小型园区配置示例
组网图形
组网需求
某企业划分为A、B两个部门,企业中的用户可以相互访问,并且企业中的用户可访问Internet。
如图1所示,在小型园区中,S2700通常作为接入交换机ACC1部署在网络的接入层,S6700通常作为核心交换机CORE部署在网络的核心,出口路由器Router一般选用AR系列路由器。
接入交换机与核心交换机通过Eth-Trunk组网保证可靠性。
每个部门业务划分到一个VLAN中,部门间的业务在CORE上通过VLANIF三层互通。
核心交换机作为DHCP Server,为园区用户分配IP地址。
接入交换机上配置DHCP Snooping功能,防止内网用户私接小路由器分配IP地址;同时配置IPSG功能,防止内网用户私自更改IP地址。
数据规划
| 项目 | 准备项 | 数据 | 说明 |
|---|---|---|---|
| 配置管理IP | 管理IP地址 | 10.10.1.1/24 | 管理IP用户登录交换机。 |
| 配置接口和VLAN | Eth-Trunk类型 | 静态LACP | Eth-Trunk链路有手工负载分担和静态LACP两种工作模式。 |
| 端口类型 | 连接交换机的端口建议设置为trunk,连接PC的端口设置为access。 | trunk类型端口一般用于连接交换机。 access类型端口一般用于连接PC。 hybrid类型端口是通用端口,既可以用来连接交换机,也可以用来连接PC。 | |
| VLAN ID | ACC1:VLAN 10 ACC2:VLAN 20 CORE:VLAN 100、10、20 | 交换机有缺省VLAN 1。 为了隔离二层部门A和部门B,将部门A划分到VLAN 10中,部门B划分到VLAN 20中。 CORE通过VLANIF 100连接出口路由器。 | |
| 配置DHCP | DHCP Server | CORE | 在园区核心交换机上部署DHCP Server。 |
| 地址池 | VLAN 10:VLANIF 10 VLAN 20:VLANIF 20 | 部门A的终端从接口地址池VLANIF 10中获取IP地址。 部门B的终端从接口地址池VLANIF 20中获取IP地址。 | |
| 配置核心交换机路由 | IP路由 | VLANIF 100:10.10.100.1/24 VLANIF 10:10.10.10.1/24 VLANIF 20:10.10.20.1/24 | VLANIF 100是CORE与园区出口路由器对接的IP地址,用于园区内部网络与出口路由器互通。 核心交换机上需要配置一条缺省路由下一跳指向出口路由器。 在CORE上配置VLANIF 10、VLANIF 20的IP地址后,部门A与部门B之间可以通过CORE互访。 |
| 配置出口路由器 | 公网接口IP地址 | Ethernet0/0/1:1.1.1.2/30 | Ethernet0/0/1作为出口路由器连接Internet的接口,一般称为公网接口。 |
| 公网网关 | 1.1.1.1/30 | 该地址是与出口路由器对接的运营设备的IP地址,出口路由器上需要配置一条缺省路由指向该地址,用于指导内网流量转发至Internet。 | |
| DNS地址 | 2.2.2.2 | DNS服务器用于将域名解析成IP地址。 | |
| 内网接口IP地址 | Ethernet0/0/2:10.10.100.2/24 | Ethernet0/0/2为出口路由器连接内网的接口。 | |
| 配置DHCP Snooping和IPSG | 信任接口 | Eth-Trunk 1 | 无 |
配置思路
采用如下的思路配置小型园区组网示例:
- 登录设备。
- 配置接入层交换机接口和VLAN。
- 配置核心层交换机接口和VLAN。
- 在核心层交换机上配置DHCP Server。
- 配置核心交换机路由。
- 配置出口路由器。
- 在接入层交换机上配置DHCP Snooping和IPSG。
- 保存配置。
操作步骤
- 登录设备。
处于出厂配置状态的设备支持通过Web网管首次登录设备。本文以交换机CORE为例,说明如何通过Web网管首次登录设备,交换机ACC1和ACC2的登录方式与交换机CORE类似。
没有“MODE”按键的设备和非出厂配置状态的设备,不支持通过Web网管首次登录设备,非首次登录Web网管的方式请参考登录设备Web网管界面。
- 连接设备和PC。
将设备的除管理接口之外的任意以太网口和PC进行连接即可。
- 进入设备的初始设置模式。
长按“MODE”按钮6s或以上,当设备所有的模式灯变为绿色常亮时,设备进入初始设置模式。
进入初始设置模式后,系统默认将设备的IP地址配置为192.168.1.253/24,同时将默认的admin用户级别配置为15级。
- 配置PC的IP地址。
为了保证PC和设备之间路由可达,需要将PC的IP地址配置成与设备默认的IP地址在同一网段。
- 用户通过Web网管登录设备。
在PC上打开浏览器,在地址栏中输入https://192.168.1.253,按回车键后将显示Web网管新建用户界面,如图2所示。在创建新用户后将自动跳转到Web网管登录界面,如图3所示,输入已创建的用户名和密码,并选择Web网管系统的语言。单击“GO”或直接按回车键进入Web网管配置界面。
通过Web网管首次登录设备要求浏览器为Microsoft Edge、IE10.0、IE11.0、Firefox97.0~Firefox101.0或Chrome93.0~Chrome102.0。如果浏览器版本或浏览器补丁版本不在上述范围内,可能会出现Web页面显示异常,请及时更新浏览器和浏览器补丁。
首次登录Web网管,用户必须修改密码,只有这样才能进入Web网管系统主页面。
- 配置设备。 在Web网配置界面的“基础配置”中进行如下配置:
- 设置“管理IP地址”为“10.10.1.1”,“掩码”为“24(255.255.255.0)”。
- 在“旧密码”输入框中输入创建用户的密码。
- 在“修改WEB用户密码”和“确认密码”输入框中输入新密码。
- 在“WEB用户级别”选择框中选择“15”。
由于配置的管理IP地址与192.168.1.253/24不在同一网段。在退出Web网管首次登录界面后,无法通过Web网管登录设备。此时需重新配置PC的IP地址,使得PC和设备之间路由可达。
- 连接设备和PC。
- 配置接入层交换机接口和VLAN(以配置ACC1为例,ACC2的配置方法与ACC1类似)。
- 配置ACC1连接CORE的Eth-Trunk1,透传部门A的VLAN。
- 依次单击“配置 > 基本业务管理 > 接口配置”菜单,单击选择任务中的“连接交换机”。
- 在选中要配置的接口“GigabitEthernet0/0/1”和“GigabitEthernet0/0/2”。
- 在步骤3中勾选“开启链路聚合”,按照下列填写各配置项,如图5所示。
- 接口状态:ON。
- Eth-Trunk:1。
- Eth-Trunk模式:静态LACP。
- 允许VLAN:10。
- 缺省VLAN:1。
- 自动创建VLAN:ON。
- 单击“应用”,在弹出的提示框内单击“确定”,完成配置。
- 配置ACC1连接用户的接口,将用户加入VLAN。
- 依次单击“配置 > 基本业务管理 > 接口配置”菜单,单击选择任务中的“连接PC”。
- 在选中要配置的接口“Ethernet0/0/2”和“Ethernet0/0/3”。
- 在步骤3中按照下列填写各配置项,如图6所示。
- 接口状态:ON。
- 缺省VLAN:10。
- 端口隔离:OFF。
- 端口安全:OFF。
- 线路环回检测:OFF。
- 信任优先级:None。
- 单击“应用”,在弹出的提示框内单击“确定”,完成配置。
- 配置边缘端口和BPDU保护功能。
- 依次单击“配置 > 进阶业务管理 > 生成树协议 > STP概要”菜单,进入“STP概要配置”页面。
- 在“STP全局配置”中开启“BPDU保护功能”,如图7所示,单击“应用”。
- 在“接口状态”中选中需要配置的接口“Ethernet0/0/2”和“Ethernet0/0/3”,单击“边缘口使能”,如图8所示,完成配置。
- 配置ACC1连接CORE的Eth-Trunk1,透传部门A的VLAN。
- 配置核心层交换机接口和VLAN。
- 配置核心层交换机下行接口(以CORE连接ACC1的Eth-Trunk1为例,连接ACC2的配置方法与ACC1类似)。
- 依次单击“配置 > 基本业务管理 > 接口配置 > 业务网口配置”菜单,单击选择任务中的“连接交换机”。
- 在选中要配置的接口“GigabitEthernet0/0/1”和“GigabitEthernet0/0/2”。
- 在步骤3中勾选“开启链路聚合”,按照下列填写各配置项,如图9所示。
- 接口状态:ON。
- Eth-Trunk:1。
- Eth-Trunk模式:静态LACP。
- 允许VLAN:10。
- 缺省VLAN:1。
- 自动创建VLAN:ON。
- 单击“应用”,在弹出的提示框内单击“确定”,完成配置。
- 配置VLANIF接口用于部门A和部门B之间互访。
- 依次单击“配置 > 基本业务管理 > VLAN”菜单,进入配置VLAN页面。
- 单击“VLAN ID”下面对应的VLAN数据“10”,进入“修改VLAN”界面。
- 勾选“创建VLANIF接口”,在“IPv4地址”输入框中输入“10.10.10.1”,在“掩码”输入框中选择“24”。配置VLANIF 20与配置VLANIF 10步骤类似,如图10和图11所示,单击“确定”,完成配置。
- 配置核心层交换机上行接口和VLANIF接口,使园区网络与Internet互通。
- 依次单击“配置 > 基本业务管理 > VLAN”菜单,进入配置VLAN页面。
- 单击“新建”,进入“新建VLAN”页面,按照下列填写各配置项,如图12所示。
- VLAN ID:100。
- 勾选“创建VLANIF接口”。
- IPv4地址:10.10.100.1。
- 掩码:24。
- 添加接口:GigabitEthernet0/0/20。
- 单击“确定”,完成配置。
- 配置核心层交换机下行接口(以CORE连接ACC1的Eth-Trunk1为例,连接ACC2的配置方法与ACC1类似)。
- 在核心层交换机上配置DHCP Server。
在CORE上配置DHCP Server,使部门A(VLAN 10)和部门B(VLAN 20)能获取到正确的IP地址。
- 单击“配置 > 基本业务管理 > DHCP”页签,进入配置DHCP页面,设置“DHCP状态”为“ON”。
- 单击“新建”,进入“新建DHCP地址池”页面。按照下列填写各配置项,如图13所示。单击“确定”,完成部门A用户从接口地址池获取IP地址的配置。
- 地址池类型:接口地址池
- 接口选择:Vlanif10
- 配置部门B的用户获取IP地址与配置部门A的用户获取IP地址的步骤类似,各配置项如图14所示。
- 配置核心交换机路由。
- 单击“配置 > 基本业务管理 > 静态路由 > IPv4静态路由”页签,进入“IPv4静态路由”界面。
- 单击“添加”,按照下列填写各配置项,如图15所示。
- 目的IP地址:0.0.0.0。
- 目的IP掩码:0.0.0.0。
- 下一跳:10.10.100.2。
- 单击,完成配置。
- 配置出口路由器(以V200R009C00版本的AR路由器为例,Web登录方式请参考对应的文档指南)。
在配置出口路由器之前需要准备如下数据:公网IP地址:1.1.1.2/30,公网网关地址:1.1.1.1,DNS地址:2.2.2.2,这些参数在申请宽带的时候由运营商提供,实际网络中请以运营商提供的数据为准。
- 配置出口路由器内网接口和公网接口的IP地址。
- 单击“广域网互联 > 以太接口”页签,进入“以太接口”界面。
- 在“以太接口列表”中,单击接口“Ethernet0/0/1”后的,进入“修改以太接口”界面。
- 按照下列填写各配置项,如图16所示。单击“确定”,完成公网接口IP地址的配置。
- 勾选“IPv4”。
- 接入方式:Static。
- IP地址:1.1.1.2。
- 子网掩码:255.255.255.252。
- 配置内网接口IP地址与配置公网接口IP地址步骤类似,各配置项参数如图17所示。
- 配置允许上网的ACL。
- 依次单击“安全 > ACL > 基本ACL配置”,页签,进入“基本ACL配置”界面。
- 单击“新建”,进入“新建基本ACL配置”界面。
- 按照下列填写各配置项,如图18所示。单击“确定”,完成新建基本ACL的配置。
- ACL名称:acl2000。
- 类型:IPv4。
- 单击“acl2000”后的“添加规则”,按照下列填写各配置项,如图19所示。单击,完成添加规则的配置。
规则编号
动作
源IP/前缀长度(通配符)
5
允许
10.10.10.0/0.0.0.255
10
允许
10.10.20.0/0.0.0.255
15
允许
10.10.100.0/0.0.0.255
- 在连接公网的接口配置NAT转换实现内网用户访问Internet。
- 依次单击“IP业务 > NAT > 外网访问”页签,进入“外网访问”界面。
- 单击“新建”,进入“新建外网访问”界面。
- 按照下列填写各配置项,如图20所示。单击“确定”,完成配置。
- 接口名称:Ethernet0/0/1。
- 转换方式:Easy IP。
- ACL名称:acl2000。
- 配置到内网的明细路由和到公网的静态缺省路由。
- 依次单击“IP业务 > 路由 > 静态路由配置”页签,进入“静态路由配置”界面。
- 在“IPv4 静态路由配置表”中,单击“新建”,进入“新建IPv4静态路由业务”。
- 按照下列填写各配置项,如图21所示。单击“确定”,完成配置。
目的IP地址
子网掩码
下一跳
10.10.10.0
255.255.255.0
10.10.100.1
10.10.20.0
255.255.255.0
10.10.100.1
0.0.0.0
0.0.0.0
1.1.1.1
- 配置DNS地址解析功能。
- 依次单击“IP业务 > DNS”页签,进入“DNS”界面。
- 在“DNS设置”中,开启“DNS代理(IPv4)”,单击“应用”完成DNS设置。
- 在“DNS服务器配置列表(IPv4地址)”中,单击“新建”,进入“新建IPv4 DNS服务器”界面。
- 在“DNS服务器IPv4地址”输入框中输入“2.2.2.2”,如图22所示,单击“确定”,完成配置。
- 配置出口路由器内网接口和公网接口的IP地址。
- 在接入层交换机上配置DHCP Snooping和IPSG。
配置了DHCP功能之后,部门内用户主机可以自动获取地址。但是为了防止员工在内网私自接一个小路由器并开启DHCP自动分配地址的功能,导致内网合法用户获取到了私接的小路由器分配的地址而不能正常上网,还需要配置DHCP Snooping功能。同时为了防止部门内用户私自更改IP地址后攻击网络,在接入交换机开启DHCP Snooping功能后,还需要开启IP报文检查功能。具体配置以ACC1为例。
- 配置DHCP Snooping功能。
- 依次单击“配置 > 安全业务管理 > IP安全 > DHCP Snooping配置”页签,接入“DHCP Snooping配置”界面。
- 设置“DHCP Snooping全局状态”为“ON”。
- 在“信任端口”中增加“Eth-Trunk1”,如图23所示,单击“应用”完成信任端口配置。
- 在“接口配置列表”中,勾选“Eth-Trunk1”、“Ethernet0/0/2”和“Ethernet0/0/3”前面的复选框。如图24所示,单击“开启”,完成在连接DHCP服务器的接口和连接终端的接口上使能DHCP Snooping功能。
- 开启IP报文检查功能。
- 依次单击“配置 > 安全业务管理 > IP安全 > IPSG配置”页签,接入“IPSG配置”界面。
- 在“选择接口”中选择接口“Ethernet0/0/2”和“Ethernet0/0/3”。
- 在“配置IPSG”中,按照下列填写各配置项,如图25所示。单击“应用”,完成配置。
- IPSG状态:ON。
- IPSG匹配项:IP、MAC和VLAN。
- 配置DHCP Snooping功能。
- 保存配置。
单击页面右上角的“保存配置”按钮,则系统将保存所有页面的配置到配置文件中。
业务验证
- 部门内部选两台PC进行ping测试,验证部门内部二层互通。
以部门A为例,假设PC2通过DHCP自动获取的IP地址为10.10.10.100。验证结果如图26所示。
- 从两个部门内各选一台PC进行ping测试,验证部门之间通过VLANIF实现三层互通是否正常。
部门A和部门B之间的用户是通过CORE上的VLANIF实现三层互通的。如果PC1和PC3之间互ping测试正常则说明两个部门之间通过VLANIF实现三层互通正常。ping测试命令与步骤1类似。
- 每个部门各选一台PC进行ping公网地址测试,验证公司内网用户访问Internet是否正常。
