33-小型园区典型组网Web配置
本章节下载 (1.41 MB)
如图1所示,在小型园区中,通常采用接入及核心两层网络结构,出口路由器一般选用MSR系列路由器。
· 各交换机开启STP功能防止环路。
· 接入交换机与核心交换机通过链路聚合组网保证可靠性。
· 园区网中不同的业务部门划分到不同的VLAN中,部门间的业务在核心交换机上通过VLAN接口进行三层互通。
· 核心交换机作为DHCP服务器,为园区网用户动态分配IP地址。
· 接入交换机上开启DHCP Snooping功能,防止内网用户私接小路由器分配IP地址;同时配置IP source guard功能,防止内网用户私自更改IP地址。
配置思路如下,具体数据规划请参见表1。
(1) 通过Web登录设备
(2) 配置接口和VLAN
(3) 配置核心交换机DHCP服务器功能
(4) 配置核心交换机路由
(5) 配置出口路由器
(6) 配置接入交换机的DHCP Snooping功能
(7) 配置接入交换机IP source Guard功能
配置步骤 |
配置项 |
配置数据 |
说明 |
登录设备 |
通过Web登录 |
对于有缺省IP地址的设备,适用缺省信息登录;对于没有缺省IP地址的设备,需通过Console口登录设备,然后设置通过Web登录设备所需的配置 |
PC端通过浏览器登录设备 |
配置接口和VLAN |
动态聚合 |
ACCSW1:上行聚合接口BAGG1 CORESW:下行聚合接口BAGG1 |
接入交换机与核心交换机间通过聚合链路连接 |
端口类型 |
连接PC的端口一般设置为access口;连接交换机的端口建议设置为trunk口。 |
trunk类型端口一般用于连接交换机 access类型端口一般用于连接PC |
|
VLAN ID |
ACCSW1:VLAN 10 ACCSW2:VLAN 20 CORESW:VLAN 100、10、20 |
为实现部门A和部门B二层隔离,将部门A划分到VLAN10中,部门B划分到VLAN20中。 核心交换机通过Vlan-int100连接出口路由器 |
|
核心交换机上配置DHCP服务器功能 |
DHCP Server |
- |
在园区核心交换机上部署DHCP服务器 |
地址池 |
VLAN 10:ip pool 1 VLAN 20:ip pool 2 |
部门A的终端从ip pool 1中获取IP地址 部门B的终端从ip pool 2中获取IP地址 |
|
地址分配方式 |
基于全局地址池 |
无 |
|
配置核心交换机路由 |
IP地址 |
Vlan-int10:10.10.10.1/24 Vlan-int20:10.10.20.1/24 Vlan-int100:10.10.100.1/24 |
Vlan-int100是核心交换机与园区出口路由器对接的IP地址,用于园区内部网络与出口路由器互通 核心交换机上需要配置一条缺省路由下一跳指向出口路由器 在核心交换机上配置Vlan-int10、Vlan-int20的IP地址后,部门A与部门B之间可以通过核心交换机互访 |
配置出口路由器 |
公网接口IP地址 |
GE1/0/2:202.101.100.2/30 |
GE1/0/2为出口路由器连接Internet的接口,一般称为公网接口 |
公网网关 |
202.101.100.1/30 |
该地址是与出口路由器对接的运营商设备的IP地址,出口路由器上需要配置一条缺省路由指向该地址,用于指导内网流量转发至外网 |
|
DNS地址 |
202.101.100.199 |
DNS服务器用于将域名解析成IP地址 |
|
内网接口IP地址 |
GE1/0/1:10.10.100.2/24 |
GE1/0/1为出口路由器连接内网的接口 |
|
接入交换机上配置DHCP Snooping |
信任接口 |
- |
指定二层聚合接口BAGG1为DHCP Snooping功能的信任端口 |
接入交换机上配置IP Source Guard |
IPSG检查 |
- |
配置IPv4接口绑定功能,绑定源IP地址和MAC地址 |
登录设备的Web管理页面:
· 对于有缺省IP地址的设备,有关如何登录Web页面的具体描述请参见《Web快速配置指南》中的“通过Web登录有缺省IP地址的设备”。
· 对于没有缺省IP地址的设备,有关如何登录Web页面的具体描述请参见《Web快速配置指南》中的“通过Web登录没有缺省IP地址的设备”。
有关设备是否支持web和缺省IP地址的详细介绍,请参见《Web快速配置指南》中的“适用产品型号”。
接入交换机Access Switch 1和Access Switch 2的配置基本相同。本小节以配置接入交换机Access Switch 1为例说明配置方法。
(1) 配置VLAN
选择页面左侧导航栏的[网络/链路/VLAN],进入“VLAN”页面,进行如下配置:
¡ 配置VLAN列表为“10”。
¡ 单击<确定>按钮,完成VLAN的创建。
图2 创建VLAN
¡ 点击VLAN 10右侧的“”按钮,进入“修改VLAN”页面。
¡ 将端口“GE1/0/1”、“GE1/0/2”和“GE1/0/3”加入VLAN 10的Untagged端口列表。
¡ 单击<确定>按钮,提示设置成功,完成VLAN 10的配置。
图3 配置VLAN 10
(2) 配置上行链路聚合
选择页面左侧导航栏的[网络/接口/链路聚合],进入“链路聚合”页面,进行如下配置:
¡ 在聚合类型下拉菜单中选择“二层聚合”。
¡ 聚合组编号为“1”。
¡ 在聚合模式下拉菜单中选择“动态聚合”。
¡ 在成员端口下拉菜单中选择“XGE1/0/7和XGE1/0/8”。
¡ 单击<确定>按钮,提示设置成功,完成二层动态聚合组的创建。
图4 配置二层链路聚合
(3) 配置二层静态聚合接口的VLAN属性
选择页面左侧导航栏的[网络/接口/接口],进入“接口”页面,进行如下配置:
¡ 在链路类型下拉菜单中选择“Trunk”。
¡ 配置Permit VLAN列表为“10”
¡ 单击<确定>按钮,提示设置成功,完成二层聚合接口1的VLAN属性配置。
图5 配置二层聚合接口的VLAN属性
(4) 生成树端口设置
选择页面左侧导航栏的[网络/链路/STP],进入“STP”页面,进行如下配置:
¡ 在端口“GE1/0/1”、“GE1/0/2”和“GE1/0/3”处勾选“边缘端口”。
¡ 单击<确定>按钮,提示设置成功,完成生成树端口设置。
图6 生成树端口设置
(5) 配置BPDU保护功能
选择页面左侧导航栏的[网络/链路/STP],进入“STP”页面,进行如下配置:
¡ 将“BPDU保护”右侧的按钮设置为ON,提示设置成功,开启BPDU保护功能。
图7 开启BPDU保护功能
(6) 配置DHCP snooping
选择页面左侧导航栏的[网络/链路/DHCP Snooping],进入“DHCP Snooping”页面,进行如下配置:
¡ 点击“开启DHCP Snooping”按钮,开启DHCP Snooping功能。
图8 开启DHCP snooping
¡ 在端口“BAGG1”处勾选“信任端口”。
¡ 在端口“GE1/0/1”和“GE1/0/2”处勾选“表项记录功能”。
¡ 单击<确定>按钮,提示设置成功,完成DHCP snooping的设置。
图9 配置DHCP snooping
(7) 配置IP Source Guard IPv4接口绑定功能
选择页面左侧导航栏的[安全/包过滤/IP Source Guard],进入“IP Source Guard”页面,进行如下配置:
¡ 在“IP Source Guard”页面右上角点击源检查,进入接口绑定配置页面。
¡ 在GE1/0/1和GE1/0/2处勾选“IP地址”和“MAC地址”。
¡ 单击<确定>按钮,提示设置成功,完成接口绑定功能的设置。
图10 配置IP Source Guard IPv4接口绑定功能
(8) 保存配置
(1) 配置VLAN
选择页面左侧导航栏的[网络/链路/VLAN],进入“VLAN”页面,进行如下配置:
¡ 配置VLAN列表为“10,20,100”。
¡ 单击<确定>按钮,完成VLAN的创建。
图11 创建VLAN
¡ 在“VLAN”页面点击VLAN 10右侧的“”按钮,进入“修改VLAN”页面。
¡ 在“VLAN接口IP地址”处勾选“创建VLAN接口”,并设置接口的IP地址为“10.10.10.1”,掩码长度为“24”。
¡ 单击<确定>按钮,提示设置成功,完成VLAN 10的配置。
图12 配置VLAN
¡ 在“VLAN”页面,点击VLAN 20右侧的“”按钮,进入“修改VLAN”页面。
¡ 在“VLAN接口IP地址”处勾选“创建VLAN接口”,并设置接口的IP地址为“10.10.20.1”,掩码长度为“24”。
¡ 单击<确定>按钮,提示设置成功,完成VLAN 20的配置。
¡ 在“VLAN”页面,点击VLAN 100右侧的“”按钮,进入“修改VLAN”页面。
¡ 在“VLAN接口IP地址”处勾选“创建VLAN接口”,并设置接口的IP地址为“10.10.100.1”,掩码长度为“24”。
¡ 将端口GE1/0/1加入VLAN 100的Untagged端口列表。
¡ 单击<确定>按钮,提示设置成功,完成VLAN 100的配置。
(2) 配置下行链路聚合
选择页面左侧导航栏的[网络/接口/链路聚合],进入“链路聚合”页面,进行如下配置:
¡ 在聚合类型下拉菜单中选择“二层聚合”。
¡ 聚合组编号为“1”。
¡ 在聚合模式下拉菜单中选择“动态聚合”。
¡ 在成员端口下拉菜单中选择“XGE1/0/7和XGE1/0/8”。
¡ 单击<确定>按钮,提示设置成功,完成二层动态聚合组的创建。
图13 配置二层链路聚合
(3) 配置二层静态聚合接口的VLAN属性
选择页面左侧导航栏的[网络/接口/接口],进入“接口”页面,进行如下配置:
¡ 在链路类型下拉菜单中选择“Trunk”。
¡ 配置Permit VLAN列表为“10”
¡ 单击<确定>按钮,提示设置成功,完成二层聚合接口1的VLAN属性配置。
图14 配置二层聚合接口的VLAN属性
(4) 配置DHCP服务器
选择页面左侧导航栏的[网络/服务/DHCP],进入“DHCP”页面,进行如下配置:
¡ 点击“启用DHCP”按钮,开启DHCP服务,并进入DHCP配置页面。
¡ 点击页面右上角的“地址池”按钮,进入DHCP地址池配置页面。
¡ 点击“添加地址池”按钮,添加地址池“1”。
¡ 在地址池1的“地址分配”页面,进行如下配置:
- 输入动态分配的地址段地址“10.10.10.0”,掩码“255.255.255.0”。
- 在静态绑定的地址列表处,输入为打印机配置固定的IP地址“10.10.10.254”,掩码“24”,硬件地址“aabb-cccc-dd”,点击右侧的“”按钮,完成静态绑定的地址列表的添加。
图15 地址池1的地址分配配置页面
¡ 在地址池1的“地址池选项”页面,进行如下配置:
- 配置租约有效期限为“30”天。
- 配置网关为“10.10.10.1”,点击右侧的“”按钮,完成添加。
- 配置DNS服务器为“202.101.100.199”,点击右侧的“”按钮,完成添加。
¡ 单击<确定>按钮,提示设置成功,完成地址池1配置。
图16 地址池1的地址池选项配置页面
¡ 在“DHCP”页面,点击“添加地址池”按钮,添加地址池“2”。
¡ 在地址池2的“地址分配”页面,输入动态分配的地址段地址“10.10.20.0”,掩码“255.255.255.0”。
图17 地址池2的地址分配配置页面
¡ 在地址池2的“地址池选项”页面,进行如下配置:
- 配置租约有效期限为“30”天。
- 配置网关为“10.10.20.1”,点击右侧的“”按钮,完成添加。
- 配置DNS服务器为“202.101.100.199”,点击右侧的“”按钮,完成添加。
¡ 单击<确定>按钮,提示设置成功,完成地址池2配置。
图18 地址池2的地址池选项配置页面
在“DHCP”页面,点击页面右上角的“服务”按钮,进入DHCP服务配置页面,缺省情况下,配置VLAN接口10和VLAN接口20均工作在DHCP服务器模式,无需修改。
图19 配置接口工作在DHCP服务器模式
(5) 配置静态路由
选择页面左侧导航栏的[网络/路由/静态路由],进入“静态路由”页面,进行如下配置:
¡ 点击“IPv4静态路由”右侧的“”按钮,进入IPv4静态路由配置页面。
¡ 点击页面右上角的“”按钮,进入“添加IPv4静态路由”页面。
¡ 配置目的IP地址为“0.0.0.0”、掩码长度为“0”、取消勾选“出接口”、下一跳地址为“10.10.100.2”。该下一跳指向出口路由器,使内网数据可以发到出口路由器。
图20 添加IPv4静态路由
(6) 保存配置
(1) 配置公网接口IP地址
选择页面左侧导航栏的[网络设置/外网配置],进入“外网配置”页面。
¡ 在“场景定义”页面,进行如下配置:
- 配置场景为“单WAN场景”,
- 选择WAN出接口为“WAN2(GE1/0/2)”。
- 单击<应用>按钮,提示设置成功,完成场景定义。
图21 场景定义
¡ 在“WAN配置”页面,进行如下配置:
- 点击接口WAN2(GE1/0/2)右侧的操作按钮“”,进入修改“WAN配置”页面。
- 选择连接模式为“固定地址”。
- 配置“IP地址”为“202.101.100.2”。
- 配置“子网掩码”为“30”。
- 单击<确定>按钮,提示设置成功,完成场公网接口IP地址的配置。
图22 配置公网接口IP地址
(2) 配置内网接口IP地址
选择页面左侧导航栏的[网络设置/LAN配置],进入“LAN配置”页面,进行如下配置:
¡ 点击“LAN配置”页面右上角的<添加>按钮,进入“添加LAN”页面。
¡ 选择“LAN接口类型”为“GE接口”。
¡ 选择GE接口为“GE1/0/1”。
¡ 配置“接口IP地址”为“10.10.100.2”。
¡ 配置“子网掩码”为“24”。
¡ 单击<确定>按钮,提示设置成功,完成场内网接口IP地址的配置。
图23 配置内网接口IP地址
(3) 配置允许上网的ACL
选择页面左侧导航栏的[网络安全/防火墙],进入“防火墙”页面,进行如下配置:
¡ 单击<添加>按钮,进入“创建安全规则”页面。
¡ 选择“接口”为“GE1/0/1”。
¡ 选择“协议”为“所有协议”。
¡ 配置“源IP地址/掩码”为“10.10.10.0/255.255.255.0”。
¡ 单击<确定>按钮,提示设置成功,完成第一条安全规则的配置。
图24 配置安全规则
¡ 在“防火墙”页面单击<添加>按钮,进入“创建安全规则”页面。
¡ 选择“接口”为“GE1/0/1”。
¡ 选择“协议”为“所有协议”。
¡ 配置“源IP地址/掩码”为“10.10.20.0/255.255.255.0”。
¡ 单击<确定>按钮,提示设置成功,完成第二条安全规则的配置。
¡ 在“防火墙”页面单击<添加>按钮,进入“创建安全规则”页面。
¡ 选择“接口”为“GE1/0/1”。
¡ 选择“协议”为“所有协议”。
¡ 配置“源IP地址/掩码”为“10.10.100.0/255.255.255.0”。
¡ 单击<确定>按钮,提示设置成功,完成第三条安全规则的配置。
¡ 在“防火墙”页面单击<添加>按钮,进入“创建安全规则”页面。
¡ 选择“接口”为“GE1/0/1”。
¡ 选择“协议”为“所有协议”。
¡ 配置“源IP地址/掩码”为“0.0.0.0/0.0.0.0”。
¡ 配置“动作”为“拒绝”。
¡ 单击<确定>按钮,提示设置成功,完成第四条安全规则的配置。该规则用于拒绝其他源地址的流量访问外网。
配置完成后,在“防火墙”页面,选择接口“GE1/0/1”,查看为该接口配置的所有规则。
图25 查看所有规则
(4) 配置到内网和公网的路由
选择页面左侧导航栏的[高级选项/静态路由],进入“静态路由”页面,进行如下配置:
¡ 点击“静态路由”页面右上角的<添加>按钮,进入“添加IPv4静态路由”页面。
¡ 配置“目的IP地址”为“10.10.10.0”
¡ 配置“掩码长度”为“24”。
¡ 取消勾选“出接口”。
¡ 配置“下一跳IP地址”为“10.10.100.1”。
¡ 单击<确定>按钮,提示设置成功,完成第一条静态路由的配置。
图26 添加IPv4静态路由
¡ 在“静态路由”页面,点击右上角的<添加>按钮,进入“添加IPv4静态路由”页面。
¡ 配置“目的IP地址”为“10.10.20.0”
¡ 配置“掩码长度”为“24”。
¡ 取消勾选“出接口”。
¡ 配置“下一跳IP地址”为“10.10.100.1”。
¡ 单击<确定>按钮,提示设置成功,完成第二条静态路由的配置。
¡ 在“静态路由”页面,点击右上角的<添加>按钮,进入“添加IPv4静态路由”页面。
¡ 配置“目的IP地址”为“0.0.0.0”
¡ 配置“掩码长度”为“0”。
¡ 取消勾选“出接口”。
¡ 配置“下一跳IP地址”为“202.101.100.1”。
¡ 单击<确定>按钮,提示设置成功,完成第三条静态路由的配置。
(5) 保存配置
选择页面左侧导航栏的[系统工具/配置管理],进入“配置管理”页面,进行如下配置:
¡ 点击“备份恢复配置”,进入“备份恢复配置”页面。
¡ 点击<保存当前配置>按钮,在弹出的对话框中选择“保存到下次启动配置文件”或“保存到指定配置文件”。点击<确定>按钮,提示设置成功,完成当前配置的保存。
图27 备份恢复配置
图28 保存当前配置
完成上述配置后,可以通过如下步骤验证配置是否成功:
(1) 同一个部门内部两台PC间可以ping通。
# 以VLAN 10所在的业务部门为例,PC1和PC2是通过ACCSW1实现二层互通的。假设PC2通过DHCP自动获取的IP为10.10.10.20,如果PC1和PC2之间能ping通,则说明二层互通正常。
<PC1> ping 10.10.10.20
Ping 10.10.10.20 (10.10.10.20): 56 data bytes, press CTRL+C to break
56 bytes from 10.10.10.20: icmp_seq=0 ttl=255 time=1.015 ms
56 bytes from 10.10.10.20: icmp_seq=1 ttl=255 time=2.338 ms
56 bytes from 10.10.10.20: icmp_seq=2 ttl=255 time=1.951 ms
56 bytes from 10.10.10.20: icmp_seq=3 ttl=255 time=1.719 ms
56 bytes from 10.10.10.20: icmp_seq=4 ttl=255 time=1.629 ms
--- Ping statistics for 10.10.10.20 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.015/1.730/2.338/0.434 ms
(2) 两个不同部门内的PC可以ping通。
# 部门间的通信是通过CORESW1上的VLAN接口实现的。假设PC3通过DHCP自动获取的IP为10.10.20.10,如果PC1和PC3之间互ping测试正常,则说明两个部门之间通过VLAN接口实现三层互通正常。
<PC1> ping 10.10.20.10
Ping 10.10.20.10 (10.10.20.10): 56 data bytes, press CTRL+C to break
56 bytes from 10.10.20.10: icmp_seq=0 ttl=254 time=2.709 ms
56 bytes from 10.10.20.10: icmp_seq=1 ttl=254 time=0.877 ms
56 bytes from 10.10.20.10: icmp_seq=2 ttl=254 time=0.850 ms
56 bytes from 10.10.20.10: icmp_seq=3 ttl=254 time=0.805 ms
56 bytes from 10.10.20.10: icmp_seq=4 ttl=254 time=0.814 ms
--- Ping statistics for 10.10.20.10 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.805/1.211/2.709/0.749 ms
(3) 每个部门各选一台PC可以ping通外网。
# 以VLAN 10所在的业务部门为例,通过在PC1上ping公网网关地址(即与出口路由器对接的运营商设备的IP地址)来验证是否可以访问外网,如果ping测试正常,则说明内网用户访问外网正常。测试方法与步骤1类似。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!