Ejemplo para configurar la salida de un Campus a gran escala

101 0 0 0

1.1 Notas de configuración

l  En este ejemplo se utilizan los switches modulares de la serie S de Huawei, los firewall USG y los enrutadores NE para describir el procedimiento de configuración.

 

l  El procedimiento de configuración en este ejemplo involucra solo la salida de la red empresarial. Para la configuración de la red interna, consulte "Redes de campus de gran tamaño" en la Guía de configuración rápida del switch de campus de la serie S de Huawei S.

 

l  En el siguiente procedimiento solo se proporcionan las configuraciones de conexión entre firewalls y switches y las configuraciones de HRP en los firewalls. Para el plan de servicio de seguridad en los firewalls y políticas de seguridad, defensa de ataques, administración de ancho de banda e IPSec en la red del campus, consulte Ejemplos de configuración de firewall.

 

l  Este ejemplo describe solo los routers y switches en la salida de la red del campus. Para las configuraciones del lado de Internet en los enrutadores, consulte la Guía de configuración del enrutador NE.

 

1.2 Requisitos de red

A la salida de una red de campus de gran tamaño, los switches centrales se conectan a los routers para acceder a Internet a través de interfaces ascendentes. Los firewall se conectan a los switches centrales en modo de derivación para filtrar el tráfico de servicio.

 

Para simplificar la red y mejorar la confiabilidad, se implementa un grupo de switches en la capa central.

 

HRP (modo activo / en espera) se implementa en los cortafuegos. Si un firewall falla, los servicios se cambian a otro firewall.

 

Cada uno de los switches centrales tiene doble conexión con dos enrutadores de salida, y el VRRP se configura entre enrutadores para garantizar la confiabilidad.

 

Para mejorar la confiabilidad del enlace, los Eth-Trunks se configuran entre los switches centrales y los routers de salida, los switches centrales y los firewall, y dos firewalls.

 

El diagrama de red es el siguiente.

 

Figura 1-1 Diagrama de redes en la salida del campus (firewalls HRP en modo de derivación)

132625zobywca252no55y5.png?image.png

En el entorno de reenvío de capa 3, el tráfico dentro y fuera de la red del campus es reenviado directamente por los switches, pero no pasa a través de FW1 y FW2. Cuando es necesario reenviar el tráfico a FW para filtrar a través de los switches, la función VRF debe configurarse en los switches. El CSS se divide en un switch virtual VRF-A y un switch raíz Público, que están separados entre sí.

 

El público está conectado a los routers de salida y reenvía el tráfico de Internet a los FW para el filtrado y el tráfico de los routers de salida a los routers de salida.

 

VRF-A está conectado a la intranet y reenvía el tráfico de los FW a la intranet y el tráfico de la intranet a los FW para el filtrado.

 

El siguiente diagrama de red lógica muestra las rutas de reenvío de tráfico.

 

Figura 1-2 Conexiones entre interfaces físicas de switches, routers y firewalls

132638gpnks533cnldrqqa.png?image.png

 

En este ejemplo, los switches centrales funcionan en el modo Capa 3. Los firewalls se conectan a los switches de Capa 3 a través de interfaces ascendentes y descendentes. VRRP debe configurarse en las interfaces de servicio ascendente y descendente de los firewalls, como se muestra a continuación.

 

Figura 1-3 Conexiones entre interfaces de capa 3 de switches, routers y firewalls

132650wae50vogoodcl0ee.png?image.png

 

El tráfico (en azul) de la intranet a Internet se reenvía de la siguiente manera:

1. Cuando el tráfico de la intranet a Internet alcanza VRF-A, luego se reenvía a los firewalls según la ruta estática (el siguiente salto es la dirección IP virtual de los firewalls VRRP en sentido descendente) configurado en VRF-A.

2. Después de filtrar el tráfico, los firewalls reenvían el tráfico a Público según la ruta estática (el siguiente salto es el VLANIF 20 de CSS).

3. El público reenvía el tráfico a los enrutadores según la ruta estática (el siguiente salto es la dirección IP virtual del enrutador VRRP).

El tráfico (en rojo) de Internet a la intranet se reenvía de la siguiente manera:

1. El tráfico de Internet a la intranet llega a los enrutadores y, a continuación, se reenvía al público según la tabla de enrutamiento OSPF.

2. El público reenvía el tráfico a los firewalls en función de la ruta estática (el siguiente salto es la dirección IP virtual VRRP ascendente de los firewalls).

3. Después de filtrar el tráfico, los firewalls reenvían el tráfico a VRF-A según la ruta estática (el siguiente salto es el VLANIF 30 de CSS).

4. VRF-A reenvía el tráfico a los switches de agregación en función de la tabla de enrutamiento OSPF, y luego la agregación reenvía el tráfico a las redes de servicio.

 

1.3 Plan de datos

 

                Tabla 1-1 Plan de datos de agregación de enlaces

Equipo

Numero Interface

Interface miembro

VLANIF

Direccion IP

Equipo remoto

 

 

Remote Interface Number

Router1

Eth-trunk1.100

10GE1/0/1

10GE1/0/2

-

10.10.4.2/24

Switch 1

Switch 2

 

 

Eth-Trunk1

Router2

Eth-trunk1.100

10GE1/0/1

10GE1/0/2

-

10.10.4.3/24

Switch 1

Switch 2

 

 

Eth-Trunk2

VRRP of Router 1 and Router 2

-

-

-

10.10.4.100/24

-

 

 

-

CSS (Switch 1 and Switch 2)

Eth-trunk1

10GE1/4/0/0

10GE2/4/0/0

VLANIF10

10.10.4.1/24

Router 1

 

 

Eth-Trunk1

Eth-trunk2

10GE1/4/0/1

10GE2/4/0/1

VLANIF10

10.10.4.1/24

Router 2

 

 

Eth-Trunk1

Eth-trunk4

GE1/1/0/7

GE2/1/0/7

VLANIF20

10.10.2.1/24

FW 1

 

 

Eth-Trunk4

Eth-trunk5

GE1/1/0/8

GE2/1/0/8

VLANIF30

10.10.3.1/24

FW 1

 

 

Eth-Trunk5

Eth-trunk6

GE1/2/0/7

GE2/2/0/7

VLANIF20

10.10.2.1/24

FW 2

 

 

Eth-Trunk6

Eth-trunk7

GE1/2/0/8

GE2/2/0/8

VLANIF30

10.10.3.1/24

FW 2

 

 

Eth-Trunk7

Eth-trunk8

GE1/3/0/1

GE2/3/0/1

VLANIF100

10.10.100.1/24

Service network 1

 

 

- (omitted in this example)

Eth-trunk9

GE1/3/0/2

GE2/3/0/2

VLANIF200

10.10.200.1/24

Service network 2

 

 

- (omitted in this example)

FW1

Eth-trunk1

GE2/0/0

GE2/0/1

-

10.1.1.1/24

FW2

 

 

Eth-Trunk1

Eth-Trunk4

GE1/0/0

GE1/0/1

-

10.10.2.2/24

Switch 1

Switch 2

 

 

Eth-Trunk4

Eth-Trunk5

GE1/1/0

GE1/1/1

-

10.10.3.2/24

Switch 1

Switch 2

 

 

Eth-Trunk5

FW2

Eth-trunk1

GE2/0/0

GE2/0/1

-

10.1.1.2/24

FW1

 

 

Eth-Trunk1

Eth-Trunk6

GE1/0/0

GE1/0/1

-

10.10.2.3/24

Switch 1

Switch 2

 

 

Eth-Trunk6

Eth-Trunk7

GE1/1/0

GE1/1/1

-

10.10.3.3/24

Switch 1

Switch 2

 

 

Eth-Trunk7

VRRP1 of FW 1 and FW 2 (upstream)

-

-

-

10.10.2.5/24

-

 

 

-

VRRP2 of FW 1 and FW 2 (downstream)

-

-

-

10.10.3.5/24

-

 

 

-

 

1.4 Mapa de configuración

La ruta de configuración es la siguiente:

 

1. Configure el CSS para los switches principales.

2. Asigne direcciones IP a las interfaces entre switches, firewalls y routers.

Para mejorar la confiabilidad del enlace, configure Eth-Trunks entre chasis entre switches y firewalls y entre switches y routers.

Configurar zonas de seguridad en las interfaces de los firewalls.

3. Configure VRRP en los routers de egreso.

Para garantizar la confiabilidad entre los switches centrales y los dos routers de salida, implemente el VRRP entre los dos routers de salida para que los paquetes de latido VRRP se intercambien a través de los switches centrales. Router1 funciona como dispositivo maestro y Router2 funciona como dispositivo de respaldo.

4. Implementar enrutamiento.

Configure la función VRF en los switches para dividir el CSS en un switch virtual VRF-A y un switch raíz Público, que separan las rutas de la red de servicio y las rutas de la red pública.

Para dirigir el tráfico ascendente en cada dispositivo, configure una ruta predeterminada en los switches principales, cuyo próximo salto es la dirección IP virtual VRRP de los routers de egreso.

Para dirigir el tráfico de retorno de dos enrutadores de salida, configure OSPF entre los routers de salida y los switches centrales, y anuncie todas las rutas de los segmentos de la red del usuario en los switches principales hacia OSPF en los routers de salida.

Para reenviar el tráfico ascendente de las redes de servicio a los firewalls, configure una ruta predeterminada en los switches, cuyo próximo salto es la dirección IP virtual de VRRP VRID2 en los firewalls.

Para reenviar el tráfico descendente de la red de servicio 1 a los cortafuegos, configure una ruta predeterminada en los switches, cuyo próximo salto es la dirección IP virtual de VRRP VRID1 en los cortafuegos.

Para reenviar el tráfico descendente de la red de servicio 2 a los firewalls, configure una ruta predeterminada en los switches, cuyo próximo salto es la dirección IP virtual de VRRP VRID1 en los firewalls.

Para reenviar el tráfico ascendente de las redes de servicio a los switches, configure una ruta predeterminada en los firewalls, cuyo próximo salto es la dirección IP del VLANIF 20 en los switches.

Para reenviar el tráfico descendente de la red de servicio 1 a los switches, configure una ruta predeterminada en los firewalls, cuyo próximo salto es la dirección IP del VLANIF 30 en los switches.

Para reenviar el tráfico descendente de la red de servicio 2 a los switches, configure una ruta predeterminada en los firewalls, cuyo próximo salto es la dirección IP del VLANIF 30 en los switches.

5. Configure el HRP en los firewall.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba