De acuerdo

Configurar un switch de Capa 3 para trabajar con cortafuegos para acceso de Internet

Última respuesta ag. 13, 2021 13:50:01 104 5 5 0 0

Hola querida Comunidad de Huawei Enterprise, en este post vamos a configurar un Switch capa 3 de la Serie S600 para que trabaje con un cortafuegos.

 

Los switches de Capa 3 pueden funcionar en la Capa 2 y en la Capa 3 y desplegarse en la capa de acceso o en la capa de agregación como gateway de usuario.

 

Topología

topo

La ruta de configuración es la siguiente:

 

1. Configuramos el switch como el gateway para permitir que los usuarios se comuniquen por segmentos de red a través de las interfaces VLANIF.

 

2. Configuramos el switch como servidor DHCP para asignar direcciones IP a los host.

 

3. Configuramos una política de interconexión de seguridad para el cortafuegos.

 

4. Configuramos la función PAT en los cortafuegos.

 

 

Pasos para la Configuración

 

Paso 1 Configuramos el switch.

 

Configuramos las interfaces conectadas a los usuarios y las interfaces VLANIF correspondientes.

 

<HUAWEI> system-view

[HUAWEI] sysname Switch

[Switch] vlan batch 2 3

[Switch] interface gigabitethernet 0/0/2

[Switch-GigabitEthernet0/0/2] port link-type access

[Switch-GigabitEthernet0/0/2] port default vlan 2

[Switch-GigabitEthernet0/0/2] quit

 

[Switch] interface gigabitethernet 0/0/3

[Switch-GigabitEthernet0/0/3] port link-type access

[Switch-GigabitEthernet0/0/3] port default vlan 3

[Switch-GigabitEthernet0/0/3] quit

 

[Switch] interface vlanif 2

[Switch-Vlanif2] ip address 192.168.1.1 24

[Switch-Vlanif2] quit

 

[Switch] interface vlanif 3

[Switch-Vlanif3] ip address 192.168.2.1 24

[Switch-Vlanif3] quit

 

Configuramos la interfaz conectada al cortafuegos y la interfaz VLANIF correspondiente.

 

[Switch] vlan batch 100

[Switch] interface gigabitethernet 0/0/1

[Switch-GigabitEthernet0/0/1] port link-type access

[Switch-GigabitEthernet0/0/1] port default vlan 100

[Switch-GigabitEthernet0/0/1] quit

 

[Switch] interface vlanif 100

[Switch-Vlanif100] ip address 192.168.100.2 24

[Switch-Vlanif100] quit

 

Configuramos la ruta predeterminada.

 

[Switch] ip route-static 0.0.0.0 0.0.0.0 192.168.100.1

 

Configuramos el servidor DHCP.

 

[Switch] dhcp enable

[Switch] interface vlanif 2

[Switch-Vlanif2] dhcp select interface

[Switch-Vlanif2] dhcp server dns-list 114.114.114.114 223.5.5.5

[Switch-Vlanif2] quit

 

[Switch] interface vlanif 3

[Switch-Vlanif3] dhcp select interface

[Switch-Vlanif3] dhcp server dns-list 114.114.114.114 223.5.5.5

[Switch-Vlanif3] quit

 

 

Paso 2 Configuramos el cortafuegos.

 

Configuramos una dirección IP para la interfaz conectada al switch.

 

<USG> system-view

[USG] interface gigabitethernet 1/0/1

[USG-GigabitEthernet1/0/1] ip address 192.168.100.1 255.255.255.0

[USG-GigabitEthernet1/0/1] quit

 

Configuramos una dirección IP para la interfaz conectada a Internet.

 

[USG] interface gigabitethernet 1/0/2

[USG-GigabitEthernet1/0/2] ip address 200.0.0.2 255.255.255.0

[USG-GigabitEthernet1/0/2] quit

 

Configuramos una ruta predeterminada y una ruta de retorno.

 

[USG] ip route-static 0.0.0.0 0.0.0.0 200.0.0.1

[USG] ip route-static 192.168.0.0 255.255.0.0 192.168.100.2

 

Configuramos zonas de seguridad.

 

[USG] firewall zone trust

[USG-zone-trust] add interface gigabitethernet 1/0/1

[USG-zone-trust] quit

 

[USG] firewall zone untrust

[USG-zone-untrust] add interface gigabitethernet 1/0/2

[USG-zone-untrust] quit

 

Configuramos una política de seguridad para admitir el acceso entre zonas.

 

[USG6600] security-policy

[USG6600-policy-security] rule name policy1

[USG6600-policy-security-rule-policy1] source-zone trust

[USG6600-policy-security-rule-policy1] destination-zone untrust

[USG6600-policy-security-rule-policy1] source-address 192.168.0.0 mask 255.255.0.0

[USG6600-policy-security-rule-policy1] action permit

[USG6600-policy-security-rule-policy1] quit

[USG6600-policy-security] quit

 

Configuramos un grupo de direcciones PAT para admitir el cambio de la dirección de la interfaz.

 

[USG6600] nat address-group addressgroup1

[USG6600-address-group-addressgroup1] mode pat

[USG6600-address-group-addressgroup1] route enable

[USG6600-address-group-addressgroup1] section 0 200.0.0.2 200.0.0.2

[USG6600-address-group-addressgroup1] quit

 

Configure una política PAT para que las direcciones IP originales se cambian automáticamente cuando los dispositivos en un segmento de red específico de una red interna accedan a Internet.

 

[USG6600] nat-policy

[USG6600-policy-nat] rule name policy_nat1

[USG6600-policy-nat-rule-policy_nat1] source-zone trust

[USG6600-policy-nat-rule-policy_nat1] destination-zone untrust

[USG6600-policy-nat-rule-policy_nat1] source-address 192.168.0.0 mask 255.255.0.0

[USG6600-policy-nat-rule-policy_nat1] action nat address-group addressgroup1

[USG6600-policy-nat-rule-policy_nat1] quit

[USG6600-policy-nat] quit

[USG6600] quit


  • x
  • convención:

Gustavo.HdezF
Admin Publicado 2021-7-20 10:14:04
  • x
  • convención:

user_4000619
user_4000619 Publicado 2021-7-24 12:45 (0) (0)
 
edelchino
Publicado 2021-8-1 00:33:21
Excelente Post, muy completo como el otro ejemplo que pusiste con el Capa2 y Cortafuego. Muy Interesante.
Ver más
  • x
  • convención:

edelchino
edelchino Publicado 2021-8-1 00:33 (0) (0)
 
Gilo88
Publicado 2021-8-13 13:50:01
Gracias por el aporte.
Ver más
  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.