今天我们老话新谈，再来聊聊配置交换机。昨天一个行外的朋友问我，什么是交换机，能用来干嘛，要怎么配置？

  我思考了一下，跟他说，这样的一个东西呢，不是宇宙飞船的主控制台，也不是钢铁侠的人工智能管家，它其实算是企业中各个部门网络之间的“交通指挥官”。至于怎么配置交换机，还真不是三言两语可以说清楚的。

  想了解交换机是什么，看这儿：《如何用一个故事讲清路由器和交换机的区别？老杨来试试！》。

  要怎么配置，老杨也有相关案例，更多关于交换机的文章，可以点下面的搜索框，一键直达。

  今天就再来分享一下交换机配置的经典流程，以及跟你说说，在一个项目中，交换机的配置是怎么一步步搞定的。

  首先根据案例情况画出拓扑图，小型园区中，分为两个部门，每个部门相互独立，却又通信，进行组网如下图。

  拿到项目之后，首要的是进行项目分析，搞清楚交换机、核心交换机、路由的部署。在配置之前，按照需要的操作、准备项、数据做好相关说明。

  在小型网络项目中，S2700&S3700通常部署在网络的接入层，S5700&S6700交换机通常部署在网络的核心，出口路由器一般都会采用AR系列路由器。

  1、接入交换机与核心交换机通过 Eth - Trunk 组网保证可靠性。

  2、每个部门业务划分到一个 VLAN 中，部门间的业务在核心交换机上三层互通。

  4、接入交换机上配置DHCP Snooping功能，防止内网用户私接小路由器分配IP地址；同时配置IPSG功能，防止内网用户私自更改IP地址。

  在做好网络数据规划后，就要配置交换机了，大多数小友的难点就在这里，老杨在这方面尽量给你说详细些。

  你可以按照下面这个经典流程配置各设备的数据，连通园区内部用户，并使内部用户可访问外网。

  参考这个步骤，同时结合项目的真实的情况，就不会在配置的过程中漏掉什么关键信息。

  在企业中，一般有多个部门，不同部门在大多数情况下要区分管理，设置不一样的网络权限，同时也需要一定的安全防护，这时我们应该用到三层网管交换机作为核心交换机。

  本文以TL-SG5428PE作为核心交换机为例，介绍在企业网络中配置三层交换机的方法。示意网络拓扑如下：

  3. 产品部可以访问互联网与服务器，研发部不能访问互联网，只能访问服务器；

  为方便设备管理，需要将路由器、交换机、AC、AP等设备划分到一个VLAN中，同时需要保证每个网络都划分VLAN。本例中三层网管交换机的端口1连接路由器，端口2连接AC，具体VLAN划分和端口规划情况如下所示：

  在“路由功能-接口”中，输入VLAN ID号，IP地址模式选择Static，输入网络参数如下图所示，点击创建。

  在“路由功能-DHCP服务器-地址池设置”中，输入相应的网络参数如下图所示，点击添加。

  由于产品部、员工无线网络、访客网络需要连接互联网，所以要设置相应路由使数据能转发出去。

  在“路由功能-静态路由-IPv4静态路由”中，设置相应参数如下图所示，注意下一跳为路由器地址，本例为192.168.23.1。

  在交换机中主要是通过ACL来控制访问权限，本例使用其中的标准IP ACL进行配置，其余的MAC ACL等原理类似。

  由于交换机默认规则是转发所有数据，ACL控制是逐条匹配的，所以各网络所需规则如下：

  在“访问控制-ACL配置-标准IP ACL”中，下拉选择创建的ACL 520，输入规则ID 21，安全操作选择允许，源IP为研发部IP，目的IP为服务器IP。如下图所示，完成后点击提交。

  在“访问控制-ACL绑定配置-VLAN绑定”中，下拉选择ACL 520，输入VLAN ID号20，点击添加。如下图所示：

  其余网络重复上述三个步骤即可，注意每个网络都需要创建一个ACL ID号以进行VLAN的绑定。

  防护功能需要先进行四元绑定。在“网络安全-四元绑定”中有手动绑定和扫描绑定，手动绑定输入相应参数即可，扫描绑定设置如下图所示。绑定后可以在防护范围内进行防护选择。

  在“网络安全-ARP防护-防ARP欺骗”中，选择启用源MAC、目的MAC和IP验证，填入作用的VLAN ID号，点击启用。如下如所示：

  DHCP最大的作用是集中分配和管理IP地址，通常我们是通过路由器或三层网管交换机充当DHCP服务器的角色，但如果网络中有其他能够分配DHCP的非法服务器，也会给客户端分配不正确的IP，导致终端无法上网，网络结构紊乱。而开启“DHCP侦听”功能，添加授信端口，可以让终端与服务器只能从授信端口接收发送DHCP Offer报文，从而能正确的进行网络通信。

  在“网络安全-DHCP侦听-全局配置”中，启用DHCP侦听，输入作用的VLAN ID，点击提交，如下图所示：

  若交换机连接有合法DHCP服务器如路由器或AC或其他服务器，则有必要进行端口配置，将DHCP服务器所在端口设置为授信端口。在“网络安全-DHCP侦听-端口配置”中设置为授信端口，如下图所示。

  通过以上设置，即完成了企业组网中三层网管交换机的设置，且实现了相应的访问控制和网络安全需求。注意保存配置以免掉电导致配置丢失。

  路由器、AC、Web网管交换机中的一些基本管理设置、上网设置、无线设置再此不做介绍。

  数据转发到路由器后需要设置NAPT规则才能将数据转发出去，也需要设置到核心交换机的静态路由以将互联网数据转发到内网中。

  在“传输控制-NAT设置-NAPT”中，点击新增，输入相应参数如下图，点击确定。

  在“传输控制-路由设置-静态路由”中，点击新增，输入相应参数如下图，点击确定。注意此处的下一跳地址为三层网管交换机地址，本例为192.168.23.2

  本文以员工网络所在交换机为例进行VLAN 30的设置。其余网络所在交换机设置同样。