广义交换机()是一种在通信系统中完成信息交换功能的设备三层交换机能设置外网ip吗,它就像一个“交换机”一样存在。
在交换机出现之前,普遍使用的是HUB集线器。有了它,网络上只能同时传输一组数据帧。如果发生冲突,必须重试,效率非常低。
但是开关是不同的。它不仅具有网桥、集线器和集线器的所有功能,还提供了更高级的功能,如虚拟局域网(VLAN)和更高的性能。
交换机根据功能不同分为二层交换机和三层交换机。
今天的文章给你科普的“三层开关”。处于OSI七层模型的第三层,故称为三层交换机。
关于第 3 层交换机,您需要了解哪些机制?
没有办法练习,如何掌握?
具体部署在企业应该怎么做?
别着急,老杨现在告诉你。
01
三层交换机的转发机制
你必须明白
三层以太网交换机的转发机制主要分为二层转发和三层交换两部分。
二层转发包括MAC地址和VLAN二层转发;三层转发主要涉及两个关键线程:地址学习线程和消息转发线程,类似于二层线程。
02
三层交换机配置
如何在模拟器上练习?
首先需要了解vlan,了解基本的路由原理,了解客户端设置网关的作用。
并且您已经安装了模拟器,这里是 Cisco。
实验步骤如下:
01 二层交换机配置(指定一个作为骨干链路接口)
()#vlan 10
()#vlan 20
()#int 范围 f0/1-10
(-if-range)# vlan 10
()#int 范围 f0/11-20
(-if-range)# vlan 20
()#int f0/24
(-if)# 模式主干
02 三层交换机配置配置(创建vlan、设置骨干链路接口、设置SVI接口地址、启用路由功能)
()#ip #开启三层交换机的路由功能
()#vlan 10
()#vlan 20
()#int f0/24
(-if)#trunk dot1q
(-if)# 模式主干
()#int vlan 10#创建svi10
(-if)#ip 192.168.10.254 255.255.255.0#Set SVI10 ip,地址是网关
()#int vlan 20#创建svi20
(-if)#ip 192.168.20.254 255.255.255.0#Set SVI20 ip,地址是网关
03 配置PC(设置IP,设置网关)
PC0地址设置,本主机所属
PC1地址设置,本主机所属
04 测试连通性
03
企业应用配置示例
在一个企业中,不同的部门可能需要进行不同的管理,设置不同的网络权限,也需要一定的安全保护。这时候就需要使用三层网管交换机作为核心交换机。
本文以TL-作为核心交换机为例,介绍企业网络三层交换机的配置方法。网络拓扑如下:
出现的问题
访客网络可以访问,但不能访问其他内部网络
不同部门不能互访
产品部门可以上网和服务器,但研发部门不能上网,只能访问服务器
服务器网段无法访问外网
问题分析
为每个网络设置VLAN,通过设置访问控制来限制不同网络的访问权限
开启ARP保护和DHCP ,保证网络安全
配置步骤
01 网络规划
为了方便设备管理,需要将路由器、交换机、AC、AP等设备划分为一个VLAN,同时需要保证每个网络划分为VLAN。
本例中三层网管交换机的端口1连接路由器,端口2连接AC。具体VLAN划分和端口规划如下:
注意:请根据企业规模灵活配置网络地址的大小。在本例中,网络掩码配置为 24 位。
02 设置端口类型
根据规划表,在“VLAN->802.1Q VLAN->端口配置”中选择1-18个端口,在下拉列表中选择端口类型,点击提交。
03 划分VLAN
在“VLAN->802.1Q VLAN->VLAN配置”中创建,在端口列表中选择对应的3-6端口,点击提交。
对其余 VLAN 重复这些步骤。完成后的VLAN列表如下:
04 设置接口参数
在“路由功能->接口”中输入VLAN ID号,选择IP地址模式,如下图输入网络参数,点击创建。
对其余 VLAN 重复这些步骤。完成后界面列表如下:
05 设置 DHCP 服务器
在“路由功能->DHCP服务器->DHCP服务器”中,开启DHCP服务。注意因为需要AC来管理AP,所以DHCP服务器需要填写字段,如下60填写“TP-LINK”,138填写AC的IP地址,本例中为192.@ >168.23.253.
在“路由功能->DHCP服务器->地址池设置”中输入下图对应的网络参数,点击添加。
对其余 VLAN 重复这些步骤。完成后的DHCP地址池列表如下:
06 设置路由参数
由于产品部门、员工无线网络、访客网络需要连接互联网,所以需要设置相应的路由,才能进行数据转发。
在“路由功能->静态路由->IPv4静态路由”中,如下图设置相应的参数。请注意,下一跳是路由器地址,在本例中为 192.168. 23.1。
07 网络权限设置
访问权限主要由交换机中的ACL控制。本例中使用标准IP ACL进行配置,其余MAC ACL等原理类似。
因为交换机的默认规则是转发所有数据,ACL控制是一一匹配的,所以每个网络需要的规则如下:
产品部:禁止访问研发部网络。
研发部:只允许访问服务器,禁止访问网络的其余部分。
员工无线网络:禁止接入产品部、研发部、服务器网络。
访客网络:禁止访问产品部门、研发部门、员工无线网络、服务器网络。
以研发部门为例,具体设置如下:
✅创建一个新的 ACL ID
标准IP ACL的ID号范围为500-1499,本例使用520。在“访问控制->ACL配置->新建ACL”中输入520,点击创建。
✅根据需求创建ACL规则
在“ ->ACL -> IP ACL”中三层交换机能设置外网ip吗,下拉选择创建的ACL 520,输入规则ID 21,选择允许安全操作,源IP为研发部门IP,目标IP是服务器IP。如下图所示,完成后点击提交。
禁止访问其他网络的规则如下:
完成后的ACL 520列表,如下图:
✅最终绑定到对应的VLAN
在“ -> ACL -> VLAN ”中,下拉选择ACL 520,输入VLAN ID号20,点击添加。如下图所示:
对其余网络重复上述三个步骤。注意每个网络都需要创建一个ACL ID号用于VLAN绑定。
其余网络创建后的ACL列表如下:
08 网络安全设置
为了保证内网的网络安全,建议在三层交换机中开启ARP保护和DHCP 。
✅ARP 保护
保护函数需要先是四元绑定。 “网络安全->四重绑定”中有手动绑定和扫描绑定。您可以手动绑定并输入相应的参数。扫描绑定设置如下图所示。
绑定后可以选择保护范围内的保护。
✅防止ARP欺骗
在“网络安全->ARP保护->防ARP欺骗”中,选择启用源MAC、目的MAC和IP验证,填写有效的VLAN ID号,点击启用。如下图:
✅DHCP 监听
DHCP 的主要功能是集中分配和管理 IP 地址。通常我们使用路由器或者三层网管交换机来充当DHCP服务器。但是,如果网络中有其他非法服务器可以分配DHCP,客户端也不会分配到正确的IP,终端无法上网,网络结构混乱。
开启“DHCP ”功能并添加信任端口,终端和服务器只能从信任端口接收和发送DHCP Offer报文,才能正确进行网络通信。
设置方法:
在“网络安全->DHCP ->全局配置”中,开启DHCP ,输入角色的VLAN ID,点击,如下图:
如果交换机连接的是路由器或AC等合法的DHCP服务器,则需要配置端口,将DHCP服务器所在的端口设置为可信端口。
在“网络安全->DHCP ->端口配置”中设置为可信端口,如下图。
本例中路由器和AC都不需要开启DHCP服务,所以不需要设置。
通过以上设置,就完成了企业网络中三层网管交换机的设置,实现了相应的访问控制和网络安全需求。注意保存配置,以免断电丢失配置。
下面简单介绍本示例中ER系列路由器和Web网管交换机的重要设置。路由器、AC、Web网管交换机中的一些基本管理设置、上网设置、无线设置这里不再介绍。
09 路由器设置
数据转发到路由器后,需要设置NAPT规则转发数据,还需要设置到核心交换机的静态路由,将数据转发到内网。
以TL-为例简单介绍ER系列路由器的设置方法。在“传输控制->NAT设置->NAPT”中,点击添加,输入下图对应的参数,点击确定。
文章来源:https://www.163.com/dy/article/GL30LVS40531QTK5.html