陳燕

摘 要 在很多校園網(wǎng)中，為了保證網(wǎng)絡(luò)安全，在各部門間都設(shè)置了VLAN，為了實(shí)現(xiàn)部門間數(shù)據(jù)共享和通信安全，通常利用三層交換機(jī)實(shí)現(xiàn)校園網(wǎng)中各部門相互訪問，文章用實(shí)例說明如何實(shí)現(xiàn)校園網(wǎng)中VLAN的互相通信。

關(guān)鍵詞 三層交換機(jī)；路由；VLAN

中圖分類號：TN915.05 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-7597（2014）14-0067-02

VLAN （ Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。虛擬網(wǎng)絡(luò)是在整個(gè)網(wǎng)絡(luò)中通過網(wǎng)絡(luò)交換設(shè)備建立的虛擬工作組。虛擬網(wǎng)在邏輯上等于OSI模型的第三層的廣播域，與具體的物理網(wǎng)及地理位置無關(guān)，虛擬工作組可以包含不同位置的部門和工作組，不必在物理上重新配置任何端口，真正實(shí)現(xiàn)了網(wǎng)絡(luò)用戶與它們的物理位置無關(guān)。它以其高速、靈活、管理簡便和擴(kuò)充容易得到了廣泛應(yīng)用。一方面，VLAN建立在局域網(wǎng)交換機(jī)的基礎(chǔ)之上；另一個(gè)方面，VLAN是局域交換網(wǎng)的靈魂。VLAN用戶能方便的在網(wǎng)絡(luò)中移動(dòng)和快捷的組建寬帶網(wǎng)絡(luò)，而無需改變?nèi)魏斡布屯ㄐ啪€路。網(wǎng)絡(luò)管理員能從邏輯上對用戶和網(wǎng)絡(luò)資源進(jìn)行分配，而無需考慮物理連接方式。通過劃分虛擬局域網(wǎng)，可以把廣播限制在各個(gè)虛擬局域網(wǎng)的范圍內(nèi)，從而減少整個(gè)網(wǎng)絡(luò)范圍內(nèi)廣播包的傳輸，提高網(wǎng)絡(luò)的傳輸效率；同時(shí)各個(gè)虛擬局域網(wǎng)之間不能直接進(jìn)行通信，而必須通過路由器轉(zhuǎn)發(fā)，為高級的安全控制提供了可能，增強(qiáng)了網(wǎng)絡(luò)的安全性。VLAN的出現(xiàn)打破了傳統(tǒng)網(wǎng)絡(luò)固有的觀念，使網(wǎng)絡(luò)結(jié)構(gòu)變得靈活、方便。

在某些校園網(wǎng)中為了解決廣播風(fēng)暴，采用虛擬局域網(wǎng)技術(shù)，不僅能提高網(wǎng)絡(luò)傳輸?shù)男?，還提高了網(wǎng)絡(luò)中信息的安全性。但是在使用過程中通常也會感到不方便，在幾個(gè)部門之間需需要共享資源，而VLAN的設(shè)置使得不在同一VLAN的部門間網(wǎng)絡(luò)不通暢，為了實(shí)現(xiàn)網(wǎng)絡(luò)資源的共享，同時(shí)為了保證網(wǎng)絡(luò)安全，采用三層交換機(jī)實(shí)現(xiàn)。

三層交換是相對于傳統(tǒng)交換概念的。三層交換技術(shù)在網(wǎng)絡(luò)模型中的第三層實(shí)現(xiàn)了分組的高速轉(zhuǎn)發(fā)。簡言之，三層交換技術(shù)就是“二層交換技術(shù)+三層轉(zhuǎn)發(fā)”。三層交換技術(shù)的出現(xiàn)，解決了傳統(tǒng)連路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問題。三層交換機(jī)可以看成是一個(gè)帶有第三層路由功能的二層交換機(jī)，但它是二者的有機(jī)結(jié)合，而非簡單地把路由設(shè)置的硬件和軟件疊加到在局域網(wǎng)的交換機(jī)上。

傳統(tǒng)路由要求路由器具有多個(gè)物理接口，以便進(jìn)行LAN間的路由。路由器通過每個(gè)物理接口連接到唯一的VLAN，從而實(shí)現(xiàn)路由。通常利用單臂路由實(shí)現(xiàn)VLAN間的路由，但是路由器的轉(zhuǎn)發(fā)速率較慢，常常不能滿足主干網(wǎng)絡(luò)上的快速交換的需求，三層交換機(jī)通常采用硬件來實(shí)現(xiàn)三層的交換，器路由數(shù)據(jù)包的速率是普通路由器的幾十倍。

三層交換機(jī)具備網(wǎng)絡(luò)層的功能，實(shí)現(xiàn)VLAN相互訪問的原理是：利用三層交際的路由功能，通過識數(shù)據(jù)包的IP地址，查找路由表進(jìn)行選路轉(zhuǎn)發(fā)，三層交換機(jī)利用直連路由可以實(shí)現(xiàn)不同VLAN之間的相互訪問。三層交換機(jī)給接口配置IP地址，采用交換虛擬接口的方式實(shí)現(xiàn)VLAN間互連。SVI是指為交換機(jī)中的VLAN創(chuàng)建虛擬接口，并且配置IP地址。

交換機(jī)的一個(gè)端口通常只能傳輸一個(gè)VLAN的信息，當(dāng)要在一個(gè)端口上傳輸多個(gè)VLAN的信息時(shí)，如級連端口，需創(chuàng)建Trunking。Trunking技術(shù)允許多個(gè)VLAN的信息從一條電纜上通過，相當(dāng)于在一條物理連接上綁定了多條邏輯鏈路，可以起到節(jié)約資源、簡化拓?fù)涞茸饔?VLAN Trunking。主要有兩種

協(xié)議：

1）IEEE 802.1Q Trunking協(xié)議：國際標(biāo)準(zhǔn)，得到所有廠家支持。

2）Cisco私有的ISL協(xié)議：只在部分Cisco設(shè)備上支持這兩種協(xié)議完全不兼容，在有非Cisco設(shè)備的交換環(huán)境下必須采用802.1Q的Trunking協(xié)議。

EtherChannel（以太通道）是由Cisco公司開發(fā)的應(yīng)用于交換機(jī)之間、交換機(jī)與路由器之間以及交換機(jī)與服務(wù)器之間的多鏈路技術(shù)，它可以將兩個(gè)設(shè)備間的多條快速以太或千兆以太物理鏈路捆綁成一條邏輯鏈路，從而達(dá)到帶寬倍增、負(fù)載均衡、路徑冗余的目的。EtherChannel通常用于網(wǎng)絡(luò)的主干，一個(gè)EtherChannel最多可由8個(gè)物理端口組成，構(gòu)成EtherChannel的端口必須配置成相同的特性，如雙工模式、Trunking狀態(tài)和類型等。

以上圖拓?fù)錇槔?，某學(xué)院有3個(gè)二級院校（A＼B＼C），為了安全和便于管理進(jìn)行了VLAN的劃分，為了實(shí)現(xiàn)二級院校的主機(jī)能夠相互訪問，獲得相應(yīng)的資源，二級院校的交換機(jī)通過一臺三層交換機(jī)（中心）進(jìn)行連接。在圖中，PC11＼PC12同屬于VLAN10，PC21＼PC22同屬于VLAN20，PC21＼PC32同屬于VLAN30，處于相同VLAN中的主機(jī)是可以互相訪問的，但是不同VLAN中的主機(jī)不能相互訪問，利用三層交換機(jī)（中心：center）上的路由功能，就可實(shí)現(xiàn)不同VLAN中主機(jī)的互訪。需要做以下幾方面的配置。

1）在各交換機(jī)上設(shè)置VTP。

2）在“中心”交換機(jī)上配置VLAN。

3）在各交換機(jī)上配置中繼。

4）將二級學(xué)院中的交換機(jī)端口劃入相對應(yīng)的VLAN中。

5）配置三層交換機(jī)。

到這里各設(shè)備設(shè)置已經(jīng)基本完成。在檢驗(yàn)電腦之間能否互相ping通前首先要查看“Center”三層交換機(jī)的路由表，輸入center#show ip route命令，查看是否有到不同Vlan間的直連路由。通過以上幾個(gè)步驟，即可利用三層交換機(jī)實(shí)現(xiàn)校園網(wǎng)中各VLAN之間的訪問。

參考文獻(xiàn)

[1]王建文.三層交換機(jī)基于VLAN的組播實(shí)現(xiàn)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2010，19（11）.

[2]崔東梅.三層交換機(jī)組網(wǎng)中VLANIP設(shè)置技巧[J].中國有線電視，2012（09）.

[3]楊天奇.開啟三層交換機(jī)端口的路由功能[J].辦公自動(dòng)化，2008（18）.

[4]唐燈平.利用三層交換機(jī)實(shí)現(xiàn)VLAN間通信[J].電腦知識與技術(shù)，2009（6）.

[5]于占虎.三層交換機(jī)中VLAN間通信的設(shè)置方法[J].遼寧師專學(xué)報(bào)，2009（9）.endprint