配置交换机教程详解，三层交换机配置实例

本文讲了配置交换机教程详解，三层交换机配置实例。

一、带外管理

网络的管理控制信息与用户网络的承载业务信息在不同的逻辑信道传送，也就是设备提供专门用于管理的宽带console口：专门用来管理的，并不传输数据，接入一根console线，是一个扁平电缆，另外一端是一个串行接口，用来接入电脑或笔记本上，近端管理时我们会使用console线进行近端管理，设备要做密码恢复时，时必须要进行近端管理的，只有通过console空才能进行密码恢复。

以太网口：以太网口用来传输数据

管理信息和数据传输是隔离的，所以我们称之为带外管理

初次配置：通过console口进行配置，需要准备好交换机的console线，进行配置的电脑需要有串口

二、带内管理

是指网络的管理控制信息与用户网络的承载业务信息通过同一个逻辑信道传送，简而言之，就是占用业务宽带。

在这张图上和带外管理不同的是，带内管理是使用到了以太口，在这个口的流量当中，实际上分了两个部分，一个部分是用户的数据信息，另外一个部分是管理信息，在一个接口当中即跑了用户的数据信息，又跑了管理信息。典型的应用就是Telnet，，上海的管理员可以使用Telnet协议可以访问到北京的这台设备，绝大部分都是使用Telnet管理设备，它也是一种远程管理的方法，可以从远程通过Ip访问到这台交换机。

三、安装超级终端

1.电脑连接好console线后，Win10需要下载一个超级终端的客户端，超级终端软件可以从网上搜索下载或从有超级终端的电脑上直接复制过来，注意，在exe文件旁边的dll文件也要一同复制

2.第一次运行程序可见到图中所示界面，区号等什么的信息随便填就可以，然后点击“确定”

3.这时候会有个提示框，提示“安装调制解调器”，这里点“是”

4.然后就来到新建连接窗口，这里任意输入喜欢的名字，然后点击“确定”创建新连接

5.之后就是设置连接参数，通常交换机等设备连接的波特率是9600，其他参数保持不变，COM口要与设备管理器中的保持一致

6.如果在超级终端中看到switch(交换机默认的名字)标识符时，就表示已经登录到设备当中了

四、交换机的配置模式

用户模式

‘’符号 “>” 一般为用户配置模式的提示符

switch>:当用户从特权用户配置模式使用exit退出时，可以回到一般用户配置模式

用户在一般用户配置模式下不能对交换机进行任何配置，只能查询交换机的时钟和交换。还可以进 行一些简单的测试，例如：ping、trace等等。

特权模式

‘’符号 “#” 一般为特权配置模式的提示符,使用enable命令即可从用户模式切换到特权模式

switch#: 在特权用户配置模式下，用户可以查询交换机配置信息、各个端口连接情况、收发数据统计等。

进入特权用户配置模式后，可以进入到全局配置模式对交换机的各项配置进行修改，因此进行特权用户配置模式必须要设置特权用户口令，防止非特权用户的非法使用，对交换机进行恶意修改，造成不必要的损失。

全局配置模式

‘’符号 “(Config)#” 一般为全局配置模式的提示符,使用config terminal命令即可从特权模式切换到全局配置模式(在这进行的配置会对交换机全局都会有影响的)，如果需要从全局配置模式回退到用户模式下，使用exit退出即可。

在全局配置模式，用户可以对交换机进行全局性的配置，如对MAC地址表、端口镜像、创建VLAN、启动IGMP Snooping、STP等。用户在全局配置模式还可以通过命令进入到端口对各个端口进行配置。

特定模式

如果在某一种特定配置模式下比如说在接口配置模式下，所修改的配置只会对这一个接口有影响。

-  接口配置模式

-  Vlan配置模式

Switch#show version

在特权模式下，通过此命令可以查看到交换机型号，硬件、软件及NOS的版本信息等。

show version <!--查看版本信息-->

show flash <!--flash中文件及大小(查看有没有这个文件)-->

show arp <!--ARP映射表-->

show history <!--最近输入的历史命令-->

show running-config <!--当前状态配置-->

show startup-config <!--FlashMemory中交换机配置(查看已经保存的配置文件)-->

show interface ethernet 0/0/1 <!--交换机端口的信息-->

switch#write(保存配置文件)

通过命令write可以将用户的配置信息以文件形式保存在flash硬件中，配置文件的名字是startup-config

在修改了配置信息后一定要将文件write到flash硬件中，否则就无效

三层交换机企业应用配置实例

在企业中，一般有多个部门，不同部门可能需要区分管理，设置不同的网络权限，同时也需要一定的安全防护，这时我们需要用到三层网管交换机作为核心交换机。

本文以TL-SG5428PE作为核心交换机为例，介绍在企业网络中配置三层交换机的方法。示意网络拓扑如下：

需求

1. 访客网络可以访问互联网，但不能访问内部其他网络；

2. 不同部门之间不能互相访问；

3. 产品部可以访问互联网和服务器，研发部不能访问互联网，只能访问服务器；

4. 服务器网段不能访问外网。

分析

1. 每个网络设置VLAN，通过设置访问控制限制不同网络的访问权限；

2. 开启ARP防护、DHCP侦听保障网络安全。

配置步骤

一、网络规划

为方便设备管理，需要将路由器、交换机、AC、AP等设备划分到一个VLAN中，同时需要保证每个网络都划分VLAN。本例中三层网管交换机的端口1连接路由器，端口2连接AC，具体VLAN划分和端口规划情况如下所示：

注：网络地址的大小请根据企业规模灵活配置，本例中网络掩码配置为24位。

二、设置VLAN

1. 设置端口类型

根据规划表格，在“VLAN->802.1Q VLAN->端口配置”中，选中1-18口，端口类型下拉选择GENERAL，点击提交。

2. 划分VLAN

在“VLAN->802.1Q VLAN->VLAN配置”中，创建VLAN10，Tagged端口列表中选择对应的3-6号端口，点击提交。

其余VLAN重复步骤即可，完成后VLAN列表如下：

3. 设置接口参数

在“路由功能->接口”中，输入VLAN ID号，IP地址模式选择Static，输入网络参数如下图所示，点击创建。

其余VLAN重复步骤即可，完成后接口列表如下：

4. 设置DHCP服务器

在“路由功能->DHCP服务器->DHCP服务器”中，启用DHCP服务。注意因为需要AC管理AP，所以DHCP服务器中需要填写option字段，如下option 60填写“TP-LINK”，option 138填写AC的IP地址，本例为192.168.23.253。

在“路由功能->DHCP服务器->地址池设置”中，输入相应的网络参数如下图所示，点击添加。

其余VLAN重复步骤即可，完成后DHCP地址池列表如下：

5. 设置路由参数

由于产品部、员工无线网络、访客网络需要连接互联网，所以需要设置相应路由使数据能转发出去。

在“路由功能->静态路由->IPv4静态路由”中，设置相应参数如下图所示，注意下一跳为路由器地址，本例为192.168.23.1。

三、网络权限设置

在交换机中主要通过ACL来控制访问权限，本例使用其中的标准IP ACL进行配置，其余的MAC ACL等原理类似。

由于交换机默认规则是转发所有数据，ACL控制是逐条匹配的，所以各网络所需规则如下：

l 产品部：禁止访问研发部网络。

l 研发部：只允许访问服务器，禁止访问其余网络。

l 员工无线网络：禁止访问产品部、研发部、服务器网络。

l 访客网络：禁止访问产品部、研发部、员工无线网络、服务器网络。

以研发部为例，具体设置如下：

1. 首先需要新建一个ACL ID，标准IP ACL的ID号范围是500-1499，本例使用520。在“访问控制->ACL配置->新建ACL”中，输入520，点击创建即可。

2. 再根据需求创建ACL规则。在“访问控制->ACL配置->标准IP ACL”中，下拉选择创建的ACL 520，输入规则ID 21，安全操作选择允许，源IP为研发部IP，目的IP为服务器IP。如下图所示，完成后点击提交。

禁止访问其余网络的规则如下所示：

完成后ACL 520列表如下图所示：

3. 最后绑定至相应VLAN中。在“访问控制->ACL绑定配置->VLAN绑定”中，下拉选择ACL 520，输入VLAN ID号20，点击添加。如下图所示：

其余网络重复上述三个步骤即可，注意每个网络都需要创建一个ACL ID号以进行VLAN的绑定。

其余网络创建后的ACL列表如下：

四、网络安全设置

为保障内网的网络安全，在三层交换机中建议开启ARP防护、DHCP侦听。

1. ARP防护

防护功能需要先进行四元绑定。在“网络安全->四元绑定”中有手动绑定和扫描绑定，手动绑定输入相应参数即可，扫描绑定设置如下图所示。绑定后可以在防护范围内进行防护选择。

开启防ARP欺骗。在“网络安全->ARP防护->防ARP欺骗”中，选择启用源MAC、目的MAC和IP验证，填入作用的VLAN ID号，点击启用。如下如所示：

2. DHCP侦听

DHCP主要作用是集中分配和管理IP地址，通常我们是通过路由器或三层网管交换机充当DHCP服务器的角色，但如果网络中有其他能够分配DHCP的非法服务器，也会给客户端分配不正确的IP，导致终端无法上网，网络结构紊乱。而开启“DHCP侦听”功能，添加授信端口，可以让终端和服务器只能从授信端口接收发送DHCP Offer报文，从而能正确的进行网络通信。

设置方法：

在“网络安全->DHCP侦听->全局配置”中，启用DHCP侦听，输入作用的VLAN ID，点击提交，如下图所示：

若交换机连接有合法DHCP服务器如路由器或AC或其他服务器，则需要进行端口配置，将DHCP服务器所在端口设置为授信端口。在“网络安全->DHCP侦听->端口配置”中设置为授信端口，如下图所示。本例中路由器和AC均无需开启DHCP服务，故无需做设置。

通过以上设置，即完成了企业组网中三层网管交换机的设置，且实现了相应的访问控制和网络安全需求。注意保存配置以免掉电导致配置丢失。

以下简要介绍下此例中ER系列路由器、Web网管交换机中的重要设置。路由器、AC、Web网管交换机中的一些基本管理设置、上网设置、无线设置再此不做介绍。

五、路由器设置

数据转发到路由器后需要设置NAPT规则才能将数据转发出去，也需要设置到核心交换机的静态路由以将互联网数据转发到内网中。

在此以TL-ER6220G为例简单介绍ER系列路由器的设置方法。

在“传输控制->NAT设置->NAPT”中，点击新增，输入相应参数如下图，点击确定。

其余VLAN重复步骤即可，完成后NAPT规则列表如下：

注意：由于研发部和服务器网段不能访问互联网，所以不做NAPT设置。

在“传输控制->路由设置->静态路由”中，点击新增，输入相应参数如下图，点击确定。注意此处的下一跳地址为三层网管交换机地址，本例为192.168.23.2

完成后静态路由列表如下：

注意：由于研发部和服务器网段不能访问互联网，所以不做静态路由设置。

六、二层交换机VLAN设置

在二层交换机中同样需要进行VLAN划分以对接三层交换机。

本文以员工网络所在交换机为例进行VLAN 30的设置。其余网络所在交换机设置同样。

1. 在“VLAN->802.1Q VLAN”中，选中启用，点击应用。

在输入框中输入30，选择对应的端口，选为Tagged，完成后点击添加。

添加完成后，VLAN列表如下：

2. 设置端口PVID。在“VLAN->802.1Q VLAN PVID设置”中，选中VLAN30中Untagged的端口，PVID框输入30，点击应用进行保存。端口类型为Tagged的16口作为级联口，保持默认PVID值为1即可。设置后如下如所示：

至此已完成所有设置。

根据网上的教程以及本科研究生学习的计算机网络知识进行整理出一篇该如何配置交换机的博文。

    1.连接电脑。

    配置交换机可以使用笔记本以及台式电脑，由于笔记本具有良好的便携性，所以一般在配置交换机的时候都采用笔记本电脑。在交换机上一般都有一个console(配置)端口，该端口用于对交换机配置和管理，将该端口通过网线与笔记本电脑连接，进行通信。通过console端口的连接交换机是配置和管理交换机的最基本方法，还有通过远程登陆Telnet以及网页配置。后两种方法需要经过第一种方法先进行基本的配置。

    不同类型的交换机console端口所处的位置不同，有的位于前面板，有的位于后面板，通常是模块化交换机大多位于前面板，而固定配置教程交换机则大多位于后面板。不过，倒不用担心无法找到Console端口，在该端口的上 方或侧方都会有类似“CONSOLE”字样的标识，如图所示。下图由于是两个连续挨着的交换机，所以可以看到有连个端口，并不是一台交换机有两个console端口。

    　2、软件配置教程

　　物理连接好了我们就要打开计算机和交换机电源进行软件配置教程了，下面我们以思科的一款网管型交换机“Catalyst 1900”来讲述这一配置教程过程。在正式进入配置教程之前我们还需要进入系统，步骤如下：

　　第1步：打开与交换机相连的计算机电源，运行计算机中的Windows 95、Windows 98、Windows 2000或windowXP等其中一个操作系统。

　　第2步：检查是否安装有“超级终端”（Hyper Terminal）组件。如果在“附件”（Accessories）中没有发现该组件，可通过“添加／删除程序”（Add／Remove Program）的方式添加该Windows组件。

　　好了，“超级终端”安装好后我们就可以与交换机进行通信了（当然要连接好，并打开交换机电源了），下面的步骤就是正式进行配置教程了。在使用超级终端建立与交换机的通信之前，必须先对超级终端进行必要的设置。

　　Catalyst 1900交换机在配置教程前的所有缺省配置教程为：所有端口无端口名；所有端口的优先级为Normal方式，所有10／100Mbps以太网端口设为 Auto方式，所有10／100Mbps以太网端口设为半双工方式，未配置教程虚拟子网。正式配置教程步骤如下（本文以Windows 98系统为例）：

　　第1步：单击“开始”按钮，在“程序”菜单的“附件”选项中单击“超级终端”。

　　第2步：双击“Hypertrm”图标，弹出新的对话框。这个对话框是用来对立一个新的超级终端连接项。

　　第3步：在“名称”文本框中键入需新建超的级终端连接项名称，这主要是为了便于识别，没有什么特殊要求，我们这里键入“Cisco”，如果您想为这个 连接项选择一个自己喜欢的图标的话，您也可以在下图的图标栏中选择一个，然后单击“确定”按钮，弹出如图6所示的对话框。

　　第4步：在“连接时使用”下拉列表框中选择与交换机相连的计算机的串口。单击“确定”按钮，弹出如图7所示的对话框。

　　第5步：在“波特率”下拉列表框中选择“9600”，因为这是串口的最高通信速率，其他各选项统统采用默认值。单击“确定”按钮，如果通信正常的话就会出现类似于如下所示的主配置教程界面，并会在这个窗口中就会显示交换机的初始配置教程情况。

上文就是配置交换机教程详解，三层交换机配置实例。

国内(北京、上海、广州、深圳、成都、重庆、杭州、西安、武汉、苏州、郑州、南京、天津、长沙、东莞、宁波、佛山、合肥、青岛)API接口文档平台软件分析、比较及推荐。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。