三层交换机企业应用配置实例值得收藏!

通联网络是国内著名的虚拟主机和域名注册提供商。独创的第6代虚拟主机管理系统,拥有在线数据恢复、Isapi自定义,木马查杀等30余项功能.千M硬件防火墙,为您保驾护航!双线虚拟主机确保南北畅通无阻!

三层交换机企业应用配置实例值得收藏!

2022年6月14日 域名注册 0

在企业中,一般有多个部门,不同部门可能需要区分管理,设置不同的网络权限,同时也需要一定的安全防护,这时我们需要用到三层网管交换机作为核心交换机。

本文以TL-SG5428PE作为核心交换机为例,介绍在企业网络中配置三层交换机的方法。示意网络拓扑如下:

为方便设备管理,需要将路由器、交换机、AC、AP等设备划分到一个VLAN中,同时需要保证每个网络都划分VLAN。本例中三层网管交换机的端口1连接路由器,端口2连接AC,具体VLAN划分和端口规划情况如下所示:

在“路由功能-接口”中,输入VLAN ID号,IP地址模式选择Static,输入网络参数如下图所示,点击创建。

在“路由功能-DHCP服务器-地址池设置”中,输入相应的网络参数如下图所示,点击添加。

由于产品部、员工无线网络、访客网络需要连接互联网,所以需要设置相应路由使数据能转发出去。

在“路由功能-静态路由-IPv4静态路由”中,设置相应参数如下图所示,注意下一跳为路由器地址,本例为192.168.23.1。

在交换机中主要通过ACL来控制访问权限,本例使用其中的标准IP ACL进行配置,其余的MAC ACL等原理类似。

由于交换机默认规则是转发所有数据,ACL控制是逐条匹配的,所以各网络所需规则如下:

其余网络重复上述三个步骤即可,注意每个网络都需要创建一个ACL ID号以进行VLAN的绑定。

防护功能需要先进行四元绑定。在“网络安全-四元绑定”中有手动绑定和扫描绑定,手动绑定输入相应参数即可,扫描绑定设置如下图所示。绑定后可以在防护范围内进行防护选择。

开启防ARP欺骗。在“网络安全-ARP防护-防ARP欺骗”中,选择启用源MAC、目的MAC和IP验证,填入作用的VLAN ID号,点击启用。如下如所示:

DHCP主要作用是集中分配和管理IP地址,通常我们是通过路由器或三层网管交换机充当DHCP服务器的角色,但如果网络中有其他能够分配DHCP的非法服务器,也会给客户端分配不正确的IP,导致终端无法上网,网络结构紊乱。而开启“DHCP侦听”功能,添加授信端口,可以让终端和服务器只能从授信端口接收发送DHCP Offer报文,从而能正确的进行网络通信。

在“网络安全-DHCP侦听-全局配置”中,启用DHCP侦听,输入作用的VLAN ID,点击提交,如下图所示:

若交换机连接有合法DHCP服务器如路由器或AC或其他服务器,则需要进行端口配置,将DHCP服务器所在端口设置为授信端口。在“网络安全-DHCP侦听-端口配置”中设置为授信端口,如下图所示。本例中路由器和AC均无需开启DHCP服务,故无需做设置。

通过以上设置,即完成了企业组网中三层网管交换机的设置,且实现了相应的访问控制和网络安全需求。注意保存配置以免掉电导致配置丢失。

以下简要介绍下此例中ER系列路由器、Web网管交换机中的重要设置。路由器、AC、Web网管交换机中的一些基本管理设置、上网设置、无线设置再此不做介绍。

数据转发到路由器后需要设置NAPT规则才能将数据转发出去,也需要设置到核心交换机的静态路由以将互联网数据转发到内网中。

在“传输

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注