1 Ejemplo para configurar una cadena de servicios para guiar el reenvío de flujo de datos
En una red de campus típica, los dispositivos de servicio de valor agregado, como firewall, sistema experto antivirus y application security gateway, a menudo se implementan en el borde de un importante departamento de servicios, zona desmilitarizada (DMZ), salida del campus y centro de datos. El esquema que implementa un dispositivo de servicio de valor agregado independiente en cada zona de red tiene las siguientes desventajas:
l Aumenta la inversión porque se deben implementar demasiados dispositivos de servicio de valor agregado.
l Desecha recursos porque los dispositivos de servicio de valor agregado no se utilizan completamente.
l Complementa la implementación y el mantenimiento del dispositivo porque es necesario configurar diferentes políticas de procesamiento de servicios en cada dispositivo de servicio de valor agregado.
Para abordar los problemas anteriores, Huawei ofrece la solución de la cadena de servicio. Como se muestra en la Figura 1-1, la solución de la cadena de servicio incluye el controlador de políticas, Core Switch y el conjunto de recursos de seguridad. Los Core Switch clasifican el tráfico de servicio y luego lo redirigen a diferentes dispositivos de servicio de valor agregado. En el grupo de recursos de seguridad, puede implementar un dispositivo que tenga múltiples capacidades de servicio de valor agregado o múltiples dispositivos que tengan capacidades de servicio de valor agregado independientes. La solución de la cadena de servicio permite que los dispositivos de servicio de valor agregado se concentren en una zona física. En esta solución, no necesita implementar un dispositivo de servicio de valor agregado independiente para cada red, lo que reduce los costos del dispositivo y mejora la utilización del dispositivo. En la red del campus, el controlador de políticas controla qué tráfico de servicio necesita ser procesado por dispositivos de servicio de valor agregado, mejorando la eficiencia de implementación y mantenimiento.
Figura 1-1 Solución de la cadena de servicio en una red de campus
Notas de configuración
l Actualmente, la solución de la cadena de servicio admite tres tipos de dispositivos de servicio de valor agregado: firewall, sistema experto antivirus y puerta de application security gateway.
l La siguiente tabla enumera los productos y las versiones compatibles con la solución de la cadena de servicio.
Producto | Versión de software más antigua |
S12700/S9700/S7700 | V200R006C00 |
Agile Controller | V100R001C00 |
NGFW | V100R001C20 |
Requisitos de red
Como se muestra en la Figura 1-2, hay un servidor FTP en la sala de equipos de la empresa M. El servidor FTP almacena datos importantes del departamento de I + D. El administrador debe evitar las filtraciones de datos clave causadas por los ataques para garantizar la seguridad de este servidor FTP. El administrador quiere lograr las siguientes funciones a través de la orquestación del servicio:
l Los empleados de I + D pueden acceder al servidor FTP, pero los empleados de marketing no pueden.
l Los flujos de datos generados cuando los empleados de I + D acceden al servidor FTP deben ser procesados por el firewall para la detección de seguridad.
l Si el firewall falla, los empleados de I + D no pueden acceder al servidor FTP.
Figura 1-2 Red de la empresa M
Plan de datos
Tabla 1-1 Planificación de direcciones IP para usuarios y recursos
Usuarios y Recursos | Dirección IP |
R&D empleado A | 10.85.100.11 |
R&D empleado B | 10.85.100.12 |
R&D empleado C | 10.85.100.13 |
R&D empleado D | 10.85.100.14 |
R&D empleado E | 10.85.100.15 |
Servidor FTP | 10.85.10.2 |
Controladora | 10.85.10.3 |
Switch A | 10.85.10.5 |
NGFW | 10.85.10.6 |
Tabla 1-2 Planificación de flujo de servicios
No | Protocolo | Fuente IP/Mascara | Puerto Fuente | Destino IP/Mascara | Puerto destino |
1 | TCP | 10.85.100.11/32 | 22 | 10.85.10.2/32 | 21 |
2 | TCP | 10.85.100.12/32 | |||
3 | TCP | 10.85.100.13/32 | |||
4 | TCP | 10.85.100.14/32 | |||
5 | TCP | 10.85.100.15/32 |
Tabla 1-3 Planificación de parámetros del dispositivo
Dispositivo | Configuración |
Switch | Interface directly connected to the firewall Interface name: GigabitEthernet 1/0/1 VLAN: Vlan100 IP address: 10.85.10.5/24 LoopBack 100 IP address: 10.7.2.1/32 LoopBack 101 IP address: 10.7.2.2/32 Extensible Messaging and Presence Protocol (XMPP) connection password: Admin@123 |
Firewall | Interface directly connected to the switch Interface name: GigabitEthernet 1/0/1 Security zone: trust IP address: 10.85.10.6/24 LoopBack 100 IP address: 10.6.2.1/32 LoopBack 101 IP address: 10.6.2.2/32 XMPP connection password: Admin@123 RADIUS shared key: Radius@123 |
Mapa de configuración
La hoja de ruta de configuración es la siguiente:
1. Configure los parámetros básicos en el switch y firewall.
l Configure los parámetros XMPP para agregar el conmutador y el firewall en el controlador.
l Configurar direcciones IP y rutas estáticas para interfaces para que los dispositivos de red puedan comunicarse entre sí
Nota: Asegúrese de que los números de interfaz de Loopback del conmutador y el firewall sean más grandes que los de otros dispositivos. En este ejemplo, se utilizan las interfaces 100 y 101 de Loopback.
2. Agregue el Switch y el Firewall al controlador mediante XMPP.
3. Configure los flujos de servicio en el Switch y permita que solo los empleados de I + D accedan al servidor FTP utilizando las reglas de ACL.
4. Configure un grupo de direcciones IP y los recursos de la cadena de servicio en el Controlador para establecer un túnel GRE entre el conmutador y el Firewall
Nota: El grupo de direcciones IP no puede contener direcciones IP que se utilizan en la red.
5. Organice e implemente una cadena de servicios en el Controlador para redirigir el tráfico de acceso al servidor FTP para que el tráfico pase primero a través del firewall y luego se reenvíe al servidor FTP.
Procedimiento
Paso 1 Configure los parámetros básicos en el switch, incluidas las direcciones IP de las interfaces, las rutas estáticas y el parámetro de conexión XMPP
<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] vlan batch 100
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type trunk
[SwitchA-GigabitEthernet1/0/1] port trunk allow-pass vlan 100
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface vlanif 100
[SwitchA-Vlanif100] ip address 10.85.10.5 24
[SwitchA-Vlanif100] quit
[SwitchA] interface LoopBack 100
[SwitchA–LoopBack100] ip address 10.7.2.1 255.255.255.255
[SwitchA–LoopBack100] quit
[SwitchA] interface LoopBack 101
[SwitchA–LoopBack101] ip address 10.7.2.2 255.255.255.255
[SwitchA–LoopBack101] quit
[SwitchA] ip route-static 10.6.2.1 255.255.255.255 10.85.10.6
[SwitchA] ip route-static 10.6.2.2 255.255.255.255 10.85.10.6
[SwitchA] group-policy controller 10.85.10.3 password Admin@123 src-ip 10.85.10.5
Paso 2 Configure los parámetros básicos en el firewall, incluidas las direcciones IP de las interfaces, las rutas estáticas y el parámetro de conexión XMPP
1. Configure direcciones IP para interfaces y zonas de seguridad para completar las configuraciones de parámetros básicos de red.
a) Escoja Network > Interface List.
b) Click en de la interfaz GE1/0/1 y configure los parámetros
Zona de seguridad | Trust |
IPv4 |
|
Dirección IP | 10.85.10.6/24 |
2. Configure el servidor RADIUS.
a) Escoja Object > Authentication Server > RADIUS de Click en Agregar y configurar parámetros.
Los parámetros configurados deben ser los mismos que los parámetros del servidor RADIUS. La clave compartida es Radius@123.
3. De Click en Ok
4. Habilitar la función de red ágil del firewall.
a) Escoja System > Agile Network Configuration
5. Selecciona Enable seguido de Agile Network Configuration
6. Configure los parámetros para la conexión con el controlador. El estado siguiente a la Controller Active Server IP Address muestra Conectado, lo que indica que el servidor de seguridad se ha conectado al Controlador
Nota: En un escenario de orquestación de servicios, debido a que un firewall necesita tener configurada la función de prueba de seguridad de contenido, seleccione Configurado manualmente para la configuración de la política de seguridad.
7 Configure dos interfaces Loopback en el Firewall
Nota: Debe iniciar sesión en la consola CLI para completar la configuración.
8. Haga clic en el cuadro de diálogo Consola CLI (Desconectado) para conectarse a la consola CLI
9. Después de que la conexión sea exitosa, configure los siguientes comandos
<sysname> sysname NGFW
[NGFW] interface LoopBack 100
[NGFW-LoopBack100] ip address 10.6.2.1 255.255.255.255
[NGFW-LoopBack100] quit
[NGFW] interface LoopBack 101
[NGFW-LoopBack101] ip address 10.6.2.2 255.255.255.255
[NGFW-LoopBack101] quit
[NGFW] ip route-static 10.7.2.1 255.255.255.255 10.85.10.5
[NGFW] ip route-static 10.7.2.2 255.255.255.255 10.85.10.5
Paso 3 Agregue el Switch y el firewall en el controlador.
1. Elija Resource > Device > Device Management en el menú principal.
2. Haga clic en Agregar.
3. Configure los parámetros para el dispositi**** agregar.
La Figura 1-3 y la Figura 1-4 muestran cómo configurar los parámetros para que se agreguen el conmutador y el firewall.
Configure la contraseña en la contraseña de comunicación configurada Admin@123
Figura 1-3 Ajustes de parámetros en el Switch
Figura 1-4 Configuración de parámetros en el firewall que se agregará
Paso 4 Configurar flujos de servicio.
1. Seleccione Policy> Service Chain Orchestration> Service Flow Defining en el menú principal.
2. Haga clic en Agregar.
3. Establezca los parámetros de flujo de servicio.
Configure los parámetros de flujo de servicio como se muestra en la Figura 1-5
Figura 1-5 Configuración de parámetros de flujo de servicio
Paso 5 Configurar un grupo de direcciones IP.
1. Elija Policy> Service Chain Orchestration> IP Address Pool en el menú principal.
2. Haga clic en Agregar.
3. Establezca el nombre en 10.10.192.0, la dirección IP en 10.10.192.0 y la longitud de la máscara en 24.
Figura 1-6 configuración de parámetros del conjunto de direcciones IP
4. Click en OK
Paso 6 Configurar los recursos de la cadena de servicio.
1. Elija Policy> Service Chain Orchestration> Service Chain Resource en el menú principal.
2. Haga clic en Agregar.
3. Seleccione SwitchA en el área del dispositivo de orquestación izquierdo y arrastre SwitchA al nodo derecho del dispositivo de orquestación.
4. Seleccione NGFW en el área de Dispositivo de servicio de la izquierda y arrastre NGFW al nodo del Firewall de la derecha.
5. Seleccione 10.10.192.0 en el área izquierda del grupo de direcciones IP.
Figura 1-7 Configuración de los parámetros de recursos de la cadena de servicio
6. Haga clic en Guardar. En el cuadro de diálogo que se muestra, haga clic en Aceptar.
Paso 7 Organice y despliegue una cadena de servicios.
1. Seleccione Policy> Service Chain Orchestration> Service Chain Orchestration en el menú principal.
2. Haga clic en Agregar.
3. Seleccione User_to_Datacenter en el área izquierda de Service Flow y arrastre User_to_Datacenter al nodo derecho de Service Flow.
4. Seleccione SwitchA en el área de Dispositivo de orquestación izquierda y arrastre SwitchA al nodo de Dispositivo de orquestación derecho.
5. Arrastre NGFW al nodo del servidor de seguridad superior.
6. Seleccione Bloquear en el área izquierda del Modo de manejo de excepciones.
Figura 1-8 Configuración de parámetros de Service Orchestration
7. Haga clic en Guardar. En el cuadro de diálogo que se muestra, haga clic en Aceptar.
Paso 8 Verificar la configuración.
#Compruebe si el túnel entre el Switch y el firewall está establecido en el Controlador.
La Figura 1-9 muestra la información del túnel después de que se entregan los recursos de la cadena de servicio.
Figura 1-9 Resultados del despliegue del túnel
Ejecute el comando display acl all en el switch. El resultado del comando muestra que las reglas de flujo de servicio se entregan correctamente
[SwitchA] display acl all
Total nonempty ACL number is 1
Advanced ACL S_ACL_20140401153202_B3E0 3998, 5 rules
Acl's step is 5
rule 5 permit tcp source 10.85.100.11 0 source-port eq 22 destination 10.85.1
0.2 0 destination-port eq 21 (match-counter 0)
rule 10 permit tcp source 10.85.100.12 0 source-port eq 22 destination 10.85.
10.2 0 destination-port eq 21 (match-counter 0)
rule 15 permit tcp source 10.85.100.13 0 source-port eq 22 destination 10.85.
10.2 0 destination-port eq 21 (match-counter 0)
rule 20 permit tcp source 10.85.100.14 0 source-port eq 22 destination 10.85.
10.2 0 destination-port eq 21 (match-counter 0)
rule 25 permit tcp source 10.85.100.15 0 source-port eq 22 destination 10.85.
10.2 0 destination-port eq 21 (match-counter 0)
Ejecutar el comando display current-configuration | include traffic-redirec en el switch. La salida del comando muestra que las configuraciones de orquestación de servicios se entregan correctamente.
[SwitchA] display current-configuration | include traffic-redirect
traffic-redirect inbound acl name S_ACL_20140401153202_B3E0 3998 interface Tunnel16370
[SwitchA] interface Tunnel 16370
[SwitchA-Tunnel16370] display this
#
interface Tunnel16370
description Controller_S_from_10.6.2.1
ip address 10.10.192.5 255.255.255.0
tunnel-protocol gre
keepalive period 1
source 10.7.2.1
destination 10.6.2.1
traffic-filter inbound acl name S_ACL_20140401153202_B3E0 3998
#
Return
Archivo de configuracion en el SwitchA
#
sysname SwitchA
#
vlan batch 100
#
group-policy controller 10.85.10.3 password %#%#FG9.7h,|j$2'c2$LRG%N#lBU;3_^;AVo,7)"f%^M%#%# src-ip 10.85.10.5
#
interface Vlanif100
ip address 10.85.10.5 255.255.255.0
#
interface LoopBack100
ip address 10.7.2.1 255.255.255.255
#
interface LoopBack101
ip address 10.7.2.2 255.255.255.255
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 100
#
return