网络安全设置

为保障内网的网络安全，在三层交换机中建议开启ARP防护、DHCP侦听。

✅ARP防护

防护功能需要先进行四元绑定。在“网络安全->四元绑定”中有手动绑定和扫描绑定，手动绑定输入相应参数即可，扫描绑定设置如下图所示。

绑定后可以在防护范围内进行防护选择。

✅防ARP欺骗

在“网络安全->ARP防护->防ARP欺骗”中，选择启用源MAC、目的MAC和IP验证，填入作用的VLAN ID号，点击启用。如下如所示：

✅DHCP侦听

DHCP主要作用是集中分配和管理IP地址，通常我们是通过路由器或三层网管交换机充当DHCP服务器的角色，但如果网络中有其他能够分配DHCP的非法服务器，也会给客户端分配不正确的IP，导致终端无法上网，网络结构紊乱。

而开启“DHCP侦听”功能，添加授信端口，可以让终端和服务器只能从授信端口接收发送DHCP Offer报文，从而能正确的进行网络通信。

设置方法：

在“网络安全->DHCP侦听->全局配置”中，启用DHCP侦听，输入作用的VLAN ID，点击提交，如下图所示：

若交换机连接有合法DHCP服务器如路由器或AC或其他服务器，则需要进行端口配置，将DHCP服务器所在端口设置为授信端口。

在“网络安全->DHCP侦听->端口配置”中设置为授信端口，如下图所示。

本例中路由器和AC均无需开启DHCP服务，故无需做设置。

通过以上设置，即完成了企业组网中三层网管交换机的设置，且实现了相应的访问控制和网络安全需求。注意保存配置以免掉电导致配置丢失。

以下简要介绍下此例中ER系列路由器、Web网管交换机中的重要设置。路由器、AC、Web网管交换机中的一些基本管理设置、上网设置、无线设置再此不做介绍。

 09  路由器设置

数据转发到路由器后需要设置NAPT规则才能将数据转发出去，也需要设置到核心交换机的静态路由以将互联网数据转发到内网中。

在此以TL-ER6220G为例简单介绍ER系列路由器的设置方法。在“传输控制->NAT设置->NAPT”中，点击新增，输入相应参数如下图，点击确定。

其余VLAN重复步骤即可，完成后NAPT规则列表如下：

注意：由于研发部和服务器网段不能访问互联网，所以不做NAPT设置。

在“传输控制->路由设置->静态路由”中，点击新增，输入相应参数如下图，点击确定。注意此处的下一跳地址为三层网管交换机地址，本例为192.168.23.2。