1 Exemple de configuration d'une chaîne de services pour guider le transfert de flux de données
Chaîne de service
Sur un réseau de campus typique, les périphériques de service à valeur ajoutée, tels que pare-feu, système expert antivirus et passerelle de sécurité des applications, sont souvent déployés à la périphérie d'un département de service important, d'une zone démilitarisée (DMZ), d'une sortie de campus et d'un centre de données. Le schéma qui déploie un périphérique de service indépendant à valeur ajoutée dans chaque zone réseau présente les inconvénients suivants:
l Augmente les investissements car trop de périphériques de service à valeur ajoutée doivent être déployés.
l Déchets des ressources car les périphériques de service à valeur ajoutée ne sont pas pleinement utilisés.
l Complique le déploiement et la maintenance des périphériques car différentes stratégies de traitement des services doivent être configurées sur chaque périphérique de service à valeur ajoutée.
Pour résoudre les problèmes précédents, Huawei propose la solution de chaîne de services. Comme le montre la figure 1-1 , la solution de chaîne de services comprend le contrôleur de stratégie, les commutateurs principaux et le pool de ressources de sécurité. Les commutateurs centraux classifient le trafic de service, puis le redirigent vers différents périphériques de service à valeur ajoutée. Dans le pool de ressources de sécurité, vous pouvez déployer un périphérique doté de plusieurs fonctionnalités de service à valeur ajoutée ou de plusieurs périphériques disposant de fonctionnalités de service à valeur ajoutée indépendantes. La solution de chaîne de service permet de concentrer les périphériques de service à valeur ajoutée dans une zone physique. Dans cette solution, il n'est pas nécessaire de déployer un périphérique de service indépendant à valeur ajoutée pour chaque réseau, ce qui réduit les coûts de périphérique et améliore l'utilisation des périphériques. Sur le réseau du campus, le contrôleur de règles contrôle le trafic de service devant être traité par des périphériques de service à valeur ajoutée, améliorant ainsi l'efficacité du déploiement et de la maintenance.
Figure 1-1 Solution de chaîne de services sur un réseau de campus
Notes de configuration
l Actuellement, la solution de chaîne de services prend en charge trois types de périphériques de services à valeur ajoutée: pare-feu, système expert antivirus et passerelle de sécurité des applications.
l Le tableau suivant répertorie les produits et versions prenant en charge la solution de chaîne de services.
Produit | Première version du logiciel |
S12700 / S9700 / S7700 | V200R006C00 |
Contrôleur agile | V100R001C00 |
NGFW | V100R001C20 |
Exigences de mise en réseau
Comme le montre la figure 1-2 , il existe un serveur FTP dans la salle des équipements de la société M. Le serveur FTP stocke les données importantes du service de recherche et développement. L'administrateur doit empêcher les fuites de données de clés causées par des attaques pour assurer la sécurité de ce serveur FTP. L'administrateur souhaite réaliser les fonctions suivantes via l'orchestration du service:
l Les employés de R & D peuvent accéder au serveur FTP, contrairement aux employés de marketing.
l Les flux de données générés lorsque les employés de R & D accèdent au serveur FTP doivent être traités par le pare-feu pour la détection de la sécurité.
l Si le pare-feu tombe en panne, les employés de R & D ne peuvent pas accéder au serveur FTP.
Figure 1-2 Mise en réseau de la société M
Plan de données
Tableau 1-1 Planification des adresses IP pour les utilisateurs et les ressources
Utilisateurs et ressources | Adresse IP |
Employé R & D A | 10.85.100.11 |
Employé R & D B | 10.85.100.12 |
Employé R & D C | 10.85.100.13 |
Employé R & D D | 10.85.100.14 |
Employé R & D E | 10.85.100.15 |
Serveur ftp | 10.85.10.2 |
Manette | 10.85.10.3 |
SwitchA | 10.85.10.5 |
NGFW | 10.85.10.6 |
Tableau 1-2 Planification des flux de service
Non. | Protocole | Source IP / Longueur du masque | Port source | IP de destination / longueur du masque | Le port de destination |
1 | TCP | 10.85.100.11/32 | 22 | 10.85.10.2/32 | 21 |
2 | TCP | 10.85.100.12/32 | |||
3 | TCP | 10.85.100.13/32 | |||
4 | TCP | 10.85.100.14/32 | |||
5 | TCP | 10.85.100.15/32 |
Tableau 1-3 Planification des paramètres de l'appareil
Dispositif | Configuration |
Commutateur | Interface directement connectée au pare-feu l Nom d'interface: GigabitEthernet 1/0/1 l VLAN: Vlan100 l Adresse IP: 10.85.10.5/24 LoopBack 100 l Adresse IP: 10.7.2.1/32 LoopBack 101 l Adresse IP: 10.7.2.2/32 Mot de passe de connexion XMPP (Extensible Messaging and Presence Protocol): Admin @ 123 |
Pare-feu | Interface directement connectée au commutateur l Nom d'interface: GigabitEthernet 1/0/1 l Zone de sécurité: confiance l Adresse IP: 10.85.10.6/24 LoopBack 100 l Adresse IP: 10.6.2.1/32 LoopBack 101 l Adresse IP: 10.6.2.2/32 Mot de passe de connexion XMPP: Admin @ 123 Clé partagée RADIUS: Radius @ 123 |
Feuille de route de configuration
La feuille de route de configuration est la suivante:
1. Configurez les paramètres de base sur le commutateur et le pare-feu.
l Configurez les paramètres XMPP pour ajouter le commutateur et le pare-feu sur le contrôleur.
l Configurez les adresses IP et les routes statiques pour les interfaces afin que les périphériques réseau puissent communiquer les uns avec les autres.
Assurez-vous que les numéros d'interface de bouclage du commutateur et du pare-feu sont plus grands que ceux des autres périphériques.Dans cet exemple, les interfaces de bouclage 100 et 101 sont utilisées.
2 Ajoutez le commutateur et le pare-feu au contrôleur à l’aide de XMPP.
3 Configurez les flux de service sur le contrôleur et autorisez uniquement les employés de R & D à accéder au serveur FTP à l'aide de règles ACL.
4 Configurez un pool d'adresses IP et des ressources de chaîne de service sur le contrôleur pour établir un tunnel GRE entre le commutateur et le pare-feu.
Le pool d'adresses IP ne peut pas contenir d'adresses IP utilisées sur le réseau.
5 Orchestrez et déployez une chaîne de services sur le contrôleur pour rediriger le trafic d'accès au serveur FTP de sorte que le trafic passe d'abord par le pare-feu, puis transmis au serveur FTP.
Procédure
Étape 1 Configurez les paramètres de base sur le commutateur, y compris les adresses IP des interfaces, les itinéraires statiques et les paramètres de connexion XMPP.
<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] vlan batch 100
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type trunk
[SwitchA-GigabitEthernet1/0/1] port trunk allow-pass vlan 100
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface vlanif 100
[SwitchA-Vlanif100] ip address 10.85.10.5 24
[SwitchA-Vlanif100] quit
[SwitchA] interface LoopBack 100
[SwitchA–LoopBack100] ip address 10.7.2.1 255.255.255.255
[SwitchA–LoopBack100] quit
[SwitchA] interface LoopBack 101
[SwitchA–LoopBack101] ip address 10.7.2.2 255.255.255.255
[SwitchA–LoopBack101] quit
[SwitchA] ip route-static 10.6.2.1 255.255.255.255 10.85.10.6
[SwitchA] ip route-static 10.6.2.2 255.255.255.255 10.85.10.6
[SwitchA] group-policy controller 10.85.10.3 password Admin@123 src-ip 10.85.10.5
Étape 2 Configurez les paramètres de base du pare-feu, y compris les adresses IP des interfaces, les itinéraires statiques et les paramètres de connexion XMPP.
1. Configurez les adresses IP pour les interfaces et les zones de sécurité afin de finaliser la configuration des paramètres réseau de base.
1. Choisissez Network > Interface List.
l Cliquez sur de GE1 / 0/1 et configurer les paramètres.
Zone de sécurité | confiance |
IPv4 | |
adresse IP | 10.85.10.6/24 |
1. Configurez le serveur RADIUS.
l Choisissez Object > Authentication Server > RADIUS. Cliquez sur add et configurez les paramètres.
Les paramètres configurés doivent être identiques à ceux du serveur RADIUS. La clé partagée est Radius@123.
1. Cliquez sur OK
2 Activer la fonction réseau agile du pare-feu.
1. Choisissez System > Agile Network Configuration.
3 Sélectionnez Enable après Agile Network Function.
4 Configurez les paramètres pour la connexion avec le contrôleur. L'état suivant le Controller Active Server IP Address affiche Connected, indiquant que le pare-feu s'est connecté au contrôleur.
Dans un scénario d'orchestration de service, puisqu'un pare-feu doit configurer la fonction de test de la sécurité du contenu, sélectionnez Manually configured pour Security Policy Configuration.
5 Configurez deux interfaces de bouclage sur le pare-feu.
Vous devez vous connecter à la console CLI pour terminer la configuration.
1. Cliquez sur dans la partie inférieure droite.
6 Cliquez dans la boîte de dialogue CLI Console (Disconnected) pour vous connecter à la console CLI.
7. Une fois la connexion établie, configurez les commandes suivantes.
<sysname> sysname NGFW
[NGFW] interface LoopBack 100
[NGFW-LoopBack100] ip address 10.6.2.1 255.255.255.255
[NGFW-LoopBack100] quit
[NGFW] interface LoopBack 101
[NGFW-LoopBack101] ip address 10.6.2.2 255.255.255.255
[NGFW-LoopBack101] quit
[NGFW] ip route-static 10.7.2.1 255.255.255.255 10.85.10.5
[NGFW] ip route-static 10.7.2.2 255.255.255.255 10.85.10.5
Étape 3 Ajoutez le commutateur et le pare-feu sur le contrôleur.
1. Choisissez Resource > Device > Device Management dans le menu principal.
2 Cliquez sur Add .
3 Configurez les paramètres pour le périphérique à ajouter.
Les figures 1-3 et 1-4 montrent comment configurer les paramètres du commutateur et du pare-feu à ajouter.
Définissez Password sur le mot de passe de communication configuré Admin@123 .
Figure 1-3 Paramétrage du commutateur
Figure 1-4 Paramètres à ajouter sur le pare-feu
Étape 4 Configurez les flux de service.
1. Choisissez Policy > Service Chain Orchestration > Service Flow Defining dans le menu principal.
2 Cliquez sur Add.
3 Définir les paramètres de flux de service.
Définissez les paramètres de flux de service comme indiqué à la figure 1-5.
Figure 1-5 Paramètres des paramètres de flux de service
Étape 5 Configurez un pool d'adresses IP.
1. Choisissez Policy > Service Chain Orchestration > IP Address Pool dans le menu principal.
2 Cliquez sur Add.
3 Définissez le nom sur 10.10.192.0, l'adresse IP sur 10.10.192.0 et la longueur du masque sur 24 .
Figure 1-6 Paramètres du pool d'adresses IP
4 Cliquez sur OK
Étape 6 Configurez les ressources de la chaîne de services.
1. Choisissez Policy > Service Chain Orchestration > Service Chain Resource dans le menu principal.
2 Cliquez sur Add .
3 Sélectionnez SwitchA dans la zone Orchestration Device gauche et faites glisser SwitchA vers le nœud Périphérique d'orchestration de droite.
4 Sélectionnez NGFW dans la zone de Service Device gauche et faites glisser NGFW vers le nœud de pare-feu de droite.
5 Sélectionnez 10.10.192.0 dans la zone de gauche Service Device.
Figure 1-7 Paramètres des ressources de la chaîne de service
6 Cliquez sur Enregistrer. Dans la boîte de dialogue qui s'affiche, cliquez sur OK .
Étape 7 Orchestrez et déployez une chaîne de services.
1. Choisissez Stratégie > Orchestration de la chaîne de services > Orchestration de la chaîne de services dans le menu principal.
2 Cliquez sur Ajouter .
3 Sélectionnez User_to_Datacenter dans la zone de flux de service de gauche et faites glisser User_to_Datacenter vers le nœud de flux de service de droite.
4 Sélectionnez SwitchA dans la zone Périphérique d'orchestration de gauche et faites glisser SwitchA vers le nœud Périphérique d'orchestration de droite.
5 Faites glisser NGFW vers le nœud de pare-feu supérieur.
6 Sélectionnez Block dans la zone gauche Chain Exception Handling Mode .
Figure 1-8 Paramètres de service d'orchestration
7. Cliquez sur Enregistrer. Dans la boîte de dialogue qui s'affiche, cliquez sur OK .
Étape 8 Vérifiez la configuration.
# Vérifiez si le tunnel entre le commutateur et le pare-feu est établi sur le contrôleur.
La Figure 1-9 illustre les informations du tunnel après la fourniture des ressources de la chaîne de service.
Figure 1-9 Résultats du déploiement du tunnel
# Exécutez la commande display acl all sur le commutateur. Le résultat de la commande indique que les règles de flux de service sont correctement livrées.
[SwitchA] display acl all
Total nonempty ACL number is 1
Advanced ACL S_ACL_20140401153202_B3E0 3998, 5 rules
Acl's step is 5
rule 5 permit tcp source 10.85.100.11 0 source-port eq 22 destination 10.85.1
0.2 0 destination-port eq 21 (match-counter 0)
rule 10 permit tcp source 10.85.100.12 0 source-port eq 22 destination 10.85.
10.2 0 destination-port eq 21 (match-counter 0)
rule 15 permit tcp source 10.85.100.13 0 source-port eq 22 destination 10.85.
10.2 0 destination-port eq 21 (match-counter 0)
rule 20 permit tcp source 10.85.100.14 0 source-port eq 22 destination 10.85.
10.2 0 destination-port eq 21 (match-counter 0)
rule 25 permit tcp source 10.85.100.15 0 source-port eq 22 destination 10.85.
10.2 0 destination-port eq 21 (match-counter 0)
# Lancer la commande display current-configuration | include traffic-redirect de redirection de trafic sur le commutateur. Le résultat de la commande indique que les configurations d’orchestration du service ont été livrées avec succès.
[SwitchA] display current-configuration | include traffic-redirect
traffic-redirect inbound acl name S_ACL_20140401153202_B3E0 3998 interface Tunnel16370
[SwitchA] interface Tunnel 16370
[SwitchA-Tunnel16370] display this
#
interface Tunnel16370
description Controller_S_from_10.6.2.1
ip address 10.10.192.5 255.255.255.0
tunnel-protocol gre
keepalive period 1
source 10.7.2.1
destination 10.6.2.1
traffic-filter inbound acl name S_ACL_20140401153202_B3E0 3998
#
return
----End
Fichiers de configuration
l Fichier de configuration du SwitchA
#
sysname SwitchA
#
vlan batch 100
#
group-policy controller 10.85.10.3 password %#%#FG9.7h,|j$2'c2$LRG%N#lBU;3_^;AVo,7)"f%^M%#%# src-ip 10.85.10.5
#
interface Vlanif100
ip address 10.85.10.5 255.255.255.0
#
interface LoopBack100
ip address 10.7.2.1 255.255.255.255
#
interface LoopBack101
ip address 10.7.2.2 255.255.255.255
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 100
#
return