[Todo sobre Switches] Ejemplo para configurar dispositivos de egreso para campus pequeños y medianos

91 0 0 0

Ejemplo para configurar dispositivos de egreso para redes de campus o sucursales de pequeña y mediana escala

Resumen de egreso de la red del campus

La salida de una red de campus a menudo se ubica entre la red interna de una empresa y la red externa para proporcionar la única entrada y salida para el tráfico de datos entre las redes internas y externas. Las pequeñas y medianas empresas desean implementar múltiples tipos de servicios en el mismo dispositivo para reducir la inversión inicial en la construcción de redes empresariales y el costo de O&M a largo plazo. Los usuarios de redes empresariales requieren acceso a Internet y redes privadas virtuales (VPN). Para reducir los costos de construcción y mantenimiento de la red, las pequeñas y medianas empresas a menudo arriendan los enlaces de Internet de los operadores para crear redes privadas virtuales. Algunas redes de campus que requieren alta confiabilidad a menudo implementan dos enrutadores de egreso para implementar la confiabilidad a nivel de dispositivo y usan técnicas de confiabilidad tales como la agregación de enlaces, el Protocolo de Redundancia de Enrutador Virtual (VRRP) y las rutas activas y en espera para garantizar la confiabilidad del egreso de la red del campus. Los enrutadores de la serie AR de Huawei se pueden usar como dispositivos de salida y trabajar con los switches de la serie S de Huawei para proporcionar una solución de red rentable para redes de campus de pequeña y mediana escala. Los dispositivos de salida de la red del campus deben proporcionar las siguientes funciones:

·         Proporcione las funciones salientes de NAT y las funciones del servidor NAT para traducir entre direcciones de red privadas y públicas, de modo que los usuarios internos puedan acceder a Internet y los usuarios de Internet puedan acceder a los servidores internos.

·         Apoye la construcción de redes privadas virtuales a través de Internet para que las sucursales de la empresa puedan comunicarse a través de redes privadas virtuales.

·         Cifre los datos para proteger la integridad y confidencialidad de los datos, garantizando la seguridad de la transmisión del servicio.

·         Los dispositivos de egreso de las redes de campus de pequeña y mediana escala deben ser confiables, seguros, de bajo costo y fáciles de mantener.

Notas de configuración

Este ejemplo de configuración se aplica a las soluciones de egreso de sucursales / sucursales de empresas pequeñas y medianas empresas.

Este ejemplo de configuración proporciona solo la configuración de egreso de la red empresarial. Para la configuración de la red interna, consulte "Redes de campus de tamaño pequeño y mediano" en la Configuración rápida de los switches de campus de la serie S de HUAWEI.

Requisitos de red

La sede y la sucursal de una empresa están ubicadas en diferentes ciudades y alejadas entre sí. La sede tiene dos departamentos (A y B), y la sucursal solo tiene un departamento. Se debe construir una red de campus empresarial interregional para cumplir con los siguientes requisitos:

·         Tanto los usuarios en la sede como la sucursal tienen acceso a Internet. En la sede, los usuarios del Departamento A pueden acceder a Internet, pero los usuarios del Departamento B no pueden acceder a Internet. En la sucursal, todos los usuarios pueden acceder a internet.

·         La sede tiene un servidor web para proporcionar el servicio WWW para que los usuarios externos puedan acceder al servidor interno.

·         La sede y la sucursal deben comunicarse a través de redes privadas virtuales a través de Internet y los contenidos de comunicación deben estar protegidos.

·         La salida de la red del campus de la sede central requiere confiabilidad a nivel de enlace y confiabilidad a nivel de dispositivo.

·         La sucursal no necesita alta confiabilidad.

Descripción de la solución

Se proporciona una solución de configuración integral para cumplir con los requisitos anteriores. La solución adopta un diseño de múltiples capas, modular, redundante y seguro y se aplica a redes de campus de sucursales pequeñas o medianas y pequeñas.

010608ywoaebfvzwsfvaws.png

·         Implemente los Switches Huawei S2700 y S3700 (ACC1, ACC2 y SwitchA) en la capa de acceso, implemente los Switches Huawei S5700 (CORE) en la capa central, e implemente los Routers Huawei AR3200 (RouterA, RouterB y RouterC) en la red del campus, por ejemplo.

·         En la sede, use la redundancia entre dos enrutadores de salida de AR (RouterA y RouterB) para garantizar la confiabilidad a nivel de dispositivo. En la sucursal, implemente un enrutador AR como el enrutador de salida.

·         En la sede, configure una pila (CORE) entre dos switches centrales S5700 para garantizar la confiabilidad a nivel del dispositivo.

·         En la oficina central, implemente Eth-Trunks entre los switches de acceso, el CORE y los enrutadores de salida para garantizar la confiabilidad a nivel del dispositivo.

·         En la sede, asigne una VLAN a cada departamento y transmita servicios entre los departamentos de la Capa 3 a través de las interfaces VLANIF del CORE.

·         Utilice el NÚCLEO de la sede como puerta de enlace para usuarios y servidores, e implemente un servidor DHCP para asignar direcciones IP a los usuarios.

·         Implemente la puerta de enlace para usuarios de sucursales en el enrutador de salida.

·         Implemente el VRRP entre los dos enrutadores de salida de la sede para garantizar la confiabilidad.

·         Construya una VPN de seguridad de protocolo de Internet (IPSec) entre la sede y la sucursal a través de Internet para permitir la comunicación y garantizar la seguridad de la transmisión de datos.

·         Despliegue Open Shortest Path First (OSPF) entre los dos enrutadores de egreso y CORE de la sede para anunciar las rutas de usuario para futuras expansiones de capacidad y mantenimiento.

Mapa de configuración

La ruta de configuración es la siguiente:

1.       Desplegar la sede y las redes del campus filial

En la sede, despliegue una stack y link aggregation, configure las VLAN y las direcciones IP para las interfaces, e implemente un servidor DHCP para permitir que los usuarios de la red del campus de la sede se comuniquen. Los usuarios dentro de un departamento se comunican en la Capa 2 a través de los Switches de acceso, y los usuarios en diferentes departamentos se comunican en la Capa 3 a través de las interfaces VLANIF del CORE.

En la sucursal, configure las VLAN y las direcciones IP para las interfaces en los switches de acceso y enrutadores de egreso, e implemente un servidor DHCP para permitir que los usuarios de la red del campus de la sucursal se comuniquen.

2.       Implementar VRRP.

Para garantizar la confiabilidad entre el CORE y los dos enrutadores de salida de la sede, despliegue el VRRP entre los dos enrutadores de salida para que los paquetes heartbeat del VRRP se intercambien a través del CORE. Configure RouterA como dispositivo maestro y RouterB como dispositivo de respaldo.

Para evitar la interrupción del servicio en el caso de una falla de enlace en el RouterA, asocie el estado VRRP con la interfaz de enlace de RouterA. La asociación garantiza una conmutación VRRP rápida cuando falla el enlace ascendente.

3.       Implementar rutas.

Para dirigir el tráfico de dispositivos de enlace ascendente, configure una ruta predeterminada con la dirección virtual VRRP como el siguiente salto en el NÚCLEO de la sede central, y configure una ruta predeterminada en cada enrutador de salida de la sede y la sucursal, con el siguiente salto apuntando a la IP Dirección del dispositivo de red del operador conectado.

Para dirigir el tráfico de retorno de dos enrutadores de egreso de la sede, configure OSPF entre los dos enrutadores de egreso y CORE, y anuncie todos los segmentos de la red del usuario en el CORE a OSPF y luego a los dos enrutadores de egreso.

En RouterD, para dirigir el tráfico generado por el acceso al servidor web desde redes externas, configure dos rutas estáticas cuya dirección de destino es la dirección de red pública del servidor web y las direcciones del siguiente salto son direcciones de interfaz de enlace ascendente de los dos enrutadores de salida. Para garantizar la conmutación simultánea de rutas y la conmutación VRRP, configure la ruta con el siguiente salto apuntando a RouterA como la preferida. Cuando esta ruta falla, la ruta con el siguiente salto que apunta a RouterB entra en vigencia.

4.       Configurar NAT saliente.

Para permitir que los usuarios internos accedan a Internet, configure NAT en las interfaces de enlace ascendente de los dos enrutadores de salida para la traducción entre direcciones de red privadas y direcciones de red pública. Use una ACL para permitir la dirección IP de origen de los paquetes del Departamento A para que los usuarios del Departamento A puedan acceder a Internet mientras que los usuarios del Departamento B no puedan.

5.       Configurar un servidor NAT.

Para permitir que los usuarios externos accedan al servidor web interno, configure un servidor NAT en las interfaces de enlace ascendente de los dos enrutadores de salida para traducir entre las direcciones de red pública y privada del servidor.

6.       Implementar IPSec VAN.

Para permitir que los usuarios en la sede y la sucursal se comuniquen a través de una VPN, configure la VPN IPSec entre los enrutadores de salida de la sede y la sucursal para una comunicación segura.

NOTA:

Para la configuración de red interna de la empresa, consulte " Small- and Mid-Sized Campus Networks " en la Configuración rápida de los Switches de campus de la serie S de HUAWEI.

Plan de datos (Data Plan).

Tabla 1, Tabla 2 y Tabla 3 proporcionan el plan de datos.

Tabla 1 Plan de datos para la agregación de enlaces de interfaces.

Equipo

LAG Interface

Interfaz fisica

RouterA

Eth-Trunk1

GE2/0/0

GE2/0/1

RouterB

Eth-Trunk1

GE2/0/0

GE2/0/1

CORE

Eth-Trunk1

GE0/0/1

GE1/0/1

Eth-Trunk2

GE0/0/2

GE1/0/2

Eth-Trunk3

GE0/0/3

GE1/0/3

Eth-Trunk4

GE0/0/4

GE1/0/4

ACC1

Eth-Trunk1

GE0/0/1

GE0/0/2

ACC2

Eth-Trunk1

GE0/0/1

GE0/0/2

 

NOTA:

Todas las interfaces de Eth-Trunk funcionan en modo de Protocolo de control de agregación de enlaces (LACP).

Tabla 2 plan VLAN.

Equipo

Datos

Observaciones

RouterA

Eth-Trunk1.100: configure una sub-interfaz de terminación dot1q para marcar   los paquetes de VLAN 100.

Se conecta al NÚCLEO de la sede.

RouterB

Eth-Trunk1.100: configure una sub-interfaz de terminación dot1q para marcar   los paquetes de VLAN 100.

Se conecta al NÚCLEO de la sede.

CORE

Eth-Trunk1: una interfaz troncal que transmite de manera transparente   paquetes de VLAN 10.

Se conecta al departamento A de la sede.

Eth-Trunk2: una interfaz troncal que transmite de manera transparente   paquetes de VLAN 20.

Se conecta al departamento B de la sede.

GE0 / 0/5: una interfaz de acceso con VLAN 30 como la VLAN   predeterminada.

Se conecta al servidor web de la sede.

Eth-Trunk3: una interfaz troncal que transmite transparentemente   paquetes de VLAN 100.

Se conecta al RouterA de la sede.

Eth-Trunk4: una interfaz troncal que transmite de manera transparente   paquetes de VLAN 100

Se conecta a RouterB de la sede.

ACC1

Eth-Trunk1: una interfaz troncal que transmite de manera transparente   paquetes de VLAN 10.

Se conecta al NÚCLEO de la sede.

Ethernet0/0/2: una interfaz de acceso con VLAN 10 como la VLAN   predeterminada.

Se conecta a PC1 en el Departamento A.

ACC2

Eth-Trunk1: una interfaz troncal que transmite de manera transparente   paquetes de VLAN 20.

Se conecta al NÚCLEO de la sede.

Ethernet0/0/2: una interfaz de acceso con VLAN 20 como la VLAN   predeterminada.

Se conecta a PC3 en el Departamento B.

RouterC

GE2 / 0 / 0.200: configure una sub-interfaz de terminación dot1q para marcar   los paquetes de VLAN 200.

Se conecta al SwitchA (Switch de acceso) de la sucursal.

SwitchA

GE0 / 0/1: una interfaz troncal que transmite transparentemente   paquetes de VLAN 200.

Se conecta al RouterC (Switch de egreso) de la sucursal.

Ethernet0 / 0/2: una interfaz de acceso con VLAN 200 como la VLAN   predeterminada.

Se conecta a la PC5 en la sucursal.

 

Tabla 3 Plan de direccionamiento IP.

Equipo

Datos

Observaciones

RouterA

GE1/0/0:   202.10.1.2/24

Eth-Trunk1.100:   10.10.100.2/24

GE1/0/0 connects to   the carrier network.

Eth-Trunk1.100   connects to the CORE of the headquarters.

RouterB

GE1/0/0:   202.10.2.2/24

Eth-Trunk1.100:   10.10.100.3/24

-

CORE

VLANIF 10:   10.10.10.1/24

VLANIF 20:   10.10.20.1/24

VLANIF 30:   10.10.30.1/24

VLANIF 100:   10.10.100.4/24

VLANIF 10 functions   as the user gateway of Department A.

VLANIF 20 functions   as the user gateway of Department B.

VLANIF 30 functions   as the gateway of the web server.

VLANIF 100 connects   to egress routers.

Web server

IP address:   10.10.30.2/24

Default gateway:   10.10.30.1

Public network IP   address translated by the NAT server: 202.10.100.3

PC1

IP address:   10.10.10.2/24

Default gateway:   10.10.10.1

IP address   10.10.10.2/24 is allocated to the PC through DHCP in this example.

PC3

IP address:   10.10.20.2/24

Default gateway:   10.10.20.1

IP address   10.10.20.2/24 is allocated to the PC through DHCP in this example.

RouterD

InterfaceB:   interface number GigabitEthernet1/0/0 and IP address 202.10.1.1/24

InterfaceC:   interface number GigabitEthernet2/0/0 and IP address 202.10.2.1/24

RouterD is a carrier   network device. The interface number used here is an example. When   configuring a device, use the actual interface number.

RouterE

InterfaceA:   interface number GigabitEthernet1/0/0 and IP address 203.10.1.1/24

RouterE is a carrier   network device. The interface number used here is an example. When   configuring a device, use the actual interface number.

RouterC

GE1/0/0:   203.10.1.2/24

GE2/0/0.200:   10.10.200.1/24

-

PC5

IP address:   10.10.200.2/24

Default gateway:   10.10.200.1

IP address   10.10.200.2/24 is allocated to the PC through DHCP in this example.

Procedimiento

Configure Eth-Trunks entre CORE y dos enrutadores de salida de la sede.

# Configurar el CORE.

<HUAWEI> system-view

[HUAWEI] sysname CORE

[CORE] interface eth-trunk 3

[CORE-Eth-Trunk3] mode lacp

[CORE-Eth-Trunk3] quit

[CORE] interface eth-trunk 4

[CORE-Eth-Trunk4] mode lacp

[CORE-Eth-Trunk4] quit

[CORE] interface gigabitethernet 0/0/3

[CORE-GigabitEthernet0/0/3] eth-trunk 3

[CORE-GigabitEthernet0/0/3] quit

[CORE] interface gigabitethernet 1/0/3

[CORE-GigabitEthernet1/0/3] eth-trunk 3

[CORE-GigabitEthernet1/0/3] quit

[CORE] interface gigabitethernet 0/0/4

[CORE-GigabitEthernet0/0/4] eth-trunk 4

[CORE-GigabitEthernet0/0/4] quit

[CORE] interface gigabitethernet 1/0/4

[CORE-GigabitEthernet1/0/4] eth-trunk 4

[CORE-GigabitEthernet1/0/4] quit

# Configurar RouterA (router de egreso) de la sede. La configuración de RouterB es similar a la de RouterA.

system-view
[Huawei] sysname RouterA
[RouterA] interface eth-trunk 1
[RouterA-Eth-Trunk1] undo portswitch
[RouterA-Eth-Trunk1] mode lacp-static
[RouterA-Eth-Trunk1] quit
[RouterA] interface gigabitethernet 2/0/0
[RouterA-GigabitEthernet2/0/0] eth-trunk 1
[RouterA-GigabitEthernet2/0/0] quit
[RouterA] interface gigabitethernet 2/0/1
[RouterA-GigabitEthernet2/0/1] eth-trunk 1
[RouterA-GigabitEthernet2/0/1] quit

Configure las VLAN y las direcciones IP para las interfaces.

# Configurar el CORE.

[CORE] vlan 100
[CORE] quit
[CORE] interface Eth-Trunk 3
[CORE-Eth-Trunk3] port link-type trunk
[CORE-Eth-Trunk3] port trunk allow-pass vlan 100
[CORE-Eth-Trunk3] quit
[CORE] interface Eth-Trunk 4
[CORE-Eth-Trunk4] port link-type trunk
[CORE-Eth-Trunk4] port trunk allow-pass vlan 100
[CORE-Eth-Trunk4] quit
[CORE] interface vlanif 100
[CORE-Vlanif100] ip address 10.10.100.4 24
[CORE-Vlanif100] quit

# Configurar RouterA (router de egreso) de la sede. La configuración de RouterB es similar a la de RouterA.

[RouterA] interface Eth-Trunk 1.100
[RouterA-Eth-Trunk1.100] ip address 10.10.100.2 24
[RouterA-Eth-Trunk1.100] dot1q termination vid 100
[RouterA-Eth-Trunk1.100] arp broadcast enable // Habilitar la interfaz para procesar paquetes de difusión ARP. Esta función se ha habilitado en los enrutadores de la serie AR3200 que ejecutan V200R003C01 y versiones posteriores de forma predeterminada.
[RouterA-Eth-Trunk1.100] quit
[RouterA] interface gigabitethernet 1/0/0
[RouterA-GigabitEthernet1/0/0] ip address 202.10.1.2 24
[RouterA-GigabitEthernet1/0/0] quit

# Configurar RouterC (router de egreso) de la sucursal.

system-view
[Huawei] sysname RouterC
[RouterC] interface gigabitethernet 1/0/0
[RouterC-GigabitEthernet1/0/0] ip address 203.10.1.2 24
[RouterC-GigabitEthernet1/0/0] quit

Implementar VRRP. Configure el VRRP entre RouterA y RouterB de la sede, y configure RouterA como dispositivo maestro y RouterB como dispositivo de respaldo.

# Configurar RouterA.

[RouterA] interface Eth-Trunk 1.100
[RouterA-Eth-Trunk1.100] vrrp vrid 1 virtual-ip 10.10.100.1
[RouterA-Eth-Trunk1.100] vrrp vrid 1 priority 120
[RouterA-Eth-Trunk1.100] vrrp vrid 1 track interface GigabitEthernet1/0/0 reduced 40
[RouterA-Eth-Trunk1.100] quit

// Para evitar la interrupción del servicio en el caso de una falla del enlace ascendente en el RouterA, asocie el estado VRRP con la interfaz de enlace ascendente del RouterA. La asociación garantiza una conmutación VRRP rápida cuando falla el enlace ascendente.

# Configurar RouterB.

[RouterB] interface Eth-Trunk 1.100
[RouterB-Eth-Trunk1.100] vrrp vrid 1 virtual-ip 10.10.100.1
[RouterB-Eth-Trunk1.100] quit

Una vez completada la configuración, se debe haber configurado un grupo VRRP entre RouterA y RouterB. Puede ejecutar el comando display vrrp para ver el estado VRRP de los dos enrutadores de egreso.

# Verifique que el estado VRRP de RouterA sea Master.

[RouterA] display vrrp
  Eth-Trunk1.100 | Virtual Router 1
    State : Master
    Virtual IP : 10.10.100.1
    Master IP : 10.10.100.2
    PriorityRun : 120
    PriorityConfig : 120
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 1 s
    TimerConfig : 1 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : normal-vrrp
    Backup-forward : disabled
    Track IF : GigabitEthernet1/0/0   Priority reduced : 40
    IF state : UP
    Create time : 2015-05-17 16:53 UTC-05:13
    Last change time : 2015-05-17 16:53 UTC-05:13
# Compruebe que el estado VRRP de RouterB sea backup. 
[RouterB] display vrrp
  Eth-Trunk1.100 | Virtual Router 1
    State : Backup
    Virtual IP : 10.10.100.1
    Master IP : 10.10.100.2
    PriorityRun : 100
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 1 s
    TimerConfig : 1 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : normal-vrrp
    Backup-forward : disabled
    Create time : 2015-05-17 16:53 UTC-05:13
    Last change time : 2015-05-17 16:53 UTC-05:13

 

 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba