交换机配置前的规划

交换机配置前的规划，​搭建网络时，通常情况下都是先在网络中心统一配置好交换机，然后再分发到各楼宇的机柜中安装。因此，在动手配置交换机前，必须做好统筹和规划工作，避免可能产生的IP地址、名称等各种冲突和混乱。所有规划都必须制作成电子文档，以备配置时参考和日后备查。

1. IP地址规划

IP地址的规划包括以下几个方面的内容。

● 选择网络内使用的IP地址范围。如果合法IP地址数量较少，建议采用192.168.0.0～192.168.255.255或10.0.0.0～10.255.255.255段的私有IP地址。

● 为每个VLAN指定不同的IP地址范围，并确定其子网掩码和默认网关，便于为该VLAN的计算机分配IP地址信息。

● 为每台交换机指定管理使用的IP地址信息，便于实现对该交换机的远程管理。交换机管理IP地址建议也采用内部保留IP地址，如172.16.0.0～172.16.255.255。

2. 名称规划

名称规划包括以下几个方面的内容。

● 每个端口所连接计算机或用户的名称，用于确认该交换机所连接的计算机或用户，便于日后实现对该端口的远程管理。端口注释中建议包含端口所连接的用户信息、计算机信息或信息模块编号等信息，便于日后对端口的管理。

● 每台交换机的名称，用于确认该交换机所处的位置，便于与其他交换机区分，并对该交换机实现远程管理。交换机名称中建议包含交换机的型号信息、位置信息或用途信息，便于对交换机的识别与管理。

● 每个VLAN的名称，用于确认该VLAN的性质，便于与其他VLAN区分，并实现对该VLAN的管理。VLAN名称中建议包含部门或分组信息，便于VLAN的识别与管理。

3. 安全规划

安全规划包括以下几个方面的内容。

● VLAN的划分，即将哪些部门或组织单位划分至同一VLAN，每个VLANTrunk允许哪些VLAN通过和访问，以及在哪些交换机上设置哪些VLAN。

● PVLAN，确定将哪些端口设置为PVLAN端口，用于禁止端口之间的相互通信，并借助访问列表实现三层访问控制，从而确保该端口所连接计算机的安全。

● 安全访问列表，确定在哪些交换机上使用哪些访问列表，用于禁止在某个时间段访问网络、禁止访问某些TCP或UDP端口、禁止使用某些IP协议、限制某些IP地址范围内计算机的网络访问权限等。

● 安全端口，确定将哪些交换机上的哪些端口设置为安全端口，用于限制连接某个端口的MAC地址，以避免非授权计算机访问网络;或者限制某个端口所允许的MAC地址数量，以禁止用户私自级联集线设备接入计算机。

● IEEE 802.1x认证，确定是否采用身份认证的方式实现网络访问安全，以及安全认证服务器如何搭建与配置。

● 传输控制，在哪些端口启用基于端口的传输控制，以保证网络的正常运行，避免可能产生的网络拥塞。

4. 堆叠规划

堆叠规划包括以下几个方面的内容。

● 哪些交换机以堆叠方式实现相互连接，是否拥有必要的堆叠模块。相互通信频繁的大型办公网络可以采用堆叠方式，否则，进行堆叠意义不大。

● 采用何种方式实现堆叠连接。冗余连接方式还是非冗余连接方式，全带宽模式还是半带宽模式。如果条件允许，尽量采用全双工、冗余方式进行堆叠，以提高彼此之间的传输带宽，并提供高可用性。

● 对堆叠如何管理。采用单一IP地址管理，还是分别管理。5. 功能规划功能规划主要包括以下几个方面的内容。

● EtherChannel，确定是否采用EtherChannel来增加网络带宽、提供链接冗余和负载均衡，在哪些网络设备的哪些端口之间的连接上采用EtherChannel。

● PortFast，确定是否采用PortFast减少计算机连接网络的时间，避免长时间的等待。

● QoS，确定是否采用QoS，以保证视频会议等即时信息的无阻塞传输。

● 多播，确定是否采用多播，以减少网络流量，节约网络带宽。规划并分配多播的IP地址。