Implementación de VRRP en una red de centro de datos con arquitectura de 3 capas.

Última respuesta Sep 02, 2019 11:39:04 79 2 2 0

Buen día Comunidad Huawei Enterprise, comparto con Ustedes el siguiente ejemplo de implementación de VRRP en una red de centro de datos con arquitectura de 3 capas.

En el siguiente ejemplo nuestro centro de datos utilizará las capas de acceso, agregación y core.

 

Los requisitos son los siguientes:

 

·         Para garantizar la confiabilidad del servicio, implementaremos la redundancia del enlace entre las capas de acceso y agregación. Cuando se desconecte un enlace ascendente, el tráfico puede cambiarse a otro enlace ascendente.

·         Los bucles causados por la redundancia del enlace entre las capas de acceso y agregación se eliminan.

·         Para simplificar las redes y mejorar la confiabilidad, implementaremos CSS en la capa de core.

·         Conectaremos el switch core al firewall para filtrar el tráfico del servicio.

·         Implementaremos OSPF en las capas de agregación y core para implementar la conectividad de capa 3.

 

Sin título

 

Analicemos los requisitos.

 

·         Implementar VRRP entre SwitchA y SwitchB para implementar redundancia de enlace en la capa de agregación.

·         Implementar MSTP entre SwitchA, SwitchB y SwitchC para eliminar bucles en las capas de acceso y agregación.

·         Configurar HSB para FW-1 y FW-2 para que el tráfico reenviado por SwitchI o SwitchJ sea filtrado por el firewall y luego llegue al centro de datos o a Internet.

·         Implementar OSPF entre SwitchA, SwitchB, SwitchI y SwitchJ para implementar la conectividad de capa 3. SwitchA y SwitchB son switches de agregación. SwitchI y SwitchJ son switches core.

 

1. Configure las funciones básicas de MSTP.

 

NOTA: 

Dos switches pertenecen a la misma región MST cuando los siguientes parámetros en los dos switches son los mismos:

 

·         Nombre de la región MST

·         Asignación entre VLAN y MSTI

·         Nivel de revisión de la región MST

 

a. Configurar SwitchA, SwitchB y SwitchC en la región MST RG1 y cree MSTI 1 y MSTI 2.


# Configurar una región MST en SwitchA.

<HUAWEI> system-view

[~HUAWEI] sysname SwitchA

[*HUAWEI] commit

[~SwitchA] stp region-configuration

[~SwitchA-mst-region] region-name RG1

[*SwitchA-mst-region] instance 1 vlan 2

[*SwitchA-mst-region] instance 2 vlan 3

[*SwitchA-mst-region] commit

[~SwitchA-mst-region] quit

 

# Configurar una región MST en SwitchB.

<HUAWEI> system-view

[~HUAWEI] sysname SwitchB

[*HUAWEI] commit

[~SwitchB] stp region-configuration

[~SwitchB-mst-region] region-name RG1

[*SwitchB-mst-region] instance 1 vlan 2

[*SwitchB-mst-region] instance 2 vlan 3

[*SwitchB-mst-region] commit

[~SwitchB-mst-region] quit

 

# Configurar una región MST en SwitchC.

<HUAWEI> system-view

[~HUAWEI] sysname SwitchC

[*HUAWEI] commit

[~SwitchC] stp region-configuration

[~SwitchC-mst-region] region-name RG1

[*SwitchC-mst-region] instance 1 vlan 2

[*SwitchC-mst-region] instance 2 vlan 3

[*SwitchC-mst-region] commit

[~SwitchC-mst-region] quit

 

# Configurar una región MST en SwitchD.

<HUAWEI> system-view

[~HUAWEI] sysname SwitchD

[*HUAWEI] commit

[~SwitchD] stp region-configuration

[~SwitchD-mst-region] region-name RG1

[*SwitchD-mst-region] instance 1 vlan 2

[*SwitchD-mst-region] instance 2 vlan 3

[*SwitchD-mst-region] commit

[~SwitchD-mst-region] quit

 

Configurar puentes raíz y puentes raíz secundarios de MSTI 1 y MSTI 2 en la región MST RG1.

o    Configurar el puente raíz y el puente raíz secundario de MSTI 1.

 

# Configurar SwitchA como el puente raíz en MSTI 1.

[~SwitchA] stp instance 1 root primary

[*SwitchA] commit

 

# Configurar SwitchB como el puente raíz secundario en MSTI 1.

[~SwitchB] stp instance 1 root secondary

[*SwitchB] commit

 

§  Configurar el puente raíz y el puente raíz secundario de MSTI 2. 

# Configurar SwitchB como el puente raíz en MSTI 2.

[~SwitchB] stp instance 2 root primary

[*SwitchB] commit

 

# Configurar SwitchA como el puente raíz secundario en MSTI 2.

[~SwitchA] stp instance 2 root secondary

[*SwitchA] commit

 

C. Establecer el costo de ruta de las interfaces a bloquear en MSTI 1 y MSTI 2 sea mayor que el valor predeterminado.

 

NOTA:

o    El rango de costo de la ruta depende del algoritmo. El algoritmo propietario de Huawei se usara como ejemplo. Establecer el costo de ruta de las interfaces a bloquear en MSTI 1 y MSTI 2 a 20000.

o    Los switches en la misma red deben usar el mismo algoritmo para calcular el costo de ruta de las interfaces.

 

# Configurar SwitchA para usar el algoritmo propietario de Huawei para calcular el costo de la ruta.

[~SwitchA] stp pathcost-standard legacy

[*SwitchA] commit

 

# Configurar SwitchB para usar el algoritmo propietario de Huawei para calcular el costo de la ruta.

[~SwitchB] stp pathcost-standard legacy

[*SwitchB] commit

 

# Configurar SwitchC para usar el algoritmo propietario de Huawei para calcular el costo de la ruta y establezca el costo de la ruta de 10GE1/0/2 a 20000 en MSTI 1.

[~SwitchC] stp pathcost-standard legacy

[*SwitchC] interface 10ge 1/0/2

[*SwitchC-10GE1/0/2] description TO-CE12800-SWITCHB

[*SwitchC-10GE1/0/2] stp instance 1 cost 20000

[*SwitchC-10GE1/0/2] commit

[~SwitchC-10GE1/0/2] quit

 

# Configurar SwitchD para usar el algoritmo propietario de Huawei para calcular el costo de la ruta y establezca el costo de la ruta de 10GE1/0/2 a 20000 en MSTI 2.

[~SwitchD] stp pathcost-standard legacy

[*SwitchD] interface 10ge 1/0/2

[*SwitchD-10GE1/0/2] description TO-CE12800-SWITCHA

[*SwitchD-10GE1/0/2] stp instance 2 cost 20000

[*SwitchD-10GE1/0/2] commit

[~SwitchD-10GE1/0/2] quit

 

d. Habilitar MSTP para eliminar bucles.

 

NOTA: MSTP está habilitado por defecto.

 

Habilitar MSTP globalmente.

 

# Habilitar MSTP en SwitchA.

[~SwitchA] stp enable

[*SwitchA] commit

 

# Habilitar MSTP en SwitchB.

[~SwitchB] stp enable

[*SwitchB] commit

 

# Habilitar MSTP en SwitchC.

[~SwitchC] stp enable

[*SwitchC] commit

 

# Habilitar MSTP en SwitchD.

[~SwitchD] stp enable

[*SwitchD] commit

 

Configurar los puertos conectados a los hosts como puertos de borde.

 

# Configure 10GE1/0/3 de SwitchC como un puerto de edge.

[~SwitchC] interface 10ge 1/0/3

[*SwitchC-10GE1/0/3] description TO-HOSTA

[*SwitchC-10GE1/0/3] stp edged-port enable

[*SwitchC-10GE1/0/3] commit

[~SwitchC-10GE1/0/3] quit

 

# Configurar 10GE1/0/3 de SwitchD como un puerto de edge.

[~SwitchD] interface 10ge 1/0/3

[*SwitchD-10GE1/0/3] description TO-HOSTB

[*SwitchD-10GE1/0/3] stp edged-port enable

[*SwitchD-10GE1/0/3] commit

[~SwitchD-10GE1/0/3] quit

 

2. Habilitar las funciones de protección en el puerto designado de cada puente raíz en cada MSTI. Aquí, se usa la protección de raíz.

 

# Habilitar la protección de raíz en 10GE1/0/1 de SwitchA.

[~SwitchA] interface 10ge 1/0/1

[~SwitchA-10GE1/0/1] description TO-CE6800-SWITCHC

[*SwitchA-10GE1/0/1] stp root-protection

[*SwitchA-10GE1/0/1] commit

[~SwitchA-10GE1/0/1] quit

 

# Habilitar la protección de raíz en 10GE1/0/1 de SwitchB.

[~SwitchB] interface 10ge 1/0/1

[~SwitchB-10GE1/0/1] description TO-CE6800-SWITCHD

[*SwitchB-10GE1/0/1] stp root-protection

[*SwitchB-10GE1/0/1] commit

[~SwitchB-10GE1/0/1] quit

 

Configurar el reenvío de la capa 2 en los switches de la red en forma de anillo.

 

§  Crear VLAN 2 y VLAN 3 en SwitchA, SwitchB y SwitchC.

 

# Crear VLAN 2 y VLAN 3 en SwitchA.

[~SwitchA] vlan batch 2 to 3

 

# Crear VLAN 2 y VLAN 3 en SwitchB.

[~SwitchB] vlan batch 2 to 3

 

# Crear VLAN 2 en SwitchC.

[~SwitchC] vlan batch 2

 

# Crear VLAN 3 en SwitchC.

[~SwitchD] vlan batch 3

 

§  Agregar las interfaces que se conectan al anillo a las VLAN.

 

# Agregar 10GE1/0/1 en SwitchA a VLAN 2.

[~SwitchA] interface 10ge 1/0/1
[~SwitchA-10GE1/0/1] port link-type trunk
[*SwitchA-10GE1/0/1] undo port trunk allow-pass vlan 1
[*SwitchA-10GE1/0/1] port trunk allow-pass vlan 2
[*SwitchA-10GE1/0/1] commit
[~SwitchA-10GE1/0/1] quit

 

# Agregar 10GE1/0/2 en SwitchA a VLAN 3.

[~SwitchA] interface 10ge 1/0/2
[~SwitchA-10GE1/0/2] description TO-CE6800-SWITCHD
[*SwitchA-10GE1/0/2] port link-type trunk
[*SwitchA-10GE1/0/2] port trunk allow-pass vlan 3
[*SwitchA-10GE1/0/2] commit
[~SwitchA-10GE1/0/2] quit

 

# Agregar 10GE1/0/3 en SwitchA a VLAN 2 y VLAN 3.

[~SwitchA] interface 10ge 1/0/3
[~SwitchA-10GE1/0/3] description TO-CE12800-SWITCHB
[*SwitchA-10GE1/0/3] port link-type trunk
[*SwitchA-10GE1/0/3] undo port trunk allow-pass vlan 1
[*SwitchA-10GE1/0/3] port trunk allow-pass vlan 2 to 3
[*SwitchA-10GE1/0/3] commit
[~SwitchA-10GE1/0/3] quit

 

# Agregar 10GE1/0/1 en SwitchB a VLAN 3.

[~SwitchB] interface 10ge 1/0/1
[~SwitchB-10GE1/0/1] port link-type trunk
[*SwitchB-10GE1/0/1] undo port trunk allow-pass vlan 1
[*SwitchB-10GE1/0/1] port trunk allow-pass vlan 3
[*SwitchB-10GE1/0/1] commit
[~SwitchB-10GE1/0/1] quit

 

# Agregar 10GE1/0/2 en SwitchB a VLAN 2.

[~SwitchB] interface 10ge 1/0/2
[~SwitchB-10GE1/0/2] description TO-CE6800-SWITCHC
[*SwitchB-10GE1/0/2] port link-type trunk
[*SwitchB-10GE1/0/2] undo port trunk allow-pass vlan 1
[*SwitchB-10GE1/0/2] port trunk allow-pass vlan 2
[*SwitchB-10GE1/0/2] commit
[~SwitchB-10GE1/0/2] quit

 

# Agregar 10GE1/0/3 en SwitchB a VLAN 2 y VLAN 3.

[~SwitchB] interface 10ge 1/0/3
[~SwitchB-10GE1/0/3] description TO-CE12800-SWITCHA
[*SwitchB-10GE1/0/3] port link-type trunk
[*SwitchB-10GE1/0/3] undo port trunk allow-pass vlan 1
[*SwitchB-10GE1/0/3] port trunk allow-pass vlan 2 to 3
[*SwitchB-10GE1/0/3] commit
[~SwitchB-10GE1/0/3] quit

 

# Agregar 10GE1/0/1 en SwitchC a VLAN 2.

[~SwitchC] interface 10ge 1/0/1
[~SwitchC-10GE1/0/1] description TO-CE12800-SWITCHA
[*SwitchC-10GE1/0/1] port link-type trunk
[*SwitchC-10GE1/0/1] undo port trunk allow-pass vlan 1
[*SwitchC-10GE1/0/1] port trunk allow-pass vlan 2
[*SwitchC-10GE1/0/1] commit
[~SwitchC-10GE1/0/1] quit

 

# Agregar 10GE1/0/2 en SwitchC a VLAN 2.

[~SwitchC] interface 10ge 1/0/2
[~SwitchC-10GE1/0/2] port link-type trunk
[*SwitchC-10GE1/0/2] undo port trunk allow-pass vlan 1
[*SwitchC-10GE1/0/2] port trunk allow-pass vlan 2
[*SwitchC-10GE1/0/2] commit
[~SwitchC-10GE1/0/2] quit

 

# Agregar 10GE1/0/3 en SwitchC a VLAN 2.

[~SwitchC] interface 10ge 1/0/3
[~SwitchC-10GE1/0/3] port link-type access
[*SwitchC-10GE1/0/3] port default vlan 2
[*SwitchC-10GE1/0/3] commit
[~SwitchC-10GE1/0/3] quit

 

# Agregar 10GE1/0/1 en SwitchD a VLAN 3.

[~SwitchD] interface 10ge 1/0/1
[~SwitchD-10GE1/0/1] description TO-CE12800-SWITCHB
[*SwitchD-10GE1/0/1] port link-type trunk
[*SwitchD-10GE1/0/1] undo port trunk allow-pass vlan 1
[*SwitchD-10GE1/0/1] port trunk allow-pass vlan 3
[*SwitchD-10GE1/0/1] commit
[~SwitchD-10GE1/0/1] quit

 

# Agregar 10GE1/0/2 en SwitchD a VLAN 3.

[~SwitchD] interface 10ge 1/0/2
[~SwitchD-10GE1/0/2] port link-type trunk
[*SwitchD-10GE1/0/2] undo port trunk allow-pass vlan 1
[*SwitchD-10GE1/0/2] port trunk allow-pass vlan 3
[*SwitchD-10GE1/0/2] commit
[~SwitchD-10GE1/0/2] quit

 

# Agregar 10GE1/0/3 en SwitchD a VLAN 3.

[~SwitchD] interface 10ge 1/0/3
[~SwitchD-10GE1/0/3] port link-type access
[*SwitchD-10GE1/0/3] port default vlan 3
[*SwitchD-10GE1/0/3] commit
[~SwitchD-10GE1/0/3] quit

 

4. Configurar los grupos de VRRP.

 

# Configurar el grupo 1 de VRRP en SwitchA y SwitchB, establecer la prioridad de SwitchA en 120 y el retraso de preferencia en 20 segundos. y establecer la prioridad predeterminada para SwitchB.

[~SwitchA] interface vlanif 2
[*SwitchA-Vlanif2] vrrp vrid 1 virtual-ip 10.1.2.100
[*SwitchA-Vlanif2] vrrp vrid 1 priority 120
[*SwitchA-Vlanif2] vrrp vrid 1 preempt-mode timer delay 20
[*SwitchA-Vlanif2] commit
[~SwitchA-Vlanif2] quit
[~SwitchB] interface vlanif 2
[*SwitchB-Vlanif2] vrrp vrid 1 virtual-ip 10.1.2.100
[*SwitchB-Vlanif2] commit
[~SwitchB-Vlanif2] quit

 

# Configurar el grupo 2 de VRRP en SwitchA y SwitchB, establecer la prioridad de SwitchB en 120 y el retraso de preferencia en 20 segundos. y establecer la prioridad predeterminada para SwitchA.

[~SwitchB] interface vlanif 3
[*SwitchB-Vlanif3] vrrp vrid 2 virtual-ip 10.1.3.100
[*SwitchB-Vlanif3] vrrp vrid 2 priority 120
[*SwitchB-Vlanif3] vrrp vrid 2 preempt-mode timer delay 20
[*SwitchB-Vlanif3] commit
[~SwitchB-Vlanif3] quit
[~SwitchA] interface vlanif 3
[*SwitchA-Vlanif3] vrrp vrid 2 virtual-ip 10.1.3.100
[*SwitchA-Vlanif3] commit
[~SwitchA-Vlanif3] quit

 

# Configurar la dirección IP virtual 10.1.2.100 del grupo 1 de VRRP como el gateway predeterminado de HostA, y la dirección IP virtual 10.1.3.100 del grupo 2 de VRRP como el gateway predeterminado de HostB.

 

5. Configurar los switches para garantizar la conectividad de la red.

 

# Asignar una dirección IP a cada interfaz. SwitchA se usa como un ejemplo. Las configuraciones de SwitchB, SwitchI y SwitchJ son similares a la configuración de SwitchA.

[~SwitchA] vlan batch 6 7
[*SwitchA] interface 10ge 1/0/4
[*SwitchA-10GE1/0/4] description TO-CE12800-SWITCHJ
[*SwitchA-10GE1/0/4] port link-type trunk
[*SwitchA-10GE1/0/4] undo port trunk allow-pass vlan 1
[*SwitchA-10GE1/0/4] port trunk allow-pass vlan 6
[*SwitchA-10GE1/0/4] quit
[*SwitchA] interface 10ge 1/0/5
[*SwitchA-10GE1/0/5] description TO-CE12800-SWITCHI
[*SwitchA-10GE1/0/5] port link-type trunk
[*SwitchA-10GE1/0/5] undo port trunk allow-pass vlan 1
[*SwitchA-10GE1/0/5] port trunk allow-pass vlan 7
[*SwitchA-10GE1/0/5] quit
[*SwitchA] interface vlanif 2
[*SwitchA-Vlanif2] ip address 10.1.2.102 24
[*SwitchA-Vlanif2] quit
[*SwitchA] interface vlanif 3
[*SwitchA-Vlanif3] ip address 10.1.3.102 24
[*SwitchA-Vlanif3] quit
[*SwitchA] interface vlanif 6
[*SwitchA-Vlanif6] ip address 10.1.6.102 24
[*SwitchA-Vlanif6] quit
[*SwitchA] interface vlanif 7
[*SwitchA-Vlanif7] ip address 10.1.7.102 24
[*SwitchA-Vlanif7] quit
[*SwitchA] commit

 

# Configurar OSPF entre SwitchA, SwitchB, SwitchI, SwitchJ y router.

[~SwitchA] ospf 1
[*SwitchA-ospf-1] area 0
[*SwitchA-ospf-1-area-0.0.0.0] network 10.1.2.0 0.0.0.255
[*SwitchA-ospf-1-area-0.0.0.0] network 10.1.3.0 0.0.0.255
[*SwitchA-ospf-1-area-0.0.0.0] network 10.1.6.0 0.0.0.255
[*SwitchA-ospf-1-area-0.0.0.0] network 10.1.7.0 0.0.0.255
[*SwitchA-ospf-1-area-0.0.0.0] quit
[*SwitchA-ospf-1] quit
[*SwitchA] commit

 

6. Configurar los firewalls.

 

Configurar  en espera FW-1 y FW-2. Los paquetes de SwitchI y SwitchJ son procesados por FW-1 y FW-2, y luego son enviados al centro de datos o Internet.

 

FW-1 y FW-2 funcionan en modo de balanceo de carga. Si falla un firewall, los paquetes de servicio se cambian a otro firewall.

 

En este ejemplo, FW-1 y FW-2 son gateways de seguridad USG de Huawei.

 

a. Realizar las configuraciones básicas que incluyan el nombre del firewall, la interfaz y la zona de seguridad en FW-1.

<USG> system-view
[USG] sysname FW-1
[FW-1] interface GigabitEthernet 1/0/1
[FW-1-GigabitEthernet1/0/1] ip address 172.16.1.1 24
[FW-1-GigabitEthernet1/0/1] quit
[FW-1] interface GigabitEthernet 1/0/2
[FW-1-GigabitEthernet1/0/2] ip address 172.16.2.1 24
[FW-1-GigabitEthernet1/0/2] quit
[FW-1] interface GigabitEthernet 1/0/3
[FW-1-GigabitEthernet1/0/3] ip address 172.16.3.1 24
[FW-1-GigabitEthernet1/0/3] quit
[FW-1] interface GigabitEthernet 1/0/4
[FW-1-GigabitEthernet1/0/4] ip address 172.16.4.1 24
[FW-1-GigabitEthernet1/0/4] quit
 
[FW-1] interface Eth-Trunk 1
[FW-1-Eth-Trunk1] trunkport GigabitEthernet 2/0/0 2/0/1 2/0/2 2/0/3
[FW-1-Eth-Trunk1] ip address 172.16.5.1 24
[FW-1-Eth-Trunk1] quit
 
[FW-1] firewall zone trust
[FW-1-zone-trust] add interface GigabitEthernet 1/0/1
[FW-1-zone-trust] add interface GigabitEthernet 1/0/3
[FW-1-zone-trust] quit
[FW-1] firewall zone untrust
[FW-1-zone-untrust] add interface GigabitEthernet 1/0/2
[FW-1-zone-untrust] add interface GigabitEthernet 1/0/4
[FW-1-zone-untrust] quit
[FW-1] firewall zone dmz
[FW-1-zone-dmz] add interface Eth-Trunk 1
[FW-1-zone-dmz] quit
 
[FW-1] interface LoopBack 1
[FW-1-LoopBack1] ip address 172.16.100.1 32
[FW-1-LoopBack1] quit
[FW-1] interface LoopBack 2
[FW-1-LoopBack2] ip address 172.16.100.2 32
[FW-1-LoopBack2] quit
[FW-1] interface LoopBack 3
[FW-1-LoopBack3] ip address 172.16.100.3 32
[FW-1-LoopBack3] quit
[FW-1] interface LoopBack 4
[FW-1-LoopBack4] ip address 172.16.100.4 32
[FW-1-LoopBack4] quit

 

b. Realizar las configuraciones básicas que incluyen el nombre del firewall, la interfaz y la zona de seguridad en FW-2.

<USG> system-view
[USG] sysname FW-2
[FW-2] interface GigabitEthernet 1/0/1
[FW-2-GigabitEthernet1/0/1] ip address 172.16.6.1 24
[FW-2-GigabitEthernet1/0/1] quit
[FW-2] interface GigabitEthernet 1/0/2
[FW-2-GigabitEthernet1/0/2] ip address 172.16.7.1 24
[FW-2-GigabitEthernet1/0/2] quit
[FW-2] interface GigabitEthernet 1/0/3
[FW-2-GigabitEthernet1/0/3] ip address 172.16.8.1 24
[FW-2-GigabitEthernet1/0/3] quit
[FW-2] interface GigabitEthernet 1/0/4
[FW-2-GigabitEthernet1/0/4] ip address 172.16.9.1 24
[FW-2-GigabitEthernet1/0/4] quit
 
[FW-2] interface Eth-Trunk 1
[FW-2-Eth-Trunk1] trunkport GigabitEthernet 2/0/0 2/0/1 2/0/2 2/0/3
[FW-2-Eth-Trunk1] ip address 172.16.10.1 24
[FW-2-Eth-Trunk1] quit
 
[FW-2] firewall zone trust
[FW-2-zone-trust] add interface GigabitEthernet 1/0/1
[FW-2-zone-trust] add interface GigabitEthernet 1/0/3
[FW-2-zone-trust] quit
[FW-2] firewall zone untrust
[FW-2-zone-untrust] add interface GigabitEthernet 1/0/2
[FW-2-zone-untrust] add interface GigabitEthernet 1/0/4
[FW-2-zone-untrust] quit
[FW-2] firewall zone dmz
[FW-2-zone-dmz] add interface Eth-Trunk 1
[FW-2-zone-dmz] quit
 
[FW-2] interface LoopBack 1
[FW-2-LoopBack1] ip address 172.16.100.1 32
[FW-2-LoopBack1] quit
[FW-2] interface LoopBack 2
[FW-2-LoopBack2] ip address 172.16.100.2 32
[FW-2-LoopBack2] quit
[FW-2] interface LoopBack 3
[FW-2-LoopBack3] ip address 172.16.100.3 32
[FW-2-LoopBack3] quit
[FW-2] interface LoopBack 4
[FW-2-LoopBack4] ip address 172.16.100.4 32
[FW-2-LoopBack4] quit

 

c. Configurar OSPF en FW-1 y FW-2. Especificar un ID de router único para cada proceso. Además, los ID de router de los procesos de OSPF en los firewalls activos y en espera deben ser diferentes para evitar el flapping de OSPF.

[FW-1] ospf 1 router-id 172.16.100.1
[FW-1-ospf-1] area 0
[FW-1-ospf-1-area-0.0.0.0] network 172.16.1.0 0.0.0.255
[FW-1-ospf-1-area-0.0.0.0] network 172.16.100.1 0.0.0.0
[FW-1-ospf-1-area-0.0.0.0] quit
[FW-1-ospf-1] quit
[FW-1] ospf 2 router-id 172.16.100.2
[FW-1-ospf-2] area 0
[FW-1-ospf-2-area-0.0.0.0] network 172.16.2.0 0.0.0.255
[FW-1-ospf-2-area-0.0.0.0] network 172.16.100.2 0.0.0.0
[FW-1-ospf-2-area-0.0.0.0] quit
[FW-1-ospf-2] quit
[FW-1] ospf 3 router-id 172.16.100.3
[FW-1-ospf-3] area 0
[FW-1-ospf-3-area-0.0.0.0] network 172.16.3.0 0.0.0.255
[FW-1-ospf-3-area-0.0.0.0] network 172.16.100.3 0.0.0.0
[FW-1-ospf-3-area-0.0.0.0] quit
[FW-1-ospf-3] quit
[FW-1] ospf 4 router-id 172.16.100.4
[FW-1-ospf-4] area 0
[FW-1-ospf-4-area-0.0.0.0] network 172.16.4.0 0.0.0.255
[FW-1-ospf-4-area-0.0.0.0] network 172.16.100.4 0.0.0.0
[FW-1-ospf-4-area-0.0.0.0] quit
[FW-1-ospf-4] quit
 
[FW-2] ospf 1 router-id 172.16.100.6
[FW-2-ospf-1] area 0
[FW-2-ospf-1-area-0.0.0.0] network 172.16.6.0 0.0.0.255
[FW-2-ospf-1-area-0.0.0.0] network 172.16.100.1 0.0.0.0
[FW-2-ospf-1-area-0.0.0.0] quit
[FW-2-ospf-1] quit
[FW-2] ospf 2 router-id 172.16.100.7
[FW-2-ospf-2] area 0
[FW-2-ospf-2-area-0.0.0.0] network 172.16.7.0 0.0.0.255
[FW-2-ospf-2-area-0.0.0.0] network 172.16.100.2 0.0.0.0
[FW-2-ospf-2-area-0.0.0.0] quit
[FW-2-ospf-2] quit
[FW-2] ospf 3 router-id 172.16.100.8
[FW-2-ospf-3] area 0
[FW-2-ospf-3-area-0.0.0.0] network 172.16.8.0 0.0.0.255
[FW-2-ospf-3-area-0.0.0.0] network 172.16.100.3 0.0.0.0
[FW-2-ospf-3-area-0.0.0.0] quit
[FW-2-ospf-3] quit
[FW-2] ospf 4 router-id 172.16.100.9
[FW-2-ospf-4] area 0
[FW-2-ospf-4-area-0.0.0.0] network 172.16.9.0 0.0.0.255
[FW-2-ospf-4-area-0.0.0.0] network 172.16.100.4 0.0.0.0
[FW-2-ospf-4-area-0.0.0.0] quit
[FW-2-ospf-4] quit

 

Configurar HSB en FW-1 y FW-2.

 

§  Configure HSB en FW-1.

[FW-1] hrp track interface GigabitEthernet 1/0/1
[FW-1] hrp track interface GigabitEthernet 1/0/2
[FW-1] hrp track interface GigabitEthernet 1/0/3
[FW-1] hrp track interface GigabitEthernet 1/0/4
[FW-1] hrp adjust ospf-cost enable
[FW-1] hrp interface Eth-Trunk 1 remote 172.16.10.1
[FW-1] hrp enable
[FW-1] hrp mirror session enable

 

§  Configure HSB en FW-2.

[FW-2] hrp track interface GigabitEthernet 1/0/1
[FW-2] hrp track interface GigabitEthernet 1/0/2
[FW-2] hrp track interface GigabitEthernet 1/0/3
[FW-2] hrp track interface GigabitEthernet 1/0/4
[FW-2] hrp adjust ospf-cost enable
[FW-2] hrp interface Eth-Trunk 1 remote 172.16.5.1
[FW-2] hrp enable
[FW-2] hrp mirror session enable

 

e. Configure políticas de seguridad y prevención de intrusiones.

HRP_M[FW-1] policy interzone trust untrust outbound
HRP_M[FW-1-policy-interzone-trust-untrust-outbound] policy 1
HRP_M[FW-1-policy-interzone-trust-untrust-outbound-1] policy source 10.1.2.0 mask 24
HRP_M[FW-1-policy-interzone-trust-untrust-outbound-1] policy source 10.1.3.0 mask 24
HRP_M[FW-1-policy-interzone-trust-untrust-outbound-1] policy source 10.1.4.0 mask 24
HRP_M[FW-1-policy-interzone-trust-untrust-outbound-1] policy source 10.1.5.0 mask 24
HRP_M[FW-1-policy-interzone-trust-untrust-outbound-1] action permit
HRP_M[FW-1-policy-interzone-trust-untrust-outbound-1] profile ips default
HRP_M[FW-1-policy-interzone-trust-untrust-outbound-1] quit
HRP_M[FW-1-policy-interzone-trust-untrust-outbound] quit
HRP_M[FW-1] policy interzone trust untrust inbound
HRP_M[FW-1-policy-interzone-trust-untrust-inbound] policy 1
HRP_M[FW-1-policy-interzone-trust-untrust-inbound-1] policy destination 10.1.2.0 mask 24
HRP_M[FW-1-policy-interzone-trust-untrust-inbound-1] policy destination 10.1.3.0 mask 24
HRP_M[FW-1-policy-interzone-trust-untrust-inbound-1] policy destination 10.1.4.0 mask 24
HRP_M[FW-1-policy-interzone-trust-untrust-inbound-1] policy destination 10.1.5.0 mask 24
HRP_M[FW-1-policy-interzone-trust-untrust-inbound-1] policy service service-set ftp http
HRP_M[FW-1-policy-interzone-trust-untrust-inbound-1] action permit
HRP_M[FW-1-policy-interzone-trust-untrust-inbound-1] profile ips default
HRP_M[FW-1-policy-interzone-trust-untrust-inbound-1] quit
HRP_M[FW-1-policy-interzone-trust-untrust-inbound] quit
HRP_M[FW-1] ips enable

 

f. Configurar la defensa contra ataques.

 

NOTA: El umbral de defensa contra ataques se usa como referencia. Establecer este valor de acuerdo con el tráfico de red real.

 

HRP_M[FW-1] firewall defend syn-flood enable
HRP_M[FW-1] firewall defend syn-flood enable
HRP_M[FW-1] firewall defend syn-flood zone untrust max-rate 20000
HRP_M[FW-1] firewall defend udp-flood enable
HRP_M[FW-1] firewall defend udp-flood zone untrust max-rate 1500
HRP_M[FW-1] firewall defend icmp-flood enable
HRP_M[FW-1] firewall defend icmp-flood zone untrust max-rate 20000
HRP_M[FW-1] firewall blacklist enable
HRP_M[FW-1] firewall defend ip-sweep enable
HRP_M[FW-1] firewall defend ip-sweep max-rate 4000
HRP_M[FW-1] firewall defend port-scan enable
HRP_M[FW-1] firewall defend port-scan max-rate 4000
HRP_M[FW-1] firewall defend ip-fragment enable
HRP_M[FW-1] firewall defend ip-spoofing enable

 

7. Configurear el Enrutamiento basado en políticas (PBR) para que el tráfico que pasa a través de SwitchI y SwitchJ se redireccione al firewall para su filtrado.

 

# SwitchI se usa como ejemplo. La configuración de SwitchJ es similar a la configuración de SwitchI, motivo por el cual, no pongo l configuración de SwitchI.

[~SwitchI] acl 3001
[*SwitchI-acl4-advance-3001] rule 5 permit ip source 10.1.2.0 24
[*SwitchI-acl4-advance-3001] rule 10 permit ip source 10.1.3.0 24
[*SwitchI-acl4-advance-3001] rule 15 permit ip source 10.1.4.0 24
[*SwitchI-acl4-advance-3001] rule 20 permit ip source 10.1.5.0 24
[*SwitchI-acl4-advance-3001] commit 
[~SwitchI-acl4-advance-3001] quit
[~SwitchI] traffic classifier c1
[*SwitchI-classifier-c1] if-match acl 3001
[*SwitchI-classifier-c1] quit
[*SwitchI] commit 
[~SwitchI] traffic behavior b1
[*SwitchI-behavior-b1] redirect load-balance nexthop 172.16.100.1 172.16.100.3 
[*SwitchI-behavior-b1] quit
[*SwitchI] commit 
[~SwitchI] traffic policy p1
[*SwitchI-trafficpolicy-p1] classifier c1 behavior b1
[*SwitchI-trafficpolicy-p1] quit
[*SwitchI] commit 
[~SwitchI] interface 10ge 1/0/1
[~SwitchI-10GE1/0/1] traffic-policy p1 inbound 
[*SwitchI-10GE1/0/1] quit
[*SwitchI] commit 
[~SwitchI] interface 10ge 1/0/2
[~SwitchI-10GE1/0/2] traffic-policy p1 inbound 
[*SwitchI-10GE1/0/2] quit
[*SwitchI] commit 
[~SwitchI] interface 10ge 1/0/3
[~SwitchI-10GE1/0/3] traffic-policy p1 inbound 
[*SwitchI-10GE1/0/3] quit
[*SwitchI] commit 
[~SwitchI] interface 10ge 1/0/4
[~SwitchI-10GE1/0/4] traffic-policy p1 inbound 
[*SwitchI-10GE1/0/4] quit
[*SwitchI] commit 
[~SwitchI] interface 10ge 1/0/14
[~SwitchI-10GE1/0/14] traffic-policy p1 inbound 
[*SwitchI-10GE1/0/14] quit
[*SwitchI] commit 
[~SwitchI] acl 3003
[*SwitchI-acl4-advance-3003] rule 5 permit ip destination 10.1.2.0 24
[*SwitchI-acl4-advance-3003] rule 10 permit ip destination 10.1.3.0 24
[*SwitchI-acl4-advance-3003] rule 15 permit ip destination 10.1.4.0 24
[*SwitchI-acl4-advance-3003] rule 10 permit ip destination 10.1.5.0 24
[*SwitchI-acl4-advance-3003] commit 
[~SwitchI-acl4-advance-3003] quit
[~SwitchI] traffic classifier c3
[*SwitchI-classifier-c3] if-match acl 3003
[*SwitchI-classifier-c3] quit
[*SwitchI] commit 
[~SwitchI] traffic behavior b3
[*SwitchI-behavior-b3] redirect load-balance nexthop 172.16.100.2 172.16.100.4
[*SwitchI-behavior-b3] quit
[*SwitchI] commit 
[~SwitchI] traffic policy p2
[*SwitchI-trafficpolicy-p2] classifier c3 behavior b3
[*SwitchI-trafficpolicy-p2] quit
[*SwitchI] commit 
[~SwitchI] interface 10ge 1/0/5
[~SwitchI-10GE1/0/5] traffic-policy p2 inbound
[*SwitchI-10GE1/0/5] quit
[*SwitchI] commit

 

Validamos la configuración.

 

1. # Una vez completada la configuración, ejecutar el comando display vrrp en SwitchA. Puede ver que SwitchA es el master en el grupo 1 de VRRP y el backup en el grupo 2 de VRRP.

<SwitchA> display vrrp verbose
  Vlanif2 | Virtual Router 1
    State : Master
    Virtual IP : 10.1.2.100
    Master IP : 10.1.2.102
    PriorityRun : 120
    PriorityConfig : 120                                                        
    MasterPriority : 120                                                        
    Preempt : YES   Delay Time : 20 s   Remain : --
    TimerRun : 1 s                                                              
    TimerConfig : 1 s                                                           
    Auth Type : NONE                                                            
    Virtual MAC : 0000-5e00-0101                                                
    Check TTL : YES                                                             
    Config Type : normal-vrrp                                                   
    Create Time : 2013-05-10 21:39                                          
    Last Change Time : 2013-05-10 21:39
 
  Vlanif3 | Virtual Router 2
    State : Backup
    Virtual IP : 10.1.3.100
    Master IP : 10.1.3.103
    PriorityRun : 100
    PriorityConfig : 100                                                        
    MasterPriority : 120                                                        
    Preempt : YES   Delay Time : 0 s   Remain : --
    TimerRun : 1 s                                                              
    TimerConfig : 1 s                                                           
    Auth type : NONE                                                            
    Virtual MAC : 0000-5e00-0102                                                
    Check TTL : YES                                                             
    Config Type : normal-vrrp                                                   
    Create Time : 2013-05-10 21:39                                           
    Last Change Time : 2013-05-10 21:39

 

2. Ejecutar el comando display vrrp en SwitchB. Para validar que SwitchB es el backup en el grupo 1 de VRRP y el master en el grupo 2 de VRRP.

<SwitchB> display vrrp verbose
  Vlanif2 | Virtual Router 1
    State : Backup
    Virtual IP : 10.1.2.100
    Master IP : 10.1.2.102
    PriorityRun : 100
    PriorityConfig : 100                                                        
    MasterPriority : 120                                                        
    Preempt : YES   Delay Time : 0 s   Remain : --
    TimerRun : 1 s                                                              
    TimerConfig : 1 s                                                           
    Auth Type : NONE                                                            
    Virtual MAC : 0000-5e00-0101                                                
    Check TTL : YES                                                             
    Config Type : normal-vrrp                                                   
    Create Time : 2013-05-10 21:39                                           
    Last Change Time : 2013-05-10 21:39
 
  Vlanif3 | Virtual Router 2
    State : Master
    Virtual IP : 10.1.3.100
    Master IP : 10.1.3.103
    PriorityRun : 120
    PriorityConfig : 120                                                        
    MasterPriority : 120                                                        
    Preempt : YES   Delay Time : 20 s   Remain : --
    TimerRun : 1 s                                                              
    TimerConfig : 1 s                                                           
    Auth type : NONE                                                            
    Virtual MAC : 0000-5e00-0102                                                
    Check TTL : YES                                                             
    Config Type : normal-vrrp                                                   
    Create Time : 2013-05-10 21:39                                           
    Last Change Time : 2013-05-10 21:39

 

Espero que con este ejemplo típico de configuración de implementación VRRP en una red de centro de datos con arquitectura de 3 capas.


Te invito a que me dejes un comentario y/o pregunta, lo antes posible estaría dando respuesta a ellas.

 

Saludos!

  • x
  • convención:

gabo.lr
VIP Publicado 2019-8-31 00:50:44 Útil(0) Útil(0)
Excelente aporte!!
  • x
  • convención:

Gustavo.HdezF
Moderador Publicado 2019-9-2 11:39:04 Útil(0) Útil(0)
Y cual es el tiempo invertido para configurar una red como la del ejemplo?? Gracias por compartir esta esta información en el foro. Saludos.
  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2020%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje