九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

打開APP
userphoto
未登錄

開通VIP,暢享免費(fèi)電子書等14項(xiàng)超值服

開通VIP
三層交換機(jī)如何配置,才算最大發(fā)揮其功能?

廣義的交換機(jī)(switch)就是一種在通信系統(tǒng)中完成信息交換功能的設(shè)備,它像是“開關(guān)”一樣的存在。

交換機(jī)沒出現(xiàn)之前,我們常用的就是HUB集線器。用它的話,同一時刻網(wǎng)絡(luò)上只能傳輸一組數(shù)據(jù)幀的通訊,如果發(fā)生碰撞還得重試,很不高效。

二級建造師教材
弱電智能化工程2018
18

但交換機(jī)不同,它不僅有網(wǎng)橋、集線器和集線器的所有功能,還提供了更先進(jìn)的功能,比如如虛擬局域網(wǎng)(VLAN)和更高的性能。

根據(jù)功能的不同,交換機(jī)分為二層交換機(jī)和三層交換機(jī)。

今天的文章給你科普的是“三層交換機(jī)”,它處在OSI七層模型的第三層,所以叫三層交換機(jī)。

  • 三層交換機(jī)你需要了解的機(jī)制有哪些?

  • 沒有辦法實(shí)操,該怎么練手掌握?

  • 在企業(yè)內(nèi)具體部署時,又該如何操作?

01

三層交換機(jī)的轉(zhuǎn)發(fā)機(jī)制

你必須了解

三層以太網(wǎng)交換機(jī)的轉(zhuǎn)發(fā)機(jī)制主要分為兩個部分:二層轉(zhuǎn)發(fā)和三層交換。

二層轉(zhuǎn)發(fā)包含MAC 地址和VLAN二層轉(zhuǎn)發(fā);三層轉(zhuǎn)發(fā)主要涉及到兩個關(guān)鍵的線程:地址學(xué)習(xí)線程、報文轉(zhuǎn)發(fā)線程,這個和二層的線程是類似的。

02

三層交換機(jī)配置

在模擬器上該怎么練習(xí)?

首先,需要你了解vlan、了解基本的路由原理、了解客戶端設(shè)置網(wǎng)關(guān)的作用。

并且你安裝好了模擬器,這里用的是Cisco Packet Tracer。

實(shí)驗(yàn)步驟如下:

01 二層交換機(jī)配置 (劃a為主干鏈路接口)

Switch(config)#vlan 10

Switch(config)#vlan 20

Switch(config)#int range f0/1-10

Switch(config-if-range)#switchport access vlan 10

Switch(config)#int range f0/11-20

Switch(config-if-range)#switchport access vlan 20

Switch(config)#int f0/24

Switch(config-if)#switchport mode trunk


02 三層交換機(jī)配置配置(創(chuàng)建vlan、設(shè)置主干鏈路接口、設(shè)置SVI接口地址、啟用路由功能)

Switch(config)#ip routing#啟用三層交換機(jī)的路由功能

Switch(config)#vlan 10

Switch(config)#vlan 20

Switch(config)#int f0/24

Switch(config-if)#switchport trunk encapsulation dot1q

Switch(config-if)#switchport mode trunk

Switch(config)#int vlan 10#創(chuàng)建svi10

Switch(config-if)#ip address 192.168.10.254 255.255.255.0#設(shè)置SVI10的ip,該地址是vlan10的網(wǎng)關(guān)

Switch(config)#int vlan 20#創(chuàng)建svi20

Switch(config-if)#ip address 192.168.20.254 255.255.255.0#設(shè)置SVI20的ip,該地址是vlan20的網(wǎng)關(guān)


03 配置PC(設(shè)置IP、設(shè)置網(wǎng)關(guān))

PC0地址設(shè)置,該主機(jī)屬于vlan10

PC1地址設(shè)置,該主機(jī)屬于vlan20

04 測試連通性

03

企業(yè)應(yīng)用配置實(shí)例

在企業(yè)中,不同部門可能需要區(qū)分管理,設(shè)置不同的網(wǎng)絡(luò)權(quán)限,同時也需要一定的安全防護(hù),這時你就會需要用到三層網(wǎng)管交換機(jī)作為核心交換機(jī)。

本文以TL-SG5428PE作為核心交換機(jī)為例,介紹在企業(yè)網(wǎng)絡(luò)中配置三層交換機(jī)的方法。網(wǎng)絡(luò)拓?fù)淙缦拢?/span>

出現(xiàn)的問題

  • 訪客網(wǎng)絡(luò)可以訪問互聯(lián)網(wǎng),但不能訪問內(nèi)部其他網(wǎng)絡(luò)

  • 不同部門之間不能互相訪問

  • 產(chǎn)品部可以訪問互聯(lián)網(wǎng)和服務(wù)器,研發(fā)部不能訪問互聯(lián)網(wǎng),只能訪問服務(wù)器

  • 服務(wù)器網(wǎng)段不能訪問外網(wǎng)

問題分析

  • 每個網(wǎng)絡(luò)設(shè)置VLAN,通過設(shè)置訪問控制限制不同網(wǎng)絡(luò)的訪問權(quán)限

  • 開啟ARP防護(hù)、DHCP偵聽保障網(wǎng)絡(luò)安全

配置步驟

01 網(wǎng)絡(luò)規(guī)劃

為方便設(shè)備管理,需要將路由器、交換機(jī)、AC、AP等設(shè)備劃分到一個VLAN中,同時需要保證每個網(wǎng)絡(luò)都劃分VLAN。

本例中三層網(wǎng)管交換機(jī)的端口1連接路由器,端口2連接AC,具體VLAN劃分和端口規(guī)劃情況如下所示:

注:網(wǎng)絡(luò)地址的大小請根據(jù)企業(yè)規(guī)模靈活配置,本例中網(wǎng)絡(luò)掩碼配置為24位。

 02 設(shè)置端口類型

根據(jù)規(guī)劃表格,在“VLAN->802.1Q VLAN->端口配置”中,選中1-18口,端口類型下拉選擇GENERAL,點(diǎn)擊提交。

 03  劃分VLAN

在“VLAN->802.1Q VLAN->VLAN配置”中,創(chuàng)建VLAN10,Tagged端口列表中選擇對應(yīng)的3-6號端口,點(diǎn)擊提交。

其余VLAN重復(fù)步驟即可,完成后VLAN列表如下:

 04  設(shè)置接口參數(shù)

在“路由功能->接口”中,輸入VLAN ID號,IP地址模式選擇Static,輸入網(wǎng)絡(luò)參數(shù)如下圖所示,點(diǎn)擊創(chuàng)建。

其余VLAN重復(fù)步驟即可,完成后接口列表如下:

 05  設(shè)置DHCP服務(wù)器

在“路由功能->DHCP服務(wù)器->DHCP服務(wù)器”中,啟用DHCP服務(wù)。注意因?yàn)樾枰狝C管理AP,所以DHCP服務(wù)器中需要填寫option字段,如下option 60填寫“TP-LINK”,option 138填寫AC的IP地址,本例為192.168.23.253。

在“路由功能->DHCP服務(wù)器->地址池設(shè)置”中,輸入相應(yīng)的網(wǎng)絡(luò)參數(shù)如下圖所示,點(diǎn)擊添加。

其余VLAN重復(fù)步驟即可,完成后DHCP地址池列表如下:

 06  設(shè)置路由參數(shù)

由于產(chǎn)品部、員工無線網(wǎng)絡(luò)、訪客網(wǎng)絡(luò)需要連接互聯(lián)網(wǎng),所以需要設(shè)置相應(yīng)路由使數(shù)據(jù)能轉(zhuǎn)發(fā)出去。

在“路由功能->靜態(tài)路由->IPv4靜態(tài)路由”中,設(shè)置相應(yīng)參數(shù)如下圖所示,注意下一跳為路由器地址,本例為192.168.23.1。

 07  網(wǎng)絡(luò)權(quán)限設(shè)置

在交換機(jī)中主要通過ACL來控制訪問權(quán)限,本例使用其中的標(biāo)準(zhǔn)IP ACL進(jìn)行配置,其余的MAC ACL等原理類似。

由于交換機(jī)默認(rèn)規(guī)則是轉(zhuǎn)發(fā)所有數(shù)據(jù),ACL控制是逐條匹配的,所以各網(wǎng)絡(luò)所需規(guī)則如下:

  • 產(chǎn)品部:禁止訪問研發(fā)部網(wǎng)絡(luò)。

  • 研發(fā)部:只允許訪問服務(wù)器,禁止訪問其余網(wǎng)絡(luò)。

  • 員工無線網(wǎng)絡(luò):禁止訪問產(chǎn)品部、研發(fā)部、服務(wù)器網(wǎng)絡(luò)。

  • 訪客網(wǎng)絡(luò):禁止訪問產(chǎn)品部、研發(fā)部、員工無線網(wǎng)絡(luò)、服務(wù)器網(wǎng)絡(luò)。

以研發(fā)部為例,具體設(shè)置如下:

?新建一個ACL ID

標(biāo)準(zhǔn)IP ACL的ID號范圍是500-1499,本例使用520。在“訪問控制->ACL配置->新建ACL”中,輸入520,點(diǎn)擊創(chuàng)建即可。

?再根據(jù)需求創(chuàng)建ACL規(guī)則

在“訪問控制->ACL配置->標(biāo)準(zhǔn)IP ACL”中,下拉選擇創(chuàng)建的ACL 520,輸入規(guī)則ID 21,安全操作選擇允許,源IP為研發(fā)部IP,目的IP為服務(wù)器IP。如下圖所示,完成后點(diǎn)擊提交。

禁止訪問其余網(wǎng)絡(luò)的規(guī)則,如下所示:

完成后ACL 520列表,如下圖所示:

?最后綁定至相應(yīng)VLAN中

在“訪問控制->ACL綁定配置->VLAN綁定”中,下拉選擇ACL 520,輸入VLAN ID號20,點(diǎn)擊添加。如下圖所示:

其余網(wǎng)絡(luò)重復(fù)上述三個步驟即可,注意每個網(wǎng)絡(luò)都需要創(chuàng)建一個ACL ID號以進(jìn)行VLAN的綁定。

其余網(wǎng)絡(luò)創(chuàng)建后的ACL列表如下:

 08  網(wǎng)絡(luò)安全設(shè)置

為保障內(nèi)網(wǎng)的網(wǎng)絡(luò)安全,在三層交換機(jī)中建議開啟ARP防護(hù)、DHCP偵聽。

?ARP防護(hù)

防護(hù)功能需要先進(jìn)行四元綁定。在“網(wǎng)絡(luò)安全->四元綁定”中有手動綁定和掃描綁定,手動綁定輸入相應(yīng)參數(shù)即可,掃描綁定設(shè)置如下圖所示。

綁定后可以在防護(hù)范圍內(nèi)進(jìn)行防護(hù)選擇。

?防ARP欺騙

在“網(wǎng)絡(luò)安全->ARP防護(hù)->防ARP欺騙”中,選擇啟用源MAC、目的MAC和IP驗(yàn)證,填入作用的VLAN ID號,點(diǎn)擊啟用。如下如所示:

?DHCP偵聽

DHCP主要作用是集中分配和管理IP地址,通常我們是通過路由器或三層網(wǎng)管交換機(jī)充當(dāng)DHCP服務(wù)器的角色,但如果網(wǎng)絡(luò)中有其他能夠分配DHCP的非法服務(wù)器,也會給客戶端分配不正確的IP,導(dǎo)致終端無法上網(wǎng),網(wǎng)絡(luò)結(jié)構(gòu)紊亂。

而開啟“DHCP偵聽”功能,添加授信端口,可以讓終端和服務(wù)器只能從授信端口接收發(fā)送DHCP Offer報文,從而能正確的進(jìn)行網(wǎng)絡(luò)通信。

設(shè)置方法:

在“網(wǎng)絡(luò)安全->DHCP偵聽->全局配置”中,啟用DHCP偵聽,輸入作用的VLAN ID,點(diǎn)擊提交,如下圖所示:

若交換機(jī)連接有合法DHCP服務(wù)器如路由器或AC或其他服務(wù)器,則需要進(jìn)行端口配置,將DHCP服務(wù)器所在端口設(shè)置為授信端口。

在“網(wǎng)絡(luò)安全->DHCP偵聽->端口配置”中設(shè)置為授信端口,如下圖所示。

本例中路由器和AC均無需開啟DHCP服務(wù),故無需做設(shè)置。

通過以上設(shè)置,即完成了企業(yè)組網(wǎng)中三層網(wǎng)管交換機(jī)的設(shè)置,且實(shí)現(xiàn)了相應(yīng)的訪問控制和網(wǎng)絡(luò)安全需求。注意保存配置以免掉電導(dǎo)致配置丟失。

以下簡要介紹下此例中ER系列路由器、Web網(wǎng)管交換機(jī)中的重要設(shè)置。路由器、AC、Web網(wǎng)管交換機(jī)中的一些基本管理設(shè)置、上網(wǎng)設(shè)置、無線設(shè)置再此不做介紹。

 09  路由器設(shè)置

數(shù)據(jù)轉(zhuǎn)發(fā)到路由器后需要設(shè)置NAPT規(guī)則才能將數(shù)據(jù)轉(zhuǎn)發(fā)出去,也需要設(shè)置到核心交換機(jī)的靜態(tài)路由以將互聯(lián)網(wǎng)數(shù)據(jù)轉(zhuǎn)發(fā)到內(nèi)網(wǎng)中。

在此以TL-ER6220G為例簡單介紹ER系列路由器的設(shè)置方法。在“傳輸控制->NAT設(shè)置->NAPT”中,點(diǎn)擊新增,輸入相應(yīng)參數(shù)如下圖,點(diǎn)擊確定。

其余VLAN重復(fù)步驟即可,完成后NAPT規(guī)則列表如下:

注意:由于研發(fā)部和服務(wù)器網(wǎng)段不能訪問互聯(lián)網(wǎng),所以不做NAPT設(shè)置。

在“傳輸控制->路由設(shè)置->靜態(tài)路由”中,點(diǎn)擊新增,輸入相應(yīng)參數(shù)如下圖,點(diǎn)擊確定。注意此處的下一跳地址為三層網(wǎng)管交換機(jī)地址,本例為192.168.23.2。

完成后靜態(tài)路由列表如下:

注意:由于研發(fā)部和服務(wù)器網(wǎng)段不能訪問互聯(lián)網(wǎng),所以不做靜態(tài)路由設(shè)置。

 10 二層交換機(jī)VLAN設(shè)置

在二層交換機(jī)中同樣需要進(jìn)行VLAN劃分以對接三層交換機(jī)。

本文以員工網(wǎng)絡(luò)所在交換機(jī)為例進(jìn)行VLAN 30的設(shè)置。其余網(wǎng)絡(luò)所在交換機(jī)設(shè)置同樣。

?在“VLAN->802.1Q VLAN”中選中啟用并點(diǎn)擊應(yīng)用

在輸入框中輸入30,選擇對應(yīng)的端口,選為Tagged,完成后點(diǎn)擊添加。

添加完成后,VLAN列表如下:

?設(shè)置端口PVID

在“VLAN->802.1Q VLAN PVID設(shè)置”中,選中VLAN30中Untagged的端口,PVID框輸入30,點(diǎn)擊應(yīng)用進(jìn)行保存。

端口類型為Tagged的16口作為級聯(lián)口,保持默認(rèn)PVID值為1即可。設(shè)置后如下如所示:

至此,就完成所有設(shè)置了!

本站僅提供存儲服務(wù),所有內(nèi)容均由用戶發(fā)布,如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請點(diǎn)擊舉報。
打開APP,閱讀全文并永久保存 查看更多類似文章
猜你喜歡
類似文章
銳捷網(wǎng)絡(luò)交換機(jī)常用操作命令手冊 - 曾國藩的日志 - 網(wǎng)易博客
擴(kuò)展IP訪問列表
D-LINK網(wǎng)絡(luò)交換機(jī)的CLI的配置說明書
Cisco路由器上配置DHCP全程詳解 - Cisco路由器上配置DHCP全程詳解[我愛路...
三層交換機(jī)配置DHCP解決方案
Cisco路由器上配置DHCP全程詳解
更多類似文章 >>
生活服務(wù)
熱點(diǎn)新聞
分享 收藏 導(dǎo)長圖 關(guān)注 下載文章
綁定賬號成功
后續(xù)可登錄賬號暢享VIP特權(quán)!
如果VIP功能使用有故障,
可點(diǎn)擊這里聯(lián)系客服!

聯(lián)系客服