土木君有礼!免费低价薅不停 工程师进阶必备,全套项目资料包来袭!
      土木在线论坛 \ 电气工程 \ 电气资料库 \ 三层交换机企业应用配置实例,值得收藏!

      三层交换机企业应用配置实例,值得收藏!

      发布于:2022-04-13 14:41:13 来自:电气工程/电气资料库 [复制转发]


      在企业中,一般有多个部门,不同部门可能需要区分管理,设置不同的网络权限,同时也需要一定的安全防护,这时我们需要用到三层网管交换机作为核心交换机。

      本文以 TL-SG5428PE 作为核心交换机为例,介绍在企业网络中配置三层交换机的方法。示意网络拓扑如下:
      需求

      1. 1.   访客网络可以访问互联网,但不能访问内部其他网络;

      2. 2.   不同部门之间不能互相访问;

      3. 3.   产品部可以访问互联网和服务器,研发部不能访问互联网,只能访问服务器;

      4. 4.   服务器网段不能访问外网。

      分析

      1. 1.   每个网络设置 VLAN ,通过设置访问控制限制不同网络的访问权限;

      2. 2.   开启 ARP 防护、 DHCP 侦听保障网络安全。

      配置步骤
      一,网络规划
      为方便设备管理,需要将路由器、交换机、 AC AP 等设备划分到一个 VLAN 中,同时需要保证每个网络都划分 VLAN 。本例中三层网管交换机的端口 1 连接路由器,端口 2 连接 AC ,具体 VLAN 划分和端口规划情况如下所示:
      注:网络地址的大小请根据企业规模灵活配置,本例中网络掩码配置为 24 位。

      二,设置 VLAN
      二,设置端口类型
      根据规划表格,在 “VLAN->802.1Q VLAN-> 端口配置 中,选中 1-18 口,端口类型下拉选择 GENERAL ,点击提交。

      1. 2.   划分 VLAN

      “VLAN->802.1Q VLAN->VLAN 配置 中,创建 VLAN10 Tagged 端口列表中选择对应的 3-6 号端口,点击提交。
      其余 VLAN 重复步骤即可,完成后 VLAN 列表如下:

      1. 3.   设置接口参数

      路由功能 -> 接口 中,输入 VLAN ID 号, IP 地址模式选择 Static ,输入网络参数如下图所示,点击创建。
      其余 VLAN 重复步骤即可,完成后接口列表如下:

      1. 4.   设置 DHCP 服务器

      路由功能 ->DHCP 服务器 ->DHCP 服务器 中,启用 DHCP 服务。注意因为需要 AC 管理 AP ,所以 DHCP 服务器中需要填写 option 字段,如下 option 60 填写 “TP-LINK” option 138 填写 AC IP 地址,本例为 192.168.23.253
      路由功能 ->DHCP 服务器 -> 地址池设置 中,输入相应的网络参数如下图所示,点击添加。
      其余 VLAN 重复步骤即可,完成后 DHCP 地址池列表如下:

      1. 5.   设置路由参数

      由于产品部、员工无线网络、访客网络需要连接互联网,所以需要设置相应路由使数据能转发出去。

      路由功能 -> 静态路由 ->IPv4 静态路由 中,设置相应参数如下图所示,注意下一跳为路由器地址,本例为 192.168.23.1

      • 网络权限设置

      在交换机中主要通过 ACL 来控制访问权限,本例使用其中的标准 IP ACL 进行配置,其余的 MAC ACL 等原理类似。
      由于交换机默认规则是转发所有数据, ACL 控制是逐条匹配的,所以各网络所需规则如下:

      • 产品部:禁止访问研发部网络。

      • 研发部:只允许访问服务器,禁止访问其余网络。

      • 员工无线网络:禁止访问产品部、研发部、服务器网络。

      • 访客网络:禁止访问产品部、研发部、员工无线网络、服务器网络。

      以研发部为例,具体设置如下:

      1. 1.   首先需要新建一个 ACL ID ,标准 IP ACL ID 号范围是 500-1499 ,本例使用 520 。在 访问控制 ->ACL 配置 -> 新建 ACL” 中,输入 520 ,点击创建即可。

      1. 2.   再根据需求创建 ACL 规则。在 访问控制 ->ACL 配置 -> 标准 IP ACL” 中,下拉选择创建的 ACL 520 ,输入规则 ID 21 ,安全操作选择允许,源 IP 为研发部 IP ,目的 IP 为服务器 IP 。如下图所示,完成后点击提交。

      禁止访问其余网络的规则如下所示:
      完成后 ACL 520 列表如下图所示:

      1. 3.   最后绑定至相应 VLAN 中。在 访问控制 ->ACL 绑定配置 ->VLAN 绑定 中,下拉选择 ACL 520 ,输入 VLAN ID 20 ,点击添加。如下图所示:

      其余网络重复上述三个步骤即可,注意每个网络都需要创建一个 ACL ID 号以进行 VLAN 的绑定。
      其余网络创建后的 ACL 列表如下:

      • 网络安全设置

      为保障内网的网络安全,在三层交换机中建议开启 ARP 防护、 DHCP 侦听。

      1. 1.   ARP 防护

      防护功能需要先进行四元绑定。在 网络安全 -> 四元绑定 中有手动绑定和扫描绑定,手动绑定输入相应参数即可,扫描绑定设置如下图所示。绑定后可以在防护范围内进行防护选择。
      开启防 ARP 欺骗。在 网络安全 ->ARP 防护 -> ARP 欺骗 中,选择启用源 MAC 、目的 MAC IP 验证,填入作用的 VLAN ID 号,点击启用。如下如所示:

      1. 2.   DHCP 侦听

      DHCP 主要作用是集中分配和管理 IP 地址,通常我们是通过路由器或三层网管交换机充当 DHCP 服务器的角色,但如果网络中有其他能够分配 DHCP 的非法服务器,也会给客户端分配不正确的 IP ,导致终端无法上网,网络结构紊乱。而开启 “DHCP 侦听 功能,添加授信端口,可以让终端和服务器只能从授信端口接收发送 DHCP Offer 报文,从而能正确的进行网络通信。
      设置方法:
      网络安全 ->DHCP 侦听 -> 全局配置 中,启用 DHCP 侦听,输入作用的 VLAN ID ,点击提交,如下图所示:
      若交换机连接有合法 DHCP 服务器如路由器或 AC 或其他服务器,则需要进行端口配置,将 DHCP 服务器所在端口设置为授信端口。在 网络安全 ->DHCP 侦听 -> 端口配置 中设置为授信端口,如下图所示。本例中路由器和 AC 均无需开启 DHCP 服务,故无需做设置。
      通过以上设置,即完成了企业组网中三层网管交换机的设置,且实现了相应的访问控制和网络安全需求。注意保存配置以免掉电导致配置丢失。

      以下简要介绍下此例中 ER 系列路由器、 Web 网管交换机中的重要设置。路由器、 AC Web 网管交换机中的一些基本管理设置、上网设置、无线设置再此不做介绍。

      • 路由器设置

      数据转发到路由器后需要设置 NAPT 规则才能将数据转发出去,也需要设置到核心交换机的静态路由以将互联网数据转发到内网中。
      在此以 TL-ER6220G 为例简单介绍 ER 系列路由器的设置方法。
      传输控制 ->NAT 设置 ->NAPT” 中,点击新增,输入相应参数如下图,点击确定。
      其余 VLAN 重复步骤即可,完成后 NAPT 规则列表如下:
      注意:由于研发部和服务器网段不能访问互联网,所以不做 NAPT 设置。
      传输控制 -> 路由设置 -> 静态路由 中,点击新增,输入相应参数如下图,点击确定。注意此处的下一跳地址为三层网管交换机地址,本例为 192.168.23.2
      完成后静态路由列表如下:
      注意:由于研发部和服务器网段不能访问互联网,所以不做静态路由设置。

      • 二层交换机 VLAN 设置

      在二层交换机中同样需要进行 VLAN 划分以对接三层交换机。
      本文以员工网络所在交换机为例进行 VLAN 30 的设置。其余网络所在交换机设置同样。

      1. 1.   “VLAN->802.1Q VLAN” 中,选中启用,点击应用。

      在输入框中输入 30 ,选择对应的端口,选为 Tagged ,完成后点击添加。
      添加完成后, VLAN 列表如下:

      1. 2.   设置端口 PVID 。在 “VLAN->802.1Q VLAN PVID 设置 中,选中 VLAN30 Untagged 的端口, PVID 框输入 30 ,点击应用进行保存。端口类型为 Tagged 16 口作为级联口,保持默认 PVID 值为 1 即可。设置后如下如所示:


      至此已完成所有设置。
      企业应用 交换机
      举报

      全部回复(0 )

      只看楼主 我来说两句抢沙发
      相关推荐
      okmnwtue
      这个家伙什么也没有留下。。。

      主题

      517

      回复

      0

      粉丝

      64
      + 关注 私信

      电气资料库

      返回版块

      70.09 万条内容 · 712 人订阅

      猜你喜欢

      阅读下一篇

      周界防范系统包含哪些子系统?系统架构如何?系统如何设计?

      周界防范系统的应用很广泛,只要涉及到周界入侵防范的,都需要设置这个系统,有的设置电子围栏,有的设置主动红外报警,有的设置警戒摄像机等等,今天分享一套全面的周界防范系统设计方案,涉及到各个周界子系统,可以参考一下。 第 一 章   周界防范子系统 1.1 系统概述 周界防范主要在园区周界,如围墙、栅栏、树林、边界、河边等场景中,通过各种技术手段一旦发现布防区域中的异常情况,系统能够以最快和最佳的方式发出警报并提供有用信息,从而能够更加有效的协助安保人员处理危机,最大限度的降低误报和漏报现象,切实提高布放区域的安全防范能力,是园区安防系统的第一道防线。

      返回土木在线首页 返回论坛首页
      okmnwtue
      我来说两句 抢沙发 免费打赏 0

      回帖成功

      经验值 +10

      关于我们 | 联系我们 | 网站声明 | 帮助中心 | 网站地图 | 土木在线手机版

      Copyright©2000-2024  常州易宝网络服务有限公司版权所有  苏B2-20220726