想要让一个网络环境稳定运行,交换机配置是非常关键的一步,很多人觉得这很复杂,但其实只要抓住几个核心点,就能避免大部分莫名其妙的网络问题,下面我就根据自己的经验,详细说说怎么高效地配置一台交换机,让它能老老实实地工作。
第一步:拿到新交换机,别急着插网线
新买的交换机开箱后,先别急着把它接到现有的网络里,这就像家里来了新成员,得先了解它的脾气,用一条配置线(通常是一头像网线头,另一头是USB或者串口的那种线)把电脑和交换机连接起来,然后打开电脑上的终端软件,比如PuTTY或者SecureCRT,进入交换机的命令行界面。
第一件必须做的事是改密码,出厂默认的用户名和密码几乎是公开的秘密,不改的话,任何人只要连上网络都可能轻松控制你的交换机,非常危险,设置一个足够复杂的密码,这是安全的第一道防线。
给交换机起个名字,不要用默认的“Switch”或者一堆无意义的字符,可以根据它放置的位置或者用途来命名,三楼办公室核心交换机”或“机房接入交换机-01”,这样,当你管理很多台设备时,一眼就能认出谁是谁,不会搞混。
第二步:管理地址要固定,远程管理才方便
交换机也需要一个IP地址,这样你才能通过网络远程管理它,不用每次都跑过去插线,这个地址通常叫做管理VLAN的IP地址,我强烈建议你专门规划一个管理用的VLAN(可以理解为逻辑上隔离的一个虚拟网络),比如VLAN 99,然后给这个VLAN分配一个固定的IP地址,比如192.168.99.10。
设置好之后,记得要配置一个默认网关,地址就填你网络中路由器的内网IP,这样,你就能从办公室的电脑上,直接ping通或者登录到机房的交换机进行检查和配置,非常方便。
第三步:处理环路,这是稳定性的头号杀手
网络中最常见也最头疼的问题就是网络环路,简单说,就是数据包在网络里不停地转圈,像鬼打墙一样,很快就把网络堵死了,导致全网瘫痪,解决这个问题最有效的工具就是开启“生成树协议”(STP)。
你不需要完全理解这个协议的复杂原理,只需要知道:在所有交换机上,把这个功能全局开启就行了,现在的交换机通常默认就是开启的,它能自动监测网络里有没有环路,如果发现,会自动把形成环路的那个端口给“阻塞”掉,让数据走其他正常的路径,从而保证网络畅通,这是防止人为误接网线或者设备故障导致环路的最重要保障。
第四步:端口安全,管好谁可以接入
不是随便什么人拿根网线插到交换机上就应该能上网的,你需要对端口进行一些控制,对于连接办公室电脑的端口,可以设置一个策略:只允许第一个接入设备的MAC地址(可以理解为设备的身份证号)通过,如果有人拔掉电脑网线,私自接上一个小路由器,交换机检测到MAC地址变了,就会自动把这个端口关掉,并发出警告,这能有效防止私接设备带来的安全风险和环路隐患。
对于连接无线AP或者其它交换机的端口,可以设置为“端口快速”模式,并关闭端口安全功能,因为这些端口本身就需要连接多个设备。
第五步:细节决定成败,一些有用的习惯
配置交换机追求的不是多么高深的技术,而是严谨和规范,核心思路就是:先保证自身安全和可管理性(改密码、设IP),再预防重大故障(开STP防环路),最后做好精细化管理(端口安全、写描述)。 按照这个步骤来,即使你不是网络专家,也能搭建出一个相当稳定和安全的网络基础环境,一次认真的配置,胜过无数次的紧急抢修。
