[Todo sobre switches] Ejemplo de para configurar la salida de un campus a gran escala

105 0 0 1

Requisitos de red


Como se muestra en la Figura 1-1, en la salida de un campus a gran escala, los interruptores centrales están conectados directamente a los Firewall y conectados a las puertas de enlace de salida a través de los cortafuegos. Los cortafuegos filtran el tráfico entrante y saliente del campus para garantizar la seguridad de la red. Los requisitos de la red son los siguientes:

·         Los usuarios de la red interna utilizan direcciones IP privadas y las direcciones IP de los usuarios se asignan mediante DHCP.

·         Los usuarios del departamento A pueden acceder a Internet y los usuarios del departamento B no pueden acceder a Internet.

·         los usuarios en redes internas y externas pueden acceder al servidor HTTP.

·         Cada nodo utiliza el diseño de redundancia para garantizar la confiabilidad de la red.


Figura 1-1 Conexión en red para configurar la salida de un campus a gran escala (los firewalls están conectados a los switches principales en el modo en línea)


084806qdjr37e7q376biea.png?image.png


Despliegue

·         Despliegue de enrutamiento

ü  ? ID de enrutador: configure una dirección de interfaz de bucle invertido como la ID de enrutador en cada dispositivo.

ü  ? Agregue enrutadores de egreso, cortafuegos y conmutadores centrales al área OSPF 0. Configure los enrutadores de egreso como enrutadores de borde de sistema autónomo (ASBR) y los conmutadores centrales como enrutadores de borde de área (ABR).

ü  ? Configure las áreas 1 y 2 de la ruta más corta abierta primero (OSPF) para los departamentos A y B, respectivamente, y configure las dos áreas OSPF como Áreas No Stubby (NSSA) para reducir la cantidad de LSA transmitidos entre las áreas OSPF.

ü  ? Para guiar el tráfico de enlace ascendente en cada dispositivo, configure una ruta predeterminada que apunte al firewall en el conmutador central, configure una ruta predeterminada que apunte al enrutador de salida en el firewall y configure una ruta predeterminada que apunte a la dirección de la interfaz interconectada (pasarela pública Dirección) del dispositivo del transportista.

ü  l despliegue de fiabilidad

ü  ? Implemente el sistema de conmutación de clúster (CSS) en los conmutadores principales y la pila inteligente (iStack) en los conmutadores de agregación para garantizar la fiabilidad a nivel del dispositivo.

ü  ? Para mejorar la confiabilidad del enlace, use Eth-Trunks entre los conmutadores centrales y los cortafuegos, entre los conmutadores centrales y los conmutadores de agregación, y entre los conmutadores de agregación y los conmutadores de acceso.

ü  ? Implemente el Protocolo de redundancia de Huawei (HRP) en los cortafuegos para implementar el equilibrio de carga.

ü  l Implementación del Protocolo de configuración dinámica de host (DHCP)

ü  ? Configure el conmutador central como el servidor DHCP para asignar direcciones IP a los usuarios.

ü  ? Configure la función de retransmisión DHCP en el conmutador de agregación para garantizar que el servidor DHCP pueda asignar direcciones IP a los usuarios.

·         Despliegue de traducción de direcciones de red (NAT)

 

ü  ? Para garantizar que los usuarios en la red interna puedan acceder a Internet, configure NAT en las interfaces de enlace ascendente de los dos enrutadores de salida para traducir las direcciones privadas en direcciones públicas. Configure una lista de control de acceso (ACL) para que coincida con la dirección IP de origen del departamento A, de modo que los usuarios del departamento A puedan acceder a Internet y los usuarios del departamento B no puedan acceder a Internet.

ü  ? Para garantizar que los usuarios en la red externa puedan acceder al servidor HTTP, configure el servidor NAT en dos enrutadores de salida.

·         Despliegue de seguridad

Planificación de dispositivos

Device Type

Device Model

Router1 and Router2

Huawei AR3600 series routers

FW1 and FW2

Huawei USG9000 series firewall

Core switches that constitute a CSS

Huawei S7700/S9700/S12700 switches

Aggregation switches that constitute an   iStack system

Huawei S5720EI series switches (service   interface stacking)

 

Plan de Datos

Device

Interface Number

Member Interface

VLANIF Interface

IP Address

Remote Device

Remote Interface Number

Router1

GE0/0/1

-

-

10.1.1.1/24

FW1

GE1/0/1

GE0/0/2

-

-

202.10.1.1/24

Assume that the interface connected to an   interface of a carrier's device and the IP address is a public one allocated   by the carrier.

Router2

GE0/0/1

-

-

10.2.1.1/24

FW2

GE1/0/1

GE0/0/2

-

-

202.10.2.1/24

Assume that the interface connected to an   interface of a carrier's device and the IP address is a public one allocated   by the carrier.

FW1

GE1/0/1

-

-

10.1.1.2/24

Router1

GE0/0/1

GE1/0/7

-

-

10.10.1.1/24

FW2

GE1/0/7

Eth-Trunk10

GE2/0/3

-

10.3.1.1/24

CSS

Eth-Trunk 10

GE2/0/4

FW2

GE1/0/1

-

-

10.2.1.2/24

Router2

GE0/0/1

GE1/0/7

-

-

10.10.1.2/24

FW1

GE1/0/7

Eth-Trunk 20

GE2/0/3

-

10.4.1.1/24

CSS

Eth-Trunk 20

GE2/0/4

CSS

GE1/1/0/10

-

VLANIF 300

10.100.1.1

HTTP server

Ethernet interface

Eth-Trunk 10

GE1/1/0/3

-

10.3.1.2/24

FW1

Eth-Trunk 10

GE2/1/0/3

Eth-Trunk 20

GE1/1/0/4

-

10.4.1.2/24

FW2

Eth-Trunk 20

GE2/1/0/4

Eth-Trunk 100

GE1/2/0/3

VLANIF 100

10.5.1.1/24

AGG1

Eth-Trunk 100

GE2/2/0/3

Eth-Trunk 200

GE1/2/0/4

VLANIF 200

10.6.1.1/24

AGG2

Eth-Trunk 200

GE2/2/0/4

AGG1

Eth-Trunk 100

GE1/0/1

VLANIF 100

10.5.1.2/24

CSS

Eth-Trunk 100

GE2/0/1

Eth-Trunk 500

GE1/0/5

VLANIF 500

192.168.1.1/24

Assume that the interface is used to   connect to department A and its IP address is the gateway address of   department A.

GE2/0/5

AGG2

Eth-Trunk 100

GE1/0/1

VLANIF 200

10.6.1.2/24

CSS

GE2/0/1

Eth-Trunk 600

GE1/0/5

VLANIF600

192.168.2.1/24

Assume that the interface is used to   connect to department B and its IP address is the gateway address of   department B.

GE2/0/5

HTTP server

Ethernet interface

-

-

10.100.1.10/24

CSS

GE1/1/0/10

 

Configuracion Roadmap

The configuration roadmap is as follows.

Step

Configuration Roadmap

Involved Product

1

(1) Configure CSS on core switches.

(2) Configure iStack on aggregation   switches.

Core switches (Switch1 and Switch2) and   aggregation switches (Switch3, Switch4, Switch5, and Switch6)

2

Configure Eth-Trunks to improve the link   reliability.

(1) Configure Eth-Trunks between core   switches (CSS) and firewalls.

(2) Configure Eth-Trunks between core   switches (CSS) and aggregation switches (AGG).

(3) Configure Eth-Trunks between   aggregation switches and access switches.

Core switches (CSS), firewalls (FW1 and   FW2), and aggregation switches (AGG1 and AGG2)

3

Assign an IP address to each interface.

(1) Configure IP addresses for uplink and   downlink interfaces of routers.

(2) Configure IP addresses for uplink and   downlink interfaces of firewalls.

(3) Configure IP addresses for uplink and   downlink interfaces of core switches.

(4) Configure IP addresses for uplink and   downlink interfaces of aggregation switches.

Routers (Router1 and Router2), firewalls   (FW1 and FW2), core switches (CSS), and aggregation switches (AGG1 and AGG2)

4

Configure a routing protocol. Configure   OSPF on the internal network.

(1) Configure OSPF area 0 on uplink   interfaces of routers, firewalls, and core switches.

(2) Configure OSPF areas 1 and 2 on core   and aggregation switches, configure the two OSPF areas as NSSAs, and add   downlink interfaces of core switches to NSSAs.

(3) Configure a default route pointing to   the firewall on the core switch, configure a default route pointing to the   egress router on the firewall, and configure a default route pointing to the   address of the interconnected interface (public gateway address) of the   carrier's device.

Routers (Router1 and Router2), firewalls   (FW1 and FW2), and core switches (CSS)

5

Configure zones that interfaces belong to.

(1) Add the interface connected to the   external network to the untrusted zone.

(2) Add the interface connected to the   internal network to the trusted zone.

(3) Add the heartbeat interface enabled   with HRP to the DMZ.

Firewalls (FW1 and FW2)

6

Configure HRP.

(1) Associate VRRP Group Management   Protocol (VGMP) groups with uplink and downlink interfaces.

(2) Specify heartbeat interfaces and enable   HRP.

(3) Enable quick session backup to   implement load balancing between two firewalls.

Firewalls (FW1 and FW2)

7

Configure DHCP.

(1) Configure the DHCP server on core   switches and specify the address pool and gateway address.

(2) Configure the DHCP relay function on   aggregation switches.

Core switches (CSS) and aggregation   switches (AGG1 and AGG2)

8

Configure NAT.

(1) Configure NAT on two egress routers so   that users of department A can access the Internet and users of department B   cannot access the Internet.

(2) Configure the NAT server on two egress   routers so that users on the external network can access the HTTP server.

Egress routers (Router1 and Router2)

9

Configure attack defense and enable defense   against SYN Flood attacks and HTTP Flood attacks on firewalls to protect   internal servers against attacks.

Firewalls

 

Procedimiento

Paso 1 Configurar CSS en los switches principales.

1. Conectar los cables de las tarjetas CSS. La tarjeta CSS EH1D2VS08000 se utiliza como ejemplo.


Figura 1-2 redes CSS


085015rmckekk8rffewocz.png?image.png


2. Configure la función CSS en el Switch1 y use la conexión de la tarjeta CSS (no es necesario configurar el valor predeterminado). Use la ID de CSS predeterminada 1 (no es necesario configurar el valor predeterminado) y establezca la prioridad de CSS en 100.

<HUAWEI> vista del sistema

[HUAWEI] establece el modo css css-card

[HUAWEI] establece css id 1

[HUAWEI] establece la prioridad css 100

[HUAWEI] habilitar css

Advertencia: la configuración de CSS solo tiene efecto después de reiniciar el sistema. El siguiente modo CSS es CSS-Card. ¿Reinicie ahora? [S / N]: S

3. Configure la función CSS en Switch2. Use la conexión de tarjeta CSS (el valor predeterminado no necesita ser configurado). Establezca la ID de CSS en 2 y use la prioridad de CSS predeterminada 1 (no es necesario configurar el valor predeterminado).

<HUAWEI> vista del sistema

[HUAWEI] establece css id 2

[HUAWEI] habilitar css

Advertencia: la configuración de CSS solo tiene efecto después de reiniciar el sistema. El siguiente modo CSS es CSS-Card. ¿Reinicie ahora? [S / N]: S

4. Compruebe el estado de CSS después de reiniciar los conmutadores.

El indicador MASTER en la MPU es verde constante, como se muestra en la Figura 1-3.

ü  ? En el Switch1, los indicadores de ID de CSS numerados con 1 en ambas MPU están en verde constante. En el Switch2, los indicadores de ID de CSS numerados 2 en ambas MPU están en verde constante.

ü  ? Los indicadores LINK / ALM de las interfaces en todas las tarjetas CSS conectadas a los cables del clúster permanecen en verde.

ü  ? Los indicadores MASTER en todas las tarjetas CSS en el chasis activo están en verde constante, y los indicadores MASTER en todas las tarjetas CSS en el chasis en espera están apagados.

Figura 1-1 Indicadores de la tarjeta MPU y CSS


085033nj7yakvik993ymq7.png?image.png


Paso 2 Configurar iStack en los conmutadores de agregación. Los interruptores de la serie S5720EI se utilizan como ejemplo. Se utiliza el apilado de la interfaz de servicio.

Switch3 y Switch4 se utilizan como ejemplo. Las configuraciones de Switch5 y Switch6 son similares, y no se mencionan aquí.

 

Conecte los cables después de que se complete la configuración de iStack.

1. Configure las interfaces de la pila lógica y agregue las interfaces físicas de los miembros.

Las interfaces físicas de los miembros del puerto de pila de la interfaz de la pila lógica en un conmutador solo se pueden conectar a las interfaces del puerto de la pila n / 2 en un conmutador vecino.

# Configure la interfaz de servicio GE0 / 0/28 en Switch3 como la interfaz de miembro físico y agréguela a la interfaz de pila lógica correspondiente.

[Switch3] puerto de pila de interfaz 0/1

[Switch3-stack-port0 / 1] interfaz de puerto gigabitethernet 0/0/28 habilitar

Advertencia: la habilitación de la función de pila puede causar una pérdida de configuración en la interfaz, continuar? [S / N]: S

Información: Esta operación puede tardar unos segundos. Espere un momento por favor.......

[Switch3-stack-port0 / 1] quit

# Configure la interfaz de servicio GE0 / 0/28 en Switch4 como la interfaz de miembro físico y agréguela a la interfaz de pila lógica correspondiente.

[Switch4] puerto de pila de interfaz 0/2

[Switch4-stack-port0 / 2] interfaz de puerto gigabitethernet 0/0/28 habilitar

Advertencia: la habilitación de la función de pila puede causar una pérdida de configuración en la interfaz, continuar? [S / N]: S

Información: Esta operación puede tardar unos segundos. Espere un momento por favor.......

[Switch4-stack-port0 / 2] quit

2. Configure las ID de pila y las prioridades de pila.

# Establezca la prioridad de pila de Switch3 en 200.

[Switch3] apilar la ranura 0 prioridad 200

Advertencia: Por favor, no modifique la Prioridad con frecuencia, hará que la pila se divida, continuar? [S / N]: S

# Establezca la ID de pila de Switch3 en 1.

[Switch3] stack slot 0 renumera 1

Advertencia: todas las configuraciones relacionadas con la identificación de la ranura se perderán después de que se modifique la identificación de la ranura.

Por favor, no modifique con frecuencia el ID de ranura, hará que la pila se divida. Continuar? [S / N]: S

Información: la configuración de la pila ha cambiado y el dispositivo debe reiniciarse para que la configuración sea efectiva.

# Establezca la ID de pila del Switch4 en 2.

[Switch4] stack slot 0 renumera 2

Advertencia: todas las configuraciones relacionadas con la identificación de la ranura se perderán después de que se modifique la identificación de la ranura.

Por favor, no modifique con frecuencia el ID de ranura, hará que la pila se divida. Continuar? [S / N]: S

Información: la configuración de la pila ha cambiado y el dispositivo debe reiniciarse para que la configuración sea efectiva.

 

Apague el Switch3 y el Switch y conecte las interfaces GE0 / 0/28 utilizando el cable de pila SFP +.

Ejecute el comando de guardar para guardar las configuraciones antes de apagar los interruptores.

el puerto de pila 0/1 de un conmutador debe estar conectado al puerto de pila 0/2 de otro conmutador. De lo contrario, la pila no se puede configurar.

Figura 1-2 Red de la pila


085044seo312920medo0ki.png?image.png


4. Encienda los interruptores.

Para especificar un interruptor miembro como interruptor maestro, encienda primero este interruptor. Por ejemplo, si es necesario utilizar Switch3 como interruptor maestro, encienda Switch3 y luego Switch4.

5. Compruebe si la pila está configurada correctamente.

[Switch3] pila de visualización

Tipo de topología de pila: Enlace

Sistema de pila MAC: 0018-82b1-6eb4

Tiempo de retardo del interruptor de MAC: 2 min

Pila reservada vlan: 4093

Ranura del puerto de gestión activa: -

Tipo de dispositivo de prioridad de Mac de rol de ranura

-------------------------------------------------- -----------

    1 Maestro 0018-82b1-6eb4 200 S5720-36C-EI-AC

    2 Espera 0018-82b1-6eba 150 S5720-36C-EI-AC

 

Puede verificar los interruptores maestro y en espera, es decir, la pila está configurada correctamente.

Paso 3 Configure Eth-Trunks entre chasis entre el CSS y los cortafuegos y entre el CSS y los conmutadores de agregación.

1. En los firewalls, configure Eth-Trunks entre el CSS y los firewalls.

# En FW1, cree Eth-Trunk 10 para conectarse al CSS y agregue interfaces miembro a Eth-Trunk 10.

[FW1] interfaz eth-trunk 10

[FW1-Eth-Trunk10] quit

[FW1] interfaz gigabitethernet 2/0/3

[FW1-GigabitEthernet2 / 0/3] eth-trunk 10

[FW1-GigabitEthernet2 / 0/3] quit

[FW1] interfaz gigabitethernet 2/0/4

[FW1-GigabitEthernet2 / 0/4] eth-trunk 10

[FW1-GigabitEthernet2 / 0/4] quit

# En FW2, cree Eth-Trunk 20 para conectarse al CSS y agregue interfaces miembro a Eth-Trunk 20.

[FW2] interfaz eth-trunk 20

[FW2-Eth-Trunk20] se cierra

[FW2] interfaz gigabitethernet 2/0/3

[FW2-GigabitEthernet2 / 0/3] eth-trunk 20

[FW2-GigabitEthernet2 / 0/3] quit

[FW2] interfaz gigabitethernet 2/0/4

[FW2-GigabitEthernet2 / 0/4] eth-trunk 20

[FW2-GigabitEthernet2 / 0/4] quit

 

2. En el CSS, configure Eth-Trunks entre chasis entre el CSS y los cortafuegos y entre el CSS y los conmutadores de agregación.

# En el CSS, cree Eth-Trunk 10 para conectarse a FW1 y agregue interfaces miembro a Eth-Trunk 10.

[CSS] interface eth-trunk 10   
[CSS-Eth-Trunk10] quit 
[CSS] interface gigabitethernet 1/1/0/3  
[CSS-GigabitEthernet1/1/0/3] eth-trunk 10 
[CSS-GigabitEthernet1/1/0/3] quit 
[CSS] interface gigabitethernet 2/1/0/3 
[CSS-GigabitEthernet2/1/0/3] eth-trunk 10 
[CSS-GigabitEthernet2/1/0/3] quit 


# In the CSS, create Eth-Trunk 20 to connect to FW2 and add member interfaces to Eth-Trunk 20.

[CSS] interface eth-trunk 20   
[CSS-Eth-Trunk20] quit 
[CSS] interface gigabitethernet 1/1/0/4  
[CSS-GigabitEthernet1/1/0/4] eth-trunk 20  
[CSS-GigabitEthernet1/1/0/4] quit 
[CSS] interface gigabitethernet 2/1/0/4 
[CSS-GigabitEthernet2/1/0/4] eth-trunk 20 
[CSS-GigabitEthernet2/1/0/4] quit 


# In the CSS, create Eth-Trunk 100 to connect to AGG1 and add member interfaces to Eth-Trunk 100.

[CSS] interface eth-trunk 100   
[CSS-Eth-Trunk100] quit 
[CSS] interface gigabitethernet 1/2/0/3 
[CSS-GigabitEthernet1/2/0/3] eth-trunk 100 
[CSS-GigabitEthernet1/2/0/3] quit 
[CSS] interface gigabitethernet 2/2/0/3 
[CSS-GigabitEthernet2/2/0/3] eth-trunk 100 
[CSS-GigabitEthernet2/2/0/3] quit 


# In the CSS, create Eth-Trunk 200 to connect to AGG2 and add member interfaces to Eth-Trunk 200.

[CSS] interface eth-trunk 200   
[CSS-Eth-Trunk200] quit 
[CSS] interface gigabitethernet 1/2/0/4  
[CSS-GigabitEthernet1/2/0/4] eth-trunk 200 
[CSS-GigabitEthernet1/2/0/4] quit 
[CSS] interface gigabitethernet 2/2/0/4  
[CSS-GigabitEthernet2/2/0/4] eth-trunk 200 
[CSS-GigabitEthernet2/2/0/4] quit 


3.         On aggregation switches, configure Eth-Trunks between the AGG and CSS and between aggregation switches and access switches.

# Configure AGG1.

[AGG1] interface eth-trunk 100   
[AGG1-Eth-Trunk100] quit 
[AGG1] interface gigabitethernet 1/0/1 
[AGG1-GigabitEthernet1/0/1] eth-trunk 100 
[AGG1-GigabitEthernet1/0/1] quit 
[AGG1] interface gigabitethernet 2/0/1  
[AGG1-GigabitEthernet2/0/1] eth-trunk 100 
[AGG1-GigabitEthernet2/0/1] quit 
[AGG1] interface eth-trunk 500   
[AGG1-Eth-Trunk500] quit 
[AGG1] interface gigabitethernet 1/0/5 
[AGG1-GigabitEthernet1/0/5] eth-trunk 500 
[AGG1-GigabitEthernet1/0/5] quit 
[AGG1] interface gigabitethernet 2/0/5  
[AGG1-GigabitEthernet2/0/5] eth-trunk 500 
[AGG1-GigabitEthernet2/0/5] quit 


# Configure AGG2.

[AGG2] interface eth-trunk 200   
[AGG2-Eth-Trunk200] quit 
[AGG2] interface gigabitethernet 1/0/1 
[AGG2-GigabitEthernet1/0/1] eth-trunk 200 
[AGG2-GigabitEthernet1/0/1] quit 
[AGG2] interface gigabitethernet 2/0/1  
[AGG2-GigabitEthernet2/0/1] eth-trunk 200 
[AGG2-GigabitEthernet2/0/1] quit 
[AGG2] interface eth-trunk 600   
[AGG2-Eth-Trunk600] quit 
[AGG2] interface gigabitethernet 1/0/5 
[AGG2-GigabitEthernet1/0/5] eth-trunk 600 
[AGG2-GigabitEthernet1/0/5] quit 
[AGG2] interface gigabitethernet 2/0/5  
[AGG2-GigabitEthernet2/0/5] eth-trunk 600 
[AGG2-GigabitEthernet2/0/5] quit 

 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba