ROSVLAN地设置通用法则.doc

《ROSVLAN地设置通用法则.doc》由会员分享，可在线阅读，更多相关《ROSVLAN地设置通用法则.doc（28页珍藏版）》请在三一办公上搜索。

1、以下是ROS VLAN的设置通用法如此，其他交换机可以采用类似的思路是一样的，并且在华为和SSR等名牌设备上都做通了 5 y6 _2 9 P: v8 Z2 f1 _0 K4 r$ V8 v6 N5 o6 0 K* K% p0 K1、设置交换机： 9 n# j5 i. f2 , 2 9 h0 E2 X; V) P M# G j 1、1 添加相应VLAN 9 W+ R2 W* z! k; m- x8 5 ?( S / ) iset vlan 111 name office type ethernet mtu 1500 said 100111 state active set vlan 112 na

2、me factory type ethernet mtu 1500 said 100112 state active + l4 ) e3 O, ?set vlan 113 name school type ethernet mtu 1500 said 100113 state active 5 F. R# v Z6 X3 z% N9 Kset vlan 114 name c type ethernet mtu 1500 said 100114 state active Y h! : /以上是设置了111-114 VLAN的名字等参数。 9 e7 R# e v8 N/ Q1、2 将111-114

3、的VLAN分配各个相应端口 % M+ g c. q8 1 Z% d3 F2 p! g: D$ v2 ( P- 4 H& Zn set vlan 111 2/7 # E7 k; T N: m ) Q7 eset vlan 112 2/9 + C9 L# d0 & uset vlan 113 2/11set vlan 114 2/13 接网线：1112/7接办公楼；1122/9接集团工厂车间；1132/11接集团子弟学校；1142/13接网通出口。+ f4 c | S9 I( P好象没有ROS什么事呀？先别急，等一会再说 1、3 配置VLAN干线 clear trunk 2/5 2-110,115

4、-1005 W3 V# cq1 E2 K/以上也许可以省略，目的是将其他与ROS无关的VLAN抛开 set trunk 2/5 on dot1q 1,111-114 * p% o6 s+ g, 3 z- G/将2/5设置为TRUNK口，vlan的封装类型一定要用dot1q，因为ROS仅支持标准802.1q的vlan，因此采购其他的交换机也要支持802.1q的交换机，有些市面交换机只支持私有的VLAN协议 同样，如果选CISCO的交换机，也要注意不能配置成ISL的VLAN，如果MIKROTIK购置CISCO的协议，ROS就不会那么廉价了！( i* Q# h) T* /这个口子就插ROS的ethe

5、r1 /ether1是外口还是内口？都是！ /晕了？继续向下看- 2、设置ROS 其实很简单： 2、1 创建VLAN并参加到ether1 . b4 r2 p# r# 7 z1 t / interface vlan add name=office mtu=1500 arp=enabled vlan-id=111 interface=ether1 disabled=no add name=factory mtu=1500 arp=enabled vlan-id=112 interface=ether1 disabled=no 1 c9 G. f4 T) z) Xadd name=school mt

6、u=1500 arp=enabled vlan-id=113 interface=ether1 disabled=no , ?9 d4 c2 5 7 , d1 L2 radd name=c mtu=1500 arp=enabled vlan-id=114 interface=ether1 disabled=no /虽然语法和CISCO不一样，但道理是一样的 /注意要点，这里的VLAN ID与前面交换机的要一一对应，VLAN名称有些交换机可以不对应，但有些交换机要求较严格，不对应不通 2、2 使用VLAN，VLAN的使用非常简单，把它们象普通网卡那样对待就可以了 ip address add a

7、ddress=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=office ment= disabled=no 4 u( O. M/ n! j2 X8 A5 Madd address=192.168.1.1/30 network=192.168.1.0 broadcast=192.168.1.255 interface=factory ment= disabled=no ! I3 u& L( k+ g$ r5 c: H1 oadd address=192.168.2.1/24 network=192.16

8、8.2.0 broadcast=192.168.2.255 interface=school ment= disabled=no x! E/ H aK. t1 G$ add address=221.38.156.42/30 network=221.38.156.40 broadcast=221.38.156.43 interface=c ment= disabled=no : B) N: ?6 L$ ! V8 i! /以上是给各个vlan设置地址) 2 r4 Q# BM0 E6 K0 2 |- E/ 8 Z( p s, d0 ?4 p9 |; 2、3 做其他必要设置 - p9 f C4 N:

9、o4 o9 b+ V, ?/ ip route add dst-address=0.0.0.0/0 preferred-source=0.0.0.0 gateway=221.38.156.41 distance=1 ment=added by setup disabled=no /添加缺省路由d: 0 W& , _5 r& f! e- dA1 Q9 |# ?/ ip firewall src-nat add src-address=192.168.0.0/16 out-interface=c action=masquerade ment= disabled=yes $ M1 ! F 7 S8

10、N/配置NAT转发 /好了，现在可以上网了，ROS只用了单网卡，并且各个VLAN间可以互访了 + ?1 sMB4 f8 m3、一句话总结： 创建设置VLAN并一一对应=将端口分配VLAN=建立VLAN干线=象普通网卡那样使用VLAN! # E( e8 h1 T8 G* d* L9 Z0 0 Z% & 9 K0 _1 M+ p; o4 Y- d4 4、相关话题：TRUNK不也是要求一一对应的吗？ 没错，不过ROS自动识别，不需要特别建立，但需要注意硬件兼容性：8139和INTEL网卡是支持VLAN的，但其他网卡未经测试，不敢保证能通。实例讲解三层交换机配置中关于VLAN划分以与设置问题DGS-3

11、627三层交换机配置的24口接到路由器的LAN口上面，路由器的LAN口地址是192.168.0.99，跟VLAN40是在同一个IP段里面，那么，客户机、三层交换机配置和路由器里面怎么设置才能让电脑上网呢？实例讲解三层交换机配置中关于VLAN划分以与设置问题，三层交换机配置中不能防止的就是关于vlan的划分和配置问题，一般情况下划分为4种，如何找回就成了我们关注的问题，本文从划分情况原理，配置思路以与测试过程上深入讲解了vlan的设置步骤。DGS-3627交换机的IP地址是192.168.0.1，它同时也是VLAN40的虚接口地址，Vlan40与路由器连接。DGS-3627交换机的24口接到路由

12、器的LAN口上面，路由器的LAN口地址是192.168.0.99，跟VLAN40是在同一个IP段里面，那么，客户机、三层交换机配置和路由器里面怎么设置才能让电脑上网呢？三层交换机配置VLAN划分情况如下： 交换机接口：1号口 VID：10interface：if10 交换机接口：2号口 VID：20interface：if20 交换机接口：3号口 VID：30interface：if30 交换机接口：4-24号口 VID：40interface：system创建一条默认路由在路由器上设几条静态路由：三层交换机配置客户端设置，2网段为例三层交换机配置了虚接口后，各个Vlan之间是可以互访的，如果

13、需要对用户的访问进展控制可以使用访问控制列表进展管理。访问控制方面，设置一下acl就可以了：允许所有用户上网： create access_profile ip source_ip_mask 255.255.0.0 destination_ip_mask 255.255.255.255 profile_id 1 permit三层交换机配置所有网段允许访问服务器所在公共网段vlan10：create access_profile ip source_ip_mask 255.255.0.0 destination_ip_mask 255.255.255.0 profile_id 5 permit三

14、层交换机配置禁止Vlan之间互访：create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0 profile_id 10 denyconfig access_profile profile_id 10 add access_id 1 ip source_ip 192.168.2.0 destination_ip 192.168.0.0 denyconfig access_profile profile_id 10 add access_id 2 ip source_ip 192.

15、168.2.0 destination_ip 192.168.3.0 denyconfig access_profile profile_id 10 add access_id 3 ip source_ip 192.168.0.0 destination_ip 192.168.2.0 denyconfig access_profile profile_id 10 add access_id 4 ip source_ip 192.168.0.0 destination_ip 192.168.3.0 denyconfig access_profile profile_id 10 add acces

16、s_id 5 ip source_ip 192.168.3.0 destination_ip 192.168.2.0 denyconfig access_profile profile_id 10 add access_id 6 ip source_ip 192.168.3.0 destination_ip 192.168.0.0 deny第三层交换正迅速开展成可作为下一代应用启动平台的最适合的网络技术。本文将详细介绍此项技术以与如何部署第三层交换才能获得最大效率。 第三层交换是局域网许多区域(包括核心和服务器集中点)的关键组件，因为该项技术能解决许多在性能、安全和控制等方面的问题。然而，在一

17、些网络区域，该项技术的使用效果并不十分显著，尤其是在桌面连接方面。本文将会重点讨论这种网络性能较低的情况，特别是在新一代高级第四层桌面交换技术已经能够提供高性能和控制能力的今天。本文也将详细阐述第二(四)层交换机是如何提供本钱更低、更加简单、更易于管理的桌面解决方案。 简介任何一种新技术进入市场时，都要经历业界专业人员对伴随这种技术的新术语和“技术行话进展筛选的阶段。这些新的技术术语往往会造成迷惑，甚至自相矛盾，具体情况取决于供给商使用它们的方式。“第三层交换和有关的技术也不例外，随着越来越多交换机和路由器技术的推出，有关它们技术术语的迷惑只会增多。 比如，第三层交换、第四层交换、多层交换、多

18、层数据包分类和路由交换机等新术语就令交换机和路由器之间的传统区别变得模糊起来。此外，由于许多供给商在原本用于布线室的第二层交换机平台上提供了第三层交换技术，从而让人更加迷惑不解。这些变化使网络设计人员很难了解如何部署高效的网络解决方案。因此，必须去伪存真，并专注于根底知识，才能真正了解何时、何地以与为什么采用第三层交换。 第三层交换技术的根本原理第三层交换是在网络交换机中引入路由模块而取代传统路由器实现交换与路由相结合的网络技术。它根据实际应用时的情况，灵活地在网络第二层或者第三层进展网络分段。具有三层交换功能的设备是一个带有第三层路由功能的第二层交换机，但它是二者的有机结合，并不是简单地把路

19、由器设备的硬件与软件叠加在局域网交换机上。 第三层交换机的设计基于对IP路由的仔细分析，把IP路由中每个报文都必须经过的过程提取出来，这个过程是十分简化的过程。IP路由中绝大多数报文是不包含选项的报文，因此在多数情况下处理报文IP选项的工作是多余的。不同网络的报文长度是不同的，为了适应不同的网络，IP要实现报文分片的功能，但是在全以太网的环境中，网络的帧长度是固定的，因此报文分片也是一个可以省略的工作。第三层交换技术没有采用路由器的最长地址掩码匹配的方法，而是使用了准确地址匹配的方法处理，这样，有利于硬件的实现快速查找。它采用了使用高速缓存的方法，把最近经常使用的主机路由放到了硬件查找表中，只

20、有在这个高速缓存中无法匹配的项目才会通过软件去转发。在存储转发过程中使用了流交换方式，在流交换中，分析第一个报文确定其是否表示了一个流或者一组具有一样源地址和目的地址的报文。如果第一个报文具有了正确的特征，如此该标识流中的后续报文将拥有一样的优先权，同一流中的后续报文被交换到基于第二层的目的地址上，现在的三层交换机为了实现高速交换，都采用流交换方式。其在IP路由的处理上进展了改良，实现了简化的IP转发流程，利用专用的ASIC芯片实现硬件的转发，这样绝大多数的报文处理都可以在硬件中实现了，只有极少数报文才需要使用软件转发，整个系统的转发性能能够得以成千倍地增加，一样性能的设备在本钱上也得到大幅度

21、下降。 每个VLAN对应一个IP网段。在二层上，VLAN之间是隔离的，这点跟二层交换机中交换引擎的功能是一模一样的。不同IP网段之间的访问要跨越VLAN，要使用三层转发引擎提供的VLAN间路由功能。在使用二层交换机和路由器的组网中，每个需要与其他IP网段通信的IP网段都需要使用一个路由器接口作为网关。而第三层转发引擎就相当于传统组网中的路由器，当需要与其他VLAN通信时也要在三层交换引擎上分配一个路由接口，用来做VLAN的网关。三层交换机上的这个路由接口是在三层转发引擎和二层转发引擎上的，是通过配置转发芯片来实现的，与路由器的接口不同，它是不可见的。下面举个例子来说明通信过程。假设两个使用IP

22、协议的站点A、B通过第三层交换机进展通信，发送站A在开始发送时，把自己的IP地址与B站的IP地址比拟，判断B站是否与自己在同一子网内，假如目的站B与发送站A在同一子网内，如此进展二层的转发，假如两个站点不在同一子网内，如发送站A要与目的站B通信，发送站A要向三层交换机的三层交换模块发出ARP(地址解析)封包。当发送站A对三层交换模块的IP地址广播出一个ARP请求时，如果三层交换模块在以前的通信过程中已经知道B站的MAC地址，如此向发送站A回复B的MAC地址，否如此三层交换模块根据路由信息向B站广播一个ARP请求，B站得到此ARP请求后向三层交换模块回复其MAC地址，三层交换模块保存此地址并回复

23、给发送站A，同时将B站的MAC地址发送到二层交换引擎的MAC地址表中。从这以后，A向B发送的数据包便全部交给二层交换处理，信息得以高速交换。可见由于仅仅在路由过程中才需要三层处理，绝大局部数据都通过二层交换转发，三层交换机的速度很快，接近二层交换机的速度。 第三层交换技术的简单拓扑结构所用连接到骨干交换机的设备有服务器、交换机、集线器、工作站等。其中核心交换机是一台第三层交换机，通过它来划分两个不同的功能的逻辑子网，实现不同VLAN间的通信。从图1可以看出，在同一个VIAN虚拟子网内部三层交换机仅具有二层交换的功能，以保证传输速度的要求，而在不同的VIAN子网之间，三层交换机还起三层交换的作用

24、，能正确地进展ARP解析，以保证数据流的正确传输，同时它还支持组播、帧和包过滤、流量计算等功能，以确保安全性能与用户需求。 了解网络各层为了充分认识第三层交换，在此有必要对目前使用的大多数网络体系结构的强大分层模型进展分析。 如下列图，网络根底架构设备(如网桥、路由器和交换机)在传统上一直按 OSI 分层模型分类。 这种 OSI 模型目前仍然是数据网络的参考分层典X，因为它简化了两台计算机进展通信所要执行的任务，每层都具有特定的功能。OSI 模型定义了这些层的交互方式，并依次定义了各个网络组件的角色，从而决定了这些组件如何实现与分层网络的集成。 网络组件 交换机(第二层) 交换机在每个端口提供

25、一个独特的网络段，从而别离了冲突域。 路由器(第三层) 路由器可别离广播域，并能连接不同的网络。路由器是根据目标网络层的地址(第三层)而不是工作站数据链路层 MAC 地址来引导网络信息流。路由器通常基于软件，因此性能比第二层交换机相对缓慢。 第三层交换机(第三层) 第三层交换机可部署在使用传统路由器局域网的任何地方。第三层交换机中高级的 ASIC 技术可提供远远高于传统路由器的性能，使它们非常适合网络带宽密集的应用。另外，第三层交换机合并了典型路由器中相互别离的桥接(第二层)和路由(第三层)功能。这些技术的结合提供了一个能大大改良扩大能力的更加自然的网络体系结构。 第二层和第三层交换为掌握第三

26、层交换的优点以与如何更加有效地使用第三层交换，首先必须了解目前可用于网络设计的两种交换方式: 第二层交换、第三层交换(路由)。 交换是从一个接口接收，然后通过另一个接口发出的过程。第二层与第三层交换之间的区别在于用以确定正确输出接口的帧内信息类型。 在第二层交换中，帧的交换基于 MAC 地址信息。 在第三层交换中，帧的交换基于网络层信息，如 IP 地址。 第二层交换第二层交换是在前面所述的OSI 模型的数据链路层进展。它检查帧，并根据目标 MAC 地址转发帧。 如果知道目标地址，第二层交换机会将以太网帧转发到适当的接口。如果第二层交换机不知道将帧发送到何处，它会将该帧广播转发到所有端口，以了解

27、正确的目标地址。第二层交换机利用这种技术来建立和维护一个跟踪帧目标地址的交换表。 对于规模较大的网络来说，这种广播转发操作会产生严重的问题，因为所有这些广播的处理会造成性能的大幅度降低。该问题的解决方法将在本白皮书的稍后局部进展讨论。 第二层交换的优点由于第二层交换相对简单，网络管理员可以建立管理简便且能扩展到数百个节点的网络，而不会遇到太多的第二层广播问题。第二层交换机为网络提供了以下优点: l 高带宽：第二层交换机通过将专用带宽分配到每一个端口，为各个用户提供优异的性能。每一个交换机端口表示一个不同的网段，因此每个用户可以获得特定数量的带宽。此外，每个专用网段还能与单项业务一起接收广播业务

28、。 l VLAN：第二层交换机能够将各个端口组合到逻辑工作组(虚拟局域网或 VLAN)。每个 VLAN 组在逻辑上与交换机的其它局部别离，可帮助将第二层广播业务控制在特定的VLAN组。这提供了以下两个主要优点: 1. 网络设计人员可以利用 VLAN 来建造能防止特大第二层广播域问题的大型第二层网络。 2. 网络周围的移动、添加和更改更加容易，因为无论物理位置在哪里，用户始终在他们自己的 VLAN 中。 第三层交换机或路由器对 VLAN 通信不可缺少。 l 业务类别优先化：某些第二层交换机上的业务类别 (CoS) 优先化允许网络管理员根据协议、IP 地址和以太网类型等标准给不同类型的局域网业务分

29、配优先权级别。这使网络管理员可以根据协议、应用或用户控制业务流，从而确保更加高效的网络运转。 l 用户安全：第二层交换机提供了基于用户的稳健安全机质，这种机质基于网络登录 () 技术，可防止任何未经认证的用户接入网络。 第三层交换第三层交换在网络层进展。它检查数据包信息，并根据网络层目标地址转发数据包。与固定的第二层寻址系统不同，第三层地址由网络管理员安装的网络分层确定。IP、IPX 和 AppleTalk 等协议都使用第三层寻址。 使用第三层寻址系统，网络管理员可以创建地址组(子网)。这些子网可使网络管理员以一个单元(子网)的形式轻松地管理子网成员，从而支持建立一个能够扩展的分层寻址系统。

30、第三层寻址系统还比第二层系统更加动态。如果用户移动到另一个位置，其终端站会收到一个新的第三层地址，但第二层 MAC 地址保持不变。这类似于某个人从一个城市搬到另一个城市: 邮政地址将会改变，但个人某某和身份保持不变。因此，第三层路由网络能将逻辑寻址结构连接到物理根底架构，从而提供了一个比第二层网络更加灵活和更加可扩大的分层结构。 第三层交换的优点第三层交换提供以下优点: l 提高了网络效率：第三层交换机通过允许网络管理员在第二层 VLAN 进展路由业务，确保将第二层广播控制在一个 VLAN 内，降低了业务量负载。 l 可持续开展：由于 OSI 层模型的分层特点，第三层交换机能够创建更加易于扩展

31、和维护的更大规模的网络。 l 更加广泛的拓扑选择：基于路由器的网络支持任何拓扑，并能更轻易超过类似第二层交换网络的更大规模和复杂程度。 l 工作组和服务器安全：第三层设备能根据第三层网络地址创建接入策略，这允许网络管理员控制和阻塞某些 VLAN 到 VLAN 通信，阻塞某些 IP 地址，甚至能防止某些子网访问特定的信息。 l 更加优异的性能：通过使用先进的 ASIC 技术，第三层交换机可提供远远高于基于软件的传统路由器的性能。比如，每秒 4000 万个数据包对每秒 30 万个数据包。第三层交换机为千兆网络这样的带宽密集型根底架构提供了所需的路由性能。因此，第三层交换机可以部署在网络中许多具有更

32、高战略意义的位置。 第三层交换机的部署了解了第二层和第三层交换机的相对优点之后，就可以知道每一种交换机能够在网络中的哪些地方产生最大的效应。 80/20 法如此九十年代早期，经验法如此确立，它认为所有业务流的 80% 应在本地子网上，只有 20% 的业务流应传递到路由器。多年来，该法如此一直准确无误，而且路由器能够相当轻松地处理各种业务量级别。随着更多的广播业务被控制在特定的本地网段上，在第二层交换机上使用 VLAN 有一定的效用。 20/80 法如此但是，过去几年，建立了大量服务器来帮助改善安全和管理，加之越来越多地使用内部网和客户机/服务器服务，导致了局域网业务流的巨大变化。现在，所有业务

33、流的 80% 被传递到路由网络，只有大约 20% 的业务被控制在本地子网内。 这种新结构对路由网络提出了巨大的需求，因为用户每次访问位于不同子网上的服务器时，其通信业务都必须通过第三层设备(通常为每秒只能转发 30 万个数据包的路由器) 解决 20/80 法如此问题很明显，具有核心路由器的单层第二层网络不能扩大，而且其对当今的网络流性很差。因此，必须了解如何利用第三层交换机建立一个正确的分层设计。需要考虑以下三种网络组件: 网络核心、布线室集中点、桌面接入点 l 网络核心：核心网络组件在设计时应考虑性能和弹性。第三层交换机赋予了自己这种角色，因为它们通过分层寻址提供了自然的弹性，而且它们也提供

34、了远远优于传统路由器的性能。l 布线室集合点：该层可帮助为核心提供一个边界，并为桌面接入设备提供重要的服务。这些服务包括 VLAN 路由、安全、部门接入和地址集中。对于规模更大的网络安装，之所以需要第三层交换机是因为它给桌面交换机提供了正确的服务，并提供了路由到核心交换机所必需的性能。 第三层交换部署示例解决方案 1: 分支机构 在本例中，一个分支机构需要连接本地办公室和总部的服务器。第三层交换机被部署在网络主干，负责执行本地服务器、本地局域网业务以与到宽带路由器的第三层交换。 简单地说，三层交换技术就是：二层交换技术三层转发技术。它解决了局域网中网段划分之后，网段中子网必须依赖路由器进展管理

35、的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。 什么是三层交换三层交换也称多层交换技术，或IP交换技术是相对于传统交换概念而提出的。众所周知，传统的交换技术是在OSI网络标准模型中的第二层数据链路层进展操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说，三层交换技术就是：二层交换技术三层转发技术。 三层交换技术的出现，解决了局域网中网段划分之后，网段中子网必须依赖路由器进展管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。 三层交换原理一个具有三层交换功能的设备，是一个带有第三层路由功能的第二层交换机，但它是二者的有机结合，并不是简单地把路由器设备

36、的硬件与软件叠加在局域网交换机上。 其原理是：假设两个使用IP协议的站点A、B通过第三层交换机进展通信，发送站点A在开始发送时，把自己的IP地址与B站的IP地址比拟，判断B站是否与自己在同一子网内。假如目的站B与发送站A在同一子网内，如此进展二层的转发。假如两个站点不在同一子网内，如发送站A要与目的站B通信，发送站A要向“缺省网关发出ARP(地址解析)封包，而“缺省网关的IP地址其实是三层交换机的三层交换模块。当发送站A对“缺省网关的IP地址广播出一个ARP请求时，如果三层交换模块在以前的通信过程中已经知道B站的MAC地址，如此向发送站A回复B的MAC地址。否如此三层交换模块根据路由信息向B站

37、广播一个ARP请求，B站得到此ARP请求后向三层交换模块回复其MAC地址，三层交换模块保存此地址并回复给发送站A,同时将B站的MAC地址发送到二层交换引擎的MAC地址表中。从这以后，当A向B发送的数据包便全部交给二层交换处理，信息得以高速交换。由于仅仅在路由过程中才需要三层处理，绝大局部数据都通过二层交换转发，因此三层交换机的速度很快，接近二层交换机的速度，同时比一样路由器的价格低很多。 三层交换机种类三层交换机可以根据其处理数据的不同而分为纯硬件和纯软件两大类。 1纯硬件的三层技术相对来说技术复杂，本钱高，但是速度快，性能好，带负载能力强。其原理是，采用ASIC芯片，采用硬件的方式进展路由表

38、的查找和刷新。如图1所示。 图1 纯硬件三层交换机原理当数据由端口接口芯片接收进来以后，首先在二层交换芯片中查找相应的目的MAC地址，如果查到，就进展二层转发，否如此将数据送至三层引擎。在三层引擎中，ASIC芯片查找相应的路由表信息，与数据的目的IP地址相比对，然后发送ARP数据包到目的主机，得到该主机的MAC地址，将MAC地址发到二层芯片，由二层芯片转发该数据包。 2基于软件的三层交换机技术较简单，但速度较慢，不适合作为主干。其原理是，采用CPU用软件的方式查找路由表。如图2所示。 图2 软件三层交换机原理 当数据由端口接口芯片接收进来以后，首先在二层交换芯片中查找相应的目的MAC地址，如果

39、查到，就进展二层转发否如此将数据送至CPU。CPU查找相应的路由表信息，与数据的目的IP地址相比对，然后发送ARP数据包到目的主机得到该主机的MAC地址，将MAC地址发到二层芯片，由二层芯片转发该数据包。因为低价CPU处理速度较慢，因此这种三层交换机处理速度较慢。 市场产品选型 近年来宽带IP网络建设成为热点，下面以适合定位于接入层或中小规模会聚层的第三层交换机产品为例，介绍一些三层交换机的具体技术。在市场上的主流接入第三层交换机，主要有Cisco的Catalyst 2948G-L3、Extreme的Summit24和AlliedTelesyn的Rapier24等，这几款三层交换机产品各具特色

40、，涵盖了三层交换机大局部应用特性。当然在选择第三层交换机时，用户可根据自己的需要，判断并选择上述产品或其他厂家的产品，如北电网络的Passport/Acceler系列、原Cabletron的SSR系列在Cabletron一分四后，大局部SSR三层交换机已并入Riverstone公司、Avaya的Cajun M系列、3的Superstack3 4005系列等。此外，国产网络厂商神州数码网络、TCL网络、某某广电应确信、紫光网联、首信等都已推出了三层交换机产品。下面就其中三款产品进展介绍，使您能够较全面地了解三层交换机，并针对自己的情况选择适宜的机型。 Cisco Catalyst 2948G-L

41、3交换机结合业界标准IOS提供完整解决方案，在版本12.0(10)以上全面支持IOS访问控制列表 ACL，配合核心Catalyst 6000，可完成端到端全面宽带城域网的建设Catalyst 6000使用MSFC模块完成其多层交换服务，并已停止使用RSM路由交换模块，IOS版本6.1以上全面支持ACL)。 Extreme公司三层交换产品解决方案，能够提供独特的以太网带宽分配能力，切割单位为500kbps或200kbps，服务供给商可以根据带宽使用量收费，可实现音频和视频的固定延迟传输。 AlliedTelesyn公司Rapier24三层交换机提供的PPPoE特性，丰富和完善了用户认证计费手段，

42、可适合多种接入网络，应用灵活，易于实现业务选择，同时又保护目前用户的已有投资，另可配合NAT网络地址转换和DHCP的Server等功能，为许多服务供给商看好。 总之，三层交换机从概念的提出到今天的普与应用，虽然只历经了几年的时间，但其扩展的功能也不断结合实际应用得到丰富。随着ASIC硬件芯片技术的开展和实际应用的推广，三层交换的技术与产品也会得到进一步开展。 三层交换技术与其他技术的比照可以看出，二层交换机主要用在小型局域网中，机器数量在二、三十台以下，这样的网络环境下，广播包影响不大，二层交换机的快速交换功能、多个接入端口和低廉价格为小型网络用户提供了很完善的解决方案。在这种小型网络中根本没

43、必要引入路由功能从而增加管理的难度和费用，所以没有必要使用路由器，当然也没有必要使用三层交换机。 三层交换机是为IP设计的，接口类型简单，拥有很强二层包处理能力，所以适用于大型局域网，为了减小广播风暴的危害，必须把大型局域网按功能或地域等因素划他成一个一个的小局域网，也就是一个一个的小网段，这样必然导致不同网段这间存在大量的互访，单纯使用二层交换机没方法实现网间的互访而单纯使用路由器，如此由于端口数量有限，路由速度较慢，而限制了网络的规模和访问速度，所以这种环境下，由二层交换技术和路由技术有机结合而成的三层交换机就最为适合。 路由器端口类型多，支持的三层协议多，路由能力强，所以适合于在大型网络

44、之间的互连，虽然不少三层交换机甚至二层交换机都有异质网络的互连端口，但一般大型网络的互连端口不多，互连设备的主要功能不在于在端口之间进展快速交换，而是要选择最优路径，进展负载分担，链路备份和最重要的与其它网络进展路由信息交换，所有这些都是路由完成的功能。 在这种情况下，自然不可能使用二层交换机，但是否使用三层交换机，如此视具体情况而下。影响的因素主要有网络流量、响应速度要求和投资预算等。三层交换机的最重要目的是加快大型局域网内部的数据交换，揉合进去的路由功能也是为这目的服务的，所以它的路由功能没有同一档次的专业路由器强。在网络流量很大的情况下，如果三层交换机既做网内的交换，又做网间的路由，必然

45、会大大加重了它的负担，影响响应速度。在网络流量很大，但又要求响应速度很高的情况下由三层交换机做网内的交换，由路由器专门负责网间的路由工作，这样可以充分发挥不同设备的优势，是一个很好的配合。当然，如果受到投资预算的限制，由三层交换机兼做网间互连，也是个不错的选择。某企业划分多个vlan，连接在h3c介入交换机上，为了实现vlan之间的通信，采用三层交换机。因为企业需要和远程分支机构相连，以此，三层交换机连接在路由器上，路由器在连接远程分支机构。实验拓扑图如下：实验内容：1、 vlan的划分说明： SW-2l-1 SW-2l-2 SW-2l-3Vlan 1 F0/1 F0/1 F0/1Vlan 2

46、 F0/2-F0/4 F0/2-F0/8 F0/2-F0/6Vlan 3 0/5-F0/8 F0/9-F0/14 F0/7-F0/14Vlan 4 F0/9-F0/14 IP地址分配：在三层交换机SW-3l上F0/15启用路由接口，其IP地址配置为192.168.1.1 255.255.255.252。在路由器RA的F0/0接口的IP地址配置为：192.168.1.2 255.255.255.252。路由器RA的F0/1接口的IP地址配置为：192.168.1.1 255.255.255.0。远程分支机构的计算机IP地址为：192.168.2.2 255.255.255.0。说明：在其实验中用

47、路由器来模拟远程分支机构的计算机。其DHCP SRV服务器的IP地址配置为192.168.3.2 255.255.255.0。2、 配置步骤第一步:核心交换机配置 SW-3l-11) 配置配置trunk线路2) 配置vtp和vlan (三层交换机上)3) 配置三层交换机vlan之间的通信4) 设置连接路由器的接口IP5) 设置静态路由第二步: 接入交换机配置 SW-2l-1的配置1) 配置trunk线路 2) 配置vtp3) 将端口参加vlan中SW-2l-2的配置1) 配置trunk线路2) 配置vtp3) 将端口参加vlan中SW-2l-3的配置1) 配置trunk线路2) 配置vtp3) 将端口参加vlan中第三步:计算机的配置也就是远端分支机构的计算机对其分别进展如下配置1.取消路由功能 no ip routing