三层交换机如何配置,才算最大发挥其功能?
对于弱电工程从业者来说,“交换机”一直都是关注的焦点。广义的交换机(switch)就是一种在通信系统中完成信息交换功能的设备,它像是“开关”一样的存在。交换机没出现之前,我们常用的就是hub集线器。用它的话,同一时刻网络上只能传输一组数据帧的通讯,如果发生碰撞还得重试,很不高效。但交换机不同,它不仅有网桥、集线器和集线器的所有功能,还提供了更先进的功能,比如如虚拟局域网(vlan)和更高的性能。
根据功能的不同,交换机分为二层交换机和三层交换机。
今天的文章给你科普的是“三层交换机”,它处在osi七层模型的第三层,所以叫三层交换机。
三层交换机你需要了解的机制有哪些?
没有办法实操,该怎么练手掌握?
在企业内具体部署时,又该如何操作
三层交换机的转发机制
你必须了解
三层以太网交换机的转发机制主要分为两个部分:二层转发和三层交换。
二层转发包含mac 地址和vlan二层转发;三层转发主要涉及到两个关键的线程:地址学习线程、报文转发线程,这个和二层的线程是类似的。
02 三层交换机配置
在模拟器上该怎么练习?
首先,需要你了解vlan、了解基本的路由原理、了解客户端设置网关的作用。
并且你安装好了模拟器,这里用的是cisco packet tracer。
实验步骤如下:
01 二层交换机配置 (划a为主干链路接口)
switch(config)#vlan 10
switch(config)#vlan 20
switch(config)#int range f0/1-10
switch(config-if-range)#switchport access vlan 10
switch(config)#int range f0/11-20
switch(config-if-range)#switchport access vlan 20
switch(config)#int f0/24
switch(config-if)#switchport mode trunk
02 三层交换机配置配置(创建vlan、设置主干链路接口、设置svi接口地址、启用路由功能)
switch(config)#ip routing#启用三层交换机的路由功能
switch(config)#vlan 10
switch(config)#vlan 20
switch(config)#int f0/24
switch(config-if)#switchport trunk encapsulation dot1q
switch(config-if)#switchport mode trunk
switch(config)#int vlan 10#创建svi10
switch(config-if)#ip address 192.168.10.254 255.255.255.0#设置svi10的ip,该地址是vlan10的网关
switch(config)#int vlan 20#创建svi20
switch(config-if)#ip address 192.168.20.254 255.255.255.0#设置svi20的ip,该地址是vlan20的网关
03 配置pc(设置ip、设置网关)
pc0地址设置,该主机属于vlan10
pc1地址设置,该主机属于vlan20
04 测试连通性
03 企业应用配置实例
在企业中,不同部门可能需要区分管理,设置不同的网络权限,同时也需要一定的安全防护,这时你就会需要用到三层网管交换机作为核心交换机。
本文以tl-sg5428pe作为核心交换机为例,介绍在企业网络中配置三层交换机的方法。网络拓扑如下:
出现的问题
访客网络可以访问互联网,但不能访问内部其他网络
不同部门之间不能互相访问
产品部可以访问互联网和服务器,研发部不能访问互联网,只能访问服务器
服务器网段不能访问外网
问题分析
每个网络设置vlan,通过设置访问控制限制不同网络的访问权限
开启arp防护、dhcp侦听保障网络安全
配置步骤
01 网络规划
为方便设备管理,需要将路由器、交换机、ac、ap等设备划分到一个vlan中,同时需要保证每个网络都划分vlan。
本例中三层网管交换机的端口1连接路由器,端口2连接ac,具体vlan划分和端口规划情况如下所示:
注:网络地址的大小请根据企业规模灵活配置,本例中网络掩码配置为24位。
02 设置端口类型
根据规划表格,在“vlan->802.1q vlan->端口配置”中,选中1-18口,端口类型下拉选择general,点击提交。
03 划分vlan
在“vlan->802.1q vlan->vlan配置”中,创建vlan10,tagged端口列表中选择对应的3-6号端口,点击提交。
其余vlan重复步骤即可,完成后vlan列表如下:
04 设置接口参数
在“路由功能->接口”中,输入vlan id号,ip地址模式选择static,输入网络参数如下图所示,点击创建。
其余vlan重复步骤即可,完成后接口列表如下:
05 设置dhcp服务器
在“路由功能->dhcp服务器->dhcp服务器”中,启用dhcp服务。注意因为需要ac管理ap,所以dhcp服务器中需要填写option字段,如下option 60填写“tp-link”,option 138填写ac的ip地址,本例为192.168.23.253。
在“路由功能->dhcp服务器->地址池设置”中,输入相应的网络参数如下图所示,点击添加。
其余vlan重复步骤即可,完成后dhcp地址池列表如下:
06 设置路由参数
由于产品部、员工无线网络、访客网络需要连接互联网,所以需要设置相应路由使数据能转发出去。
在“路由功能->静态路由->ipv4静态路由”中,设置相应参数如下图所示,注意下一跳为路由器地址,本例为192.168.23.1。
07 网络权限设置
在交换机中主要通过acl来控制访问权限,本例使用其中的标准ip acl进行配置,其余的mac acl等原理类似。
由于交换机默认规则是转发所有数据,acl控制是逐条匹配的,所以各网络所需规则如下:
产品部:禁止访问研发部网络。
研发部:只允许访问服务器,禁止访问其余网络。
员工无线网络:禁止访问产品部、研发部、服务器网络。
访客网络:禁止访问产品部、研发部、员工无线网络、服务器网络。
以研发部为例,具体设置如下:
新建一个acl id
标准ip acl的id号范围是500-1499,本例使用520。在“访问控制->acl配置->新建acl”中,输入520,点击创建即可。
再根据需求创建acl规则
在“访问控制->acl配置->标准ip acl”中,下拉选择创建的acl 520,输入规则id 21,安全操作选择允许,源ip为研发部ip,目的ip为服务器ip。如下图所示,完成后点击提交。
禁止访问其余网络的规则,如下所示:
完成后acl 520列表,如下图所示:
最后绑定至相应vlan中
在“访问控制->acl绑定配置->vlan绑定”中,下拉选择acl 520,输入vlan id号20,点击添加。如下图所示:
其余网络重复上述三个步骤即可,注意每个网络都需要创建一个acl id号以进行vlan的绑定。
其余网络创建后的acl列表如下:
08 网络安全设置
为保障内网的网络安全,在三层交换机中建议开启arp防护、dhcp侦听。
arp防护
防护功能需要先进行四元绑定。在“网络安全->四元绑定”中有手动绑定和扫描绑定,手动绑定输入相应参数即可,扫描绑定设置如下图所示。
绑定后可以在防护范围内进行防护选择。
防arp欺骗
在“网络安全->arp防护->防arp欺骗”中,选择启用源mac、目的mac和ip验证,填入作用的vlan id号,点击启用。如下如所示:
dhcp侦听
dhcp主要作用是集中分配和管理ip地址,通常我们是通过路由器或三层网管交换机充当dhcp服务器的角色,但如果网络中有其他能够分配dhcp的非法服务器,也会给客户端分配不正确的ip,导致终端无法上网,网络结构紊乱。
而开启“dhcp侦听”功能,添加授信端口,可以让终端和服务器只能从授信端口接收发送dhcp offer报文,从而能正确的进行网络通信。
设置方法:
在“网络安全->dhcp侦听->全局配置”中,启用dhcp侦听,输入作用的vlan id,点击提交,如下图所示:
若交换机连接有合法dhcp服务器如路由器或ac或其他服务器,则需要进行端口配置,将dhcp服务器所在端口设置为授信端口。
在“网络安全->dhcp侦听->端口配置”中设置为授信端口,如下图所示。
本例中路由器和ac均无需开启dhcp服务,故无需做设置。
通过以上设置,即完成了企业组网中三层网管交换机的设置,且实现了相应的访问控制和网络安全需求。注意保存配置以免掉电导致配置丢失。
以下简要介绍下此例中er系列路由器、web网管交换机中的重要设置。路由器、ac、web网管交换机中的一些基本管理设置、上网设置、无线设置再此不做介绍。
09 路由器设置
数据转发到路由器后需要设置napt规则才能将数据转发出去,也需要设置到核心交换机的静态路由以将互联网数据转发到内网中。
在此以tl-er6220g为例简单介绍er系列路由器的设置方法。在“传输控制->nat设置->napt”中,点击新增,输入相应参数如下图,点击确定。
其余vlan重复步骤即可,完成后napt规则列表如下:
注意:由于研发部和服务器网段不能访问互联网,所以不做napt设置。
在“传输控制->路由设置->静态路由”中,点击新增,输入相应参数如下图,点击确定。注意此处的下一跳地址为三层网管交换机地址,本例为192.168.23.2。
完成后静态路由列表如下:
注意:由于研发部和服务器网段不能访问互联网,所以不做静态路由设置。
10 二层交换机vlan设置
在二层交换机中同样需要进行vlan划分以对接三层交换机。
本文以员工网络所在交换机为例进行vlan 30的设置。其余网络所在交换机设置同样。
在“vlan->802.1q vlan”中选中启用并点击应用
在输入框中输入30,选择对应的端口,选为tagged,完成后点击添加。
添加完成后,vlan列表如下:
设置端口pvid
在“vlan->802.1q vlan pvid设置”中,选中vlan30中untagged的端口,pvid框输入30,点击应用进行保存。
端口类型为tagged的16口作为级联口,保持默认pvid值为1即可。设置后如下如所示:
5G的超低延迟目的是让下一代VR更强大
亮蓝色iPhone 7“民间定制版”,骚到极致
深圳客户咨询永磁切割方块的报价-卡瑞奇
怎么测试关机维持时间?用开关电源测试系统测试的步骤是什么?
谷歌发布“2020年全球热搜榜”
三层交换机如何配置,才算最大发挥其功能?
努比亚再发新机:努比亚Z17畅享版正式发布,骁龙653加持而售价才是亮点
泰来三维扫描 这边风景独好
数字资产交易平台开发区块链交易所开发
紫光“双芯”齐发!首款“中国芯”U 盘落地商用
学习单片机的步骤
数字温度计准不准
自动驾驶路线之争:纯视觉方案vs激光雷达加视觉方案
英特尔封装技术方面的规划
Intel i226芯片4端口千兆以太网卡 2.5GPoE工业相机图像采集卡发布
爬虫工程师为什么这么火
2021世界机器人大会开幕 共享科技盛宴
小米6最新消息《小米6 P谍照曝光 机身厚度有点感人》
高分辨率压力传感器助力Fitbit Ultra跟踪爬楼梯功能
iphone14与iPhone15的参数对比:摄像头
根据功能的不同,交换机分为二层交换机和三层交换机。
今天的文章给你科普的是“三层交换机”,它处在osi七层模型的第三层,所以叫三层交换机。
三层交换机你需要了解的机制有哪些?
没有办法实操,该怎么练手掌握?
在企业内具体部署时,又该如何操作
三层交换机的转发机制
你必须了解
三层以太网交换机的转发机制主要分为两个部分:二层转发和三层交换。
二层转发包含mac 地址和vlan二层转发;三层转发主要涉及到两个关键的线程:地址学习线程、报文转发线程,这个和二层的线程是类似的。
02 三层交换机配置
在模拟器上该怎么练习?
首先,需要你了解vlan、了解基本的路由原理、了解客户端设置网关的作用。
并且你安装好了模拟器,这里用的是cisco packet tracer。
实验步骤如下:
01 二层交换机配置 (划a为主干链路接口)
switch(config)#vlan 10
switch(config)#vlan 20
switch(config)#int range f0/1-10
switch(config-if-range)#switchport access vlan 10
switch(config)#int range f0/11-20
switch(config-if-range)#switchport access vlan 20
switch(config)#int f0/24
switch(config-if)#switchport mode trunk
02 三层交换机配置配置(创建vlan、设置主干链路接口、设置svi接口地址、启用路由功能)
switch(config)#ip routing#启用三层交换机的路由功能
switch(config)#vlan 10
switch(config)#vlan 20
switch(config)#int f0/24
switch(config-if)#switchport trunk encapsulation dot1q
switch(config-if)#switchport mode trunk
switch(config)#int vlan 10#创建svi10
switch(config-if)#ip address 192.168.10.254 255.255.255.0#设置svi10的ip,该地址是vlan10的网关
switch(config)#int vlan 20#创建svi20
switch(config-if)#ip address 192.168.20.254 255.255.255.0#设置svi20的ip,该地址是vlan20的网关
03 配置pc(设置ip、设置网关)
pc0地址设置,该主机属于vlan10
pc1地址设置,该主机属于vlan20
04 测试连通性
03 企业应用配置实例
在企业中,不同部门可能需要区分管理,设置不同的网络权限,同时也需要一定的安全防护,这时你就会需要用到三层网管交换机作为核心交换机。
本文以tl-sg5428pe作为核心交换机为例,介绍在企业网络中配置三层交换机的方法。网络拓扑如下:
出现的问题
访客网络可以访问互联网,但不能访问内部其他网络
不同部门之间不能互相访问
产品部可以访问互联网和服务器,研发部不能访问互联网,只能访问服务器
服务器网段不能访问外网
问题分析
每个网络设置vlan,通过设置访问控制限制不同网络的访问权限
开启arp防护、dhcp侦听保障网络安全
配置步骤
01 网络规划
为方便设备管理,需要将路由器、交换机、ac、ap等设备划分到一个vlan中,同时需要保证每个网络都划分vlan。
本例中三层网管交换机的端口1连接路由器,端口2连接ac,具体vlan划分和端口规划情况如下所示:
注:网络地址的大小请根据企业规模灵活配置,本例中网络掩码配置为24位。
02 设置端口类型
根据规划表格,在“vlan->802.1q vlan->端口配置”中,选中1-18口,端口类型下拉选择general,点击提交。
03 划分vlan
在“vlan->802.1q vlan->vlan配置”中,创建vlan10,tagged端口列表中选择对应的3-6号端口,点击提交。
其余vlan重复步骤即可,完成后vlan列表如下:
04 设置接口参数
在“路由功能->接口”中,输入vlan id号,ip地址模式选择static,输入网络参数如下图所示,点击创建。
其余vlan重复步骤即可,完成后接口列表如下:
05 设置dhcp服务器
在“路由功能->dhcp服务器->dhcp服务器”中,启用dhcp服务。注意因为需要ac管理ap,所以dhcp服务器中需要填写option字段,如下option 60填写“tp-link”,option 138填写ac的ip地址,本例为192.168.23.253。
在“路由功能->dhcp服务器->地址池设置”中,输入相应的网络参数如下图所示,点击添加。
其余vlan重复步骤即可,完成后dhcp地址池列表如下:
06 设置路由参数
由于产品部、员工无线网络、访客网络需要连接互联网,所以需要设置相应路由使数据能转发出去。
在“路由功能->静态路由->ipv4静态路由”中,设置相应参数如下图所示,注意下一跳为路由器地址,本例为192.168.23.1。
07 网络权限设置
在交换机中主要通过acl来控制访问权限,本例使用其中的标准ip acl进行配置,其余的mac acl等原理类似。
由于交换机默认规则是转发所有数据,acl控制是逐条匹配的,所以各网络所需规则如下:
产品部:禁止访问研发部网络。
研发部:只允许访问服务器,禁止访问其余网络。
员工无线网络:禁止访问产品部、研发部、服务器网络。
访客网络:禁止访问产品部、研发部、员工无线网络、服务器网络。
以研发部为例,具体设置如下:
新建一个acl id
标准ip acl的id号范围是500-1499,本例使用520。在“访问控制->acl配置->新建acl”中,输入520,点击创建即可。
再根据需求创建acl规则
在“访问控制->acl配置->标准ip acl”中,下拉选择创建的acl 520,输入规则id 21,安全操作选择允许,源ip为研发部ip,目的ip为服务器ip。如下图所示,完成后点击提交。
禁止访问其余网络的规则,如下所示:
完成后acl 520列表,如下图所示:
最后绑定至相应vlan中
在“访问控制->acl绑定配置->vlan绑定”中,下拉选择acl 520,输入vlan id号20,点击添加。如下图所示:
其余网络重复上述三个步骤即可,注意每个网络都需要创建一个acl id号以进行vlan的绑定。
其余网络创建后的acl列表如下:
08 网络安全设置
为保障内网的网络安全,在三层交换机中建议开启arp防护、dhcp侦听。
arp防护
防护功能需要先进行四元绑定。在“网络安全->四元绑定”中有手动绑定和扫描绑定,手动绑定输入相应参数即可,扫描绑定设置如下图所示。
绑定后可以在防护范围内进行防护选择。
防arp欺骗
在“网络安全->arp防护->防arp欺骗”中,选择启用源mac、目的mac和ip验证,填入作用的vlan id号,点击启用。如下如所示:
dhcp侦听
dhcp主要作用是集中分配和管理ip地址,通常我们是通过路由器或三层网管交换机充当dhcp服务器的角色,但如果网络中有其他能够分配dhcp的非法服务器,也会给客户端分配不正确的ip,导致终端无法上网,网络结构紊乱。
而开启“dhcp侦听”功能,添加授信端口,可以让终端和服务器只能从授信端口接收发送dhcp offer报文,从而能正确的进行网络通信。
设置方法:
在“网络安全->dhcp侦听->全局配置”中,启用dhcp侦听,输入作用的vlan id,点击提交,如下图所示:
若交换机连接有合法dhcp服务器如路由器或ac或其他服务器,则需要进行端口配置,将dhcp服务器所在端口设置为授信端口。
在“网络安全->dhcp侦听->端口配置”中设置为授信端口,如下图所示。
本例中路由器和ac均无需开启dhcp服务,故无需做设置。
通过以上设置,即完成了企业组网中三层网管交换机的设置,且实现了相应的访问控制和网络安全需求。注意保存配置以免掉电导致配置丢失。
以下简要介绍下此例中er系列路由器、web网管交换机中的重要设置。路由器、ac、web网管交换机中的一些基本管理设置、上网设置、无线设置再此不做介绍。
09 路由器设置
数据转发到路由器后需要设置napt规则才能将数据转发出去,也需要设置到核心交换机的静态路由以将互联网数据转发到内网中。
在此以tl-er6220g为例简单介绍er系列路由器的设置方法。在“传输控制->nat设置->napt”中,点击新增,输入相应参数如下图,点击确定。
其余vlan重复步骤即可,完成后napt规则列表如下:
注意:由于研发部和服务器网段不能访问互联网,所以不做napt设置。
在“传输控制->路由设置->静态路由”中,点击新增,输入相应参数如下图,点击确定。注意此处的下一跳地址为三层网管交换机地址,本例为192.168.23.2。
完成后静态路由列表如下:
注意:由于研发部和服务器网段不能访问互联网,所以不做静态路由设置。
10 二层交换机vlan设置
在二层交换机中同样需要进行vlan划分以对接三层交换机。
本文以员工网络所在交换机为例进行vlan 30的设置。其余网络所在交换机设置同样。
在“vlan->802.1q vlan”中选中启用并点击应用
在输入框中输入30,选择对应的端口,选为tagged,完成后点击添加。
添加完成后,vlan列表如下:
设置端口pvid
在“vlan->802.1q vlan pvid设置”中,选中vlan30中untagged的端口,pvid框输入30,点击应用进行保存。
端口类型为tagged的16口作为级联口,保持默认pvid值为1即可。设置后如下如所示:
5G的超低延迟目的是让下一代VR更强大
亮蓝色iPhone 7“民间定制版”,骚到极致
深圳客户咨询永磁切割方块的报价-卡瑞奇
怎么测试关机维持时间?用开关电源测试系统测试的步骤是什么?
谷歌发布“2020年全球热搜榜”
三层交换机如何配置,才算最大发挥其功能?
努比亚再发新机:努比亚Z17畅享版正式发布,骁龙653加持而售价才是亮点
泰来三维扫描 这边风景独好
数字资产交易平台开发区块链交易所开发
紫光“双芯”齐发!首款“中国芯”U 盘落地商用
学习单片机的步骤
数字温度计准不准
自动驾驶路线之争:纯视觉方案vs激光雷达加视觉方案
英特尔封装技术方面的规划
Intel i226芯片4端口千兆以太网卡 2.5GPoE工业相机图像采集卡发布
爬虫工程师为什么这么火
2021世界机器人大会开幕 共享科技盛宴
小米6最新消息《小米6 P谍照曝光 机身厚度有点感人》
高分辨率压力传感器助力Fitbit Ultra跟踪爬楼梯功能
iphone14与iPhone15的参数对比:摄像头