j'ai compris

[Tout sur les commutateurs] 1 Exemple de configuration de la sortie d'un campu à grande échelle

publié il y a  2020-4-28 13:41:51Dernière réponse abr. 28, 2020 13:45:41 89 2 0 0 0

1.1 Notes de configuration

l   Cet exemple utilise des commutateurs modulaires de la série S de Huawei, des pare-feu USG et des routeurs NE pour décrire la procédure de configuration.

l   La procédure de configuration de cet exemple implique uniquement la sortie du réseau d'entreprise. Pour la configuration du réseau interne, voir «Réseaux de campus de grande taille» dans le Guide de configuration rapide du commutateur de campus Huawei S Series.

l   Seules les configurations de connexion entre les pare-feu et les commutateurs et les configurations HRP sur les pare-feu sont fournies dans la procédure suivante. Pour le plan de service de sécurité sur les pare-feu et les politiques de sécurité, la défense contre les attaques, la gestion de la bande passante et IPSec sur le réseau du campus, voir Exemples de configuration de pare - feu .

l   Cet exemple décrit uniquement les routeurs et commutateurs à la sortie du réseau du campus. Pour les configurations côté Internet sur les routeurs, consultez le Guide de configuration du routeur NE.

1.2 Exigences de mise en réseau

À la sortie d'un réseau de campus de grande taille, les commutateurs principaux se connectent aux routeurs pour accéder à Internet via des interfaces en amont. Les pare-feu se connectent aux commutateurs principaux en mode bypass pour filtrer le trafic de service.

Pour simplifier le réseau et améliorer la fiabilité, un cluster de commutateurs est déployé au niveau de la couche centrale.

HRP (mode actif / veille) est déployé sur les pare-feu. Si un pare-feu échoue, les services sont basculés vers un autre pare-feu.

Chacun des commutateurs principaux est à double hébergement vers deux routeurs de sortie, et VRRP est configuré entre les routeurs pour garantir la fiabilité.

Pour améliorer la fiabilité de la liaison, Eth-Trunks sont configurés entre les commutateurs principaux et les routeurs de sortie, les commutateurs principaux et les pare-feu, et deux pare-feu.

Le schéma de mise en réseau est le suivant.

Figure 1-1 Schéma de mise en réseau à la sortie du campus (pare-feu HRP en mode bypass)


[Tout sur les commutateurs] 1 Exemple de configuration de la sortie d'un Campu à grande échelle-1296485-1 

Dans l'environnement de transfert de couche 3, le trafic à l'intérieur et à l'extérieur du réseau du campus est directement transmis par les commutateurs, mais ne passe pas par FW1 et FW2. Lorsque le trafic doit être transmis aux FW pour filtrage via les commutateurs, la fonction VRF doit être configurée sur les commutateurs. Le CSS est divisé en un commutateur virtuel VRF-A et un commutateur racine Public, qui sont séparés les uns des autres.

Le public est connecté aux routeurs de sortie et transmet le trafic Internet aux FW pour le filtrage et le trafic des FW aux routeurs de sortie.

VRF-A est connecté à l'intranet et transfère le trafic des FW vers l'intranet et le trafic de l'intranet vers les FW pour le filtrage.

Le diagramme de réseau logique suivant montre les chemins de transfert de trafic.

Figure 1-2 Connexions entre les interfaces physiques des commutateurs, des routeurs et des pare-feu


[Tout sur les commutateurs] 1 Exemple de configuration de la sortie d'un Campu à grande échelle-1296485-2 

Dans cet exemple, les commutateurs principaux fonctionnent en mode couche 3. Les pare-feu se connectent aux commutateurs de couche 3 via des interfaces amont et aval. VRRP doit être configuré sur les interfaces de service en amont et en aval des pare-feu, comme illustré ci-dessous.

Figure 1-3 Connexions entre les interfaces de couche 3 des commutateurs, routeurs et pare-feu


[Tout sur les commutateurs] 1 Exemple de configuration de la sortie d'un Campu à grande échelle-1296485-3 

Le trafic (en bleu) de l'intranet vers Internet est transmis comme suit:

1.       Lorsque le trafic de l'intranet vers Internet atteint VRF-A, il est ensuite transmis aux pare-feu en fonction de la route statique (le tronçon suivant est l'adresse IP virtuelle VRRP en aval des pare-feu) configurée sur VRF-A.

2.       Après filtrage du trafic, les pare-feu acheminent le trafic vers le public en fonction de la route statique (le prochain saut est le VLANIF 20 du CSS).

3. Le       public transfère le trafic aux routeurs en fonction de la route statique (le prochain bond est l'adresse IP virtuelle du routeur VRRP).

Le trafic (en rouge) d'Internet vers l'intranet est transmis comme suit:

1.       Le trafic d'Internet vers l'intranet atteint les routeurs, puis est transmis au public en fonction de la table de routage OSPF.

2. Le       public transfère le trafic vers les pare-feu en fonction de la route statique (le saut suivant est l'adresse IP virtuelle VRRP en amont des pare-feu).

3.       Après avoir filtré le trafic, les pare-feu transfèrent le trafic vers VRF-A en fonction de la route statique (le prochain bond est le VLANIF 30 du CSS).

4.       VRF-A transfère le trafic aux commutateurs d'agrégation en fonction de la table de routage OSPF, puis les commutateurs d'agrégation transfèrent le trafic vers les réseaux de service.

1.3 Plan de données

Tableau 1-1 Plan de données d'agrégation de liens

Dispositif

Numéro d'interface

Interface membre

VLANIF

Adresse IP

Appareil distant

Numéro d'interface à distance

Routeur1

Eth-trunk1.100

10GE1 / 0/1

10GE1 / 0/2

-

10.10.4.2/24

Commutateur 1

Commutateur 2

Eth-Trunk1

Routeur2

Eth-trunk1.100

10GE1 / 0/1

10GE1 / 0/2

-

10.10.4.3/24

Commutateur 1

Commutateur 2

Eth-Trunk2

VRRP du routeur 1 et du routeur 2

-

-

-

10.10.4.100/24

-

-

CSS (Switch 1 et Switch 2)

Eth-trunk1

10GE1 / 4/0/0

10GE2 / 4/0/0

VLANIF10

10.10.4.1/24

Routeur 1

Eth-Trunk1

Eth-trunk2

10GE1 / 4/0/1

10GE2 / 4/0/1

VLANIF10

10.10.4.1/24

Routeur 2

Eth-Trunk1

Eth-trunk4

GE1 / 1/0/7

GE2 / 1/0/7

VLANIF20

10.10.2.1/24

FW 1

Eth-Trunk4

Eth-trunk5

GE1 / 1/0/8

GE2 / 1/0/8

VLANIF30

10.10.3.1/24

FW 1

Eth-Trunk5

Eth-trunk6

GE1 / 2/0/7

GE2 / 2/0/7

VLANIF20

10.10.2.1/24

FW 2

Eth-Trunk6

Eth-trunk7

GE1 / 2/0/8

GE2 / 2/0/8

VLANIF30

10.10.3.1/24

FW 2

Eth-Trunk7

Eth-trunk8

GE1 / 3/0/1

GE2 / 3/0/1

VLANIF100

10.10.100.1/24

Réseau de service 1

- (omis dans cet exemple)

Eth-trunk9

GE1 / 3/0/2

GE2 / 3/0/2

VLANIF200

10.10.200.1/24

Réseau de service 2

- (omis dans cet exemple)

FW1

Eth-trunk1

GE2 / 0/0

GE2 / 0/1

-

10.1.1.1/24

FW2

Eth-Trunk1

Eth-Trunk4

GE1 / 0/0

GE1 / 0/1

-

10.10.2.2/24

Commutateur 1

Commutateur 2

Eth-Trunk4

Eth-Trunk5

GE1 / 1/0

GE1 / 1/1

-

10.10.3.2/24

Commutateur 1

Commutateur 2

Eth-Trunk5

FW2

Eth-trunk1

GE2 / 0/0

GE2 / 0/1

-

10.1.1.2/24

FW1

Eth-Trunk1

Eth-Trunk6

GE1 / 0/0

GE1 / 0/1

-

10.10.2.3/24

Commutateur 1

Commutateur 2

Eth-Trunk6

Eth-Trunk7

GE1 / 1/0

GE1 / 1/1

-

10.10.3.3/24

Commutateur 1

Commutateur 2

Eth-Trunk7

VRRP1 de FW 1 et FW 2 (en amont)

-

-

-

10.10.2.5/24

-

-

VRRP2 de FW 1 et FW 2 (en aval)

-

-

-

10.10.3.5/24

-

-

 

1.4 Feuille de route de configuration

La feuille de route de configuration est la suivante:

1.       Configurez le CSS pour les commutateurs principaux.

2.       Attribuez des adresses IP aux interfaces entre les commutateurs, les pare-feu et les routeurs.

Pour améliorer la fiabilité des liaisons, configurez les Eth-Trunks inter-châssis entre les commutateurs et les pare-feu et entre les commutateurs et les routeurs.

Configurez les zones de sécurité sur les interfaces des pare-feu.

3.       Configurez VRRP sur les routeurs de sortie.

Pour garantir la fiabilité entre les commutateurs principaux et deux routeurs de sortie, déployez VRRP entre les deux routeurs de sortie afin que les paquets de pulsation VRRP soient échangés via les commutateurs principaux. Router1 fonctionne comme périphérique maître et Router2 fonctionne comme périphérique de sauvegarde.

4.       Déployez le routage.

Configurez la fonction VRF sur les commutateurs pour diviser le CSS en un commutateur virtuel VRF-A et un commutateur racine Public, qui séparent les routes du réseau de service et les routes du réseau public.

Pour diriger le trafic en amont sur chaque périphérique, configurez une route par défaut sur les commutateurs principaux, dont le saut suivant est l'adresse IP virtuelle VRRP des routeurs de sortie.

Pour diriger le trafic de retour de deux routeurs de sortie, configurez OSPF entre les routeurs de sortie et les commutateurs principaux et publiez tous les itinéraires de segment de réseau utilisateur sur les commutateurs principaux dans OSPF sur les routeurs de sortie.

Pour transférer le trafic en amont des réseaux de service vers les pare-feu, configurez une route par défaut sur les commutateurs, dont le saut suivant est l'adresse IP virtuelle de VRRP VRID2 sur les pare-feu.

Pour transférer le trafic en aval du réseau de service 1 vers les pare-feu, configurez une route par défaut sur les commutateurs, dont le saut suivant est l'adresse IP virtuelle de VRRP VRID1 sur les pare-feu.

Pour transférer le trafic en aval du réseau de service 2 vers les pare-feu, configurez une route par défaut sur les commutateurs, dont le saut suivant est l'adresse IP virtuelle de VRRP VRID1 sur les pare-feu.

Pour transférer le trafic en amont des réseaux de service vers les commutateurs, configurez une route par défaut sur les pare-feu, dont le saut suivant est l'adresse IP de VLANIF 20 sur les commutateurs.

Pour transférer le trafic en aval du réseau de service 1 vers les commutateurs, configurez une route par défaut sur les pare-feu, dont le saut suivant est l'adresse IP du VLANIF 30 sur les commutateurs.

Pour transférer le trafic en aval du réseau de service 2 vers les commutateurs, configurez une route par défaut sur les pare-feu, dont le saut suivant est l'adresse IP du VLANIF 30 sur les commutateurs.

5.       Configurez HRP sur les pare-feu.


Cette publication contient plus de ressources.

Connectez-vous pour télécharger ou voir des publications. Vous n'avez pas encore de compte ? S'inscrire

x
  • x
  • Standard:

Rihab
Admin publié il y a 2020-4-28 13:45:04

1.5 Procédure

                          Étape 1     Sur le commutateur 1 et le commutateur 2: configurez les CSS.

1.       Connectez les cartes CSS via des câbles.

Dans la figure suivante, les commutateurs S12700 ont les cartes CSS EH1D2VS08000 installées. Un S12700 dispose d'un nombre maximal de MPU, SFU et cartes CSS installées. Chaque châssis doit avoir au moins un MPU et un SFU installés. Il est conseillé d'installer deux SFU et deux cartes CSS dans chaque châssis.

Figure 1-1 Connexions de la carte CSS


[Tout sur les commutateurs] 1 Exemple de configuration de la sortie d'un Campu à grande échelle-1666293-1 

[Tout sur les commutateurs] 1 Exemple de configuration de la sortie d'un Campu à grande échelle-1666293-2

l  Les deux châssis sont connectés par au moins un câble CSS.

l  Une carte CSS ne peut être connectée qu'à une seule carte CSS dans l'autre châssis mais pas au châssis local.

l  Une interface du groupe 1 d'une carte CSS ne peut être connectée qu'à n'importe quelle interface du groupe 1 de la carte CSS de l'autre châssis. Les exigences pour les interfaces du groupe 2 sont les mêmes.

l Les  cartes CSS ont le même nombre de câbles de cluster connectés. (Si les cartes CSS ont différents nombres de câbles de cluster connectés, la bande passante totale du cluster dépend du cluster avec le moins de câbles de cluster connectés.) De plus, les interfaces sur les cartes CSS sont connectées en fonction des numéros d'interface.

2.       Configurez la mise en cluster sur le commutateur 1.

# Réglez le mode cluster sur la carte CSS (la valeur par défaut n'a pas besoin d'être configurée). Conservez l'ID de cluster par défaut 1 (la valeur par défaut n'a pas besoin d'être configurée) et définissez la priorité sur 100.

<HUAWEI> system-view
[HUAWEI] set css mode css-card  //Default setting. You do not need to run this command. The step is used for reference.
[HUAWEI] set css id 1   //Default setting. You do not need to run this command. The step is used for reference.
[HUAWEI] set css priority 100  //The default CSS priority is 1. Change the priority of the master switch to be higher than that of the backup switch.
[HUAWEI] css enable
Warning: The CSS configuration takes effect only after the system is rebooted. The next CSS mode is CSS-card. Reboot now? [Y/N]:y//Restart the switch.

3.       Configurez la mise en cluster sur le commutateur 2.

Définissez le mode cluster sur la carte CSS (la valeur par défaut n'a pas besoin d'être configurée). Définissez l'ID CSS sur 2 et conservez la priorité par défaut 1 (la valeur par défaut n'a pas besoin d'être configurée).

<HUAWEI> system-view
[HUAWEI] set css id 2  //The default CSS ID is 1. Change the CSS ID to 2.
[HUAWEI] css enable
Warning: The CSS configuration takes effect only after the system is rebooted. The next CSS mode is CSS-card. Reboot now? [Y/N]:y//Restart the switch.

4.       Vérifiez l'état CSS après le redémarrage des commutateurs.

-          Sur le commutateur 1, le commutateur actif du CSS, l'indicateur MASTER sur le MPU actif est vert fixe. (Figure 1)

-          Sur le commutateur 1, les indicateurs CSS ID numérotés 1 sur les deux MPU sont vert fixe. Sur Switch2, les indicateurs CSS ID numérotés 2 sur les deux MPU sont vert fixe. (Figure 1)

-          Les indicateurs LINK / ALM des interfaces sur toutes les cartes CSS connectées aux câbles du cluster sont vert fixe. (Figure 2)

-          Les indicateurs MASTER de toutes les cartes CSS du châssis actif sont vert fixe et les indicateurs MASTER de toutes les cartes CSS du châssis de secours sont éteints. (Figure 2)


[Tout sur les commutateurs] 1 Exemple de configuration de la sortie d'un Campu à grande échelle-1666293-3 

[Tout sur les commutateurs] 1 Exemple de configuration de la sortie d'un Campu à grande échelle-1666293-4

l Une  fois le CSS établi, les opérations suivantes seront effectuées sur le commutateur principal (commutateur 1) et les données seront automatiquement synchronisées avec le commutateur de secours (commutateur 2).

l  Le nom de l'interface dans un CSS est au format 10GE1 / 4/0/0. La partie la plus à gauche indique l'ID CSS.

                          Étape 2     Sur le commutateur 1: configurez les Eth-Trunks inter-châssis entre CSS et FW et entre CSS et routeurs. Configurez les interfaces VLANIF sur le CSS et attribuez-leur des adresses IP.

1.       Configurez un Eth-Trunk inter-châssis entre les commutateurs et les routeurs. Configurez les interfaces VLANIF et attribuez-leur des adresses IP.

# Dans le CSS, créez Eth-Trunk1 pour vous connecter à Router1 et ajoutez des interfaces membres à Eth-Trunk1.

<HUAWEI> system-view
[HUAWEI] sysname CSS  //Rename the CSS.
[CSS] interface Eth-Trunk 1
[CSS-Eth-Trunk1] quit
[CSS] interface XGigabitethernet 1/4/0/0  //Add an interface on the master switch to Eth-Trunk1.
[CSS-XGigabitEthernet1/4/0/0] Eth-Trunk 1
[CSS-XGigabitEthernet1/4/0/0] quit
[CSS] interface XGigabitethernet 2/4/0/0  //Add an interface on the backup switch to Eth-Trunk1.
[CSS-XGigabitEthernet2/4/0/0] Eth-Trunk 1
[CSS-XGigabitEthernet2/4/0/0] quit
 

# In the CSS, create Eth-Trunk2 to connect to Router2 and add member interfaces to Eth-Trunk2.

[CSS] interface Eth-Trunk 2
[CSS-Eth-Trunk2] quit
[CSS] interface XGigabitethernet 1/4/0/1  //Add an interface on the master switch to Eth-Trunk2.
[CSS-XGigabitEthernet1/4/0/1] Eth-Trunk 2
[CSS-XGigabitEthernet1/4/0/1] quit
[CSS] interface XGigabitethernet 2/4/0/1  //Add an interface on the backup switch to Eth-Trunk2.
[CSS-XGigabitEthernet2/4/0/1] Eth-Trunk 2
[CSS-XGigabitEthernet2/4/0/1] quit
 

# Create VLANIF interfaces and assign IP addresses to them.

[CSS] vlan batch 10
[CSS] interface Eth-Trunk 1  //Add Eth-Trunk1 to VLAN 10.
[CSS-Eth-Trunk1] port link-type trunk
[CSS-Eth-Trunk1] port trunk allow-pass vlan 10
[CSS-Eth-Trunk1] quit
[CSS] interface Eth-Trunk 2  //Add Eth-Trunk2 to VLAN 10.
[CSS-Eth-Trunk2] port link-type trunk
[CSS-Eth-Trunk2] port trunk allow-pass vlan 10
[CSS-Eth-Trunk2] quit
[CSS] interface Vlanif 10  //Create VLANIF 10 for the CSS to communicate with Router1 and Router2.
[CSS-Vlanif10] ip address 10.10.4.1 24
[CSS-Vlanif10] quit

2.       Configure the inter-chassis Eth-Trunks between switches and FWs and between CSS and routers. Configure VLANIF interfaces on the CSS and assign IP addresses to them.

# In the CSS, create Eth-Trunk4 to connect Public to FW1 and add member interfaces to Eth-Trunk4.

[CSS] interface Eth-Trunk 4
[CSS-Eth-Trunk4] quit
[CSS] interface Gigabitethernet 1/1/0/7  //Add an interface on the master switch to Eth-Trunk4.
[CSS-Gigabitethernet1/1/0/7] Eth-Trunk 4
[CSS-Gigabitethernet1/1/0/7] quit
[CSS] interface Gigabitethernet 2/1/0/7  //Add an interface on the backup switch to Eth-Trunk4.
[CSS-Gigabitethernet2/1/0/7] Eth-Trunk 4
[CSS-Gigabitethernet2/1/0/7] quit
 

# In the CSS, create Eth-Trunk5 to connect VRF-A to FW1 and add member interfaces to Eth-Trunk5.

[CSS] interface Eth-Trunk 5
[CSS-Eth-Trunk5] quit
[CSS] interface Gigabitethernet 1/1/0/8  //Add an interface on the master switch to Eth-Trunk5.
[CSS-Gigabitethernet1/1/0/8] Eth-Trunk 5
[CSS-Gigabitethernet1/1/0/8] quit
[CSS] interface Gigabitethernet 2/1/0/8  //Add an interface on the backup switch to Eth-Trunk5.
[CSS-Gigabitethernet2/1/0/8] Eth-Trunk 5
[CSS-Gigabitethernet2/1/0/8] quit
 

# In the CSS, create Eth-Trunk6 to connect Public to FW2 and add member interfaces to Eth-Trunk6.

[CSS] interface Eth-Trunk 6
[CSS-Eth-Trunk6] quit
[CSS] interface Gigabitethernet 1/2/0/7  //Add an interface on the master switch to Eth-Trunk6.
[CSS-Gigabitethernet1/2/0/7] Eth-Trunk 6
[CSS-Gigabitethernet1/2/0/7] quit
[CSS] interface Gigabitethernet 2/2/0/7  //Add an interface on the backup switch to Eth-Trunk6.
[CSS-Gigabitethernet2/2/0/7] Eth-Trunk 6
[CSS-Gigabitethernet2/2/0/7] quit
 

# In the CSS, create Eth-Trunk7 to connect VRF-A to FW2 and add member interfaces to Eth-Trunk7.

[CSS] interface Eth-Trunk 7
[CSS-Eth-Trunk7] quit
[CSS] interface Gigabitethernet 1/2/0/8  //Add an interface on the master switch to Eth-Trunk7.
[CSS-Gigabitethernet1/2/0/8] Eth-Trunk 7
[CSS-Gigabitethernet1/2/0/8] quit
[CSS] interface Gigabitethernet 2/2/0/8  //Add an interface on the backup switch to Eth-Trunk7.
[CSS-Gigabitethernet2/2/0/8] Eth-Trunk 7
[CSS-Gigabitethernet2/2/0/8] quit
 

# Create VLANIF interfaces and assign IP addresses to them.

[CSS] vlan batch 20 30
[CSS] interface Eth-Trunk 4  //Add Eth-Trunk4 to VLAN 20.
[CSS-Eth-Trunk4] port link-type trunk
[CSS-Eth-Trunk4] port trunk allow-pass vlan 20
[CSS-Eth-Trunk4] quit
[CSS] interface Eth-Trunk 6  //Add Eth-Trunk6 to VLAN 20.
[CSS-Eth-Trunk6] port link-type trunk
[CSS-Eth-Trunk6] port trunk allow-pass vlan 20
[CSS-Eth-Trunk6] quit
[CSS] interface Vlanif 20  //Create VLANIF 20 for Public to connect to FW1 and FW2.
[CSS-Vlanif20] ip address 10.10.2.1 24
[CSS-Vlanif20] quit
[CSS] interface Eth-Trunk 5  //Add Eth-Trunk5 to VLAN 30.
[CSS-Eth-Trunk5] port link-type trunk
[CSS-Eth-Trunk5] port trunk allow-pass vlan 30
[CSS-Eth-Trunk5] quit
[CSS] interface Eth-Trunk 7  //Add Eth-Trunk7 to VLAN 30.
[CSS-Eth-Trunk7] port link-type trunk
[CSS-Eth-Trunk7] port trunk allow-pass vlan 30
[CSS-Eth-Trunk7] quit
[CSS] interface Vlanif 30  //Create VLANIF 30 for VRF-A to connect to FW1 and FW2.
[CSS-Vlanif30] ip address 10.10.3.1 24
[CSS-Vlanif30] quit

3.       Configure inter-chassis Eth-Trunks between switches and service networks. Configure VLANIF interfaces and assign IP addresses to them.

# In the CSS, create Eth-Trunk8 to connect to service network 1 and add member interfaces to Eth-Trunk8.

[CSS] interface Eth-Trunk 8
[CSS-Eth-Trunk8] quit
[CSS] interface Gigabitethernet 1/3/0/1  //Add an interface on the master switch to Eth-Trunk8.
[CSS-Gigabitethernet1/3/0/1] Eth-Trunk 8
[CSS-Gigabitethernet1/3/0/1] quit
[CSS] interface Gigabitethernet 2/3/0/1  //Add an interface on the backup switch to Eth-Trunk8.
[CSS-Gigabitethernet2/3/0/1] Eth-Trunk 8
[CSS-Gigabitethernet2/3/0/1] quit
 

# In the CSS, create Eth-Trunk9 to connect to service network 2 and add member interfaces to Eth-Trunk9.

[CSS] interface Eth-Trunk 9
[CSS-Eth-Trunk9] quit
[CSS] interface Gigabitethernet 1/3/0/2  //Add an interface on the master switch to Eth-Trunk9.
[CSS-Gigabitethernet1/3/0/2] Eth-Trunk 9
[CSS-Gigabitethernet1/3/0/2] quit
[CSS] interface Gigabitethernet 2/3/0/2  //Add an interface on the backup switch to Eth-Trunk9.
[CSS-Gigabitethernet2/3/0/2] Eth-Trunk 9
[CSS-Gigabitethernet2/3/0/2] quit

# Create VLANIF interfaces and assign IP addresses to them.

[CSS] vlan batch 100 200
[CSS] interface Eth-Trunk 8  //Add Eth-Trunk8 to VLAN 100.
[CSS-Eth-Trunk8] port link-type trunk
[CSS-Eth-Trunk8] port trunk allow-pass vlan 100
[CSS-Eth-Trunk8] quit
[CSS] interface Vlanif 100  //Create VLANIF 100 for CSS to connect to service network 1.
[CSS-Vlanif100] ip address 10.10.100.1 24
[CSS-Vlanif100] quit
[CSS] interface Eth-Trunk 9  //Add Eth-Trunk9 to VLAN 200.
[CSS-Eth-Trunk9] port link-type trunk
[CSS-Eth-Trunk9] port trunk allow-pass vlan 200
[CSS-Eth-Trunk9] quit
[CSS] interface Vlanif 200  //Create VLANIF 200 for CSS to connect to service network 2.
[CSS-Vlanif200] ip address 10.10.200.1 24
[CSS-Vlanif200] quit

                          Step 3     On routers: Configure the interfaces between routers and CSS.

# Configure Router1, create Eth-Trunk1 on Router1, and add member interfaces to Eth-Trunk1.

<Huawei> system-view
[Huawei] sysname Router1
[Router1] interface Eth-Trunk 1  
[Router1-Eth-Trunk1] quit
[Router1] interface XGigabitethernet 1/0/1  
[Router1-XGigabitEthernet1/0/1] undo shutdown
[Router1-XGigabitEthernet1/0/1] Eth-Trunk 1
[Router1-XGigabitEthernet1/0/1] quit
[Router1] interface XGigabitethernet 1/0/2  
[Router1-XGigabitEthernet1/0/2] undo shutdown
[Router1-XGigabitEthernet1/0/2] Eth-Trunk 1
[Router1-XGigabitEthernet1/0/2] quit

# Configure the Dot1q termination subinterface for VLAN 10 and assign an IP address to the subinterface.

[Router1] interface Eth-Trunk 1.100
[Router1-Eth-Trunk1.100] ip address 10.10.4.2 24
[Router1-Eth-Trunk1.100] dot1q termination vid 10
[Router1-Eth-Trunk1.100] quit

# The configuration procedure on Router2 is the same as that on Router1 except that the interface addresses are different.

                          Step 4     On firewalls: Configure interfaces and zones.

# Configure interfaces and zones on FW1.

<USG> system-view
[USG] sysname FW1
[FW1] interface Eth-Trunk 4  //Configure the interface connected to CSS and assign an IP address to it.
[FW1-Eth-Trunk4] ip address 10.10.2.2 24
[FW1-Eth-Trunk4] quit
[FW1] interface Gigabitethernet 1/0/0  //Add an interface to Eth-Trunk4.
[FW1-GigabitEthernet1/0/0] Eth-Trunk 4
[FW1-GigabitEthernet1/0/0] quit
[FW1] interface Gigabitethernet 1/0/1  //Add an interface to Eth-Trunk4.
[FW1-GigabitEthernet1/0/1] Eth-Trunk 4
[FW1-GigabitEthernet1/0/1] quit
 
[FW1] interface Eth-Trunk 5  //Configure the interface connected to CSS and assign an IP address to it.
[FW1-Eth-Trunk5] ip address 10.10.3.2 24
[FW1-Eth-Trunk5] quit
[FW1] interface Gigabitethernet 1/1/0  //Add an interface to Eth-Trunk5.
[FW1-GigabitEthernet1/1/0] Eth-Trunk 5
[FW1-GigabitEthernet1/1/0] quit
[FW1] interface Gigabitethernet 1/1/1  //Add an interface to Eth-Trunk5.
[FW1-GigabitEthernet1/1/1] Eth-Trunk 5
[FW1-GigabitEthernet1/1/1] quit
 
[FW1] interface Eth-Trunk 1  //Configure the interface connecting FW1 to FW2.
[FW1-Eth-Trunk1] ip address 10.1.1.1 24
[FW1-Eth-Trunk1] quit
[FW1] interface Gigabitethernet 2/0/0  //Add an interface to Eth-Trunk1.
[FW1-GigabitEthernet2/0/0] Eth-Trunk 1
[FW1-GigabitEthernet2/0/0] quit
[FW1] interface Gigabitethernet 2/0/1  //Add an interface to Eth-Trunk1.
[FW1-GigabitEthernet2/0/1] Eth-Trunk 1
[FW1-GigabitEthernet2/0/1] quit
 
[FW1] firewall zone trust
[FW1-zone-trust] add interface Eth-Trunk 5  //Add Eth-Trunk5 connected to the intranet to a trusted zone.
[FW1-zone-trust] quit
[FW1] firewall zone untrust
[FW1-zone-untrust] add interface Eth-Trunk 4  //Add Eth-Trunk4 connected to the extranet to an untrusted zone.
[FW1-zone-untrust] quit
[FW1] firewall zone dmz
[FW1-zone-dmz] add interface Eth-Trunk 1  //Add the interface between FW1 and FW2 to the DMZ.
[FW1-zone-dmz] quit

# Configure interfaces and zones on FW2.

<USG> system-view
[USG] sysname FW2
[FW2]  interface Eth-Trunk 6  //Configure the interface connected to CSS and assign an IP address to it.
[FW2-Eth-Trunk6] ip address 10.10.2.3 24
[FW2-Eth-Trunk6] quit
[FW2] interface Gigabitethernet 1/0/0  //Add an interface to Eth-Trunk6.
[FW2-GigabitEthernet1/0/0] Eth-Trunk 6
[FW2-GigabitEthernet1/0/0] quit
[FW2] interface Gigabitethernet 1/0/1  //Add an interface to Eth-Trunk6.
[FW2-GigabitEthernet1/0/1] Eth-Trunk 6
[FW2-GigabitEthernet1/0/1] quit
 
[FW2]  interface Eth-Trunk 7  //Configure the interface connected to CSS and assign an IP address to it.
[FW2-Eth-Trunk7] ip address 10.10.3.3 24
[FW2-Eth-Trunk7] quit
[FW2] interface Gigabitethernet 1/1/0  //Add an interface to Eth-Trunk7.
[FW2-GigabitEthernet1/1/0] Eth-Trunk 7
[FW2-GigabitEthernet1/1/0] quit
[FW2] interface Gigabitethernet 1/1/1  //Add an interface to Eth-Trunk7.
[FW2-GigabitEthernet1/1/1] Eth-Trunk 7
[FW2-GigabitEthernet1/1/1] quit
 
[FW2]  interface Eth-Trunk 1  //Configure the interface between FW2 and FW1.
[FW2-Eth-Trunk1] ip address 10.1.1.2 24
[FW2-Eth-Trunk1] quit
[FW2] interface Gigabitethernet 2/0/0  //Add an interface to Eth-Trunk1.
[FW2-GigabitEthernet2/0/0] Eth-Trunk 1
[FW2-GigabitEthernet2/0/0] quit
[FW2] interface Gigabitethernet 2/0/1  //Add an interface to Eth-Trunk1.
[FW2-GigabitEthernet2/0/1] Eth-Trunk 1
[FW2-GigabitEthernet2/0/1] quit
 
[FW2] firewall zone trust
[FW2-zone-trust] add interface Eth-Trunk 7  //Add Eth-Trunk7 connected to the intranet to the trusted zone.
[FW2-zone-trust] quit
[FW2] firewall zone untrust
[FW2-zone-untrust] add interface Eth-Trunk 6  //Add Eth-Trunk6 connected to the extranet to the untrusted zone.
[FW2-zone-untrust] quit
[FW2] firewall zone dmz
[FW2-zone-dmz] add interface Eth-Trunk 1  //Add the interface between FW1 and FW2 to the DMZ.
[FW2-zone-dmz] quit

                          Step 5     On routers: Configure VRRP. Configure Router1 as the VRRP master and Router2 as the VRRP backup.

# Configure Router1.

[Router1] interface Eth-Trunk 1.100
[Router1-Eth-Trunk1.100] vrrp vrid 1 virtual-ip 10.10.4.100  //Configure the VRRP virtual IP address.
[Router1-Eth-Trunk1.100] vrrp vrid 1 priority 120  //Increase the priority of Router1 to make Router1 become the Master.
[Router1-Eth-Trunk1.100] quit

# Configure Router2.

[Router2] interface Eth-Trunk 1.100
[Router2-Eth-Trunk1.100] vrrp vrid 1 virtual-ip 10.10.4.100  //Configure the VRRP virtual IP address.
[Router2-Eth-Trunk1.100] quit

After the configuration is complete, a VRRP group should have been set up between Router1 and Router2. You can run the display vrrp command to view the VRRP status of Router1 and Router2.

# Check the VRRP status of Router1. The status is master.

[Router1] display vrrp
  Eth-Trunk1.100 | Virtual Router 1
    State : Master
    Virtual IP : 10.10.4.100
    Master IP : 10.10.4.2
    PriorityRun : 120
    PriorityConfig : 120
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 1 s
    TimerConfig : 1 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : normal-vrrp
    Create time : 2015-05-17 15:53 UTC-05:13
    Last change time : 2015-05-17 15:53 UTC-05:13

# Check the VRRP status of Router2. The status is backup.

[Router2] display vrrp
  Eth-Trunk1.100 | Virtual Router 1
    State : Backup
    Virtual IP : 10.10.4.100
    Master IP : 10.10.4.2
    PriorityRun : 100
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 1 s
    TimerConfig : 1 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : normal-vrrp
    Create time : 2015-05-17 15:53 UTC-05:13
    Last change time : 2015-05-17 15:53 UTC-05:13


View more
  • x
  • Standard:

Rihab
Admin publié il y a 2020-4-28 13:45:41

Step 6    Configure routes between CSS and FWs and between CSS and routers.

1.       Configure OSPF between switches and routers.

# Create VPN instance Public on CSS and bind the interfaces connected to routers and firewalls to Public.

[CSS] ip vpn-instance Public  //Create the VPN instance Public.
[CSS-vpn-instance-Public] ipv4-family
[CSS-vpn-instance-Public-af-ipv4] route-distinguisher 100:2
[CSS-vpn-instance-Public-af-ipv4] vpn-target 222:2 both
[CSS-vpn-instance-Public-af-ipv4] quit
[CSS-vpn-instance-Public] quit
[CSS] interface Vlanif 10
[CSS-Vlanif10] ip binding vpn-instance Public  //Bind VLANIF 10, which connects the CSS to router, to Public.
[CSS-Vlanif10] ip address 10.10.4.1 24   //Reconfigure an IP address for VLANIF 10, because the preceding operation has deleted the original IP address.
[CSS-Vlanif10] quit
[CSS] interface Vlanif 20
[CSS-Vlanif20] ip binding vpn-instance Public  //Bind VLANIF 20, which connects the CSS to firewall's upstream interface, to Public.
[CSS-Vlanif20] ip address 10.10.2.1 24   //Reconfigure an IP address for VLANIF 20, because the preceding operation has deleted the original IP address.
[CSS-Vlanif20] quit

# Configure a static route in Public to forward upstream traffic. Set the next hop of the route to the VRRP virtual IP address of routers.

[CSS] ip route-static vpn-instance Public 0.0.0.0 0.0.0.0 10.10.4.100   //Configure a default route for Public and set the next hop as the VRRP virtual IP address of the router.

# Configure OSPF between CSS and routers to forward downstream traffic. Routers can learn the return routes to service networks using OSPF.

[CSS] ospf 100 router-id 1.1.1.1
[CSS-ospf-100] area 0
[CSS-ospf-100-area-0.0.0.0] network 10.10.100.0 0.0.0.255   //Advertise the routes on the network segment of service network 1 to OSPF.
[CSS-ospf-100-area-0.0.0.0] network 10.10.200.0 0.0.0.255   //Advertise the routes on the network segment of service network 2 to OSPF.
[CSS-ospf-100-area-0.0.0.0] network 10.10.4.0 0.0.0.255   //Advertise the routes on the network segment connected to Router to OSPF.
[CSS-ospf-100-area-0.0.0.0] quit
[CSS-ospf-100] import-route static      //Import the static route to OSPF.
[CSS-ospf-100] quit

Configure OSPF on Router1 and Router2.

# Configure Router1.

[Router1] ospf 100 router-id 2.2.2.2
[Router1-ospf-100] area 0
[Router1-ospf-100-area-0.0.0.0] network 10.10.4.0 0.0.0.255   //Advertise the routes on the network segment connected to CSS to OSPF.
[Router1-ospf-100-area-0.0.0.0] quit
[Router1-ospf-100] quit      

# Configure Router2.

[Router2] ospf 100 router-id 3.3.3.3
[Router2-ospf-100] area 0
[Router2-ospf-100-area-0.0.0.0] network 10.10.4.0 0.0.0.255   //Advertise the routes on the network segment connected to CSS to OSPF.
[Router2-ospf-100-area-0.0.0.0] quit
[Router2-ospf-100] quit      

# After the configurations are complete, CSS, Router1, and Router2 can set up neighbor relationships. For example, when you view OSPF neighbor information on the CSS, you can find that Router1 and Router2 have set up OSPF neighbor relationships with CSS and the neighbor status is Full.

[CSS] display ospf peer
           OSPF Process 100 with Router ID 1.1.1.1
             Neighbors 
 
 
       Area 0.0.0.0 interface 10.10.4.1(Vlanif10)'s neighbors
       Router ID: 2.2.2.2          Address: 10.10.4.2
         State: Full  Mode:Nbr is  Master  Priority: 1
         DR: 10.10.4.1  BDR: 10.10.4.2  MTU: 0    
         Dead timer due in 31  sec 
         Retrans timer interval: 5 
         Neighbor is up for 00:13:23     
         Authentication Sequence: [ 0 ] 
 
      Router ID: 3.3.3.3          Address: 10.10.4.3 
        State: Full  Mode:Nbr is  Master  Priority: 1
        DR: 10.10.4.1  BDR: 10.10.4.2  MTU: 0    
       Dead timer due in 37  sec 
        Retrans timer interval: 5
        Neighbor is up for 00:00:52   
        Authentication Sequence: [ 0 ]

2.       Configure static routes between switches and FWs.

# Create VRF-A on the CSS to forward upstream traffic, and bind the interfaces connected to service networks and downstream interfaces of firewalls to VRF-A. The default route of VRF-A is the downstream VRRP virtual IP address (VRID2) of firewalls.

[CSS] ip vpn-instance VRF-A  //Create VRF-A.
[CSS-vpn-instance-VRF-A] ipv4-family
[CSS-vpn-instance-VRF-A-af-ipv4] route-distinguisher 100:1
[CSS-vpn-instance-VRF-A-af-ipv4] vpn-target 111:1 both
[CSS-vpn-instance-VRF-A-af-ipv4] quit
[CSS-vpn-instance-VRF-A] quit
[CSS] interface Vlanif 100
[CSS-Vlanif100] ip binding vpn-instance VRF-A  //Bind VLANIF 100, which connects the CSS to service network 1, to VRF-A.
[CSS-Vlanif100] ip address 10.10.100.1 24   //Reconfigure an IP address for VLANIF 100, because the preceding operation has deleted the original IP address.
[CSS-Vlanif100] quit
[CSS] interface Vlanif 200
[CSS-Vlanif200] ip binding vpn-instance VRF-A  //Bind VLANIF 200, which connects the CSS to service network 2, to VRF-A.
[CSS-Vlanif200] ip address 10.10.200.1 24   //Reconfigure an IP address for VLANIF 200, because the preceding operation has deleted the original IP address.
[CSS-Vlanif200] quit
[CSS] interface Vlanif 30
[CSS-Vlanif30] ip binding vpn-instance VRF-A  //Bind VLANIF 30, which connects the CSS to the firewall's downstream interface, to VRF-A.
[CSS-Vlanif30] ip address 10.10.3.1 24   //Reconfigure an IP address for VLANIF 30, because the preceding operation has deleted the original IP address.
[CSS-Vlanif30] quit

# Configure a default route in VRF-A. The next hop is the downstream VRRP 2 virtual IP address (VRID2) of firewalls.

[CSS] ip route-static vpn-instance VRF-A 0.0.0.0 0.0.0.0 10.10.3.5

# Configure a static route in Public to forward downstream traffic. Set the next hop of the route to the upstream VRRP 1 virtual IP address (VRID1) of firewalls.

[CSS] ip route-static vpn-instance Public 10.10.100.0 255.255.255.0 10.10.2.5   //The destination address is on service network 1 and the next hop is the VRID2 virtual IP address of the two FWs.

[CSS] ip route-static vpn-instance Public 10.10.200.0 255.255.255.0 10.10.2.5   //The destination address is on service network 2 and the next hop is the VRID2 virtual IP address of the two FWs.

3.       Configure static routes on firewalls.

# Configure a static route on FW1.

[FW1] ip route-static 0.0.0.0 0.0.0.0 10.10.2.1  //For upstream traffic, the next hop of the default route is the IP address of VLANIF 20 on Public.
[FW1] ip route-static 10.10.100.0 255.255.255.0 10.10.3.1  //For downstream traffic, the destination address is on service network 1 and the next hop is the IP address of VLANIF 30 on VRF-A.
[FW1] ip route-static 10.10.200.0 255.255.255.0 10.10.3.1  //For downstream traffic, the destination address is on service network 2 and the next hop is the IP address of VLANIF 30 on VRF-A.

# Configure a static route on FW2.

[FW2] ip route-static 0.0.0.0 0.0.0.0 10.10.2.1  //For upstream traffic, the next hop of the default route is the IP address of VLANIF 20 on Public.
[FW2] ip route-static 10.10.100.0 255.255.255.0 10.10.3.1  //For downstream traffic, the destination address is on service network 1 and the next hop is the IP address of VLANIF 30 on VRF-A.
[FW2] ip route-static 10.10.200.0 255.255.255.0 10.10.3.1  //For downstream traffic, the destination address is on service network 2 and the next hop is the IP address of VLANIF 30 on VRF-A.

# After the configuration is complete, an OSPF neighbor relationship should have been established between Router 1and Router 2. You can run the display ospf peer command to view the OSPF neighbor status. The following uses the display on CSS switches as an example. You can view that the OSPF neighbor status is Full.

4.       Verify the configuration.

# Check the routing table on CSS.

[CSS] display ip routing-table vpn-instance VRF-A    
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: VRF-A
         Destinations : 7        Routes : 7        
 
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
 
        0.0.0.0/0   Static  60   0          RD   10.10.3.5       Vlanif30
      10.10.3.0/24  Direct  0    0           D   10.10.3.1       Vlanif30
      10.10.3.1/32  Direct  0    0           D   127.0.0.1       Vlanif30
    10.10.100.0/24  Direct  0    0           D   10.10.100.1     Vlanif100
    10.10.100.1/32  Direct  0    0           D   127.0.0.1       Vlanif100
    10.10.200.0/24  Direct  0    0           D   10.10.200.1     Vlanif200
    10.10.200.1/32  Direct  0    0           D   127.0.0.1       Vlanif200

In the routing table on VRF-A, the first line indicates that the next hop for the traffic destined for the Internet is the VRRP VRID 2 virtual IP address (10.10.3.5) of firewalls. This indicates that upstream traffic is forcibly directed to firewalls for filtering.

[CSS] display ip routing-table vpn-instance Public    
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 7        Routes : 7        
 
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
 
        0.0.0.0/0   Static  60   0          RD   10.10.4.100       Vlanif10
      10.10.2.0/24  Direct  0    0           D   10.10.2.1       Vlanif20
      10.10.2.1/32  Direct  0    0           D   127.0.0.1       Vlanif20
      10.10.4.0/24  Direct  0    0           D   10.10.4.1       Vlanif10
      10.10.4.1/32  Direct  0    0           D   127.0.0.1       Vlanif10
      10.10.100.0/24  Static  60   0          RD   10.10.2.5       Vlanif20
      10.10.200.0/24  Static  60   0          RD   10.10.2.5       Vlanif20

In the routing table on Public, the first line indicates that the next hop for the traffic destined for the Internet is the VRRP VRID 1 virtual IP address (10.10.4.100) of routers.

The fifth and sixth lines indicate that the next hop for the traffic destined for service networks is the VRRP VRID 1 virtual IP address (10.10.3.5) of firewalls. This indicates that downstream traffic is forcibly directed to firewalls for filtering.

                          Step 7     Configure HRP on firewalls.

# Configure HRP on FW1 and set FW1 as master.

[FW1] interface Eth-Trunk 4
[FW1-Eth-Trunk4] vrrp vrid 1 virtual-ip 10.10.2.5 24 master  //Configure VRRP group 1 on the upstream interface and set it status to master.
[FW1-Eth-Trunk4] quit
[FW1] interface Eth-Trunk 5
[FW1-Eth-Trunk5] vrrp vrid 2 virtual-ip 10.10.3.5 24 master  //Configure VRRP group 2 on the downstream interface and set it status to master.
[FW1-Eth-Trunk5] quit
[FW1] hrp interface Eth-Trunk 1 remote 10.1.1.2  //Configure the heartbeat interface and enable HRP.
[FW1] firewall packet-filter default permit interzone local dmz
[FW1] hrp enable
HRP_M[FW1]

# Configure HRP on FW2 and set FW2 as slave.

[FW2] interface Eth-Trunk 6
[FW2-Eth-Trunk6] vrrp vrid 1 virtual-ip 10.10.2.5 24 slave  //Configure VRRP group 1 on the upstream interface and set it status to slave.
[FW2-Eth-Trunk6] quit
[FW2] interface Eth-Trunk 7
[FW2-Eth-Trunk7] vrrp vrid 2 virtual-ip 10.10.3.5 24 slave   //Configure VRRP group 2 on the downstream interface and set it status to slave.
[FW2-Eth-Trunk7] quit
[FW2] hrp interface Eth-Trunk 1 remote 10.1.1.1  //Configure the heartbeat interface and enable HRP.
[FW2] firewall packet-filter default permit interzone local dmz
[FW2] hrp enable
HRP_M[FW2]

# Check VRRP status. FW1 is the master and FW2 is the slave.

HRP_M[FW1] display vrrp
  Eth-Trunk4 | Virtual Router 1
     VRRP Group : Master
    State : Master
    Virtual IP : 10.10.2.5
    Virtual MAC : 0000-5e00-0101
    Primary IP : 10.10.2.2
    PriorityRun : 120
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
     Advertisement Timer : 1
    Auth type : NONE
    Check TTL : YES
    
Eth-Trunk5 | Virtual Router 2
     VRRP Group : Master
    State : Master
    Virtual IP : 10.10.3.5
    Virtual MAC : 0000-5e00-0102
    Primary IP : 10.10.3.2
    PriorityRun : 120
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
     Advertisement Timer : 1
    Auth type : NONE
    Check TTL : YES

HRP_M[FW2] display vrrp
  Eth-Trunk7 | Virtual Router 2
     VRRP Group : Slave
    State : Backup
    Virtual IP : 10.10.3.5
    Virtual MAC : 0000-5e00-0102
    Primary IP : 10.10.3.3
    PriorityRun : 100
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
     Advertisement Timer : 1
    Auth type : NONE
    Check TTL : YES
    
Eth-Trunk6 | Virtual Router 1
     VRRP Group : Slave
    State : Backup
    Virtual IP : 10.10.2.5
    Virtual MAC : 0000-5e00-0101
    Primary IP : 10.10.2.3
    PriorityRun : 120
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
     Advertisement Timer : 1
    Auth type : NONE
    Check TTL : YES

# Check HRP status.

HRP_M[FW1] display hrp state
 The firewall's config state is: MASTER
 
 Current state of virtual routers configured as master:
                       Eth-Trunk4    vrid   1 : master
           (gigabitEthernet1/0/0)             : up  
           (gigabitEthernet1/0/1)             : up  
                       Eth-Trunk5    vrid   2 : master
           (gigabitEthernet1/1/0)             : up  
           (gigabitEthernet1/1/1)             : up

[All About Switches] 1 Example for Configuring the Egress of a Large-scale Campu-1666315-1

After HRP is configured, the configurations and sessions on the active firewall are synchronized to the standby firewall; therefore, you only need to perform the following configurations on the active firewall FW1.

                          Step 8     Configure security policies on firewalls.

Only the connection configurations between firewalls and switches and the HRP configurations on firewalls are provided in the following procedure. For the security service plan on the firewalls and security policies, attack defense, bandwidth management, and IPSec on the campus network, see Firewall Configuration Examples.

                          Step 9     Verify the configuration.

After the configurations are complete, check whether the CSS and routers can ping each other.

# Ping Eth-Trunk1.100 of Router1 from the CSS to check the uplink connectivity.

<CSS> ping 10.10.4.2
 
Ping 10.10.4.2: 32 data bytes, Press Ctrl_C to break
    Reply From 10.10.4.2: bytes=32 seq=1 ttl=126 time=140 ms
    Reply From 10.10.4.2: bytes=32 seq=2 ttl=126 time=235 ms
    Reply From 10.10.4.2: bytes=32 seq=3 ttl=126 time=266 ms
    Reply From 10.10.4.2: bytes=32 seq=4 ttl=126 time=140 ms
    Reply From 10.10.4.2: bytes=32 seq=5 ttl=126 time=141 ms
 
--- 10.10.200.2 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 140/184/266 ms

You can find that the CSS and Router1 can ping each other.

# Ping the VRF-A VLANIF 100 on the CSS from Router1 to check the downlink connectivity.

<Router1> Ping 10.10.100.1
 
Ping 10.10.100.1: 32 data bytes, Press Ctrl_C to break
    Reply From 10.10.100.1: bytes=32 seq=1 ttl=253 time=235 ms
    Reply From 10.10.100.1: bytes=32 seq=2 ttl=253 time=109 ms
    Reply From 10.10.100.1: bytes=32 seq=3 ttl=253 time=79 ms
    Reply From 10.10.100.1: bytes=32 seq=4 ttl=253 time=63 ms
    Reply From 10.10.100.1: bytes=32 seq=5 ttl=253 time=63 ms
 
--- 202.10.1.1 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 63/109/235 ms

You can find that Router1 and CSS VLANIF 100 can ping each other.

----End


View more
  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.