晚上好,我是老楊。
今天我們老話新談,再來聊聊配置交換機。昨天一個行外的朋友問我,什麼是交換機,能用來幹嘛,要怎麼配置?
我思考了一下,跟他說,這個東西呢,不是宇宙飛船的主要制台,也不是鋼鐵俠的人工智能管家,它其實算是企業中各個部門網絡之間的“交通指揮官”。至于怎麼配置交換機,還真不是三言兩語可以說清楚的。
對于想入行或者想更精通的朋友,可以看看下我的往期文章:
想了解交換機是什麼,看這兒:《如何用一個故事講清路由器和交換機的差別?老楊來試試!》。
交換機能用來幹嘛,參考這篇:《部署交換機,還是得看這一篇才行》。
要怎麼配置,老楊也有相關案例,更多關于交換機的文章,可以點下面的搜尋框,一鍵直達。
今天就再來分享一下交換機配置的經典流程,以及跟你說說,在一個項目中,交換機的配置是怎麼一步步搞定的。
今日文章閱讀福利:《華為交換機學習指南》
這本書是學習交換機的經典入門必看指南,頗受好評。私信老楊,備注“交換機”,即可擷取該份高清資源。
01 交換機配置的經典流程
以華為的小型園區組網場景為例。
01 案例拓撲圖
首先根據案例情況畫出拓撲圖,小型園區中,分為兩個部門,每個部門互相獨立,卻又通信,進行組網如下圖。
02 案例分析
拿到項目之後,首要的是進行項目分析,搞清楚交換機、核心交換機、路由的部署。在配置之前,按照需要的操作、準備項、資料做好相關說明。
這裡接入層就以交換機 ACC1 ( S2750 ) ,核心交換機 CORE ( S5700 ) 和出口路由器 Router ( AR 系列路由器) 為例。
在小型網絡項目中,S2700&S3700通常部署在網絡的接入層,S5700&S6700交換機通常部署在網絡的核心,出口路由器一般選用AR系列路由器。
1、接入交換機與核心交換機通過 Eth - Trunk 組網保證可靠性。
2、每個部門業務劃分到一個 VLAN 中,部門間的業務在核心交換機上三層互通。
3、核心交換機作為 DHCP Server ,為園區使用者配置設定IP位址。
4、接入交換機上配置DHCP Snooping功能,防止内網使用者私接小路由器配置設定IP位址;同時配置IPSG功能,防止内網使用者私自更改IP位址。
03 資料規劃
在配置之前,最好按照下面的表格準備好資料。這些資料會在之後配置中使用到
04 快速配置小型園區
在做好網絡資料規劃後,就要配置交換機了,大多數小友的難點就在這裡,老楊在這方面盡量給你說詳細些。
你可以按照下面這個經典流程配置各裝置的資料,連通園區内部使用者,并使内部使用者可通路外網。
參考這個步驟,同時結合項目的實際情況,就不會在配置的過程中漏掉什麼關鍵資訊。
接下來給你說一個具體的三層交換機實戰案例。
02 三層交換機企業應用配置執行個體
在企業中,一般有多個部門,不同部門可能需要區分管理,設定不同的網絡權限,同時也需要一定的安全防護,這時我們需要用到三層網管交換機作為核心交換機。
本文以TL-SG5428PE作為核心交換機為例,介紹在企業網絡中配置三層交換機的方法。示意網絡拓撲如下:
一、配置的需求是什麼
1. 訪客網絡可以通路網際網路,但不能通路内部其他網絡;
2. 不同部門之間不能互相通路;
3. 産品部可以通路網際網路和伺服器,研發部不能通路網際網路,隻能通路伺服器;
4. 伺服器網段不能通路外網。
二、配置的問題分析
1. 每個網絡設定VLAN,通過設定通路控制限制不同網絡的通路權限;
2. 開啟ARP防護、DHCP偵聽保障網絡安全。
三、配置的步驟規劃
01 網絡規劃
為友善裝置管理,需要将路由器、交換機、AC、AP等裝置劃分到一個VLAN中,同時需要保證每個網絡都劃分VLAN。本例中三層網管交換機的端口1連接配接路由器,端口2連接配接AC,具體VLAN劃分和端口規劃情況如下所示:
注:網絡位址的大小請根據企業規模靈活配置,本例中網絡掩碼配置為24位。
02 設定VLAN
1. 設定端口類型
根據規劃表格,在“VLAN->802.1Q VLAN->端口配置”中,選中1-18口,端口類型下拉選擇GENERAL,點選送出。
2. 劃分VLAN
在“VLAN->802.1Q VLAN->VLAN配置”中,建立VLAN10,Tagged端口清單中選擇對應的3-6号端口,點選送出。
其餘VLAN重複步驟即可,完成後VLAN清單如下:
3. 設定接口參數
在“路由功能->接口”中,輸入VLAN ID号,IP位址模式選擇Static,輸入網絡參數如下圖所示,點選建立。
其餘VLAN重複步驟即可,完成後接口清單如下:
4. 設定DHCP伺服器
在“路由功能->DHCP伺服器->DHCP伺服器”中,啟用DHCP服務。注意因為需要AC管理AP,是以DHCP伺服器中需要填寫option字段,如下option 60填寫“TP-LINK”,option 138填寫AC的IP位址,本例為192.168.23.253。
在“路由功能->DHCP伺服器->位址池設定”中,輸入相應的網絡參數如下圖所示,點選添加。
其餘VLAN重複步驟即可,完成後DHCP位址池清單如下:
5. 設定路由參數
由于産品部、員工無線網絡、訪客網絡需要連接配接網際網路,是以需要設定相應路由使資料能轉發出去。
在“路由功能->靜态路由->IPv4靜态路由”中,設定相應參數如下圖所示,注意下一跳為路由器位址,本例為192.168.23.1。
03 網絡權限設定
在交換機中主要通過ACL來控制通路權限,本例使用其中的标準IP ACL進行配置,其餘的MAC ACL等原理類似。
由于交換機預設規則是轉發所有資料,ACL控制是逐條比對的,是以各網絡所需規則如下:
- 産品部:禁止通路研發部網絡。
- 研發部:隻允許通路伺服器,禁止通路其餘網絡。
- 員工無線網絡:禁止通路産品部、研發部、伺服器網絡。
- 訪客網絡:禁止通路産品部、研發部、員工無線網絡、伺服器網絡。
以研發部為例,具體設定如下:
1. 首先需要建立一個ACL ID
标準IP ACL的ID号範圍是500-1499,本例使用520。在“通路控制->ACL配置->建立ACL”中,輸入520,點選建立即可。
2. 再根據需求建立ACL規則
在“通路控制->ACL配置->标準IP ACL”中,下拉選擇建立的ACL 520,輸入規則ID 21,安全操作選擇允許,源IP為研發部IP,目的IP為伺服器IP。如下圖所示,完成後點選送出。
禁止通路其餘網絡的規則如下所示:
完成後ACL 520清單如下圖所示:
3. 最後綁定至相應VLAN中
在“通路控制->ACL綁定配置->VLAN綁定”中,下拉選擇ACL 520,輸入VLAN ID号20,點選添加。如下圖所示:
其餘網絡重複上述三個步驟即可,注意每個網絡都需要建立一個ACL ID号以進行VLAN的綁定。
其餘網絡建立後的ACL清單如下:
04 網絡安全設定
為保障内網的網絡安全,在三層交換機中建議開啟ARP防護、DHCP偵聽。
1. ARP防護
防護功能需要先進行四元綁定。在“網絡安全->四元綁定”中有手動綁定和掃描綁定,手動綁定輸入相應參數即可,掃描綁定設定如下圖所示。綁定後可以在防護範圍内進行防護選擇。
2. 開啟防ARP欺騙
在“網絡安全->ARP防護->防ARP欺騙”中,選擇啟用源MAC、目的MAC和IP驗證,填入作用的VLAN ID号,點選啟用。如下如所示:
3. DHCP偵聽
DHCP主要作用是集中配置設定和管理IP位址,通常我們是通過路由器或三層網管交換機充當DHCP伺服器的角色,但如果網絡中有其他能夠配置設定DHCP的非法伺服器,也會給用戶端配置設定不正确的IP,導緻終端無法上網,網絡結構紊亂。而開啟“DHCP偵聽”功能,添加授信端口,可以讓終端和伺服器隻能從授信端口接收發送DHCP Offer封包,進而能正确的進行網絡通信。
設定方法:
在“網絡安全->DHCP偵聽->全局配置”中,啟用DHCP偵聽,輸入作用的VLAN ID,點選送出,如下圖所示:
若交換機連接配接有合法DHCP伺服器如路由器或AC或其他伺服器,則需要進行端口配置,将DHCP伺服器所在端口設定為授信端口。在“網絡安全->DHCP偵聽->端口配置”中設定為授信端口,如下圖所示。
本例中路由器和AC均無需開啟DHCP服務,故無需做設定。
通過以上設定,即完成了企業組網中三層網管交換機的設定,且實作了相應的通路控制和網絡安全需求。注意儲存配置以免掉電導緻配置丢失。
以下簡要介紹下此例中ER系列路由器、Web網管交換機中的重要設定。
路由器、AC、Web網管交換機中的一些基本管理設定、上網設定、無線設定再此不做介紹。
05 路由器設定
資料轉發到路由器後需要設定NAPT規則才能将資料轉發出去,也需要設定到核心交換機的靜态路由以将網際網路資料轉發到内網中。
在此以TL-ER6220G為例簡單介紹ER系列路由器的設定方法。
在“傳輸控制->NAT設定->NAPT”中,點選新增,輸入相應參數如下圖,點選确定。
其餘VLAN重複步驟即可,完成後NAPT規則清單如下:
注意:由于研發部和伺服器網段不能通路網際網路,是以不做NAPT設定。
在“傳輸控制->路由設定->靜态路由”中,點選新增,輸入相應參數如下圖,點選确定。注意此處的下一跳位址為三層網管交換機位址,本例為192.168.23.2
完成後靜态路由清單如下:
注意:由于研發部和伺服器網段不能通路網際網路,是以不做靜态路由設定。
06 二層交換機VLAN設定
在二層交換機中同樣需要進行VLAN劃分以對接三層交換機。
本文以員工網絡所在交換機為例進行VLAN 30的設定。其餘網絡所在交換機設定同樣。
1. 在“VLAN->802.1Q VLAN”中,選中啟用,點選應用
在輸入框中輸入30,選擇對應的端口,選為Tagged,完成後點選添加。
添加完成後,VLAN清單如下:
2. 設定端口PVID
在“VLAN->802.1Q VLAN PVID設定”中,選中VLAN30中Untagged的端口,PVID框輸入30,點選應用進行儲存。端口類型為Tagged的16口作為級聯口,保持預設PVID值為1即可。
設定後如下如所示:
至此已完成所有設定。
整理:老楊丨10年資深網絡工程師,更多網工提升幹貨,請關注公衆号:網絡工程師俱樂部