[Tout à propos de commutateurs - Exemples de configuration] Exemple de configuration d'un service

95 0 1 0

1 Exemple de configuration d'une chaîne de services pour guider le transfert de flux de données

Chaîne de service

Sur un réseau de campus typique, les périphériques de service à valeur ajoutée, tels que pare-feu, système expert antivirus et passerelle de sécurité des applications, sont souvent déployés à la périphérie d'un département de service important, d'une zone démilitarisée (DMZ), d'une sortie de campus et d'un centre de données. Le schéma qui déploie un périphérique de service indépendant à valeur ajoutée dans chaque zone réseau présente les inconvénients suivants:

l    Augmente les investissements car trop de périphériques de service à valeur ajoutée doivent être déployés.

l    Déchets des ressources car les périphériques de service à valeur ajoutée ne sont pas pleinement utilisés.

l    Complique le déploiement et la maintenance des périphériques car différentes stratégies de traitement des services doivent être configurées sur chaque périphérique de service à valeur ajoutée.

Pour résoudre les problèmes précédents, Huawei propose la solution de chaîne de services. Comme le montre la figure 1-1 , la solution de chaîne de services comprend le contrôleur de stratégie, les commutateurs principaux et le pool de ressources de sécurité. Les commutateurs centraux classifient le trafic de service, puis le redirigent vers différents périphériques de service à valeur ajoutée. Dans le pool de ressources de sécurité, vous pouvez déployer un périphérique doté de plusieurs fonctionnalités de service à valeur ajoutée ou de plusieurs périphériques disposant de fonctionnalités de service à valeur ajoutée indépendantes. La solution de chaîne de service permet de concentrer les périphériques de service à valeur ajoutée dans une zone physique. Dans cette solution, il n'est pas nécessaire de déployer un périphérique de service indépendant à valeur ajoutée pour chaque réseau, ce qui réduit les coûts de périphérique et améliore l'utilisation des périphériques. Sur le réseau du campus, le contrôleur de règles contrôle le trafic de service devant être traité par des périphériques de service à valeur ajoutée, améliorant ainsi l'efficacité du déploiement et de la maintenance.

Figure 1-1 Solution de chaîne de services sur un réseau de campus

556fb8c60235c.png

Notes de configuration

l    Actuellement, la solution de chaîne de services prend en charge trois types de périphériques de services à valeur ajoutée: pare-feu, système expert antivirus et passerelle de sécurité des applications.

l    Le tableau suivant répertorie les produits et versions prenant en charge la solution de chaîne de services.

Produit

Première version du logiciel

S12700 / S9700 / S7700

V200R006C00

Contrôleur agile

V100R001C00

NGFW

V100R001C20

Exigences de mise en réseau

Comme le montre la figure 1-2 , il existe un serveur FTP dans la salle des équipements de la société M. Le serveur FTP stocke les données importantes du service de recherche et développement. L'administrateur doit empêcher les fuites de données de clés causées par des attaques pour assurer la sécurité de ce serveur FTP. L'administrateur souhaite réaliser les fonctions suivantes via l'orchestration du service:

l    Les employés de R & D peuvent accéder au serveur FTP, contrairement aux employés de marketing.

l    Les flux de données générés lorsque les employés de R & D accèdent au serveur FTP doivent être traités par le pare-feu pour la détection de la sécurité.

l    Si le pare-feu tombe en panne, les employés de R & D ne peuvent pas accéder au serveur FTP.

Figure 1-2 Mise en réseau de la société M

556fb8a683300.gif

Plan de données

Tableau 1-1 Planification des adresses IP pour les utilisateurs et les ressources

Utilisateurs et ressources

Adresse IP

Employé R & D A

10.85.100.11

Employé R & D B

10.85.100.12

Employé R & D C

10.85.100.13

Employé R & D D

10.85.100.14

Employé R & D E

10.85.100.15

Serveur ftp

10.85.10.2

Manette

10.85.10.3

SwitchA

10.85.10.5

NGFW

10.85.10.6

Tableau 1-2 Planification des flux de service

Non.

Protocole

Source IP / Longueur du masque

Port source

IP de destination / longueur du masque

Le port de destination

1

TCP

10.85.100.11/32

22

10.85.10.2/32

21

2

TCP

10.85.100.12/32

3

TCP

10.85.100.13/32

4

TCP

10.85.100.14/32

5

TCP

10.85.100.15/32

Tableau 1-3 Planification des paramètres de l'appareil

Dispositif

Configuration

Commutateur

Interface directement connectée au pare-feu

l Nom d'interface: GigabitEthernet 1/0/1

l VLAN: Vlan100

l Adresse IP: 10.85.10.5/24

LoopBack 100

l Adresse IP: 10.7.2.1/32

LoopBack 101

l Adresse IP: 10.7.2.2/32

Mot de passe de connexion XMPP (Extensible Messaging and Presence Protocol): Admin @ 123

Pare-feu

Interface directement connectée au commutateur

l Nom d'interface: GigabitEthernet 1/0/1

l Zone de sécurité: confiance

l Adresse IP: 10.85.10.6/24

LoopBack 100

l Adresse IP: 10.6.2.1/32

LoopBack 101

l Adresse IP: 10.6.2.2/32

Mot de passe de connexion XMPP: Admin @ 123

Clé partagée RADIUS: Radius @ 123

Feuille de route de configuration

La feuille de route de configuration est la suivante:

1.          Configurez les paramètres de base sur le commutateur et le pare-feu.

l    Configurez les paramètres XMPP pour ajouter le commutateur et le pare-feu sur le contrôleur.

l    Configurez les adresses IP et les routes statiques pour les interfaces afin que les périphériques réseau puissent communiquer les uns avec les autres.

556fb8a69d4f0.jpg

Assurez-vous que les numéros d'interface de bouclage du commutateur et du pare-feu sont plus grands que ceux des autres périphériques.Dans cet exemple, les interfaces de bouclage 100 et 101 sont utilisées.

2          Ajoutez le commutateur et le pare-feu au contrôleur à l’aide de XMPP.

3          Configurez les flux de service sur le contrôleur et autorisez uniquement les employés de R & D à accéder au serveur FTP à l'aide de règles ACL.

4          Configurez un pool d'adresses IP et des ressources de chaîne de service sur le contrôleur pour établir un tunnel GRE entre le commutateur et le pare-feu.

556fb8a69d4f0.jpg

Le pool d'adresses IP ne peut pas contenir d'adresses IP utilisées sur le réseau.

5          Orchestrez et déployez une chaîne de services sur le contrôleur pour rediriger le trafic d'accès au serveur FTP de sorte que le trafic passe d'abord par le pare-feu, puis transmis au serveur FTP.

Procédure

                               Étape 1      Configurez les paramètres de base sur le commutateur, y compris les adresses IP des interfaces, les itinéraires statiques et les paramètres de connexion XMPP.

 
<HUAWEI> system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] vlan batch 100  
[SwitchA] interface gigabitethernet 1/0/1 
[SwitchA-GigabitEthernet1/0/1] port link-type trunk 
[SwitchA-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 
[SwitchA-GigabitEthernet1/0/1] quit 
[SwitchA] interface vlanif 100 
[SwitchA-Vlanif100] ip address 10.85.10.5 24 
[SwitchA-Vlanif100] quit 
[SwitchA] interface LoopBack 100 
[SwitchA–LoopBack100] ip address 10.7.2.1 255.255.255.255 
[SwitchA–LoopBack100] quit 
[SwitchA] interface LoopBack 101 
[SwitchA–LoopBack101] ip address 10.7.2.2 255.255.255.255 
[SwitchA–LoopBack101] quit 
[SwitchA] ip route-static 10.6.2.1 255.255.255.255 10.85.10.6 
[SwitchA] ip route-static 10.6.2.2 255.255.255.255 10.85.10.6 
[SwitchA] group-policy controller 10.85.10.3 password Admin@123 src-ip 10.85.10.5  

                               Étape 2      Configurez les paramètres de base du pare-feu, y compris les adresses IP des interfaces, les itinéraires statiques et les paramètres de connexion XMPP.

1.          Configurez les adresses IP pour les interfaces et les zones de sécurité afin de finaliser la configuration des paramètres réseau de base.

1.          Choisissez Network > Interface List.

l    Cliquez sur 556fb8a6b00a9.jpg  de GE1 / 0/1 et configurer les paramètres.

Zone de sécurité

confiance

IPv4

adresse IP

10.85.10.6/24

1.          Configurez le serveur RADIUS.

l    Choisissez Object > Authentication Server > RADIUS. Cliquez sur add et configurez les paramètres.

Les paramètres configurés doivent être identiques à ceux du serveur RADIUS. La clé partagée est Radius@123.

556fb8a6c7357.jpg

1.          Cliquez sur OK

2          Activer la fonction réseau agile du pare-feu.

1.          Choisissez System > Agile Network Configuration.

3          Sélectionnez Enable après Agile Network Function.

4          Configurez les paramètres pour la connexion avec le contrôleur. L'état suivant le Controller Active Server IP Address affiche Connected, indiquant que le pare-feu s'est connecté au contrôleur.

556fb8a69d4f0.jpg

Dans un scénario d'orchestration de service, puisqu'un pare-feu doit configurer la fonction de test de la sécurité du contenu, sélectionnez Manually configured pour Security Policy Configuration.

556fb8a6dee09.jpg

5          Configurez deux interfaces de bouclage sur le pare-feu.

556fb8a69d4f0.jpg

Vous devez vous connecter à la console CLI pour terminer la configuration.

1.          Cliquez sur 556fb8a7094b6.jpg  dans la partie inférieure droite.

6          Cliquez dans la boîte de dialogue CLI Console (Disconnected) pour vous connecter à la console CLI.

7.          Une fois la connexion établie, configurez les commandes suivantes.

<sysname> sysname NGFW 
[NGFW] interface LoopBack 100 
[NGFW-LoopBack100] ip address 10.6.2.1 255.255.255.255 
[NGFW-LoopBack100] quit 
[NGFW] interface LoopBack 101 
[NGFW-LoopBack101] ip address 10.6.2.2 255.255.255.255 
[NGFW-LoopBack101] quit 
[NGFW] ip route-static 10.7.2.1 255.255.255.255 10.85.10.5 
[NGFW] ip route-static 10.7.2.2 255.255.255.255 10.85.10.5 

                               Étape 3      Ajoutez le commutateur et le pare-feu sur le contrôleur.

1.          Choisissez Resource > Device > Device Management dans le menu principal.

2          Cliquez sur Add .

3          Configurez les paramètres pour le périphérique à ajouter.

Les figures 1-3 et 1-4 montrent comment configurer les paramètres du commutateur et du pare-feu à ajouter.

Définissez Password sur le mot de passe de communication configuré Admin@123 .

Figure 1-3 Paramétrage du commutateur

556fb8a78448e.gif

Figure 1-4 Paramètres à ajouter sur le pare-feu

556fb8a7c557a.gif

                               Étape 4      Configurez les flux de service.

1.          Choisissez Policy > Service Chain Orchestration > Service Flow Defining dans le menu principal.

2          Cliquez sur Add.

3          Définir les paramètres de flux de service.

Définissez les paramètres de flux de service comme indiqué à la figure 1-5.

Figure 1-5 Paramètres des paramètres de flux de service

556fb8a80200f.jpg

                               Étape 5      Configurez un pool d'adresses IP.

1.          Choisissez Policy > Service Chain Orchestration > IP Address Pool dans le menu principal.

2          Cliquez sur Add.

3          Définissez le nom sur 10.10.192.0, l'adresse IP sur 10.10.192.0 et la longueur du masque sur 24 .

Figure 1-6 Paramètres du pool d'adresses IP

556fb8a82b296.jpg

4          Cliquez sur OK

                               Étape 6      Configurez les ressources de la chaîne de services.

1.          Choisissez Policy > Service Chain Orchestration > Service Chain Resource dans le menu principal.

2          Cliquez sur Add .

3          Sélectionnez SwitchA dans la zone Orchestration Device gauche et faites glisser SwitchA vers le nœud Périphérique d'orchestration de droite.

4          Sélectionnez NGFW dans la zone de Service Device gauche et faites glisser NGFW vers le nœud de pare-feu de droite.

5          Sélectionnez 10.10.192.0 dans la zone de gauche Service Device.

Figure 1-7 Paramètres des ressources de la chaîne de service

556fb8a8749b6.gif

6          Cliquez sur Enregistrer. Dans la boîte de dialogue qui s'affiche, cliquez sur OK .

                               Étape 7      Orchestrez et déployez une chaîne de services.

1.          Choisissez Stratégie > Orchestration de la chaîne de services > Orchestration de la chaîne de services dans le menu principal.

2          Cliquez sur Ajouter .

3          Sélectionnez User_to_Datacenter dans la zone de flux de service de gauche et faites glisser User_to_Datacenter vers le nœud de flux de service de droite.

4          Sélectionnez SwitchA dans la zone Périphérique d'orchestration de gauche et faites glisser SwitchA vers le nœud Périphérique d'orchestration de droite.

5          Faites glisser NGFW vers le nœud de pare-feu supérieur.

6          Sélectionnez Block dans la zone gauche Chain Exception Handling Mode .

Figure 1-8 Paramètres de service d'orchestration

556fb8a8a6250.gif

7.          Cliquez sur Enregistrer. Dans la boîte de dialogue qui s'affiche, cliquez sur OK .

                               Étape 8      Vérifiez la configuration.

# Vérifiez si le tunnel entre le commutateur et le pare-feu est établi sur le contrôleur.

La Figure 1-9 illustre les informations du tunnel après la fourniture des ressources de la chaîne de service.

Figure 1-9 Résultats du déploiement du tunnel

556fb8a8d00d1.jpg

# Exécutez la commande display acl all sur le commutateur. Le résultat de la commande indique que les règles de flux de service sont correctement livrées.

[SwitchA] display acl all 
 Total nonempty ACL number is 1  
Advanced ACL S_ACL_20140401153202_B3E0 3998, 5 rules 
Acl's step is 5 
 rule 5 permit tcp source 10.85.100.11 0 source-port eq 22 destination 10.85.1 
0.2 0 destination-port eq 21 (match-counter 0) 
 rule 10 permit tcp source 10.85.100.12 0 source-port eq 22 destination 10.85. 
10.2 0 destination-port eq 21 (match-counter 0) 
 rule 15 permit tcp source 10.85.100.13 0 source-port eq 22 destination 10.85. 
10.2 0 destination-port eq 21 (match-counter 0) 
 rule 20 permit tcp source 10.85.100.14 0 source-port eq 22 destination 10.85. 
10.2 0 destination-port eq 21 (match-counter 0) 
 rule 25 permit tcp source 10.85.100.15 0 source-port eq 22 destination 10.85. 
10.2 0 destination-port eq 21 (match-counter 0) 

# Lancer la commande display current-configuration | include traffic-redirect de redirection de trafic sur le commutateur. Le résultat de la commande indique que les configurations d’orchestration du service ont été livrées avec succès.

[SwitchA] display current-configuration | include traffic-redirect 
traffic-redirect inbound acl name S_ACL_20140401153202_B3E0 3998 interface Tunnel16370  
[SwitchA] interface Tunnel 16370 
[SwitchA-Tunnel16370] display this 

interface Tunnel16370 
 description Controller_S_from_10.6.2.1 
 ip address 10.10.192.5 255.255.255.0 
 tunnel-protocol gre 
 keepalive period 1 
 source 10.7.2.1 
 destination 10.6.2.1 
 traffic-filter inbound acl name S_ACL_20140401153202_B3E0 3998 

return

----End

Fichiers de configuration

l    Fichier de configuration du SwitchA


sysname SwitchA 

vlan batch 100 

group-policy controller 10.85.10.3 password %#%#FG9.7h,|j$2'c2$LRG%N#lBU;3_^;AVo,7)"f%^M%#%# src-ip 10.85.10.5 

interface Vlanif100 
 ip address 10.85.10.5 255.255.255.0 

interface LoopBack100 
 ip address 10.7.2.1 255.255.255.255 

interface LoopBack101 
 ip address 10.7.2.2 255.255.255.255 

interface GigabitEthernet1/0/1 
 port link-type trunk 
 port trunk allow-pass vlan 100 

return

  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier