對于弱電工程從業者來說,“交換機”一直都是關注的焦點。廣義的交換機(switch)就是一種在通信系統中完成資訊交換功能的裝置,它像是“開關”一樣的存在。交換機沒出現之前,我們常用的就是HUB集線器。用它的話,同一時刻網絡上隻能傳輸一組資料幀的通訊,如果發生碰撞還得重試,很不高效。但交換機不同,它不僅有網橋、集線器和集線器的所有功能,還提供了更先進的功能,比如如虛拟區域網路(VLAN)和更高的性能。
根據功能的不同,交換機分為二層交換機和三層交換機。
今天的文章給你科普的是“三層交換機”,它處在OSI七層模型的第三層,是以叫三層交換機。
- 三層交換機你需要了解的機制有哪些?
- 沒有辦法實操,該怎麼練手掌握?
- 在企業内具體部署時,又該如何操作?
01
三層交換機的轉發機制
你必須了解
三層以太網交換機的轉發機制主要分為兩個部分:二層轉發和三層交換。
二層轉發包含MAC 位址和VLAN二層轉發;三層轉發主要涉及到兩個關鍵的線程:位址學習線程、封包轉發線程,這個和二層的線程是類似的。
02
三層交換機配置
在模拟器上該怎麼練習?
首先,需要你了解vlan、了解基本的路由原理、了解用戶端設定網關的作用。
并且你安裝好了模拟器,這裡用的是Cisco Packet Tracer。
實驗步驟如下:
01 二層交換機配置 (劃a為主幹鍊路接口)
Switch(config)#vlan 10
Switch(config)#vlan 20
Switch(config)#int range f0/1-10
Switch(config-if-range)#switchport access vlan 10
Switch(config)#int range f0/11-20
Switch(config-if-range)#switchport access vlan 20
Switch(config)#int f0/24
Switch(config-if)#switchport mode trunk
02 三層交換機配置配置(建立vlan、設定主幹鍊路接口、設定SVI接口位址、啟用路由功能)
Switch(config)#ip routing#啟用三層交換機的路由功能
Switch(config)#vlan 10
Switch(config)#vlan 20
Switch(config)#int f0/24
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config)#int vlan 10#建立svi10
Switch(config-if)#ip address 192.168.10.254 255.255.255.0#設定SVI10的ip,該位址是vlan10的網關
Switch(config)#int vlan 20#建立svi20
Switch(config-if)#ip address 192.168.20.254 255.255.255.0#設定SVI20的ip,該位址是vlan20的網關
03 配置PC(設定IP、設定網關)
PC0位址設定,該主機屬于vlan10
PC1位址設定,該主機屬于vlan20
04 測試連通性
03
企業應用配置執行個體
在企業中,不同部門可能需要區分管理,設定不同的網絡權限,同時也需要一定的安全防護,這時你就會需要用到三層網管交換機作為核心交換機。
本文以TL-SG5428PE作為核心交換機為例,介紹在企業網絡中配置三層交換機的方法。網絡拓撲如下:
出現的問題
- 訪客網絡可以通路網際網路,但不能通路内部其他網絡
- 不同部門之間不能互相通路
- 産品部可以通路網際網路和伺服器,研發部不能通路網際網路,隻能通路伺服器
- 伺服器網段不能通路外網
問題分析
- 每個網絡設定VLAN,通過設定通路控制限制不同網絡的通路權限
- 開啟ARP防護、DHCP偵聽保障網絡安全
配置步驟
01 網絡規劃
為友善裝置管理,需要将路由器、交換機、AC、AP等裝置劃分到一個VLAN中,同時需要保證每個網絡都劃分VLAN。
本例中三層網管交換機的端口1連接配接路由器,端口2連接配接AC,具體VLAN劃分和端口規劃情況如下所示:
注:網絡位址的大小請根據企業規模靈活配置,本例中網絡掩碼配置為24位。
02 設定端口類型
根據規劃表格,在“VLAN->802.1Q VLAN->端口配置”中,選中1-18口,端口類型下拉選擇GENERAL,點選送出。
03 劃分VLAN
在“VLAN->802.1Q VLAN->VLAN配置”中,建立VLAN10,Tagged端口清單中選擇對應的3-6号端口,點選送出。
其餘VLAN重複步驟即可,完成後VLAN清單如下:
04 設定接口參數
在“路由功能->接口”中,輸入VLAN ID号,IP位址模式選擇Static,輸入網絡參數如下圖所示,點選建立。
其餘VLAN重複步驟即可,完成後接口清單如下:
05 設定DHCP伺服器
在“路由功能->DHCP伺服器->DHCP伺服器”中,啟用DHCP服務。注意因為需要AC管理AP,是以DHCP伺服器中需要填寫option字段,如下option 60填寫“TP-LINK”,option 138填寫AC的IP位址,本例為192.168.23.253。
在“路由功能->DHCP伺服器->位址池設定”中,輸入相應的網絡參數如下圖所示,點選添加。
其餘VLAN重複步驟即可,完成後DHCP位址池清單如下:
06 設定路由參數
由于産品部、員工無線網絡、訪客網絡需要連接配接網際網路,是以需要設定相應路由使資料能轉發出去。
在“路由功能->靜态路由->IPv4靜态路由”中,設定相應參數如下圖所示,注意下一跳為路由器位址,本例為192.168.23.1。
07 網絡權限設定
在交換機中主要通過ACL來控制通路權限,本例使用其中的标準IP ACL進行配置,其餘的MAC ACL等原理類似。
由于交換機預設規則是轉發所有資料,ACL控制是逐條比對的,是以各網絡所需規則如下:
- 産品部:禁止通路研發部網絡。
- 研發部:隻允許通路伺服器,禁止通路其餘網絡。
- 員工無線網絡:禁止通路産品部、研發部、伺服器網絡。
- 訪客網絡:禁止通路産品部、研發部、員工無線網絡、伺服器網絡。
以研發部為例,具體設定如下:
✅建立一個ACL ID
标準IP ACL的ID号範圍是500-1499,本例使用520。在“通路控制->ACL配置->建立ACL”中,輸入520,點選建立即可。
✅再根據需求建立ACL規則
在“通路控制->ACL配置->标準IP ACL”中,下拉選擇建立的ACL 520,輸入規則ID 21,安全操作選擇允許,源IP為研發部IP,目的IP為伺服器IP。如下圖所示,完成後點選送出。
禁止通路其餘網絡的規則,如下所示:
完成後ACL 520清單,如下圖所示:
✅最後綁定至相應VLAN中
在“通路控制->ACL綁定配置->VLAN綁定”中,下拉選擇ACL 520,輸入VLAN ID号20,點選添加。如下圖所示:
其餘網絡重複上述三個步驟即可,注意每個網絡都需要建立一個ACL ID号以進行VLAN的綁定。
其餘網絡建立後的ACL清單如下:
08 網絡安全設定
為保障内網的網絡安全,在三層交換機中建議開啟ARP防護、DHCP偵聽。
✅ARP防護
防護功能需要先進行四元綁定。在“網絡安全->四元綁定”中有手動綁定和掃描綁定,手動綁定輸入相應參數即可,掃描綁定設定如下圖所示。
綁定後可以在防護範圍内進行防護選擇。
✅防ARP欺騙
在“網絡安全->ARP防護->防ARP欺騙”中,選擇啟用源MAC、目的MAC和IP驗證,填入作用的VLAN ID号,點選啟用。如下如所示:
✅DHCP偵聽
DHCP主要作用是集中配置設定和管理IP位址,通常我們是通過路由器或三層網管交換機充當DHCP伺服器的角色,但如果網絡中有其他能夠配置設定DHCP的非法伺服器,也會給用戶端配置設定不正确的IP,導緻終端無法上網,網絡結構紊亂。
而開啟“DHCP偵聽”功能,添加授信端口,可以讓終端和伺服器隻能從授信端口接收發送DHCP Offer封包,進而能正确的進行網絡通信。
設定方法:
在“網絡安全->DHCP偵聽->全局配置”中,啟用DHCP偵聽,輸入作用的VLAN ID,點選送出,如下圖所示:
若交換機連接配接有合法DHCP伺服器如路由器或AC或其他伺服器,則需要進行端口配置,将DHCP伺服器所在端口設定為授信端口。
在“網絡安全->DHCP偵聽->端口配置”中設定為授信端口,如下圖所示。
本例中路由器和AC均無需開啟DHCP服務,故無需做設定。
通過以上設定,即完成了企業組網中三層網管交換機的設定,且實作了相應的通路控制和網絡安全需求。注意儲存配置以免掉電導緻配置丢失。
以下簡要介紹下此例中ER系列路由器、Web網管交換機中的重要設定。路由器、AC、Web網管交換機中的一些基本管理設定、上網設定、無線設定再此不做介紹。
09 路由器設定
資料轉發到路由器後需要設定NAPT規則才能将資料轉發出去,也需要設定到核心交換機的靜态路由以将網際網路資料轉發到内網中。
在此以TL-ER6220G為例簡單介紹ER系列路由器的設定方法。在“傳輸控制->NAT設定->NAPT”中,點選新增,輸入相應參數如下圖,點選确定。
其餘VLAN重複步驟即可,完成後NAPT規則清單如下:
注意:由于研發部和伺服器網段不能通路網際網路,是以不做NAPT設定。
在“傳輸控制->路由設定->靜态路由”中,點選新增,輸入相應參數如下圖,點選确定。注意此處的下一跳位址為三層網管交換機位址,本例為192.168.23.2。
完成後靜态路由清單如下:
注意:由于研發部和伺服器網段不能通路網際網路,是以不做靜态路由設定。
10 二層交換機VLAN設定
在二層交換機中同樣需要進行VLAN劃分以對接三層交換機。
本文以員工網絡所在交換機為例進行VLAN 30的設定。其餘網絡所在交換機設定同樣。
✅在“VLAN->802.1Q VLAN”中選中啟用并點選應用
在輸入框中輸入30,選擇對應的端口,選為Tagged,完成後點選添加。
添加完成後,VLAN清單如下:
✅設定端口PVID
在“VLAN->802.1Q VLAN PVID設定”中,選中VLAN30中Untagged的端口,PVID框輸入30,點選應用進行儲存。
端口類型為Tagged的16口作為級聯口,保持預設PVID值為1即可。設定後如下如所示: