對于弱電工程從業(yè)者來說，“交換機”一直都是關(guān)注的焦點。廣義的交換機（switch）就是一種在通信系統(tǒng)中完成信息交換功能的設備，它像是“開關(guān)”一樣的存在。交換機沒出現(xiàn)之前，我們常用的就是HUB集線器。用它的話，同一時刻網(wǎng)絡上只能傳輸一組數(shù)據(jù)幀的通訊，如果發(fā)生碰撞還得重試，很不高效。但交換機不同，它不僅有網(wǎng)橋、集線器和集線器的所有功能，還提供了更先進的功能，比如如虛擬局域網(wǎng)（VLAN）和更高的性能。

根據(jù)功能的不同，交換機分為二層交換機和三層交換機。

今天的文章給你科普的是“三層交換機”，它處在OSI七層模型的第三層，所以叫三層交換機。

三層交換機你需要了解的機制有哪些？

沒有辦法實操，該怎么練手掌握？

在企業(yè)內(nèi)具體部署時，又該如何操作

三層交換機的轉(zhuǎn)發(fā)機制

你必須了解

三層以太網(wǎng)交換機的轉(zhuǎn)發(fā)機制主要分為兩個部分：二層轉(zhuǎn)發(fā)和三層交換。

二層轉(zhuǎn)發(fā)包含MAC地址和VLAN二層轉(zhuǎn)發(fā)；三層轉(zhuǎn)發(fā)主要涉及到兩個關(guān)鍵的線程：地址學習線程、報文轉(zhuǎn)發(fā)線程，這個和二層的線程是類似的。

02三層交換機配置

在模擬器上該怎么練習？

首先，需要你了解vlan、了解基本的路由原理、了解客戶端設置網(wǎng)關(guān)的作用。

并且你安裝好了模擬器，這里用的是Cisco Packet Tracer。

實驗步驟如下：

01二層交換機配置（劃a為主干鏈路接口）

Switch(config)#vlan 10

Switch(config)#vlan 20

Switch(config)#int range f0/1-10

Switch(config-if-range)#switchport access vlan 10

Switch(config)#int range f0/11-20

Switch(config-if-range)#switchport access vlan 20

Switch(config)#int f0/24

Switch(config-if)#switchport mode trunk

02三層交換機配置配置（創(chuàng)建vlan、設置主干鏈路接口、設置SVI接口地址、啟用路由功能）

Switch(config)#ip routing#啟用三層交換機的路由功能

Switch(config)#vlan 10

Switch(config)#vlan 20

Switch(config)#int f0/24

Switch(config-if)#switchport trunk encapsulation dot1q

Switch(config-if)#switchport mode trunk

Switch(config)#int vlan 10#創(chuàng)建svi10

Switch(config-if)#ip address 192.168.10.254 255.255.255.0#設置SVI10的ip，該地址是vlan10的網(wǎng)關(guān)

Switch(config)#int vlan 20#創(chuàng)建svi20

Switch(config-if)#ip address 192.168.20.254 255.255.255.0#設置SVI20的ip，該地址是vlan20的網(wǎng)關(guān)

03配置PC（設置IP、設置網(wǎng)關(guān)）

PC0地址設置，該主機屬于vlan10

PC1地址設置，該主機屬于vlan20

04測試連通性

03企業(yè)應用配置實例

在企業(yè)中，不同部門可能需要區(qū)分管理，設置不同的網(wǎng)絡權(quán)限，同時也需要一定的安全防護，這時你就會需要用到三層網(wǎng)管交換機作為核心交換機。

本文以TL-SG5428PE作為核心交換機為例，介紹在企業(yè)網(wǎng)絡中配置三層交換機的方法。網(wǎng)絡拓撲如下：

出現(xiàn)的問題

訪客網(wǎng)絡可以訪問互聯(lián)網(wǎng)，但不能訪問內(nèi)部其他網(wǎng)絡

不同部門之間不能互相訪問

產(chǎn)品部可以訪問互聯(lián)網(wǎng)和服務器，研發(fā)部不能訪問互聯(lián)網(wǎng)，只能訪問服務器

服務器網(wǎng)段不能訪問外網(wǎng)

問題分析

每個網(wǎng)絡設置VLAN，通過設置訪問控制限制不同網(wǎng)絡的訪問權(quán)限

開啟ARP防護、DHCP偵聽保障網(wǎng)絡安全

配置步驟

01網(wǎng)絡規(guī)劃

為方便設備管理，需要將路由器、交換機、AC、AP等設備劃分到一個VLAN中，同時需要保證每個網(wǎng)絡都劃分VLAN。

本例中三層網(wǎng)管交換機的端口1連接路由器，端口2連接AC，具體VLAN劃分和端口規(guī)劃情況如下所示：

注：網(wǎng)絡地址的大小請根據(jù)企業(yè)規(guī)模靈活配置，本例中網(wǎng)絡掩碼配置為24位。

02設置端口類型

根據(jù)規(guī)劃表格，在“VLAN->802.1Q VLAN->端口配置”中，選中1-18口，端口類型下拉選擇GENERAL，點擊提交。

03劃分VLAN

在“VLAN->802.1Q VLAN->VLAN配置”中，創(chuàng)建VLAN10，Tagged端口列表中選擇對應的3-6號端口，點擊提交。

其余VLAN重復步驟即可，完成后VLAN列表如下：

04設置接口參數(shù)

在“路由功能->接口”中，輸入VLAN ID號，IP地址模式選擇Static，輸入網(wǎng)絡參數(shù)如下圖所示，點擊創(chuàng)建。

其余VLAN重復步驟即可，完成后接口列表如下：

05設置DHCP服務器

在“路由功能->DHCP服務器->DHCP服務器”中，啟用DHCP服務。注意因為需要AC管理AP，所以DHCP服務器中需要填寫option字段，如下option 60填寫“TP-LINK”，option 138填寫AC的IP地址，本例為192.168.23.253。

在“路由功能->DHCP服務器->地址池設置”中，輸入相應的網(wǎng)絡參數(shù)如下圖所示，點擊添加。

其余VLAN重復步驟即可，完成后DHCP地址池列表如下：

06設置路由參數(shù)

由于產(chǎn)品部、員工無線網(wǎng)絡、訪客網(wǎng)絡需要連接互聯(lián)網(wǎng)，所以需要設置相應路由使數(shù)據(jù)能轉(zhuǎn)發(fā)出去。

在“路由功能->靜態(tài)路由->IPv4靜態(tài)路由”中，設置相應參數(shù)如下圖所示，注意下一跳為路由器地址，本例為192.168.23.1。

07網(wǎng)絡權(quán)限設置

在交換機中主要通過ACL來控制訪問權(quán)限，本例使用其中的標準IP ACL進行配置，其余的MAC ACL等原理類似。

由于交換機默認規(guī)則是轉(zhuǎn)發(fā)所有數(shù)據(jù)，ACL控制是逐條匹配的，所以各網(wǎng)絡所需規(guī)則如下：

產(chǎn)品部：禁止訪問研發(fā)部網(wǎng)絡。

研發(fā)部：只允許訪問服務器，禁止訪問其余網(wǎng)絡。

員工無線網(wǎng)絡：禁止訪問產(chǎn)品部、研發(fā)部、服務器網(wǎng)絡。

訪客網(wǎng)絡：禁止訪問產(chǎn)品部、研發(fā)部、員工無線網(wǎng)絡、服務器網(wǎng)絡。

以研發(fā)部為例，具體設置如下：

新建一個ACL ID

標準IP ACL的ID號范圍是500-1499，本例使用520。在“訪問控制->ACL配置->新建ACL”中，輸入520，點擊創(chuàng)建即可。

再根據(jù)需求創(chuàng)建ACL規(guī)則

在“訪問控制->ACL配置->標準IP ACL”中，下拉選擇創(chuàng)建的ACL 520，輸入規(guī)則ID 21，安全操作選擇允許，源IP為研發(fā)部IP，目的IP為服務器IP。如下圖所示，完成后點擊提交。

禁止訪問其余網(wǎng)絡的規(guī)則，如下所示：

完成后ACL 520列表，如下圖所示：

最后綁定至相應VLAN中

在“訪問控制->ACL綁定配置->VLAN綁定”中，下拉選擇ACL 520，輸入VLAN ID號20，點擊添加。如下圖所示：

其余網(wǎng)絡重復上述三個步驟即可，注意每個網(wǎng)絡都需要創(chuàng)建一個ACL ID號以進行VLAN的綁定。

其余網(wǎng)絡創(chuàng)建后的ACL列表如下：

08網(wǎng)絡安全設置

為保障內(nèi)網(wǎng)的網(wǎng)絡安全，在三層交換機中建議開啟ARP防護、DHCP偵聽。

ARP防護

防護功能需要先進行四元綁定。在“網(wǎng)絡安全->四元綁定”中有手動綁定和掃描綁定，手動綁定輸入相應參數(shù)即可，掃描綁定設置如下圖所示。

綁定后可以在防護范圍內(nèi)進行防護選擇。

防ARP欺騙

在“網(wǎng)絡安全->ARP防護->防ARP欺騙”中，選擇啟用源MAC、目的MAC和IP驗證，填入作用的VLAN ID號，點擊啟用。如下如所示：

DHCP偵聽

DHCP主要作用是集中分配和管理IP地址，通常我們是通過路由器或三層網(wǎng)管交換機充當DHCP服務器的角色，但如果網(wǎng)絡中有其他能夠分配DHCP的非法服務器，也會給客戶端分配不正確的IP，導致終端無法上網(wǎng)，網(wǎng)絡結(jié)構(gòu)紊亂。

而開啟“DHCP偵聽”功能，添加授信端口，可以讓終端和服務器只能從授信端口接收發(fā)送DHCP Offer報文，從而能正確的進行網(wǎng)絡通信。

設置方法：

在“網(wǎng)絡安全->DHCP偵聽->全局配置”中，啟用DHCP偵聽，輸入作用的VLAN ID，點擊提交，如下圖所示：

若交換機連接有合法DHCP服務器如路由器或AC或其他服務器，則需要進行端口配置，將DHCP服務器所在端口設置為授信端口。

在“網(wǎng)絡安全->DHCP偵聽->端口配置”中設置為授信端口，如下圖所示。

本例中路由器和AC均無需開啟DHCP服務，故無需做設置。

通過以上設置，即完成了企業(yè)組網(wǎng)中三層網(wǎng)管交換機的設置，且實現(xiàn)了相應的訪問控制和網(wǎng)絡安全需求。注意保存配置以免掉電導致配置丟失。

以下簡要介紹下此例中ER系列路由器、Web網(wǎng)管交換機中的重要設置。路由器、AC、Web網(wǎng)管交換機中的一些基本管理設置、上網(wǎng)設置、無線設置再此不做介紹。

09路由器設置

數(shù)據(jù)轉(zhuǎn)發(fā)到路由器后需要設置NAPT規(guī)則才能將數(shù)據(jù)轉(zhuǎn)發(fā)出去，也需要設置到核心交換機的靜態(tài)路由以將互聯(lián)網(wǎng)數(shù)據(jù)轉(zhuǎn)發(fā)到內(nèi)網(wǎng)中。

在此以TL-ER6220G為例簡單介紹ER系列路由器的設置方法。在“傳輸控制->NAT設置->NAPT”中，點擊新增，輸入相應參數(shù)如下圖，點擊確定。

其余VLAN重復步驟即可，完成后NAPT規(guī)則列表如下：

注意：由于研發(fā)部和服務器網(wǎng)段不能訪問互聯(lián)網(wǎng)，所以不做NAPT設置。

在“傳輸控制->路由設置->靜態(tài)路由”中，點擊新增，輸入相應參數(shù)如下圖，點擊確定。注意此處的下一跳地址為三層網(wǎng)管交換機地址，本例為192.168.23.2。

完成后靜態(tài)路由列表如下：

注意：由于研發(fā)部和服務器網(wǎng)段不能訪問互聯(lián)網(wǎng)，所以不做靜態(tài)路由設置。

10二層交換機VLAN設置

在二層交換機中同樣需要進行VLAN劃分以對接三層交換機。

本文以員工網(wǎng)絡所在交換機為例進行VLAN 30的設置。其余網(wǎng)絡所在交換機設置同樣。

在“VLAN->802.1Q VLAN”中選中啟用并點擊應用

在輸入框中輸入30，選擇對應的端口，選為Tagged，完成后點擊添加。

添加完成后，VLAN列表如下：

設置端口PVID

在“VLAN->802.1Q VLAN PVID設置”中，選中VLAN30中Untagged的端口，PVID框輸入30，點擊應用進行保存。

端口類型為Tagged的16口作為級聯(lián)口，保持默認PVID值為1即可。設置后如下如所示：

審核編輯：湯梓紅