三層交換機(jī)配置疑難解析

摘 要：很多現(xiàn)有關(guān)于三層交換配置的教材嚴(yán)重混淆交換機(jī)、路由器、三層交換機(jī)的概念，而且新舊內(nèi)容混雜，給學(xué)習(xí)三層交換機(jī)配置的學(xué)生造成了嚴(yán)重混亂。文章對(duì)其中的錯(cuò)誤概念予以澄清，以便學(xué)生明明白白的掌握三層交換機(jī)的配置方法。

關(guān)鍵詞：三層交換；配置；疑難點(diǎn)

1 VLAN和VTP

除了速度的提升，三層交換機(jī)的一個(gè)特征是支持通過VLAN技術(shù)來劃分子網(wǎng)。傳統(tǒng)路由器采用“硬”的方式來劃分子網(wǎng)，路由器的一個(gè)端口對(duì)應(yīng)一個(gè)子網(wǎng)，這種方式的缺點(diǎn)是子網(wǎng)的劃分受到地理位置的限制，無法實(shí)現(xiàn)子網(wǎng)成員的自由分布。而VLAN技術(shù)采用“軟”的方式來劃分子網(wǎng)，一個(gè)子網(wǎng)可以綁定到多個(gè)端口。結(jié)合VLAN Trunk Protocol（VLAN信息交換協(xié)議，VTP），VLAN技術(shù)可以讓VLAN的劃分突破地理位置的限制，實(shí)現(xiàn)子網(wǎng)成員的自由分布。

例如在圖1中，微機(jī)pc1連接到三層交換機(jī)s1的端口p1，微機(jī)pc2連接到三層交換機(jī)s2的p2端口。只需將p1和p2劃分到同一個(gè)VLAN中，就可以讓pc1和pc2成為同一個(gè)子網(wǎng)的成員，無論它們是不是在同一個(gè)地方。

三層交換機(jī)之間必須有一種機(jī)制收集整個(gè)局域網(wǎng)內(nèi)的VLAN分布信息。假設(shè)在圖1中pc1和pc2都劃分到VLAN1中，那么無論s1還是s2都需要告訴對(duì)方自己劃分了VLAN1。這樣，比如當(dāng)pc1發(fā)送VLAN1內(nèi)的定向廣播，s1就知道需要將此廣播轉(zhuǎn)發(fā)到s2，以便pc2能接收到VLAN1中的定向廣播。VLAN分布信息的收集工作由VTP完成，VTP本質(zhì)上是種動(dòng)態(tài)路由協(xié)議，和傳統(tǒng)動(dòng)態(tài)路由協(xié)議的區(qū)別只是一個(gè)收集的是傳統(tǒng)子網(wǎng)分布的信息，另一個(gè)收集的是VLAN分布的信息。

實(shí)際當(dāng)中要開啟VTP，只需將三層交換機(jī)的級(jí)聯(lián)（互聯(lián)）口設(shè)置為VLAN Trunk模式即可。而且VTP協(xié)議是高度自動(dòng)化的，除了特殊情況，設(shè)置級(jí)聯(lián)口為VLAN Trunk模式之后，無需進(jìn)行額外配置。

2 路由器和三層交換機(jī)配置的主要區(qū)別

由于在傳統(tǒng)路由器中，端口和子網(wǎng)之間是“一對(duì)一”的關(guān)系，所以在傳統(tǒng)路由器中配置子網(wǎng)是在對(duì)應(yīng)的物理端口上完成的。假設(shè)路由器端口f1/1連接到子網(wǎng)192.168.1.0/24，只需如下配置（以cisco設(shè)備為例）：

interface f1/1

ip address 192.168.1.0 255.255.255.0

配置子網(wǎng)簡(jiǎn)化為給對(duì)應(yīng)端口設(shè)置一個(gè)ip地址和子網(wǎng)掩碼。

三層交換機(jī)則不能如此簡(jiǎn)化處理，而需分三步走：

a.定義VLAN

VLAN 1

b.給VLAN配置ip地址

interface VLAN1

ip address 192.168.1.0 255.255.255.0

c.將端口綁定要VLAN

interface f1/1

switchport access vlan 1

interface f1/2

switchport access vlan 1

上面的腳本定義了VLAN1并將端口f1/1、f1/2加入了VLAN1

對(duì)于比較大的局域網(wǎng)可能要配置路由。如果采用傳統(tǒng)路由器劃分子網(wǎng)，可以開啟RIP，OSPF來開啟動(dòng)態(tài)路由。如果采用三層交換機(jī)來劃分子網(wǎng)，只需開啟VTP即可。

interface f1/1

switchport mode trunk

上面的腳本將端口f1/1設(shè)置為trunk模式。

除了子網(wǎng)劃分，三層交換機(jī)和傳統(tǒng)路由器在和子網(wǎng)有關(guān)的配置也存在類似的區(qū)別。比如傳統(tǒng)路由器配置ACL，對(duì)某個(gè)子網(wǎng)過濾數(shù)據(jù)，可以將ACL應(yīng)用到路由器某個(gè)物理端口上，但如果使用VLAN劃分子網(wǎng)，ACL需要應(yīng)用到VLAN上。

傳統(tǒng)路由器：

interface f1/1

ip access-group 1 in

三層交換機(jī)：

interface vlan1

ip acess-group 1 in

總結(jié)一下就是，當(dāng)定義好一個(gè)VLAN（比如VLAN 1）后，三層交換機(jī)會(huì)生成一個(gè)虛擬接口（比如interface VLAN1），和VLAN有關(guān)的配置全部在這個(gè)虛擬接口下完成。而傳統(tǒng)路由器，和子網(wǎng)有關(guān)配置是在對(duì)應(yīng)物理接口下完成的。這一點(diǎn)，大家尤其要注意。

3 三層交換機(jī)物理端口工作模式

共有四種：

a.Access模式

這是三層交換機(jī)物理端口的標(biāo)準(zhǔn)工作模式，用于綁定到一個(gè)VLAN。一般采用802.1q幀封裝數(shù)據(jù)。

b.Trunk模式

只用于級(jí)聯(lián)口，在級(jí)聯(lián)口上開啟VTP。

c.傳統(tǒng)交換模式

傳統(tǒng)交換模式下，物理端口和普通交換機(jī)（二層交換機(jī)）的端口一樣工作，不支持VLAN。采用普通的以太網(wǎng)幀來封裝數(shù)據(jù)。要注意的是不能直接將端口設(shè)置為傳統(tǒng)交換模式，正確的方法是將這類端口統(tǒng)一劃分到一個(gè)VLAN中去，并將這個(gè)VLAN關(guān)閉。比如：

interface vlan1

shutdown

加入VLAN 1的端口便會(huì)以傳統(tǒng)交換模式工作。實(shí)際上，未配置的三層交換機(jī)默認(rèn)所有端口屬于VLAN 1，而且VLAN 1默認(rèn)也是shutdown的，此時(shí)三層交換機(jī)類似一個(gè)大的二層交換機(jī)。

d.傳統(tǒng)路由模式

VLAN雖然有不少優(yōu)點(diǎn)，但只適用于局域網(wǎng)。廣域網(wǎng)互聯(lián)依然要采用傳統(tǒng)子網(wǎng)的方式。如果三層交換機(jī)要接入internet（比如上級(jí)ISP），須將接入internet的端口設(shè)置為傳統(tǒng)路由模式，并配置路由。

interface f1/1

no switchport

上面腳本將物理端口f1/1設(shè)置為傳統(tǒng)路由模式。對(duì)于工作在傳統(tǒng)路由器模式下的端口，應(yīng)按照傳統(tǒng)路由器的方式進(jìn)行配置。

4. 2.5層交換機(jī)

考慮到三層交換機(jī)比較昂貴，在三層交換機(jī)的基礎(chǔ)上衍生出來2.5層交換機(jī)。2.5層交換機(jī)同樣支持VLAN，只是不支持VLAN之間的數(shù)據(jù)交換（路由）。一般局域網(wǎng)組網(wǎng)，網(wǎng)絡(luò)中心使用大型三層交換機(jī)，而各個(gè)樓棟可以使用小型2.5層交換機(jī)。兩類交換機(jī)協(xié)同工作，2.5層交換機(jī)負(fù)責(zé)VLAN劃分，3層交換機(jī)主要負(fù)責(zé)VLAN之間數(shù)據(jù)路由。

在圖2中s1是2.5層交換機(jī)，s2是三層交換機(jī)，pc1屬于VLAN 1，pc2屬于VLAN 2。雖然pc1和pc2連接到同一個(gè)交換機(jī)s1，但是pc1和pc2并不能直接通過s1通信。比如pc1到pc2的數(shù)據(jù)，首先要經(jīng)s1 trunk到s2→由s2從VLAN1路由到VLAN2→路由到VLAN2的數(shù)據(jù)trunk回s1→再由s1轉(zhuǎn)發(fā)到pc2。

s2和s1一樣要定義VLAN 1和VLAN 2，并且要為VLAN 1和VLAN 2配置ip地址，它們分別是VLAN 1和VLAN 2的網(wǎng)關(guān)地址。pc1和pc2需要在IP協(xié)議的配置當(dāng)中按照s2的配置的VLAN ip地址配置好各自的默認(rèn)網(wǎng)關(guān)。

要注意的是s1同樣可以為VLAN 1和VLAN 2配置ip地址，但是由于s1沒有路由能力，pc1和pc2不可將默認(rèn)網(wǎng)關(guān)指向s1配置的VLAN ip地址。給2.5層交換機(jī)配置VLAN的ip地址只是相當(dāng)于給主機(jī)配置ip地址，可以用于遠(yuǎn)程管理2.5層交換機(jī)。為了使2.5層交換機(jī)的ip地址可訪問，同樣和配置主機(jī)IP協(xié)議一樣需要設(shè)置默認(rèn)網(wǎng)關(guān)，指向三層交換機(jī)配置的VLAN ip地址。方法如下（A.B.C.D代表VLAN網(wǎng)關(guān)地址）：

ip default-gateway A.B.C.D

參考文獻(xiàn)

[1]思科系統(tǒng)公司.思科7600系列路由器IOS軟件配置指南.

[2]劉文林，李梅，李洪.組網(wǎng)工程[M].北京：北京郵電大學(xué)出版社， 2009（10）.