CCNP:提高傳輸效率三層交換及VLAN設置
筆者在參與一些公司的網絡工程建設中,發現一些公司對交換機的選擇大多依然停留在過去,完全不考慮企業內網基于不同部門的子網劃分,只要一般百兆交換機,把所有的電腦接起來就行。
這要是在ADSL等寬帶技術還沒有普及之前,企業接入廣域網需要專門的企業級傳統路由器,如;CISCO2600系列接入路由器,來接入幀中繼(FRAMERELAY)、數字數據網(DDN)、x.25等。而企業要部署VLAN,要具有VLAN劃分功能的交換機來與傳統路由器配合,由傳統路由器來做VLAN間通信的路由,那么面對昂貴的傳統路由器,小企業無力承受,這是可以理解的。但現在寬帶技術普及之后,一般的企業都會選擇ADSL或城域網,除非是非常傳統的行業企業,如銀行業還是采用DDN。同時擔當接入的網關設備也不在唯一的由傳統路由器來承擔,而是出現了種類繁多的寬帶接入設備,如:寬帶路由器、VPN防火墻等。代替傳統路由器做VLAN路由的三層交換機已經出現,基于硬件的路由轉發比傳統路由器基于軟件的路由轉發效率更高、更快。
現在企業部署VLAN有了更好的選擇,那就是由三層交換機和有VLAN功能的二層接入交換機來配合實現。并且隨著生產三層交換機的廠家越來越多,市場供應的豐富,使原來價格也高高在上的三層交換機將很快走向平民化,特別是千兆三層交換機在高端市場的普及,促使百兆三層交換機向中低端市場普及,并且價位降到一般中小企業有能力接受的程度。因此在這里進一步點出本文的題目“三層交換,你也可以”的主旨。在網絡核心部署三層交換對中小企業已不是什么新鮮話題。
劃分VLAN子網的好處
VLAN(VirtualLocalAreaNetwork)稱為虛擬局域網,是指在邏輯上將物理的LAN分成不同小的邏輯子網,每一個邏輯子網就是一個單獨的播域。簡單地說,就是將一個大的物理的局域網(LAN)在交換機上通過軟件劃分成若干個小的虛擬的局域網(VLAN)。因為交換機通信的原理就是要通過“廣播”來發現通往的目的MAC地址,以便在交換機內部的MAC數據庫建立MAC地址表,而廣播不能跨越不同網段。通過劃分VLAN子網,能劃小了廣播域,避免了數據碰撞在大的物理LAN內產生嚴重后果的可能,也避免了廣播風暴的產生。提高交換網絡的交換效率,保證網絡穩定。提高網絡安全性,通過劃分VLAN,LAN被劃分不同子網段,因此不能直接通信。必要的通信必須經過路由來實現,因此可在路由器(或三層交換機)上配置訪問列表來進行跨子網段的授權訪問,從而提高企業內部網絡訪問的安全性。方便網絡管理:采用VLAN技術來劃分企業網絡,一個VLAN可以根據部門、項目組或者服務器組將不同地理位置的工作站劃分為一個邏輯網段。在不改動網絡物理連接的情況下可以任意地將工作站在子網之間移動,VLAN提供了網段和機構的彈性組合機制。VLAN技術很好的解決了網絡管理的問題,能實現網絡監督與管理的自動化,從而更有效的進行網絡監控。
因為各個子網產生的廣播將被限制在小的虛擬局域網內。當LAN中的不同VLAN間進行相互通信時,由于處于不同的IP子網段,不能象原先大的LAN那樣直接通信,因此需要路由來轉發,這時就需要增加路由設備——要實現路由功能。
三層交換技術
VLAN和路由是孿生兄弟,有VLAN就必有路由。
在沒有出現三層交換機以前,VLAN間的通信需要昂貴的傳統路由器來配合工作。在企業網中,不同VLAN子網之間的通信頻繁發生,而路由器是基于軟件的路由選擇操作,本來效率就不高,如果路由器要對每一個數據包都路由一次,也就是“每次轉發,每次路由”,隨著需要路由的數據量增大,傳統的路由器將不堪重負,于是就成為VLAN之間通信的瓶頸。
三層交換機則把網絡通信中的二層交換技術和三層路由(或稱三層轉發)技術結合在一起,并通過ASIC技術達到線速交換,大幅度提高了設備數據的包轉發能力,消除了轉發瓶頸。同時通過VLAN劃分、高效的組播控制、流策略的管理及訪問控制等功能有效保證網絡資源的充分利用,切實保證滿足各類用戶的應用需求。三層交換機在對第一個數據流進行路由后,會產生一個MAC地址與IP地址的映射表,當同樣的數據流再次通過時,將根據映射表直接進行二層交換,也就是“一次路由,多次交換”,這樣大大提高了數據包轉發的效率,因而提高了VLAN網絡的整體性能。
有了三層交換機,企業做VLAN子網的劃分時,設備上的付出就相對經濟得多,網絡的VLAN間數據路由轉發性能更加高效。
小企業的三層交換部署實例
從上面兩個小節我們知道了劃分VLAN子網對于一個企業局域網的重要性和必要性,而劃分VLAN的必要配套工程,就是要部署三層交換機。目前三層交換機的市場發展,品牌倍出,但是價位還是有些高,如百兆三層交換機一般在8000-9000元左右,但個別低價的還是有的,如:D-LinkDES-3326SR報價4000元,這使我們100個以內的小型企業也一樣可以部署高效安全的VLAN網絡。
本案我們就選擇這款非常經濟的三層交換機,在網絡的核心部署一臺D-LinkDES-3326SR三層交換機,接入層則由若干臺D-LinkDES-3226S百兆可堆疊二層交換機來擔任,。
DES-3326SR是一款可堆疊多層可路由交換機,它在一個機箱里集成了二層線速交換和三層IP包路由以及服務質量(QoS)功能。它提供24個10/100Mbps端口,一個用于快速以太網、千兆模塊、堆疊的擴展插槽,8.8Gbps交換架構,8KMAC地址表,2K路由表,6.6Mpps三層包轉發速率,16MBRAM緩存。支持冗余備份電源,可通過高速堆疊線纜堆疊在一起,最多可堆疊13個單元。允許8個10/100Mbps端口干路提供聚合帶寬。
通過網絡分段,支持IEEE802.1QVLANTagging的工作站能被分組到不同的VLAN中。這款交換機也支持GVRP,以此來進行VLAN配置信息的自動發布。
支持RIP-1,RIP-2,OSPF路由協議,DVMRP,PIMDensemode組播路由協議。
于端口和基于MAC地址的802.1x特性使用戶的每次接入請求都能進行認證。多層的訪問控制列表(ACL)。支持優先級隊列和IP組播(IGMPsnooping),服務質量(QoS)能保證成功地完成像視頻會議這樣的對延遲敏感的應用。
支持802.1p優先隊列控制,從第二層到第四層的多層信息都能被用來為數據包設置優先級。偵聽IGMP,控制廣播,交換機動態地配置端口使之把IP組播數據只轉發給那些和組播主機相關的端口。
SNMPv.1,v.2c,v.3網絡管理。能提供RMON監測和SYSLOG以完成有效的中心管理。交換機也提供命令行接口(CLI)和基于Web的GUI。
子網規劃及網絡拓樸圖
VLAN的劃分應與IP規劃結合起來,使得一個VLAN接口IP就是對應的子網段就是某個部門的子網段,VLAN接口IP就是一個子網關。VLAN應以部門劃分,相同部門的主機IP以VLAN接口IP為依據劃歸在一個子網范圍,同屬于一個VLAN。這樣不僅在安全上有益,而且更方便網絡管理員的管理和監控。注意:各VLAN中的客戶機的網關分別對應各VLAN的接口IP。
在這企業網中計劃規劃四個VLAN子網對應著四個重要部門,筆者認為這也是小企業最普遍的部門結構,分別是:
VLAN10——綜合行政辦公室;
VLAN20——銷售部;
VLAN30——財務部;
VLAN40——數據中心(網絡中心)。
劃分VLAN以后,要為每一個VLAN配一個“虛擬接口IP地址”。
VLAN10——192.168.10.1
VLAN20——192.168.20.1
VLAN30——192.168.30.1
VLAN40——192.168.40.1
VLAN及路由配置
1.DES-3326SR三層交換機的VLAN的配置過程:
(1)創建VLAN
DES-3326SR#Configvlandefaultdelete1-24?刪除默認VLAN(default)包含的端口1-24''
DES-3326SR#Createvlanvlan10tag10?創建VLAN名為vlan10,并標記VID為10
DES-3326SR#Createvlanvlan20tag20?創建VLAN名為vlan20,并標記VID為20
DES-3326SR#Createvlanvlan30tag30?創建VLAN名為vlan10,并標記VID為30
DES-3326SR#Createvlanvlan40tag40?創建VLAN名為vlan10,并標記VID為40
(2)添加端口到各VLAN
DES-3326SR#Configvlanvlan10adduntag1-6?把端口1-6添加到VLAN10
DES-3326SR#Configvlanvlan20adduntag7-12?把端口1-6添加到VLAN20
DES-3326SR#Configvlanvlan30adduntag13-18?把端口1-6添加到VLAN30
DES-3326SR#Configvlanvlan40adduntag19-24?把端口1-6添加到VLAN40
(3)創建VLAN接口IP
DES-3326SR#Createipifif10192.168.10.1/24VLAN10stateenabled?創建慮擬的接口if10給名為VLAN10的VLAN子網,并且指定該接口的IP為192.168.10.1/24。創建后enabled激活該接口。
同樣方法設置其它的接口IP:
DES-3326SR#Createipifif20192.168.20.1/24VLAN20stateenabled
DES-3326SR#Createipifif30192.168.30.1/24VLAN30stateenabled
DES-3326SR#Createipifif40192.168.40.1/24VLAN40stateenabled
(4)路由
當配置三層交換機的三層功能時,如果只是單臺三層交換機,只需要配置各VLAN的虛擬接口就行,不再配路由選擇協議。因為一臺三層交換機上的虛擬接口會在交換機里以直接路由的身份出現,因此不需要靜態路由或動態路由協議的配置。
2.DES-3226S二層交換機的VLAN的配置過程:
(1)創建VLAN
DES-3226S#Configvlandefaultdelete1-24?刪除默認VLAN(default)包含的端口1-24''
DES-3226S#Createvlanvlan10tag10?創建VLAN名為vlan10,并標記VID為10
(2)添加端口到各VLAN
DES-3226S#Configvlanvlan10adduntag1-24?把端口1-24添加到VLAN10
同理,配置其它DES-3226S二層交換機。完成以后就可以將各個所屬VLAN的二層交換機與DES-3326SR三層交換機的相應VLAN的端口連接即可。
總結:
本文從小型企業部署VLAN的經濟性原則出發,介紹了在成本支出有限的情況下,如何為小型企業網規劃VLAN子網并實現高效的VLAN三層交換的案例。雖然現在百兆的三層交換機價位有點居高不下,千兆三層更貴,但是,只要用心找一找,還是能找到符合小型企業需要的經濟型三層交換機的。這為我們小企業部署核心三層交換帶來了可能。我們也堅信,隨著產能的擴大,面向中低端的三層交換機將大量普及。這將為我們規劃VLAN子網和三層路由,為企業建設一個高效安全的網絡提供可能。
【編輯推薦】
