弱電工程中三層交換機需要如何配置才算最大發揮其功能【文末送書】免責聲明：本文轉自網絡對于弱電工程從業者來說，“交換機”這個關鍵詞一直都是關注的焦點。廣義的交換機（switch）就是一種在通信系統中完成信息交換功能的設備，它像是“開關”一樣的存在。交換機沒出現之前，我們常用的就是HUB集線器。用它的話，同一時刻網絡上只能傳輸一組數據幀的通訊，如果發生碰撞還得重試，很不高效。但交換機不同，它不僅有網橋、集線器和集線器的所有功能，還提供了更先進的功能，比如如虛擬局域網（VLAN）和更高的性能。根據功能的不同，交換機分為二層交換機和三層交換機。今天的文章給你科普的是“三層交換機”，它處在OSI七層模型的第三層，所以叫三層交換機。三層交換機你需要了解的機制有哪些？沒有辦法實操，該怎么練手掌握？在企業內具體部署時，又該如何操作？別著急，老楊這就告訴你。01三層交換機的轉發機制你必須了解三層以太網交換機的轉發機制主要分為兩個部分：二層轉發和三層交換。二層轉發包含MAC

地址和VLAN二層轉發；三層轉發主要涉及到兩個關鍵的線程：地址學習線程、報文轉發線程，這個和二層的線程是類似的。02三層交換機配置在模擬器上該怎么練習？首先，需要你了解vlan、了解基本的路由原理、了解客戶端設置網關的作用。并且你安裝好了模擬器，這里用的是CiscoPacketTracer。實驗步驟如下：01

二層交換機配置

（劃a為主干鏈路接口）Switch(config)#vlan10Switch(config)#vlan20Switch(config)#intrangef0/1-10Switch(config-if-range)#switchportaccessvlan10Switch(config)#intrangef0/11-20Switch(config-if-range)#switchportaccessvlan20Switch(config)#intf0/24Switch(config-if)#switchportmodetrunk02

三層交換機配置配置（創建vlan、設置主干鏈路接口、設置SVI接口地址、啟用路由功能）Switch(config)#iprouting#啟用三層交換機的路由功能Switch(config)#vlan10Switch(config)#vlan20Switch(config)#intf0/24Switch(config-if)#switchporttrunkencapsulationdot1qSwitch(config-if)#switchportmodetrunkSwitch(config)#intvlan10#創建svi10Switch(config-if)#ipaddress54#設置SVI10的ip，該地址是vlan10的網關Switch(config)#intvlan20#創建svi20Switch(config-if)#ipaddress54#設置SVI20的ip，該地址是vlan20的網關03

配置PC（設置IP、設置網關）PC0地址設置，該主機屬于vlan10PC1地址設置，該主機屬于vlan2004

測試連通性03企業應用配置實例在企業中，不同部門可能需要區分管理，設置不同的網絡權限，同時也需要一定的安全防護，這時你就會需要用到三層網管交換機作為核心交換機。本文以TL-SG5428PE作為核心交換機為例，介紹在企業網絡中配置三層交換機的方法。網絡拓撲如下：出現的問題訪客網絡可以訪問互聯網，但不能訪問內部其他網絡不同部門之間不能互相訪問產品部可以訪問互聯網和服務器，研發部不能訪問互聯網，只能訪問服務器服務器網段不能訪問外網問題分析每個網絡設置VLAN，通過設置訪問控制限制不同網絡的訪問權限開啟ARP防護、DHCP偵聽保障網絡安全配置步驟01

網絡規劃為方便設備管理，需要將路由器、交換機、AC、AP等設備劃分到一個VLAN中，同時需要保證每個網絡都劃分VLAN。本例中三層網管交換機的端口1連接路由器，端口2連接AC，具體VLAN劃分和端口規劃情況如下所示：注：網絡地址的大小請根據企業規模靈活配置，本例中網絡掩碼配置為24位。

02

設置端口類型根據規劃表格，在“VLAN->802.1QVLAN->端口配置”中，選中1-18口，端口類型下拉選擇GENERAL，點擊提交。

03

劃分VLAN在“VLAN->802.1QVLAN->VLAN配置”中，創建VLAN10，Tagged端口列表中選擇對應的3-6號端口，點擊提交。其余VLAN重復步驟即可，完成后VLAN列表如下：

04

設置接口參數在“路由功能->接口”中，輸入VLANID號，IP地址模式選擇Static，輸入網絡參數如下圖所示，點擊創建。其余VLAN重復步驟即可，完成后接口列表如下：

05

設置DHCP服務器在“路由功能->DHCP服務器->DHCP服務器”中，啟用DHCP服務。注意因為需要AC管理AP，所以DHCP服務器中需要填寫option字段，如下option60填寫“TP-LINK”，option138填寫AC的IP地址，本例為53。在“路由功能->DHCP服務器->地址池設置”中，輸入相應的網絡參數如下圖所示，點擊添加。其余VLAN重復步驟即可，完成后DHCP地址池列表如下：

06

設置路由參數由于產品部、員工無線網絡、訪客網絡需要連接互聯網，所以需要設置相應路由使數據能轉發出去。在“路由功能->靜態路由->IPv4靜態路由”中，設置相應參數如下圖所示，注意下一跳為路由器地址，本例為。

07

網絡權限設置在交換機中主要通過ACL來控制訪問權限，本例使用其中的標準IPACL進行配置，其余的MACACL等原理類似。由于交換機默認規則是轉發所有數據，ACL控制是逐條匹配的，所以各網絡所需規則如下：產品部：禁止訪問研發部網絡。研發部：只允許訪問服務器，禁止訪問其余網絡。員工無線網絡：禁止訪問產品部、研發部、服務器網絡。訪客網絡：禁止訪問產品部、研發部、員工無線網絡、服務器網絡。以研發部為例，具體設置如下：?新建一個ACLID標準IPACL的ID號范圍是500-1499，本例使用520。在“訪問控制->ACL配置->新建ACL”中，輸入520，點擊創建即可。?再根據需求創建ACL規則在“訪問控制->ACL配置->標準IPACL”中，下拉選擇創建的ACL520，輸入規則ID21，安全操作選擇允許，源IP為研發部IP，目的IP為服務器IP。如下圖所示，完成后點擊提交。禁止訪問其余網絡的規則，如下所示：完成后ACL520列表，如下圖所示：?最后綁定至相應VLAN中在“訪問控制->ACL綁定配置->VLAN綁定”中，下拉選擇ACL520，輸入VLANID號20，點擊添加。如下圖所示：其余網絡重復上述三個步驟即可，注意每個網絡都需要創建一個ACLID號以進行VLAN的綁定。其余網絡創建后的ACL列表如下：

08

網絡安全設置為保障內網的網絡安全，在三層交換機中建議開啟ARP防護、DHCP偵聽。?ARP防護防護功能需要先進行四元綁定。在“網絡安全->四元綁定”中有手動綁定和掃描綁定，手動綁定輸入相應參數即可，掃描綁定設置如下圖所示。綁定后可以在防護范圍內進行防護選擇。?防ARP欺騙在“網絡安全->ARP防護->防ARP欺騙”中，選擇啟用源MAC、目的MAC和IP驗證，填入作用的VLANID號，點擊啟用。如下如所示：?DHCP偵聽DHCP主要作用是集中分配和管理IP地址，通常我們是通過路由器或三層網管交換機充當DHCP服務器的角色，但如果網絡中有其他能夠分配DHCP的非法服務器，也會給客戶端分配不正確的IP，導致終端無法上網，網絡結構紊亂。而開啟“DHCP偵聽”功能，添加授信端口，可以讓終端和服務器只能從授信端口接收發送DHCPOffer報文，從而能正確的進行網絡通信。設置方法：在“網絡安全->DHCP偵聽->全局配置”中，啟用DHCP偵聽，輸入作用的VLANID，點擊提交，如下圖所示：若交換機連接有合法DHCP服務器如路由器或AC或其他服務器，則需要進行端口配置，將DHCP服務器所在端口設置為授信端口。在“網絡安全->DHCP偵聽->端口配置”中設置為授信端口，如下圖所示。本例中路由器和AC均無需開啟DHCP服務，故無需做設置。通過以上設置，即完成了企業組網中三層網管交換機的設置，且實現了相應的訪問控制和網絡安全需求。注意保存配置以免掉電導致配置丟失。以下簡要介紹下此例中ER系列路由器、Web網管交換機中的重要設置。路由器、AC、Web網管交換機中的一些基本管理設置、上網設置、無線設置再此不做介紹。

09

路由器設置數據轉發到路由器后需要設置NAPT規則才能將數據轉發出去，也需要設置到核心交換機的靜態路由以將互聯網數據轉發到內網中。在此以TL-ER6220G為例簡單介紹ER系列路由器的設置方法。在“傳輸控制->NAT設置->NAPT”中，點擊新增，輸入相應參數如下圖，點擊確定。其余VLAN重復步驟即可，完成后NAPT規則列表如下：注意：由于研發部和服務器網段不能訪問互聯網，所以不做NAPT設置。在“傳輸控制->路由設置->靜態路由”中，點擊新增，輸入相應參數如下圖，點擊確定。注意此處的下一跳地址為三層網管交換機地址，本例為。完成后靜態路由列表如下：注意：由于研發部和服務器網段不能訪問互聯網，所以不做靜態路由設置。

10

二層交換機VLAN設置在二層交換機中同樣需要進行VLAN劃分以對接三層交換機。本文以員工網絡所在交換機為例進行VLAN30的設置。其余網絡所在交換機設置同樣。?在“VLAN->802.1QVLAN”中選中啟用并點擊應用在輸入框中輸入30，選擇對應的端口，選為Tagged，完成后點擊添加。添加完成后，VLAN列表如下：?設置端口PVID在“VLAN->802.1