交换机配置

Updated on with 0 views and 0 comments

交换机配置

防火墙做外网入口,三层交换机做内网大脑,全用傻瓜交换机分线,按部门划 VLAN 隔离,用 ACL 做权限管控,DHCP 自动发 IP,服务器手动固定 IP。

VLAN10 办公:G0/0/2 - G0/0/3

ACL规则:仅能上外网、允许访问服务器 80/443 网页,禁止访问其他任何内网网段

VLAN20 技术:G0/0/4 - G0/0/5

ACL规则规则:全网放行,可自由访问所有内网网段 + 外网

VLAN30 服务器:G0/0/6 - G0/0/8

ACL规则规则:允许技术、监控全量访问;办公仅能访问 80/443 网页;服务器可上外网,拒绝其他非法访问

VLAN40 财务:G0/0/9

ACL规则规则:仅允许访问外网,完全内网隔离,不能访问其他网段,其他网段也不能访问财务

VLAN50 监控:G0/0/10

ACL规则规则:可访问服务器网段、可上外网,禁止访问办公 / 技术 / 财务其他内网网段

一、轻量拓扑图

image.png

二、交换机命令

system-view                          // 进入系统配置模式(进入后才能配置全局参数)
sysname core-sw                      // 修改交换机设备名称为core-sw(方便识别,可自定义)
undo info-center enable              // 关闭信息中心告警(避免配置时弹窗干扰,可选但推荐)

dhcp enable                          // 全局开启DHCP服务(让交换机给各VLAN终端自动分配IP)

vlan batch 10 20 30 40 50            // 批量创建5个VLAN,对应各部门:
                                     // VLAN10=办公、VLAN20=技术、VLAN30=服务器、VLAN40=财务、VLAN50=监控

# ==================== 端口配置(所有端口为Access模式,对应划分到指定VLAN) ====================
// 办公VLAN10 - 端口G0/0/2(接办公交换机/办公终端)
interface GigabitEthernet 0/0/2
 port link-type access               // 设置端口为二层Access模式(终端/傻瓜交换机接入专用)
 port default vlan 10                // 将该端口划分到办公VLAN10
 undo shutdown                       // 开启该端口(默认可能关闭,必须开启才能通信)
quit                                 // 退出当前接口配置视图

// 办公VLAN10 - 端口G0/0/3(接办公交换机/办公终端)
interface GigabitEthernet 0/0/3
 port link-type access
 port default vlan 10
 undo shutdown
quit

// 技术VLAN20 - 端口G0/0/4(接技术部交换机/技术终端)
interface GigabitEthernet 0/0/4
 port link-type access
 port default vlan 20                // 将该端口划分到技术VLAN20
 undo shutdown
quit

// 技术VLAN20 - 端口G0/0/5(接技术部交换机/技术终端)
interface GigabitEthernet 0/0/5
 port link-type access
 port default vlan 20
 undo shutdown
quit

// 服务器VLAN30 - 端口G0/0/6(接服务器交换机/服务器)
interface GigabitEthernet 0/0/6
 port link-type access
 port default vlan 30                // 将该端口划分到服务器VLAN30
 undo shutdown
quit

// 服务器VLAN30 - 端口G0/0/7(接服务器交换机/服务器)
interface GigabitEthernet 0/0/7
 port link-type access
 port default vlan 30
 undo shutdown
quit

// 服务器VLAN30 - 端口G0/0/8(接服务器交换机/服务器)
interface GigabitEthernet 0/0/8
 port link-type access
 port default vlan 30
 undo shutdown
quit

// 财务VLAN40 - 端口G0/0/9(接财务交换机/财务终端)
interface GigabitEthernet 0/0/9
 port link-type access
 port default vlan 40                // 将该端口划分到财务VLAN40
 undo shutdown
quit

// 监控VLAN50 - 端口G0/0/10(接监控傻瓜交换机/监控设备)
interface GigabitEthernet 0/0/10
 port link-type access
 port default vlan 50                // 将该端口划分到监控VLAN50
 undo shutdown
quit

// 防火墙互联端口 - 端口G0/0/1(重点:接防火墙内网口,三层路由模式)
interface GigabitEthernet 0/0/1
 port link-mode route                // 关键:将端口改为三层路由模式(不划VLAN,直接配IP互联)
 ip address 192.168.1.1 255.255.255.252  // 配置和防火墙互联的IP(30掩码,仅2个可用IP,规范互联)
 undo shutdown                       // 开启该端口,确保和防火墙正常通信
quit

# ==================== VLANIF三层网关配置(各VLAN的网关,终端上网的出口) ====================
// 办公VLAN10 网关(终端默认网关,DHCP分配IP时会同步下发)
interface Vlanif10
 ip address 192.168.10.1 255.255.255.0  // 配置VLAN10网关IP(192.168.10.0网段的网关)
 dhcp select global                   // 调用全局DHCP地址池,给VLAN10终端分配IP
quit

// 技术VLAN20 网关
interface Vlanif20
 ip address 192.168.20.1 255.255.255.0  // 配置VLAN20网关IP(192.168.20.0网段的网关)
 dhcp select global
quit

// 服务器VLAN30 网关
interface Vlanif30
 ip address 192.168.30.1 255.255.255.0  // 配置VLAN30网关IP(192.168.30.0网段的网关)
 dhcp select global
quit

// 财务VLAN40 网关
interface Vlanif40
 ip address 192.168.40.1 255.255.255.0  // 配置VLAN40网关IP(192.168.40.0网段的网关)
 dhcp select global
quit

// 监控VLAN50 网关
interface Vlanif50
 ip address 192.168.50.1 255.255.255.0  // 配置VLAN50网关IP(192.168.50.0网段的网关)
 dhcp select global
quit

# ==================== DHCP地址池配置(IP从小到大顺序分配,适配各VLAN) ====================
// 办公VLAN10 DHCP地址池(给办公终端分配IP)
ip pool vlan10
 network 192.168.10.0 mask 255.255.255.0  // 定义地址池网段(和VLAN10网关网段一致)
 gateway-list 192.168.10.1           // 指定终端默认网关(和VLANIF10网关一致)
 dns-list 223.5.5.5 114.114.114.114  // 指定DNS服务器(公共DNS,终端可解析网址)
 ip address assign-mode incremental   // 关键:设置IP从小到大顺序分配(解决倒序拿IP问题)
 lease day 1                          // 设置IP租期为1天(终端断开后,IP快速释放)
quit

// 技术VLAN20 DHCP地址池(给技术终端分配IP)
ip pool vlan20
 network 192.168.20.0 mask 255.255.255.0
 gateway-list 192.168.20.1
 dns-list 223.5.5.5 114.114.114.114
 ip address assign-mode incremental
 lease day 1
quit

// 服务器VLAN30 DHCP地址池(给服务器分配IP,租期 longer)
ip pool vlan30
 network 192.168.30.0 mask 255.255.255.0
 gateway-list 192.168.30.1
 dns-list 223.5.5.5 114.114.114.114
 ip address assign-mode incremental
 lease day 999                          // 服务器IP租期设为999天(减少IP频繁变动)
quit

// 财务VLAN40 DHCP地址池(给财务终端分配IP)
ip pool vlan40
 network 192.168.40.0 mask 255.255.255.0
 gateway-list 192.168.40.1
 dns-list 223.5.5.5 114.114.114.114
 ip address assign-mode incremental
 lease day 1
quit

// 监控VLAN50 DHCP地址池(给监控设备分配IP)
ip pool vlan50
 network 192.168.50.0 mask 255.255.255.0
 gateway-list 192.168.50.1
 dns-list 223.5.5.5 114.114.114.114
 ip address assign-mode incremental
 lease day 1
quit

# ==================== 静态路由配置(关键:让内网流量能访问外网) ====================
ip route-static 0.0.0.0 0.0.0.0 192.168.1.2  // 默认路由:所有内网要上网的流量,全部转发给防火墙(192.168.1.2是防火墙内网口IP)

# ==================== ACL安全策略(3001~3005,按部门分配权限,双向隔离+安全加固) ====================
// ACL3001:办公VLAN10权限(仅能上网+访问服务器网页,禁止访问其他内网)
acl number 3001
 rule permit udp source-port eq bootpc  // 放行DHCP请求报文(确保办公终端能正常获取IP)
 rule permit tcp destination 192.168.30.0 0.0.0.255 destination-port eq 80  // 允许访问服务器80端口(网页服务)
 rule permit tcp destination 192.168.30.0 0.0.0.255 destination-port eq 443 // 允许访问服务器443端口(加密网页服务)
 rule permit ip destination 0.0.0.0 0.0.0.0  // 允许访问外网(0.0.0.0 0.0.0.0代表所有外网地址)
 rule deny ip                          // 拒绝访问其他所有内网网段(兜底规则,防止越权)
quit

// ACL3002:技术VLAN20权限(全网通行,无限制)
acl number 3002
 rule permit udp source-port eq bootpc  // 放行DHCP请求报文
 rule permit ip                         // 允许所有IP流量(内网全通+外网全通,适配技术部需求)
quit

// ACL3003:财务VLAN40权限(双向隔离,仅能上网,禁止访问任何内网)
acl number 3003
 rule permit udp source-port eq bootpc  // 放行DHCP请求报文
 rule permit ip destination 0.0.0.0 0.0.0.0  // 仅允许访问外网
 rule deny ip                          // 拒绝访问所有内网网段(包括其他部门,双向隔离)
quit

// ACL3004:监控VLAN50权限(仅能访问服务器+上网,禁止访问其他内网)
acl number 3004
 rule permit udp source-port eq bootpc  // 放行DHCP请求报文
 rule permit ip destination 192.168.30.0 0.0.0.255  // 允许访问服务器网段(监控上传数据)
 rule permit ip destination 0.0.0.0 0.0.0.0  // 允许访问外网(可选,根据监控需求)
 rule deny ip                          // 拒绝访问其他内网网段
quit

// ACL3005:服务器VLAN30权限(防护型,仅允许指定部门访问)
acl number 3005
 rule permit udp source-port eq bootpc  // 放行DHCP请求报文(服务器若用DHCP可正常获取IP)
 rule permit ip source 192.168.20.0 0.0.0.255  // 允许技术部全量访问服务器(技术部维护服务器)
 rule permit ip source 192.168.50.0 0.0.0.255  // 允许监控VLAN访问服务器(监控上传数据)
 rule permit tcp source 192.168.10.0 0.0.0.255 destination-port eq 80  // 允许办公部访问服务器网页
 rule permit tcp source 192.168.10.0 0.0.0.255 destination-port eq 443 // 允许办公部访问服务器加密网页
 rule permit ip destination 0.0.0.0 0.0.0.0  // 允许服务器访问外网(更新、下载等)
 rule deny ip                          // 拒绝其他所有非法访问(兜底防护)
quit

# ==================== 接口应用ACL(将ACL绑定到对应端口,生效权限控制) ====================
// 办公VLAN10端口(G0/0/2、G0/0/3)绑定ACL3001
interface GigabitEthernet 0/0/2
 traffic-filter inbound acl 3001      // 入方向调用ACL3001,控制办公终端访问权限
quit
interface GigabitEthernet 0/0/3
 traffic-filter inbound acl 3001
quit

// 技术VLAN20端口(G0/0/4、G0/0/5)绑定ACL3002
interface GigabitEthernet 0/0/4
 traffic-filter inbound acl 3002      // 入方向调用ACL3002,技术终端全网通行
quit
interface GigabitEthernet 0/0/5
 traffic-filter inbound acl 3002
quit

// 服务器VLAN30端口(G0/0/6、G0/0/7、G0/0/8)绑定ACL3005
interface GigabitEthernet 0/0/6
 traffic-filter inbound acl 3005      // 入方向调用ACL3005,防护服务器
quit
interface GigabitEthernet 0/0/7
 traffic-filter inbound acl 3005
quit
interface GigabitEthernet 0/0/8
 traffic-filter inbound acl 3005
quit

// 财务VLAN40端口(G0/0/9)绑定ACL3003
interface GigabitEthernet 0/0/9
 traffic-filter inbound acl 3003      // 入方向调用ACL3003,财务双向隔离
quit

// 监控VLAN50端口(G0/0/10)绑定ACL3004
interface GigabitEthernet 0/0/10
 traffic-filter inbound acl 3004      // 入方向调用ACL3004,监控仅能访问服务器+上网
quit

# ==================== 安全加固(防DHCP劫持、ARP欺骗,可选但推荐) ====================
dhcp snooping enable                  // 全局开启DHCP snooping(防止内网恶意DHCP服务器劫持IP)
vlan 10
 dhcp snooping enable                 // 给VLAN10开启DHCP snooping
vlan 20
 dhcp snooping enable                 // 给VLAN20开启DHCP snooping
vlan 30
 dhcp snooping enable                 // 给VLAN30开启DHCP snooping
vlan 40
 dhcp snooping enable                 // 给VLAN40开启DHCP snooping
vlan 50
 dhcp snooping enable                 // 给VLAN50开启DHCP snooping
quit

# ==================== 保存配置(防止重启后配置丢失) ====================
save                                 // 保存所有配置到交换机闪存,重启后依然生效
// 提示"Are you sure to save? [Y/N]",输入Y确认保存

三、常用运维命令

1. 基础查看类

display version           # 查看设备型号、系统版本
display current-configuration  # 查看设备全部当前配置
display saved-configuration    # 查看开机启动保存的配置
sysname xxx                # 修改交换机名称
undo info-center enable    # 关闭弹窗日志干扰

2. 接口状态查看

display interface brief    # 查看所有端口 UP/DOWN、速率、状态(最常用)
display interface GigabitEthernet 0/0/1  # 查看某个端口详细信息
shutdown                   # 关闭端口
undo shutdown              # 开启端口

3. VLAN 运维命令

display vlan               # 查看所有VLAN、哪些端口在对应VLAN
display vlan brief         # 简洁查看VLAN与端口对应关系
port default vlan 10       # 接口划入指定VLAN

4. DHCP 排障运维

display dhcp pool          # 查看所有DHCP地址池配置
display dhcp server lease  # 查看终端IP租期
display dhcp server conflict  # 查看IP地址冲突(排查服务器手动IP冲突)
display ip pool used user  # 查看DHCP已经分配出去的IP和对应MAC

5. 路由查看

display ip routing-table   # 查看路由表(看默认路由是否指向防火墙)

6. ACL 访问控制查看

display acl all           # 查看所有ACL规则 3001~3005
display traffic-filter applied-record  # 查看哪些接口应用了ACL

7. ARP 故障排查

display arp               # 查看全网所有在线设备 IP+MAC+端口
display arp all

8. 保存 / 重启 / 重置

save                      # 保存配置
reboot                    # 重启交换机
reset saved-configuration # 清空开机配置(恢复出厂,重启生效)

9. 网络连通测试

ping 192.168.30.1         # 测试通网关
ping 外网域名             # 测试能不能上网
tracert 目标IP            # 追踪数据包转发路径,排查断网位置

10. VLANIF 网关查看

display ip interface brief  # 查看所有VLANIF网关IP是否正常生效
标题:交换机配置
作者:zhongts
地址:http://zhongts.cc:8080/articles/2026/05/07/1778157871612.html