基于局域网间互连交换机的选择及设置

摘 要 现代网络必须拥有支持大数据量的高速传输能力，包括传输声音、图象、多媒体数据等，任何要用于骨干网的网络设备必须支持这种能力，同时还要能够完成网络间的互联，这就需要提供一种同时具有第二层交换机和局域网路由器的功能的全新的设备，即第三层交换机。本文根据网络对三层交换机的实际需要，分别从其工作特点、主要技术、选择方式、设置方法加以介绍，可以根据不同的需求来配置相应的交换机设备。

关键词 局域网；交换机；选择方式；设置方法

中图分类号TP39 文献标识码A 文章编号 1674-6708（2011）52-0190-02

现代网络并非都基于以太网，FDDI和ATM也是最常使用的局域网骨干技术，许多其他技术诸如千兆以太网，也具有成为明天的局域网骨干技术的潜力。这些事实说明，任何要用于骨干网的交换设备必须支持这些技术之间的互联，并且提供在这些技术之间进行升级的能力，这就需要提供一种同时具有第二层交换机和局域网路由器的功能全新的设备，通常被称之为第三层交换机。

1 三层交换机的特点

实际上就好象是将传统交换器与传统路由器结合起来的网络设备，它既可以完成传统交换机的端口交换功能，又可完成部分路由器的路由功能。当然，这种二层设备与三层设备的结合，并不是简单的物理结合，而是各取所长的逻辑结合。

三层交换机的工作过程：

使用IP的设备A——三层交换机——使用IP的设备B

比如A要给B发送数据，已知目的IP，那么A就用子网掩码取得网络地址，判断目的IP是否与自己在同一网段。如果在同一网段，但不知道转发数据所需的MAC地址，A就发送一个ARP请求，B返回其MAC地址，A用此MAC封装数据包并发送给交换机，交换机起用二层交换模块，查找MAC地址表，将数据包转发到相应的端口。

如果目的IP地址显示不是同一网段的，那么A要实现和B的通讯，在流缓存条目中没有对应MAC地址条目，就将第一个正常数据包发送向一个缺省网关，这个缺省网关一般在操作系统中已经设好，对应第三层路由模块，所以可见对于不是同一子网的数据，最先在MAC表中放的是缺省网关的MAC地址；然后就由三层模块接收到此数据包，查询路由表以确定到达B的路由，将构造一个新的帧头，其中以缺省网关的MAC地址为源MAC地址，以主机B的MAC地址为目的MAC地址。通过一定的识别触发机制，确立主机A与B的MAC地址及转发端口的对应关系，并记录进流缓存条目表，以后的A到B的数据，就直接交由二层交换模块完成。这就通常所说的一次路由多次转发。

以上就是三层交换机工作过程的简单概括，可以看出三层交换的特点：

1）由硬件结合实现数据的高速转发

这就不是简单的二层交换机和路由器的叠加，三层路由模块直接叠加在二层交换的高速背板总线上，突破了传统路由器的接口速率限制，速率可达几十Gbit/s。算上背板带宽，这些是三层交换机性能的两个重要参数。

2）简洁的路由软件使路由过程简化

大部分的数据转发，除了必要的路由选择交由路由软件处理，都是又二层模块高速转发，路由软件大多都是经过处理的高效优化软件，并不是简单照搬路由器中的软件。

2 三层交换机的选择

第三层交换机作为组建内联网系统的关键设备，在设备选择中应该注意如下几方面：

1）选择可信的技术指标：面对诸如交换容量（Gbps）、背板带宽（Gbps）、处理能力（Mpps）、吞吐量（Mpps）等众多技术指标，其中唯有吞吐量是用户可以使用Smart Bits和IXIA等测试仪表直接测量和验证的指标；

2）选择正确的产品模块：不同品牌交换机所采用交换机技术完全不同，主要分为集中式和分布式两类。为了实现在高端口密度条件下的高速无阻塞交换，采用分布式第三层交换机是明智的选择；

3）关注延时与延时抖动指标：在高速局域网中，为了保证音频、视频等大容量多媒体数据的快速传输，最忌因延时较长数据包丢失使信息传输产生抖动。所以，关注延时实际上得关注产品的模块结构；

4）性能稳定：第三层交换机多位居网络中心关口，如果性能不稳定，则会波及网络系统的大部分主机，甚至整个网络系统。稳定性可以通过测试吞吐量、延迟、丢帧率、背对背功能、地址表深度、线端阻塞、多对一功能等多项指标来确定，其中背对背交换能力对于性能稳定具有较强的参考价值；

5）安全可靠：作为网络核心设备的第三层交换机，自然是黑客攻击的重要对象，这就要求必须将第三层交换机纳入网络安全防护的范围。所以，从“安全”上讲，配备支持性能优良、没有安全漏洞防火墙功能的第三层交换机是非常必要的。从“可靠”上看，因客观上任何产品都不能保证其不发生故障，而发生故障时能否迅速切换到一个好设备上，是令人关心的问题；

6）较好的性价比：IT设备的特点是升级快、性能增强快、降价也快，所以用户在选购设备时，应该考虑自已的资金和需求实际情况，在充分考虑日后升级的前提下，以设备性能稳定、好用和够用为标准，切莫片面追求高性能、全功能，不必为那些不需要的功能付钱。

3 三层交换机的设置

1）在交换机的端口上设置ip

Switch (config)#int fa0/2

Switch (config-if)#no switchport

Switch (config-if)#ip address 192.168.1.1 255.255.255.0

Switch (config-if)#no shut

2）创建vlan并命名 和给vlan配置ip地址

Switch(config)#vlan 1

Switch(config-vlan)#name shengchanbu

Switch(config-vlan)#exit

Switch(config)#int vlan 1

Switch(config-if)#ip ad

Switch(config-if)#ip address 192.168.2.1 255.255.255.0

Switch(config-if)#no shut

3）三层交换机上端口安全

Switch(config)#int fa0/5

Switch(config-if)#switchport

Switch(config-if)#switchport port-security (开启端口的安全功能)

Switch(config-if)#switchport port-security mac-address 22-22-22-22-22-22 (将mac地址为22-22-22-22-22-22)绑定到该端口上

Switch(config-if)#switchport port-security maximum 3

（设置该交换机端口f0/1 的最大连接数为3）

Switch(config-if)#switchport port-security violation shutdown

（设置当违反了该规则是自动关闭该端口）

Switch(config-if)#duplex full （设置端口为全双工模式）

Switch(config-if)#speed 100 （设置该接口速率为100Mb/s）

Switch(config-if)#description sw1 （设置端口描述）

Switch#show interfaces fastethernet1 [status] （查看端口配置结果和状态）

4）在三层交换上配置dhcp服务

Switch(config)#ip dhcp pool 123

Switch(dhcp-config)#network 192.168.5.0 255.255.255.0

Switch(dhcp-config)#default-router 192.168.1.1 客户端得到的网关

Switch(dhcp-config)#lease 10 10 10 租约为10天10小时10分钟

Switch(dhcp-config)#dns-server 192.168.2.1

Switch(config)#ip dhcp excluded-address 排除地址的范围

5）配置ssh 登录

ip domain name cisco

username cisco password 0123

crypto key generate rsa

1024

ip ssh time-out 120

ip ssh authentication-retries 3

aaa new-model

aaa authentication login default local

line vty 0 4

transport input ssh

login authentication default

6）三层交换机中不同vlan之间的通信

Switch(config)#ip routing

Switch(config)#int vlan 10

Switch(config-if)#ip address 192.168.1.1 255.255.255.0

Switch(config-if)#no shut

Switch(config)#int range fa0/3 - 5

Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 10

创建vlan20

Switch(config)#int vlan 20

Switch(config-if)#ip address 192.168.2.1 255.255.255.0

Switch(config-if)#no shut

Switch(config)#int range fa0/7 - 10

Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 20

分别用两台pc测试

将一台pc加入vlan10 另一台pc加入vlan20中

7）三层交换机中配置nat

首先定义端口ip nat inside 和ip nat outside

（1）配置动态nat

Switch(config)#ip nat pool 地址池名称 开始地址 结束地址 子网掩码

Switch(config)#ip nat pool 123 192.168.1.1 192.168.1.10 netmask 255.255.255.0

在全局模式中，定义一个access-list 规则以允许哪些内部地址可以进行动态地址转换

access-list 标号 permit 源地址 通配符

标号 是标准的访问控制列表 还是扩展的

在全局模式中，将由access-list 指定的内部地址与指定的内部合法地址池进行转换

ip nat inside source list 访问列表标号或访问列表的名称 pool 内部合法地址池名称

（2）配置静态nat (进行一对一的转换)

首先定义端口ip nat inside 和ip nat outside

在内部本地地址与内部合法地址之间建立静态地址转换，在全局模式配置状态下输入ip nat inside source static 内部本地地址 内部合法地址。

参考文献

[1]思科.交换机配置手册.

[2]甘刚.网络设备配置与管理，2006，7.

[3]许波勇 浅论企业局域网组建中交换机的选择[J].办公自动化，2008，12.

[4]张俊平.从IP V6看下一代校园网建设趋势[J].教育信息化，2005，9.

[5]张平安.如何选择网络核心交换机[J].计算机与网络，2005，6.