文档首页/ 华为乾坤/ 云管理网络/ 网络部署/ 业务配置/ 站点通用配置/ 管理VLAN
更新时间:2023-08-08 GMT+08:00
查看PDF
分享

管理VLAN

背景信息

为了提升安全性,建议在二层网络中专门划分一个管理VLAN用于云化设备的配置和运维。通过华为乾坤云平台,可以为站点内的防火墙/交换机/AP统一配置管理VLAN。

  • 请务必按网络层级自下而上的顺序依次切换各云化设备的管理VLAN,否则会造成设备脱管。
  • 当前系统最多支持创建和管理512个VLAN。

对于防火墙和交换机,还可以配置“自协商管理VLAN”功能。后续新增的下行云化设备可以自动使用防火墙/交换机上配置的“自协商管理VLAN”作为管理VLAN,通过该管理VLAN从DHCP服务器获取IP地址,并注册到华为乾坤云平台

如下及之后版本的云化设备支持通过华为乾坤云平台配置自协商管理VLAN。
  • 防火墙:V500R005C00
  • 交换机:V200R012C00

当交换机的上行口设置为Eth-Trunk场景时,设备侧已经预配置上行口为Eth-Trunk,那么有以下两种处理方法。

  • 华为乾坤云平台侧配置上行口为Eth-Trunk口,且配置与设备侧相同。
  • 关闭交换机管理VLAN的参数“上行口自动放行”。

前提条件

  • 配置自协商管理VLAN功能之前,必须确保已使能全局LLDP。
  • 当交换机侧已经预配置上行口时,需要在华为乾坤云平台侧配置该上行口,且配置与设备侧相同,请参见交换机业务配置 > 接口,或者关闭交换机管理VLAN的参数“上行口自动放行”。
  • 目前不支持将设备上行口手工配置为Eth-Trunk 0,Eth-Trunk 0预留为设备自协商Eth-Trunk场景使用。

操作步骤

  1. 在站点配置页面,选择左侧导航栏的“站点通用配置 > 管理VLAN”,进入管理VLAN页面。
  2. (可选)开启自协商。只有开启该功能后,本站点内的自协商管理VLAN才能生效。

    • 防火墙和交换机设备的所有物理接口默认开启“管理VLAN自协商”,这些接口的下行网元可通过自协商自动切换管理VLAN。

      如需在特定设备某些接口上关闭该功能,请进入该设备“接口”页面选中接口,在“高级”参数中将“管理VLAN自协商”设置为“OFF”。

    • 如果站点中交换机设备的某个Eth-Trunk口上开启“Eth-Trunk自协商”开关(缺省关闭),则对该Eth-Trunk的所有成员接口,下行直连交换机的对应物理口将自动加入Eth-Trunk0,并通过自协商的管理VLAN接入上行网络。

    单击列表右上方“自协商”,在弹出的页面开启“自协商管理VLAN”并单击“应用”。

  3. 编辑管理VLAN。

    1. 选择设备条目,单击按钮或者单击列表右上方“修改”,阅读风险提示后单击“确定”进入修改管理VLAN页面。
    2. 以交换机设备为例,根据表1填写参数,单击“确定”

      配置管理VLAN属于高危操作,请谨慎操作。因为修改管理VLAN将导致设备暂时离线并重新上线,请确保配置正确,否则会导致设备脱管。

      表1 管理VLAN参数表

      参数

      说明

      自协商管理VLAN(仅防火墙和交换机)

      下行网元连到当前设备时,可以通过协商机制将管理VLAN切换为该VLAN,使其能从DHCP服务器获取IP地址,从而注册到华为乾坤

      取值范围1~4094。

      无线自协商管理VLAN(仅交换机)

      下行无线设备连到当前设备时,可以通过协商机制将管理VLAN切换为该VLAN,使其能从DHCP服务器获取IP地址,从而注册到华为乾坤控制台。

      取值范围1~4094,不能与“自协商管理VLAN”值相同。

      管理VLAN(仅交换机和AP)

      为当前设备指定管理VLAN,配置管理VLAN后,华为乾坤可以通过管理VLAN的VLANIF接口连接到当前设备,实现网管集中管理设备。

      用户可以使用默认的管理VLAN,也可以自定义管理VLAN。

      • 默认:默认的管理VLAN为1。
      • 自定义:管理VLAN ID取值范围为1~4094。

      上行口PVID使能(仅交换机)

      接口缺省VLAN标识,即PVID,指的是二层接口上的缺省VLAN ID(每个二层接口上有且只有一个VLAN ID 作为PVID)。在接口收到流量,并且该流量不携带任何VLAN ID信息时,该接口认为这些流量属于PVID对应的VLAN。缺省情况下,所有接口的PVID均为 VLAN 1。

      开启该开关后,上行口的PVID将会设置为“管理VLAN ID”中配置的VLAN ID。

      • 如果当前设备的上行口为Access口,缺省VLAN即为该接口允许通过的VLAN,修改该接口允许通过的VLAN即为修改该接口的缺省VLAN。
      • 如果当前设备的上行口为Trunk口,该接口允许多个VLAN通过,但只能有一个缺省VLAN,修改接口允许通过的VLAN,不会修改接口的缺省VLAN。

      上行口自动放行(仅交换机)

      开启该开关后,

      • 如果当前设备的上行口为Trunk口,会自动将管理VLAN加为允许通过的VLAN。

        修改或清除管理VLAN后,如果当前设备的上行口为Trunk口,上行口中已允许通过VLAN中将保留原管理VLAN。

        如上行口不再需要允许通过此原有管理VLAN,可在交换机接口页面删除。

      • 如果当前设备的上行口为Access,会自动将管理VLAN作为缺省VLAN ID。

      IP获取方式(仅交换机和AP)

      配置管理IP地址的获取方式。对于交换机,仅当“管理VLAN”为自定义时才支持此功能。

      • 动态:动态获取管理IP地址。
      • 静态:手工设置管理IP地址,需配置IP地址、掩码和网关地址等。
      说明:

      通过静态获取IP方式时,AP设备还需配置DNS服务。

后续操作

  • 搜索目标设备:
    • 关键字搜索:在搜索框中输入设备名称、SN等,单击按钮或回车键进行搜索。
    • 条件搜索:单击“高级搜索”,根据设备类型、配置状态搜索。
  • 清除管理VLAN配置:选择目标设备,单击按钮或者单击列表右上方“删除”,阅读风险提示后单击“确定”

    清除管理VLAN配置属于高危操作,请谨慎操作。因为一旦清除现有的管理VLAN配置,设备将恢复到初始的默认配置。

父主题: 站点通用配置

相关文档