三層交換機中VLAN技術的運用實踐探究

◆李景宇 劉曉華 謝旭生

（張家口市氣象局 河北 075000）

0 引言

在新時期下，網絡規模不斷增大，這也促進了業務流的變化，人們對網絡傳輸要求逐漸提高，其中，以太網由于耗能低、傳輸效率高、安裝方便等優勢，已經成為網絡首選。在早期信息網絡中，由于以太網技術是采用共享通道，如果站點數量增加，則會出現信息沖突以及廣播風暴，對網絡性能造成極大影響。這也促進了VLAN技術的出現，該項技術采用了細分邏輯子網，縮小了廣播領域，隔離了廣播、多播信息在VLAN中的傳遞，用戶可以靈活地對網絡進行配置，有效地提升了網絡傳播效率，實用性非常強。

1 VLAN的技術原理

1.1 VLAN概念

VLAN技術主要是以交換網絡作為基礎，通過網絡管理軟件跨越不同網段、網絡端到端的邏輯網絡。在VLAN使用中，用戶可以結合不同地理位置將用戶、工作站分為一組，構建一個虛擬網絡拓撲結構，這樣在VLAN中構建不同的計算機工作站，由于不需要考慮計算機的具體位置，所以 VLAN內部的工作站能夠實現交換機跨越，此外，一個硬件設備當中能夠劃分出多個VLAN。VLAN內部廣播不會對其他VLAN造成影響，可以有效控制流量、提升信息傳播速度、降低硬件投資。

1.2 三層交換機的路由與交換

由于VLAN之間保持著獨立性，所以流量無法實現跨越，這就要采用路由設備。路由可以將一個 VLAN中的報文傳輸到另一個VLAN當中。傳統路由器無法實現這種功能，這就需要采用三層交換機。作為路由、交換技術融合的產物，在三層交換機施工當中，對一個數據進行路由后可以產生一個IP和Mac地址，如果出現了同樣數據后，則數據信息就會進入到第二層，這樣即可降低網絡延遲，絕大部分數據通過第二層交換處理后可以大大提升數據包傳輸率，滿足用戶使用需求。

2 三層交換機中VLAN技術的運用

2.1 網絡拓撲結構分析

一般情況下，很多公司的網絡結構都是由核心層、匯聚層、連接三構成，是一種多層組合模式。采用三層交換技術、VLAN技術、路由技術構建綜合網絡平臺。主干網為千兆以太網，主干線為雙路千兆寬帶。系統采用了以太網交換機、網絡接入交換機、匯聚層交換的骨干網絡，來實現高速寬帶連接。此外，應用多元化的寬帶連接方法，甚至可以將 10MB/100MB交換到桌面，實現高速連接。

2.2 交換機類型、交換技術應用

（1）核心層

作為整個網絡系統的核心，需要選擇大型核心網絡路由器作為核心路由，二級接入層的接入口為千兆上聯端口。核心網絡路由交換機應用了模塊設計方案，能夠實現32個千兆端口同時配置，具有2-7層48Mpps全線速包轉發率，并根據匯聚路由交換機、接入交換機，構建智能、有效的多層級交換網絡。

（2）接入層、連接層

將千兆網絡作為核心，讓不同區域接入層的交換機連接起來，不同工作組交換機間網管系統堆疊，實施監控網絡，整合不同地理位置交換機的邏輯結構。交換機中要確保可以同時構建256個VLAN，確保整個VLAN系統的使用性能，提升數據信息的安全性，將數據信息有效傳輸到指定的VLAN工作站。這種方法與虛擬防火墻網絡與端口形式類似，可以減少信息傳播時間。

2.3 設置路由表

對于三層交換機間中的 VLAN來說，可以自動轉發子網絡之間的路由，如果用戶或企業網絡需要聯通互聯網，則網絡管理人員還需要設置缺省路由。在核心三層交換機當中設置路由，并采用遠程管理將各個VLAN進行分配。

2.4 網絡安全設置

安全設置工作就是在路由器中構建訪問限制列表，可以自動關閉黑客攻擊的端口，從而降低病毒、木馬侵入概率。如在IntelsSwitch480T(CISC03750)三層交換機當中，交換機一側端口連接到互聯網端口中，而關閉TCP445只需要輸入createaccesslistdeny100tcpdestinationanyip-port445sourceanyip

portanydenyportsl即可。這樣即可通過關閉端口保證阻止了絕大部分病毒的侵入，進而確保整個網絡系統的安全性。

2.5 VLAN子網劃分

采用端口聯合三層協議的方法進行 VLAN子網劃分，把權限、職能相同的用戶劃分到VLAN子網當中，限制流量的進出與跨越，這樣可以提高管理效率和信息交流效率。此外，每個VLAN子網當中都要選擇合適的掩碼，以提升 IP地址資源的使用率。不同端口之間都要設置指定的VLAN，這樣非授權用戶訪問就會被禁止或受到限制。

3 VLAN的應用案例

下面以某型號24口百兆三層交換機為案例，闡述VLAN的應用。

3.1 環境配置

該三層交換機switch1中1、2、3端口、switch2中1、2、3端口采用Untagged方式的VLAN1，同時VLAN1中tag值為10。Switch1端口4、5、6與switch2端口4、5、6采用Untagged的VLAN2，將VLAN2的tag值設置為20。這兩臺交換機采用第24端口連接，并且給兩臺switch第24端口設置為taggde端口，數值分別為設置為10和20。

3.2 數據流

整個系統當中包含兩個終端，分別為PC1和PC2，PC1為普通PC，沒有以太網卡，所以其只能發射沒有tag值的以太網數據幀。在switch1接收到這個信號之后可以插入一個tag值，數值為10。交換機會自動查找本機FDB表，如果沒有表項，則交換機會直接把數據傳遞到第24端口中，由于24端口是tagged方式，屬于VLAN1，所以能夠有效送達數據幀。

Switch1通過第24端口把數據幀專遞到switch2當中，此時數據幀帶有tag標記。Switch2受到數據之后會結合tag值標記內容轉發，也就是會在數據幀tag值10的VLAN當中轉發。Switch2結合FDB地址表項轉發，PC2連接switch2端口以Untagged方式是 VLAN1，所以數據傳輸到端口后 ，交換機會將數據幀的tag10數值去掉，這樣PC2即可接收到數據幀。

3.3 配置VLAN

在默認設置情況下，三層交換機能夠自動添加所需 VLAN，通過相關命令創建一個普通VLAN。普通端口以Untagged方式加入VLAN中，中繼端口需要按照支持IEEE 802.1Q網卡主機端口配置成為tagged端口。用戶通過命令即可在VLAN當中添加端口。三層交換機需要在同一臺交換機當中，不同的VLAN配置不同的網段、IP地質、子網掩碼，這樣才能夠保證每個VLAN的獨立性。在主機上配置主機默認開關，默認網關要指向VLAN三層交換機當中接口地址。上述配置環節全部完成之后，即可采用ping等工具對網絡連通性展開測試，測試完畢后完成配置。

4 結束語

綜上所述，隨著人們對網絡的需求不斷提升，在三層交換機不斷發展的背景下，人們對VLAN技術愈加關注，由于其不僅能夠在局域網當中使用WAN、MAN等交換網絡，還能夠有效解決廣播風暴以及網絡安全性等問題，所以市場前景十分廣泛。在近些年發展當中，VLAN的應用十分廣泛，在企業、校園網、城市局域網、智能小區都有所涉及，并且還有很大的發展空間，值得進一步加深研究。