用三层交换机实现大中型企业VLAN方案

电子信息学院本科毕业设计开题报告论文题目VLAN及三层交换在企业网中应用学生姓名专业班级性别男一、课题研究意义及现状VLAN技术在企业网络中的应用 VLAN 即是虚拟网是一种通过将局域网内的设备逻辑划分成一个个网段从而实现虚拟工作组的新兴技术，现代企业网络规划越来越大，网络主机也越来越多，广播报文泛滥，严重影响网络的利用率。

第三层交换(IP交换技术)是相对于传统交换概念而提出的。

传统的交换技术是在0SI网络标准模型中的第二层数据链路层进行操作的。

而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。

将第二层的交换机与第三层的路由器合二为一，使路由器根据第二层的地址转发数据包以达到快速通讯。

这就形成了第三层交换。

三层交换技术的出现，解决了局域网中网段划分之后。

2006年大规模爆发的ARP病毒，就造成很多企业网络瘫痪，VLAN技术的应用很好的解决了这些问题。

由于VLAN是逻辑上对网络进行划分，组网方案灵活，配置管理简单，降低了管理维护的成本。

目前，广域网和局域网技术得到广泛的推广和应用，尤其是局域网技术发展更快，从传统VLAN 到交换VLAN，在发展到现在的虚拟网，在技术方面前进了一大步，也会有更加辽阔的空间领域。

二、课题研究的主要内容和预期目标1、VLAN 及三层交换机的阐述（1）、VLAN的特性（2）、VLAN的类型及实现原理（3）、VLAN间路由的需求（4）、三层交换机基础介绍2、VLAN在企业网中的应用（1）、如何实现虚拟局域网（2）、局域网的划分（3）、三层交换技术（4）、VLAN交换机的互联和通信3、VLAN常见问题及维护（1）、地址解析协议攻击（2）、虚拟局域网中继协议攻击（3）、VLAN常见的故障与排除4、VLAN的发展前景（1）、VLAN在企业网中的实际应用前景三、课题研究的方法及措施1、我们要查询书籍熟悉交换机和路由器，弄懂指令和信令，弄懂VLAN的配置和应用，让我们能构建一个虚拟的企业网。

实验9通过三层交换机实现VLAN间通信的配置
实验目的：熟练掌握三层交换机VLAN的配置
实验设备：２台Catalyst2950交换机，1台三层交换机Catalyst3560,交叉线2条，4台WindowsPC机，超级终端，反转线及相应接口转换器。

实验要求：
通过配置三层交换机使不同VLAN的电脑能够互相通信
硬件连接：
实验命令：利用命令进行VLAN配置(CLI) (以3560为例)
1、给每个虚拟网配置一个网关地址，并激活
全局模式Int vlan 虚拟网号
VLAN模式Ip address 地址子网掩码
VLAN模式No shut
2、trunk端口的设置：
接口模式switchport 表示启用二层交换（默认，未启用三层交换）
switchport trunk encapsulation dot1q
该trunk端口按IEEE 802.1Q协议封装数据包
说明：vlan间的路由协议有ISL（思科专用）和802.1Q（多种交换机支持）
switchport mode trunk
switchport trunk allowed vlan all允许所有VLAN通过（默认）
实验步骤：
请学生自行设计
实验结果：
同一个虚拟网的电脑、不同一个虚拟网的电脑均可以互相通信。

三层交换机实现VLAN间通信前言在一个企业网络或数据中心网络中，往往需要将不同的用户组或业务分隔开，避免数据泄露和冲突。

为了实现这种隔离，我们可以使用 VLAN，即虚拟局域网。

通过将不同用户或业务分配到不同的 VLAN 中，可以隔离不同用户组或业务，从而提高网络的性能和安全性。

什么是三层交换机三层交换机是一种能够在网络中进行 IP 路由的交换机。

它可以在不同的 VLAN 之间进行路由，从而实现不同 VLAN 之间的通信。

三层交换机相较于普通的二层交换机，在交换机内部增加了路由模块，可以进行 IP 路由和子网划分等功能。

它在网络中起到了连接不同子网并提高网络吞吐量的作用。

1.高性能三层交换机支持硬件转发，可以实现数据包的快速转发，提高网络吞吐量。

因此，三层交换机适合用于网络中的主干区和汇聚区。

2.良好的扩展性三层交换机支持多种端口和模块，可以实现快速扩展和升级。

此外，三层交换机还可以支持多种协议，并且方便管理。

3.提高网络安全性由于三层交换机支持 VLAN 和 IP 路由功能，因此可以实现网络分割，提高网络的安全性。

同时，三层交换机还可以支持 QoS、ACL 等功能，进一步提高网络的安全性和可靠性。

1.路由方式路由方式可以实现不同 VLAN 之间的通信，因为路由器可以在不同的子网之间转发数据包。

在实际应用中，将三层交换机的某些接口划分为路由接口，并将其与路由器相连，从而实现 VLAN 间的通信。

使用路由方式实现 VLAN 间通信的示意图如下：2.子接口方式在前述的示意图中，三层交换机会将端口 VLANs 10，20，30 划分为三个子接口，这些子接口与路由器相连。

使用子接口方式时，需要注意使用 IEEE 802.1Q 标准来标识VLAN ID。

两种方式的比较：1.路由方式可以实现不同 VLAN 之间的通信，但需要较多的路由器接口和配置，操作不太方便。

而子接口方式可以将多个 VLAN 的通信实现在同一个物理接口上，方便管理和配置。

. 三层交换机实现VLAN通信：1) 拓扑图：2) 步骤：Ø创建VLAN：l 创建vlan10：l 创建vlan20：l 查看Ø把端口划分在VLAN中：l f0/1与f0/2划分在vlan10上：l f0/3与f0/4划分在vlan20上：l 查看：Ø开启路由功能：这时SW1就启用了三层功能Ø给VLAN接口配置地址：l vlan10接口配置地址：在VLAN接口上配置IP地址即可，vlan10接口上的地址就是PC-1、PC2的网关了，vlan20接口上的地址就是PC-3、PC-4的网关了。

l vlan20接口配置地址：l 查看SW1上的路由表：和路由器一样，三层交换机上也有路由表要配置三层交换机上启用路由功能，还需要启用CEF（命令为：ip cef），不过这是默认值。

和路由一样，三层交换机上同样可以运行路由协议。

Ø给PC机配置网关：分别给PC-1、PC-2、PC-3、PC-4配置IP地址和网关，PC-1、PC-2的网关指向：192.168.1.254，PC-3、PC-4的网关指向：192.168.2.254。

如果计算机有两张或两张以上的网卡，请去掉其他网卡上设置的网关。

Ø注意：也可以把f0/1、f0/2、f0/3、f0/4接口作为路由接口使用，这时他们就和路由器的以太网接口一样了，可以在接口上配置IP地址。

如果S1上的全部以太网都这样设置，S1实际上成了具有24个以太网接口的路由器了，不建议这样做，这样做太浪费接口了，配置实例：no switchport配置该接口不再是交换接口了，成为路由接口。

下面是路由器试验的单臂路由功能1) 单臂路由实现原理：VLAN间的主机通信为不同网段间的通信，需要通过三层设备对数据进行路由转发才可以实现，在路由器上对物理接口划分子接口并封装802.1q协议，使每一个子接口都充当一个VLAN 网段中主机的网关，利用路由器的三层路由功能可以实现不同VLAN间的通信。

企业三层交换网络VLAN与RouterOS解决方案以RouterOS 2.9.27和H3C S5500为例。

由上图可知,现在交换机上划分4个VLAN,每个VLAN的接口地址如上图所示,现将交换机VLAN1接口与Ros路由LAN口相连,各VLAN通过VLAN1上网。

一、ROS配置1. ROS内网地址：192.168.1.254/242. NAT转换ip / firewall / natsrc-address=192.168.0.0/16 action=masquerade3. 给ROS指回头路由到三层交换机ip route add dst-address=192.168.1.0/24 gateway=192.168.1.1ip route add dst-address=192.168.2.0/24 gateway=192.168.1.1ip route add dst-address=192.168.3.0/24 gateway=192.168.1.1ip route add dst-address=192.168.4.0/24 gateway=192.168.1.1上面的这几行可以用下面这行代替ip route add dst-address=192.168.0.0/16 gateway=192.168.1.1二、H3C5500交换机配置<H3C>sysSystem View: return to User View with Ctrl+Z.[H3C]vlan 2 */依次创建vlan配置ip地址默认的vlan1和路由同网段[H3C-vlan2]port g1/0/2[H3C-vlan2]int vlan 2[H3C-Vlan-interface2]ip add 192.168.2.1 24[H3C-Vlan-interface2]vlan 3[H3C-vlan3]port g1/0/3[H3C-vlan3]int vlan 3[H3C-Vlan-interface3]ip add 192.168.3.1 24[H3C-Vlan-interface3]vlan 4[H3C-vlan4]port g1/0/4[H3C-vlan4]int vlan 4[H3C-Vlan-interface4]ip add 192.168.4.1 24[H3C]ip route 0.0.0.0 0.0.0.0 192.168.1.254 */配置缺省路由三、客户机设置客户机不能上网检查线路连接是否正确确保客户机设置的网关为其所属VLAN的IP地址，使用ping命令ping路由LAN口IP 若不通，则交换机默认路由设置错误。

三层交换机实现VLAN互通实例随着企业内部流量的逐步增大，使用路由器的独臂路由功能来实现不同VLAN间互访已不能满足企业用户的需求。

这时我们可以使用转发速度较快的三层交换机来实现这些功能。

通过在三层交换上配置相应的VLAN地址(即网关地址)，让不同VLAN的用户通过三层交换的中继链路实现快速的互访。

实验拓扑:实验步骤v在2层交换机上配置VLANSW-2L(config)#VLAN 2SW-2L(config-VLAN)#VLAN 3SW-2L(config-VLAN)#exit配置所需要的接口加入到VLAN中SW-2L(config)#interface range f0/2SW-2L(config-if-range)#switchport mode accessSW-2L(config-if-range)#switchport access VLAN 2SW-2L(config)#interface range f0/3SW-2L(config-if-range)#switchport mode accessSW-2L(config-if-range)#switchport access VLAN 3v在2层交换机上配制Trunk接口SW-2L(config)#interface f0/1SW-2L(config-if)#switchport mode trunkv 在3层交换机上配置与2层交换机相同的VLAN(配置步骤与方法相同，也可以配置一台交换机为VTP域服务器，其它交换机为VTP 域客户端来自动学习VLAN信息)SW-3L(config)#VLAN databaseSW-3L(config-VLAN)#VLAN 2SW-3L(config-VLAN)#VLAN 3SW-3L(config-VLAN)#exitv在3层交换机上配置中继接口SW-3L(config)#interface f0/1SW-3L(config-if)#switchport trunk encapsulation dot1qSW-3L(config-if)#switchport mode trunkv在3层交换机上启动路由SW-3L(config)#ip routingv在3层交换机上配置各VLAN的IP地址SW-3L(config)#interface VLAN 1SW-3L(config-if)#ip address 192.168.1.1 255.255.255.0SW-3L(config-if)#no shutSW-3L(config)#interface VLAN 2SW-3L(config-if)#ip address 192.168.2.1 255.255.255.0SW-3L(config-if)#no shutSW-3L(config)#interface VLAN 3SW-3L(config-if)#ip address 192.168.3.1 255.255.255.0SW-3L(config-if)#no shutv在3层交换机上查看路由表SW-3L#show ip routeSW-3L #sh ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2ia - IS-IS inter area, * - candidate default, U - per-user static routeo - ODR, P - periodic downloaded static routeGateway of last resort is not setC 192.168.1.0/24 is directly connected, VLAN1C 192.168.2.0/24 is directly connected, VLAN2C 192.168.3.0/24 is directly connected, VLAN3v在主机192.168.2.2上ping 192.168.3.2在这里，主机也是用路由器模拟的，这里举一台的配置为例：Router#conf tRouter(config)#host PC2PC2(config)#int f0/2PC2(config-if)#no swPC2(config-if)#ip add 192.168.2.2 255.255.255.0PC2(config-if)#no shutPC2(config-if)#exitPC2(config)#ip default-ga 192.168.2.1PC2(config)#no ip routingPC2#ping 192.168.3.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.3.2, timeout is 2 seconds:Success rate is 100 percent (5/5), round-trip min/avg/max = 96/143/232 msv查看FIB (FIB，即转发信息库。

网络配置教程（3）——锐捷、华为利用三层交换机实现VLAN间路由网络配置教程（3）——锐捷、华为利用三层交换机实现VLAN间路由【实训目的】（1）掌握交换机Tag VLAN的配置；（2）掌握三层交换机基本配置方法；（3）掌握三层交换机VLAN路由的配置方法；（4）通过三层交换机实现VLAN间相互通信；【技术原理】三层交换机具备网络层的功能，实现VLAN相互访问的原理是：利用三层交换机的路由功能，通过识别数据包的IP地址，查找路由表进行选路转发。

三层交换机利用直连路由可以实现不同VLAN之间的互相访问。

三层交换机给接口配置IP 地址，采用SVI（交换虚拟接口）的方式实现VLAN间互连。

SVI是指为交换机中的VLAN创建虚拟接口，并且配置IP地址。

【背景描述】某企业有两个主要部门，技术部和销售部，分处于不同的办公室，为了安全和便于管理对两个部门的主机进行了VLAN的划分，技术部和销售部分处于不同的VLAN。

现由于业务的需求需要销售部和技术部的主机能够相互访问，获得相应的资源，两个部门的交换机通过一台三层交换机进行了连接。

【实训内容】（1）在二层交换机上配置VLAN2、VLAN3，分别将端口2、端口3划到VLAN2、VLAN3；（2）将二层交换机与三层交换机相连的端口F0/1都定义为tag vlan 模式；（3）在三层交换机上配置VLAN2、VLAN3，此时验证二层交换机VLAN2、VLAN3下带主机之间不能互相通信；（4）设置三层交换机VLAN间通信，创建VLAN2、3的虚拟接口，并配置虚拟接口VLAN2、3的IP地址；（5）查看三层交换机路由表（6）将二层交换机VLAN2、VLAN3下的主机默认网关分别设置为相应虚拟接口的IP地址；（7）验证二层交换机VLAN2、VLAN3下的主机之间可以互相通信；【实训拓扑】【实训步骤】——锐捷实验（1）在二层交换机上配置VLAN2、VLAN3，分别将端口2、端口3划到VLAN2、VLAN3；Switch# configure terminalSwitch(config)# vlan 2 (创建VLAN2)Switch(config-vlan)#endSwitch# configure terminalSwitch(config)# interface fastethernet 0/2 （进入交换机接口0/2）Switch(config-if)# switchport access vlan 2 （将端口划到VLAN 2）Switch(config-if)# endVLAN3的配置，端口的划分方法同上；(2) 两主机互ping,不通；(3) 定义二层交换机与三层交换机相连的端口F0/1为tag vlan 模式；Switch# configure terminalSwitch(config)# interface fastethernet 0/1 （进入交换机接口0/1）Switch(config-if)# switchport mode trunk （将端口设置为trunk）Switch(config-if)# switchport trunk allowed vlan all //允许所有vlan 通过，设置trunk模式就已经允许所有通过，因此可以省略不写。

用三层交换机实现大中型企业VLAN方案用三层交换机实现大中型企业VLAN方案企业规模的扩大造就了企业网络规模的不断膨胀，众多企业在扩展网络规模时采纳了在原有的网络上直接增加计算机的方法来实现，随之而来的确实是网络体系变得越来越复杂，对网络的治理也变得越来越困难，网内的安全指数也变得越来越低，同时网络资源的利用率也大大降低，如何行之有效的治理网络和合理利用网络资源成为企业最大的难题。

采纳VLAN方式划分网络体系能够让治理员更加方便的治理企业网络，而VLAN网络灵活的扩展能力也让企业网络规模在不断扩大的同时可不能出现网络混乱的情况，VLAN网络所具有的操纵广播风暴能力让企业网络资源的性能得到大幅度提高，同时VLAN网络还具有治理简单，安全性高的特点。

因此，在网络最初的设计中采纳VLAN方式能够对网络今后的扩展带来极大的好处。

在一般的小型企业中，采纳路由器方式划分VLAN是一种节约成本的方法，只是在大中型企业中，采纳路由器方式划分VLAN会严峻阻碍企业网络的性能，而VLAN间的通信必需通过路由才能实现，因此，具有路由功能的三层交换机被广泛应用于大中型企业VLAN网络中。

但我们必需清晰一点，确实是采纳三层交换机的VLAN网络同样需要路由器，只只是路由器只是企业网络和互联网的连接工具，VLAN间的通信可不能靠路由器来实现。

三层交换机构建的VLAN网络结构VLAN网络的划分最大的特点就在于它的灵活性，而采纳VLAN方式划分网络要紧有静态VLAN和动态VLAN方式，静态VLAN实际上就基于端口的VLAN，这种划分方式由于要治理员对每个交换机的端口都要进行配置，显得特不复杂，一般不采纳这种方式。

动态VLAN又分为三种划分方式，基于子网的VLAN，基于MAC地址的VLAN，基于用户的VLAN。

这三种方式各有各的特点，因此，我们在划分VLAN网络的时候能够灵活搭配，例如移动用户由于外置无线网卡随时可能被更换，因此我们对移动用户可采纳用户的VLAN划分方式，将这部分划为一个基于用户的VLAN。