D-Link三层交换机企业部署VLAN实例

    VLAN(Virtual Local Area Network，全称为虚拟局域网)，是指在逻辑上将物理的LAN分成不同小的逻辑子网，每一个逻辑子网就是一个单独的播域。简单地说，就是将一个大的物理的局域网(LAN)在交换机上通过软件划分成若干个小的虚拟的局域网(VLAN)。因为交换机通信的原理就是要通过“广播”来发现通往的目的MAC地址，以便在交换机内部的MAC数据库建立MAC地址表，而广播不能跨越不同网段。通过划分VLAN子网，能划小了广播域，避免了数据碰撞在大的物理LAN内产生严重后果的可能，也避免了广播风暴的产生。

　　因为各个子网产生的广播将被限制在小的虚拟局域网内。当LAN中的不同VLAN间进行相互通信时，由于处于不同的IP子网段，不能象原先大的LAN那样直接通信，因此需要路由来转发，这时就需要增加路由设备——要实现路由功能。

　　三层交换技术

　　VLAN和路由是孪生兄弟，有VLAN就必有路由。

　　在没有出现三层交换机以前，VLAN间的通信需要昂贵的传统路由器来配合工作。在企业网中，不同VLAN子网之间的通信频繁发生，而路由器是基于软件的路由选择操作，本来效率就不高，如果路由器要对每一个数据包都路由一次，也就是“每次转发，每次路由”，随着需要路由的数据量增大，传统的路由器将不堪重负，于是就成为VLAN之间通信的瓶颈。

　　三层交换机则把网络通信中的二层交换技术和三层路由或称三层转发技术结合在一起，并通过ASIC技术达到线速交换，大幅度提高了设备数据的包转发能力，消除了转发瓶　　颈。同时通过VLAN划分、高效的组播控制、流策略的管理及访问控制等功能有效保证网络资源的充分利用，切实保证满足各类用户的应用需求。三层交换机在对第一个数据流进行路由后，会产生一个MAC地址与IP地址的映射表，当同样的数据流再次通过时，将根据映射表直接进行二层交换，也就是“一次路由，多次交换”，这样大大提高了数据包转发的效率，因而提高了VLAN网络的整体性能。

　　有了三层交换机，企业做VLAN子网的划分时，设备上的付出就相对经济得多，网络的VLAN间数据路由转发性能更加高效。

　　现在部署VLAN有了更好的选择，那就是由三层交换机和有VLAN功能的二层接入交换机来配合实现。并且随着生产三层交换机的厂家越来越多，市场供应的丰富，使原来价格也高高在上的三层交换机将很快走向平民化，特别是千兆三层交换机在高端市场的普及，促使百兆三层交换机向中低端市场普及，并且价位降到一般中小企业有能力接受的程度。因此在这里进一步点出本文的题目“三层交换，你也可以”的主旨。在网络核心部署三层交换对中小企业已不是什么新鲜话题。

　　小企业的三层交换部署实例

　　从上面两个小节我们知道了划分VLAN子网对于一个企业局域网的重要性和必要性，而划分VLAN的必要配套工程，就是要部署三层交换机。目前三层交换机的市场发展，品牌倍出，但是价位还是有些高，如百兆三层交换机一般在8000-9000元左右，但个别低价的还是有的，如:D-LinkDES-3326SR报价4000元，这使我们100个以内的小型企业也一样可以部署高效安全的VLAN网络。

　　本案我们就选择这款非常经济的三层交换机，在网络的核心部署一台D-LinkDES-3326SR三层交换机，接入层则由若干台D-LinkDES-3226S百兆可堆叠二层交换机来担任。

　　DES-3326SR是一款可堆叠多层可路由交换机，它在一个机箱里集成了二层线速交换和三层IP包路由以及服务质量QoS功能。它提供24个10/100Mbps端口，一个用于快速以太网、千兆模块、堆叠的扩展插槽，8.8Gbps交换架构，8KMAC地址表，2K路由表，6.6Mpps三层包转发速率，16MBRAM缓存。支持冗余备份电源，可通过高速堆叠线缆堆叠在一起，最多可堆叠13个单元。允许8个10/100Mbps端口干路提供聚合带宽。

　　通过网络分段，支持IEEE 802.1QVLANTagging的工作站能被分组到不同的VLAN中。这款交换机也支持GVRP，以此来进行VLAN配置信息的自动发布。支持RIP- 

   子网规划及网络配置

　　VLAN的划分应与IP规划结合起来，使得一个VLAN接口IP就是对应的子网段就是某个部门的子网段，VLAN接口IP就是一个子网关。VLAN应以部门划分，相同部门的主机IP以VLAN接口IP为依据划归在一个子网范围，同属于一个VLAN。这样不仅在安全上有益，而且更方便网络管理员的管理和监控。（注意：各VLAN中的客户机的网关分别对应各VLAN的接口IP。）

　　在这企业网中计划规划四个VLAN子网对应着四个重要部门，笔者认为这也是小企业最普遍的部门结构，分别是:

　　VLAN10——综合行政办公室;

　　VLAN20——销售部;

　　VLAN30——财务部;

　　VLAN40——数据中心网络中心。

　　划分VLAN以后，要为每一个VLAN配一个“虚拟接口IP地址”。

　　VLAN10——192.168.10.1

　　VLAN20——192.168.20.1

　　VLAN30——192.168.30.1

　　VLAN40——192.168.40.1

　　VLAN及路由配置

　　一、DES-3326SR三层交换机的VLAN的配置过程

　　1.创建VLAN

　　DES-3326SR#Config vlan default delete 1-24?删除默认VLANdefault包含的端口1-24

　　DES-3326SR#Create vlan vlan10 tag 10?创建VLAN名为vlan10，并标记VID为10

    DES-3326SR#Create vlan vlan20 tag 20?创建VLAN名为vlan20，并标记VID为20

　　DES-3326SR#Create vlan vlan30 tag 30?创建VLAN名为vlan10，并标记VID为30

　　DES-3326SR#Create vlan vlan40 tag 40?创建VLAN名为vlan10，并标记VID为40

　　2.添加端口到各VLAN

　　DES-3326SR#Config vlan vlan10 add untag 1-6 ? 把端口1-6添加到VLAN10

　　DES-3326SR#Config vlan vlan20 add untag 7-12 ?把端口1-6添加到VLAN20

　　DES-3326SR#Config vlan vlan30 add untag 13-18?把端口1-6添加到VLAN30

　　DES-3326SR#Config vlan vlan40 add untag 19-23?把端口1-6添加到VLAN40

　　3.创建VLAN接口IP

　　DES-3326SR#Create ipif if10 192.168.10.1/24 VLAN10 stateenabled?

　　创建虑拟的接口if10给名为VLAN10的VLAN子网，并且指定该接口的IP为192.168.10.1/24。创建后enabled激活该接口。

　　同样方法设置其它的接口IP:

　　DES-3326SR#Create ipif if20 192.168.20.1/24 VLAN20stateenabled

　　DES-3326SR#Create ipif if30 192.168.30.1/24 VLAN30stateenabled

　　DES-3326SR#Create ipif if40 192.168.40.1/24 VLAN40stateenabled

　　4.路由

　　当配置三层交换机的三层功能时，如果只是单台三层交换机，只需要配置各VLAN的虚拟接口就行，不再配路由选择协议。因为一台三层交换机上的虚拟接口会在交换机里以直接路由的身份出现，因此不需要静态路由或动态路由协议的配置。

　　二、DES-3226S二层交换机的VLAN的配置过程

　　1.创建VLAN

    DES-3226S#Config vlan default delete 1-24?删除默认VLANdefault包含的端口1-24

　　DES-3226S#Create vlan vlan10 tag 10 ?创建VLAN名为vlan10，并标记VID为10

　　2.添加端口到各VLAN

　　DES-3226S#Config vlan vlan10 add untag 1-24 ?把端口1-24添加到VLAN10

　　同理，配置其它DES-3226S二层交换机。完成以后就可以将各个所属VLAN的二层交换机与DES-3326SR三层交换机的相应VLAN的端口连接即可。

　　3.配置其他的三层交换

　　如果还有其他的三层交换机，比如另一台DES-3326SR，之间用24口连接。首先，将两台DES-3326SR的24口配置为TRUNK。

　　DES-3326SR#Config vlan vlan10 add tag 24

　　DES-3326SR#Config vlan vlan20 add tag 24

　　DES-3326SR#Config vlan vlan30 add tag 24

　　DES-3326SR#Config vlan vlan40 add tag 24

　　DES-3326SR#Config vlan vlan50 add tag 24

　　两台DES-3326SR的24端口属于所有的VLAN，标记tag

　　三、第二台DES-3326SR的配置

　　DES-3326SR#Create vlan vlan10 tag 10

　　DES-3326SR#Create vlan vlan50 tag 50

　　DES-3326SR#Create ipif if20 192.168.10.2/24 VLAN10stateenabled

　　DES-3326SR#Create ipif if30 192.168.50.1/24 VLAN60stateenabled

　　问题来了，第二台DES-3326SR上的VLAN50和第一台上的其他VLAN没办法通讯，需要增加路由：

　　DES-3326SR-1#ip route-static 192.168.50.0255.255.255.0192.1168.10.2意为指向192.168.50.0/24的下一跳IP为192.1168.10.2

　　DES-3326SR-2#ip route-static 192.168.20.0255.255.255.0192.1168.10.1意为指向192.168.2-40.0/24的下一跳IP为192.1168.10.1

　　DES-3326SR-2#ip route-static 192.168.30.0255.255.255.0192.1168.10.1

　　DES-3326SR-2#ip route-static 192.168.40.0255.255.255.0192.1168.10.1