三層交換機(jī)中VLAN技術(shù)的運(yùn)用實(shí)踐探究

◆李景宇 劉曉華 謝旭生

（張家口市氣象局 河北 075000）

0 引言

在新時期下，網(wǎng)絡(luò)規(guī)模不斷增大，這也促進(jìn)了業(yè)務(wù)流的變化，人們對網(wǎng)絡(luò)傳輸要求逐漸提高，其中，以太網(wǎng)由于耗能低、傳輸效率高、安裝方便等優(yōu)勢，已經(jīng)成為網(wǎng)絡(luò)首選。在早期信息網(wǎng)絡(luò)中，由于以太網(wǎng)技術(shù)是采用共享通道，如果站點(diǎn)數(shù)量增加，則會出現(xiàn)信息沖突以及廣播風(fēng)暴，對網(wǎng)絡(luò)性能造成極大影響。這也促進(jìn)了VLAN技術(shù)的出現(xiàn)，該項(xiàng)技術(shù)采用了細(xì)分邏輯子網(wǎng)，縮小了廣播領(lǐng)域，隔離了廣播、多播信息在VLAN中的傳遞，用戶可以靈活地對網(wǎng)絡(luò)進(jìn)行配置，有效地提升了網(wǎng)絡(luò)傳播效率，實(shí)用性非常強(qiáng)。

1 VLAN的技術(shù)原理

1.1 VLAN概念

VLAN技術(shù)主要是以交換網(wǎng)絡(luò)作為基礎(chǔ)，通過網(wǎng)絡(luò)管理軟件跨越不同網(wǎng)段、網(wǎng)絡(luò)端到端的邏輯網(wǎng)絡(luò)。在VLAN使用中，用戶可以結(jié)合不同地理位置將用戶、工作站分為一組，構(gòu)建一個虛擬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，這樣在VLAN中構(gòu)建不同的計(jì)算機(jī)工作站，由于不需要考慮計(jì)算機(jī)的具體位置，所以 VLAN內(nèi)部的工作站能夠?qū)崿F(xiàn)交換機(jī)跨越，此外，一個硬件設(shè)備當(dāng)中能夠劃分出多個VLAN。VLAN內(nèi)部廣播不會對其他VLAN造成影響，可以有效控制流量、提升信息傳播速度、降低硬件投資。

1.2 三層交換機(jī)的路由與交換

由于VLAN之間保持著獨(dú)立性，所以流量無法實(shí)現(xiàn)跨越，這就要采用路由設(shè)備。路由可以將一個 VLAN中的報文傳輸?shù)搅硪粋€VLAN當(dāng)中。傳統(tǒng)路由器無法實(shí)現(xiàn)這種功能，這就需要采用三層交換機(jī)。作為路由、交換技術(shù)融合的產(chǎn)物，在三層交換機(jī)施工當(dāng)中，對一個數(shù)據(jù)進(jìn)行路由后可以產(chǎn)生一個IP和Mac地址，如果出現(xiàn)了同樣數(shù)據(jù)后，則數(shù)據(jù)信息就會進(jìn)入到第二層，這樣即可降低網(wǎng)絡(luò)延遲，絕大部分?jǐn)?shù)據(jù)通過第二層交換處理后可以大大提升數(shù)據(jù)包傳輸率，滿足用戶使用需求。

2 三層交換機(jī)中VLAN技術(shù)的運(yùn)用

2.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析

一般情況下，很多公司的網(wǎng)絡(luò)結(jié)構(gòu)都是由核心層、匯聚層、連接三構(gòu)成，是一種多層組合模式。采用三層交換技術(shù)、VLAN技術(shù)、路由技術(shù)構(gòu)建綜合網(wǎng)絡(luò)平臺。主干網(wǎng)為千兆以太網(wǎng)，主干線為雙路千兆寬帶。系統(tǒng)采用了以太網(wǎng)交換機(jī)、網(wǎng)絡(luò)接入交換機(jī)、匯聚層交換的骨干網(wǎng)絡(luò)，來實(shí)現(xiàn)高速寬帶連接。此外，應(yīng)用多元化的寬帶連接方法，甚至可以將 10MB/100MB交換到桌面，實(shí)現(xiàn)高速連接。

2.2 交換機(jī)類型、交換技術(shù)應(yīng)用

（1）核心層

作為整個網(wǎng)絡(luò)系統(tǒng)的核心，需要選擇大型核心網(wǎng)絡(luò)路由器作為核心路由，二級接入層的接入口為千兆上聯(lián)端口。核心網(wǎng)絡(luò)路由交換機(jī)應(yīng)用了模塊設(shè)計(jì)方案，能夠?qū)崿F(xiàn)32個千兆端口同時配置，具有2-7層48Mpps全線速包轉(zhuǎn)發(fā)率，并根據(jù)匯聚路由交換機(jī)、接入交換機(jī)，構(gòu)建智能、有效的多層級交換網(wǎng)絡(luò)。

（2）接入層、連接層

將千兆網(wǎng)絡(luò)作為核心，讓不同區(qū)域接入層的交換機(jī)連接起來，不同工作組交換機(jī)間網(wǎng)管系統(tǒng)堆疊，實(shí)施監(jiān)控網(wǎng)絡(luò)，整合不同地理位置交換機(jī)的邏輯結(jié)構(gòu)。交換機(jī)中要確保可以同時構(gòu)建256個VLAN，確保整個VLAN系統(tǒng)的使用性能，提升數(shù)據(jù)信息的安全性，將數(shù)據(jù)信息有效傳輸?shù)街付ǖ腣LAN工作站。這種方法與虛擬防火墻網(wǎng)絡(luò)與端口形式類似，可以減少信息傳播時間。

2.3 設(shè)置路由表

對于三層交換機(jī)間中的 VLAN來說，可以自動轉(zhuǎn)發(fā)子網(wǎng)絡(luò)之間的路由，如果用戶或企業(yè)網(wǎng)絡(luò)需要聯(lián)通互聯(lián)網(wǎng)，則網(wǎng)絡(luò)管理人員還需要設(shè)置缺省路由。在核心三層交換機(jī)當(dāng)中設(shè)置路由，并采用遠(yuǎn)程管理將各個VLAN進(jìn)行分配。

2.4 網(wǎng)絡(luò)安全設(shè)置

安全設(shè)置工作就是在路由器中構(gòu)建訪問限制列表，可以自動關(guān)閉黑客攻擊的端口，從而降低病毒、木馬侵入概率。如在IntelsSwitch480T(CISC03750)三層交換機(jī)當(dāng)中，交換機(jī)一側(cè)端口連接到互聯(lián)網(wǎng)端口中，而關(guān)閉TCP445只需要輸入createaccesslistdeny100tcpdestinationanyip-port445sourceanyip

portanydenyportsl即可。這樣即可通過關(guān)閉端口保證阻止了絕大部分病毒的侵入，進(jìn)而確保整個網(wǎng)絡(luò)系統(tǒng)的安全性。

2.5 VLAN子網(wǎng)劃分

采用端口聯(lián)合三層協(xié)議的方法進(jìn)行 VLAN子網(wǎng)劃分，把權(quán)限、職能相同的用戶劃分到VLAN子網(wǎng)當(dāng)中，限制流量的進(jìn)出與跨越，這樣可以提高管理效率和信息交流效率。此外，每個VLAN子網(wǎng)當(dāng)中都要選擇合適的掩碼，以提升 IP地址資源的使用率。不同端口之間都要設(shè)置指定的VLAN，這樣非授權(quán)用戶訪問就會被禁止或受到限制。

3 VLAN的應(yīng)用案例

下面以某型號24口百兆三層交換機(jī)為案例，闡述VLAN的應(yīng)用。

3.1 環(huán)境配置

該三層交換機(jī)switch1中1、2、3端口、switch2中1、2、3端口采用Untagged方式的VLAN1，同時VLAN1中tag值為10。Switch1端口4、5、6與switch2端口4、5、6采用Untagged的VLAN2，將VLAN2的tag值設(shè)置為20。這兩臺交換機(jī)采用第24端口連接，并且給兩臺switch第24端口設(shè)置為taggde端口，數(shù)值分別為設(shè)置為10和20。

3.2 數(shù)據(jù)流

整個系統(tǒng)當(dāng)中包含兩個終端，分別為PC1和PC2，PC1為普通PC，沒有以太網(wǎng)卡，所以其只能發(fā)射沒有tag值的以太網(wǎng)數(shù)據(jù)幀。在switch1接收到這個信號之后可以插入一個tag值，數(shù)值為10。交換機(jī)會自動查找本機(jī)FDB表，如果沒有表項(xiàng)，則交換機(jī)會直接把數(shù)據(jù)傳遞到第24端口中，由于24端口是tagged方式，屬于VLAN1，所以能夠有效送達(dá)數(shù)據(jù)幀。

Switch1通過第24端口把數(shù)據(jù)幀專遞到switch2當(dāng)中，此時數(shù)據(jù)幀帶有tag標(biāo)記。Switch2受到數(shù)據(jù)之后會結(jié)合tag值標(biāo)記內(nèi)容轉(zhuǎn)發(fā)，也就是會在數(shù)據(jù)幀tag值10的VLAN當(dāng)中轉(zhuǎn)發(fā)。Switch2結(jié)合FDB地址表項(xiàng)轉(zhuǎn)發(fā)，PC2連接switch2端口以Untagged方式是 VLAN1，所以數(shù)據(jù)傳輸?shù)蕉丝诤?，交換機(jī)會將數(shù)據(jù)幀的tag10數(shù)值去掉，這樣PC2即可接收到數(shù)據(jù)幀。

3.3 配置VLAN

在默認(rèn)設(shè)置情況下，三層交換機(jī)能夠自動添加所需 VLAN，通過相關(guān)命令創(chuàng)建一個普通VLAN。普通端口以Untagged方式加入VLAN中，中繼端口需要按照支持IEEE 802.1Q網(wǎng)卡主機(jī)端口配置成為tagged端口。用戶通過命令即可在VLAN當(dāng)中添加端口。三層交換機(jī)需要在同一臺交換機(jī)當(dāng)中，不同的VLAN配置不同的網(wǎng)段、IP地質(zhì)、子網(wǎng)掩碼，這樣才能夠保證每個VLAN的獨(dú)立性。在主機(jī)上配置主機(jī)默認(rèn)開關(guān)，默認(rèn)網(wǎng)關(guān)要指向VLAN三層交換機(jī)當(dāng)中接口地址。上述配置環(huán)節(jié)全部完成之后，即可采用ping等工具對網(wǎng)絡(luò)連通性展開測試，測試完畢后完成配置。

4 結(jié)束語

綜上所述，隨著人們對網(wǎng)絡(luò)的需求不斷提升，在三層交換機(jī)不斷發(fā)展的背景下，人們對VLAN技術(shù)愈加關(guān)注，由于其不僅能夠在局域網(wǎng)當(dāng)中使用WAN、MAN等交換網(wǎng)絡(luò)，還能夠有效解決廣播風(fēng)暴以及網(wǎng)絡(luò)安全性等問題，所以市場前景十分廣泛。在近些年發(fā)展當(dāng)中，VLAN的應(yīng)用十分廣泛，在企業(yè)、校園網(wǎng)、城市局域網(wǎng)、智能小區(qū)都有所涉及，并且還有很大的發(fā)展空間，值得進(jìn)一步加深研究。