为了保证有线终端能正常获取 NAC 上的地址,安视交换机需要开启 DHCP Snooping 功能,防止终端获取到错误的 IP 地址。
安视交换机在 NAC 上被激活,NAC 作为有线终端的 DHCP 服务器,在安视交换机上有一台私接 DHCP 服务器,为了保证有线终端能正常获取 NAC 上的地址,安视交换机需要开启 DHCP Snooping 功能,防止终端获取到错误的 IP 地址。
NAC 和安视交换机之间开启 trunk,允许对应的 vlan1,10 通过;安视交换机的其他接口都是 access vlan 10。
注意:瘦模式下的安视交换机在修改配置时,需要先修改交换机端的配置,再修改控制器端的配置。
在 3.7 版本后交换机有独立的配置界面,在控制器的右上角【应用中心】→【交 换机管理中心】进行配置交换机。
1)第一步:接口配置
交换机管理中心:
【交换机管理】→【交换机】→点击对应的交换机名称→【端口面板】将安视交换机接 NAC 的口改成 trunk,允许 vlan1,10 通过;其他接口配置成 access vlan 10。
单独修改某个端口时,鼠标单独点击端口即可。
需要修改多个端口时,可以通过批量编辑进行修改。
2)第二步:开启 DHCP Snooping
边缘安全:
【流量安全】→【流量劫持防御】→【DHCP 防御】→【交换机DHCP防御】 新增 DHCP Snooping 策略,选择好对应的交换机, 在当前拓扑上为了让有线终端可以从 NAC 上正常获取地址,需要把安视交换机和 NAC 级联的口改成信任口,其他接口默认为非信任口;信任地址可以不填。
1)第一步:接口配置
Network Access Controller:
【有线配置】→【接口管理】→【物理接口】将 NAC 接安视交换机的口改成 trunk,允 许 vlan1,10 通过。
【有线配置】->【接口管理】->【VLAN 接口】中创建 vlan10 的地址并开启 DHCP 服务。
NAC 作为有线终端的 DHCP 服务器,在安视交换机上有一台私接 DHCP 服务器,为了保证有线终端能正常获取 NAC 上的地址,安视交换机需要开启 DHCP Snooping 功能,防止终端获取到错误的 IP 地址。
NAC 和安视交换机之间开启 trunk,允许对应的 vlan1,10 通过;安视交换机的其他接口都是 access vlan 10。
1)第一步:接口配置
【端口管理】→【端口列表】将安视交换机接 NAC 的口改成 trunk,允许 vlan1,10 通过;其他接口配置成 access vlan 10。
单独修改某个端口时,鼠标单独点击端口即可。
需要修改多个端口时,可以通过批量配置进行修改。
2)第二步:开启 DHCP Snooping
【流控与安全】→【DHCP 安全】→【DHCP 欺骗防御】点击开启 DHCP Snooping 功能,在当前拓扑上为了让有线终端可以从 NAC 上正常获取地址,需要把安视交换机和 NAC 级联的口改成信任口, 其他接口默认为非信任口;信任地址可以不填。
1)第一步:接口配置
Network Access Controller:
【有线配置】→【接口管理】→【物理接口】将 NAC 接安视交换机的口改成 trunk,允许 vlan1,10 通过。
【有线配置】→【接口管理】→【VLAN 接口】中创建 vlan10 的地址并开启 DHCP服务。
安视交换机在 NAC 上被激活,安视交换机作为有线终端的 DHCP 服务器,在安视交换机上有一台私接 DHCP 服务器,为了保证有线终端能正常获取安视交换机上的地址,安视交换机需要开启 DHCP Snooping 功能,防止终端获取到错误的 IP 地址。
1、NAC 和安视交换机之间使用 access vlan1 做互联 vlan;
2、安视交换机的其他接口都是 access vlan 10;
3、安视交换机上配置 vlan 10 的虚 IP 作为有线终端的网关地址;
4、NAC 上配置 vlan10 的静态路由。
注意:
①瘦模式下的安视交换机在修改配置时,需要先修改交换机端的配置,再修改控制器端的配置。
②在 3.7 版本后交换机有独立的配置界面,在控制器的右上角【应用中心】→【交换机管理中心】进行配置交换机。
1)第一步:接口配置
交换机管理中心:
【交换机管理】→【交换机】→点击对应的交换机名称→【端口面板】将安视交换机接 NAC 和安视交换机之间使用 access vlan1 做互联 vlan;其他接口配置成 access vlan 10。
单独修改某个端口时,鼠标单独点击端口即可。
需要修改多个端口时,可以通过批量配置进行修改。
2)第二步:配置互联 vlan1 和 vlan10 的虚接口
【交换机管理】→【交换机】→点击对应的交换机名称→【VLAN 接口】新增 vlan1 的虚接口和 NAC 通信;创建 vlan10 的虚接口并且开启 DHCP 服务功能给有线终端下发地址。
3)第三步:开启 DHCP Snooping
【流量安全】→【流量劫持防御】→【交换机DHCP防御】→新增 DHCP Snooping 策略,选择好对应的交换机,在当前拓扑上有线终端的 DHCP 在安视交换机,所以不需要设置信任接口,安视交换机接口默认为非信任口;信任地址可以不填。
1)第一步:接口配置
Network Access Controller:
【有线配置】→【接口管理】→【物理接口】将 NAC 接安视交换机的口改成 access vlan1。
【有线配置】→【网络配置】→【静态路由】中配置指向安视交换机上 vlan10 的静态路由。
安视交换机作为有线终端的 DHCP 服务器,在安视交换机上有一台私接 DHCP 服务器, 为了保证有线终端能正常获取安视交换机上的地址,安视交换机需要开启 DHCP Snooping 功能,防止终端获取到错误的 IP 地址。
1、NAC 和安视交换机之间使用 access vlan1 做互联 vlan;
2、安视交换机的其他接口都是 access vlan 10;
3、安视交换机上配置 vlan 10 的虚拟 IP 作为有线终端的网关地址;
4、NAC 上配置 vlan10 的静态路由。
1)第一步:接口配置
【端口管理】→【端口列表】将安视交换机接 NAC 的口改成 access vlan1;其他接口配置成 access vlan 10。
单独修改某个端口时,鼠标单独点击端口即可。
需要修改多个端口时,可以通过批量配置进行修改。
2)第二步:配置互联 vlan1 和 vlan10 的虚接口
【通信配置】→【VLAN 接口】→新增 vlan1 的虚接口和 NAC 通信;创建 vlan10 的虚接口并且开启 DHCP 服务功能给有线终端下发地址。
3)第三步:开启 DHCP Snooping
【流控与安全】→【DHCP 安全】→【DHCP 欺骗防御】点击开启 DHCP Snooping 功能,在当前拓扑上有线终端的 DHCP 在安视交换机上,所以不需要设置信任接口,安视交换机接口默认为非信任口;信任地址可以不填。
1)第一步:接口配置
Network Access Controller:
【有线配置】→【接口管理】→【物理接口】将 NAC 接安视交换机的口改成 access vlan1。
【有线配置】→【网络配置】→【静态路由】中配置指向安视交换机上 vlan10 的静态路由。
1)瘦模式下,在调整配置时,需要先修改安视交换机端的配置,再调整控制器或者安视交换机的上层设备配置;
2)安视交换机没有 NAT 功能,终端的网关在安视交换机上时,需要在出口路由器或者其他需要访问终端网段的设备上添加静态路由。