更新时间:2025-07-07 GMT+08:00
配置防火墙下挂设备注册上线
配置核心交换机上线时,需要先完成配置防火墙安全策略及配置防火墙启用NAT,然后再完成配置下挂设备注册上线。
配置防火墙安全策略
- 登录华为乾坤控制台区域一/区域二。
- 单击页面左上角
按钮,单击“我的服务 > 云管理网络”,在页面右上角选择“
> 高级配置”。 - 在高级配置界面选择,在左上角“站点”下拉框中选择“Site1”。
- 在站点配置页面选择“防火墙 > 策略 > 安全策略”,根据实际场景诉求配置安全策略。本场景以下面安全策略为例。
- 单击“创建”,配置“trust-untrust”安全策略,参数如表1所示,完成后单击“保存并部署”。
表1 trust-untrust安全策略参数 序号
参数名称
参数取值
1概述
名称
trust-untrust
2设备
策略生效范围
选择“站点”
3条件
源-安全区域
单击输入框,在右侧区域勾选trust。
源-地址
单击输入框,在弹出窗口设置源IP地址为:
10.1.1.0/24
10.1.2.0/24
10.1.6.0/24
目的-安全区域
单击输入框,在右侧区域勾选untrust。
目的-地址
any(不涉及默认为any)
4动作
动作
选择“允许”,并配置“URL过滤”:
- 设置过滤基本参数,包括名称、是否加密流量过滤、安全搜索等。
- 设置URL过滤级别,按需选择高、中、低等过滤级别,同时支持自定义过滤级别。
- 参考4.a,再次单击“创建”,配置“untrust-trust”安全策略,参数如表2所示,完成后单击“确认”。
- 单击“创建”,配置“trust-untrust”安全策略,参数如表1所示,完成后单击“保存并部署”。
配置下挂设备注册上线
对于防火墙下挂的核心交换机等设备,推荐使用DHCP Option148方式完成注册上线。在华为乾坤控制台界面完成DHCP Option148参数配置,详细步骤如下。
- 登录华为乾坤控制台区域一/区域二。
- 双击控制台首页地图上“Site1”站点,单击站点首页右上角“站点配置”。
- 在站点配置页面左侧导航中,选择,单击设备列表中
按钮进入设备配置页面。 - 配置管理子网。选择“子网”页签并单击“创建”,根据表3设置子网参数,单击“确定”。
表3 管理子网参数 参数名称
参数取值
子网名称
FW-option
VLAN ID
1
IP/掩码
10.1.1.1/24
安全域
trust
DHCP
开启
DHCP模式
服务器
DNS服务
“DNS服务”选择“自定义”。
DNS地址由运营商或客户提供,此处“首选DNS”填写以114.114.114.114为例。
DHCP选项
单击“增加”,完成DHCP Option148选项配置,单击
按钮提交。- 值:完整配置如下,注意不要忘记末尾分号。
agilemode=agile-cloud;agilemanage-mode=domain;agilemanage-domain=device.qiankun-saas.huawei.com;agilemanage-port=10020;
- 值:完整配置如下,注意不要忘记末尾分号。
- 将防火墙下面的设备(交换机、AP等)根据组网规划进行连线和上电操作,待若干分钟后,即可实现下行设备的注册上线(即插即用)。
实现即插即用,需要保证组网中防火墙下挂的交换机和AP为空配置启动,串口无输入。
父主题: 设备上线
