对于弱电工程从业者来说，“交换机”一直都是关注的焦点。

广义交换机是一种可以在通信系统中交换信息的设备。它就像一个“开关”一样存在。

在交换机出现之前，我们通常使用HUB集线器。如果使用的话，网络上一次只能传输一组数据帧。如果有碰撞，就要重试，效率很低。

但是开关不一样。它不仅具有网桥、集线器和集线器的所有功能，还提供了更高级的功能，如虚拟局域网(VLAN)和更高的性能。

根据功能的不同，交换机分为二层交换机和三层交换机。

今天的文章给大家科普一下“三层交换机”，它在OSI七层模型的第三层，所以叫三层交换机。

三层交换机你需要了解的机制有哪些？没有办法实操，该怎么练手掌握？在企业内具体部署时，又该如何操作？

01

第三层交换机的转发机制

你必须明白。

三层以太网交换机的转发机制主要分为两部分:二层转发和三层交换。

二层转发包括MAC地址和VLAN二层转发；三层转发主要涉及两个关键线程:地址学习线程和消息转发线程，与二层线程类似。

02

第3层交换机配置

如何在模拟器上练习？

首先你需要了解vlan，基本的路由原理，客户端设置的***的作用。

你已经安装了模拟器。这里使用的是Cisco Packet Tracer。

实验步骤如下:

01第2层交换机配置(标记A为主链路接口)

交换机(配置)#vlan 10

交换机(配置)#vlan 20

开关(配置)#int范围f0/1-10

交换机(配置-if-范围)#交换机端口接入vlan 10

开关(配置)#int范围f0/11-20

交换机(config-if-range)#交换机端口接入vlan 20

交换机(配置)#int f0/24

交换机(配置-if)#交换机端口模式中继

02第3层交换机配置(创建vlan，设置主干链路接口，设置SVI接口地址，启用路由功能)

Switch(config)#ip routing#启用第3层交换机的路由功能。

交换机(配置)#vlan 10

交换机(配置)#vlan 20

交换机(配置)#int f0/24

交换机(配置-if)#交换机端口中继封装dot1q

交换机(配置-if)#交换机端口模式中继

交换机(配置)#int vlan 10#创建svi10

交换机(config-if) # ip地址192.168.10.254 255.255.255.0 #设置SVI10的ip，它是vlan10的***

交换机(配置)#int vlan 20#创建svi20

交换机(config-if) # ip地址192.168.20.254 255.255.255.0 #设置SVI20的ip，它是vlan20的***

03配置PC(设置IP，设置***)

0地址设置，主机属于vlan10。

PC1地址设置，该主机属于vlan20。

04测试连通性

03

企业应用程序配置示例

在一个企业中，不同的部门可能需要区分管理，设置不同的网络权限，也需要一定的安全保护。此时，您将需要使用三层网络管理交换机作为核心交换机。

以TL-SG5428PE为核心交换机为例，介绍了在企业网络中配置三层交换机的方法。网络拓扑如下:

出现的问题。

访客网络可以访问互联网，但不能访问内部其他网络不同部门之间不能互相访问产品部可以访问互联网和服务器，研发部不能访问互联网，只能访问服务器服务器网段不能访问外网

问题分析

每个网络设置VLAN，通过设置访问控制限制不同网络的访问权限开启ARP防护、DHCP侦听保障网络安全

配置步骤

01网络规划

为了方便设备管理，路由器、交换机、AC、AP等设备需要划分成一个VLAN，每个网络需要划分成VLAN。

在本例中，三层网络管理交换机的端口1连接到路由器，端口2连接到AC。具体的VLAN分区和港口规划如下:

注意:网络地址的大小要根据企业的规模灵活配置。在本例中，网络掩码配置为24位。

02设置端口类型

根据规划表格，在VLAN->:802.1 q VLAN->；端口配置”，选择端口1-18，下拉端口类型并选择常规，然后单击提交。

03 VLAN分部

在“VLAN->:802.1 q VLAN->；VLAN配置，创建VLAN10，在标记端口列表中选择相应的端口3-6，然后单击提交。

对其他VLAN重复上述步骤，完成后的VLAN列表如下:

04设置界面参数

在“路由功能->:界面，输入VLAN ID号，IP地址模式选择静态，输入如下图所示的网络参数，点击创建。

对其他VLAN重复这些步骤。完成后，接口列表如下:

05设置DHCP服务器

在“路由功能->: DHCP服务器->: DHCP服务器”中，启用DHCP服务。注意管理AP需要AC，所以需要在DHCP服务器中填写option字段，比如option 60，“TP-LINK”和option 138，AC的IP地址，本例中为192.168.23.253。

在“路由功能->: DHCP服务器->:地址池设置”中，如下图所示输入相应的网络参数，点击添加。

对其他VLAN重复上述步骤，完成后的DHCP地址池列表如下:

06设置路由参数

由于产品部、员工监听网、客网都需要接入互联网，需要设置相应的路由，以便数据转发出去。

在“路由功能->:静态路由->: IPv4静态路由”中，设置相应的参数如下图所示。请注意，下一跳是路由器地址，在本例中为192.168.23.1。

07网络权限设置

访问权限主要由交换机中的ACL控制。在本例中，标准IP ACL用于配置，其余MAC ACL原则上类似。

由于交换机的默认规则是转发所有数据，ACL控制是一一匹配的，因此每个网络需要的规则如下:

产品部：禁止访问研发部网络。研发部：只允许访问服务器，禁止访问其余网络。员工监听网络：禁止访问产品部、研发部、服务器网络。访客网络：禁止访问产品部、研发部、员工***网络、服务器网络。

以R&D部门为例。具体设置如下:

创建新的ACL ID

标准IP ACL的ID号范围是500-1499，本例使用520。在“访问控制->: ACL配置->:新建ACL”中，输入520并单击创建。

然后根据需求创建ACL规则。

在“访问控制->: ACL配置->:标准IP ACL”中，下拉选择创建的ACL 520，输入规则ID 21，并选择允许安全操作。源IP是R&D部门的IP，目的IP是服务器IP。如下图所示，完成后点击提交。

禁止访问网络其余部分的规则如下:

完成ACL 520列表，如下图所示:

并最终与相应的VLAN结合。

在“访问控制->: ACL绑定配置->: VLAN绑定”中，下拉ACL 520，输入VLAN ID号20，然后单击添加。如下图所示:

对其他网络重复上述三个步骤。请注意，每个网络都需要为VLAN绑定创建一个ACL ID号。

创建其它网络后的ACL列表如下:

08网络安全设置

为了保证内网的网络安全，建议在三层交换机中开启ARP保护和DHCP拦截。

?ARP保护

保护功能首先需要四元绑定。在“网络安全->”中:四元绑定有手动绑定和扫描绑定。输入相应的手动绑定参数，扫描绑定设置如下图所示。

绑定后，可以在保护范围内选择保护。

反ARP欺骗

在“网络安全->: ARP防护->:反ARP欺骗”中，选择启用源MAC、目的MAC和IP认证，填写活动的VLAN ID号，点击启用。如下图所示:

?DHCP拦截

DHCP的主要功能是集中分配和管理IP地址。通常我们通过路由器或者三层网管交换机充当DHCP服务器。但如果网络中有其他非法服务器可以分配DHCP，也会给客户端分配不正确的IP，导致终端无法上网，网络结构紊乱。

通过开启“DHCP侦听”功能并添加信用端口，终端和服务器只能从信用端口接收和发送DHCP Offer消息，从而可以正确地进行网络通信。

设置方法:

在“网络安全->: DHCP**->:全局配置”中，启用DHCP**，输入活动的VLAN ID，点击提交，如下图所示:

如果交换机连接了合法的DHCP服务器，如路由器、AC或其他服务器，则需要进行端口配置，并将DHCP服务器所在的端口设置为可信端口。

在“网络安全->DHCP**->配置”中设置为信用端口，如下图所示。

在这个例子中，路由器和AC不需要启动DHCP服务，因此不需要设置它。

通过以上设置，完成了企业组网中三层网管交换机的设置，实现了相应的访问控制和网络安全需求。注意保存配置，避免因断电而丢失配置。

下面简单介绍一下本例中ER系列路由器和Web网管交换机中的重要设置。路由器、AC、Web网管交换机中的一些基本管理设置、互联网设置、***设置，这里就不介绍了。

09路由器设置

将数据转发到路由器后，需要设置NAPT规则来转发数据，并且需要设置到核心交换机的静态路由来将互联网数据转发到内部网。

本文以TL-er6220G为例，简要介绍ER系列路由器的设置方法。在“传输控制->:设置NAT->: NAPT”中，点击添加，如下图输入相应参数，点击确定。

对其他VLAN重复上述步骤，完成后的NAPT规则列表如下:

注意:由于R&D部和服务器网段不能上网，所以不做NAPT设置。

在“传输控制->:路由设置->:静态路由”中，点击添加，如下图输入相应参数，点击确定。请注意，这里的下一跳地址是第3层网络管理交换机的地址，在本例中为192.168.23.2。

完成后的静态路由列表如下:

注意:由于R&D部门和服务器网段不能访问互联网，所以没有设置静态路由。

10第2层交换机VLAN设置

在第2层交换机中，VLAN分部也需要对接第3层交换机。

本文以员工网所在交换机为例，设置VLAN 30。其他网络的交换机设置相同。

在“VLAN->: 802.1Q VLAN”中单击应用。

在输入框中输入30，选择相应的端口，选择Tagged，完成后单击Add。

添加后，VLAN列表如下:

设定PVID港

在“VLAN->: 802.1Q VLAN PVID设置”中，选择VLAN30中未标记的端口，在PVID框中输入30，点击应用保存。

带有标记端口的16个端口用作级联端口，默认PVID值为1。这些设置如下:

至此，所有设置完成！