|
|
筆者在參與一些公司的網(wǎng)絡(luò)工程建設(shè)中��,發(fā)現(xiàn)一些公司對交換機的選擇大多依然停留在過去,完全不考慮企業(yè)內(nèi)網(wǎng)基于不同部門的子網(wǎng)劃分�,只要一般百兆交換機,把所有的電腦接起來就行�����。
這要是在ADSL等寬帶技術(shù)還沒有普及之前�,企業(yè)接入廣域網(wǎng)需要專門的企業(yè)級傳統(tǒng)路由器,如;CISCO 2600系列接入路由器���,來接入幀中繼(FRAME RELAY)、數(shù)字數(shù)據(jù)網(wǎng)(DDN)�����、x.25等����。而企業(yè)要部署VLAN,要具有VLAN劃分功能的交換機來與傳統(tǒng)路由器配合�,由傳統(tǒng)路由器來做VLAN間通信的路由,那么面對昂貴的傳統(tǒng)路由器����,小企業(yè)無力承受,這是可以理解的。但現(xiàn)在寬帶技術(shù)普及之后���,一般的企業(yè)都會選擇ADSL或城域網(wǎng)���,除非是非常傳統(tǒng)的行業(yè)企業(yè),如銀行業(yè)還是采用DDN�。同時擔當接入的網(wǎng)關(guān)設(shè)備也不在唯一的由傳統(tǒng)路由器來承擔,而是出現(xiàn)了種類繁多的寬帶接入設(shè)備����,如:寬帶路由器、VPN防火墻等��。代替?zhèn)鹘y(tǒng)路由器做VLAN路由的三層交換機已經(jīng)出現(xiàn)�����,基于硬件的路由轉(zhuǎn)發(fā)比傳統(tǒng)路由器基于軟件的路由轉(zhuǎn)發(fā)效率更高����、更快。
現(xiàn)在企業(yè)部署VLAN有了更好的選擇��,那就是由三層交換機和有VLAN功能的二層接入交換機來配合實現(xiàn)���。并且隨著生產(chǎn)三層交換機的廠家越來越多�,市場供應的豐富,使原來價格也高高在上的三層交換機將很快走向平民化����,特別是千兆三層交換機在高端市場的普及,促使百兆三層交換機向中低端市場普及���,并且價位降到一般中小企業(yè)有能力接受的程度����。因此在這里進一步點出本文的題目“三層交換���,你也可以”的主旨。在網(wǎng)絡(luò)核心部署三層交換對中小企業(yè)已不是什么新鮮話題��。
劃分VLAN子網(wǎng)的好處
VLAN(Virtual Local Area Network)稱為虛擬局域網(wǎng)���,是指在邏輯上將物理的LAN分成不同小的邏輯子網(wǎng)��,每一個邏輯子網(wǎng)就是一個單獨的播域���。簡單地說����,就是將一個大的物理的局域網(wǎng)(LAN)在交換機上通過軟件劃分成若干個小的虛擬的局域網(wǎng)(VLAN)����。因為交換機通信的原理就是要通過“廣播”來發(fā)現(xiàn)通往的目的MAC地址,以便在交換機內(nèi)部的MAC數(shù)據(jù)庫建立MAC地址表�����,而廣播不能跨越不同網(wǎng)段���。通過劃分VLAN子網(wǎng)���,能劃小了廣播域,避免了數(shù)據(jù)碰撞在大的物理LAN內(nèi)產(chǎn)生嚴重后果的可能���,也避免了廣播風暴的產(chǎn)生�。提高交換網(wǎng)絡(luò)的交換效率�����,保證網(wǎng)絡(luò)穩(wěn)定����。提高網(wǎng)絡(luò)安全性��,通過劃分VLAN�,LAN被劃分不同子網(wǎng)段��,因此不能直接通信���。必要的通信必須經(jīng)過路由來實現(xiàn)��,因此可在路由器(或三層交換機)上配置訪問列表來進行跨子網(wǎng)段的授權(quán)訪問���,從而提高企業(yè)內(nèi)部網(wǎng)絡(luò)訪問的安全性。方便網(wǎng)絡(luò)管理:采用VLAN技術(shù)來劃分企業(yè)網(wǎng)絡(luò)����,一個VLAN可以根據(jù)部門、項目組或者服務器組將不同地理位置的工作站劃分為一個邏輯網(wǎng)段���。在不改動網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在子網(wǎng)之間移動,VLAN提供了網(wǎng)段和機構(gòu)的彈性組合機制�����。VLAN技術(shù)很好的解決了網(wǎng)絡(luò)管理的問題,能實現(xiàn)網(wǎng)絡(luò)監(jiān)督與管理的自動化���,從而更有效的進行網(wǎng)絡(luò)監(jiān)控���。
因為各個子網(wǎng)產(chǎn)生的廣播將被限制在小的虛擬局域網(wǎng)內(nèi)。當LAN中的不同VLAN間進行相互通信時����,由于處于不同的IP子網(wǎng)段,不能象原先大的LAN那樣直接通信���,因此需要路由來轉(zhuǎn)發(fā)����,這時就需要增加路由設(shè)備——要實現(xiàn)路由功能�����。
三層交換技術(shù)
VLAN和路由是孿生兄弟�,有VLAN就必有路由。
在沒有出現(xiàn)三層交換機以前���,VLAN間的通信需要昂貴的傳統(tǒng)路由器來配合工作����。在企業(yè)網(wǎng)中,不同VLAN子網(wǎng)之間的通信頻繁發(fā)生���,而路由器是基于軟件的路由選擇操作���,本來效率就不高,如果路由器要對每一個數(shù)據(jù)包都路由一次��,也就是“每次轉(zhuǎn)發(fā)���,每次路由”����,隨著需要路由的數(shù)據(jù)量增大�,傳統(tǒng)的路由器將不堪重負,于是就成為VLAN之間通信的瓶頸����。
三層交換機則把網(wǎng)絡(luò)通信中的二層交換技術(shù)和三層路由(或稱三層轉(zhuǎn)發(fā))技術(shù)結(jié)合在一起,并通過ASIC技術(shù)達到線速交換�����,大幅度提高了設(shè)備數(shù)據(jù)的包轉(zhuǎn)發(fā)能力����,消除了轉(zhuǎn)發(fā)瓶頸。同時通過VLAN劃分����、高效的組播控制、流策略的管理及訪問控制等功能有效保證網(wǎng)絡(luò)資源的充分利用�,切實保證滿足各類用戶的應用需求。三層交換機在對第一個數(shù)據(jù)流進行路由后�����,會產(chǎn)生一個MAC地址與IP地址的映射表�,當同樣的數(shù)據(jù)流再次通過時,將根據(jù)映射表直接進行二層交換��,也就是“一次路由���,多次交換”��,這樣大大提高了數(shù)據(jù)包轉(zhuǎn)發(fā)的效率�����,因而提高了VLAN網(wǎng)絡(luò)的整體性能�����。
有了三層交換機���,企業(yè)做VLAN子網(wǎng)的劃分時�,設(shè)備上的付出就相對經(jīng)濟得多��,網(wǎng)絡(luò)的VLAN間數(shù)據(jù)路由轉(zhuǎn)發(fā)性能更加高效���。
小企業(yè)的三層交換部署實例
從上面兩個小節(jié)我們知道了劃分VLAN子網(wǎng)對于一個企業(yè)局域網(wǎng)的重要性和必要性��,而劃分VLAN的必要配套工程�,就是要部署三層交換機�。目前三層交換機的市場發(fā)展,品牌倍出��,但是價位還是有些高��,如百兆三層交換機一般在8000-9000元左右�,但個別低價的還是有的����,如:D-Link DES-3326SR報價4000元����,這使我們100個以內(nèi)的小型企業(yè)也一樣可以部署高效安全的VLAN網(wǎng)絡(luò)��。
本案我們就選擇這款非常經(jīng)濟的三層交換機���,在網(wǎng)絡(luò)的核心部署一臺D-Link DES-3326SR三層交換機��,接入層則由若干臺D-Link DES-3226S百兆可堆疊二層交換機來擔任����,�。
DES-3326SR是一款可堆疊多層可路由交換機,它在一個機箱里集成了二層線速交換和三層IP包路由以及服務質(zhì)量(QoS)功能�。它提供24個10/100 Mbps端口,一個用于快速以太網(wǎng)���、千兆模塊�����、堆疊的擴展插槽���,8.8Gbps交換架構(gòu)��,8K MAC地址表���,2K路由表,6.6Mpps三層包轉(zhuǎn)發(fā)速率�����,16MB RAM緩存���。支持冗余備份電源���,可通過高速堆疊線纜堆疊在一起,最多可堆疊13個單元�����。允許8個10/100Mbps端口干路提供聚合帶寬��。
通過網(wǎng)絡(luò)分段�,支持IEEE 802.1Q VLAN Tagging的工作站能被分組到不同的VLAN中�����。這款交換機也支持GVRP�,以此來進行VLAN配置信息的自動發(fā)布���。
支持RIP-1,RIP-2,OSPF路由協(xié)議,DVMRP�����,PIM Dense mode組播路由協(xié)議����。
于端口和基于MAC地址的802.1x特性使用戶的每次接入請求都能進行認證。多層的訪問控制列表(ACL)���。支持優(yōu)先級隊列和IP組播(IGMP snooping)����,服務質(zhì)量(QoS)能保證成功地完成像視頻會議這樣的對延遲敏感的應用��。
支持802.1p優(yōu)先隊列控制���,從第二層到第四層的多層信息都能被用來為數(shù)據(jù)包設(shè)置優(yōu)先級�。偵聽IGMP,控制廣播��,交換機動態(tài)地配置端口使之把IP組播數(shù)據(jù)只轉(zhuǎn)發(fā)給那些和組播主機相關(guān)的端口���。
SNMPv.1,v.2c��,v.3網(wǎng)絡(luò)管理�����。能提供RMON監(jiān)測和SYSLOG以完成有效的中心管理����。交換機也提供命令行接口(CLI)和基于Web的GUI��。
子網(wǎng)規(guī)劃及網(wǎng)絡(luò)拓樸圖
VLAN的劃分應與IP規(guī)劃結(jié)合起來�����,使得一個VLAN 接口IP就是對應的子網(wǎng)段就是某個部門的子網(wǎng)段�,VLAN接口IP就是一個子網(wǎng)關(guān)。VLAN應以部門劃分����,相同部門的主機IP以VLAN接口IP為依據(jù)劃歸在一個子網(wǎng)范圍�,同屬于一個VLAN���。這樣不僅在安全上有益����,而且更方便網(wǎng)絡(luò)管理員的管理和監(jiān)控����。注意:各VLAN中的客戶機的網(wǎng)關(guān)分別對應各VLAN的接口IP�。
在這企業(yè)網(wǎng)中計劃規(guī)劃四個VLAN子網(wǎng)對應著四個重要部門,筆者認為這也是小企業(yè)最普遍的部門結(jié)構(gòu)�����,分別是:
VLAN10——綜合行政辦公室;
VLAN20——銷售部;
VLAN30——財務部;
VLAN40——數(shù)據(jù)中心(網(wǎng)絡(luò)中心)���。
劃分VLAN以后���,要為每一個VLAN配一個“虛擬接口IP地址”。
VLAN10——192.168.10.1
VLAN20——192.168.20.1
VLAN30——192.168.30.1
VLAN40——192.168.40.1
VLAN及路由配置
1.DES-3326SR三層交換機的VLAN的配置過程:
(1)創(chuàng)建VLAN
DES-3326SR#Config vlan default delete 1 -24 ?刪除默認VLAN(default)包含的端口1-24''
DES-3326SR#Create vlan vlan10 tag 10 ?創(chuàng)建VLAN名為vlan10����,并標記VID為10
DES-3326SR#Create vlan vlan20 tag 20 ?創(chuàng)建VLAN名為vlan20���,并標記VID為20
DES-3326SR#Create vlan vlan30 tag 30 ?創(chuàng)建VLAN名為vlan10,并標記VID為30
DES-3326SR#Create vlan vlan40 tag 40 ?創(chuàng)建VLAN名為vlan10�,并標記VID為40
(2)添加端口到各VLAN
DES-3326SR#Config vlan vlan10 add untag 1-6 ?把端口1-6添加到VLAN10
DES-3326SR#Config vlan vlan20 add untag 7-12 ?把端口1-6添加到VLAN20
DES-3326SR#Config vlan vlan30 add untag 13-18 ?把端口1-6添加到VLAN30
DES-3326SR#Config vlan vlan40 add untag 19-24 ?把端口1-6添加到VLAN40
(3)創(chuàng)建VLAN接口IP
DES-3326SR#Create ipif if10 192.168.10.1/24 VLAN10 state enabled ?創(chuàng)建慮擬的接口if10給名為VLAN10的VLAN子網(wǎng),并且指定該接口的IP為192.168.10.1/24�。創(chuàng)建后enabled激活該接口。
同樣方法設(shè)置其它的接口IP:
DES-3326SR#Create ipif if20 192.168.20.1/24 VLAN20 state enabled
DES-3326SR#Create ipif if30 192.168.30.1/24 VLAN30 state enabled
DES-3326SR#Create ipif if40 192.168.40.1/24 VLAN40 state enabled
(4)路由
當配置三層交換機的三層功能時��,如果只是單臺三層交換機��,只需要配置各VLAN的虛擬接口就行����,不再配路由選擇協(xié)議。因為一臺三層交換機上的虛擬接口會在交換機里以直接路由的身份出現(xiàn)��,因此不需要靜態(tài)路由或動態(tài)路由協(xié)議的配置�。
2.DES-3226S二層交換機的VLAN的配置過程:
(1)創(chuàng)建VLAN
DES-3226S#Config vlan default delete 1 -24 ?刪除默認VLAN(default)包含的端口1-24''
DES-3226S#Create vlan vlan10 tag 10 ?創(chuàng)建VLAN名為vlan10,并標記VID為10
(2)添加端口到各VLAN
DES-3226S#Config vlan vlan10 add untag 1-24 ?把端口1-24添加到VLAN10
同理���,配置其它DES-3226S二層交換機�。完成以后就可以將各個所屬VLAN的二層交換機與DES-3326SR三層交換機的相應VLAN的端口連接即可。
總結(jié):
本文從小型企業(yè)部署VLAN的經(jīng)濟性原則出發(fā)�����,介紹了在成本支出有限的情況下�����,如何為小型企業(yè)網(wǎng)規(guī)劃VLAN子網(wǎng)并實現(xiàn)高效的VLAN三層交換的案例�。雖然現(xiàn)在百兆的三層交換機價位有點居高不下,千兆三層更貴��,但是�����,只要用心找一找���,還是能找到符合小型企業(yè)需要的經(jīng)濟型三層交換機的。這為我們小企業(yè)部署核心三層交換帶來了可能����。我們也堅信,隨著產(chǎn)能的擴大����,面向中低端的三層交換機將大量普及��。這將為我們規(guī)劃VLAN子網(wǎng)和三層路由����,為企業(yè)建設(shè)一個高效安全的網(wǎng)絡(luò)提供可能���。 |
|
IP卡
狗仔卡
發(fā)表于 2012-7-13 22:48:57
QQ好友和群
收藏
轉(zhuǎn)播
分享
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡