D-Link三層交換VLAN配置實例，企業部署VLAN實例

-Link三層交換VLAN配置實例，企業部署VLAN實例

劃分VLAN子網的好處

　　VLAN(Virtual Local Area Network)稱爲虛擬局域網，是指在邏輯上將物理的LAN分成不同小的邏輯子網，每一個邏輯子網就是一個單獨的播域。簡單地說，就是將一個大的

物理的局域網(LAN)在交換機上通過軟件劃分成若干個小的虛擬的局域網(VLAN)。因爲交換機通信的原理就是要通過“廣播”來發現通往的目的MAC地址，以便在交換機內部的MAC

數據庫建立MAC地址表，而廣播不能跨越不同網段。通過劃分VLAN子網，能劃小了廣播域，避免了數據碰撞在大的物理LAN內產生嚴重後果的可能，也避免了廣播風暴的產生。

　　因爲各個子網產生的廣播將被限制在小的虛擬局域網內。當LAN中的不同VLAN間進行相互通信時，由於處於不同的IP子網段，不能象原先大的LAN那樣直接通信，因此需要路由

來轉發，這時就需要增加路由設備——要實現路由功能。

三層交換技術

　　VLAN和路由是孿生兄弟，有VLAN就必有路由。

　　在沒有出現三層交換機以前，VLAN間的通信需要昂貴的傳統路由器來配合工作。在企業網中，不同VLAN子網之間的通信頻繁發生，而路由器是基於軟件的路由選擇操作，本來

效率就不高，如果路由器要對每一個數據包都路由一次，也就是“每次轉發，每次路由”，隨着需要路由的數據量增大，傳統的路由器將不堪重負，於是就成爲VLAN之間通信的瓶

頸。

　　三層交換機則把網絡通信中的二層交換技術和三層路由(或稱三層轉發)技術結合在一起，並通過ASIC技術達到線速交換，大幅度提高了設備數據的包轉發能力，消除了轉發瓶

頸。同時通過VLAN劃分、高效的組播控制、流策略的管理及訪問控制等功能有效保證網絡資源的充分利用，切實保證滿足各類用戶的應用需求。三層交換機在對第一個數據流進行

路由後，會產生一個MAC地址與IP地址的映射表，當同樣的數據流再次通過時，將根據映射表直接進行二層交換，也就是“一次路由，多次交換”，這樣大大提高了數據包轉發的

效率，因而提高了VLAN網絡的整體性能。

　　有了三層交換機，企業做VLAN子網的劃分時，設備上的付出就相對經濟得多，網絡的VLAN間數據路由轉發性能更加高效。

     現在部署VLAN有了更好的選擇，那就是由三層交換機和有VLAN功能的二層接入交換機來配合實現。並且隨着生產三層交換機的廠家越來越多，市場供應的豐富，使原來價格也

高高在上的三層交換機將很快走向平民化，特別是千兆三層交換機在高端市場的普及，促使百兆三層交換機向中低端市場普及，並且價位降到一般中小企業有能力接受的程度。因

此在這裏進一步點出本文的題目“三層交換，你也可以”的主旨。在網絡核心部署三層交換對中小企業已不是什麼新鮮話題。

小企業的三層交換部署實例

　　從上面兩個小節我們知道了劃分VLAN子網對於一個企業局域網的重要性和必要性，而劃分VLAN的必要配套工程，就是要部署三層交換機。目前三層交換機的市場發展，品牌倍

出，但是價位還是有些高，如百兆三層交換機一般在8000-9000元左右，但個別低價的還是有的，如:D-Link DES-3326SR報價4000元，這使我們100個以內的小型企業也一樣可以部

署高效安全的VLAN網絡。

　　本案我們就選擇這款非常經濟的三層交換機，在網絡的核心部署一臺D-Link DES-3326SR三層交換機，接入層則由若干臺D-Link DES-3226S百兆可堆疊二層交換機來擔任，。

　　DES-3326SR是一款可堆疊多層可路由交換機，它在一個機箱裏集成了二層線速交換和三層IP包路由以及服務質量(QoS)功能。它提供24個10/100 Mbps端口，一個用於快速以太

網、千兆模塊、堆疊的擴展插槽，8.8Gbps交換架構，8K MAC地址表，2K路由表，6.6Mpps三層包轉發速率，16MB RAM緩存。支持冗餘備份電源，可通過高速堆疊線纜堆疊在一起，

最多可堆疊13個單元。允許8個10/100Mbps端口乾路提供聚合帶寬。

　　通過網絡分段，支持IEEE 802.1Q VLAN Tagging的工作站能被分組到不同的VLAN中。這款交換機也支持GVRP，以此來進行VLAN配置信息的自動發佈。

　　支持RIP-1,RIP-2,OSPF路由協議，DVMRP，PIM Dense mode組播路由協議。

　　於端口和基於MAC地址的802.1x特性使用戶的每次接入請求都能進行認證。多層的訪問控制列表(ACL)。支持優先級隊列和IP組播(IGMP snooping)，服務質量(QoS)能保證成功

地完成像視頻會議這樣的對延遲敏感的應用。

　　支持802.1p優先隊列控制，從第二層到第四層的多層信息都能被用來爲數據包設置優先級。偵聽IGMP，控制廣播，交換機動態地配置端口使之把IP組播數據只轉發給那些和組

播主機相關的端口。

　　SNMPv.1,v.2c，v.3網絡管理。能提供RMON監測和SYSLOG以完成有效的中心管理。交換機也提供命令行接口(CLI)和基於Web的GUI。

　　子網規劃及網絡拓樸圖

　　VLAN的劃分應與IP規劃結合起來，使得一個VLAN 接口IP就是對應的子網段就是某個部門的子網段，VLAN接口IP就是一個子網關。VLAN應以部門劃分，相同部門的主機IP以

VLAN接口IP爲依據劃歸在一個子網範圍，同屬於一個VLAN。這樣不僅在安全上有益，而且更方便網絡管理員的管理和監控。注意:各VLAN中的客戶機的網關分別對應各VLAN的接口

IP。

　　在這企業網中計劃規劃四個VLAN子網對應着四個重要部門，筆者認爲這也是小企業最普遍的部門結構，分別是:

　　VLAN10——綜合行政辦公室;

　　VLAN20——銷售部;

　　VLAN30——財務部;

　　VLAN40——數據中心(網絡中心)。

　　劃分VLAN以後，要爲每一個VLAN配一個“虛擬接口IP地址”。

　　VLAN10——192.168.10.1

　　VLAN20——192.168.20.1

　　VLAN30——192.168.30.1

　　VLAN40——192.168.40.1

　　VLAN及路由配置

　　1.DES-3326SR三層交換機的VLAN的配置過程:

　　(1)創建VLAN

　　DES-3326SR#Config vlan default delete 1 -24 刪除默認VLAN(default)包含的端口1-24''

　　DES-3326SR#Create vlan vlan10 tag 10         創建VLAN名爲vlan10，並標記VID爲10

　　DES-3326SR#Create vlan vlan20 tag 20         創建VLAN名爲vlan20，並標記VID爲20

　　DES-3326SR#Create vlan vlan30 tag 30         創建VLAN名爲vlan10，並標記VID爲30

　　DES-3326SR#Create vlan vlan40 tag 40         創建VLAN名爲vlan10，並標記VID爲40

　　(2)添加端口到各VLAN

　　DES-3326SR#Config vlan vlan10 add untag 1-6    把端口1-6添加到VLAN10

　　DES-3326SR#Config vlan vlan20 add untag 7-12  把端口1-6添加到VLAN20

　　DES-3326SR#Config vlan vlan30 add untag 13-18 把端口1-6添加到VLAN30

　　DES-3326SR#Config vlan vlan40 add untag 19-23 把端口1-6添加到VLAN40

　　(3)創建VLAN接口IP

　　DES-3326SR#Create ipif if10 192.168.10.1/24 VLAN10 state enabled 
     創建慮擬的接口if10給名爲VLAN10的VLAN子網，並且指定該接口的IP爲192.168.10.1/24。創建後enabled激活該接口。

　　同樣方法設置其它的接口IP:

　　DES-3326SR#Create ipif if20 192.168.20.1/24 VLAN20 state enabled

　　DES-3326SR#Create ipif if30 192.168.30.1/24 VLAN30 state enabled

　　DES-3326SR#Create ipif if40 192.168.40.1/24 VLAN40 state enabled

　　(4)路由

　　當配置三層交換機的三層功能時，如果只是單臺三層交換機，只需要配置各VLAN的虛擬接口就行，不再配路由選擇協議。因爲一臺三層交換機上的虛擬接口會在交換機裏以直

接路由的身份出現，因此不需要靜態路由或動態路由協議的配置。

　　2.DES-3226S二層交換機的VLAN的配置過程:

　　(1)創建VLAN

　　DES-3226S#Config vlan default delete 1 -24 刪除默認VLAN(default)包含的端口1-24''

　　DES-3226S#Create vlan vlan10 tag 10 創建VLAN名爲vlan10，並標記VID爲10

　　(2)添加端口到各VLAN

　　DES-3226S#Config vlan vlan10 add untag 1-24 把端口1-24添加到VLAN10

　　同理，配置其它DES-3226S二層交換機。完成以後就可以將各個所屬VLAN的二層交換機與DES-3326SR三層交換機的相應VLAN的端口連接即可。

　　3.配置其他的三層交換
     如果還有其他的三層交換機，比如另一臺DES-3326SR，之間用24口連接
    
     首先，將兩臺DES-3326SR的24口配置爲TRUNK

     DES-3326SR#Config vlan vlan10 add tag 24

     DES-3326SR#Config vlan vlan20 add tag 24

     DES-3326SR#Config vlan vlan30 add tag 24

     DES-3326SR#Config vlan vlan40 add tag 24

     DES-3326SR#Config vlan vlan50 add tag 24

     兩臺DES-3326SR的24端口屬於所有的VLAN，標記tag

     第二臺DES-3326SR的配置

     DES-3326SR#Create vlan vlan10 tag 10

     DES-3326SR#Create vlan vlan50 tag 50

     DES-3326SR#Create ipif if20 192.168.10.2/24 VLAN10 state enabled

　　DES-3326SR#Create ipif if30 192.168.50.1/24 VLAN60 state enabled

     問題來了，第二臺DES-3326SR上的VLAN50和第一臺上的其他VLAN沒辦法通訊，需要增加路由：

     DES-3326SR-1#ip route-static 192.168.50.0 255.255.255.0 192.1168.10.2   意爲指向192.168.50.0/24的下一跳IP爲192.1168.10.2

     DES-3326SR-2#ip route-static 192.168.20.0 255.255.255.0 192.1168.10.1   意爲指向192.168.[2-4]0.0/24的下一跳IP爲192.1168.10.1

     DES-3326SR-2#ip route-static 192.168.30.0 255.255.255.0 192.1168.10.1

     DES-3326SR-2#ip route-static 192.168.40.0 255.255.255.0 192.1168.10.1