Caso práctico de configuración de M-LAG y un firewall en modo transparente Destacado

79 0 1 0

Buen día Comunidad Huawei Enterprise, comparto con Ustedes el siguiente caso de uso en redes para implementar M-LAG y firewalls en modo transparente.

 

Requisitos que necesitamos.

 

En el siguiente diagrama de red se muestra lo siguiente:

 

·         Dos switches core que están conectados a través de la agregación de enlaces 10GE.

·         Los firewalls en la capa de agregación se conectan a los switches de flujo ascendente y descendente a través de las interfaces GE.

·         Los switches de agregación se conectan a los switches de flujo ascendente y descendente a través de las interfaces 10GE.

·         Varios dispositivos se implementan en la capa de acceso y los switches de acceso se conectan a los dispositivos en la capa de agregación a través de las interfaces 10GE.

Sin título

Requerimiento del cliente.

 

El cliente desea construir una gran red de capa 2 estable en la que se utilice el modo dual-homing para garantizar la confiabilidad y enlaces de tráfico de balanceo de carga para mejorar la eficiencia del uso del enlace. Para garantizar la seguridad del servicio de los servidores, los switches se conectan a los firewalls en modo  transparentes (SeGW) en modo en línea para proporcionar una defensa de seguridad.

 

·         Los switches en las capas core y agregación constituyen una red de forma cuadrada para que el tráfico de los gateways se envíe y reciba a lo largo de la misma ruta.

·         Los firewalls en la capa de agregación utilizan el modo transparente, están habilitados con el protocolo de redundancia caliente (HRP) y funcionan en modo de balanceo de carga para mejorar la robustez de la red.

·         M-LAG se despliega en las capas de agregación y acceso para formar una topología sin bucles.

 

De acuerdo al siguiente diagrama se muestra la red lógica después de implementar M-LAG y los firewalls en modo transparente.


Sin título


Procedimiento de configuración

 

1. Configurar M-LAG.

 

a.    Configurar los enlaces de detección de doble activo, V-STP, grupos DFS, enlaces pares e interfaces de miembros M-LAG en SwitchA, SwitchB, SwitchC y SwitchD.

 

Los enlaces de detección de doble activo están conectados a las interfaces de gestión para implementar el interfuncionamiento, los grupos de DFS deben estar vinculados a las direcciones IP de las interfaces de gestión para garantizar la comunicación, y las interfaces de gestión están vinculadas a las instancias VPN para implementar el aislamiento.

Se recomienda que las interfaces de miembro de Eth-Trunk del peer-link se implementen en tarjetas diferentes para evitar el error de peer-link causado por un fallo de punto único.

 

# Configurar SwitchA.

 

Configurar Eth-Trunk en SwitchA conectado a los servidores como la interfaz de borde y habilitar la protección BPDU en el Eth-Trunk. El Eth-Trunk en el switch de acceso conectado al Servidor 1 se usa como ejemplo.

 

La interfaz de enlace ascendente del servidor conectado al switch debe estar vinculada a un enlace agregado, y los modos de agregación de enlace en el servidor y el switch deben ser coherentes.

 

<HUAWEI> system-view
[~HUAWEI] sysname SwitchA
[*HUAWEI] commit
[~SwitchA] stp mode rstp
[*SwitchA] stp v-stp enable
[*SwitchA] stp flush disable
[*SwitchA] ip vpn-instance VRF-A     //Creamos VRF-A.
[*SwitchA-vpn-instance-VRF-A] ipv4-family
[*SwitchA-vpn-instance-VRF-A-af-ipv4] route-distinguisher 100:1
[*SwitchA-vpn-instance-VRF-A-af-ipv4] vpn-target 111:1 both
[*SwitchA-vpn-instance-VRF-A-af-ipv4] quit
[*SwitchA-vpn-instance-VRF-A] quit
[*SwitchA] interface meth 0/0/0
[*SwitchA-MEth0/0/0] ip binding vpn-instance VRF-A     //Vinculamos la interfaz de administración a VRF-A.
[*SwitchA-MEth0/0/0] ip address 10.1.1.1 24
[*SwitchA-MEth0/0/0] quit
[*SwitchA] dfs-group 1
[*SwitchA-dfs-group-1] source ip 10.1.1.1 vpn-instance VRF-A     //Configuramos la dirección IPv4 y la instancia VPN vinculadas al grupo de DFS.
[*SwitchA-dfs-group-1] priority 150
[*SwitchA-dfs-group-1] quit
[*SwitchA] interface eth-trunk 0
[*SwitchA-Eth-Trunk0] trunkport 10ge 1/0/4
[*SwitchA-Eth-Trunk0] trunkport 10ge 4/0/5     //Configuramos las interfaces de miembros entre tarjetas del Eth-Trunk del peer-link.
[*SwitchA-Eth-Trunk0] mode lacp-static
[*SwitchA-Eth-Trunk0] peer-link 1
[*SwitchA-Eth-Trunk0] port vlan exclude 1
[*SwitchA-Eth-Trunk0] quit
[*SwitchA] vlan batch 11
[*SwitchA] interface eth-trunk 10
[*SwitchA-Eth-Trunk10] mode lacp-dynamic
[*SwitchA-Eth-Trunk10] port link-type access
[*SwitchA-Eth-Trunk10] port default vlan 11
[*SwitchA-Eth-Trunk10] trunkport 10ge 1/0/1
[*SwitchA-Eth-Trunk10] dfs-group 1 m-lag 1
[*SwitchA-Eth-Trunk10] stp edged-port enable     //Configuramos Eth-Trunk como la interfaz edge.
[*SwitchA-Eth-Trunk10] storm suppression broadcast cir 10 mbps     //Establecemos CIR de paquetes de difusión a 10 Mbit/s en esta interfaz
[*SwitchA-Eth-Trunk10] quit
[*SwitchA] interface eth-trunk 20
[*SwitchA-Eth-Trunk20] mode lacp-dynamic
[*SwitchA-Eth-Trunk20] port link-type access
[*SwitchA-Eth-Trunk20] port default vlan 11
[*SwitchA-Eth-Trunk20] trunkport 10ge 1/0/2
[*SwitchA-Eth-Trunk20] dfs-group 1 m-lag 2
[*SwitchA-Eth-Trunk20] stp edged-port enable     //Configuramos el Eth-Trunk como la interfaz edge.
[*SwitchA-Eth-Trunk20] storm suppression broadcast cir 10 mbps     //Establecemos CIR de paquetes de difusión a 10 Mbit/s en esta interfaz
[*SwitchA-Eth-Trunk20] quit
[*SwitchA] interface eth-trunk 30
[*SwitchA-Eth-Trunk30] mode lacp-dynamic
[*SwitchA-Eth-Trunk30] port link-type access
[*SwitchA-Eth-Trunk30] port default vlan 11
[*SwitchA-Eth-Trunk30] trunkport 10ge 1/0/3
[*SwitchA-Eth-Trunk30] dfs-group 1 m-lag 3
[*SwitchA-Eth-Trunk30] stp edged-port enable     //Configuramos Eth-Trunk como la interfaz de edge.
[*SwitchA-Eth-Trunk30] storm suppression broadcast cir 10 mbps     //Establecemos CIR de paquetes de difusión a 10 Mbit/s en esta interfaz
[*SwitchA-Eth-Trunk30] quit
[*SwitchA] stp bpdu-protection     //Habilitamos la protección de BPDU en la interfaz edge.
[*SwitchA] interface eth-trunk 40
[*SwitchA-Eth-Trunk40] mode lacp-static
[*SwitchA-Eth-Trunk40] port link-type trunk
[*SwitchA-Eth-Trunk40] undo port trunk allow-pass vlan 1
[*SwitchA-Eth-Trunk40] port trunk allow-pass vlan 11
[*SwitchA-Eth-Trunk40] trunkport 10ge 1/0/6 to 1/0/7
[*SwitchA-Eth-Trunk40] dfs-group 1 m-lag 4
[*SwitchA-Eth-Trunk40] storm suppression broadcast cir 10 mbps     //Establecemos el CIR de paquetes de difusión a 10 Mbit/s en esta interfaz.
[*SwitchA-Eth-Trunk40] quit
[*SwitchA] lacp m-lag priority 10
[*SwitchA] lacp m-lag system-id 00e0-fc00-0000
[*SwitchA] interface 10ge 1/0/9
[*SwitchA-10GE1/0/9] shutdown     //Apagamos la interfaz que no está en uso. 10GE 1/0/9 se usa como ejemplo.
[*SwitchA-10GE1/0/9] quit
[*SwitchA] commit

 

# Configuramos SwitchB.

 

Configuramos Eth-Trunk en SwitchB conectado a los servidores como la interfaz edge y habilitamos la protección BPDU en el Eth-Trunk. El Eth-Trunk en el switch de acceso conectado al Servidor1 se usa como ejemplo.

 

La interfaz de enlace ascendente del servidor conectado al switch debe estar vinculada a un enlace agregado, y los modos de agregación de enlace en el servidor y el switch deben ser coherentes.

 

<HUAWEI> system-view
[~HUAWEI] sysname SwitchB
[*HUAWEI] commit
[~SwitchB] stp mode rstp
[*SwitchB] stp v-stp enable
[*SwitchB] stp flush disable
[*SwitchB] ip vpn-instance VRF-A     //Creamos VRF-A.
[*SwitchB-vpn-instance-VRF-A] ipv4-family
[*SwitchB-vpn-instance-VRF-A-af-ipv4] route-distinguisher 100:2
[*SwitchB-vpn-instance-VRF-A-af-ipv4] vpn-target 111:1 both
[*SwitchB-vpn-instance-VRF-A-af-ipv4] quit
[*SwitchB-vpn-instance-VRF-A] quit
[*SwitchB] interface meth 0/0/0
[*SwitchB-MEth0/0/0] ip binding vpn-instance VRF-A     //Vinculamos la interfaz de administración a VRF-A.
[*SwitchB-MEth0/0/0] ip address 10.1.1.2 24
[*SwitchB-MEth0/0/0] quit
[*SwitchB] dfs-group 1
[*SwitchB-dfs-group-1] source ip 10.1.1.2 vpn-instance VRF-A     //Configuramos la dirección IPv4 y la instancia VPN vinculadas al grupo de DFS.
[*SwitchB-dfs-group-1] priority 120
[*SwitchB-dfs-group-1] quit
[*SwitchB] interface eth-trunk 0
[*SwitchB-Eth-Trunk0] trunkport 10ge 1/0/4 
[*SwitchB-Eth-Trunk0] trunkport 10ge 4/0/5     //Configuramos las interfaces de miembros entre tarjetas del Eth-Trunk del peer-link.
[*SwitchB-Eth-Trunk0] mode lacp-static
[*SwitchB-Eth-Trunk0] peer-link 1
[*SwitchB-Eth-Trunk0] port vlan exclude 1
[*SwitchB-Eth-Trunk0] quit
[*SwitchB] vlan batch 11
[*SwitchB] interface eth-trunk 10
[*SwitchB-Eth-Trunk10] mode lacp-dynamic
[*SwitchB-Eth-Trunk10] port link-type access
[*SwitchB-Eth-Trunk10] port default vlan 11
[*SwitchB-Eth-Trunk10] trunkport 10ge 1/0/1
[*SwitchB-Eth-Trunk10] dfs-group 1 m-lag 1
[*SwitchB-Eth-Trunk10] stp edged-port enable     //Configuramos Eth-Trunk como la interfaz de edge.
[*SwitchB-Eth-Trunk10] storm suppression broadcast cir 10 mbps     //Establecemos CIR de paquetes de difusión a 10 Mbit/s en esta interfaz.
[*SwitchB-Eth-Trunk10] quit
[*SwitchB] interface eth-trunk 20
[*SwitchB-Eth-Trunk20] mode lacp-dynamic
[*SwitchB-Eth-Trunk20] port link-type access
[*SwitchB-Eth-Trunk20] port default vlan 11
[*SwitchB-Eth-Trunk20] trunkport 10ge 1/0/2
[*SwitchB-Eth-Trunk20] dfs-group 1 m-lag 2
[*SwitchB-Eth-Trunk20] stp edged-port enable     //Configuramos el Eth-Trunk como la interfaz edge.
[*SwitchB-Eth-Trunk20] storm suppression broadcast cir 10 mbps     //Estableemos CIR de paquetes de difusión a 10 Mbit/s en esta interfaz.
[*SwitchB-Eth-Trunk20] quit
[*SwitchB] interface eth-trunk 30
[*SwitchB-Eth-Trunk30] mode lacp-dynamic
[*SwitchB-Eth-Trunk30] port link-type access
[*SwitchB-Eth-Trunk30] port default vlan 11
[*SwitchB-Eth-Trunk30] trunkport 10ge 1/0/3
[*SwitchB-Eth-Trunk30] dfs-group 1 m-lag 3
[*SwitchB-Eth-Trunk30] stp edged-port enable     //Configuramos Eth-Trunk como la interfaz de edge
[*SwitchB-Eth-Trunk30] storm suppression broadcast cir 10 mbps     //Establecemos CIR de paquetes de difusión a 10 Mbit/s en esta interfaz.
[*SwitchB-Eth-Trunk30] quit
[*SwitchB] stp bpdu-protection     //Habilitamos la protección de BPDU en la interfaz de edge.
[*SwitchB] interface eth-trunk 40
[*SwitchB-Eth-Trunk40] mode lacp-static
[*SwitchB-Eth-Trunk40] port link-type trunk
[*SwitchB-Eth-Trunk40] undo port trunk allow-pass vlan 1
[*SwitchB-Eth-Trunk40] port trunk allow-pass vlan 11
[*SwitchB-Eth-Trunk40] trunkport 10ge 1/0/6 to 1/0/7
[*SwitchB-Eth-Trunk40] dfs-group 1 m-lag 4
[*SwitchB-Eth-Trunk40] storm suppression broadcast cir 10 mbps     //Establecemos CIR de paquetes de difusión a 10 Mbit/s en esta interfaz.
[*SwitchB-Eth-Trunk40] quit
[*SwitchB] lacp m-lag priority 10
[*SwitchB] lacp m-lag system-id 00e0-fc00-0000
[*SwitchB] interface 10ge 1/0/9
[*SwitchB-10GE1/0/9] shutdown     //Apagamos la interfaz que no está en uso. 10GE 1/0/9 se usa como ejemplo.
[*SwitchB-10GE1/0/9] quit
[*SwitchB] commit

 

# Configuramos SwitchC.

 

Configuramos SwitchC como el puente raíz de la red STP, y habilitamos la protección de raíz en el Eth-Trunk de SwitchC conectado al switch de acceso para que el Eth-Trunk pueda reenviar el tráfico normalmente.

 

<HUAWEI> system-view
[~HUAWEI] sysname SwitchC
[*HUAWEI] commit
[~SwitchC] stp mode rstp
[*SwitchC] stp root primary     //Configuramos el switch de agregación como el puente raíz de la red de STP.
[*SwitchC] stp bridge-address 200b-c739-1300     //Configuramos la dirección MAC del puente raíz (dirección MAC del siwtch maestro).
[*SwitchC] stp v-stp enable
[*SwitchC] stp flush disable
[*SwitchC] ip vpn-instance VRF-B     //Creamos VRF-B.
[*SwitchC-vpn-instance-VRF-B] ipv4-family
[*SwitchC-vpn-instance-VRF-B-af-ipv4] route-distinguisher 101:1
[*SwitchC-vpn-instance-VRF-B-af-ipv4] vpn-target 111:1 both
[*SwitchC-vpn-instance-VRF-B-af-ipv4] quit
[*SwitchC-vpn-instance-VRF-B] quit
[*SwitchC] interface meth 0/0/0
[*SwitchC-MEth0/0/0] ip binding vpn-instance VRF-B     //Vinculamos la interfaz de administración a VRF-B.
[*SwitchC-MEth0/0/0] ip address 10.2.1.1 24
[*SwitchC-MEth0/0/0] quit
[*SwitchC-MEth0/0/0] quit
[*SwitchC] dfs-group 1
[*SwitchC-dfs-group-1] source ip 10.2.1.1 vpn-instance VRF-B     //Configuramos la dirección IPv4 y la instancia VPN vinculadas al grupo de DFS.
[*SwitchC-dfs-group-1] priority 150
[*SwitchC-dfs-group-1] quit
[*SwitchC] interface eth-trunk 0
[*SwitchC-Eth-Trunk0] trunkport 10ge 1/0/3
[*SwitchC-Eth-Trunk0] trunkport 10ge 4/0/4     //Configuramos las interfaces de miembros entre tarjetas del Eth-Trunk del peer-link.
[*SwitchC-Eth-Trunk0] mode lacp-static
[*SwitchC-Eth-Trunk0] peer-link 1
[*SwitchC-Eth-Trunk0] port vlan exclude 1
[*SwitchC-Eth-Trunk0] quit
[*SwitchC] vlan batch 11
[*SwitchC] interface eth-trunk 30
[*SwitchC-Eth-Trunk30] mode lacp-static
[*SwitchC-Eth-Trunk30] port link-type trunk
[*SwitchC-Eth-Trunk30] undo port trunk allow-pass vlan 1
[*SwitchC-Eth-Trunk30] port trunk allow-pass vlan 11
[*SwitchC-Eth-Trunk30] trunkport 10ge 1/0/1 to 1/0/2
[*SwitchC-Eth-Trunk30] dfs-group 1 m-lag 1
[*SwitchC-Eth-Trunk30] stp root-protection //Habilitamos la protección de raíz.
[*SwitchC-Eth-Trunk30] storm suppression broadcast cir 10 mbps     //Establecemos CIR de paquetes de difusión a 10 Mbit/s en esta interfaz.
[*SwitchC-Eth-Trunk30] quit
[*SwitchC] lacp m-lag priority 10
[*SwitchC] lacp m-lag system-id 00e0-fc00-0001
[*SwitchC] commit

 

# Configuramos SwitchD.

 

Configuramos SwitchD como el puente raíz de la red STP, y habilitamos la protección de raíz en el Eth-Trunk de SwitchD conectado al switch de acceso para que el Eth-Trunk pueda reenviar el tráfico normalmente.

 

<HUAWEI> system-view
[~HUAWEI] sysname SwitchD
[*HUAWEI] commit
[~SwitchD] stp mode rstp
[*SwitchD] stp root primary     //Configuramos el switch de agregación como el puente raíz de la red de STP.
[*SwitchD] stp bridge-address 200b-c739-1300     //Configuramos la dirección MAC del puente raíz (dirección MAC del switch maestro).
[*SwitchD] stp v-stp enable
[*SwitchD] stp flush disable
[*SwitchD] ip vpn-instance VRF-B     //Creamos VRF-B.
[*SwitchD-vpn-instance-VRF-B] ipv4-family
[*SwitchD-vpn-instance-VRF-B-af-ipv4] route-distinguisher 101:2
[*SwitchD-vpn-instance-VRF-B-af-ipv4] vpn-target 111:1 both
[*SwitchD-vpn-instance-VRF-B-af-ipv4] quit
[*SwitchD-vpn-instance-VRF-B] quit
[*SwitchD] interface meth 0/0/0
[*SwitchD-MEth0/0/0] ip binding vpn-instance VRF-B     //Vinculamos la interfaz de administración a VRF-B.
[*SwitchD-MEth0/0/0] ip address 10.2.1.2 24
[*SwitchD-MEth0/0/0] quit
[*SwitchD] dfs-group 1
[*SwitchD-dfs-group-1] source ip 10.2.1.2 vpn-instance VRF-B     //Configuramos la dirección IPv4 y la instancia VPN vinculadas al grupo de DFS.
[*SwitchD-dfs-group-1] priority 120
[*SwitchD-dfs-group-1] quit
[*SwitchD] interface eth-trunk 0
[*SwitchD-Eth-Trunk0] trunkport 10ge 1/0/3
[*SwitchD-Eth-Trunk0] trunkport 10ge 4/0/4     //Configuramos las interfaces de miembros entre tarjetas del Eth-Trunk del peer-link.
[*SwitchD-Eth-Trunk0] mode lacp-static
[*SwitchD-Eth-Trunk0] peer-link 1
[*SwitchD-Eth-Trunk0] port vlan exclude 1
[*SwitchD-Eth-Trunk0] quit
[*SwitchD] vlan batch 11
[*SwitchD] interface eth-trunk 30
[*SwitchD-Eth-Trunk30] mode lacp-static
[*SwitchD-Eth-Trunk30] port link-type trunk
[*SwitchD-Eth-Trunk30] undo port trunk allow-pass vlan 1
[*SwitchD-Eth-Trunk30] port trunk allow-pass vlan 11
[*SwitchD-Eth-Trunk30] trunkport 10ge 1/0/1 to 1/0/2
[*SwitchD-Eth-Trunk30] dfs-group 1 m-lag 1
[*SwitchD-Eth-Trunk30] stp root-protection //Habilitamos la protección de raíz.
[*SwitchD-Eth-Trunk30] storm suppression broadcast cir 10 mbps     //Establecemos el CIR de paquetes de difusión a 10 Mbit/s en esta interfaz
[*SwitchD-Eth-Trunk30] quit
[*SwitchD] lacp m-lag priority 10
[*SwitchD] lacp m-lag system-id 00e0-fc00-0001
[*SwitchD] commit

 

b. Creamos las interfaces VLANIF en SwitchC y SwitchD y configuramos las direcciones IP para las interfaces VLANIF, y creamos grupos VRRP en las interfaces VLANIF.

 

# Configuramos SwitchC.

 

[~SwitchC] interface vlanif 11
[*SwitchC-Vlanif11] ip address 10.3.1.1 24
[*SwitchC-Vlanif11] vrrp vrid 1 virtual-ip 10.3.1.111
[*SwitchC-Vlanif11] quit
[*SwitchC] commit

 

# Configure SwitchD.

[~SwitchD] interface vlanif 11
[*SwitchD-Vlanif11] ip address 10.3.1.2 24
[*SwitchD-Vlanif11] vrrp vrid 1 virtual-ip 10.3.1.111
[*SwitchD-Vlanif11] quit
[*SwitchD] commit

 

2. Configuramos SeGWA y SeGWB para que funcionen en modo transparente y habilitamos HRP.

 

a.    Cambiamos las interfaces de servicio de SeGWA y SeGWB a las interfaces de capa 2 y agréguelos a la misma VLAN.

 

# Configuramos SeGWA.

<USG9000> system-view
[USG9000] sysname SeGWA
[SeGWA] interface GigabitEthernet 1/0/0
[SeGWA-GigabitEthernet1/0/0] portswitch
[SeGWA-GigabitEthernet1/0/0] quit
[SeGWA] interface GigabitEthernet 2/0/0
[SeGWA-GigabitEthernet2/0/0] portswitch
[SeGWA-GigabitEthernet2/0/0] quit
[SeGWA] vlan 200
[SeGWA-vlan200] port GigabitEthernet 1/0/0
[SeGWA-vlan200] port GigabitEthernet 2/0/0
[SeGWA-vlan200] quit

 

# Configuramos SeGWB.

<USG9000> system-view
[USG9000] sysname SeGW B
[SeGWB] interface GigabitEthernet 1/0/0
[SeGWB-GigabitEthernet1/0/0] portswitch
[SeGWB-GigabitEthernet1/0/0] quit
[SeGWB] interface GigabitEthernet 2/0/0
[SeGWB-GigabitEthernet2/0/0] portswitch
[SeGWB-GigabitEthernet2/0/0] quit
[SeGWB] vlan 200
[SeGWB-vlan200] port GigabitEthernet 1/0/0
[SeGWB-vlan200] port GigabitEthernet 2/0/0
[SeGWB-vlan200] quit

 

Configuramos las direcciones IP para las interfaces de heartbeat de SeGWA y SeGWB.


# Configuramos SeGWA.

[SeGWA] interface GigabitEthernet 3/0/0
[SeGWA-GigabitEthernet3/0/0] ip address 10.10.0.1 24
[SeGWA-GigabitEthernet3/0/0] quit

 

# Configure SeGWB.

[SeGWB] interface GigabitEthernet 3/0/0
[SeGWB-GigabitEthernet3/0/0] ip address 10.10.0.2 24
[SeGWB-GigabitEthernet3/0/0] quit

 

c. Agregamos las interfaces de enlace ascendentes de SeGWA y SeGWB a la zona que no es de confianza (untrust), interfaces de enlace descendentes a la zona confiable (trust) e interfaces de heartbeat a la zona DMZ.

# Configure SeGWA.

[SeGWA] firewall zone untrust
[SeGWA-zone-untrust] add interface GigabitEthernet 2/0/0
[SeGWA-zone-untrust] quit
[SeGWA] firewall zone trust
[SeGWA-zone-trust] add interface GigabitEthernet 1/0/0
[SeGWA-zone-trust] quit
[SeGWA] firewall zone dmz
[SeGWA-zone-dmz] add interface GigabitEthernet 3/0/0
[SeGWA-zone-dmz] quit

 

# Configurar SeGWB.

[SeGWB] firewall zone untrust
[SeGWB-zone-untrust] add interface GigabitEthernet 2/0/0
[SeGWB-zone-untrust] quit
[SeGWB] firewall zone trust
[SeGWB-zone-trust] add interface GigabitEthernet 1/0/0
[SeGWB-zone-trust] quit
[SeGWB] firewall zone dmz
[SeGWB-zone-dmz] add interface GigabitEthernet 3/0/0
[SeGWB-zone-dmz] quit

 

d. Configurar la VLAN para la interfaz de servicio asociada con el grupo VGMP, especificar la interfaz de heartbeat y habilitar HRP.

 

# Configure SeGWA.

[SeGWA] hrp track vlan 200
[SeGWA] hrp interface GigabitEthernet 3/0/0 remote 10.10.0.2
[SeGWA] hrp enable
[SeGWA] hrp mirror session enable

 

# Configurar SeGWB.

[SeGWB] hrp track vlan 200
[SeGWB] hrp interface GigabitEthernet 3/0/0 remote 10.10.0.1
[SeGWB] hrp enable
[SeGWB] hrp mirror session enable

 

e. Configurar funciones de seguridad tales como la política de seguridad, IPS y defensa contra ataques en SeGWA. La configuración de SeGWA se respalda automáticamente en SeGWB. Para más detalles, consulte la documentación del gateway de seguridad.

 

3. Habilitamos OSPF en SwitchC, SwitchD, SwitchE y SwitchF.

 

a.    Agregamos las interfaces en SwitchC, SwitchD, SwitchE y SwitchF a VLAN y configuramos las direcciones IP para las interfaces VLANIF.

 

# Configure SwitchC.

[~SwitchC] vlan batch 200 300
[*SwitchC] interface 10ge 1/0/5
[*SwitchC-10GE1/0/5] port link-type trunk
[*SwitchC-10GE1/0/5] undo port trunk allow-pass vlan 1
[*SwitchC-10GE1/0/5] port trunk allow-pass vlan 200
[*SwitchC-10GE1/0/5] storm suppression broadcast 1       //Configuramos el porcentaje de ancho de banda ocupado por los paquetes de difusión en la interfaz, y el límite de la tasa de porcentaje es del 1%.
[*SwitchC-10GE1/0/5] quit
[*SwitchC] interface eth-trunk 0
[*SwitchC-Eth-Trunk0] port vlan exclude 200     //Configuramos la interfaz del peer-link para que no permita paquetes desde la VLAN 200.
[*SwitchC-Eth-Trunk0] quit     
[*SwitchC] interface vlanif 200
[*SwitchC-Vlanif200] ospf network-type p2p
[*SwitchC-Vlanif200] ip address 10.4.1.1 24
[*SwitchC-Vlanif200] quit
[*SwitchC] interface vlanif 300
[*SwitchC-Vlanif300] ospf network-type p2p
[*SwitchC-Vlanif300] ip address 10.6.1.1 24
[*SwitchC-Vlanif300] quit
[*SwitchC] interface 10ge 1/0/9
[*SwitchC-10GE1/0/9] shutdown     //Apagamos la interfaz que no está en uso. 10GE 1/0/9 se usa como ejemplo.
[*SwitchC-10GE1/0/9] quit
[*SwitchC] commit

 

# Configure SwitchD.

[~SwitchD] vlan batch 200 300
[*SwitchD] interface 10ge 1/0/5
[*SwitchD-10GE1/0/5] port link-type trunk
[*SwitchD-10GE1/0/5] undo port trunk allow-pass vlan 1
[*SwitchD-10GE1/0/5] port trunk allow-pass vlan 200
[*SwitchD-10GE1/0/5] storm suppression broadcast 1       //Configuramos el porcentaje de ancho de banda ocupado por los paquetes de difusión en la interfaz, y el límite de la tasa de porcentaje es del 1%.
[*SwitchD-10GE1/0/5] quit
[*SwitchD] interface eth-trunk 0
[*SwitchD-Eth-Trunk0] port vlan exclude 200     //Configuramos la interfaz del peer-link para que no permita paquetes desde la VLAN 200.
[*SwitchD-Eth-Trunk0] quit     
[*SwitchD] interface vlanif 200
[*SwitchD-Vlanif200] ospf network-type p2p
[*SwitchD-Vlanif200] ip address 10.5.1.1 24
[*SwitchD-Vlanif200] quit
[*SwitchD] interface vlanif 300
[*SwitchD-Vlanif300] ospf network-type p2p
[*SwitchD-Vlanif300] ip address 10.6.1.2 24
[*SwitchD-Vlanif300] quit
[*SwitchD] interface 10ge 1/0/9
[*SwitchD-10GE1/0/9] shutdown     //Apagamos la interfaz que no está en uso. 10GE 1/0/9 se usa como ejemplo.
[*SwitchD-10GE1/0/9] quit
[*SwitchD] commit

 

# Configurar SwitchE.

<HUAWEI> system-view
[~HUAWEI] sysname SwitchE
[*HUAWEI] commit
[~SwitchE] vlan batch 200 400
[*SwitchE] interface 10ge 1/0/1
[*SwitchE-10GE1/0/1] port link-type trunk
[*SwitchE-10GE1/0/1] undo port trunk allow-pass vlan 1
[*SwitchE-10GE1/0/1] port trunk allow-pass vlan 200
[*SwitchE-10GE1/0/1] storm suppression broadcast 1       //Configuramos el porcentaje de ancho de banda ocupado por los paquetes de difusión en la interfaz, y el límite de la tasa de porcentaje es del 1%.
[*SwitchE-10GE1/0/1] quit
[*SwitchE] interface 10ge 1/0/2
[*SwitchE-10GE1/0/2] port link-type trunk
[*SwitchE-10GE1/0/2] undo port trunk allow-pass vlan 1
[*SwitchE-10GE1/0/2] port trunk allow-pass vlan 400
[*SwitchE-10GE1/0/2] storm suppression broadcast 1       //Configuramos el porcentaje de ancho de banda ocupado por los paquetes de difusión en la interfaz, y el límite de la tasa de porcentaje es del 1%.
[*SwitchE-10GE1/0/2] quit
[*SwitchE] interface vlanif 200
[*SwitchE-Vlanif200] ospf network-type p2p
[*SwitchE-Vlanif200] ip address 10.4.1.2 24
[*SwitchE-Vlanif200] quit
[*SwitchE] interface vlanif 400
[*SwitchE-Vlanif400] ospf network-type p2p
[*SwitchE-Vlanif400] ip address 10.7.1.1 24
[*SwitchE-Vlanif400] quit
[*SwitchE] interface 10ge 1/0/9
[*SwitchE-10GE1/0/9] shutdown     //Apagamos la interfaz que no está en uso. 10GE 1/0/9 se usa como ejemplo.
[*SwitchE-10GE1/0/9] quit
[*SwitchE] commit

 

# Configuramos SwitchF.

<HUAWEI> system-view
[~HUAWEI] sysname SwitchF
[*HUAWEI] commit
[~SwitchF] vlan batch 200 400
[*SwitchF] interface 10ge 1/0/1
[*SwitchF-10GE1/0/1] port link-type trunk
[*SwitchF-10GE1/0/1] undo port trunk allow-pass vlan 1
[*SwitchF-10GE1/0/1] port trunk allow-pass vlan 200
[*SwitchF-10GE1/0/1] storm suppression broadcast 1       //Configuramos el porcentaje de ancho de banda ocupado por los paquetes de difusión en la interfaz, y el límite de la tasa de porcentaje es del 1%.
[*SwitchF-10GE1/0/1] quit
[*SwitchF] interface 10ge 1/0/2
[*SwitchF-10GE1/0/2] port link-type trunk
[*SwitchF-10GE1/0/2] undo port trunk allow-pass vlan 1
[*SwitchF-10GE1/0/2] port trunk allow-pass vlan 400
[*SwitchF-10GE1/0/2] storm suppression broadcast 1       //Configuramos el porcentaje de ancho de banda ocupado por los paquetes de difusión en la interfaz, y el límite de la tasa de porcentaje es del 1%.
[*SwitchF-10GE1/0/2] quit
[*SwitchF] interface vlanif 200
[*SwitchF-Vlanif200] ospf network-type p2p
[*SwitchF-Vlanif200] ip address 10.5.1.2 24
[*SwitchF-Vlanif200] quit
[*SwitchF] interface vlanif 400
[*SwitchF-Vlanif400] ospf network-type p2p
[*SwitchF-Vlanif400] ip address 10.7.1.2 24
[*SwitchF-Vlanif400] quit
[*SwitchF] interface 10ge 1/0/9
[*SwitchF-10GE1/0/9] shutdown     //Apagamos la interfaz que no está en uso. 10GE 1/0/9 se usa como ejemplo.
[*SwitchF-10GE1/0/9] quit
[*SwitchF] commit

 

b. Configuramos OSPF en SwitchC, SwitchD, SwitchE y SwitchF para garantizar la conectividad de capa 3.

 

# Configure SwitchC.

[~SwitchC] ospf 1
[~SwitchC-ospf-1] import-route direct      //Configuramos el switch para importar rutas directas. Puede configurarse una política de enrutamiento para filtrar rutas innecesarias.
[*SwitchC-ospf-1] area 0
[*SwitchC-ospf-1-area-0.0.0.0] network 10.4.1.0 0.0.0.255
[*SwitchC-ospf-1-area-0.0.0.0] network 10.6.1.0 0.0.0.255
[*SwitchC-ospf-1-area-0.0.0.0] quit
[*SwitchC-ospf-1] quit
[*SwitchC] commit

 

# Configure SwitchD.

[~SwitchD] ospf 1
[~SwitchD-ospf-1] import-route direct      //Configuramos el switch para importar rutas directas. Puede configurarse una política de enrutamiento para filtrar rutas innecesarias.
[*SwitchD-ospf-1] area 0
[*SwitchD-ospf-1-area-0.0.0.0] network 10.5.1.0 0.0.0.255
[*SwitchD-ospf-1-area-0.0.0.0] network 10.6.1.0 0.0.0.255
[*SwitchD-ospf-1-area-0.0.0.0] quit
[*SwitchD-ospf-1] quit
[*SwitchD] commit

 

# Configure SwitchE.

[~SwitchE] ospf 1
[*SwitchE-ospf-1] area 0
[*SwitchE-ospf-1-area-0.0.0.0] network 10.4.1.0 0.0.0.255
[*SwitchE-ospf-1-area-0.0.0.0] network 10.7.1.0 0.0.0.255
[*SwitchE-ospf-1-area-0.0.0.0] quit
[*SwitchE-ospf-1] quit
[*SwitchE] commit

 

# Configure SwitchF.

[~SwitchF] ospf 1
[*SwitchF-ospf-1] area 0
[*SwitchF-ospf-1-area-0.0.0.0] network 10.5.1.0 0.0.0.255
[*SwitchF-ospf-1-area-0.0.0.0] network 10.7.1.0 0.0.0.255
[*SwitchF-ospf-1-area-0.0.0.0] quit
[*SwitchF-ospf-1] quit
[*SwitchF] commit

 

4. Validación de la configuración

 

§  Ejecutamos el comando display dfs-group para verificar la información de M-LAG.

 

# Comprobamos información sobre el M-LAG con el grupo DFS 1.

[~SwitchA] display dfs-group 1 m-lag
*                : Local node                                                                                                       
Heart beat state : OK                                                                                                           
Node 1 *                                                                                                                            
  Dfs-Group ID   : 1                                                                                                                
  Priority       : 150                                                                                                              
  Address        : ip address 10.1.1.1                                                                                              
  State          : Master                                                                                                       
  Causation      : -                                                                                                                
  System ID      : 0025-9e95-7c01                                                                                                   
  SysName        : SwitchA                                                                                                              
  Version        : V100R006C00                                     
  Device Type    : CE12800                                                                                                          
Node 2                                                                                                                              
  Dfs-Group ID   : 1                                                                                                                
  Priority       : 120                                                                                                              
  Address        : ip address 10.1.1.2                                                                                              
  State          : Backup                                                                                                       
  Causation      : -                                                                                                                
  System ID      : 0025-9e95-7c11                                                                                                   
  SysName        : SwitchB                                                                                                              
  Version        : V100R006C00                                    
  Device Type    : CE12800 

 

[~SwitchC] display dfs-group 1 m-lag
*                : Local node                                                                                                       
Heart beat state : OK                                                                                                           
Node 1 *                                                                                                                            
  Dfs-Group ID   : 1                                                                                                                
  Priority       : 150                                                                                                              
  Address        : ip address 10.2.1.1                                                                                              
  State          : Master                                                                                                       
  Causation      : -                                                                                                                
  System ID      : 200b-c739-1300                                                                                                   
  SysName        : SwitchC                                                                                                              
  Version        : V100R006C00                                    
  Device Type    : CE12800                                                                                                          
Node 2                                                                                                                              
  Dfs-Group ID   : 1                                                                                                                
  Priority       : 120                                                                                                              
  Address        : ip address 10.2.1.2                                                                                              
  State          : Backup                                                                                                       
  Causation      : -                                                                                                                
  System ID      : 200b-c739-1311                                                                                                   
  SysName        : SwitchD                                                                                                              
  Version        : V100R006C00                                    
  Device Type    : CE12800  

 

# Validamos la información de M-LAG en SwitchA.

[~SwitchA] display dfs-group 1 node 1 m-lag brief
* - Local node
 
M-Lag ID     Interface      Port State    Status                                                                                     
       1     Eth-Trunk 10   Up            active(*)-active  
       2     Eth-Trunk 20   Up            active(*)-active  

 

# Validamos la información de M-LAG en SwitchC.

[~SwitchC] display dfs-group 1 node 2 m-lag brief
* - Local node
 
M-Lag ID     Interface      Port State    Status                                                                                     
       1     Eth-Trunk 30   Up            active-active(*)  

 

En la información anterior, el valor de Heart beat state es OK, lo que indica que el estado de detección de doble activo es normal. SwitchA y SwitchC se utilizan como Nodo 1, la prioridad es 150 y el valor de State es Master. SwitchB y SwitchD se utilizan como Nodo 2, la prioridad es 120 y el valor de State es Backup. El valor de Causation es -, los valores de Port State de Nodo 1 y Nodo 2 son ambos Up, y el estado de M-LAG tanto del Nodo 1 como del Nodo 2 es active, lo que indica que la configuración de M-LAG es correcta.

 

§  Ejecute el comando display vrrp en SwitchC y SwitchD. Puede ver que SwitchC y SwitchD están en estado Master.

 

[~SwitchC] display vrrp verbose
Vlanif11 | Virtual Router 1
State        : Master
Virtual IP     : 10.3.1.111
Master IP      : 10.3.1.1
PriorityRun    : 100
PriorityConfig : 100                                                        
MasterPriority : 100                                                        
Preempt        : YES   Delay Time : 0s    Remain : --    
Hold Multiplier: 3        
TimerRun       : 1s                                                              
TimerConfig    : 1s                                                           
Auth Type      : NONE                                                            
Virtual MAC    : 0000-5e00-0101                                                
Check TTL      : YES                                                             
Config Type    : Normal                                                   
Create Time       : 2019-09-02 03:07                                           
Last Change Time  : 2019-09-02 03:07 

 

[~SwitchD] display vrrp verbose
Vlanif11 | Virtual Router 1
State        : Master
Virtual IP     : 10.3.1.111
Master IP      : 10.3.1.2
PriorityRun    : 100
PriorityConfig : 100                                                        
MasterPriority : 100                                                        
Preempt        : YES   Delay Time : 0s   Remain : --     
Hold Multiplier: 3        
TimerRun       : 1s                                                        
TimerConfig    : 1s                                                        
Auth Type      : NONE                                                       
Virtual MAC    : 0000-5e00-0101                                             
Check TTL      : YES                                                        
Config Type    : Normal                                                
Create Time      : 2019-09-02 03:07                                      
Last Change Time : 2019-09-02 03:07 

 

Ejecutamos el comando display hrp state en SeGWA para verificar el estado de HRP. La siguiente información indica que el HRP está configurado correctamente.

 

HRP_M[SeGWA] display hrp state
 Role: active, peer: active                                                    
 Running priority: 51008, peer: 51008                                           
 Core state: normal, peer: normal                                   
 Backup channel usage: 0%                                                       
 Stable time: 0 days, 18 hours, 41 minutes

 

Espero que con este ejemplo típico de configuración M-LAG y firewalls en modo transparente en una redsea de gran utilidad.

 

Te invito a que me dejes un comentario y/o pregunta, lo antes posible estaría dando respuesta a ellas.

 

Saludos!

 


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje