三層交換機配置疑難解析

摘 要：很多現有關于三層交換配置的教材嚴重混淆交換機、路由器、三層交換機的概念，而且新舊內容混雜，給學習三層交換機配置的學生造成了嚴重混亂。文章對其中的錯誤概念予以澄清，以便學生明明白白的掌握三層交換機的配置方法。

關鍵詞：三層交換；配置；疑難點

1 VLAN和VTP

除了速度的提升，三層交換機的一個特征是支持通過VLAN技術來劃分子網。傳統路由器采用“硬”的方式來劃分子網，路由器的一個端口對應一個子網，這種方式的缺點是子網的劃分受到地理位置的限制，無法實現子網成員的自由分布。而VLAN技術采用“軟”的方式來劃分子網，一個子網可以綁定到多個端口。結合VLAN Trunk Protocol（VLAN信息交換協議，VTP），VLAN技術可以讓VLAN的劃分突破地理位置的限制，實現子網成員的自由分布。

例如在圖1中，微機pc1連接到三層交換機s1的端口p1，微機pc2連接到三層交換機s2的p2端口。只需將p1和p2劃分到同一個VLAN中，就可以讓pc1和pc2成為同一個子網的成員，無論它們是不是在同一個地方。

三層交換機之間必須有一種機制收集整個局域網內的VLAN分布信息。假設在圖1中pc1和pc2都劃分到VLAN1中，那么無論s1還是s2都需要告訴對方自己劃分了VLAN1。這樣，比如當pc1發送VLAN1內的定向廣播，s1就知道需要將此廣播轉發到s2，以便pc2能接收到VLAN1中的定向廣播。VLAN分布信息的收集工作由VTP完成，VTP本質上是種動態路由協議，和傳統動態路由協議的區別只是一個收集的是傳統子網分布的信息，另一個收集的是VLAN分布的信息。

實際當中要開啟VTP，只需將三層交換機的級聯（互聯）口設置為VLAN Trunk模式即可。而且VTP協議是高度自動化的，除了特殊情況，設置級聯口為VLAN Trunk模式之后，無需進行額外配置。

2 路由器和三層交換機配置的主要區別

由于在傳統路由器中，端口和子網之間是“一對一”的關系，所以在傳統路由器中配置子網是在對應的物理端口上完成的。假設路由器端口f1/1連接到子網192.168.1.0/24，只需如下配置（以cisco設備為例）：

interface f1/1

ip address 192.168.1.0 255.255.255.0

配置子網簡化為給對應端口設置一個ip地址和子網掩碼。

三層交換機則不能如此簡化處理，而需分三步走：

a.定義VLAN

VLAN 1

b.給VLAN配置ip地址

interface VLAN1

ip address 192.168.1.0 255.255.255.0

c.將端口綁定要VLAN

interface f1/1

switchport access vlan 1

interface f1/2

switchport access vlan 1

上面的腳本定義了VLAN1并將端口f1/1、f1/2加入了VLAN1

對于比較大的局域網可能要配置路由。如果采用傳統路由器劃分子網，可以開啟RIP，OSPF來開啟動態路由。如果采用三層交換機來劃分子網，只需開啟VTP即可。

interface f1/1

switchport mode trunk

上面的腳本將端口f1/1設置為trunk模式。

除了子網劃分，三層交換機和傳統路由器在和子網有關的配置也存在類似的區別。比如傳統路由器配置ACL，對某個子網過濾數據，可以將ACL應用到路由器某個物理端口上，但如果使用VLAN劃分子網，ACL需要應用到VLAN上。

傳統路由器：

interface f1/1

ip access-group 1 in

三層交換機：

interface vlan1

ip acess-group 1 in

總結一下就是，當定義好一個VLAN（比如VLAN 1）后，三層交換機會生成一個虛擬接口（比如interface VLAN1），和VLAN有關的配置全部在這個虛擬接口下完成。而傳統路由器，和子網有關配置是在對應物理接口下完成的。這一點，大家尤其要注意。

3 三層交換機物理端口工作模式

共有四種：

a.Access模式

這是三層交換機物理端口的標準工作模式，用于綁定到一個VLAN。一般采用802.1q幀封裝數據。

b.Trunk模式

只用于級聯口，在級聯口上開啟VTP。

c.傳統交換模式

傳統交換模式下，物理端口和普通交換機（二層交換機）的端口一樣工作，不支持VLAN。采用普通的以太網幀來封裝數據。要注意的是不能直接將端口設置為傳統交換模式，正確的方法是將這類端口統一劃分到一個VLAN中去，并將這個VLAN關閉。比如：

interface vlan1

shutdown

加入VLAN 1的端口便會以傳統交換模式工作。實際上，未配置的三層交換機默認所有端口屬于VLAN 1，而且VLAN 1默認也是shutdown的，此時三層交換機類似一個大的二層交換機。

d.傳統路由模式

VLAN雖然有不少優點，但只適用于局域網。廣域網互聯依然要采用傳統子網的方式。如果三層交換機要接入internet（比如上級ISP），須將接入internet的端口設置為傳統路由模式，并配置路由。

interface f1/1

no switchport

上面腳本將物理端口f1/1設置為傳統路由模式。對于工作在傳統路由器模式下的端口，應按照傳統路由器的方式進行配置。

4. 2.5層交換機

考慮到三層交換機比較昂貴，在三層交換機的基礎上衍生出來2.5層交換機。2.5層交換機同樣支持VLAN，只是不支持VLAN之間的數據交換（路由）。一般局域網組網，網絡中心使用大型三層交換機，而各個樓棟可以使用小型2.5層交換機。兩類交換機協同工作，2.5層交換機負責VLAN劃分，3層交換機主要負責VLAN之間數據路由。

在圖2中s1是2.5層交換機，s2是三層交換機，pc1屬于VLAN 1，pc2屬于VLAN 2。雖然pc1和pc2連接到同一個交換機s1，但是pc1和pc2并不能直接通過s1通信。比如pc1到pc2的數據，首先要經s1 trunk到s2→由s2從VLAN1路由到VLAN2→路由到VLAN2的數據trunk回s1→再由s1轉發到pc2。

s2和s1一樣要定義VLAN 1和VLAN 2，并且要為VLAN 1和VLAN 2配置ip地址，它們分別是VLAN 1和VLAN 2的網關地址。pc1和pc2需要在IP協議的配置當中按照s2的配置的VLAN ip地址配置好各自的默認網關。

要注意的是s1同樣可以為VLAN 1和VLAN 2配置ip地址，但是由于s1沒有路由能力，pc1和pc2不可將默認網關指向s1配置的VLAN ip地址。給2.5層交換機配置VLAN的ip地址只是相當于給主機配置ip地址，可以用于遠程管理2.5層交換機。為了使2.5層交換機的ip地址可訪問，同樣和配置主機IP協議一樣需要設置默認網關，指向三層交換機配置的VLAN ip地址。方法如下（A.B.C.D代表VLAN網關地址）：

ip default-gateway A.B.C.D

參考文獻

[1]思科系統公司.思科7600系列路由器IOS軟件配置指南.

[2]劉文林，李梅，李洪.組網工程[M].北京：北京郵電大學出版社， 2009（10）.