在企業網路裡終端電腦數量非常的多,大多數最偷懶的方式都用HUB串再回到機房,正所謂一個網段打天下,也難扛下所有流量,為何這樣說呢我們知道網路是封包廣播的方式去傳遞,簡單來說就是每個點都會敲敲門,但是在大規模的網路下除了IP限制 一個網段最多用254組IP,不外乎還要考量到交換器的承載量在大量的封包傳遞下難免封包會延遲,另外的就是還得怕說末端HUB亂串導致廣播風暴也就是我們常說的LOOP,在這個情況下企業內部的網路會被癱瘓掉,這時我們要好好重新規劃這樣的網路,所以接下來會講到L3層交換器搭配路由器或防火牆簡單實做一下VLAN的規劃還有路由的走向~
何謂L3層交換器? 簡單來說我們一般的HUB基本上的功能就很單純的將封包繼續傳遞給下一個埠直到被接受到為止,在L3層交換器除了廣播封包之外還可以自行定義(虛擬區域網路VLAN),VLAN最多可以定義4096組,那何謂VLAN呢? 其實想簡單易點就是你可以自行定義要讓哪個埠走你要的網段那個網段會跟相同的VLAN ID在一起廣播,那可以同時去不同網段嗎?當然可以!不過這部分就要另外講路由導向和ACL存取控制了不過這部分這次的主題並不會講到ACL有機會再說明,在L3層交換器中還有一個重要的功能就是路由導向了,其中的意義就是當封包的嚮導可以指定將特定的IP或IP段去指定的網關閘道 待會的實作會講到這部分~
準備工具:
- L3層交換器 (我自己是準備Cisco 3560 POE-8P)
- Console RJ45 TO USB 的通訊線
- 一台防火牆或是路由器(建議防火牆)
- 一台筆電或是PC
網路架構圖:
實作測試:
首先基本線路接好後先將通訊線接在CISCO上面的Console Port上
將通訊線接上筆電
使用Putty軟體來進行序列埠通訊
開始設定L3交換器
有出現提示字元輸入就可以開始輸入了
進到L3交換器的設定模式
將介面VLAN1 設定一個固定IP
以CISCO為例:
interface vlan 1 172.16.1.253 255.255.255.0
使用網路通訊來改L3交換器設定
測試防火牆有沒有通
以CISCO為例
ping 172.16.1.254
設定路由將所有封包傳遞給防火牆
進入L3交換器設定模式
以CISCO 為例
ip route 0.0.0.0 0.0.0.0 172.16.1.254
建立VLAN 並將VLAN 指派一個介面IP
建立VLAN20
進入L3交換器設定模式
以CISCO為例:
interface vlan 20
ip address 192.168.20.253 255.255.255.0
設定L3交換器 將Port2修改成VLAN20 (預設全部的PORT都是VLAN1)
進入L3交換器設定模式
以CISCO為例:
interface fa0/2 //指定實體接口2
switchport mode access //將實體接口模式改為 access
switchport access vlan 20 //將端口封包只能通過 vlan 20
防火牆:
結尾:
由這次的實做可以了解到透過VLAN規劃可以針對不同網段進行設定也能減少防火牆的負擔,路徑的處理交給L3交換器忙 防火牆只負責出去的路和進來的路,假設這次的實作放大至企業內部除了針對各部門各科室不同的網段規劃,在數量眾多的終端,L3交換器是不能缺少的腳色 L3交換器的存在有助於在企業內部網路上達到優化網路、查修範圍減少,集中控管的的便利性呦! 我是阿俊 謝謝大家~~
