華為eNsp S5700組網配置ACC1 配置DHCP Snooping和IPSG

網絡拓撲
網絡規划
網絡配置
Core交換機Telnet配置
ACC1 配置
CORE配置VLAN互通
CORE ACC1配置DHCP服務器
關閉接口的生成樹協議
配置連接終端設備的交換機接口為邊緣端口
Core配置靜態路由
出口路由器 配置
ACC1 配置DHCP Snooping和IPSG
保存配置

 

 

網絡拓撲

 

在小型園區中，S2700&S3700通常部署在網絡的接入層，S5700&S6700通常部署在網絡的核心，出口路由器一般選用AR系列路由器。
接入交換機與核心交換機通過Eth-Trunk組網保證可靠性。
每個部門業務划分到一個VLAN中，部門間的業務在CORE上通過VLANIF三層互通。
核心交換機作為DHCP Server，為園區用戶分配IP地址。
接入交換機上配置DHCP Snooping功能，防止內網用戶私接小路由器分配IP地址；同時配置IPSG功能，防止內網用戶私自更改IP地址。
網絡規划

 

網絡配置
按照下列流程配置各設備的數據，連通園區內用戶，並使園區內用戶可訪問外網

Core交換機Telnet配置
配置管理IP和Telnet后，可以通過管理IP遠程登錄設備，以交換機CORE為例。

配置管理IP地址。
<HUAWEI> system-view
[HUAWEI] vlan 5 //創建交換機管理VLAN 5
[HUAWEI-VLAN5] management-vlan
[HUAWEI-VLAN5] quit
[HUAWEI] interface vlanif 5
[HUAWEI-vlanif5] ip address 10.10.1.1 24
[HUAWEI-vlanif5] quit

 

將管理接口加入到管理VLAN 。

[HUAWEI] interface GigabitEthernet 0/0/8 //假設連接網管的接口為GigabitEthernet 0/0/8
[HUAWEI-GigabitEthernet0/0/8] port link-type trunk
[HUAWEI-GigabitEthernet0/0/8] port trunk allow-pass vlan 5
[HUAWEI-GigabitEthernet0/0/8] quit

 

配置Telnet
[HUAWEI] telnet server enable //Telnet出廠時是關閉的
[HUAWEI] user-interface vty 0 4 //Telnet常用於設備管理員登錄，推薦使用AAA認證
[HUAWEI-ui-vty0-4] protocol inbound telnet // V200R006及之前版本缺省支持telnet協議，但是V200R007及之后版本缺省的是SSH協議，因此使用telnet登錄之前，必須要先配置這條命令
[HUAWEI-ui-vty0-4] authentication-mode aaa
[HUAWEI-ui-vty0-4] idle-timeout 15
[HUAWEI-ui-vty0-4] quit
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin password irreversible-cipher Helloworld@6789 //配置管理員Telnet登錄交換機的用戶名和密碼。用戶名不區分大小寫，密碼區分大小寫
[HUAWEI-aaa] local-user admin privilege level 15 //將管理員的賬號權限設置為15（最高）
[HUAWEI-aaa] local-user admin service-type telnet

 

ACC1 配置
以接入交換機ACC1為例，創建ACC1的業務VLAN 10。
<HUAWEI> system-view
[HUAWEI] sysname ACC1 //修改設備名稱為ACC1
[ACC1] vlan batch 10 //批量創建VLAN

 

配置ACC1連接CORE的Eth-Trunk1，透傳部門A的VLAN
[ACC1] interface eth-trunk 1
[ACC1-Eth-Trunk1] port link-type trunk //配置為trunk模式，用於透傳VLAN。
[ACC1-Eth-Trunk1] port trunk allow-pass vlan 10 //配置Eth-Trunk1透傳ACC1上的業務VLAN
[ACC1-Eth-Trunk1] mode lacp //配置Eth-Trunk1為LACP模式
[ACC1-Eth-Trunk1] quit
[ACC1] interface GigabitEthernet 0/0/1 //將成員接口加入Eth-Trunk1
[ACC1-GigabitEthernet0/0/1] eth-Trunk 1
[ACC1-GigabitEthernet0/0/1] quit
[ACC1] interface GigabitEthernet 0/0/2
[ACC1-GigabitEthernet0/0/2] eth-Trunk 1
[ACC1-GigabitEthernet0/0/2] quit```

 

 

 

配置ACC1連接用戶的接口，使用戶加入VLAN，並將接口配置成邊緣端口。
[ACC1] interface Ethernet 0/0/2 //配置連接PC1的接口
[ACC1-Ethernet0/0/2] port link-type access
[ACC1-Ethernet0/0/2] port default vlan 10
[ACC1-Ethernet0/0/2] stp edged-port enable
[ACC1-Ethernet0/0/2] quit
[ACC1] interface Ethernet 0/0/3 //配置連接PC2的接口
[ACC1-Ethernet0/0/3] port link-type access
[ACC1-Ethernet0/0/3] port default vlan 10
[ACC1-Ethernet0/0/3] stp edged-port enable
[ACC1-Ethernet0/0/3] quit
[ACC1] interface Ethernet 0/0/4 //配置連接打印機的接口
[ACC1-Ethernet0/0/4] port link-type access
[ACC1-Ethernet0/0/4] port default vlan 10
[ACC1-Ethernet0/0/4] stp edged-port enable
[ACC1-Ethernet0/0/4] quit

配置BPDU保護功能，加強網絡的穩定性。
[ACC1] stp bpdu-protection

CORE配置VLAN互通
創建CORE與ACC1、ACC2以及出口路由器互通的VLAN。
<HUAWEI> system-view
[HUAWEI] sysname CORE //修改設備名稱為CORE
[CORE] vlan batch 10 20 100 //批量創建VLAN

 

配置下行接口和VLANIF接口，VLANIF接口用於部門A與部門B之間互訪。以CORE連接ACC1的Eth-Trunk1為例。
[CORE] interface eth-trunk 1
[CORE-Eth-Trunk1] port link-type trunk //配置為trunk模式，用於透傳VLAN
[CORE-Eth-Trunk1] port trunk allow-pass vlan 10 //配置Eth-Trunk1透傳ACC1上的業務VLAN
[CORE-Eth-Trunk1] mode lacp //配置為LACP模式
[CORE-Eth-Trunk1] quit
[CORE] interface GigabitEthernet 0/0/1 //將成員接口加入Eth-Trunk1
[CORE-GigabitEthernet0/0/1] eth-Trunk 1
[CORE-GigabitEthernet0/0/1] quit
[CORE] interface GigabitEthernet 0/0/2
[CORE-GigabitEthernet0/0/2] eth-Trunk 1
[CORE-GigabitEthernet0/0/2] quit
[CORE] interface Vlanif 10 //配置VLANIF，使部門A與部門B之間三層互通
[CORE-Vlanif10] ip address 10.10.10.1 24
[CORE-Vlanif10] quit
[CORE] interface Vlanif 20 //配置VLANIF，使部門B與部門A之間三層互通
[CORE-Vlanif20] ip address 10.10.20.1 24
[CORE-Vlanif20] quit

 

 

 

 

配置上行接口和VLANIF接口，使園區網絡與Internet互通。
[CORE] interface GigabitEthernet 0/0/20
[CORE-GigabitEthernet0/0/20] port link-type access //配置為access模式
[CORE-GigabitEthernet0/0/20] port default vlan 100
[CORE-GigabitEthernet0/0/20] quit
[CORE] interface Vlanif 100 //配置VLANIF，使CORE與路由器之間三層互通
[CORE-Vlanif100] ip address 10.10.100.1 24
[CORE-Vlanif100] quit

 

 

 

完成接口和VLAN的配置后，可以通過以下命令查看配置結果
[ACC1] display eth-trunk 1
[ACC1] display vlan

 

CORE ACC1配置DHCP服務器
在CORE上配置DHCP Server，使部門A（VLAN10）和部門B （VLAN20）的用戶都能獲取到正確的IP地址。以下以部門A為例，說明DHCP Server的配置步驟。

創建全局地址池，配置出口網關、租期（采用缺省值1天，不需配置）並配置為打印機（MAC地址為a-b-c）分配固定的IP地址10.10.10.254。
<CORE> system-view
[CORE] dhcp enable
[CORE] ip pool 10
[CORE-ip-pool-10] network 10.10.10.0 mask 24 //配置部門A的用戶可分配的地址池范圍
[CORE-ip-pool-10] gateway-list 10.10.10.1 //配置部門A的用戶的網關地址
[CORE-ip-pool-10] static-bind ip-address 10.10.10.254 mac-address a-b-c //配置為打印機分配固定的IP地址
[CORE-ip-pool-10] quit

 

 

 

配置部門A的用戶從全局地址池獲取IP地址。

[CORE] interface vlanif 10
[CORE-Vlanif10] dhcp select global //配置部門A的用戶從全局地址池獲取IP地址
[CORE-Vlanif10] quit

 

 

使用display ip pool命令，分別查看全局地址池10的配置和使用信息。
display ip pool name 10

在DHCP服務器配置完成后，需要設置終端電腦網卡為自動獲取地址，這樣終端才能正常從DHCP服務器獲取到地址，正常上網。

配置完動態分配地址之后，剛開電腦獲取地址的時間比較長，這是因為對於開啟了生成樹協議的交換機，每當有電腦接入之后導致生成樹重新收斂，所以需要的時間比較長；通過關閉接口的生成樹協議或者把連接終端的交換機接口配置為邊緣端口即可解決。

關閉接口的生成樹協議
[ACC1] interface Ethernet 0/0/2
[ACC1-Ethernet 0/0/2] stp disable //undo stp enable命令也可完成該功能

 

配置連接終端設備的交換機接口為邊緣端口
[ACC1] interface Ethernet 0/0/2
[ACC1-Ethernet0/0/2] stp edged-port enable
[ACC1-Ethernet0/0/2] quit

 

 

以上兩種方法選擇一種進行配置，終端電腦剛開機獲取地址速度慢的問題就可以有效解決。

Core配置靜態路由
在CORE上配置一條到園區出口網關的缺省靜態路由，使內網數據可以發到出口路由器。
[CORE] ip route-static 0.0.0.0 0 10.10.100.2

 

 

在CORE上使用display ip routing-table命令查看IP路由表。能夠查看到有一條下一跳地址為10.10.100.2的缺省靜態路由，表示靜態路由配置完成。三條直連路由是鏈路發現自動生成
出口路由器 配置
在配置出口路由器之前需要准備如下數據：公網IP地址：1.1.1.2/30，公網網關地址：1.1.1.1，DNS地址：8.8.8.8，這些參數在申請寬帶的時候由運營商提供，實際網絡中請以運營商提供的數據為准。

配置出口路由器內網接口和公網接口的IP地址。
[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/0] ip address 1.1.1.2 30
[Router] interface GigabitEthernet 1/0/0
[Router-GigabitEthernet0/0/1] ip address 10.10.100.2 24

 

 

 

配置允許上網的acl，將所有允許訪問Internet的用戶網段寫入該acl 。
[Router] acl 2000
[Router-acl-basic-2000] rule permit source 10.10.10.0 0.0.0.255
[Router-acl-basic-2000] rule permit source 10.10.20.0 0.0.0.255
[Router-acl-basic-2000] rule permit source 10.10.100.0 0.0.0.255

 

 

 

在連接公網的接口配置NAT轉換實現內網用戶訪問Internet。
[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] nat outbound 2000

 

配置到內網的明細路由和到公網的靜態缺省路由。
[Router] ip route-static 10.10.10.0 255.255.255.0 10.10.100.1
[Router] ip route-static 10.10.20.0 255.255.255.0 10.10.100.1
[Router] ip route-static 0.0.0.0 0.0.0.0 1.1.1.1

 

 

配置DNS地址解析功能，DNS服務器地址為運營商給的。
[Router] dns resolve
[Router] dns server 8.8.8.8
[Router] dns proxy enable

 

 

ACC1 配置DHCP Snooping和IPSG
配置了DHCP功能之后，部門內用戶主機可以自動獲取地址。但是為了防止員工在內網私自接一個小路由器並開啟DHCP自動分配地址的功能，導致內網合法用戶獲取到了私接的小路由器分配的地址而不能正常上網，還需要配置DHCP Snooping功能。
以下以部門A為例，說明DHCP Snooping的配置過程。

在接入交換機ACC1上開啟DHCP Snooping功能。
<ACC1> system-view
[ACC1] dhcp enable //使能DHCP功能
[ACC1] dhcp snooping enable //使能DHCP Snooping功能

 

 

在連接DHCP服務器的接口上使能DHCP Snooping功能，並將此接口配置為信任接口。
[ACC1] interface eth-trunk 1
[ACC1-Eth-Trunk1] dhcp snooping enable //使能DHCP Snooping功能
[ACC1-Eth-Trunk1] dhcp snooping trusted //配置為信任接口
[ACC1-Eth-Trunk1] quit

 

 

 

在連接終端的接口上使能DHCP Snooping功能。
[ACC1] interface ethernet 0/0/2 //配置連接PC1的接口
[ACC1-Ethernet0/0/2] dhcp snooping enable
[ACC1-Ethernet0/0/2] quit
[ACC1] interface ethernet 0/0/3 //配置連接PC2的接口
[ACC1-Ethernet0/0/3] dhcp snooping enable
[ACC1-Ethernet0/0/3] quit
[ACC1] interface ethernet 0/0/4 //配置連接打印機的接口
[ACC1-Ethernet0/0/4] dhcp snooping enable
[ACC1-Ethernet0/0/4] quit

完成上述配置之后，部門A的用戶就可以從合法的DHCP服務器獲取IP地址，內網私接的小路由器分配地址不會干擾到內網正常用戶。

為了防止部門內用戶私自更改IP地址后攻擊網絡，在接入交換機開啟DHCP Snooping功能后，還需要開啟IP報文檢查功能，具體配置以ACC1為例。

在接入交換機ACC1上開啟VLAN10的IP報文檢查功能。

[ACC1] vlan10
[ACC1-vlan10] ip source check user-bind enable //使能IP報文檢查功能
[ACC1-vlan10] quit


這樣ACC1從VLAN10收到報文后會將報文與動態綁定表的表項進行匹配，放行匹配的報文，丟棄不匹配的報文。如果不想對整個VLAN收到的報文進行檢查，可以只在連接某個終端的接口上開啟IP報文檢查功能。

如果網絡中采用靜態分配IP地址，為防止用戶私自修改地址攻擊網絡，可以配置IP+MAC綁定

保存配置
<CORE> save
————————————————
版權聲明：本文為CSDN博主「超凡脫俗」的原創文章，遵循CC 4.0 BY-SA版權協議，轉載請附上原文出處鏈接及本聲明。
原文鏈接：https://blog.csdn.net/qq_39689711/article/details/118245186