三層交換機實現VLAN間的路由

陳燕

摘 要 在很多校園網中，為了保證網絡安全，在各部門間都設置了VLAN，為了實現部門間數據共享和通信安全，通常利用三層交換機實現校園網中各部門相互訪問，文章用實例說明如何實現校園網中VLAN的互相通信。

關鍵詞 三層交換機；路由；VLAN

中圖分類號：TN915.05 文獻標識碼：A 文章編號：1671-7597（2014）14-0067-02

VLAN （ Virtual Local Area Network）即虛擬局域網，是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。虛擬網絡是在整個網絡中通過網絡交換設備建立的虛擬工作組。虛擬網在邏輯上等于OSI模型的第三層的廣播域，與具體的物理網及地理位置無關，虛擬工作組可以包含不同位置的部門和工作組，不必在物理上重新配置任何端口，真正實現了網絡用戶與它們的物理位置無關。它以其高速、靈活、管理簡便和擴充容易得到了廣泛應用。一方面，VLAN建立在局域網交換機的基礎之上；另一個方面，VLAN是局域交換網的靈魂。VLAN用戶能方便的在網絡中移動和快捷的組建寬帶網絡，而無需改變任何硬件和通信線路。網絡管理員能從邏輯上對用戶和網絡資源進行分配，而無需考慮物理連接方式。通過劃分虛擬局域網，可以把廣播限制在各個虛擬局域網的范圍內，從而減少整個網絡范圍內廣播包的傳輸，提高網絡的傳輸效率；同時各個虛擬局域網之間不能直接進行通信，而必須通過路由器轉發，為高級的安全控制提供了可能，增強了網絡的安全性。VLAN的出現打破了傳統網絡固有的觀念，使網絡結構變得靈活、方便。

在某些校園網中為了解決廣播風暴，采用虛擬局域網技術，不僅能提高網絡傳輸的效率，還提高了網絡中信息的安全性。但是在使用過程中通常也會感到不方便，在幾個部門之間需需要共享資源，而VLAN的設置使得不在同一VLAN的部門間網絡不通暢，為了實現網絡資源的共享，同時為了保證網絡安全，采用三層交換機實現。

三層交換是相對于傳統交換概念的。三層交換技術在網絡模型中的第三層實現了分組的高速轉發。簡言之，三層交換技術就是“二層交換技術+三層轉發”。三層交換技術的出現，解決了傳統連路由器低速、復雜所造成的網絡瓶頸問題。三層交換機可以看成是一個帶有第三層路由功能的二層交換機，但它是二者的有機結合，而非簡單地把路由設置的硬件和軟件疊加到在局域網的交換機上。

傳統路由要求路由器具有多個物理接口，以便進行LAN間的路由。路由器通過每個物理接口連接到唯一的VLAN，從而實現路由。通常利用單臂路由實現VLAN間的路由，但是路由器的轉發速率較慢，常常不能滿足主干網絡上的快速交換的需求，三層交換機通常采用硬件來實現三層的交換，器路由數據包的速率是普通路由器的幾十倍。

三層交換機具備網絡層的功能，實現VLAN相互訪問的原理是：利用三層交際的路由功能，通過識數據包的IP地址，查找路由表進行選路轉發，三層交換機利用直連路由可以實現不同VLAN之間的相互訪問。三層交換機給接口配置IP地址，采用交換虛擬接口的方式實現VLAN間互連。SVI是指為交換機中的VLAN創建虛擬接口，并且配置IP地址。

交換機的一個端口通常只能傳輸一個VLAN的信息，當要在一個端口上傳輸多個VLAN的信息時，如級連端口，需創建Trunking。Trunking技術允許多個VLAN的信息從一條電纜上通過，相當于在一條物理連接上綁定了多條邏輯鏈路，可以起到節約資源、簡化拓撲等作用.VLAN Trunking。主要有兩種

協議：

1）IEEE 802.1Q Trunking協議：國際標準，得到所有廠家支持。

2）Cisco私有的ISL協議：只在部分Cisco設備上支持這兩種協議完全不兼容，在有非Cisco設備的交換環境下必須采用802.1Q的Trunking協議。

EtherChannel（以太通道）是由Cisco公司開發的應用于交換機之間、交換機與路由器之間以及交換機與服務器之間的多鏈路技術，它可以將兩個設備間的多條快速以太或千兆以太物理鏈路捆綁成一條邏輯鏈路，從而達到帶寬倍增、負載均衡、路徑冗余的目的。EtherChannel通常用于網絡的主干，一個EtherChannel最多可由8個物理端口組成，構成EtherChannel的端口必須配置成相同的特性，如雙工模式、Trunking狀態和類型等。

以上圖拓撲為例，某學院有3個二級院校（A＼B＼C），為了安全和便于管理進行了VLAN的劃分，為了實現二級院校的主機能夠相互訪問，獲得相應的資源，二級院校的交換機通過一臺三層交換機（中心）進行連接。在圖中，PC11＼PC12同屬于VLAN10，PC21＼PC22同屬于VLAN20，PC21＼PC32同屬于VLAN30，處于相同VLAN中的主機是可以互相訪問的，但是不同VLAN中的主機不能相互訪問，利用三層交換機（中心：center）上的路由功能，就可實現不同VLAN中主機的互訪。需要做以下幾方面的配置。

1）在各交換機上設置VTP。

2）在“中心”交換機上配置VLAN。

3）在各交換機上配置中繼。

4）將二級學院中的交換機端口劃入相對應的VLAN中。

5）配置三層交換機。

到這里各設備設置已經基本完成。在檢驗電腦之間能否互相ping通前首先要查看“Center”三層交換機的路由表，輸入center#show ip route命令，查看是否有到不同Vlan間的直連路由。通過以上幾個步驟，即可利用三層交換機實現校園網中各VLAN之間的訪問。

參考文獻

[1]王建文.三層交換機基于VLAN的組播實現[J].計算機系統應用，2010，19（11）.

[2]崔東梅.三層交換機組網中VLANIP設置技巧[J].中國有線電視，2012（09）.

[3]楊天奇.開啟三層交換機端口的路由功能[J].辦公自動化，2008（18）.

[4]唐燈平.利用三層交換機實現VLAN間通信[J].電腦知識與技術，2009（6）.

[5]于占虎.三層交換機中VLAN間通信的設置方法[J].遼寧師專學報，2009（9）.endprint