更新时间:2024-12-03 GMT+08:00
配置防火墙下挂设备注册上线
配置核心交换机上线时,需要先完成配置防火墙安全策略及配置防火墙启用NAT,然后再完成配置下挂设备注册上线。
配置防火墙安全策略
- 登录华为乾坤控制台。
- 单击页面左上角
按钮,单击“我的服务 > 云管理网络”,在快捷菜单栏选择“
> 高级配置”。 - 在高级配置界面选择,在左上角“站点”下拉框中选择“Site1”。
- 在站点配置页面选择“防火墙 > 策略 > 安全策略”,根据实际场景诉求配置安全策略。本场景以下面安全策略为例。
- 单击“创建”,配置“trust-untrust”安全策略,参数如表1所示,完成后单击“确认”。
表1 trust-untrust安全策略参数 参数名称
参数取值
名称
trust-untrust
动作
允许
源安全区域
单击“选择”,在右侧区域勾选trust。
目的安全区域
单击“选择”,在右侧区域勾选untrust。
源地址/地区
单击“选择”,在右侧“源地址/地区”区域设置参数,完成后单击“添加”。
- “选择方式”:IP
- IP地址/范围或MAC地址:每行可配置一个IP/MAC地址或范围,行之间回车分隔。
10.1.1.0/24
10.1.2.0/24
10.1.6.0/24
目的地址/地区
any
URL过滤
单击“选择”,在右侧“URL过滤”区域单击“添加”设置URL过滤原则,完成后单击“确定”。
- 设置过滤基本参数,包括名称、是否加密流量过滤、安全搜索等。
- 设置URL过滤级别,按需选择高、中、低等过滤级别,同时支持自定义过滤级别。
- 再次单击“创建”,配置“untrust-trust”安全策略,参数如表2所示,完成后单击“确认”。
- 单击“创建”,配置“trust-untrust”安全策略,参数如表1所示,完成后单击“确认”。
配置防火墙启用NAT
- 登录华为乾坤控制台。
- 选择控制台首页地图上“Site1”站点,在站点首页单击右上角“站点配置”。
- 在站点配置页面左侧导航中选择。
- 在“NAT”页签中开启“NAT使能”,并单击“应用”。
配置下挂设备注册上线
对于防火墙下挂的核心交换机等设备,推荐使用DHCP Option148方式完成注册上线。在华为乾坤控制台界面完成DHCP Option148参数配置,详细步骤如下。
- 登录华为乾坤控制台。
- 选择控制台首页地图上“Site1”站点,在站点首页单击右上角“站点配置”。
- 在站点配置页面左侧导航中,选择,单击目标设备列表中
按钮进入设备配置页面。 - 配置管理子网。选择“子网”页签并单击“创建”,根据表3设置子网参数,单击“确定”。
表3 管理子网参数 参数名称
参数取值
子网名称
FW-option
VLAN ID
1
IP/掩码
10.1.1.1/24
安全域
trust
DHCP
开启
DHCP模式
服务器
DNS服务
“DNS服务”选择“自定义”。
DNS地址由运营商或客户提供,此处“首选DNS”填写以114.114.114.114为例。
DHCP选项
单击“增加”,完成DHCP Option148选项配置,单击
按钮提交。- 值:完整配置如下,注意不要忘记末尾分号。
agilemode=agile-cloud;agilemanage-mode=domain;agilemanage-domain=device.qiankun-saas.huawei.com;agilemanage-port=10020;
- 值:完整配置如下,注意不要忘记末尾分号。
- 将防火墙下面的设备(交换机、AP等)根据组网规划进行连线和上电操作,待若干分钟后,即可实现下行设备的注册上线(即插即用)。
实现即插即用,需要保证组网中防火墙下挂的交换机和AP为空配置启动,串口无输入。
父主题: 设备上线
