Ejemplo para configurar un servicio para guiar el reenvío de flujo de datos

104 0 0 0

1 Ejemplo para configurar una cadena de servicios para guiar el reenvío de flujo de datos

 

En una red de campus típica, los dispositivos de servicio de valor agregado, como firewall, sistema experto antivirus y application security gateway, a menudo se implementan en el borde de un importante departamento de servicios, zona desmilitarizada (DMZ), salida del campus y centro de datos. El esquema que implementa un dispositivo de servicio de valor agregado independiente en cada zona de red tiene las siguientes desventajas:

 

l  Aumenta la inversión porque se deben implementar demasiados dispositivos de servicio de valor agregado.

l  Desecha recursos porque los dispositivos de servicio de valor agregado no se utilizan completamente.

l  Complementa la implementación y el mantenimiento del dispositivo porque es necesario configurar diferentes políticas de procesamiento de servicios en cada dispositivo de servicio de valor agregado.

 

Para abordar los problemas anteriores, Huawei ofrece la solución de la cadena de servicio. Como se muestra en la Figura 1-1, la solución de la cadena de servicio incluye el controlador de políticas, Core Switch y el conjunto de recursos de seguridad. Los Core Switch clasifican el tráfico de servicio y luego lo redirigen a diferentes dispositivos de servicio de valor agregado. En el grupo de recursos de seguridad, puede implementar un dispositivo que tenga múltiples capacidades de servicio de valor agregado o múltiples dispositivos que tengan capacidades de servicio de valor agregado independientes. La solución de la cadena de servicio permite que los dispositivos de servicio de valor agregado se concentren en una zona física. En esta solución, no necesita implementar un dispositivo de servicio de valor agregado independiente para cada red, lo que reduce los costos del dispositivo y mejora la utilización del dispositivo. En la red del campus, el controlador de políticas controla qué tráfico de servicio necesita ser procesado por dispositivos de servicio de valor agregado, mejorando la eficiencia de implementación y mantenimiento.

 

Figura 1-1 Solución de la cadena de servicio en una red de campus


174107c85226qr8sr9s591.png?image.png

Notas de configuración

 

l  Actualmente, la solución de la cadena de servicio admite tres tipos de dispositivos de servicio de valor agregado: firewall, sistema experto antivirus y puerta de application security gateway.

l  La siguiente tabla enumera los productos y las versiones compatibles con la solución de la cadena de servicio.

 

Producto

Versión   de software más antigua

S12700/S9700/S7700

V200R006C00

Agile   Controller

V100R001C00

NGFW

V100R001C20

 

Requisitos de red

 

Como se muestra en la Figura 1-2, hay un servidor FTP en la sala de equipos de la empresa M. El servidor FTP almacena datos importantes del departamento de I + D. El administrador debe evitar las filtraciones de datos clave causadas por los ataques para garantizar la seguridad de este servidor FTP. El administrador quiere lograr las siguientes funciones a través de la orquestación del servicio:

 

l  Los empleados de I + D pueden acceder al servidor FTP, pero los empleados de marketing no pueden.

l  Los flujos de datos generados cuando los empleados de I + D acceden al servidor FTP deben ser procesados por el firewall para la detección de seguridad.

l  Si el firewall falla, los empleados de I + D no pueden acceder al servidor FTP.

 

Figura 1-2 Red de la empresa M


174132ev0bye1pbd9y67z0.png?image.png

Plan de datos

 

Tabla 1-1 Planificación de direcciones IP para usuarios y recursos

Usuarios   y Recursos

Dirección   IP

R&D   empleado A

10.85.100.11

R&D empleado   B

10.85.100.12

R&D   empleado C

10.85.100.13

R&D   empleado D

10.85.100.14

R&D   empleado E

10.85.100.15

Servidor   FTP

10.85.10.2

Controladora

10.85.10.3

Switch A

10.85.10.5

NGFW

10.85.10.6

 

Tabla 1-2 Planificación de flujo de servicios

No

Protocolo

Fuente   IP/Mascara

Puerto   Fuente

Destino   IP/Mascara

Puerto   destino

1

TCP

10.85.100.11/32

22

10.85.10.2/32

21

2

TCP

10.85.100.12/32

3

TCP

10.85.100.13/32

4

TCP

10.85.100.14/32

5

TCP

10.85.100.15/32

 

Tabla 1-3 Planificación de parámetros del dispositivo

 

Dispositivo

Configuración  

Switch

Interface directly connected to the   firewall

Interface name: GigabitEthernet 1/0/1

VLAN: Vlan100

IP address: 10.85.10.5/24

LoopBack 100

IP address: 10.7.2.1/32

LoopBack 101

IP address: 10.7.2.2/32

Extensible Messaging and Presence   Protocol (XMPP) connection password: Admin@123

Firewall

Interface directly connected to the   switch

Interface name: GigabitEthernet 1/0/1

Security zone: trust

IP address: 10.85.10.6/24

LoopBack 100

IP address: 10.6.2.1/32

LoopBack 101

IP address: 10.6.2.2/32

XMPP connection password: Admin@123

RADIUS shared key: Radius@123

 

Mapa de configuración

 

La hoja de ruta de configuración es la siguiente:

1.         Configure los parámetros básicos en el switch y firewall.

l  Configure los parámetros XMPP para agregar el conmutador y el firewall en el controlador.

l  Configurar direcciones IP y rutas estáticas para interfaces para que los dispositivos de red puedan comunicarse entre sí

Nota: Asegúrese de que los números de interfaz de Loopback del conmutador y el firewall sean más grandes que los de otros dispositivos. En este ejemplo, se utilizan las interfaces 100 y 101 de Loopback.

2.         Agregue el Switch y el Firewall al controlador mediante XMPP.

3.         Configure los flujos de servicio en el Switch y permita que solo los empleados de I + D accedan al servidor FTP utilizando las reglas de ACL.

4.         Configure un grupo de direcciones IP y los recursos de la cadena de servicio en el Controlador para establecer un túnel GRE entre el conmutador y el Firewall

Nota: El grupo de direcciones IP no puede contener direcciones IP que se utilizan en la red.

5.         Organice e implemente una cadena de servicios en el Controlador para redirigir el tráfico de acceso al servidor FTP para que el tráfico pase primero a través del firewall y luego se reenvíe al servidor FTP.

 

Procedimiento

 

Paso 1 Configure los parámetros básicos en el switch, incluidas las direcciones IP de las interfaces, las rutas estáticas y el parámetro de conexión XMPP

 

<HUAWEI> system-view

[HUAWEI] sysname SwitchA

[SwitchA] vlan batch 100 

[SwitchA] interface gigabitethernet 1/0/1

[SwitchA-GigabitEthernet1/0/1] port link-type trunk

[SwitchA-GigabitEthernet1/0/1] port trunk allow-pass vlan 100

[SwitchA-GigabitEthernet1/0/1] quit

[SwitchA] interface vlanif 100

[SwitchA-Vlanif100] ip address 10.85.10.5 24

[SwitchA-Vlanif100] quit

[SwitchA] interface LoopBack 100

[SwitchA–LoopBack100] ip address 10.7.2.1 255.255.255.255

[SwitchA–LoopBack100] quit

[SwitchA] interface LoopBack 101

[SwitchA–LoopBack101] ip address 10.7.2.2 255.255.255.255

[SwitchA–LoopBack101] quit

[SwitchA] ip route-static 10.6.2.1 255.255.255.255 10.85.10.6

[SwitchA] ip route-static 10.6.2.2 255.255.255.255 10.85.10.6

[SwitchA] group-policy controller 10.85.10.3 password Admin@123 src-ip 10.85.10.5

 

Paso 2 Configure los parámetros básicos en el firewall, incluidas las direcciones IP de las interfaces, las rutas estáticas y el parámetro de conexión XMPP

 

1.         Configure direcciones IP para interfaces y zonas de seguridad para completar las configuraciones de parámetros básicos de red.

a)         Escoja Network > Interface List.

b)         Click en 174238vctyschlww7kl470.png?image.pngde la interfaz GE1/0/1 y configure los parámetros

Zona de   seguridad

Trust

IPv4

 

Dirección   IP

10.85.10.6/24

 

2.         Configure el servidor RADIUS.

a)         Escoja Object > Authentication Server > RADIUS de Click en Agregar y configurar parámetros.

Los parámetros configurados deben ser los mismos que los parámetros del servidor RADIUS. La clave compartida es Radius@123.

174341mlnll15iz7ezb2gi.png?image.png

3.         De Click en Ok

4.         Habilitar la función de red ágil del firewall.

a)         Escoja System > Agile Network Configuration

5.         Selecciona Enable seguido de Agile Network Configuration

6.         Configure los parámetros para la conexión con el controlador. El estado siguiente a la Controller Active Server IP Address muestra Conectado, lo que indica que el servidor de seguridad se ha conectado al Controlador

Nota: En un escenario de orquestación de servicios, debido a que un firewall necesita tener configurada la función de prueba de seguridad de contenido, seleccione Configurado manualmente para la configuración de la política de seguridad.

174355eh6ow06p5ip7ooo7.png?image.png

7         Configure dos interfaces Loopback en el Firewall

Nota: Debe iniciar sesión en la consola CLI para completar la configuración.

8.         Haga clic en el cuadro de diálogo Consola CLI (Desconectado) para conectarse a la consola CLI

9.         Después de que la conexión sea exitosa, configure los siguientes comandos

<sysname> sysname NGFW

[NGFW] interface LoopBack 100

[NGFW-LoopBack100] ip address 10.6.2.1 255.255.255.255

[NGFW-LoopBack100] quit

[NGFW] interface LoopBack 101

[NGFW-LoopBack101] ip address 10.6.2.2 255.255.255.255

[NGFW-LoopBack101] quit

[NGFW] ip route-static 10.7.2.1 255.255.255.255 10.85.10.5

[NGFW] ip route-static 10.7.2.2 255.255.255.255 10.85.10.5

 

Paso 3 Agregue el Switch y el firewall en el controlador.

 

1.         Elija Resource > Device > Device Management en el menú principal.

2.         Haga clic en Agregar.

3.         Configure los parámetros para el dispositi**** agregar.

La Figura 1-3 y la Figura 1-4 muestran cómo configurar los parámetros para que se agreguen el conmutador y el firewall.

Configure la contraseña en la contraseña de comunicación configurada Admin@123

 

Figura 1-3 Ajustes de parámetros en el Switch

174512o7xn66yg196h29cx.png?image.png

Figura 1-4 Configuración de parámetros en el firewall que se agregará

174606va27eato8wwazoa7.png?image.png

Paso 4 Configurar flujos de servicio.

 

1.       Seleccione Policy> Service Chain Orchestration> Service Flow Defining en el menú principal.

2.       Haga clic en Agregar.

3.       Establezca los parámetros de flujo de servicio.

Configure los parámetros de flujo de servicio como se muestra en la Figura 1-5

 

Figura 1-5 Configuración de parámetros de flujo de servicio

174623g0dx3s5sryq91k97.png?image.png

Paso 5 Configurar un grupo de direcciones IP.

1.       Elija Policy> Service Chain Orchestration> IP Address Pool en el menú principal.

2.       Haga clic en Agregar.

3.       Establezca el nombre en 10.10.192.0, la dirección IP en 10.10.192.0 y la longitud de la máscara en 24.

 

Figura 1-6 configuración de parámetros del conjunto de direcciones IP


174758wi99pef1ypaey9az.png?image.png

4.       Click en OK

 

Paso 6 Configurar los recursos de la cadena de servicio.

1.       Elija Policy> Service Chain Orchestration> Service Chain Resource en el menú principal.

2.       Haga clic en Agregar.

3.       Seleccione SwitchA en el área del dispositivo de orquestación izquierdo y arrastre SwitchA al nodo derecho del dispositivo de orquestación.

4.       Seleccione NGFW en el área de Dispositivo de servicio de la izquierda y arrastre NGFW al nodo del Firewall de la derecha.

5.       Seleccione 10.10.192.0 en el área izquierda del grupo de direcciones IP.

 

Figura 1-7 Configuración de los parámetros de recursos de la cadena de servicio

174821etkz5fx5dcf7cz9y.png?image.png

6.       Haga clic en Guardar. En el cuadro de diálogo que se muestra, haga clic en Aceptar.

 

Paso 7 Organice y despliegue una cadena de servicios.

 

1.       Seleccione Policy> Service Chain Orchestration> Service Chain Orchestration en el menú principal.

2.       Haga clic en Agregar.

3.       Seleccione User_to_Datacenter en el área izquierda de Service Flow y arrastre User_to_Datacenter al nodo derecho de Service Flow.

4.       Seleccione SwitchA en el área de Dispositivo de orquestación izquierda y arrastre SwitchA al nodo de Dispositivo de orquestación derecho.

5.       Arrastre NGFW al nodo del servidor de seguridad superior.

6.       Seleccione Bloquear en el área izquierda del Modo de manejo de excepciones.

Figura 1-8 Configuración de parámetros de Service Orchestration


174849dqpqvp17dcvzypz6.png?image.png

7.       Haga clic en Guardar. En el cuadro de diálogo que se muestra, haga clic en Aceptar.

 

Paso 8 Verificar la configuración.

 

#Compruebe si el túnel entre el Switch y el firewall está establecido en el Controlador.

La Figura 1-9 muestra la información del túnel después de que se entregan los recursos de la cadena de servicio.

Figura 1-9 Resultados del despliegue del túnel


174936gumcjk4cc7csgysk.png?image.png

Ejecute el comando display acl all en el switch. El resultado del comando muestra que las reglas de flujo de servicio se entregan correctamente

 

[SwitchA] display acl all

 Total nonempty ACL number is 1 

Advanced ACL S_ACL_20140401153202_B3E0 3998, 5 rules

Acl's step is 5

 rule 5 permit tcp source 10.85.100.11 0 source-port eq 22 destination 10.85.1

0.2 0 destination-port eq 21 (match-counter 0)

 rule 10 permit tcp source 10.85.100.12 0 source-port eq 22 destination 10.85.

10.2 0 destination-port eq 21 (match-counter 0)

 rule 15 permit tcp source 10.85.100.13 0 source-port eq 22 destination 10.85.

10.2 0 destination-port eq 21 (match-counter 0)

 rule 20 permit tcp source 10.85.100.14 0 source-port eq 22 destination 10.85.

10.2 0 destination-port eq 21 (match-counter 0)

 rule 25 permit tcp source 10.85.100.15 0 source-port eq 22 destination 10.85.

10.2 0 destination-port eq 21 (match-counter 0)

 

Ejecutar el comando display current-configuration | include traffic-redirec en el switch. La salida del comando muestra que las configuraciones de orquestación de servicios se entregan correctamente.

 

[SwitchA] display current-configuration | include traffic-redirect

traffic-redirect inbound acl name S_ACL_20140401153202_B3E0 3998 interface Tunnel16370 

[SwitchA] interface Tunnel 16370

[SwitchA-Tunnel16370] display this

#

interface Tunnel16370

 description Controller_S_from_10.6.2.1

 ip address 10.10.192.5 255.255.255.0

 tunnel-protocol gre

 keepalive period 1

 source 10.7.2.1

 destination 10.6.2.1

 traffic-filter inbound acl name S_ACL_20140401153202_B3E0 3998

#

Return

 

Archivo de configuracion en el SwitchA

 

#

sysname SwitchA

#

vlan batch 100

#

group-policy controller 10.85.10.3 password %#%#FG9.7h,|j$2'c2$LRG%N#lBU;3_^;AVo,7)"f%^M%#%# src-ip 10.85.10.5

#

interface Vlanif100

 ip address 10.85.10.5 255.255.255.0

#

interface LoopBack100

 ip address 10.7.2.1 255.255.255.255

#

interface LoopBack101

 ip address 10.7.2.2 255.255.255.255

#

interface GigabitEthernet1/0/1

 port link-type trunk

 port trunk allow-pass vlan 100

#

return


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje