目  录

1 小型园区典型组网Web配置

1.1 组网需求

1.2 配置思路与数据规划

1.3 配置准备

1.4 配置步骤

1.5 验证配置

1  小型园区典型组网Web配置

1.1  组网需求

如图1所示，在小型园区中，通常采用接入及核心两层网络结构，出口路由器一般选用MSR系列路由器。

·     各交换机开启STP功能防止环路。

·     接入交换机与核心交换机通过链路聚合组网保证可靠性。

·     园区网中不同的业务部门划分到不同的VLAN中，部门间的业务在核心交换机上通过VLAN接口进行三层互通。

·     核心交换机作为DHCP服务器，为园区网用户动态分配IP地址。

·     接入交换机上开启DHCP Snooping功能，防止内网用户私接小路由器分配IP地址；同时配置IP source guard功能，防止内网用户私自更改IP地址。

图1 小型园区典型组网图

1.2  配置思路与数据规划

配置思路如下，具体数据规划请参见表1。

(1)     通过Web登录设备

(2)     配置接口和VLAN

(3)     配置核心交换机DHCP服务器功能

(4)     配置核心交换机路由

(5)     配置出口路由器

(6)     配置接入交换机的DHCP Snooping功能

(7)     配置接入交换机IP source Guard功能

表1 配置数据表

1.3  配置准备

登录设备的Web管理页面：

·     对于有缺省IP地址的设备，有关如何登录Web页面的具体描述请参见《Web快速配置指南》中的“通过Web登录有缺省IP地址的设备”。

·     对于没有缺省IP地址的设备，有关如何登录Web页面的具体描述请参见《Web快速配置指南》中的“通过Web登录没有缺省IP地址的设备”。

有关设备是否支持web和缺省IP地址的详细介绍，请参见《Web快速配置指南》中的“适用产品型号”。

1.4  配置步骤

1. 配置接入交换机

(1)     配置VLAN

选择页面左侧导航栏的[网络/链路/VLAN]，进入“VLAN”页面，进行如下配置：

¡     点击“”按钮，弹出“创建VLAN”对话框。

¡     配置VLAN列表为“10”。

¡     单击<确定>按钮，完成VLAN的创建。

图2 创建VLAN

¡     点击VLAN 10右侧的“”按钮，进入“修改VLAN”页面。

¡     将端口“GE1/0/1”、“GE1/0/2”和“GE1/0/3”加入VLAN 10的Untagged端口列表。

¡     单击<确定>按钮，提示设置成功，完成VLAN 10的配置。

图3 配置VLAN 10

(2)     配置上行链路聚合

选择页面左侧导航栏的[网络/接口/链路聚合]，进入“链路聚合”页面，进行如下配置：

¡     单击“”按钮，添加聚合组。

¡     在聚合类型下拉菜单中选择“二层聚合”。

¡     聚合组编号为“1”。

¡     在聚合模式下拉菜单中选择“动态聚合”。

¡     在成员端口下拉菜单中选择“XGE1/0/7和XGE1/0/8”。

¡     单击<确定>按钮，提示设置成功，完成二层动态聚合组的创建。

图4 配置二层链路聚合

(3)     配置二层静态聚合接口的VLAN属性

选择页面左侧导航栏的[网络/接口/接口]，进入“接口”页面，进行如下配置：

¡     单击“”按钮，修改二层聚合接口1的接口设置。

¡     在链路类型下拉菜单中选择“Trunk”。

¡     配置Permit VLAN列表为“10”

¡     单击<确定>按钮，提示设置成功，完成二层聚合接口1的VLAN属性配置。

图5 配置二层聚合接口的VLAN属性

(4)     生成树端口设置

选择页面左侧导航栏的[网络/链路/STP]，进入“STP”页面，进行如下配置：

¡     点击“端口设置”右侧的“”按钮，修改生成树端口设置。

¡     在端口“GE1/0/1”、“GE1/0/2”和“GE1/0/3”处勾选“边缘端口”。

¡     单击<确定>按钮，提示设置成功，完成生成树端口设置。

图6 生成树端口设置

(5)     配置BPDU保护功能

选择页面左侧导航栏的[网络/链路/STP]，进入“STP”页面，进行如下配置：

¡     点击“高级设置”右侧的“”按钮，修改生成树高级设置。

¡     将“BPDU保护”右侧的按钮设置为ON，提示设置成功，开启BPDU保护功能。

图7 开启BPDU保护功能

(6)     配置DHCP snooping

选择页面左侧导航栏的[网络/链路/DHCP Snooping]，进入“DHCP Snooping”页面，进行如下配置：

¡     点击“开启DHCP Snooping”按钮，开启DHCP Snooping功能。

图8 开启DHCP snooping

¡     在端口“BAGG1”处勾选“信任端口”。

¡     在端口“GE1/0/1”和“GE1/0/2”处勾选“表项记录功能”。

¡     单击<确定>按钮，提示设置成功，完成DHCP snooping的设置。

图9 配置DHCP snooping

(7)     配置IP Source Guard IPv4接口绑定功能

选择页面左侧导航栏的[安全/包过滤/IP Source Guard]，进入“IP Source Guard”页面，进行如下配置：

¡     在“IP Source Guard”页面右上角点击源检查，进入接口绑定配置页面。

¡     在GE1/0/1和GE1/0/2处勾选“IP地址”和“MAC地址”。

¡     单击<确定>按钮，提示设置成功，完成接口绑定功能的设置。

图10 配置IP Source Guard IPv4接口绑定功能

(8)     保存配置

点击页面左上方标识和辅助区内的“”按钮保存配置。

2. 配置核心交换机

(1)     配置VLAN

选择页面左侧导航栏的[网络/链路/VLAN]，进入“VLAN”页面，进行如下配置：

¡     点击“”按钮，进入“创建VLAN”对话框。

¡     配置VLAN列表为“10,20,100”。

¡     单击<确定>按钮，完成VLAN的创建。

图11 创建VLAN

¡     在“VLAN”页面点击VLAN 10右侧的“”按钮，进入“修改VLAN”页面。

¡     在“VLAN接口IP地址”处勾选“创建VLAN接口”，并设置接口的IP地址为“10.10.10.1”，掩码长度为“24”。

¡     单击<确定>按钮，提示设置成功，完成VLAN 10的配置。

图12 配置VLAN

¡     在“VLAN”页面，点击VLAN 20右侧的“”按钮，进入“修改VLAN”页面。

¡     在“VLAN接口IP地址”处勾选“创建VLAN接口”，并设置接口的IP地址为“10.10.20.1”，掩码长度为“24”。

¡     单击<确定>按钮，提示设置成功，完成VLAN 20的配置。

¡     在“VLAN”页面，点击VLAN 100右侧的“”按钮，进入“修改VLAN”页面。

¡     在“VLAN接口IP地址”处勾选“创建VLAN接口”，并设置接口的IP地址为“10.10.100.1”，掩码长度为“24”。

¡     将端口GE1/0/1加入VLAN 100的Untagged端口列表。

¡     单击<确定>按钮，提示设置成功，完成VLAN 100的配置。

(2)     配置下行链路聚合

选择页面左侧导航栏的[网络/接口/链路聚合]，进入“链路聚合”页面，进行如下配置：

¡     单击“”按钮，添加聚合组。

¡     在聚合类型下拉菜单中选择“二层聚合”。

¡     聚合组编号为“1”。

¡     在聚合模式下拉菜单中选择“动态聚合”。

¡     在成员端口下拉菜单中选择“XGE1/0/7和XGE1/0/8”。

¡     单击<确定>按钮，提示设置成功，完成二层动态聚合组的创建。

图13 配置二层链路聚合

(3)     配置二层静态聚合接口的VLAN属性

选择页面左侧导航栏的[网络/接口/接口]，进入“接口”页面，进行如下配置：

¡     单击“”按钮，修改二层聚合接口1的接口设置。

¡     在链路类型下拉菜单中选择“Trunk”。

¡     配置Permit VLAN列表为“10”

¡     单击<确定>按钮，提示设置成功，完成二层聚合接口1的VLAN属性配置。

图14 配置二层聚合接口的VLAN属性

(4)     配置DHCP服务器

选择页面左侧导航栏的[网络/服务/DHCP]，进入“DHCP”页面，进行如下配置：

¡     点击“启用DHCP”按钮，开启DHCP服务，并进入DHCP配置页面。

¡     点击页面右上角的“地址池”按钮，进入DHCP地址池配置页面。

¡     点击“添加地址池”按钮，添加地址池“1”。

¡     在地址池1的“地址分配”页面，进行如下配置：

-     输入动态分配的地址段地址“10.10.10.0”，掩码“255.255.255.0”。

-     在静态绑定的地址列表处，输入为打印机配置固定的IP地址“10.10.10.254”，掩码“24”，硬件地址“aabb-cccc-dd”，点击右侧的“”按钮，完成静态绑定的地址列表的添加。

图15 地址池1的地址分配配置页面

¡     在地址池1的“地址池选项”页面，进行如下配置：

-     配置租约有效期限为“30”天。

-     配置网关为“10.10.10.1”，点击右侧的“”按钮，完成添加。

-     配置DNS服务器为“202.101.100.199”，点击右侧的“”按钮，完成添加。

¡     单击<确定>按钮，提示设置成功，完成地址池1配置。

图16 地址池1的地址池选项配置页面

¡     在“DHCP”页面，点击“添加地址池”按钮，添加地址池“2”。

¡     在地址池2的“地址分配”页面，输入动态分配的地址段地址“10.10.20.0”，掩码“255.255.255.0”。

图17 地址池2的地址分配配置页面

¡     在地址池2的“地址池选项”页面，进行如下配置：

-     配置租约有效期限为“30”天。

-     配置网关为“10.10.20.1”，点击右侧的“”按钮，完成添加。

-     配置DNS服务器为“202.101.100.199”，点击右侧的“”按钮，完成添加。

¡     单击<确定>按钮，提示设置成功，完成地址池2配置。

图18 地址池2的地址池选项配置页面

在“DHCP”页面，点击页面右上角的“服务”按钮，进入DHCP服务配置页面，缺省情况下，配置VLAN接口10和VLAN接口20均工作在DHCP服务器模式，无需修改。

图19 配置接口工作在DHCP服务器模式

(5)     配置静态路由

选择页面左侧导航栏的[网络/路由/静态路由]，进入“静态路由”页面，进行如下配置：

¡     点击“IPv4静态路由”右侧的“”按钮，进入IPv4静态路由配置页面。

¡     点击页面右上角的“”按钮，进入“添加IPv4静态路由”页面。

¡     配置目的IP地址为“0.0.0.0”、掩码长度为“0”、取消勾选“出接口”、下一跳地址为“10.10.100.2”。该下一跳指向出口路由器，使内网数据可以发到出口路由器。

图20 添加IPv4静态路由

(6)     保存配置

点击页面左上方标识和辅助区内的“”按钮保存配置。

3. 配置出口路由器

(1)     配置公网接口IP地址

选择页面左侧导航栏的[网络设置/外网配置]，进入“外网配置”页面。

¡     在“场景定义”页面，进行如下配置：

-     配置场景为“单WAN场景”，

-     选择WAN出接口为“WAN2（GE1/0/2）”。

-     单击<应用>按钮，提示设置成功，完成场景定义。

图21 场景定义

¡     在“WAN配置”页面，进行如下配置：

-     点击接口WAN2（GE1/0/2）右侧的操作按钮“”，进入修改“WAN配置”页面。

-     选择连接模式为“固定地址”。

-     配置“IP地址”为“202.101.100.2”。

-     配置“子网掩码”为“30”。

-     单击<确定>按钮，提示设置成功，完成场公网接口IP地址的配置。

图22 配置公网接口IP地址

(2)     配置内网接口IP地址

选择页面左侧导航栏的[网络设置/LAN配置]，进入“LAN配置”页面，进行如下配置：

¡     点击“LAN配置”页面右上角的<添加>按钮，进入“添加LAN”页面。

¡     选择“LAN接口类型”为“GE接口”。

¡     选择GE接口为“GE1/0/1”。

¡     配置“接口IP地址”为“10.10.100.2”。

¡     配置“子网掩码”为“24”。

¡     单击<确定>按钮，提示设置成功，完成场内网接口IP地址的配置。

图23 配置内网接口IP地址

(3)     配置允许上网的ACL

选择页面左侧导航栏的[网络安全/防火墙]，进入“防火墙”页面，进行如下配置：

¡     单击<添加>按钮，进入“创建安全规则”页面。

¡     选择“接口”为“GE1/0/1”。

¡     选择“协议”为“所有协议”。

¡     配置“源IP地址/掩码”为“10.10.10.0/255.255.255.0”。

¡     单击<确定>按钮，提示设置成功，完成第一条安全规则的配置。

图24 配置安全规则

¡     在“防火墙”页面单击<添加>按钮，进入“创建安全规则”页面。

¡     选择“接口”为“GE1/0/1”。

¡     选择“协议”为“所有协议”。

¡     配置“源IP地址/掩码”为“10.10.20.0/255.255.255.0”。

¡     单击<确定>按钮，提示设置成功，完成第二条安全规则的配置。

¡     在“防火墙”页面单击<添加>按钮，进入“创建安全规则”页面。

¡     选择“接口”为“GE1/0/1”。

¡     选择“协议”为“所有协议”。

¡     配置“源IP地址/掩码”为“10.10.100.0/255.255.255.0”。

¡     单击<确定>按钮，提示设置成功，完成第三条安全规则的配置。

¡     在“防火墙”页面单击<添加>按钮，进入“创建安全规则”页面。

¡     选择“接口”为“GE1/0/1”。

¡     选择“协议”为“所有协议”。

¡     配置“源IP地址/掩码”为“0.0.0.0/0.0.0.0”。

¡     配置“动作”为“拒绝”。

¡     单击<确定>按钮，提示设置成功，完成第四条安全规则的配置。该规则用于拒绝其他源地址的流量访问外网。

配置完成后，在“防火墙”页面，选择接口“GE1/0/1”，查看为该接口配置的所有规则。

图25 查看所有规则

(4)     配置到内网和公网的路由

选择页面左侧导航栏的[高级选项/静态路由]，进入“静态路由”页面，进行如下配置：

¡     点击“静态路由”页面右上角的<添加>按钮，进入“添加IPv4静态路由”页面。

¡     配置“目的IP地址”为“10.10.10.0”

¡     配置“掩码长度”为“24”。

¡     取消勾选“出接口”。

¡     配置“下一跳IP地址”为“10.10.100.1”。

¡     单击<确定>按钮，提示设置成功，完成第一条静态路由的配置。

图26 添加IPv4静态路由

¡     在“静态路由”页面，点击右上角的<添加>按钮，进入“添加IPv4静态路由”页面。

¡     配置“目的IP地址”为“10.10.20.0”

¡     配置“掩码长度”为“24”。

¡     取消勾选“出接口”。

¡     配置“下一跳IP地址”为“10.10.100.1”。

¡     单击<确定>按钮，提示设置成功，完成第二条静态路由的配置。

¡     在“静态路由”页面，点击右上角的<添加>按钮，进入“添加IPv4静态路由”页面。

¡     配置“目的IP地址”为“0.0.0.0”

¡     配置“掩码长度”为“0”。

¡     取消勾选“出接口”。

¡     配置“下一跳IP地址”为“202.101.100.1”。

¡     单击<确定>按钮，提示设置成功，完成第三条静态路由的配置。

(5)     保存配置

选择页面左侧导航栏的[系统工具/配置管理]，进入“配置管理”页面，进行如下配置：

¡     点击“备份恢复配置”，进入“备份恢复配置”页面。

¡     点击<保存当前配置>按钮，在弹出的对话框中选择“保存到下次启动配置文件”或“保存到指定配置文件”。点击<确定>按钮，提示设置成功，完成当前配置的保存。

图27 备份恢复配置

图28 保存当前配置

1.5  验证配置

完成上述配置后，可以通过如下步骤验证配置是否成功：

(1)     同一个部门内部两台PC间可以ping通。

# 以VLAN 10所在的业务部门为例，PC1和PC2是通过ACCSW1实现二层互通的。假设PC2通过DHCP自动获取的IP为10.10.10.20，如果PC1和PC2之间能ping通，则说明二层互通正常。

<PC1> ping 10.10.10.20

Ping 10.10.10.20 (10.10.10.20): 56 data bytes, press CTRL+C to break

56 bytes from 10.10.10.20: icmp_seq=0 ttl=255 time=1.015 ms

56 bytes from 10.10.10.20: icmp_seq=1 ttl=255 time=2.338 ms

56 bytes from 10.10.10.20: icmp_seq=2 ttl=255 time=1.951 ms

56 bytes from 10.10.10.20: icmp_seq=3 ttl=255 time=1.719 ms

56 bytes from 10.10.10.20: icmp_seq=4 ttl=255 time=1.629 ms

--- Ping statistics for 10.10.10.20 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 1.015/1.730/2.338/0.434 ms

(2)     两个不同部门内的PC可以ping通。

# 部门间的通信是通过CORESW1上的VLAN接口实现的。假设PC3通过DHCP自动获取的IP为10.10.20.10，如果PC1和PC3之间互ping测试正常，则说明两个部门之间通过VLAN接口实现三层互通正常。

<PC1> ping 10.10.20.10

Ping 10.10.20.10 (10.10.20.10): 56 data bytes, press CTRL+C to break

56 bytes from 10.10.20.10: icmp_seq=0 ttl=254 time=2.709 ms

56 bytes from 10.10.20.10: icmp_seq=1 ttl=254 time=0.877 ms

56 bytes from 10.10.20.10: icmp_seq=2 ttl=254 time=0.850 ms

56 bytes from 10.10.20.10: icmp_seq=3 ttl=254 time=0.805 ms

56 bytes from 10.10.20.10: icmp_seq=4 ttl=254 time=0.814 ms

--- Ping statistics for 10.10.20.10 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 0.805/1.211/2.709/0.749 ms

(3)     每个部门各选一台PC可以ping通外网。

# 以VLAN 10所在的业务部门为例，通过在PC1上ping公网网关地址（即与出口路由器对接的运营商设备的IP地址）来验证是否可以访问外网，如果ping测试正常，则说明内网用户访问外网正常。测试方法与步骤1类似。