【IT168 技术】当企业的底层局域网组建成功之后，紧接着就要实现各部门员工计算机之间的通讯，咱们在开篇中曾经介绍过这里有两种解决方法：

　　一、 所有的员工机器都在一个大的广播网中，也就是说大家都在一个子网中，这样的好处就是基本上不用配置，很简单实现，但因为广播的存在，直接影响到网络的安全性和性能，特别是当用户数量较多的时候，网络性能可能会急骤下降。所以一般当员工人数超过100人，就不推荐使用此方法。

　　二、 使用VLAN技术来隔离广播， VLAN的中文意思就是虚拟局域网。原理很简单，就是把每一个部门当成一个虚拟的局域网，也就是一个小的网络，好处就是隔离了广播，因为广播只能在一个子网中存在。那这样的话，需要实现部门间的通讯就需要使用到三层技术，可以使用路由器来实现各部门之间的路由转发。在这里我们结合中小企业网络的特点，简化网络，就直接使用一个三层交换机，因为三层交换机，在实现二层数据转发的同时还能实现三层路由功能。这样做的最大好处就是，扩展性较强，当增加新的部门或员工时，性能不会受到明显影响。

　　下面咱们就来看一下如何利用三层交换实现部门间的VLAN通讯，拓扑图如下：

▲企业拓扑图

　　我们的目的：

　　我们今天的目的很明显：就是实现内网办公区域内各员工之间如何实现网络的互通，至于上面的防火墙和DMZ区域，后面介绍到相应内容时，我们再做讲解。所以，今天我们就把内网办公域和三层交换机单独做一个拓扑，如下图所示：

      VLAN分配:

      下面我们看一下具体的VLAN的对应表：

　　IP地址规划：

       下面看一下各IP地址的分配表：

　　三层交换技术的基本原理：

　　三层交换是在网络交换机中引入路由模块而取代传统路由器实现交换与路由相结合的网络技术。它根据实际应用时的情况，灵活地在网络第二层或者第三层进行网络分段。具有三层交换功能的设备是一个带有第三层路由功能的第二层交换机，但它是二者的有机结合，并不是简单地把路由器设备的硬件及软件叠加在局域网交换机上。

　　每个VLAN对应一个IP网段。在二层上，VLAN之间是隔离的，这一点跟二层交换机中交换引擎的功能是一模一样的。不同IP网段之间的访问要跨越VLAN，要使用三层转发引擎提供的VLAN间路由功能。在使用二层交换机和路由器的组网中，每个需要与其他IP网段通信的IP网段都需要使用一个路由器接口作为网关。而第三层转发引擎就相当于传统组网中的路由器，当需要与其他VLAN通信时也要在三层交换引擎上分配一个路由接口，用来做VLAN的网关。

     　三层交换机的配置项目：在此Cisco交换机为例

　　主要配置项目就两项： 一是划分VLAN，二是为每个VLAN创建一个虚地址作为VLAN的网关。以下咱们看一下具体的配置命令，这里我写的比较详细，当大家配置熟练的时候，里面有一些命令是可以省略的，刚开始的时候，还是建议慢慢的理解!

　　1、 创建VLAN，并把相应端口划分到指定VLAN口：

　　交换机启动后，出现Switch>提示符之后，开始以下配置：

      从显示结果中可以看到，8个VLAN已经成功创建并包含指定的端口。

　　2、 为每个VLAN创建一个虚接口，作为相应VLAN的网关。

　　　注：为 VLAN10配置虚接口地址，作为财务部员工的网关

　　Switch#configure terminal 进入配置模式

　　Switch(config)#interface vlan 20 进入VLAN接口

　　Switch(config-if)#ip add 192.168.20.1 255.255.255.0 配置虚接口地址

　　Switch(config-if)#end 退回到特权模式

　　注：为VLAN20配置接口地址，作为行政部员工的网关

　　至于其他VLAN虚接口的配置，在此不再累述!

　3、 各员工计算机的网络配置：

　　各员工计算机的网络配置，可以使用DHCP自动分配，也可以手动配置，一般当员工数量较多的时候，推荐使用DHCP，以节省配置时间和防止IP地址冲突等，但因为存在VLAN，各部门的IP地址不在同一网段，所以如果使用DHCP，需要在启用DHCP中继。在此案例中，因为每个部门只有20名员工，在此，我们就手动设置，咱们以财务部和行政部员工机器为例：

▲图：员工机器的网络配置

　　下面，我们在192.168.10.2 上ping 192.168.20.2

▲图：测试网络是否畅通

　　看到上图，就恭喜我们，实验成功了。至此，我们完成了利用三层交换技术来实现部门间的VLAN通讯!