【IT168 专稿】近期在维护中小企业时,发现这些企业对交换机的选择依然停留在过去,完全不考虑企业内网基于不同部门的子网划分,只使用一般百兆交换机,把所有的电脑接起来就行。如果是在ADSL等宽带技术还没有普及之前,企业接入广域网需要专门的企业级传统路由器,如;CISCO 2600系列接入路由器,来接入帧中继(FRAME RELAY)等。而企业要部署VLAN,要具有VLAN划分功能的交换机来与传统路由器配合,由传统路由器来做VLAN间通信的路由,那么面对昂贵的传统路由器,小企业无力承受,这是可以理解的。现在宽带技术普及之后,一般的企业都会选择ADSL或城域网。代替传统路由器做VLAN路由的三层交换机已经出现,基于硬件的路由转发比传统路由器基于软件的路由转发效率更高、更快。
现在企业部署VLAN有了更好的选择,那就是由三层交换机和有VLAN功能的二层接入交换机来配合实现。并且三层交换机的厂家越来越多,市场供应的丰富,使原来价格也高高在上的三层交换机将很快走向平民化,特别是千兆三层交换机在高端市场的普及,促使百兆三层交换机向中低端市场普及,并且价位降到一般中小企业有能力接受的程度。在网络核心部署三层交换对中小企业已不是什么新鲜话题。
划分VLAN子网的好处
VLAN(Virtual Local Area Network)称为虚拟局域网,是指在逻辑上将物理的LAN分成不同小的逻辑子网,每一个逻辑子网就是一个单独的播域。简单地说,就是将一个大的物理的局域网(LAN)在交换机上通过软件划分成若干个小的虚拟的局域网(VLAN)。因为交换机通信的原理就是要通过“广播”来发现通往的目的MAC地址,以便在交换机内部的MAC数据库建立MAC地址表,而广播不能跨越不同网段。通过划分VLAN子网,能划小了广播域,避免了数据碰撞在大的物理LAN内产生严重后果的可能,也避免了广播风暴的产生。提高交换网络的交换效率,保证网络稳定。提高网络安全性,通过划分VLAN,LAN被划分不同子网段,因此不能直接通信。
必要的通信必须经过路由来实现,因此可在路由器(或三层交换机)上配置访问列表来进行跨子网段的授权访问,从而提高企业内部网络访问的安全性。方便网络管理:采用VLAN技术来划分企业网络,一个VLAN可以根据部门、项目组或者服务器组将不同地理位置的工作站划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在子网之间移动,VLAN提供了网段和机构的弹性组合机制。VLAN技术很好的解决了网络管理的问题,能实现网络监督与管理的自动化,从而更有效的进行网络监控。
因为各个子网产生的广播将被限制在小的虚拟局域网内。当LAN中的不同VLAN间进行相互通信时,由于处于不同的IP子网段,不能象原先大的LAN那样直接通信,因此需要路由来转发,这时就需要增加路由设备——要实现路由功能。
三层交换技术
VLAN和路由是孪生兄弟,有VLAN就必有路由。在没有出现三层交换机以前,VLAN间的通信需要昂贵的传统路由器来配合工作。在企业网中,不同VLAN子网之间的通信频繁发生,而路由器是基于软件的路由选择操作,本来效率就不高,如果路由器要对每一个数据包都路由一次,也就是“每次转发,每次路由”,随着需要路由的数据量增大,传统的路由器将不堪重负,于是就成为VLAN之间通信的瓶颈。
三层交换机则把网络通信中的二层交换技术和三层路由(或称三层转发)技术结合在一起,并通过ASIC技术达到线速交换,大幅度提高了设备数据的包转发能力,消除了转发瓶颈。同时通过VLAN划分、高效的组播控制、流策略的管理及访问控制等功能有效保证网络资源的充分利用,切实保证满足各类用户的应用需求。三层交换机在对第一个数据流进行路由后,会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据映射表直接进行二层交换,也就是“一次路由,多次交换”,这样大大提高了数据包转发的效率,因而提高了VLAN网络的整体性能。有了三层交换机,企业做VLAN子网的划分时,设备上的付出就相对经济得多,网络的VLAN间数据路由转发性能更加高效。
中小企业的三层交换部署
从上面我们知道了划分VLAN子网对于一个企业局域网的重要性和必要性,而划分VLAN的必要配套工程,就是要部署三层交换机。目前三层交换机的市场发展,品牌倍出,使我们中小企业也一样可以部署高效安全的VLAN网络。我们选择三层交换机,在网络的核心部署一台summit8三层交换机,接入层则由若干台烽火系列百兆可堆叠二层交换机来担任。通过网络分段,支持IEEE 802.1Q VLAN Tagging的工作站能被分组到不同的VLAN中。支持RIP-1,RIP-2,OSPF路由协议,DVMRP,PIM Dense mode组播路由协议。端口和基于MAC地址的802.1x特性使用户的每次接入请求都能进行认证。多层的访问控制列表(ACL)。支持优先级队列和IP组播(IGMP snooping),服务质量(QoS)能保证成功地完成像视频会议这样的对延迟敏感的应用。支持802.1p优先队列控制,从第二层到第四层的多层信息都能被用来为数据包设置优先级。侦听IGMP,控制广播,交换机动态地配置端口使之把IP组播数据只转发给那些和组播主机相关的端口。SNMPv.1,v.2c,v.3网络管理。能提供RMON监测和SYSLOG以完成有效的中心管理。交换机也提供命令行接口(CLI)和基于Web的GUI。
子网规划及网络拓朴图
VLAN的划分应与IP规划结合起来,使得一个VLAN 接口IP就是对应的子网段就是某个部门的子网段,VLAN接口IP就是一个子网关。VLAN应以部门划分,相同部门的主机IP以VLAN接口IP为依据划归在一个子网范围,同属于一个VLAN。这样不仅在安全上有益,而且更方便网络管理员的管理和监控。注意:各VLAN中的客户机的网关分别对应各VLAN的接口IP。在这企业网中计划规划四个VLAN子网对应着四个重要部门,这也是小企业最普遍的部门结构,分别是:
zhonghebu——综合部;
xiaoshoubu——销售部;
caiwubu——财务部;
shujuzhongxin——数据中心。
划分VLAN以后,要为每一个VLAN配一个“虚拟接口IP地址”。
zhonghebu——192.168.100.1
xiaoshoubu——192.168.200.1
caiwubu——192.168.300.1
shujuzhongxin——192.168.400.1
VLAN及路由配置
1.summit24三层交换机的VLAN的配置过程:
(1)创建VLAN
SUMMIT24#Config vlan default delete port all?删除默认VLAN(default)包含所有的端口''''
SUMMIT24#Create vlan zhonghebu 创建VLAN名为zhonghebu
SUMMIT24#Create vlan zhonghebu tag 100 标记vid为100
SUMMIT24#Create vlan xiaoshoubu 创建VLAN名为 xiaoshoubu
SUMMIT24#Create vlan xiaoshoubu tag 200 并标记VID为200
sUMMIT24#Create vlan caiwubu 创建VLAN名为caiwubu
SUMMIT24#Create vlan zhonghebu tag 300 标记VID为300
SUMMIT24#Create vlan shujuzhongxin 创建VLAN名为 shujuzhongxin
SUMMIT24#Create vlan shujuzhongxin tag 200 并标记VID为400
(2)添加端口到各VLAN
SUMMIT24#Config vlan zhonghebu add untag 1-6 ?把端口1-6添加到zhonghebu
SUMMIT24#Config vlan xiaoshoubu add untag 7-12 ?把端口7-12添加到xiaoshoubu
SUMMIT24#Config vlan caiwubu add untag 13-18 ?把端口13-18添加到caiwubu
SUMMIT24#Config vlan shujuzhongxin add untag 19-24 ?把端口19-24添加到 shujuzhongxin
(3)创建VLAN接口IP
SUMMIT24#Create ipif if100 192.168.100.1/24 zhonghebu state enabled ?创建虑拟的接口if100给名为zhonghebu的VLAN子网,并且指定该接口的IP为192.168.100.1/24。创建后enabled激活该接口。同样方法设置其它的接口IP:
SUMMIT24#Create ipif if200 192.168.200.1/24 xiaoshoubu state enabled
SUMMIT24#Create ipif if300 192.168.300.1/24 caiwubu state enabled
SUMMIT24#Create ipif if400 192.168.400.1/24 shujuzhongxin state enabled
(4)路由
当配置三层交换机的三层功能时,如果只是单台三层交换机,只需要配置各VLAN的虚拟接口就行,不再配路由选择协议。因为一台三层交换机上的虚拟接口会在交换机里以直接路由的身份出现,因此不需要静态路由或动态路由协议的配置,根据上联的三层交换连接不同部门,做出一定的方案,规划好,哪个端口为哪个部门使用,来创建不同业务vlan,并将端口添加到各vlan中。在特权模式下创建如下:
Femgine(config)#vlan 100
Femgine(config-vlan-100)#member 1,2,3,4,5
Femgine(config)#vlan 200
Femgine(config-vlan-200)#member 1,6,7,8
Femgine(config)#vlan 300
Femgine(config-vlan-300)#member 1,9,10,11
Femgine(config)#vlan 400
Femgine(config-vlan-400)#member 1,12,13,14,15
同理,配置其它二层交换机,完成以后就可以将各个所属VLAN的二层交换机与SUMMIT24三层交换机的相应VLAN的端口连接即可。
总结:从中小企业部署VLAN的经济性原则出发,介绍了在成本支出有限的情况下,如何为中小企业网规划VLAN子网并实现高效的VLAN三层交换。虽然现在百兆的三层交换机价位有点居高不下,千兆三层更贵。但是,只要用心找一找,还是能找到符合中小企业需要的经济型三层交换机的。这为中小企业部署核心三层交换带来了可能,提高传输效率带来了希望。我们也坚信,随着网络不断扩大,面向中低端的三层交换机将会大量普及。这将为我们规划VLAN子网和三层路由,为中小企业建设一个高效安全的网络提供可能。
