提高傳輸效率 三層交換及VLAN設定(轉)

提高傳輸效率 三層交換及VLAN設定(轉)[@more@]

　　筆者在參與一些公司的網路工程建設中，發現一些公司對交換機的選擇大多依然停留在過去，完全不考慮企業內網基於不同部門的子網劃分，只要一般百兆交換機，把所有的電腦接起來就行。

　　這要是在ADSL等寬頻技術還沒有普及之前，企業接入廣域網需要專門的企業級傳統路由器，如；CISCO 2600系列接入路由器，來接入幀中繼（FRAME RELAY）、數字資料網（DDN）、x.25等。而企業要部署VLAN，要具有VLAN劃分功能的交換機來與傳統路由器配合，由傳統路由器來做VLAN間通訊的路由，那麼面對昂貴的傳統路由器，小企業無力承受，這是可以理解的。但現在寬頻技術普及之後，一般的企業都會選擇ADSL或都會網路，除非是非常傳統的行業企業，如銀行業還是採用DDN。同時擔當接入的閘道器裝置也不在唯一的由傳統路由器來承擔，而是出現了種類繁多的寬頻接入裝置，如：寬頻路由器、VPN防火牆等。代替傳統路由器做VLAN路由的三層交換機已經出現，基於硬體的路由轉發比傳統路由器基於軟體的路由轉發效率更高、更快。

　　現在企業部署VLAN有了更好的選擇，那就是由三層交換機和有VLAN功能的二層接入交換機來配合實現。並且隨著生產三層交換機的廠家越來越多，市場供應的豐富，使原來價格也高高在上的三層交換機將很快走向平民化，特別是千兆三層交換機在高階市場的普及，促使百兆三層交換機向中低端市場普及，並且價位降到一般中小企業有能力接受的程度。因此在這裡進一步點出本文的題目“三層交換，你也可以”的主旨。在網路核心部署三層交換對中小企業已不是什麼新鮮話題。

　　劃分VLAN子網的好處

　　VLAN（Virtual Local Area Network）稱為虛擬區域網，是指在邏輯上將物理的LAN分成不同小的邏輯子網，每一個邏輯子網就是一個單獨的播域。簡單地說，就是將一個大的物理的區域網（LAN）在交換機上透過軟體劃分成若干個小的虛擬的區域網（VLAN）。因為交換機通訊的原理就是要透過“廣播”來發現通往的目的MAC地址，以便在交換機內部的MAC資料庫建立MAC地址表，而廣播不能跨越不同網段。透過劃分VLAN子網，能劃小了廣播域，避免了資料碰撞在大的物理LAN內產生嚴重後果的可能，也避免了廣播風暴的產生。提高交換網路的交換效率，保證網路穩定。提高網路安全性，透過劃分VLAN，LAN被劃分不同子網段，因此不能直接通訊。必要的通訊必須經過路由來實現，因此可在路由器（或三層交換機）上配置訪問列表來進行跨子網段的授權訪問，從而提高企業內部網路訪問的安全性。方便網路管理：採用VLAN技術來劃分企業網路，一個VLAN可以根據部門、專案組或者伺服器組將不同地理位置的工作站劃分為一個邏輯網段。在不改動網路物理連線的情況下可以任意地將工作站在子網之間移動，VLAN提供了網段和機構的彈性組合機制。VLAN技術很好的解決了網路管理的問題，能實現網路監督與管理的自動化，從而更有效的進行網路監控。

　　因為各個子網產生的廣播將被限制在小的虛擬區域網內。當LAN中的不同VLAN間進行相互通訊時，由於處於不同的IP子網段，不能象原先大的LAN那樣直接通訊，因此需要路由來轉發，這時就需要增加路由裝置——要實現路由功能。

　　三層交換技術

　　VLAN和路由是孿生兄弟，有VLAN就必有路由。

　　在沒有出現三層交換機以前，VLAN間的通訊需要昂貴的傳統路由器來配合工作。在企業網中，不同VLAN子網之間的通訊頻繁發生，而路由器是基於軟體的路由選擇操作，本來效率就不高，如果路由器要對每一個資料包都路由一次，也就是“每次轉發，每次路由”，隨著需要路由的資料量增大，傳統的路由器將不堪重負，於是就成為VLAN之間通訊的瓶頸。

　　三層交換機則把網路通訊中的二層交換技術和三層路由（或稱三層轉發）技術結合在一起，並透過ASIC技術達到線速交換，大幅度提高了裝置資料的包轉發能力，消除了轉發瓶頸。同時透過VLAN劃分、高效的組播控制、流策略的管理及訪問控制等功能有效保證網路資源的充分利用，切實保證滿足各類使用者的應用需求。三層交換機在對第一個資料流進行路由後，會產生一個MAC地址與IP地址的對映表，當同樣的資料流再次透過時，將根據對映表直接進行二層交換，也就是“一次路由，多次交換”，這樣大大提高了資料包轉發的效率，因而提高了VLAN網路的整體效能。

　　有了三層交換機，企業做VLAN子網的劃分時，裝置上的付出就相對經濟得多，網路的VLAN間資料路由轉發效能更加高效。

　　小企業的三層交換部署例項　　

　　從上面兩個小節我們知道了劃分VLAN子網對於一個企業區域網的重要性和必要性，而劃分VLAN的必要配套工程，就是要部署三層交換機。目前三層交換機的市場發展，品牌倍出，但是價位還是有些高，如百兆三層交換機一般在8000-9000元左右，但個別低價的還是有的，如：D-Link DES-3326SR報價4000元，這使我們100個以內的小型企業也一樣可以部署高效安全的VLAN網路。

　　本案我們就選擇這款非常經濟的三層交換機，在網路的核心部署一臺D-Link DES-3326SR三層交換機，接入層則由若干臺D-Link DES-3226S百兆可堆疊二層交換機來擔任，。

　　DES-3326SR是一款可堆疊多層可路由交換機，它在一個機箱裡整合了二層線速交換和三層IP包路由以及服務質量（QoS）功能。它提供24個10/100 Mbps埠，一個用於快速乙太網、千兆模組、堆疊的擴充套件插槽，8.8Gbps交換架構，8K MAC地址表，2K路由表，6.6Mpps三層包轉發速率，16MB RAM快取。支援冗餘備份電源，可透過高速堆疊線纜堆疊在一起，最多可堆疊13個單元。允許8個10/100Mbps埠乾路提供聚合頻寬。

　　透過網路分段，支援IEEE 802.1Q VLAN Tagging的工作站能被分組到不同的VLAN中。這款交換機也支援GVRP，以此來進行VLAN配置資訊的自動釋出。

　　支援RIP-1,RIP-2,OSPF路由協議，DVMRP，PIM Dense mode組播路由協議。

　　於埠和基於MAC地址的802.1x特性使使用者的每次接入請求都能進行認證。多層的訪問控制列表（ACL）。支援優先順序佇列和IP組播（IGMP snooping），服務質量（QoS）能保證成功地完成像視訊會議這樣的對延遲敏感的應用。

　　支援802.1p優先佇列控制，從第二層到第四層的多層資訊都能被用來為資料包設定優先順序。偵聽IGMP，控制廣播，交換機動態地配置埠使之把IP組播資料只轉發給那些和組播主機相關的埠。

SNMPv.1,v.2c，v.3網路管理。能提供RMON監測和SYSLOG以完成有效的中心管理。交換機也提供命令列介面（CLI）和基於Web的GUI。

　　子網規劃及網路拓樸圖

　　VLAN的劃分應與IP規劃結合起來，使得一個VLAN 介面IP就是對應的子網段就是某個部門的子網段，VLAN介面IP就是一個子閘道器。VLAN應以部門劃分，相同部門的主機IP以VLAN介面IP為依據劃歸在一個子網範圍，同屬於一個VLAN。這樣不僅在安全上有益，而且更方便網路管理員的管理和監控。注意：各VLAN中的客戶機的閘道器分別對應各VLAN的介面IP。

　　在這企業網中計劃規劃四個VLAN子網對應著四個重要部門，筆者認為這也是小企業最普遍的部門結構，分別是：

　　VLAN10——綜合行政辦公室；

　　VLAN20——銷售部；

　　VLAN30——財務部；

　　VLAN40——資料中心（網路中心）。

　　劃分VLAN以後，要為每一個VLAN配一個“虛擬介面IP地址”。

　　VLAN10——192.168.10.1

　　VLAN20——192.168.20.1

　　VLAN30——192.168.30.1

　　VLAN40——192.168.40.1

　　VLAN及路由配置

　　1.DES-3326SR三層交換機的VLAN的配置過程：

　　（1）建立VLAN

　　DES-3326SR#Config vlan default delete 1 -24 刪除預設VLAN(default)包含的埠1-24'

　　DES-3326SR#Create vlan vlan10 tag 10 建立VLAN名為vlan10，並標記VID為10

　　DES-3326SR#Create vlan vlan20 tag 20 建立VLAN名為vlan20，並標記VID為20

　　DES-3326SR#Create vlan vlan30 tag 30 建立VLAN名為vlan10，並標記VID為30

　　DES-3326SR#Create vlan vlan40 tag 40 建立VLAN名為vlan10，並標記VID為40

　　（2）新增埠到各VLAN

　　DES-3326SR#Config vlan vlan10 add untag 1-6 把埠1-6新增到VLAN10

　　DES-3326SR#Config vlan vlan20 add untag 7-12 把埠1-6新增到VLAN20

　　DES-3326SR#Config vlan vlan30 add untag 13-18 把埠1-6新增到VLAN30

　　DES-3326SR#Config vlan vlan40 add untag 19-24 把埠1-6新增到VLAN40

　

　　（3）建立VLAN介面IP

　　DES-3326SR#Create ipif if10 192.168.10.1/24 VLAN10 state enabled　建立慮擬的介面if10給名為VLAN10的VLAN子網，並且指定該介面的IP為192.168.10.1/24。建立後enabled啟用該介面。

　　同樣方法設定其它的介面IP：

　　DES-3326SR#Create ipif if20 192.168.20.1/24 VLAN20 state enabled

　　DES-3326SR#Create ipif if30 192.168.30.1/24 VLAN30 state enabled

　　DES-3326SR#Create ipif if40 192.168.40.1/24 VLAN40 state enabled

　　（4）路由

　　當配置三層交換機的三層功能時，如果只是單臺三層交換機，只需要配置各VLAN的虛擬介面就行，不再配路由選擇協議。因為一臺三層交換機上的虛擬介面會在交換機裡以直接路由的身份出現，因此不需要靜態路由或動態路由協議的配置。

　　2.DES-3226S二層交換機的VLAN的配置過程：

　　（1）建立VLAN

　　DES-3226S#Config vlan default delete 1 -24 刪除預設VLAN(default)包含的埠1-24'

　　DES-3226S#Create vlan vlan10 tag 10 建立VLAN名為vlan10，並標記VID為10

　　（2）新增埠到各VLAN

　　DES-3226S#Config vlan vlan10 add untag 1-24 把埠1-24新增到VLAN10

　　同理，配置其它DES-3226S二層交換機。完成以後就可以將各個所屬VLAN的二層交換機與DES-3326SR三層交換機的相應VLAN的埠連線即可。

　　總結：

　　本文從小型企業部署VLAN的經濟性原則出發，介紹了在成本支出有限的情況下，如何為小型企業網規劃VLAN子網並實現高效的VLAN三層交換的案例。雖然現在百兆的三層交換機價位有點居高不下，千兆三層更貴，但是，只要用心找一找，還是能找到符合小型企業需要的經濟型三層交換機的。這為我們小企業部署核心三層交換帶來了可能。我們也堅信，隨著產能的擴大，面向中低端的三層交換機將大量普及。這將為我們規劃VLAN子網和三層路由，為企業建設一個高效安全的網路提供可能。