ROS VLAN的设置通用法则

以下是ROSVLAN的设置通用法则，其他交换机可以采用类似的思路是一样的，并且在华为和SSR等名牌设备上都做通了5y6_2{9P:v8Z2f1_0K4r$V8v6N5o6`0{'K*K%p0K1、设置交换机：9n#j5i.f2^,}2[9h0E2X;V)}"P"M#G"j1、1添加相应VLAN9W+R2W*z!k;m-x8{5?(S"\/{)isetvlan111nameofficetypeethernetmtu1500said100111stateactive)@/`.W-z'q$l5s5setvlan112namefactorytypeethernetmtu1500said100112stateactive+l4[)e3O,?setvlan113nameschooltypeethernetmtu1500said100113stateactive5F.R#v"Z6X3z%N9Ksetvlan114namecnctypeethernetmtu1500said100114stateactive'{'Y"h!{:]//以上是设置了111-114VLAN的名字等参数。9e7R#e"v8N/Q1、2将111-114的VLAN分配各个相应端口%M+g"c.q8^1Z%d3F2p!g:D$v2](P-^4H&Z  nsetvlan1112/7#E7k;T"N:m'@)Q7esetvlan1122/9+C9L#d0@&usetvlan1132/11setvlan1142/13,p.W'W(t7H9接网线：111（2/7）接办公楼；112（2/9）接集团工厂车间；113（2/11）接集团子弟学校；114（2/13）接网通出口。+f4c'|'S9I(P  好象没有ROS什么事呀？先别急，等一会再说:^8g$l  j-|!A  1、3配置VLAN干线+D%N3b1t"A$cleartrunk2/52-110,115-1005'W3V#c  q1E2K//以上也许可以省略，目的是将其他与ROS无关的VLAN抛开/V1F4T4l)usettrunk2/5ondot1q1,111-114*p%o6s+g,@3z-G//将2/5设置为TRUNK口，vlan的封装类型一定要用dot1q，因为ROS仅支持802.1q的vlan，因此采购其他的交换机也要支持802.1q的交换机，有些市面交换机只支持私有的VLAN协议8同样，如果选CISCO的交换机，也要注意不能配置成ISL的VLAN，如果MIKROTIK购买CISCO的协议，ROS就不会那么便宜了！(i*Q#h)T*\//这个口子就插ROS的ether1,d$r&o3C;M'W//ether1是外口还是内口？都是！7n2?)K4I)["s//晕了？继续向下看--->5P3F"X%n!M6T$t  v2、设置ROS#g,c,H;A9O!F%o'b3J;['V/J$其实很简单：  x3M,J+r"P;T/{2、1创建VLAN并加入到ether1(U(A&a!}-v.b4r2p#r#~7z1t/interfacevlan;m9Q6];k*w&k%G(Daddname=\"office\"mtu=1500arp=enabledvlan-id=111interface=ether1disabled=no8k&A"n*}+y'Q!f4L2R3baddname=\"factory\"mtu=1500arp=enabledvlan-id=112interface=ether1disabled=no1c9G.f4T)z)Xaddname=\"school\"mtu=1500arp=enabledvlan-id=113interface=ether1disabled=no,?9d4c2@5@7],d1L2raddname=\"cnc\"mtu=1500arp=enabledvlan-id=114interface=ether1disabled=no6o2f'M)R(|//虽然语法和CISCO不一样，但道理是一样的&T)Q(["d3G)S//注意要点，这里的VLANID与前面交换机的要一一对应，VLAN名称有些交换机可以不对应，但有些交换机要求较严格，不对应不通+z)V$E#V1n"s7Y3`9]!L1e)^#o+2、2使用VLAN，VLAN的使用非常简单，把它们象普通网卡那样对待就可以了0s)L2B7L&F/D2}5q5Tipaddressaddaddress=192.168.0.1/24network=192.168.0.0broadcast=192.168.0.255interface=officecomment=\"\"disabled=no4u(O.M/n!j2X8A5Maddaddress=192.168.1.1/30network=192.168.1.0broadcast=192.168.1.255interface=factorycomment=\"\"disabled=no!I3u&L(k+g$r5c:H1oaddaddress=192.168.2.1/24network=192.168.2.0broadcast=192.168.2.255interface=schoolcomment=\"\"disabled=no'x!E/H  ['a  K.t1G$~addaddress=221.38.156.42/30network=221.38.156.40broadcast=221.38.156.43interface=cnccomment=\"\"disabled=no:B)N:?6L$^!V8i!^//以上是给各个vlan设置地址)}2r4Q#B  M0E6K02|-E/@8Z(p"s,d0?4p9|;m+A;B&e-2、3做其他必要设置-p9f"C4N:o4o9b+V,?/iproute*K8D"p  a+Uadddst-address=0.0.0.0/0preferred-source=0.0.0.0gateway=221.38.156.41distance=1comment=\"addedbysetup\"disabled=no7[)c$u)J2i(i//添加缺省路由9L:d,Z-U%o!x4H-m5|6[*m9e  d:{0W&[,_5r&f!e-d  A1Q9|#?/ipfirewallsrc-nat8w#E$e:|%?9Jaddsrc-address=192.168.0.0/16out-interface=cncaction=masqueradecomment=\"\"disabled=yes$M1]!F'[7S8N//配置NAT转发7l9{#W8a0~/Y:n//好了，现在可以上网了，ROS只用了单网卡，并且各个VLAN间可以互访了6P%n!y8Y*R,H.G){:u"U+?1s  M  B4f8m3、一句话总结：;Z"^0s+a*T6G创建设置VLAN并一一对应====>将端口分配VLAN=====>建立VLAN干线=====>象普通网卡那样使用VLAN!~#E(e8h1T8G*d*L9Z0@0Z%}&~9K0_1M+p;o4Y-d44、相关话：TRUNK不也是要求一一对应的吗？%A:T-O4|8I没错，不过ROS自动识别，不需要特别建立，但需要注意硬件兼容性：8139和INTEL网卡是支持VLAN的，但其他网卡未经测试，不敢保证能通。实例讲解三层交换机配置中关于VLAN划分以及设置问题DGS-3627三层交换机配置的24口接到路由器的LAN口上面，路由器的LAN口地址是192.168.0.99，跟VLAN40是在同一个IP段里面，那么，客户机、三层交换机配置和路由器里面怎么设置才能让电脑上网呢？实例讲解三层交换机配置中关于VLAN划分以及设置问题，三层交换机配置中不能避免的就是关于vlan的划分和配置问题，一般情况下划分为4种，如何找回就成了我们关注的问题，本文从划分情况原理，配置思路以及测试过程上深入讲解了vlan的设置步骤。DGS-3627交换机的IP地址是192.168.0.1，它同时也是VLAN40的虚接口地址，Vlan40与路由器连接。DGS-3627交换机的24口接到路由器的LAN口上面，路由器的LAN口地址是192.168.0.99，跟VLAN40是在同一个IP段里面，那么，客户机、三层交换机配置和路由器里面怎么设置才能让电脑上网呢？三层交换机配置VLAN划分情况如下：◆VLAN10虚接口：192.168.1.1 交换机接口：1号口 VID：10interface：if10◆VLAN20虚接口：192.168.2.1 交换机接口：2号口 VID：20interface：if20◆VLAN30虚接口：192.168.3.1 交换机接口：3号口 VID：30interface：if30◆VLAN40虚接口：192.168.0.1 交换机接口：4-24号口 VID：40interface：system创建一条默认路由在交换机加条命令createiproutedefault192.168.0.99在路由器上设几条静态路由：192.168.1.0/255.255.255.0192.168.0.1192.168.2.0/255.255.255.0192.168.0.1192.168.3.0/255.255.255.0192.168.0.1三层交换机配置客户端设置，2网段为例ip：192.168.2.Xmask：255.255.255.0gw：192.168.2.1三层交换机配置了虚接口后，各个Vlan之间是可以互访的，如果需要对用户的访问进行控制可以使用访问控制列表进行管理。访问控制方面，设置一下acl就可以了：允许所有用户上网：createaccess_profileipsource_ip_mask255.255.0.0destination_ip_mask255.255.255.255profile_id1permitconfigaccess_profileprofile_id1addaccess_id1ipsource_ip192.168.0.0destination_ip192.168.0.99三层交换机配置所有网段允许访问服务器所在公共网段vlan10：createaccess_profileipsource_ip_mask255.255.0.0destination_ip_mask255.255.255.0profile_id5permitconfigaccess_profileprofile_id5addaccess_id1ipsource_ip192.168.0.0destination_ip192.168.1.0三层交换机配置禁止Vlan之间互访：createaccess_profileipsource_ip_mask255.255.255.0destination_ip_mask255.255.255.0profile_id10denyconfigaccess_profileprofile_id10addaccess_id1ipsource_ip192.168.2.0destination_ip192.168.0.0denyconfigaccess_profileprofile_id10addaccess_id2ipsource_ip192.168.2.0destination_ip192.168.3.0denyconfigaccess_profileprofile_id10addaccess_id3ipsource_ip192.168.0.0destination_ip192.168.2.0denyconfigaccess_profileprofile_id10addaccess_id4ipsource_ip192.168.0.0destination_ip192.168.3.0denyconfigaccess_profileprofile_id10addaccess_id5ipsource_ip192.168.3.0destination_ip192.168.2.0denyconfigaccess_profileprofile_id10addaccess_id6ipsource_ip192.168.3.0destination_ip192.168.0.0deny第三层交换正迅速发展成可作为下一代应用启动平台的最适合的网络技术。本文将详细介绍此项技术以及如何部署第三层交换才能获得最大效率。第三层交换是HYPERLINK"http://baike.baidu.com/view/788.htm"\t"_blank"局域网许多区域(包括核心和服务器集中点)的关键组件，因为该项技术能解决许多在性能、安全和控制等方面的问题。然而，在一些网络区域，该项技术的使用效果并不十分显著，尤其是在HYPERLINK"http://baike.baidu.com/view/79807.htm"\t"_blank"桌面连接方面。本文将会重点讨论这种网络性能较低的情况，特别是在新一代高级第四层桌面交换技术已经能够提供高性能和控制能力的今天。本文也将详细阐述第二(四)层HYPERLINK"http://baike.baidu.com/view/1077.htm"\t"_blank"交换机是如何提供成本更低、更加简单、更易于管理的桌面解决。简介　　任何一种新技术进入市场时，都要经历业界专业人员对伴随这种技术的新术语和“技术行话”进行筛选的阶段。这些新的技术术语往往会造成迷惑，甚至自相矛盾，具体情况取决于供应商使用它们的方式。“第三层交换”和有关的技术也不例外，随着越来越多交换机和HYPERLINK"http://baike.baidu.com/view/3076301.htm"\t"_blank"路由器技术的推出，有关它们技术术语的迷惑只会增多。比如，第三层交换、HYPERLINK"http://baike.baidu.com/view/116631.htm"\t"_blank"第四层交换、多层交换、多层数据包分类和路由交换机等新术语就令交换机和HYPERLINK"http://baike.baidu.com/view/1360.htm"\t"_blank"路由器之间的传统区别变得模糊起来。此外，由于许多供应商在原本用于布线室的第HYPERLINK"http://baike.baidu.com/view/116622.htm"\t"_blank"二层交换机平台上提供了HYPERLINK"http://baike.baidu.com/view/1122084.htm"\t"_blank"第三层交换技术，从而让人更加迷惑不解。这些变化使网络设计人员很难了解如何部署高效的网络解决方案。因此，必须去伪存真，并专注于基础知识，才能真正了解何时、何地以及为什么采用第三层交换。第三层交换技术的基本原理　　第三层交换是在网络交换机中引入路由模块而取代传统路由器实现交换与路由相结合的网络技术。它根据实际应用时的情况，灵活地在网络第二层或者第三层进行HYPERLINK"http://baike.baidu.com/view/2466793.htm"\t"_blank"网络分段。具有三层交换功能的设备是一个带有第三层路由功能的第二层交换机，但它是二者的有机结合，并不是简单地把路由器设备的硬件及HYPERLINK"http://baike.baidu.com/view/37.htm"\t"_blank"软件叠加在局域网交换机上。　　HYPERLINK"http://baike.baidu.com/view/3945600.htm"\t"_blank"第三层交换机的设计基于对IP路由的仔细分析，把IP路由中每个报文都必须经过的过程提取出来，这个过程是十分简化的过程。IP路由中绝大多数报文是不包含选项的报文，因此在多数情况下处理报文IP选项的工作是多余的。不同网络的报文长度是不同的，为了适应不同的网络，IP要实现报文分片的功能，但是在全HYPERLINK"http://baike.baidu.com/view/848.htm"\t"_blank"以太网的环境中，网络的帧长度是固定的，因此报文分片也是一个可以省略的工作。第三层交换技术没有采用路由器的最长地址掩码匹配的，而是使用了精确地址匹配的方法处理，这样，有利于硬件的实现快速查找。它采用了使用高速缓存的方法，把最近经常使用的主机路由放到了硬件查找表中，只有在这个高速缓存中无法匹配的项目才会通过软件去转发。在存储转发过程中使用了流交换方式，在流交换中，分析第一个报文确定其是否表示了一个流或者一组具有相同源地址和目的地址的报文。如果第一个报文具有了正确的特征，则该标识流中的后续报文将拥有相同的优先权，同一流中的后续报文被交换到基于第二层的目的地址上，现在的三层交换机为了实现高速交换，都采用流交换方式。其在IP路由的处理上进行了改进，实现了简化的IP转发流程，利用专用的ASIC芯片实现硬件的转发，这样绝大多数的报文处理都可以在硬件中实现了，只有极少数报文才需要使用软件转发，整个系统的转发性能能够得以成千倍地增加，相同性能的设备在成本上也得到大幅度下降。每个VLAN对应一个IP网段。在二层上，VLAN之间是隔离的，这点跟二层交换机中交换引擎的功能是一模一样的。不同IP网段之间的访问要跨越VLAN，要使用三层转发引擎提供的VLAN间路由功能。在使用二层交换机和路由器的组网中，每个需要与其他IP网段通信的IP网段都需要使用一个路由器接口作为网关。而第三层转发引擎就相当于传统组网中的路由器，当需要与其他VLAN通信时也要在三层交换引擎上分配一个路由接口，用来做VLAN的网关。三层交换机上的这个路由接口是在三层转发引擎和二层转发引擎上的，是通过配置转发芯片来实现的，与路由器的接口不同，它是不可见的。下面举个例子来说明通信过程。假设两个使用IP协议的站点A、B通过第三层交换机进行通信，发送站A在开始发送时，把自己的IP地址与B站的IP地址比较，判断B站是否与自己在同一子网内，若目的站B与发送站A在同一子网内，则进行二层的转发，若两个站点不在同一子网内，如发送站A要与目的站B通信，发送站A要向三层交换机的三层交换模块发出ARP(地址解析)封包。当发送站A对三层交换模块的IP地址广播出一个ARP请求时，如果三层交换模块在以前的通信过程中已经知道B站的MAC地址，则向发送站A回复B的MAC地址，否则三层交换模块根据路由信息向B站广播一个ARP请求，B站得到此ARP请求后向三层交换模块回复其MAC地址，三层交换模块保存此地址并回复给发送站A，同时将B站的MAC地址发送到二层交换引擎的HYPERLINK"http://baike.baidu.com/view/325678.htm"\t"_blank"MAC地址表中。从这以后，A向B发送的数据包便全部交给二层交换处理，信息得以高速交换。可见由于仅仅在路由过程中才需要三层处理，绝大部分数据都通过二层交换转发，三层交换机的速度很快，接近二层交换机的速度。第三层交换技术的简单拓扑结构所用连接到骨干交换机的设备有服务器、交换机、HYPERLINK"http://baike.baidu.com/view/7770.htm"\t"_blank"集线器、工作站等。其中HYPERLINK"http://baike.baidu.com/view/2056091.htm"\t"_blank"核心交换机是一台第三层交换机，通过它来划分两个不同的功能的逻辑子网，实现不同VLAN间的通信。从图1可以看出，在同一个VIAN虚拟子网内部三层交换机仅具有二层交换的功能，以保证传输速度的要求，而在不同的VIAN子网之间，三层交换机还起三层交换的作用，能正确地进行ARP解析，以保证数据流的正确传输，同时它还支持HYPERLINK"http://baike.baidu.com/view/492256.htm"\t"_blank"组播、帧和包过滤、流量计算等功能，以确保安全性能与用户需求。了解网络各层　　为了充分认识第三层交换，在此有必要对目前使用的大多数HYPERLINK"http://baike.baidu.com/view/635005.htm"\t"_blank"网络体系结构的强大分层模型进行分析。　　如图所示，网络基础架构设备(如HYPERLINK"http://baike.baidu.com/view/826.htm"\t"_blank"网桥、路由器和交换机)在传统上一直按OSI分层模型分类。这种OSI模型目前仍然是数据网络的参考分层典范，因为它简化了两台计算机进行通信所要执行的任务，每层都具有特定的功能。OSI模型定义了这些层的交互方式，并依次定义了各个网络组件的角色，从而决定了这些组件如何实现与分层网络的集成。　　网络组件　　交换机(第二层)　　交换机在每个端口提供一个独特的网络段，从而分离了冲突域。　　路由器(第三层)　　路由器可分离HYPERLINK"http://baike.baidu.com/view/291982.htm"\t"_blank"广播域，并能连接不同的网络。路由器是根据目标网络层的地址(第三层)而不是工作站数据链路层MAC地址来引导网络信息流。路由器通常基于软件，因此性能比第二层交换机相对迟缓。　　第三层交换机(第三层)　　第三层交换机可部署在使用传统路由器局域网的任何地方。第三层交换机中高级的ASIC技术可提供远远高于传统路由器的性能，使它们非常适合网络带宽密集的应用。另外，第三层交换机合并了典型路由器中相互分离的HYPERLINK"http://baike.baidu.com/view/197495.htm"\t"_blank"桥接(第二层)和路由(第三层)功能。这些技术的结合提供了一个能大大改进扩充能力的更加自然的网络体系结构。第二层和第三层交换　　为掌握第三层交换的优点以及如何更加有效地使用第三层交换，首先必须了解目前可用于网络设计的两种交换方式:第二层交换、第三层交换(路由)。　　交换是从一个接口接收，然后通过另一个接口发出的过程。第二层与第三层交换之间的区别在于用以确定正确输出接口的帧内信息类型。　　¨在第二层交换中，帧的交换基于MAC地址信息。　　¨在第三层交换中，帧的交换基于网络层信息，如IP地址。第二层交换　　第二层交换是在前面所述的OSI模型的数据链路层进行。它检查帧，并根据目标MAC地址转发帧。　　如果知道目标地址，第二层交换机会将以太网帧转发到适当的接口。如果第二层交换机不知道将帧发送到何处，它会将该帧广播转发到所有端口，以了解正确的目标地址。第二层交换机利用这种技术来建立和维护一个跟踪帧目标地址的交换表。　　对于规模较大的网络来说，这种广播转发操作会产生严重的问题，因为所有这些广播的处理会造成性能的大幅度降低。该问题的解决办法将在本白皮书的稍后部分进行讨论。第二层交换的优点　　由于第二层交换相对简单，网络管理员可以建立管理简便且能扩展到数百个节点的网络，而不会遇到太多的第二层广播问题。第二层交换机为网络提供了以下优点:　　l高带宽：第二层交换机通过将专用带宽分配到每一个端口，为各个用户提供优异的性能。每一个交换机端口表示一个不同的网段，因此每个用户可以获得特定数量的带宽。此外，每个专用网段还能与单项业务一起接收广播业务。　　lVLAN：第二层交换机能够将各个端口组合到逻辑工作组(HYPERLINK"http://baike.baidu.com/view/21837.htm"\t"_blank"虚拟局域网或VLAN)。每个VLAN组在逻辑上与交换机的其它部分分离，可帮助将第二层广播业务控制在特定的VLAN组。这提供了以下两个主要优点:　　1.网络设计人员可以利用VLAN来建造能避免特大第二层广播域问题的大型第二层网络。　　2.网络周围的移动、添加和更改更加容易，因为无论物理位置在哪里，用户始终在他们自己的VLAN中。　　第三层交换机或路由器对VLAN通信不可缺少。　　l业务类别优先化：某些第二层交换机上的业务类别(CoS)优先化允许网络管理员根据协议、IP地址和以太网类型等标准给不同类型的局域网业务分配优先权级别。这使网络管理员可以根据协议、应用或用户控制业务流，从而确保更加高效的网络运转。　　l用户安全：第二层交换机提供了基于用户的稳健安全机质，这种机质基于网络登录(HYPERLINK"http://baike.baidu.com/view/310804.htm"\t"_blank"802.1x)技术，可防止任何未经认证的用户接入网络。第三层交换　　第三层交换在网络层进行。它检查数据包信息，并根据网络层目标地址转发数据包。与固定的第二层寻址系统不同，第三层地址由网络管理员安装的HYPERLINK"http://baike.baidu.com/view/736180.htm"\t"_blank"网络分层确定。IP、IPX和AppleTalk等协议都使用第三层寻址。　　使用第三层寻址系统，网络管理员可以创建地址组(子网)。这些子网可使网络管理员以一个单元(子网)的形式轻松地管理子网成员，从而支持建立一个能够扩展的分层寻址系统。第三层寻址系统还比第二层系统更加动态。如果用户移动到另一个位置，其终端站会收到一个新的第三层地址，但第二层MAC地址保持不变。这类似于某个人从一个城市搬到另一个城市:邮政地址将会改变，但个人姓名和身份保持不变。因此，第三层路由网络能将逻辑寻址结构连接到物理基础架构，从而提供了一个比第二层网络更加灵活和更加可扩充的分层结构。第三层交换的优点　　第三层交换提供以下优点:　　l提高了网络效率：第三层交换机通过允许网络管理员在第二层VLAN进行路由业务，确保将第二层广播控制在一个VLAN内，降低了业务量负载。　　l可持续发展：由于OSI层模型的分层特点，第三层交换机能够创建更加易于扩展和维护的更大规模的网络。　　l更加广泛的拓扑选择：基于路由器的网络支持任何拓扑，并能更轻易超过类似第二层交换网络的更大规模和复杂程度。　　l工作组和服务器安全：第三层设备能根据第三层网络地址创建接入策略，这允许网络管理员控制和阻塞某些VLAN到VLAN通信，阻塞某些IP地址，甚至能防止某些子网访问特定的信息。l更加优异的性能：通过使用先进的ASIC技术，第三层交换机可提供远远高于基于软件的传统路由器的性能。比如，每秒4000万个数据包对每秒30万个数据包。第三层交换机为千兆网络这样的带宽密集型基础架构提供了所需的路由性能。因此，第三层交换机可以部署在网络中许多具有更高战略意义的位置。第三层交换机的部署　　了解了第二层和第三层交换机的相对优点之后，就可以知道每一种交换机能够在网络中的哪些地方产生最大的效应。80/20法则　　九十年代早期，法则确立，它认为所有业务流的80%应在本地子网上，只有20%的业务流应传递到路由器。多年来，该法则一直准确无误，而且路由器能够相当轻松地处理各种业务量级别。随着更多的广播业务被控制在特定的本地网段上，在第二层交换机上使用VLAN有一定的效用。20/80法则　　但是，过去几年，建立了大量服务器来帮助改善安全和管理，加之越来越多地使用内部网和客户机/服务器服务，导致了局域网业务流的巨大变化。现在，所有业务流的80%被传递到路由网络，只有大约20%的业务被控制在本地子网内。　　这种新结构对路由网络提出了巨大的需求，因为用户每次访问位于不同子网上的服务器时，其通信业务都必须通过第三层设备(通常为每秒只能转发30万个数据包的路由器)解决20/80法则问题　　很明显，具有HYPERLINK"http://baike.baidu.com/view/2485084.htm"\t"_blank"核心路由器的单层第二层网络不能扩充，而且其对当今的网络流性很差。因此，必须了解如何利用第三层交换机建立一个正确的分层设计。需要考虑以下三种网络组件:网络核心、布线室集中点、桌面接入点　　l网络核心：核心网络组件在设计时应考虑性能和弹性。第三层交换机赋予了自己这种角色，因为它们通过分层寻址提供了自然的弹性，而且它们也提供了远远优于传统路由器的性能。l布线室集合点：该层可帮助为核心提供一个边界，并为桌面接入设备提供重要的服务。这些服务包括VLAN路由、安全、部门接入和地址集中。对于规模更大的网络安装，之所以需要第三层交换机是因为它给桌面交换机提供了正确的服务，并提供了路由到核心交换机所必需的性能。第三层交换部署示例　　解决方案1:分支机构　　在本例中，一个分支机构需要连接本地办公室和总部的服务器。第三层交换机被部署在网络主干，负责执行本地服务器、本地局域网业务以及到宽带路由器的第三层交换。简单地说，HYPERLINK"http://baike.baidu.com/view/802.htm"\t"_blank"三层交换技术就是：二层交换技术＋三层转发技术。它解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的HYPERLINK"http://baike.baidu.com/view/2913419.htm"\t"_blank"网络瓶颈问题。什么是三层交换　　三层交换（也称多层交换技术，或IP交换技术）是相对于传统交换概念而提出的。众所周知，传统的交换技术是在OSIHYPERLINK"http://baike.baidu.com/view/13954.htm"\t"_blank"网络标准模型中的第二层――数据链路层进行操作的，而三层交换技术是在HYPERLINK"http://baike.baidu.com/view/2814233.htm"\t"_blank"网络模型中的第三层实现了数据包的高速转发。简单地说，三层交换技术就是：二层交换技术＋三层转发技术。三层交换技术的出现，解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。三层交换原理　　一个具有三层交换功能的设备，是一个带有第三层路由功能的第二层交换机，但它是二者的有机结合，并不是简单地把路由器设备的硬件及软件叠加在HYPERLINK"http://baike.baidu.com/view/2055595.htm"\t"_blank"局域网交换机上。其原理是：假设两个使用IP协议的站点A、B通过第三层交换机进行通信，发送站点A在开始发送时，把自己的IP地址与B站的IP地址比较，判断B站是否与自己在同一子网内。若目的站B与发送站A在同一子网内，则进行二层的转发。若两个站点不在同一子网内，如发送站A要与目的站B通信，发送站A要向“HYPERLINK"http://baike.baidu.com/view/1085.htm"\t"_blank"缺省网关”发出ARP(地址解析)封包，而“缺省网关”的IP地址其实是三层交换机的三层交换模块。当发送站A对“缺省网关”的IP地址广播出一个ARP请求时，如果三层交换模块在以前的通信过程中已经知道B站的MAC地址，则向发送站A回复B的MAC地址。否则三层交换模块根据路由信息向B站广播一个ARP请求，B站得到此ARP请求后向三层交换模块回复其MAC地址，三层交换模块保存此地址并回复给发送站A,同时将B站的MAC地址发送到二层交换引擎的MAC地址表中。从这以后，当A向B发送的数据包便全部交给二层交换处理，信息得以高速交换。由于仅仅在路由过程中才需要三层处理，绝大部分数据都通过二层交换转发，因此三层交换机的速度很快，接近二层交换机的速度，同时比相同路由器的价格低很多。三层交换机种类　　三层交换机可以根据其处理数据的不同而分为纯硬件和纯软件两大类。　　（1）纯硬件的三层技术相对来说技术复杂，成本高，但是速度快，性能好，带负载能力强。其原理是，采用ASIC芯片，采用硬件的方式进行路由表的查找和刷新。如图1所示。　　图1纯硬件三层HYPERLINK"http://baike.baidu.com/view/1561253.htm"\t"_blank"交换机原理　　当数据由端口接口芯片接收进来以后，首先在二层交换芯片中查找相应的目的MAC地址，如果查到，就进行二层转发，否则将数据送至三层引擎。在三层引擎中，ASIC芯片查找相应的路由表信息，与数据的目的IP地址相比对，然后发送ARP数据包到目的主机，得到该主机的MAC地址，将MAC地址发到二层芯片，由二层芯片转发该数据包。　　（2）基于软件的三层交换机技术较简单，但速度较慢，不适合作为主干。其原理是，采用CPU用软件的方式查找路由表。如图2所示。　　图2软件三层交换机原理　　当数据由端口接口芯片接收进来以后，首先在二层交换芯片中查找相应的目的MAC地址，如果查到，就进行二层转发否则将数据送至CPU。CPU查找相应的路由表信息，与数据的目的IP地址相比对，然后发送ARP数据包到目的主机得到该主机的MAC地址，将MAC地址发到二层芯片，由二层芯片转发该数据包。因为低价CPU处理速度较慢，因此这种三层交换机处理速度较慢。　　市场产品选型　　近年来宽带IP网络建设成为热点，下面以适合定位于接入层或中小规模汇聚层的第三层交换机产品为例，介绍一些三层交换机的具体技术。在市场上的主流接入第三层交换机，主要有Cisco的Catalyst2948G-L3、Extreme的Summit24和AlliedTelesyn的Rapier24等，这几款三层交换机产品各具特色，涵盖了三层交换机大部分应用特性。当然在选择第三层交换机时，用户可根据自己的需要，判断并选择上述产品或其他厂家的产品，如北电网络的Passport/Acceler系列、原Cabletron的SSR系列（在Cabletron一分四后，大部分SSR三层交换机已并入Riverstone公司）、Avaya的CajunM系列、3Com的Superstack34005系列等。此外，国产网络厂商神州数码网络、TCL网络、上海广电应确信、紫光网联、首信等都已推出了三层交换机产品。下面就其中三款产品进行介绍，使您能够较全面地了解三层交换机，并针对自己的情况选择合适的机型。　　CiscoCatalyst2948G-L3交换机结合业界标准IOS提供完整解决方案，在版本12.0(10)以上全面支持IOSHYPERLINK"http://baike.baidu.com/view/807397.htm"\t"_blank"访问控制列表ACL，配合核心Catalyst6000，可完成端到端全面宽带城域网的建设（Catalyst6000使用MSFC模块完成其多层交换服务，并已停止使用RSM路由交换模块，IOS版本6.1以上全面支持ACL)。　　Extreme公司三层交换产品解决方案，能够提供独特的以太网带宽分配能力，切割单位为500kbps或200kbps，服务供应商可以根据带宽使用量收费，可实现音频和视频的固定延迟传输。　　AlliedTelesyn公司Rapier24三层交换机提供的PPPoE特性，丰富和完善了用户认证计费手段，可适合多种接入网络，应用灵活，易于实现业务选择，同时又保护目前用户的已有投资，另可配合NAT（HYPERLINK"http://baike.baidu.com/view/875777.htm"\t"_blank"网络地址转换）和DHCP的Server等功能，为许多服务供应商看好。总之，三层交换机从概念的提出到今天的普及应用，虽然只历经了几年的时间，但其扩展的功能也不断结合实际应用得到丰富。随着ASIC硬件芯片技术的发展和实际应用的推广，三层交换的技术与产品也会得到进一步发展。三层交换技术与其他技术的对比　　可以看出，二层交换机主要用在小型局域网中，机器数量在二、三十台以下，这样的网络环境下，HYPERLINK"http://baike.baidu.com/view/3113391.htm"\t"_blank"广播包影响不大，二层交换机的快速交换功能、多个接入端口和低廉价格为小型网络用户提供了很完善的解决方案。在这种小型网络中根本没必要引入路由功能从而增加管理的难度和费用，所以没有必要使用路由器，当然也没有必要使用三层交换机。　　三层交换机是为IP设计的，接口类型简单，拥有很强二层包处理能力，所以适用于大型局域网，为了减小HYPERLINK"http://baike.baidu.com/view/197497.htm"\t"_blank"广播风暴的危害，必须把大型局域网按功能或地域等因素划他成一个一个的小局域网，也就是一个一个的小网段，这样必然导致不同网段这间存在大量的互访，单纯使用二层交换机没办法实现网间的互访而单纯使用路由器，则由于端口数量有限，路由速度较慢，而限制了网络的规模和访问速度，所以这种环境下，由二层交换技术和路由技术有机结合而成的三层交换机就最为适合。　　路由器端口类型多，支持的三层协议多，路由能力强，所以适合于在大型网络之间的互连，虽然不少三层交换机甚至二层交换机都有异质网络的互连端口，但一般大型网络的互连端口不多，互连设备的主要功能不在于在端口之间进行快速交换，而是要选择最佳路径，进行负载分担，链路备份和最重要的与其它网络进行路由信息交换，所有这些都是路由完成的功能。　　在这种情况下，自然不可能使用二层交换机，但是否使用三层交换机，则视具体情况而下。影响的因素主要有HYPERLINK"http://baike.baidu.com/view/411702.htm"\t"_blank"网络流量、响应速度要求和投资预算等。三层交换机的最重要目的是加快大型局域网内部的数据交换，揉合进去的路由功能也是为这目的服务的，所以它的路由功能没有同一档次的专业路由器强。在网络流量很大的情况下，如果三层交换机既做网内的交换，又做网间的路由，必然会大大加重了它的负担，影响响应速度。在网络流量很大，但又要求响应速度很高的情况下由三层交换机做网内的交换，由路由器专门负责网间的路由工作，这样可以充分发挥不同设备的优势，是一个很好的配合。当然，如果受到投资预算的限制，由三层交换机兼做网间互连，也是个不错的选择。某企业划分多个vlan，连接在h3c介入交换机上，为了实现vlan之间的通信，采用三层交换机。因为企业需要和远程分支机构相连，以此，三层交换机连接在路由器上，路由器在连接远程分支机构。实验拓扑图如下：实验内容：1、vlan的划分说明：SW-2l-1SW-2l-2SW-2l-3Vlan1F0/1F0/1F0/1Vlan2F0/2-F0/4F0/2-F0/8F0/2-F0/6Vlan30/5-F0/8F0/9-F0/14F0/7-F0/14Vlan4F0/9-F0/14IP地址分配：Vlan1的计算机IP地址网段为：172.16.1.0255.255.0.0Vlan2的计算机IP地址网段为：172.16.2.0255.255.0.0Vlan3的计算机IP地址网段为：172.167.3.0255.255.0.0Vlan4的计算机IP地址网段为：172.16.4.0255.255.0.0在三层交换机SW-3l上F0/15启用路由接口，其IP地址配置为192.168.1.1255.255.255.252。在路由器RA的F0/0接口的IP地址配置为：192.168.1.2255.255.255.252。路由器RA的F0/1接口的IP地址配置为：192.168.1.1255.255.255.0。远程分支机构的计算机IP地址为：192.168.2.2255.255.255.0。（说明：在其实验中用路由器来模拟远程分支机构的计算机）。其DHCPSRV服务器的IP地址配置为192.168.3.2255.255.255.0。2、配置步骤第一步:核心交换机配置SW-3l-11)配置配置trunk线路2)配置vtp和vlan(三层交换机上)3)配置三层交换机vlan之间的通信4)设置连接路由器的接口IP5)设置静态路由第二步:接入交换机配置SW-2l-1的配置1)配置trunk线路2)配置vtp3)将端口加入vlan中SW-2l-2的配置1)配置trunk线路2)配置vtp3)将端口加入vlan中SW-2l-3的配置1)配置trunk线路2)配置vtp3)将端口加入vlan中第三步:计算机的配置（也就是远端分支机构的计算机）对其分别进行如下配置1.取消路由功能noiprouting2.设置pc机的默认网关ipdefault-gataway192.168.2.13.设置pc机的IP地址：192.168.2.2255.255.255.0第四步:核心路由器的配置RouterA1.设置路由器的接口IP2.设置静态路由第五步：在三层交换机配置DHCP服务什么是DHCP？DHCP称为动态主机配置协议，这个协议的用途是动态的分配IP地址。DHCP中继默认的情况下，DHCP只能在vlan内部使用，要是其他vlan也要使用DHCP怎么半，这就需要配置DHCP中继。因此，解决这个问题就是在三层交换机上配置DHCP中继。让三层交换机能够将DHCP这种特殊的广播信息在不同的vlan之间进行转发，让其他vlan的客户端也能从DHCP服务器里获得IP地址。进行结果验证：在远程机构的计算机上对其路由器接口F0/0，及其各个vlan地网关都能够ping通，说明我们的远程计算机能够和其内部的计算机能通信：ROS双网卡，LAN连接内网，WAN连接交换机。首先你拿到一款带802.1q的交换机后，最好是打个电话去厂家问一下，vlanmac地址学习方式是IVL还是SVL，SVL的就可以不往下看了:lol，再就是你有多少线路接入，交换机有多少端口，是否有千兆端口，可以根据这些来规划这个vlan怎么划分，以24口全百兆为例，最多可以接入23条，一个口和ROS连接，因为是一个百兆的口承载了这23口的流量，如果你的23条线的接入总带宽不超过100M的话，那么完全可以把1-23口分别划为vlan1-vlan23,24口承载它们的流量，基本的方法就是vlan1untag端口1，tag端口24，vlanid1;vlan2untag端口2，tag端口24,vlanid2，依次类推，就是说每个vlan里都要把24口加进去，并且要打上tag，然后每个端口的pvid1-23口分别为1-23,pvid和vlanid是两个东西，做的时候注意两边都要设置，这里说下为什么不用trunk，trunk是用来交换机与交换机连接的，比如你两台交换机都划4个口为trunk，再用四条线把它们连接起来，这样两台交换机之间的带宽就是普通的用一根网线连起来的4倍，并且断了一条线另外三条还能继续工作，起到一个带宽汇聚和线路冗余的作用，当然这里也可以把24口划分为trunk，然后tag的时候选trunk口就是了，如果你这23条线的总带宽超过了100M的话，那么最简单的办法就是换一台带千兆口的交换机，tag口选为千兆口，如果没有的话，那台24口的就要重新规划一下，并且再给ROS加一张网卡，交换机1-11口为vlan1-11,tag口选为23，12-22为vlan12-vlan22，tag选为24口，然后23口和24口分别连接两个wan网卡，交换机基本上也就是这么设置了。再说说ros的设置，ROS里再建立vlan1-vlan23,接口选择和交换机24口连接的那个网卡，vlan名字可以随便，vlanid要和交换机里的对应上，ros是可以识别tag标签的，由于ROS里的vlan都是虚拟的接口，不像交换机那样有个实实在在的端口在上面，打了tag的端口是可以透传vlan的信息的，相同的vlan之间是处于一个广播域里的，所以在ROS里划分的vlan1和交换机里的vlan1，也就是我们这里的第一个口是处于同一个广播域里的，那它们肯定是可以通信的，说的直白点你可以这么理解，就是把ros里划分的vlan口看成是交换机上的口就行了，就把交换机看成是一张23口的网卡，再把拨号连接建在这些vlan口上，某些地方可能ISP会限制相同的mac地址建立多个会话，因为你的ros里的vlan是建在一个网卡上的，这些vlan的mac地址就是和这个网卡的mac地址一样了，这时候就需要用到桥接口了，建立23个桥接口，前接口最下边有个adminmac的选项是可以随便填写mac地址的，你就随便复制个网卡的mac地址，再把最后两位改一下，每个桥的都要改并且都不一样的，然后在port里选择，vlan1放到第一个桥，依次类推，最后把pppoe拨号接口选择为对应的桥接口就OK了