De acuerdo

Configurar un Switch de Capa 2 con Cortafuegos para acceso a Internet

Última respuesta ag. 01, 2021 00:24:44 154 10 9 0 0

Hola que tal querida Comunidad de Huawei Enterprise, en este post aprenderás a conectar y realizar una configuración típica entre un switch capa 2 y un Cortafuegos.


Los Switch capa 2 no son capaces de reenviar paquetes capa 3, los Switch de capa 2 solo funcionan en el acceso de la red son los primeros equipos que reciben el tráfico de los usuarios, como estos no poseen funciones de enrutamiento utilizaremos un cortafuego como Gateway Predeterminado.


Esta configuración se aplica a switch de la serie S600 y contrafuegos USG6650.


Topología

topo

Pasos para la Configuración.


Paso 1 Configuramos el switch.

 

<HUAWEI> system-view

[HUAWEI] sysname Switch

[Switch] vlan batch 2 3

[Switch] interface gigabitethernet 0/0/2

[Switch-GigabitEthernet0/0/2] port link-type access

[Switch-GigabitEthernet0/0/2] port default vlan 2

[Switch-GigabitEthernet0/0/2] quit

 

[Switch] interface gigabitethernet 0/0/3

[Switch-GigabitEthernet0/0/3] port link-type access

[Switch-GigabitEthernet0/0/3] port default vlan 3

[Switch-GigabitEthernet0/0/3] quit

 

Configuramos la interfaz conectada a los cortafuegos.

 

[Switch] interface gigabitethernet 0/0/1

[Switch-GigabitEthernet0/0/1] port link-type trunk

[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 3

[Switch-GigabitEthernet0/0/1] quit

 

Paso 2 Configuramos los cortafuegos.


El cortafuegos lo podemos configurar con subinterfaces o con Interfaces VLANIF.

Configuramos las subinterfaces para la terminación de la etiqueta de VLAN.

 

<USG6600> system-view

[USG6600] interface gigabitethernet 1/0/1.1

[USG6600-GigabitEthernet1/0/1.1] vlan-type dot1q 2

[USG6600-GigabitEthernet1/0/1.1] ip address 192.168.1.1 24

[USG6600-GigabitEthernet1/0/1.1] quit

[USG6600] interface gigabitethernet 1/0/1.2

[USG6600-GigabitEthernet1/0/1.2] vlan-type dot1q 3

[USG6600-GigabitEthernet1/0/1.2] ip address 192.168.2.1 24

[USG6600-GigabitEthernet1/0/1.2] quit


Configuramos el DHCP para asignar direcciones IP a usuarios en la intranet con la dirección del servidor DNS.

 

[USG6600] dhcp enable

[USG6600] interface gigabitethernet 1/0/1.1

[USG6600-GigabitEthernet1/0/1.1] dhcp select interface

[USG6600-GigabitEthernet1/0/1.1] dhcp server dns-list 114.114.114.114 223.5.5.5

USG6600-GigabitEthernet1/0/1.1] quit

 

[USG6600] interface gigabitethernet 1/0/1.2

[USG6600-GigabitEthernet1/0/1.2] dhcp select interface

[USG6600-GigabitEthernet1/0/1.2] dhcp server dns-list 114.114.114.114 223.5.5.5

[USG6600-GigabitEthernet1/0/1.2] quit


Configuramos una dirección IP de interfaz de red pública y una ruta estática.

 

[USG6600] interface gigabitethernet 1/0/2

[USG6600-GigabitEthernet1/0/2] ip address 200.0.0.2 255.255.255.0

[USG6600-GigabitEthernet1/0/2] quit

[USG6600] ip route-static 0.0.0.0 0.0.0.0 200.0.0.1

 

Configuramos la zona de seguridad.

 

[USG6600] firewall zone trust

[USG6600-zone-trust] add interface gigabitethernet 1/0/1

[USG6600-zone-trust] add interface gigabitethernet 1/0/1.1

[USG6600-zone-trust] add interface gigabitethernet 1/0/1.2

[USG6600-zone-trust] quit

 

[USG6600] firewall zone untrust

[USG6600-zone-untrust] add interface gigabitethernet 1/0/2

[USG6600-zone-untrust] quit

 

Configuramos una política de seguridad para admitir el acceso entre zonas.

 

[USG6600] security-policy

[USG6600-policy-security] rule name policy1

[USG6600-policy-security-rule-policy1] source-zone trust

[USG6600-policy-security-rule-policy1] destination-zone untrust

[USG6600-policy-security-rule-policy1] source-address 192.168.0.0 mask 255.255.0.0

[USG6600-policy-security-rule-policy1] action permit

[USG6600-policy-security-rule-policy1] quit

[USG6600-policy-security] quit

 

Configure un grupo de direcciones PAT para admitir el cambio de la dirección de la interfaz.

 

[USG6600] nat address-group addressgroup1

[USG6600-address-group-addressgroup1] mode pat

[USG6600-address-group-addressgroup1] route enable

[USG6600-address-group-addressgroup1] section 0 200.0.0.2 200.0.0.2

[USG6600-address-group-addressgroup1] quit

 

Configuramos una política PAT para que las direcciones IP originales se cambian automáticamente cuando los dispositivos en un segmento de red específico de una red interna accedan a Internet.

 

[USG6600] nat-policy

[USG6600-policy-nat] rule name policy_nat1

[USG6600-policy-nat-rule-policy_nat1] source-zone trust

[USG6600-policy-nat-rule-policy_nat1] destination-zone untrust

[USG6600-policy-nat-rule-policy_nat1] source-address 192.168.0.0 mask 255.255.0.0

[USG6600-policy-nat-rule-policy_nat1] action nat address-group addressgroup1

[USG6600-policy-nat-rule-policy_nat1] quit

[USG6600-policy-nat] quit

[USG6600] quit

 

Configuramos las interfaces VLANIF en el cortafuegos para implementar el reenvío de Capa 3.

.Configuramos  las interfaces VLANIF.

 

<USG6600> system-view

[USG6600] vlan batch 2 3

[USG6600] interface gigabitethernet 1/0/1

[USG6600-GigabitEthernet1/0/1] portswitch

[USG6600-GigabitEthernet1/0/1] port link-type hybrid

[USG6600-GigabitEthernet1/0/1] port hybrid tagged vlan 2 to 3

[USG6600-GigabitEthernet1/0/1] quit

 

[USG6600] interface vlanif 2

[USG6600-Vlanif2] ip address 192.168.1.1 24

[USG6600-Vlanif2] quit

 

[USG6600] interface vlanif 3

[USG6600-Vlanif3] ip address 192.168.2.1 24

[USG6600-Vlanif3] quit


Configuramos las funciones DHCP y DNS.

 

[USG6600] dhcp enable

[USG6600] interface vlanif 2

[USG6600-Vlanif2] dhcp select interface

[USG6600-Vlanif2] dhcp server dns-list 114.114.114.114 223.5.5.5

[USG6600-Vlanif2] quit

 

[USG6600] interface vlanif 3

[USG6600-Vlanif3] dhcp select interface

[USG6600-Vlanif3] dhcp server dns-list 114.114.114.114 223.5.5.5

[USG6600-Vlanif3] quit


Configuramos una dirección IP de interfaz de red pública y una ruta estática.

 

[USG6600] interface gigabitethernet 1/0/2

[USG6600-GigabitEthernet1/0/2] ip address 200.0.0.2 255.255.255.0

[USG6600-GigabitEthernet1/0/2] quit

 

[USG6600] ip route-static 0.0.0.0 0.0.0.0 200.0.0.1

 

Configuramos la zona de seguridad.

 

[USG6600] firewall zone trust

[USG6600-zone-trust] add interface gigabitethernet 1/0/1

[USG6600-zone-trust] add interface vlanif 2

[USG6600-zone-trust] add interface vlanif 3

[USG6600-zone-trust] quit

 

[USG6600] firewall zone untrust

[USG6600-zone-untrust] add interface gigabitethernet 1/0/2

[USG6600-zone-untrust] quit

 

Configuramos una política de seguridad para admitir el acceso entre zonas.

 

[USG6600] security-policy

[USG6600-policy-security] rule name policy1

[USG6600-policy-security-rule-policy1] source-zone trust

[USG6600-policy-security-rule-policy1] destination-zone untrust

[USG6600-policy-security-rule-policy1] source-address 192.168.0.0 mask 255.255.0.0

[USG6600-policy-security-rule-policy1] action permit

[USG6600-policy-security-rule-policy1] quit

[USG6600-policy-security] quit

 

Configuramos un grupo de direcciones PAT para admitir el cambio de la dirección de la interfaz.

 

[USG6600] nat address-group addressgroup1

[USG6600-address-group-addressgroup1] mode pat

[USG6600-address-group-addressgroup1] route enable

[USG6600-address-group-addressgroup1] section 0 200.0.0.2 200.0.0.2

[USG6600-address-group-addressgroup1] quit

 

Configuramos una política PAT para que las direcciones IP originales cambien automáticamente cuando los dispositivos en un segmento de red específico de una red interna accedan a Internet.

 

[USG6600] nat-policy

[USG6600-policy-nat] rule name policy_nat1

[USG6600-policy-nat-rule-policy_nat1] source-zone trust

[USG6600-policy-nat-rule-policy_nat1] destination-zone untrust

[USG6600-policy-nat-rule-policy_nat1] source-address 192.168.0.0 mask 255.255.0.0

[USG6600-policy-nat-rule-policy_nat1] action nat address-group addressgroup1

[USG6600-policy-nat-rule-policy_nat1] quit

[USG6600-policy-nat] quit


Configurar entradas de direcciones Mac estáticas


  • x
  • convención:

Gustavo.HdezF
Admin Publicado 2021-7-20 10:15:56
  • x
  • convención:

cardelher
VIP Author Publicado 2021-7-20 10:38:16

Excelente ejemplo de configuración, gracias por compartir.

Ver más
  • x
  • convención:

Adriale
Publicado 2021-7-20 10:41:17
Excelente
Ver más
  • x
  • convención:

user_3915171
user_3915171 Publicado 2021-8-3 18:44 (0) (0)
 
JennH
Publicado 2021-7-22 13:20:56
Gracias por la info Configurar un Switch de Capa 2 con Cortafuegos para acceso a Internet-4046597-1
Ver más
  • x
  • convención:

user_4000619
user_4000619 Publicado 2021-7-23 01:19 (1) (0)
 
Morgorot
Publicado 2021-7-29 22:42:24
Gracias por la informacion, excelente explicacion y buen ejemplo
Ver más
  • x
  • convención:

edelchino
Publicado 2021-8-1 00:24:44
Excelente Post con ejemplo detallado de su configuración. Muy Bueno.
Ver más
  • x
  • convención:

edelchino
edelchino Publicado 2021-8-1 00:25 (0) (0)
 
Claire
Claire Publicado 2021-8-3 14:37 (0) (0)
:-)  

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.