了廣播風(fēng)暴的產(chǎn)生。提高交換網(wǎng)絡(luò)的交換效率，保證網(wǎng)絡(luò)穩(wěn)定。提高網(wǎng)絡(luò)安全性，通過(guò)劃分VLAN，LAN被劃分不同子網(wǎng)段，因此不能直接通信。必要的通信必須經(jīng)過(guò)路由來(lái)實(shí)現(xiàn)，因此可在路由器(或三層交換機(jī))上配置訪問(wèn)列表來(lái)進(jìn)行跨子網(wǎng)段的授權(quán)訪問(wèn)，從而提高企業(yè)內(nèi)部網(wǎng)絡(luò)訪問(wèn)的安全性。方便網(wǎng)絡(luò)管理:采用VLAN技術(shù)來(lái)劃分企業(yè)網(wǎng)絡(luò)，一個(gè)VLAN可以根據(jù)部門(mén)、項(xiàng)目組或者服務(wù)器組將不同地理位置的工作站劃分為一個(gè)邏輯網(wǎng)段。在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在子網(wǎng)之間移動(dòng)，VLAN提供了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制。VLAN技術(shù)很好的解決了網(wǎng)絡(luò)管理的問(wèn)題，能實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)督與管理的自動(dòng)化，從而更有效的進(jìn)行網(wǎng)絡(luò)監(jiān)控。

　　因?yàn)楦鱾€(gè)子網(wǎng)產(chǎn)生的廣播將被限制在小的虛擬局域網(wǎng)內(nèi)。當(dāng)LAN中的不同VLAN間進(jìn)行相互通信時(shí)，由于處于不同的IP子網(wǎng)段，不能象原先大的LAN那樣直接通信，因此需要路由來(lái)轉(zhuǎn)發(fā)，這時(shí)就需要增加路由設(shè)備——要實(shí)現(xiàn)路由功能。

　　三層交換技術(shù)

　　VLAN和路由是孿生兄弟，有VLAN就必有路由。

　　在沒(méi)有出現(xiàn)三層交換機(jī)以前，VLAN間的通信需要昂貴的傳統(tǒng)路由器來(lái)配合工作。在企業(yè)網(wǎng)中，不同VLAN子網(wǎng)之間的通信頻繁發(fā)生，而路由器是基于軟件的路由選擇操作，本來(lái)效率就不高，如果路由器要對(duì)每一個(gè)數(shù)據(jù)包都路由一次，也就是“每次轉(zhuǎn)發(fā)，每次路由”，隨著需要路由的數(shù)據(jù)量增大，傳統(tǒng)的路由器將不堪重負(fù)，于是就成為VLAN之間通信的瓶頸。

　　三層交換機(jī)則把網(wǎng)絡(luò)通信中的二層交換技術(shù)和三層路由(或稱三層轉(zhuǎn)發(fā))技術(shù)結(jié)合在一起，并通過(guò)ASIC技術(shù)達(dá)到線速交換，大幅度提高了設(shè)備數(shù)據(jù)的包轉(zhuǎn)發(fā)能力，消除了轉(zhuǎn)發(fā)瓶頸。同時(shí)通過(guò)VLAN劃分、高效的組播控制、流策略的管理及訪問(wèn)控制等功能有效保證網(wǎng)絡(luò)資源的充分利用，切實(shí)保證滿足各類(lèi)用戶的應(yīng)用需求。三層交換機(jī)在對(duì)第一個(gè)數(shù)據(jù)流進(jìn)行路由后，會(huì)產(chǎn)生一個(gè)MAC地址與IP地址的映射表，當(dāng)同樣的數(shù)據(jù)流再次通過(guò)時(shí)，將根據(jù)映射表直接進(jìn)行二層交換，也就是“一次路由，多次交換”，這樣大大提高了數(shù)據(jù)包轉(zhuǎn)發(fā)的效率，因而提高了VLAN網(wǎng)絡(luò)的整體性能。

　　有了三層交換機(jī)，企業(yè)做VLAN子網(wǎng)的劃分時(shí)，設(shè)備上的付出就相對(duì)經(jīng)濟(jì)得多，網(wǎng)絡(luò)的VLAN間數(shù)據(jù)路由轉(zhuǎn)發(fā)性能更加高效。

　　小企業(yè)的三層交換部署實(shí)例

　　從上面兩個(gè)小節(jié)我們知道了劃分VLAN子網(wǎng)對(duì)于一個(gè)企業(yè)局域網(wǎng)的重要性和必要性，而劃分VLAN的必要配套工程，就是要部署三層交換機(jī)。目前三層交換機(jī)的市場(chǎng)發(fā)展，品牌倍出，但是價(jià)位還是有些高，如百兆三層交換機(jī)一般在8000-9000元左右，但個(gè)別低價(jià)的還是有的，如:D-Link DES-3326SR報(bào)價(jià)4000元，這使我們100個(gè)以內(nèi)的小型企業(yè)也一樣可以部署高效安全的VLAN網(wǎng)絡(luò)。

　　本案我們就選擇這款非常經(jīng)濟(jì)的三層交換機(jī)，在網(wǎng)絡(luò)的核心部署一臺(tái)D-Link DES-3326SR三層交換機(jī)，接入層則由若干臺(tái)D-Link DES-3226S百兆可堆疊二層交換機(jī)來(lái)?yè)?dān)任，。

　　DES-3326SR是一款可堆疊多層可路由交換機(jī)，它在一個(gè)機(jī)箱里集成了二層線速交換和三層IP包路由以及服務(wù)質(zhì)量(QoS)功能。它提供24個(gè)10/100 Mbps端口，一個(gè)用于快速以太網(wǎng)、千兆模塊、堆疊的擴(kuò)展插槽，8.8Gbps交換架構(gòu)，8K MAC地址表，2K路由表，6.6Mpps三層包轉(zhuǎn)發(fā)速率，16MB RAM緩存。支持冗余備份電源，可通過(guò)高速堆疊線纜堆疊在一起，最多可堆疊13個(gè)單元。允許8個(gè)10/100Mbps端口干路提供聚合帶寬。

　　通過(guò)網(wǎng)絡(luò)分段，支持IEEE 802.1Q VLAN Tagging的工作站能被分組到不同的VLAN中。這款交換機(jī)也支持GVRP，以此來(lái)進(jìn)行VLAN配置信息的自動(dòng)發(fā)布。

　　支持RIP-1,RIP-2,OSPF路由協(xié)議，DVMRP，PIM Dense mode組播路由協(xié)議。

　　于端口和基于MAC地址的802.1x特性使用戶的每次接入請(qǐng)求都能進(jìn)行認(rèn)證。多層的訪問(wèn)控制列表(ACL)。支持優(yōu)先級(jí)隊(duì)列和IP組播(IGMP snooping)，服務(wù)質(zhì)量(QoS)能保證成功地完成像視頻會(huì)議這樣的對(duì)延遲敏感的應(yīng)用。

　　支持802.1p優(yōu)先隊(duì)列控制，從第二層到第四層的多層信息都能被用來(lái)為數(shù)據(jù)包設(shè)置優(yōu)先級(jí)。偵聽(tīng)I(yíng)GMP，控制廣播，交換機(jī)動(dòng)態(tài)地配置端口使之把IP組播數(shù)據(jù)只轉(zhuǎn)發(fā)給那些和組播主機(jī)相關(guān)的端口。

　　SNMPv.1,v.2c，v.3網(wǎng)絡(luò)管理。能提供RMON監(jiān)測(cè)和SYSLOG以完成有效的中心管理。交換機(jī)也提供命令行接口(CLI)和基于Web的GUI。

　　子網(wǎng)規(guī)劃及網(wǎng)絡(luò)拓樸圖

　　VLAN的劃分應(yīng)與IP規(guī)劃結(jié)合起來(lái)，使得一個(gè)VLAN 接口IP就是對(duì)應(yīng)的子網(wǎng)段就是某個(gè)部門(mén)的子網(wǎng)段，VLAN接口IP就是一個(gè)子網(wǎng)關(guān)。VLAN應(yīng)以部門(mén)劃分，相同部門(mén)的主機(jī)IP以VLAN接口IP為依據(jù)劃歸在一個(gè)子網(wǎng)范圍，同屬于一個(gè)VLAN。這樣不僅在安全上有益，而且更方便網(wǎng)絡(luò)管理員的管理和監(jiān)控。注意:各VLAN中的客戶機(jī)的網(wǎng)關(guān)分別對(duì)應(yīng)各VLAN的接口IP。

　　在這企業(yè)網(wǎng)中計(jì)劃規(guī)劃四個(gè)VLAN子網(wǎng)對(duì)應(yīng)著四個(gè)重要部門(mén)，筆者認(rèn)為這也是小企業(yè)最普遍的部門(mén)結(jié)構(gòu)，分別是:

　　VLAN10——綜合行政辦公室;

　　VLAN20——銷(xiāo)售部;

　　VLAN30——財(cái)務(wù)部;

　　VLAN40——數(shù)據(jù)中心(網(wǎng)絡(luò)中心)。

　　劃分VLAN以后，要為每一個(gè)VLAN配一個(gè)“虛擬接口IP地址”。

　　VLAN10——192.168.10.1

　　VLAN20——192.168.20.1

　　VLAN30——192.168.30.1

　　VLAN40——192.168.40.1

　　VLAN及路由配置

　　1.DES-3326SR三層交換機(jī)的VLAN的配置過(guò)程:

　　(1)創(chuàng)建VLAN

　　DES-3326SR#Config vlan default delete 1 -24 ?刪除默認(rèn)VLAN(default)包含的端口1-24''

　　DES-3326SR#Create vlan vlan10 tag 10 ?創(chuàng)建VLAN名為vlan10，并標(biāo)記VID為10

　　DES-3326SR#Create vlan vlan20 tag 20 ?創(chuàng)建VLAN名為vlan20，并標(biāo)記VID為20

　　DES-3326SR#Create vlan vlan30 tag 30 ?創(chuàng)建VLAN名為vlan10，并標(biāo)記VID為30

　　DES-3326SR#Create vlan vlan40 tag 40 ?創(chuàng)建VLAN名為vlan10，并標(biāo)記VID為40

　　(2)添加端口到各VLAN

　　DES-3326SR#Config vlan vlan10 add untag 1-6 ?把端口1-6添加到VLAN10

　　DES-3326SR#Config vlan vlan20 add untag 7-12 ?把端口1-6添加到VLAN20

　　DES-3326SR#Config vlan vlan30 add untag 13-18 ?把端口1-6添加到VLAN30

　　DES-3326SR#Config vlan vlan40 add untag 19-24 ?把端口1-6添加到VLAN40

　　(3)創(chuàng)建VLAN接口IP

　　DES-3326SR#Create ipif if10 192.168.10.1/24 VLAN10 state enabled ?創(chuàng)建慮擬的接口if10給名為VLAN10的VLAN子網(wǎng)，并且指定該接口的IP為192.168.10.1/24。創(chuàng)建后enabled激活該接口。

　　同樣方法設(shè)置其它的接口IP:

　　DES-3326SR#Create ipif if20 192.168.20.1/24 VLAN20 state enabled

　　DES-3326SR#Create ipif if30 192.168.30.1/24 VLAN30 state enabled

　　DES-3326SR#Create ipif if40 192.168.40.1/24 VLAN40 state enabled

　　(4)路由

　　當(dāng)配置三層交換機(jī)的三層功能時(shí)，如果只是單臺(tái)三層交換機(jī)，只需要配置各VLAN的虛擬接口就行，不再配路由選擇協(xié)議。因?yàn)橐慌_(tái)三層交換機(jī)上的虛擬接口會(huì)在交換機(jī)里以直接路由的身份出現(xiàn)，因此不需要靜態(tài)路由或動(dòng)態(tài)路由協(xié)議的配置。

　　2.DES-3226S二層交換機(jī)的VLAN的配置過(guò)程:

　　(1)創(chuàng)建VLAN

　　DES-3226S#Config vlan default delete 1 -24 ?刪除默認(rèn)VLAN(default)包含的端口1-24''

　　DES-3226S#Create vlan vlan10 tag 10 ?創(chuàng)建VLAN名為vlan10，并標(biāo)記VID為10

　　(2)添加端口到各VLAN

　　DES-3226S#Config vlan vlan10 add untag 1-24 ?把端口1-24添加到VLAN10

　　同理，配置其它DES-3226S二層交換機(jī)。完成以后就可以將各個(gè)所屬VLAN的二層交換機(jī)與DES-3326SR三層交換機(jī)的相應(yīng)VLAN的端口連接即可。

　　總結(jié):

　　本文從小型企業(yè)部署VLAN的經(jīng)濟(jì)性原則出發(fā)，介紹了在成本支出有限的情況下，如何為小型企業(yè)網(wǎng)規(guī)劃VLAN子網(wǎng)并實(shí)現(xiàn)高效的VLAN三層交換的案例。雖然現(xiàn)在百兆的三層交換機(jī)價(jià)位有點(diǎn)居高不下，千兆三層更貴，但是，只要用心找一找，還是能找到符合小型企業(yè)需要的經(jīng)濟(jì)型三層交換機(jī)的。這為我們小企業(yè)部署核心三層交換帶來(lái)了可能。我們也堅(jiān)信，隨著產(chǎn)能的擴(kuò)大，面向中低端的三層交換機(jī)將大量普及。這將為我們規(guī)劃VLAN子網(wǎng)和三層路由，為企業(yè)建設(shè)一個(gè)高效安全的網(wǎng)絡(luò)提供可能。