【思科】立体安全网络 思科全新300交换机试用-思科300系列--交换机-三层交换机-思科三层交换机

　　思科300系列是思科精睿网络解决方案的一部分，由多款全网管交换机产品组成，是思科SRW产品线的下一代产品。在端口密度上，300系列包括8到48个快速以太网端口以及28到52个千兆以太网端口全线产品，每款产品在功能特性上完全相同。该系列采用的是WEB管理界面，几乎不存在上手“门槛”，大大减少了网络部署、管理、以及故障清除所耗费的时间，并且对简化大规模设置和部署意义重大，在安全性上支持访问控制列表、VLAN以及其他高级安全特性，支持高级流量管理，支持IPv4间路由等功能。欲了解产品详细规格信息请点击这里。

 
如法炮制，饭盒创建了5个VLAN

　　做一下简单说明，VLAN10，20，1000用于连接客户端，VLAN100用于连接路由器（网关），通过它为所有用户提供INTERNET服务，VLAN200用于连接服务器，在这个场景中我们只搭建了一台DHCP服务器。

　　细心的网友可能会问，之前提到的文件服务器不放在VLAN200中吗？你可以选择将它放置在VLAN200中，但这时会有一个小小的问题——服务器与其它VLAN中的客户机之间会产生三层流量，这会给交换机造成不小的负担；另一个选择是在连接文件服务器的交换机端口上启用Trunk，同时在服务器上也进行Trunk设置。后者可以将流量限制在“本地”，最大程度减少交换机的工作负荷，因为此时所产生的是二层流量，无需路由。关于交换机与服务器之间的Trunk链路我们后边会进行说明。

添加端口到VLAN并实现VLAN间路由

从VLAN20到VLAN200（Server Group）和INTERNET的流量依然可以正常通过

　　思科 300 系列提供了基于MAC地址，IPv4和IPv6的访问控制列表。在组建网络时，ACL格外实用，它是IT手中的利器，借助ACL，IT可以极为灵活地管理网络中的各种流量。

配置静态路由访问INTERNET

　　交换机通过路由器（网关）连接到INTERNET，在交换机与网关之间我们配置了一个VLAN，标识为VLAN100（WAN）。VLAN100的网络状况其实是比较糟糕的，它是一个半公开的小型办公网络，很多私人设备通过无线连接上来访问INTERNET，为了阻止无意义的广播流量进入其它VLAN，所以我们将上网链路放在了单独的VLAN中，并设置端口模式为 Access。

每创建一个VLAN在网络连接中就会生成一个“本地连接”，VLAN ID要一一对应

　　简单说一下如何在服务器上启用Trunk：先需要网卡支持，一般在网卡的高级配置属性中可以找到相关选项，启用它；接下来使用厂商提供的设置工具，也可能在网卡高级选项中可以找到相应的功能标签，逐一添加VLAN即可。此时要注意，VLAN ID必须一一对应，并在每个“本地连接”上配置正确的IP地址。

　　文件服务器的IP地址分别为192.168.20.200 / 10.200 / 0.200，对应三个不同的VLAN，之前我们在交换机端口上配置的ACL依然有效，所以我们 Ping 其它VLAN的文件服务器是不通的。

思科300系列三层交换机

　　思科300系列的亮点是什么？个人以为是其提供的VLAN间路由功能，以及诸多实用的内网管理功能，借助它，我们真真正正可以将内网管理起来。目前国内有很多面向中小企业的网络解决方案，他们几乎都将重点放在了路由器上，试图通过一台网关产品管理到内部网络的每个角落，坦白说，这并不现实，因为交换机与路由器有着各自不同的职责。

　　过头我们再看文章开篇时提到的那个问题，思科300系列交换机能为我做什么？我们在组建网络时要求往往并不复杂，高效安全和成本是我们最关心的三个维度。本文就像是一份组网笔记，我们使用思科最新推出的300系列交换机组件了一个并不复杂，但高效安全的网络。