小型园区配置示例

操作步骤

1. 登录设备。

   处于出厂配置状态的设备支持通过Web网管首次登录设备。本文以交换机CORE为例，说明如何通过Web网管首次登录设备，交换机ACC1和ACC2的登录方式与交换机CORE类似。

   非出厂配置状态的设备，不支持通过Web网管首次登录设备，非首次登录Web网管的方式请参考登录设备Web网管界面。

   1. 连接设备和PC。

      将设备的除管理接口之外的任意以太网口和PC进行连接即可。

   2. 进入设备的初始设置模式。

      长按“MODE”按钮6s或以上，当设备所有的模式灯变为绿色常亮时，设备进入初始设置模式。

      进入初始设置模式后，系统默认将设备的IP地址配置为192.168.1.253/24，同时将默认的admin用户级别配置为15级。

   3. 配置PC的IP地址。

      为了保证PC和设备之间路由可达，需要将PC的IP地址配置成与设备默认的IP地址在同一网段。

   4. 用户通过Web网管登录设备。

      在PC上打开浏览器，在地址栏中输入https://192.168.1.253，按回车键后将显示Web网管登录界面，如图10-3所示，输入缺省用户名和缺省密码，并选择Web网管系统的语言。单击“GO”或直接按回车键进入Web网管配置界面。

      您可以在《S系列交换机缺省帐号与密码》（企业网、运营商）文档中获取各种缺省帐号与密码信息。获取该文档需要权限，如需升级权限，请查看网站帮助。

      在PC上打开浏览器，在地址栏中输入https://192.168.1.253，按回车键后将显示Web网管新建用户界面，如图10-2所示。在创建新用户后将自动跳转到Web网管登录界面，如图10-3所示，输入已创建的用户名和密码，并选择Web网管系统的语言。单击“GO”或直接按回车键进入Web网管配置界面。

      图10-2 Web网管新建用户界面
      
      图10-3 Web网管首次登录界面
      

      通过Web网管首次登录设备要求浏览器为Microsoft Edge、IE10.0、IE11.0、Firefox61.0～Firefox66.0或Chrome64.0～Chrome73.0。如果浏览器版本或浏览器补丁版本不在上述范围内，可能会出现Web页面显示异常，请及时更新浏览器和浏览器补丁。

      首次登录Web网管，用户必须修改密码，只有这样才能进入Web网管系统主页面。

   5. 配置设备。
      在Web网配置界面的“基础配置”中进行如下配置：

      • 设置“管理IP地址”为“10.10.1.1”，“掩码”为“24（255.255.255.0）”。
      • 在“旧密码”输入框中输入缺省密码。
      • 在“旧密码”输入框中输入创建用户的密码。
      • 在“修改WEB用户密码”和“确认密码”输入框中输入新密码。
      • 在“WEB用户级别”选择框中选择“15”。

      配置如图10-4所示，单击“应用”，完成配置。

      图10-4 初始化配置
      

      由于配置的管理IP地址与192.168.1.253/24不在同一网段。在退出Web网管首次登录界面后，无法通过Web网管登录设备。此时需重新配置PC的IP地址，使得PC和设备之间路由可达。

2. 配置接入层交换机接口和VLAN（以配置ACC1为例，ACC2的配置方法与ACC1类似）。
   • 配置ACC1连接CORE的Eth-Trunk1，透传部门A的VLAN。
     1. 依次单击“配置 > 基本业务管理 > 接口配置”菜单，单击选择任务中的“连接交换机”。
     2. 在选中要配置的接口“GigabitEthernet0/0/1”和“GigabitEthernet0/0/2”。
     3. 在步骤3中勾选“开启链路聚合”，按照下列填写各配置项，如图10-5所示。
        • 接口状态：ON。
        • Eth-Trunk：1。
        • Eth-Trunk模式：静态LACP。
        • 允许VLAN：10。
        • 缺省VLAN：1。
        • 自动创建VLAN：ON。
        图10-5 配置ACC1连接CORE的Eth-Trunk1
        
        
     4. 单击“应用”，在弹出的提示框内单击“确定”，完成配置。
   • 配置ACC1连接用户的接口，将用户加入VLAN。
     1. 依次单击“配置 > 基本业务管理 > 接口配置”菜单，单击选择任务中的“连接PC”。
     2. 在选中要配置的接口“Ethernet0/0/2”和“Ethernet0/0/3”。
     3. 在步骤3中按照下列填写各配置项，如图10-6所示。
        • 接口状态：ON。
        • 缺省VLAN：10。
        • 端口隔离：OFF。
        • 端口安全：OFF。
        • 线路环回检测：OFF。
        • 信任优先级：None。
        图10-6 配置ACC1连接用户的接口
        
        
     4. 单击“应用”，在弹出的提示框内单击“确定”，完成配置。
   • 配置边缘端口和BPDU保护功能。
     1. 依次单击“配置 > 进阶业务管理 > 生成树协议 > STP概要”菜单，进入“STP概要配置”页面。
     2. 在“STP全局配置”中开启“BPDU保护功能”，如图10-7所示，单击“应用”。
        图10-7 开启BPDU保护功能
        
        
     3. 在“接口状态”中选中需要配置的接口“Ethernet0/0/2”和“Ethernet0/0/3”，单击“边缘口使能”，如图10-8所示，完成配置。
        图10-8 配置边缘端口
        
        

3. 配置核心层交换机接口和VLAN。
   • 配置核心层交换机下行接口（以CORE连接ACC1的Eth-Trunk1为例，连接ACC2的配置方法与ACC1类似）。
     1. 依次单击“配置 > 基本业务管理 > 接口配置 > 业务网口配置”菜单，单击选择任务中的“连接交换机”。
     2. 在选中要配置的接口“GigabitEthernet0/0/1”和“GigabitEthernet0/0/2”。
     3. 在步骤3中勾选“开启链路聚合”，按照下列填写各配置项，如图10-9所示。
        • 接口状态：ON。
        • Eth-Trunk：1。
        • Eth-Trunk模式：静态LACP。
        • 允许VLAN：10。
        • 缺省VLAN：1。
        • 自动创建VLAN：ON。
        图10-9 配置CORE连接ACC1的Eth-Trunk1
        
        
     4. 单击“应用”，在弹出的提示框内单击“确定”，完成配置。
   • 配置VLANIF接口用于部门A和部门B之间互访。
     1. 依次单击“配置 > 基本业务管理 > VLAN”菜单，进入配置VLAN页面。
     2. 单击“VLAN ID”下面对应的VLAN数据“10”，进入“修改VLAN”界面。
     3. 勾选“创建VLANIF接口”，在“IPv4地址”输入框中输入“10.10.10.1”，在“掩码”输入框中选择“24”。配置VLANIF 20与配置VLANIF 10步骤类似，如图10-10和图10-11所示，单击“确定”，完成配置。
        图10-10 配置VLANIF 10
        
        
        图10-11 配置VLANIF 20
        
        
   • 配置核心层交换机上行接口和VLANIF接口，使园区网络与Internet互通。
     1. 依次单击“配置 > 基本业务管理 > VLAN”菜单，进入配置VLAN页面。
     2. 单击“新建”，进入“新建VLAN”页面，按照下列填写各配置项，如图10-12所示。
        • VLAN ID：100。
        • 勾选“创建VLANIF接口”。
        • IPv4地址：10.10.100.1。
        • 掩码：24。
        • 添加接口：GigabitEthernet0/0/20。
        图10-12 配置VLAN 100
        
        
     3. 单击“确定”，完成配置。

4. 在核心层交换机上配置DHCP Server。

   在CORE上配置DHCP Server，使部门A（VLAN 10）和部门B（VLAN 20）能获取到正确的IP地址。

   1. 单击“配置 > 基本业务管理 > DHCP”页签，进入配置DHCP页面，设置“DHCP状态”为“ON”。
   2. 单击“新建”，进入“新建DHCP地址池”页面。按照下列填写各配置项，如图10-13所示。单击“确定”，完成部门A用户从接口地址池获取IP地址的配置。
      • 地址池类型：接口地址池
      • 接口选择：Vlanif10
      图10-13 配置部门A的用户从接口地址池获取IP地址
      
      

   3. 配置部门B的用户获取IP地址与配置部门A的用户获取IP地址的步骤类似，各配置项如图10-14所示。
      图10-14 配置部门B的用户从接口地址池获取IP地址
      
      

5. 配置核心交换机路由。
   1. 单击“配置 > 基本业务管理 > 静态路由 > IPv4静态路由”页签，进入“IPv4静态路由”界面。
   2. 单击“添加”，按照下列填写各配置项，如图10-15所示。
      • 目的IP地址：0.0.0.0。
      • 目的IP掩码：0.0.0.0。
      • 下一跳：10.10.100.2。
      图10-15 配置核心交换机路由
      
      

   3. 单击，完成配置。
6. 配置出口路由器（以V200R009C00版本的AR路由器为例，Web登录方式请参考对应的文档指南）。

   在配置出口路由器之前需要准备如下数据：公网IP地址：1.1.1.2/30，公网网关地址：1.1.1.1，DNS地址：2.2.2.2，这些参数在申请宽带的时候由运营商提供，实际网络中请以运营商提供的数据为准。

   • 配置出口路由器内网接口和公网接口的IP地址。
     1. 单击“广域网互联 > 以太接口”页签，进入“以太接口”界面。
     2. 在“以太接口列表”中，单击接口“Ethernet0/0/1”后的，进入“修改以太接口”界面。
     3. 按照下列填写各配置项，如图10-16所示。单击“确定”，完成公网接口IP地址的配置。
        • 勾选“IPv4”。
        • 接入方式：Static。
        • IP地址：1.1.1.2。
        • 子网掩码：255.255.255.252。
        图10-16 配置公网接口IP地址
        
        
     4. 配置内网接口IP地址与配置公网接口IP地址步骤类似，各配置项参数如图10-17所示。
        图10-17 配置内网接口IP地址
        
        
   • 配置允许上网的ACL。
     1. 依次单击“安全 > ACL > 基本ACL配置”，页签，进入“基本ACL配置”界面。
     2. 单击“新建”，进入“新建基本ACL配置”界面。
     3. 按照下列填写各配置项，如图10-18所示。单击“确定”，完成新建基本ACL的配置。
        • ACL名称：acl2000。
        • 类型：IPv4。
        图10-18 新建基本ACL
        
        
     4. 单击“acl2000”后的“添加规则”，按照下列填写各配置项，如图10-19所示。单击，完成添加规则的配置。

        规则编号	动作	源IP/前缀长度（通配符）
        5	允许	10.10.10.0/0.0.0.255
        10	允许	10.10.20.0/0.0.0.255
        15	允许	10.10.100.0/0.0.0.255

        图10-19 添加基本ACL规则
        
        
   • 在连接公网的接口配置NAT转换实现内网用户访问Internet。
     1. 依次单击“IP业务 > NAT > 外网访问”页签，进入“外网访问”界面。
     2. 单击“新建”，进入“新建外网访问”界面。
     3. 按照下列填写各配置项，如图10-20所示。单击“确定”，完成配置。
        • 接口名称：Ethernet0/0/1。
        • 转换方式：Easy IP。
        • ACL名称：acl2000。
        图10-20 新建外网访问
        
        
   • 配置到内网的明细路由和到公网的静态缺省路由。
     1. 依次单击“IP业务 > 路由 > 静态路由配置”页签，进入“静态路由配置”界面。
     2. 在“IPv4 静态路由配置表”中，单击“新建”，进入“新建IPv4静态路由业务”。
     3. 按照下列填写各配置项，如图10-21所示。单击“确定”，完成配置。

        目的IP地址	子网掩码	下一跳
        10.10.10.0	255.255.255.0	10.10.100.1
        10.10.20.0	255.255.255.0	10.10.100.1
        0.0.0.0	0.0.0.0	1.1.1.1

        图10-21 配置到内网的明细路由和到公网的静态缺省路由
        
        
   • 配置DNS地址解析功能。
     1. 依次单击“IP业务 > DNS”页签，进入“DNS”界面。
     2. 在“DNS设置”中，开启“DNS代理（IPv4）”，单击“应用”完成DNS设置。
     3. 在“DNS服务器配置列表（IPv4地址）”中，单击“新建”，进入“新建IPv4 DNS服务器”界面。
     4. 在“DNS服务器IPv4地址”输入框中输入“2.2.2.2”，如图10-22所示，单击“确定”，完成配置。
        图10-22 配置DNS服务器
        
        

7. 在接入层交换机上配置DHCP Snooping和IPSG。

   配置了DHCP功能之后，部门内用户主机可以自动获取地址。但是为了防止员工在内网私自接一个小路由器并开启DHCP自动分配地址的功能，导致内网合法用户获取到了私接的小路由器分配的地址而不能正常上网，还需要配置DHCP Snooping功能。同时为了防止部门内用户私自更改IP地址后攻击网络，在接入交换机开启DHCP Snooping功能后，还需要开启IP报文检查功能。具体配置以ACC1为例。

   • 配置DHCP Snooping功能。
     1. 依次单击“配置 > 安全业务管理 > IP安全 > DHCP Snooping配置”页签，接入“DHCP Snooping配置”界面。
     2. 设置“DHCP Snooping全局状态”为“ON”。
     3. 在“信任端口”中增加“Eth-Trunk1”，如图10-23所示，单击“应用”完成信任端口配置。
        图10-23 配置信任端口
        
        
     4. 在“接口配置列表”中，勾选“Eth-Trunk1”、“Ethernet0/0/2”和“Ethernet0/0/3”前面的复选框。如图10-24所示，单击“开启”，完成在连接DHCP服务器的接口和连接终端的接口上使能DHCP Snooping功能。
        图10-24 使能DHCP Snooping功能
        
        
   • 开启IP报文检查功能。
     1. 依次单击“配置 > 安全业务管理 > IP安全 > IPSG配置”页签，接入“IPSG配置”界面。
     2. 在“选择接口”中选择接口“Ethernet0/0/2”和“Ethernet0/0/3”。
     3. 在“配置IPSG”中，按照下列填写各配置项，如图10-25所示。单击“应用”，完成配置。
        • IPSG状态：ON。
        • IPSG匹配项：IP、MAC和VLAN。
        图10-25 开启IP报文检查功能
        
        

8. 保存配置。

   单击页面右上角的“保存配置”按钮，则系统将保存所有页面的配置到配置文件中。