所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S7700, S7900, S9700 V200R012(C00&C10) 配置指南(Web网管)

本文档介绍了如何通过Web网管客户端配置和维护设备,主要包括设备状态统计、SVF配置、接口配置、以太网交换配置、IP业务配置、IP路由配置、安全配置、ACL管理、AAA配置、系统管理配置、QoS管理、WLAN配置、诊断业务配置、EasyDeploy配置等。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
小型园区组网示例

小型园区组网示例

组网需求

某企业划分为A、B两个部门,企业中的用户可以相互访问,并且企业中的用户可访问Internet。

图10-143所示,在小型园区中,S2700和S3700通常作为接入交换机ACC1部署在网络的接入层,S5700和S6700通常作为核心交换机CORE部署在网络的核心,出口路由器Router一般选用AR系列路由器。

接入交换机与核心交换机通过Eth-Trunk组网保证可靠性。

每个部门业务划分到一个VLAN中,部门间的业务在CORE上通过VLANIF三层互通。

核心交换机作为DHCP Server,为园区用户分配IP地址。

接入交换机上配置DHCP Snooping功能,防止内网用户私接小路由器分配IP地址;同时配置IPSG功能,防止内网用户私自更改IP地址。

图10-143  小型园区组网图

数据规划

表10-7  数据规划表

项目

准备项

数据

说明

配置管理IP

管理IP地址

10.10.1.1/24

管理IP用户登录交换机。

配置接口和VLAN

Eth-Trunk类型

静态LACP

Eth-Trunk链路有手工负载分担和静态LACP两种工作模式。

端口类型

连接交换机的端口建议设置为trunk,连接PC的端口设置为access。

trunk类型端口一般用于连接交换机。

access类型端口一般用于连接PC。

hybrid类型端口是通用端口,既可以用来连接交换机,也可以用来连接PC。

VLAN ID

ACC1:VLAN 10

ACC2:VLAN 20

CORE:VLAN 100、10、20

交换机有缺省VLAN 1。

为了隔离二层部门A和部门B,将部门A划分到VLAN 10中,部门B划分到VLAN 20中。

CORE通过VLANIF 100连接出口路由器。

配置DHCP

DHCP Server

CORE

在园区核心交换机上部署DHCP Server。

地址池

VLAN 10:VLANIF 10

VLAN 20:VLANIF 20

部门A的终端从接口地址池VLANIF 10中获取IP地址。

部门B的终端从接口地址池VLANIF 20中获取IP地址。

配置核心交换机路由

IP路由

VLANIF 100:10.10.100.1/24

VLANIF 10:10.10.10.1/24

VLANIF 20:10.10.20.1/24

WLANIF 100是CORE与园区出口路由器对接的IP地址,用于园区内部网络与出口路由器互通。

核心交换机上需要配置一条缺省路由下一跳指向出口路由器。

在CORE上配置VLANIF 10、VLANIF 20的IP地址后,部门A与部门B之间可以通过CORE互访。

配置出口路由器

公网接口IP地址

Ethernet0/0/1:202.101.111.2/30

Ethernet0/0/1作为出口路由器连接Internet的接口,一般称为公网接口。

公网网关

202.101.111.1/30

该地址是与出口路由器对接的运营设备的IP地址,出口路由器上需要配置一条缺省路由指向该地址,用于指导内网流量转发至Internet。

DNS地址

202.101.111.195

DNS服务器用于将域名解析成IP地址。

内网接口IP地址

Ethernet0/0/2:10.10.100.2/24

Ethernet0/0/2为出口路由器连接内网的接口。

配置DHCP Snooping和IPSG

信任接口

Eth-Trunk 1

配置思路

采用如下的思路配置小型园区组网示例:

  1. 登录设备。
  2. 配置接入层交换机接口和VLAN。
  3. 配置核心层交换机接口和VLAN。
  4. 在核心层交换机上配置DHCP Server。
  5. 配置核心交换机路由。
  6. 配置出口路由器。
  7. 在接入层交换机上配置DHCP Snooping和IPSG。
  8. 保存配置。

操作步骤

  1. 登录设备。

    说明:

    处于出厂配置状态的设备支持通过Web网管首次登录设备。本文以交换机CORE为例,说明如何通过Web网管首次登录设备,交换机ACC1和ACC2的登录方式与交换机CORE类似。

    非出厂配置状态的设备,不支持通过Web网管首次登录设备,非首次登录Web网管的方式请参考通过Web网管登录设备配置。

    1. 连接设备和PC。

      将设备的除管理接口之外的任意以太网口和PC进行连接即可。

    2. 进入设备的初始设置模式。

      长按“MODE”按钮6s或以上,当设备所有的模式灯变为绿色常亮时,设备进入初始设置模式。

      进入初始设置模式后,系统默认将设备的IP地址配置为192.168.1.253/24,同时将默认的admin用户级别配置为15级。

    3. 配置PC的IP地址。

      为了保证PC和设备之间路由可达,需要将PC的IP地址配置成与设备默认的IP地址在同一网段。

    4. 用户通过Web网管登录设备。

      在PC上打开浏览器,在地址栏中输入https://192.168.1.253,按回车键后将显示Web网管登录界面,如图10-144所示,输入缺省用户名admin和缺省密码admin@huawei.com,并选择Web网管系统的语言。单击“GO”或直接按回车键进入Web网管配置界面。

      图10-144  Web网管首次登录界面
      说明:

      通过Web网管首次登录设备要求浏览器为Microsoft Edge、IE10.0、IE11.0、火狐53.0~火狐59.0或谷歌54.0~谷歌66.0。如果浏览器版本或浏览器补丁版本不在上述范围内,可能会出现Web页面显示异常,请及时更新浏览器和浏览器补丁。

    5. 配置设备。

      在Web网配置界面的“基础配置”中进行如下配置:
      • 设置“管理IP地址”“10.10.1.1”“掩码”“24(255.255.255.0)”
      • “旧密码”输入框中输入“admin@huawei.com”
      • “修改WEB用户密码”“确认密码”输入框中输入新密码。
      • “WEB用户级别”选择框中选择“15”
      配置如图10-145所示,单击“应用”,完成配置。
      图10-145  初始化配置

      说明:
      由于配置的管理IP地址与192.168.1.253/24不在同一网段。在退出Web网管首次登录界面后,无法通过Web网管登录设备。此时需重新配置PC的IP地址,使得PC和设备之间路由可达。

  2. 配置接入层交换机接口和VLAN(以配置ACC1为例,ACC2的配置方法与ACC1类似)。

    • 配置ACC1连接CORE的Eth-Trunk1,透传部门A的VLAN。
      1. 依次单击配置 > 基本业务管理 > 接口配置菜单,单击选择任务中的“连接交换机”
      2. 在选中要配置的接口“GigabitEthernet0/0/1”“GigabitEthernet0/0/2”
      3. 在步骤3中勾选“开启链路聚合”,按照下列填写各配置项,如图10-146所示。
        • 接口状态:ON。
        • Eth-Trunk:1。
        • Eth-Trunk模式:静态LACP。
        • 允许VLAN:10。
        • 缺省VLAN:1。
        • 自动创建VLAN:ON。
        图10-146  配置ACC1连接CORE的Eth-Trunk1

      4. 单击“应用”,在弹出的提示框内单击“确定”,完成配置。
    • 配置ACC1连接用户的接口,将用户加入VLAN。
      1. 依次单击配置 > 基本业务管理 > 接口配置菜单,单击选择任务中的“连接PC”
      2. 在选中要配置的接口“Ethernet0/0/2”“Ethernet0/0/3”
      3. 在步骤3中按照下列填写各配置项,如图10-147所示。
        • 接口状态:ON。
        • 缺省VLAN:10。
        • 端口隔离:OFF。
        • 端口安全:OFF。
        • 线路环回检测:OFF。
        • 信任优先级:None。
        图10-147  配置ACC1连接用户的接口

      4. 单击“应用”,在弹出的提示框内单击“确定”,完成配置。
    • 配置边缘端口和BPDU保护功能。
      1. 依次单击配置 > 进阶业务管理 > 生成树协议 > STP概要菜单,进入“STP概要配置”页面。
      2. “STP全局配置”中开启“BPDU保护功能”,如图10-148所示,单击“应用”
        图10-148  开启BPDU保护功能

      3. “接口状态”中选中需要配置的接口“Ethernet0/0/2”“Ethernet0/0/3”,单击“边缘口使能”,如图10-149所示,完成配置。
        图10-149  配置边缘端口

  3. 配置核心层交换机接口和VLAN。

    • 配置核心层交换机下行接口(以CORE连接ACC1的Eth-Trunk1为例,连接ACC2的配置方法与ACC1类似)。
      1. 依次单击配置 > 基本业务管理 > 接口配置 > 业务网口配置菜单,单击选择任务中的“连接交换机”
      2. 在选中要配置的接口“GigabitEthernet0/0/1”“GigabitEthernet0/0/2”
      3. 在步骤3中勾选“开启链路聚合”,按照下列填写各配置项,如图10-150所示。
        • 接口状态:ON。
        • Eth-Trunk:1。
        • Eth-Trunk模式:静态LACP。
        • 允许VLAN:10。
        • 缺省VLAN:1。
        • 自动创建VLAN:ON。
        图10-150  配置CORE连接ACC1的Eth-Trunk1

      4. 单击“应用”,在弹出的提示框内单击“确定”,完成配置。
    • 配置VLANIF接口用于部门A和部门B之间互访。
      1. 依次单击配置 > 基本业务管理 > VLAN菜单,进入配置VLAN页面。
      2. 单击“VLAN ID”下面对应的VLAN数据“10”,进入“修改VLAN”界面。
      3. 勾选“创建VLANIF接口”,在“IPv4地址”输入框中输入“10.10.10.1”,在“掩码”输入框中选择“24”。配置VLANIF 20与配置VLANIF 10步骤类似,如图10-151图10-152所示,单击“确定”,完成配置。
        图10-151  配置VLANIF 10

        图10-152  配置VLANIF 20

    • 配置核心层交换机上行接口和VLANIF接口,使园区网络与Internet互通。
      1. 依次单击配置 > 基本业务管理 > VLAN菜单,进入配置VLAN页面。
      2. 单击“新建”,进入“新建VLAN”页面,按照下列填写各配置项,如图10-153所示。
        • VLAN ID:100。
        • 勾选“创建VLANIF接口”
        • IPv4地址:10.10.100.1。
        • 掩码:24。
        • 添加接口:GigabitEthernet0/0/20。
        图10-153  配置VLAN 100

      3. 单击“确定”,完成配置。

  4. 在核心层交换机上配置DHCP Server。

    在CORE上配置DHCP Server,使部门A(VLAN 10)和部门B(VLAN 20)能获取到正确的IP地址。

    1. 单击配置 > 基本业务管理 > DHCP页签,进入配置DHCP页面,设置“DHCP状态”“ON”
    2. 单击“新建”,进入“新建DHCP地址池”页面。按照下列填写各配置项,如图10-154所示。单击“确定”,完成部门A用户从接口地址池获取IP地址的配置。

      • 地址池类型:接口地址池
      • 接口选择:Vlanif10
      图10-154  配置部门A的用户从接口地址池获取IP地址

    3. 配置部门B的用户获取IP地址与配置部门A的用户获取IP地址的步骤类似,各配置项如图10-155所示。

      图10-155  配置部门B的用户从接口地址池获取IP地址

  5. 配置核心交换机路由。
    1. 单击配置 > 基本业务管理 > 静态路由 > IPv4静态路由页签,进入“IPv4静态路由”界面。
    2. 单击“添加”,按照下列填写各配置项,如图10-156所示。

      • 目的IP地址:0.0.0.0。
      • 目的IP掩码:0.0.0.0。
      • 下一跳:10.10.100.2。
      图10-156  配置核心交换机路由

    3. 单击,完成配置。
  6. 配置出口路由器(以V200R009C00版本的AR路由器为例,Web登录方式请参考对应的文档指南)。

    说明:
    在配置出口路由器之前需要准备如下数据:公网IP地址:202.101.111.2/30,公网网关地址:202.101.111.1,DNS地址:202.101.111.195,这些参数在申请宽带的时候由运营商提供,实际网络中请以运营商提供的数据为准。
    • 配置出口路由器内网接口和公网接口的IP地址。
      1. 单击广域网互联 > 以太接口页签,进入“以太接口”界面。
      2. “以太接口列表”中,单击接口“Ethernet0/0/1”后的,进入“修改以太接口”界面。
      3. 按照下列填写各配置项,如图10-157所示。单击“确定”,完成公网接口IP地址的配置。
        • 勾选“IPv4”
        • 接入方式:Static。
        • IP地址:202.101.111.2。
        • 子网掩码:255.255.255.252。
        图10-157  配置公网接口IP地址

      4. 配置内网接口IP地址与配置公网接口IP地址步骤类似,各配置项参数如图10-158所示。
        图10-158  配置内网接口IP地址

    • 配置允许上网的ACL。
      1. 依次单击安全 > ACL > 基本ACL配置,页签,进入“基本ACL配置”界面。
      2. 单击“新建”,进入“新建基本ACL配置”界面。
      3. 按照下列填写各配置项,如图10-159所示。单击“确定”,完成新建基本ACL的配置。
        • ACL名称:acl2000。
        • 类型:IPv4。
        图10-159  新建基本ACL

      4. 单击“acl2000”后的“添加规则”,按照下列填写各配置项,如图10-160所示。单击,完成添加规则的配置。

        规则编号

        动作

        源IP/前缀长度(通配符)

        5

        允许

        10.10.10.0/0.0.0.255

        10

        允许

        10.10.20.0/0.0.0.255

        15

        允许

        10.10.100.0/0.0.0.255

        图10-160  添加基本ACL规则

    • 在连接公网的接口配置NAT转换实现内网用户访问Internet。
      1. 依次单击IP业务 > NAT > 外网访问页签,进入“外网访问”界面。
      2. 单击“新建”,进入“新建外网访问”界面。
      3. 按照下列填写各配置项,如图10-161所示。单击“确定”,完成配置。
        • 接口名称:Ethernet0/0/1。
        • 转换方式:Easy IP。
        • ACL名称:acl2000。
        图10-161  新建外网访问

    • 配置到内网的明细路由和到公网的静态缺省路由。
      1. 依次单击IP业务 > 路由 > 静态路由配置页签,进入“静态路由配置”界面。
      2. “IPv4 静态路由配置表”中,单击“新建”,进入“新建IPv4静态路由业务”
      3. 按照下列填写各配置项,如图10-162所示。单击“确定”,完成配置。

        目的IP地址

        子网掩码

        下一跳

        10.10.10.0

        255.255.255.0

        10.10.100.1

        10.10.20.0

        255.255.255.0

        10.10.100.1

        0.0.0.0

        0.0.0.0

        202.101.111.1

        图10-162  配置到内网的明细路由和到公网的静态缺省路由

    • 配置DNS地址解析功能。
      1. 依次单击IP业务 > DNS页签,进入“DNS”界面。
      2. “DNS设置”中,开启“DNS代理(IPv4)”,单击“应用”完成DNS设置。
      3. “DNS服务器配置列表(IPv4地址)”中,单击“新建”,进入“新建IPv4 DNS服务器”界面。
      4. “DNS服务器IPv4地址”输入框中输入“202.101.111.195”,如图10-163所示,单击“确定”,完成配置。
        图10-163  配置DNS服务器

  7. 在接入层交换机上配置DHCP Snooping和IPSG。

    配置了DHCP功能之后,部门内用户主机可以自动获取地址。但是为了防止员工在内网私自接一个小路由器并开启DHCP自动分配地址的功能,导致内网合法用户获取到了私接的小路由器分配的地址而不能正常上网,还需要配置DHCP Snooping功能。同时为了防止部门内用户私自更改IP地址后攻击网络,在接入交换机开启DHCP Snooping功能后,还需要开启IP报文检查功能。具体配置以ACC1为例。

    • 配置DHCP Snooping功能。
      1. 依次单击配置 > 安全业务管理 > IP安全 > DHCP Snooping配置页签,接入“DHCP Snooping配置”界面。
      2. 设置“DHCP Snooping全局状态”“ON”
      3. “信任端口”中增加“Eth-Trunk1”,如图10-164所示,单击“应用”完成信任端口配置。
        图10-164  配置信任端口

      4. “接口配置列表”中,勾选“Eth-Trunk1”“Ethernet0/0/2”“Ethernet0/0/3”前面的复选框。如图10-165所示,单击“开启”,完成在连接DHCP服务器的接口和连接终端的接口上使能DHCP Snooping功能。
        图10-165  使能DHCP Snooping功能

    • 开启IP报文检查功能。
      1. 依次单击配置 > 安全业务管理 > IP安全 > IPSG配置页签,接入“IPSG配置”界面。
      2. “选择接口”中选择接口“Ethernet0/0/2”“Ethernet0/0/3”
      3. “配置IPSG”中,按照下列填写各配置项,如图10-166所示。单击“应用”,完成配置。
        • IPSG状态:ON。
        • IPSG匹配项:IP、MAC和VLAN。
        图10-166  开启IP报文检查功能

  8. 保存配置。

    单击页面右上角的“保存配置”按钮,则系统将保存所有页面的配置到配置文件中。

业务验证

  1. 部门内部选两台PC进行ping测试,验证部门内部二层互通。

    以部门A为例,假设PC2通过DHCP自动获取的IP地址为10.10.10.100。验证结果如图10-167所示。

    图10-167  验证部门内部二层互通

  2. 从两个部门内各选一台PC进行ping测试,验证部门之间通过VLANIF实现三层互通是否正常。

    部门A和部门B之间的用户是通过CORE上的VLANIF实现三层互通的。如果PC1和PC3之间互ping测试正常则说明两个部门之间通过VLANIF实现三层互通正常。ping测试命令与步骤1类似。

  3. 每个部门各选一台PC进行ping公网地址测试,验证公司内网用户访问Internet是否正常。

    以部门A为例,一般可以通过在PC1上ping公网网关地址(即与出口路由器对接的运营商设备的IP地址)来验证是否可以访问Internet,如果ping测试正常则说明内网用户访问Internet正常。ping测试命令与步骤1类似。

翻译
下载文档
更新时间:2018-09-04

文档编号:EDOC1100038911

浏览量:5281

下载量:502

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页