在企業(yè)中，一般有多個(gè)部門，不同部門可能需要區(qū)分管理，設(shè)置不同的網(wǎng)絡(luò)權(quán)限，同時(shí)也需要一定的安全防護(hù)，這時(shí)我們需要用到三層網(wǎng)管交換機(jī)作為核心交換機(jī)。 本文以TL-SG5428PE作為核心交換機(jī)為例，介紹在企業(yè)網(wǎng)絡(luò)中配置三層交換機(jī)的方法。示意網(wǎng)絡(luò)拓?fù)淙缦拢?/p>

需求

1.訪客網(wǎng)絡(luò)可以訪問互聯(lián)網(wǎng)，但不能訪問內(nèi)部其他網(wǎng)絡(luò)；

2.不同部門之間不能互相訪問；

3.產(chǎn)品部可以訪問互聯(lián)網(wǎng)和服務(wù)器，研發(fā)部不能訪問互聯(lián)網(wǎng)，只能訪問服務(wù)器；

4.服務(wù)器網(wǎng)段不能訪問外網(wǎng)。

分析

1.每個(gè)網(wǎng)絡(luò)設(shè)置VLAN，通過設(shè)置訪問控制限制不同網(wǎng)絡(luò)的訪問權(quán)限；

2.開啟ARP防護(hù)、DHCP偵聽保障網(wǎng)絡(luò)安全。

配置步驟一，網(wǎng)絡(luò)規(guī)劃為方便設(shè)備管理，需要將路由器、交換機(jī)、AC、AP等設(shè)備劃分到一個(gè)VLAN中，同時(shí)需要保證每個(gè)網(wǎng)絡(luò)都劃分VLAN。本例中三層網(wǎng)管交換機(jī)的端口1連接路由器，端口2連接AC，具體VLAN劃分和端口規(guī)劃情況如下所示：

注：網(wǎng)絡(luò)地址的大小請(qǐng)根據(jù)企業(yè)規(guī)模靈活配置，本例中網(wǎng)絡(luò)掩碼配置為24位。 二，設(shè)置VLAN二，設(shè)置端口類型根據(jù)規(guī)劃表格，在“VLAN->802.1Q VLAN->端口配置”中，選中1-18口，端口類型下拉選擇GENERAL，點(diǎn)擊提交。

2.劃分VLAN

在“VLAN->802.1Q VLAN->VLAN配置”中，創(chuàng)建VLAN10，Tagged端口列表中選擇對(duì)應(yīng)的3-6號(hào)端口，點(diǎn)擊提交。

其余VLAN重復(fù)步驟即可，完成后VLAN列表如下：

3.設(shè)置接口參數(shù)

在“路由功能->接口”中，輸入VLAN ID號(hào)，IP地址模式選擇Static，輸入網(wǎng)絡(luò)參數(shù)如下圖所示，點(diǎn)擊創(chuàng)建。

其余VLAN重復(fù)步驟即可，完成后接口列表如下：

4.設(shè)置DHCP服務(wù)器

在“路由功能->DHCP服務(wù)器->DHCP服務(wù)器”中，啟用DHCP服務(wù)。注意因?yàn)樾枰狝C管理AP，所以DHCP服務(wù)器中需要填寫option字段，如下option 60填寫“TP-LINK”，option 138填寫AC的IP地址，本例為192.168.23.253。

在“路由功能->DHCP服務(wù)器->地址池設(shè)置”中，輸入相應(yīng)的網(wǎng)絡(luò)參數(shù)如下圖所示，點(diǎn)擊添加。

其余VLAN重復(fù)步驟即可，完成后DHCP地址池列表如下：

5.設(shè)置路由參數(shù)

由于產(chǎn)品部、員工無(wú)線網(wǎng)絡(luò)、訪客網(wǎng)絡(luò)需要連接互聯(lián)網(wǎng)，所以需要設(shè)置相應(yīng)路由使數(shù)據(jù)能轉(zhuǎn)發(fā)出去。 在“路由功能->靜態(tài)路由->IPv4靜態(tài)路由”中，設(shè)置相應(yīng)參數(shù)如下圖所示，注意下一跳為路由器地址，本例為192.168.23.1。

網(wǎng)絡(luò)權(quán)限設(shè)置

在交換機(jī)中主要通過ACL來控制訪問權(quán)限，本例使用其中的標(biāo)準(zhǔn)IP ACL進(jìn)行配置，其余的MAC ACL等原理類似。 由于交換機(jī)默認(rèn)規(guī)則是轉(zhuǎn)發(fā)所有數(shù)據(jù)，ACL控制是逐條匹配的，所以各網(wǎng)絡(luò)所需規(guī)則如下：

產(chǎn)品部：禁止訪問研發(fā)部網(wǎng)絡(luò)。

研發(fā)部：只允許訪問服務(wù)器，禁止訪問其余網(wǎng)絡(luò)。

員工無(wú)線網(wǎng)絡(luò)：禁止訪問產(chǎn)品部、研發(fā)部、服務(wù)器網(wǎng)絡(luò)。

訪客網(wǎng)絡(luò)：禁止訪問產(chǎn)品部、研發(fā)部、員工無(wú)線網(wǎng)絡(luò)、服務(wù)器網(wǎng)絡(luò)。

以研發(fā)部為例，具體設(shè)置如下：

1.首先需要新建一個(gè)ACL ID，標(biāo)準(zhǔn)IP ACL的ID號(hào)范圍是500-1499，本例使用520。在“訪問控制->ACL配置->新建ACL”中，輸入520，點(diǎn)擊創(chuàng)建即可。

2.再根據(jù)需求創(chuàng)建ACL規(guī)則。在“訪問控制->ACL配置->標(biāo)準(zhǔn)IP ACL”中，下拉選擇創(chuàng)建的ACL 520，輸入規(guī)則ID 21，安全操作選擇允許，源IP為研發(fā)部IP，目的IP為服務(wù)器IP。如下圖所示，完成后點(diǎn)擊提交。

禁止訪問其余網(wǎng)絡(luò)的規(guī)則如下所示：

完成后ACL 520列表如下圖所示：

3.最后綁定至相應(yīng)VLAN中。在“訪問控制->ACL綁定配置->VLAN綁定”中，下拉選擇ACL 520，輸入VLAN ID號(hào)20，點(diǎn)擊添加。如下圖所示：

其余網(wǎng)絡(luò)重復(fù)上述三個(gè)步驟即可，注意每個(gè)網(wǎng)絡(luò)都需要?jiǎng)?chuàng)建一個(gè)ACL ID號(hào)以進(jìn)行VLAN的綁定。 其余網(wǎng)絡(luò)創(chuàng)建后的ACL列表如下：

網(wǎng)絡(luò)安全設(shè)置

為保障內(nèi)網(wǎng)的網(wǎng)絡(luò)安全，在三層交換機(jī)中建議開啟ARP防護(hù)、DHCP偵聽。

1.ARP防護(hù)

防護(hù)功能需要先進(jìn)行四元綁定。在“網(wǎng)絡(luò)安全->四元綁定”中有手動(dòng)綁定和掃描綁定，手動(dòng)綁定輸入相應(yīng)參數(shù)即可，掃描綁定設(shè)置如下圖所示。綁定后可以在防護(hù)范圍內(nèi)進(jìn)行防護(hù)選擇。

開啟防ARP欺騙。在“網(wǎng)絡(luò)安全->ARP防護(hù)->防ARP欺騙”中，選擇啟用源MAC、目的MAC和IP驗(yàn)證，填入作用的VLAN ID號(hào)，點(diǎn)擊啟用。如下如所示：

2.DHCP偵聽

DHCP主要作用是集中分配和管理IP地址，通常我們是通過路由器或三層網(wǎng)管交換機(jī)充當(dāng)DHCP服務(wù)器的角色，但如果網(wǎng)絡(luò)中有其他能夠分配DHCP的非法服務(wù)器，也會(huì)給客戶端分配不正確的IP，導(dǎo)致終端無(wú)法上網(wǎng)，網(wǎng)絡(luò)結(jié)構(gòu)紊亂。而開啟“DHCP偵聽”功能，添加授信端口，可以讓終端和服務(wù)器只能從授信端口接收發(fā)送DHCP Offer報(bào)文，從而能正確的進(jìn)行網(wǎng)絡(luò)通信。設(shè)置方法：在“網(wǎng)絡(luò)安全->DHCP偵聽->全局配置”中，啟用DHCP偵聽，輸入作用的VLAN ID，點(diǎn)擊提交，如下圖所示：

若交換機(jī)連接有合法DHCP服務(wù)器如路由器或AC或其他服務(wù)器，則需要進(jìn)行端口配置，將DHCP服務(wù)器所在端口設(shè)置為授信端口。在“網(wǎng)絡(luò)安全->DHCP偵聽->端口配置”中設(shè)置為授信端口，如下圖所示。本例中路由器和AC均無(wú)需開啟DHCP服務(wù)，故無(wú)需做設(shè)置。

通過以上設(shè)置，即完成了企業(yè)組網(wǎng)中三層網(wǎng)管交換機(jī)的設(shè)置，且實(shí)現(xiàn)了相應(yīng)的訪問控制和網(wǎng)絡(luò)安全需求。注意保存配置以免掉電導(dǎo)致配置丟失。 以下簡(jiǎn)要介紹下此例中ER系列路由器、Web網(wǎng)管交換機(jī)中的重要設(shè)置。路由器、AC、Web網(wǎng)管交換機(jī)中的一些基本管理設(shè)置、上網(wǎng)設(shè)置、無(wú)線設(shè)置再此不做介紹。

路由器設(shè)置

數(shù)據(jù)轉(zhuǎn)發(fā)到路由器后需要設(shè)置NAPT規(guī)則才能將數(shù)據(jù)轉(zhuǎn)發(fā)出去，也需要設(shè)置到核心交換機(jī)的靜態(tài)路由以將互聯(lián)網(wǎng)數(shù)據(jù)轉(zhuǎn)發(fā)到內(nèi)網(wǎng)中。 在此以TL-ER6220G為例簡(jiǎn)單介紹ER系列路由器的設(shè)置方法。 在“傳輸控制->NAT設(shè)置->NAPT”中，點(diǎn)擊新增，輸入相應(yīng)參數(shù)如下圖，點(diǎn)擊確定。

其余VLAN重復(fù)步驟即可，完成后NAPT規(guī)則列表如下：

注意：由于研發(fā)部和服務(wù)器網(wǎng)段不能訪問互聯(lián)網(wǎng)，所以不做NAPT設(shè)置。 在“傳輸控制->路由設(shè)置->靜態(tài)路由”中，點(diǎn)擊新增，輸入相應(yīng)參數(shù)如下圖，點(diǎn)擊確定。注意此處的下一跳地址為三層網(wǎng)管交換機(jī)地址，本例為192.168.23.2

完成后靜態(tài)路由列表如下：

注意：由于研發(fā)部和服務(wù)器網(wǎng)段不能訪問互聯(lián)網(wǎng)，所以不做靜態(tài)路由設(shè)置。

二層交換機(jī)VLAN設(shè)置

在二層交換機(jī)中同樣需要進(jìn)行VLAN劃分以對(duì)接三層交換機(jī)。 本文以員工網(wǎng)絡(luò)所在交換機(jī)為例進(jìn)行VLAN 30的設(shè)置。其余網(wǎng)絡(luò)所在交換機(jī)設(shè)置同樣。

1.在“VLAN->802.1Q VLAN”中，選中啟用，點(diǎn)擊應(yīng)用。

在輸入框中輸入30，選擇對(duì)應(yīng)的端口，選為Tagged，完成后點(diǎn)擊添加。

添加完成后，VLAN列表如下：

2.設(shè)置端口PVID。在“VLAN->802.1Q VLAN PVID設(shè)置”中，選中VLAN30中Untagged的端口，PVID框輸入30，點(diǎn)擊應(yīng)用進(jìn)行保存。端口類型為Tagged的16口作為級(jí)聯(lián)口，保持默認(rèn)PVID值為1即可。設(shè)置后如下如所示：

至此已完成所有設(shè)置