弱电工程中三层交换机需要如何配置才算最大发挥其功能【文末送书】

弱电工程中三层交换机需要如何配置才算最大发挥其功能【文末送书】免责声明：本文转自网络对于弱电工程从业者来说，“交换机”这个关键词一直都是关注的焦点。广义的交换机（switch）就是一种在通信系统中完成信息交换功能的设备，它像是“开关”一样的存在。交换机没出现之前，我们常用的就是HUB集线器。用它的话，同一时刻网络上只能传输一组数据帧的通讯，如果发生碰撞还得重试，很不高效。但交换机不同，它不仅有网桥、集线器和集线器的所有功能，还提供了更先进的功能，比如如虚拟局域网（VLAN）和更高的性能。根据功能的不同，交换机分为二层交换机和三层交换机。今天的文章给你科普的是“三层交换机”，它处在OSI七层模型的第三层，所以叫三层交换机。三层交换机你需要了解的机制有哪些？没有办法实操，该怎么练手掌握？在企业内具体部署时，又该如何操作？别着急，老杨这就告诉你。01三层交换机的转发机制你必须了解三层以太网交换机的转发机制主要分为两个部分：二层转发和三层交换。二层转发包含MAC

地址和VLAN二层转发；三层转发主要涉及到两个关键的线程：地址学习线程、报文转发线程，这个和二层的线程是类似的。02三层交换机配置在模拟器上该怎么练习？首先，需要你了解vlan、了解基本的路由原理、了解客户端设置网关的作用。并且你安装好了模拟器，这里用的是CiscoPacketTracer。实验步骤如下：01

二层交换机配置

（划a为主干链路接口）Switch(config)#vlan10Switch(config)#vlan20Switch(config)#intrangef0/1-10Switch(config-if-range)#switchportaccessvlan10Switch(config)#intrangef0/11-20Switch(config-if-range)#switchportaccessvlan20Switch(config)#intf0/24Switch(config-if)#switchportmodetrunk02

三层交换机配置配置（创建vlan、设置主干链路接口、设置SVI接口地址、启用路由功能）Switch(config)#iprouting#启用三层交换机的路由功能Switch(config)#vlan10Switch(config)#vlan20Switch(config)#intf0/24Switch(config-if)#switchporttrunkencapsulationdot1qSwitch(config-if)#switchportmodetrunkSwitch(config)#intvlan10#创建svi10Switch(config-if)#ipaddress54#设置SVI10的ip，该地址是vlan10的网关Switch(config)#intvlan20#创建svi20Switch(config-if)#ipaddress54#设置SVI20的ip，该地址是vlan20的网关03

配置PC（设置IP、设置网关）PC0地址设置，该主机属于vlan10PC1地址设置，该主机属于vlan2004

测试连通性03企业应用配置实例在企业中，不同部门可能需要区分管理，设置不同的网络权限，同时也需要一定的安全防护，这时你就会需要用到三层网管交换机作为核心交换机。本文以TL-SG5428PE作为核心交换机为例，介绍在企业网络中配置三层交换机的方法。网络拓扑如下：出现的问题访客网络可以访问互联网，但不能访问内部其他网络不同部门之间不能互相访问产品部可以访问互联网和服务器，研发部不能访问互联网，只能访问服务器服务器网段不能访问外网问题分析每个网络设置VLAN，通过设置访问控制限制不同网络的访问权限开启ARP防护、DHCP侦听保障网络安全配置步骤01

网络规划为方便设备管理，需要将路由器、交换机、AC、AP等设备划分到一个VLAN中，同时需要保证每个网络都划分VLAN。本例中三层网管交换机的端口1连接路由器，端口2连接AC，具体VLAN划分和端口规划情况如下所示：注：网络地址的大小请根据企业规模灵活配置，本例中网络掩码配置为24位。

02

设置端口类型根据规划表格，在“VLAN->802.1QVLAN->端口配置”中，选中1-18口，端口类型下拉选择GENERAL，点击提交。

03

划分VLAN在“VLAN->802.1QVLAN->VLAN配置”中，创建VLAN10，Tagged端口列表中选择对应的3-6号端口，点击提交。其余VLAN重复步骤即可，完成后VLAN列表如下：

04

设置接口参数在“路由功能->接口”中，输入VLANID号，IP地址模式选择Static，输入网络参数如下图所示，点击创建。其余VLAN重复步骤即可，完成后接口列表如下：

05

设置DHCP服务器在“路由功能->DHCP服务器->DHCP服务器”中，启用DHCP服务。注意因为需要AC管理AP，所以DHCP服务器中需要填写option字段，如下option60填写“TP-LINK”，option138填写AC的IP地址，本例为53。在“路由功能->DHCP服务器->地址池设置”中，输入相应的网络参数如下图所示，点击添加。其余VLAN重复步骤即可，完成后DHCP地址池列表如下：

06

设置路由参数由于产品部、员工无线网络、访客网络需要连接互联网，所以需要设置相应路由使数据能转发出去。在“路由功能->静态路由->IPv4静态路由”中，设置相应参数如下图所示，注意下一跳为路由器地址，本例为。

07

网络权限设置在交换机中主要通过ACL来控制访问权限，本例使用其中的标准IPACL进行配置，其余的MACACL等原理类似。由于交换机默认规则是转发所有数据，ACL控制是逐条匹配的，所以各网络所需规则如下：产品部：禁止访问研发部网络。研发部：只允许访问服务器，禁止访问其余网络。员工无线网络：禁止访问产品部、研发部、服务器网络。访客网络：禁止访问产品部、研发部、员工无线网络、服务器网络。以研发部为例，具体设置如下：✅新建一个ACLID标准IPACL的ID号范围是500-1499，本例使用520。在“访问控制->ACL配置->新建ACL”中，输入520，点击创建即可。✅再根据需求创建ACL规则在“访问控制->ACL配置->标准IPACL”中，下拉选择创建的ACL520，输入规则ID21，安全操作选择允许，源IP为研发部IP，目的IP为服务器IP。如下图所示，完成后点击提交。禁止访问其余网络的规则，如下所示：完成后ACL520列表，如下图所示：✅最后绑定至相应VLAN中在“访问控制->ACL绑定配置->VLAN绑定”中，下拉选择ACL520，输入VLANID号20，点击添加。如下图所示：其余网络重复上述三个步骤即可，注意每个网络都需要创建一个ACLID号以进行VLAN的绑定。其余网络创建后的ACL列表如下：

08

网络安全设置为保障内网的网络安全，在三层交换机中建议开启ARP防护、DHCP侦听。✅ARP防护防护功能需要先进行四元绑定。在“网络安全->四元绑定”中有手动绑定和扫描绑定，手动绑定输入相应参数即可，扫描绑定设置如下图所示。绑定后可以在防护范围内进行防护选择。✅防ARP欺骗在“网络安全->ARP防护->防ARP欺骗”中，选择启用源MAC、目的MAC和IP验证，填入作用的VLANID号，点击启用。如下如所示：✅DHCP侦听DHCP主要作用是集中分配和管理IP地址，通常我们是通过路由器或三层网管交换机充当DHCP服务器的角色，但如果网络中有其他能够分配DHCP的非法服务器，也会给客户端分配不正确的IP，导致终端无法上网，网络结构紊乱。而开启“DHCP侦听”功能，添加授信端口，可以让终端和服务器只能从授信端口接收发送DHCPOffer报文，从而能正确的进行网络通信。设置方法：在“网络安全->DHCP侦听->全局配置”中，启用DHCP侦听，输入作用的VLANID，点击提交，如下图所示：若交换机连接有合法DHCP服务器如路由器或AC或其他服务器，则需要进行端口配置，将DHCP服务器所在端口设置为授信端口。在“网络安全->DHCP侦听->端口配置”中设置为授信端口，如下图所示。本例中路由器和AC均无需开启DHCP服务，故无需做设置。通过以上设置，即完成了企业组网中三层网管交换机的设置，且实现了相应的访问控制和网络安全需求。注意保存配置以免掉电导致配置丢失。以下简要介绍下此例中ER系列路由器、Web网管交换机中的重要设置。路由器、AC、Web网管交换机中的一些基本管理设置、上网设置、无线设置再此不做介绍。

09

路由器设置数据转发到路由器后需要设置NAPT规则才能将数据转发出去，也需要设置到核心交换机的静态路由以将互联网数据转发到内网中。在此以TL-ER6220G为例简单介绍ER系列路由器的设置方法。在“传输控制->NAT设置->NAPT”中，点击新增，输入相应参数如下图，点击确定。其余VLAN重复步骤即可，完成后NAPT规则列表如下：注意：由于研发部和服务器网段不能访问互联网，所以不做NAPT设置。在“传输控制->路由设置->静态路由”中，点击新增，输入相应参数如下图，点击确定。注意此处的下一跳地址为三层网管交换机地址，本例为。完成后静态路由列表如下：注意：由于研发部和服务器网段不能访问互联网，所以不做静态路由设置。

10

二层交换机VLAN设置在二层交换机中同样需要进行VLAN划分以对接三层交换机。本文以员工网络所在交换机为例进行VLAN30的设置。其余网络所在交换机设置同样。✅在“VLAN->802.1QVLAN”中选中启用并点击应用在输入框中输入30，选择对应的端口，选为Tagged，完成后点击添加。添加完成后，VLAN列表如下：✅设置端口PVID在“VLAN->802.1