Configuracion de una red de centro de dato de capa 3 basada en iStack con Switches Cloud Engine (CE)

Última respuesta Sep 02, 2019 12:14:08 102 3 1 0

Buen día Comunidad Huawei Enterprise, comparto con Ustedes el siguiente ejemplo de configuración de una red de data center de capa 3 basada en stack.

 

En una red de capa 3 como se muestra en el siguiente diagrama de red, la capa de core contiene dos switches CE12800. Los dos switches están conectados a través de un Eth-Trunk con dos enlaces de 10GE para la copia de seguridad del enlace. La capa de agregación tiene un stack CE12800. El stack se conecta a los switches de flujo ascendente y descendente a través de interfaces Eth-Trunk entre chasis. Los Eth-Trunks están configurados para reenviar preferentemente el tráfico local, de modo que se reducen las cargas en los enlaces entre chasis. Las instancias VRF se crean en la capa de agregación para separar las rutas de red de servicio y las rutas de red pública. Dos firewalls están conectados a los switches CE12800 en el modo bypass y funcionan en el modo de espera para mejorar la confiabilidad.

Sin título

Procedimiento de configuración.

 

1. Configurar la función CSS en los switches de agregación CE12800-3 y CE12800-4.

a.    Conectar los cables de stack entre CE12800-3 y CE12800-4 de acuerdo con el siguiente diagrama.}

Sin título

b. Configurar los atributos de stack para CE12800-3 y CE12800-4. (Establecer una prioridad más alta para CE12800-3, entonces CE12800-3 se convertirá en el switch maestro.)

 

# Establecer el ID de stack de CE12800-3 en 1, la prioridad en 150, el ID de dominio en 10 y el modo de conexión en la conexión MPU.

<HUAWEI> system-view

[~HUAWEI] sysname CE12800-3

[*HUAWEI] commit

[~CE12800-3] stack

[~CE12800-3-stack] stack member 1         //Configurar el ID del miembro de stack. El valor predeterminado es 1.

[*CE12800-3-stack] stack priority 150     //Configurar la prioridad de stack. El valor predeterminado es 100.

[*CE12800-3-stack] stack domain 10        //Configurar el ID de dominio.

[*CE12800-3-stack] stack link-type mainboard-direct     //Configurar el modo de conexión. El modo predeterminado es mainboard-direct.

[*CE12800-3-stack] quit

[*CE12800-3] commit

 

# Establecer el ID de stack de CE12800-4 en 2, la prioridad en 100, el ID de dominio en 10 y el modo de conexión en la conexión MPU.

<HUAWEI> system-view
[~HUAWEI] sysname CE12800-4
[*HUAWEI] commit
[~CE12800-4] stack
[~CE12800-4-stack] stack member 2
Warning: The device will use the configuration of member ID 2 after the device resets. Continue? [Y/N]: y
[*CE12800-4-stack] stack priority 100
[*CE12800-4-stack] stack domain 10
[*CE12800-4-stack] stack link-type mainboard-direct
[*CE12800-4-stack] quit
[*CE12800-4] commit

 

C. Configurar los puertos de stack. Los dos switches están conectados por ocho puertos ópticos 10GE en diferentes LPU.

 

# En CE12800-3, agregamos 10GE1/0/1-10GE1/0/4 y 10GE2/0/1-10GE2/0/4 al puerto de stack.

[~CE12800-3] port-group group1       //Creamos un grupo de puertos.
[*CE12800-3-port-group-group1] group-member 10ge 1/0/1 to 10ge 1/0/4       //Agregamos puertos al grupo de puertos.
[*CE12800-3-port-group-group1] group-member 10ge 2/0/1 to 10ge 2/0/4
[*CE12800-3-port-group-group1] shutdown       //Apagamos el puerto.
[*CE12800-3-port-group-group1] quit
[*CE12800-3] commit
[~CE12800-3] interface stack-port 1
[*CE12800-3-Stack-Port1] port member-group interface 10ge 1/0/1 to 1/0/4       //Agregamos puertos físicos al puerto de stack.
[*CE12800-3-Stack-Port1] port member-group interface 10ge 2/0/1 to 2/0/4
[*CE12800-3-Stack-Port1] quit
[*CE12800-3] commit
[~CE12800-3] port-group group1
[~CE12800-3-port-group-group1] undo shutdown       //Habilitamos el puerto.
[*CE12800-3-port-group-group1] quit
[*CE12800-3] return

 

# El procedimiento de configuración en CE12800-4 es el mismo que el procedimiento de configuración en CE12800-3 (por tal motivo no muestro la configuración aquí.

 

d.    Habilitamos la función de stack.

# Habilitamos la función de stack en CE12800-3 y reinicie el switc. 

<CE12800-3> save

Warning: The current configuration will be written to the device. Continue? [Y/N]: y

<CE12800-3> system-view

[~CE12800-3] stack

[~CE12800-3-stack] stack enable

Warning: Make sure that one or more dual-active detection methods are configured once the conversion is complete and the device enters the stack mode.

Current configuration will be converted to the next startup saved-configuration file of stack mode.

System will reboot. Continue? [Y/N]: y

 

# Habilitamos la función de stack en CE12800-4 y reinicie el switch.

<CE12800-4> save

Warning: The current configuration will be written to the device. Continue? [Y/N]: y

<CE12800-4> system-view

[~CE12800-4] stack

[~CE12800-4-stack] stack enable

Warning: Make sure that one or more dual-active detection methods are configured once the conversion is complete and the device enters the stack mode.

Current configuration will be converted to the next startup saved-configuration file of stack mode.

System will reboot. Continue? [Y/N]: y

 

e.    Renombramos el sistema de stack a CSS.

<CE12800-3> system-view

[~CE12800-3] sysname CSS

[*CE12800-3] commit

 

2. Configuramos la función iStack en los switches de acceso. Aquí se usan las configuraciones en CE6800-1 y CE6800-2.


NOTA: Las configuraciones en otros switches son similares.

 

a.    Configuramos los atributos de stack para CE6800-1 y CE6800-2. (Establecemos una prioridad más alta para CE6800-1, entonces CE6800-1 se convertirá en el switch maestro.)

# En CE6800-1, establecemos ID de stack en 1, prioridad en 150 e ID de dominio en 20. (Por defecto, el ID de miembro de stack de un switch es 1. En este ejemplo, CE6800-1 conserva el ID de miembro de stack predeterminada 1 y no debe configurarse este parámetro.)

<HUAWEI> system-view

[~HUAWEI] sysname CE6800-1

[*HUAWEI] commit

[~CE6800-1] stack

[~CE6800-1-stack] stack member 1 priority 150

[*CE6800-1-stack] stack member 1 domain 20

[*CE6800-1-stack] quit

[*CE6800-1] commit

# En CE6800-2, establecemos el ID de stack en 2 y el ID de dominio en 20.

<HUAWEI> system-view

[~HUAWEI] sysname CE6800-2

[*HUAWEI] commit

[~CE6800-2] stack

[~CE6800-2-stack] stack member 1 renumber 2 inherit-config

Warning: The stack configuration of member ID 1 will be inherited to member ID 2 after the device resets. Continue? [Y/N]: y

[*CE6800-2-stack] stack member 1 priority 100

[*CE6800-2-stack] stack member 1 domain 20

[*CE6800-2-stack] quit

[*CE6800-2] commit

 

b. Configuramos los puertos de stack. Dos switches están conectados por cuatro puertos ópticos 10GE.

 

# En CE6800-1, agregamos 10GE1/0/1-10GE1/0/4 al puerto de stack 1/1.

[~CE6800-1] interface stack-port 1/1

[*CE6800-1-Stack-Port1/1] port member-group interface 10ge 1/0/1 to 1/0/4

Warning: The interface(s) (10GE1/0/1-1/0/4) will be converted to stack mode. [Y/N]: y

[*CE6800-1-Stack-Port1/1] quit

[*CE6800-1] commit

 

# El procedimiento de configuración en CE6800-2 es el mismo que en CE6800-1, por tal motivo no se muestro la configuración.

 

c. Guardamos las configuraciones de CE6800-1 y CE6800-2, apagamos los dos switches, conectamos los cables de stack y encendemos los switches.

 

d.    Renombramos el sistema de stack a iStack-1. CE6800-1 funcionara como el switch maestro en este ejemplo.

<CE6800-1> system-view

[~CE6800-1] sysname iStack-1

[*CE6800-1] commit

 

e.    Configuramos stack que consta de CE6800-3 y CE6800-4 según las configuraciones anteriores. Renombramos el sistema de stack a iStack-2. CE6800-3 funcionara como el switch maestro en este ejemplo.

3. Conectamos los sistemas CSS e iStack a switches de flujo ascendente y descendente, y firewalls a través de Eth-Trunks. La conexión entre CSS e iStack-1 se usa como ejemplo.

 

# Cree Eth-Trunk2 en el CSS, y agregue 10GE1/1/0/5, 10GE1/2/0/5, 10GE2/1/0/5 y 10GE2/2/0/5 a Eth-Trunk2.

[~CSS] interface eth-trunk 2

[*CSS-Eth-Trunk2] description To_iStack-1

[*CSS-Eth-Trunk2] trunkport 10ge 1/1/0/5 1/2/0/5 2/1/0/5 2/2/0/5

[*CSS-Eth-Trunk2] quit

[*CSS] commit

 # Creamos Eth-Trunk2 en iStack-1, y agregamos 10GE1/0/5, 10GE1/0/6, 10GE2/0/5 y 10GE2/0/6 a Eth-Trunk2.

[~iStack-1] interface eth-trunk 2

[*iStack-1-Eth-Trunk2] description To_CSS

[*iStack-1-Eth-Trunk2] trunkport 10ge 1/0/5 to 1/0/6

[*iStack-1-Eth-Trunk2] trunkport 10ge 2/0/5 to 2/0/6

[*iStack-1-Eth-Trunk2] quit

[*iStack-1] commit

 

# La configuración es la misma que las configuraciones en otros Eth-Trunks, motivo por el cual nos las menciono aquí.

 

4. Configuramos DAD en modo de retransmisión en CSS e iStacks para garantizar una alta confiabilidad. A continuación, utilizaremos la configuración de DAD en modo de retransmisión en el CSS como ejemplo.

 

# En CSS, configuramos DAD en modo de retransmisión en los Eth-Trunks que se conectan a CE12800-1 y CE12800-2.

[~CSS] interface eth-trunk 8

[~CSS-Eth-Trunk8] dual-active detect mode relay

[*CSS-Eth-Trunk8] quit

[*CSS] interface eth-trunk 9

[*CSS-Eth-Trunk9] dual-active detect mode relay

[*CSS-Eth-Trunk9] quit

[*CSS] commit

 

# Configuramos la función proxy en los Eth-Trunks que conectan CE12800-1 y CE12800-2 al CSS.

<HUAWEI> system-view

[~HUAWEI] sysname CE12800-1

[*HUAWEI] commit

[~CE12800-1] interface eth-trunk 8

[~CE12800-1-Eth-Trunk8] dual-active proxy

[*CE12800-1-Eth-Trunk8] quit

[*CE12800-1] commit

 

<HUAWEI> system-view

[~HUAWEI] sysname CE12800-2

[*HUAWEI] commit

[~CE12800-2] interface eth-trunk 9

[~CE12800-2-Eth-Trunk9] dual-active proxy

[*CE12800-2-Eth-Trunk9] quit

[*CE12800-2] commit

 

# Configuramos DAD en modo de retransmisión en iStacks según el método anterior. Motivo por el cual no muestro la configuración aquí.

5. Creamos la VLAN100 en el CSS y agregamos el puerto conectado al iStack a VLAN100 para implementar la conexión de capa 2.

 

# En el CSS, permitimos VLAN100 en la interfaz Eth-Trunk conectada a iStack-1.

[~CSS] interface eth-trunk 2

[*CSS-Eth-Trunk2] port link-type trunk

[*CSS-Eth-Trunk2] undo port trunk allow-pass vlan 1

[*CSS-Eth-Trunk2] port trunk allow-pass vlan 100

[*CSS-Eth-Trunk2] quit

[*CSS] commit

 

# En iStack-1, permitimos VLAN100 en la interfaz Eth-Trunk conectada al CSS.

[~iStack-1] interface eth-trunk 2

[*iStack-1-Eth-Trunk2] port link-type trunk

[*iStack-1-Eth-Trunk2] undo port trunk allow-pass vlan 1

[*iStack-1-Eth-Trunk2] port trunk allow-pass vlan 100

[*iStack-1-Eth-Trunk2] quit

[*iStack-1] commit

 

# En el CSS, permitimos VLAN100 en la interfaz Eth-Trunk conectada a iStack-2. La configuración es la misma que la configuración en el paso anterior.

6. Asignamos una dirección IP a cada interfaz.

 

# Configuramos la dirección IP para la interfaz VLANIF conectada al firewall. La configuración de dirección IP de VLANIF200 se utilizara como ejemplo.

[~CSS] vlan batch 200

[*CSS] interface Vlanif 200

[*CSS-Vlanif200] ip address 10.10.2.1 24

[*CSS-Vlanif200] quit

[*CSS] interface eth-trunk 4

[*CSS-Eth-Trunk4] port link-type trunk

[*CSS-Eth-Trunk4] undo port trunk allow-pass vlan 1

[*CSS-Eth-Trunk4] port trunk allow-pass vlan 200

[*CSS-Eth-Trunk4] port trunk pvid vlan 200

[*CSS-Eth-Trunk4] quit

[*CSS] interface eth-trunk 6

[*CSS-Eth-Trunk6] port link-type trunk

[*CSS-Eth-Trunk6] undo port trunk allow-pass vlan 1

[*CSS-Eth-Trunk6] port trunk allow-pass vlan 200

[*CSS-Eth-Trunk6] port trunk pvid vlan 200

[*CSS-Eth-Trunk6] quit

[*CSS] commit

 

# Configuramos las direcciones IP para otras interfaces VLANIF conectadas al firewalls de acuerdo con el método anterior.

# Configuramos las direcciones IP para las interfaces que conectan CE12800-1 y CE12800-2 con CSS y el router. Configuramos las interfaces Ethernet como interfaces de capa 3. La configuración en Eth-Trunk1 entre CE12800-1 y CE12800-2 se usa como ejemplo.

NOTA:

Para V100R002 y versiones posteriores, una interfaz Ethernet se puede configurar como una interfaz de capa 3 utilizando el comando undo portswitch. Si su switch CE no es compatible con esta función, use una interfaz VLANIF.

 

[~CE12800-1] interface eth-trunk 1

[*CE12800-1-Eth-Trunk1] undo portswitch

[*CE12800-1-Eth-Trunk1] ip address 10.10.6.1 24

 

[*CE12800-2] interface eth-trunk 1

[*CE12800-2-Eth-Trunk1] undo portswitch

[*CE12800-2-Eth-Trunk1] ip address 10.10.6.2 24

 

# Configuramos las direcciones IP para otras interfaces Ethernet de capa 3 de acuerdo con el paso anterior.

 

7. Configuramos las rutas entre firewalls, CSS, CE12800-1, CE12800-2 y router para implementar la conexión de Capa 3. Ejecutamos OSPF entre CSS, CE12800-1, CE12800-2 y router. Configuramos una ruta estática entre firewalls y CSS.

 

Creamos VRF-A en el CSS, enlace las interfaces de servicio y las interfaces de flujo descendente conectadas a los firewalls a VRF-A. La ruta predeterminada de VRF-A está destinada a la dirección IP virtual de VRRP de flujo descendente de los firewalls.

 

# Creamos VRF-A en CSS, vinculamos VLANIF100 y VLANIF200 a VRF-A, y establecemos la dirección de destino de la ruta predeterminada a la dirección IP virtual de los firewalls.

NOTA:

 Cuando una interfaz está vinculada a VRF-A, se eliminará la dirección IP de la interfaz; por lo tanto, se debe reconfigurar la dirección IP.

 

[~CSS] ip vpn-instance VRF-A     //Creamos VRF-A.

[*CSS-vpn-instance-VRF-A] ipv4-family

[*CSS-vpn-instance-VRF-A-af-ipv4] route-distinguisher 100:1

[*CSS-vpn-instance-VRF-A-af-ipv4] vpn-target 111:1 both

[*CSS-vpn-instance-VRF-A-af-ipv4] quit

[*CSS-vpn-instance-VRF-A] quit

[*CSS] interface Vlanif 100

[*CSS-Vlanif100] ip binding vpn-instance VRF-A     //Vinculamos VLANIF100 a VRF-A.

[*CSS-Vlanif100] ip address 10.10.1.1 24

[*CSS-Vlanif100] quit

[*CSS] interface Vlanif 200

[*CSS-Vlanif200] ip binding vpn-instance VRF-A     //Vinculamos VLANIF200 a VRF-A.

[*CSS-Vlanif200] ip address 10.10.2.1 24

[*CSS-Vlanif200] quit

[*CSS] ip route-static vpn-instance VRF-A 0.0.0.0 0.0.0.0 10.10.2.5    //Agregamos una ruta predeterminada destinada a la dirección IP virtual de VRRP de flujo descendente de los firewalls a VRF-A.

[*CSS] commit

 

# Configuramos una ruta estática desde el CSS al segmento de red de servicio con los firewalls como el próximo salto. Ejecutamos OSPF entre CSS, CE12800-1 y CE12800-2 e importamos la ruta estática a OSPF.

[~CSS] ip route-static 10.10.1.0 255.255.255.0 10.10.3.5     //Configuramos una ruta estática destinada al segmento de red de servicio. El siguiente salto es la dirección IP virtual de VRRP.

[*CSS] ospf 100       //Ejecutamos OSPF entre CSS y router.

[*CSS-ospf-100] area 0

[*CSS-ospf-100-area-0.0.0.0] network 10.10.4.0 0.0.0.255

[*CSS-ospf-100-area-0.0.0.0] network 10.10.5.0 0.0.0.255

[*CSS-ospf-100-area-0.0.0.0] quit

[*CSS-ospf-100] import-route static      //Importamos la ruta estática.

[*CSS-ospf-100] quit

[*CSS] commit

 

# Configuramos OSPF en CE12800-1, CE12800-2 y router. La configuración en CE12800-1 se usa como ejemplo.

[~CE12800-1] ospf 100

[*CE12800-1-ospf-100] area 0

[*CE12800-1-ospf-100-area-0.0.0.0] network 10.10.4.0 0.0.0.255

[*CE12800-1-ospf-100-area-0.0.0.0] network 10.10.6.0 0.0.0.255

[*CE12800-1-ospf-100-area-0.0.0.0] network 10.10.7.0 0.0.0.255

[*CE12800-1-ospf-100-area-0.0.0.0] quit

[*CE12800-1-ospf-100] quit

[*CE12800-1] commit

 

# Las configuraciones en CE12800-2 y router son similares a la configuración en CE12800-1, motivo por el cual no las muestro aquí.

 

8. Configuramos los firewalls.

 

En este ejemplo, los firewalls son firewalls USG de Huawei J

 

# Realizamos las configuraciones básicas en FW-1, incluidos el nombre del firewall, la interfaz y la zona de seguridad.

<USG> system-view

[USG] sysname FW-1

[FW-1] interface Eth-Trunk 4

[FW-1-Eth-Trunk4] trunkport GigabitEthernet 1/0/0 1/0/1

[FW-1-Eth-Trunk4] ip address 10.10.2.2 24

[FW-1-Eth-Trunk4] quit

[FW-1] interface Eth-Trunk 5

[FW-1-Eth-Trunk5] trunkport GigabitEthernet 1/1/0 1/1/1

[FW-1-Eth-Trunk5] ip address 10.10.3.2 24

[FW-1-Eth-Trunk5] quit

[FW-1] interface Eth-Trunk 1

[FW-1-Eth-Trunk1] trunkport GigabitEthernet 2/0/0 2/0/1

[FW-1-Eth-Trunk1] ip address 10.1.1.1 24

[FW-1-Eth-Trunk1] quit

[FW-1] firewall zone trust

[FW-1-zone-trust] add interface Eth-Trunk 4

[FW-1-zone-trust] quit

[FW-1] firewall zone untrust

[FW-1-zone-untrust] add interface Eth-Trunk 5

[FW-1-zone-untrust] quit

[FW-1] firewall zone dmz

[FW-1-zone-dmz] add interface Eth-Trunk 1

[FW-1-zone-dmz] quit

 

# Realice las configuraciones básicas en FW-2, incluidos el nombre del dispositivo, la interfaz y la zona de seguridad.

<USG> system-view

[USG] sysname FW-2

[FW-2] interface Eth-Trunk 4

[FW-2-Eth-Trunk4] trunkport GigabitEthernet 1/0/0 1/0/1

[FW-2-Eth-Trunk4] ip address 10.10.2.3 24

[FW-2-Eth-Trunk4] quit

[FW-2] interface Eth-Trunk 5

[FW-2-Eth-Trunk5] trunkport GigabitEthernet 1/1/0 1/1/1

[FW-2-Eth-Trunk5] ip address 10.10.3.3 24

[FW-2-Eth-Trunk5] quit

[FW-2] interface Eth-Trunk 1

[FW-2-Eth-Trunk1] trunkport GigabitEthernet 2/0/0 2/0/1

[FW-2-Eth-Trunk1] ip address 10.1.1.2 24

[FW-2-Eth-Trunk1] quit

[FW-2] firewall zone trust

[FW-2-zone-trust] add interface Eth-Trunk 4

[FW-2-zone-trust] quit

[FW-2] firewall zone untrust

[FW-2-zone-untrust] add interface Eth-Trunk 5

[FW-2-zone-untrust] quit

[FW-2] firewall zone dmz

[FW-2-zone-dmz] add interface Eth-Trunk 1

[FW-2-zone-dmz] quit

 

# Configuramos la ruta estática en FW-1.

[FW-1] ip route-static 0.0.0.0 0.0.0.0 10.10.3.1      //Configuramos una ruta desde la red interna hacia la red externa. El siguiente salto es la dirección IP de VLANIF300 conectada a la interfaz de flujo ascendente del firewalls.

[FW-1] ip route-static 10.10.1.0 255.255.255.0 10.10.2.1      //Configuramos una ruta desde la red externa a la red interna. La dirección de destino es el segmento de red donde reside el servidor interno, y el siguiente salto es la dirección IP de VLANIF200 conectada a la interfaz de flujo ascendente del firewalls.

 

# Configuramos la ruta estática en FW-2.

[FW-2] ip route-static 0.0.0.0 0.0.0.0 10.10.3.1     

[FW-2] ip route-static 10.10.1.0 255.255.255.0 10.10.2.1

# Configuramos el modo de espera activo en FW-1.}

[FW-1] interface Eth-Trunk 4

[FW-1-Eth-Trunk4] vrrp vrid 1 virtual-ip 10.10.2.5 24 master     //Configuramos la dirección IP virtual de VRRP de flujo descendente.

[FW-1-Eth-Trunk4] quit

[FW-1] interface Eth-Trunk 5

[FW-1-Eth-Trunk5] vrrp vrid 2 virtual-ip 10.10.3.5 24 master     //Configuramos la dirección IP virtual de VRRP de flujo ascendente.

[FW-1-Eth-Trunk5] quit

[FW-1] hrp interface Eth-Trunk 1 remote 10.1.1.2

[FW-1] firewall packet-filter default permit interzone local dmz

[FW-1] hrp enable

# Configuramos el modo de espera en en FW-2.

[FW-2] interface Eth-Trunk 4

[FW-2-Eth-Trunk4] vrrp vrid 1 virtual-ip 10.10.2.5 24 slave

[FW-2-Eth-Trunk4] quit

[FW-2] interface Eth-Trunk 5

[FW-2-Eth-Trunk5] vrrp vrid 2 virtual-ip 10.10.3.5 24 slave

[FW-2-Eth-Trunk5] quit

[FW-2] hrp interface Eth-Trunk 1 remote 10.1.1.1

[FW-2] firewall packet-filter default permit interzone local dmz

[FW-2] hrp enable

 

NOTA:

Después de configurar el modo de espera, las configuraciones y sesiones en el firewall activo se sincronizan con el firewall standby; por lo tanto, sólo necesita realizar las siguientes configuraciones en el firewall activo FW-1.

 

# Configuramos la política de seguridad y la protección contra intrusiones.

 

NOTA:

Antes de configurar la protección contra intrusiones, nos aseguraremos de que la biblioteca de firmas de intrusiones sea la última versión.

Al configurar la protección contra intrusiones, usamos el archivo de intrusión predeterminado default.

 

HRP_M[FW-1] policy interzone trust untrust outbound

HRP_M[FW-1-policy-interzone-trust-untrust-outbound] policy 1

HRP_M[FW-1-policy-interzone-trust-untrust-outbound-1] policy source 10.10.1.0 mask 24     //La dirección de origen es el segmento de red donde reside el servidor interno.

HRP_M[FW-1-policy-interzone-trust-untrust-outbound-1] action permit

HRP_M[FW-1-policy-interzone-trust-untrust-outbound-1] profile ips default       //Utilizams el archivo predeterminado.

HRP_M[FW-1-policy-interzone-trust-untrust-outbound-1] quit

HRP_M[FW-1-policy-interzone-trust-untrust-outbound] quit

HRP_M[FW-1] policy interzone trust untrust inbound

HRP_M[FW-1-policy-interzone-trust-untrust-inbound] policy 1

HRP_M[FW-1-policy-interzone-trust-untrust-inbound-1] policy destination 10.10.1.0 mask 24     //La dirección de destino es el segmento de red donde reside el servidor interno.

HRP_M[FW-1-policy-interzone-trust-untrust-inbound-1] policy service service-set ftp http     //Los protocolos de FTP y HTTP se utilizan como un ejemplo aquí. Si otras aplicaciones se están ejecutando en su red, especifíquelas.

HRP_M[FW-1-policy-interzone-trust-untrust-inbound-1] action permit

HRP_M[FW-1-policy-interzone-trust-untrust-inbound-1] profile ips default

HRP_M[FW-1-policy-interzone-trust-untrust-inbound-1] quit

HRP_M[FW-1-policy-interzone-trust-untrust-inbound] quit

HRP_M[FW-1] ips enable

 

# Configuramos defensa contra ataques.

 

Los umbrales de defensa contra ataques en este ejemplo son sólo para referencia. Configuramos los umbrales de acuerdo con el volumen de tráfico en su red.

 

HRP_M[FW-1] firewall defend syn-flood enable

HRP_M[FW-1] firewall defend syn-flood zone untrust max-rate 20000

HRP_M[FW-1] firewall defend udp-flood enable

HRP_M[FW-1] firewall defend udp-flood zone untrust max-rate 1500

HRP_M[FW-1] firewall defend icmp-flood enable

HRP_M[FW-1] firewall defend icmp-flood zone untrust max-rate 20000

HRP_M[FW-1] firewall blacklist enable

HRP_M[FW-1] firewall defend ip-sweep enable

HRP_M[FW-1] firewall defend ip-sweep max-rate 4000

HRP_M[FW-1] firewall defend port-scan enable

HRP_M[FW-1] firewall defend port-scan max-rate 4000

HRP_M[FW-1] firewall defend ip-fragment enable

HRP_M[FW-1] firewall defend ip-spoofing enable

 

# Configuramos ASPF.

HRP_M[FW-1] firewall interzone trust untrust

HRP_M[FW-1-interzone-trust-untrust] detect ftp        //El protocolo de FTP se usa como ejemplo aquí. Si están ejecutando otras aplicaciones en su red, habilite la función ASPF para ellas.

HRP_M[FW-1-interzone-trust-untrust] quit

 

Validación de la configuración

 

Una vez completadas las configuraciones anteriores, validamos si los servidores y el router pueden hacer ping entre sí. En este ejemplo, los servidores hacen ping al router.

 

PC> ping 10.10.7.2

 

Ping 10.10.7.2: 32 data bytes, Press Ctrl_C to break

From 10.10.7.2: bytes=32 seq=1 ttl=251 time=63 ms

From 10.10.7.2: bytes=32 seq=2 ttl=251 time=94 ms

From 10.10.7.2: bytes=32 seq=3 ttl=251 time=63 ms

From 10.10.7.2: bytes=32 seq=4 ttl=251 time=62 ms

From 10.10.7.2: bytes=32 seq=5 ttl=251 time=47 ms

 

--- 10.10.7.2 ping statistics ---

  5 packet(s) transmitted

  5 packet(s) received

  0.00% packet loss

  round-trip min/avg/max = 47/65/94 ms

 

Espero que con este ejemplo típico de configuración de una red de data center de capa 3 basada en stack, sea de gran utilidad.

 

Te invito a que me dejes un comentario y/o pregunta, lo antes posible estaría dando respuesta a ellas.

 

Saludos!

  • x
  • convención:

Gustavo.HdezF
Moderador Publicado 2019-9-2 11:32:10 Útil(0) Útil(0)
Gracias @Jorge completo e interesante el ejemplo de configuración que nos compartiste. Asumiendo que la instalación esta concluida, en cuanto tiempo se realizaría la configuración y las primeras pruebas de operación?? Saludos.
  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2020%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.
Jorge
VIP Publicado 2019-9-2 12:14:08 Útil(0) Útil(0)
@Gustavo.HdezF buen día.

Las configuraciones de todos los dispositivos, debe llevar un día dado que algunas configuraciones son similares como lo menciono en el cuerpo de la publicación y las primeras pruebas de operación pueden llevarte de dos a tres días, antes de ponerlos en operación y/oproducción.

Cabe mencionar que también, se debe considerar el expertise que tenga el ingeniero que realiza la implementación en este tipo de implementaciones.

Saludos!
  • x
  • convención:

Gustavo.HdezF
Gustavo.HdezF Publicado 2019-9-2 12:15
Gracias Jorge. Saludos.  
Senior Cybersecurity Engineer

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje