j'ai compris

[Tout sur les commutateurs] Exemple de configuration des dispositifs de sortie pour les petits et les moyens

publié il y a  2020-4-28 14:03:37 13 0 0 0

Exemple de configuration de dispositifs de sortie pour des réseaux de campus ou de succursales à petite et moyenne échelle

Présentation de Campus Network Egress

Une sortie de réseau de campus est souvent située entre le réseau interne d'une entreprise et un réseau externe pour fournir la seule entrée et sortie pour le trafic de données entre les réseaux internes et externes. Les petites et moyennes entreprises souhaitent déployer plusieurs types de services sur le même appareil afin de réduire l'investissement initial dans la construction du réseau d'entreprise et les coûts d'exploitation et d'entretien à long terme. Les utilisateurs du réseau d'entreprise doivent avoir accès à Internet et aux réseaux privés virtuels (VPN). Pour réduire les coûts de construction et de maintenance du réseau, les petites et moyennes entreprises louent souvent les liaisons Internet des opérateurs pour construire des VPN. Certains réseaux de campus nécessitant une haute fiabilité déploient souvent deux routeurs de sortie pour implémenter la fiabilité au niveau du périphérique et utiliser des techniques de fiabilité telles que l'agrégation de liens, le Virtual Router Redundancy Protocol (VRRP),et des routes actives et de secours pour garantir la fiabilité de la sortie du réseau du campus. Les routeurs de la série AR de Huawei peuvent être utilisés comme dispositifs de sortie et fonctionnent avec les commutateurs de la série S de Huawei pour fournir une solution de réseau rentable pour les réseaux de campus à petite et moyenne échelle. Les dispositifs de sortie du réseau du campus doivent fournir les fonctions suivantes:

  • Fournissez les fonctions de serveur NAT et de traduction d'adresses réseau (NAT) pour effectuer la conversion entre les adresses réseau privées et publiques, afin que les utilisateurs internes puissent accéder à Internet et les utilisateurs Internet puissent accéder aux serveurs internes.

  • Prend en charge la construction de VPN via Internet afin que les succursales de l'entreprise puissent communiquer via des VPN.

  • Chiffrez les données pour protéger l'intégrité et la confidentialité des données, garantissant ainsi la sécurité de la transmission des services.

  • Les dispositifs de sortie des réseaux de campus à petite et moyenne échelle doivent être fiables, sécurisés, peu coûteux et faciles à entretenir.

Notes de configuration

  • Cet exemple de configuration s'applique aux solutions de sortie de campus / succursale pour petites et moyennes entreprises.

  • Cet exemple de configuration fournit uniquement la configuration de sortie du réseau d'entreprise. Pour la configuration du réseau interne, voir «Réseaux de campus de petite et moyenne taille» dans la configuration rapide des commutateurs de campus HUAWEI S Series .

Exigences de mise en réseau

Le siège social et la succursale d'une entreprise sont situés dans des villes différentes et éloignés les uns des autres. Le siège a deux départements (A et B), et la succursale n'a qu'un seul département. Un réseau de campus d'entreprise interrégional doit être construit pour répondre aux exigences suivantes:

  • Les utilisateurs du siège social et de la succursale ont accès à Internet. Au siège, les utilisateurs du département A peuvent accéder à Internet, mais les utilisateurs du département B ne sont pas autorisés à accéder à Internet. Dans la succursale, tous les utilisateurs peuvent accéder à Internet.

  • Le siège social dispose d'un serveur Web pour fournir un service WWW afin que les utilisateurs externes puissent accéder au serveur interne.

  • Le siège social et la succursale doivent communiquer via des VPN sur Internet et le contenu des communications doit être protégé.

  • La sortie du réseau du campus du siège social nécessite une fiabilité au niveau de la liaison et une fiabilité au niveau du périphérique.

  • La succursale n'a pas besoin d'une grande fiabilité.

Vue d'ensemble de la solution

Une solution de configuration complète est fournie pour répondre aux exigences précédentes. La solution adopte une conception multicouche, modulaire, redondante et sécurisée et s'applique aux réseaux de campus de petites et moyennes entreprises ou succursales.

[Tout sur les commutateurs] Exemple de configuration des dispositifs de sortie pour les petits et les moyens-1281529-1



  • Déployez les commutateurs Huawei S2700 et S3700 (ACC1, ACC2 et SwitchA) au niveau de la couche d'accès, déployez les commutateurs Huawei S5700 (CORE) au niveau de la couche principale et déployez les routeurs Huawei AR3200 (RouterA, RouterB et RouterC) à la sortie du réseau du campus.

  • Au siège, utilisez la redondance entre deux routeurs de sortie AR (RouterA et RouterB) pour garantir la fiabilité au niveau du périphérique. Dans la branche, déployez un routeur AR comme routeur de sortie.

  • Au siège, installez une pile (CORE) entre deux commutateurs principaux S5700 pour garantir la fiabilité au niveau de l'appareil.

  • Au siège, déployez Eth-Trunks entre les commutateurs d'accès, le CORE et les routeurs de sortie pour garantir la fiabilité au niveau du périphérique.

  • Au siège, attribuez un VLAN à chaque département et transmettez les services entre les départements de la couche 3 via les interfaces VLANIF du CORE.

  • Utilisez le CORE du siège social comme passerelle pour les utilisateurs et les serveurs et déployez un serveur DHCP pour attribuer des adresses IP aux utilisateurs.

  • Déployez la passerelle pour les utilisateurs de branche sur le routeur de sortie.

  • Déployez VRRP entre les deux routeurs de sortie du siège pour garantir la fiabilité.

  • Construisez un VPN IPSec (Internet Protocol Security) entre le siège et la succursale sur Internet pour permettre la communication tout en garantissant la sécurité de la transmission des données.

  • Déployez l'Open Shortest Path First (OSPF) entre les deux routeurs de sortie et CORE du siège social pour annoncer les itinéraires des utilisateurs pour une extension et une maintenance futures de la capacité.

Feuille de route de configuration

La feuille de route de configuration est la suivante:

  1. Déployez les réseaux du siège social et des succursales des campus.

    Au siège, déployez une pile et une agrégation de liens, configurez des VLAN et des adresses IP pour les interfaces et déployez un serveur DHCP pour permettre aux utilisateurs du réseau du campus du siège de communiquer. Les utilisateurs d'un service communiquent au niveau 2 via des commutateurs d'accès, et les utilisateurs de différents départements communiquent au niveau 3 via les interfaces VLANIF du CORE.

    Dans la succursale, configurez les VLAN et les adresses IP pour les interfaces sur les commutateurs d'accès et les routeurs de sortie, et déployez un serveur DHCP pour permettre aux utilisateurs du réseau du campus de la succursale de communiquer.

  2. Déployez VRRP.

    Pour garantir la fiabilité entre le CORE et deux routeurs de sortie du siège social, déployez VRRP entre les deux routeurs de sortie afin que les paquets de pulsation VRRP soient échangés via le CORE. Configurez RouterA comme périphérique maître et RouterB comme périphérique de sauvegarde.

    Pour éviter une interruption de service en cas de panne de liaison montante sur RouterA, associez l'état VRRP à l'interface de liaison montante de RouterA. L'association garantit un basculement VRRP rapide en cas de défaillance de la liaison montante.

  3. Déployer des itinéraires.

    Pour diriger le trafic de liaison montante des périphériques, configurez une route par défaut avec l'adresse virtuelle VRRP comme prochain saut sur le CORE du siège social et configurez une route par défaut sur chaque routeur de sortie du siège social et de la succursale, le saut suivant pointant vers l'IP adresse du périphérique réseau de l'opérateur connecté (adresse de passerelle de réseau public).

    Pour diriger le trafic de retour de deux routeurs de sortie du siège, configurez OSPF entre les deux routeurs de sortie et CORE, et publiez tous les segments de réseau utilisateur sur le CORE dans OSPF, puis vers les deux routeurs de sortie.

    Sur RouterD, pour diriger le trafic généré par l'accès au serveur Web à partir de réseaux externes, configurez deux routes statiques dont l'adresse de destination est l'adresse de réseau public du serveur Web et les adresses de saut suivant sont les adresses d'interface de liaison montante des deux routeurs de sortie. Pour garantir le basculement d'itinéraire simultané et le basculement VRRP, définissez l'itinéraire avec le saut suivant pointant vers RouterA comme chemin préféré. Lorsque cette route échoue, la route avec le saut suivant pointant vers RouterB prend effet.

  4. Configurez NAT sortant.

    Pour permettre aux utilisateurs internes d'accéder à Internet, configurez NAT sur les interfaces de liaison montante des deux routeurs de sortie pour la traduction entre les adresses de réseau privé et les adresses de réseau public. Utilisez une liste de contrôle d'accès pour autoriser l'adresse IP source des paquets du service A afin que les utilisateurs du service A puissent accéder à Internet tandis que les utilisateurs du service B ne le peuvent pas.

  5. Configurez un serveur NAT.

    Pour permettre aux utilisateurs externes d'accéder au serveur Web interne, configurez un serveur NAT sur les interfaces de liaison montante des deux routeurs de sortie pour effectuer la conversion entre les adresses réseau publiques et privées du serveur.

  6. Déployez IPSec VAN.

    Pour permettre aux utilisateurs du siège et de la succursale de communiquer via un VPN, configurez le VPN IPSec entre les routeurs de sortie du siège et de la succursale pour une communication sécurisée.

REMARQUE:
Pour la configuration du réseau interne d'entreprise, voir «Réseaux de campus de petite et moyenne taille» dans la configuration rapide des commutateurs de campus HUAWEI S Series .

Plan de données

Le tableau 1 , le tableau 2 et le tableau 3 fournissent le plan de données.

Tableau 1 Plan de données pour l'agrégation de liens des interfaces
DispositifInterface LAGInterface physique

RouterA

Eth-Trunk1

GE2 / 0/0

GE2 / 0/1

RouteurB

Eth-Trunk1

GE2 / 0/0

GE2 / 0/1

COEUR

Eth-Trunk1

GE0 / 0/1

GE1 / 0/1

Eth-Trunk2

GE0 / 0/2

GE1 / 0/2

Eth-Trunk3

GE0 / 0/3

GE1 / 0/3

Eth-Trunk4

GE0 / 0/4

GE1 / 0/4

ACC1

Eth-Trunk1

GE0 / 0/1

GE0 / 0/2

ACC2

Eth-Trunk1

GE0 / 0/1

GE0 / 0/2

REMARQUE:

Toutes les interfaces Eth-Trunk fonctionnent en mode LACP (Link Aggregation Control Protocol).

Tableau 2 Plan VLAN
DispositifLes donnéesRemarques

RouterA

Eth-Trunk1.100: configurez une sous-interface de terminaison dot1q pour terminer les paquets du VLAN 100.

Se connecte au CORE du siège social.

RouteurB

Eth-Trunk1.100: configurez une sous-interface de terminaison dot1q pour terminer les paquets du VLAN 100.

Se connecte au CORE du siège social.

COEUR

Eth-Trunk1: une interface de jonction qui transmet de manière transparente les paquets de VLAN 10.

Se connecte au département A du siège.

Eth-Trunk2: une interface de jonction qui transmet de manière transparente les paquets de VLAN 20.

Se connecte au département B du siège.

GE0 / 0/5: une interface d'accès avec VLAN 30 comme VLAN par défaut.

Se connecte au serveur Web du siège.

Eth-Trunk3: une interface de jonction qui transmet de manière transparente les paquets de VLAN 100.

Se connecte à RouterA du siège social.

Eth-Trunk4: une interface de jonction qui transmet de manière transparente les paquets de VLAN 100.

Se connecte au routeur B du siège social.

ACC1

Eth-Trunk1: une interface de jonction qui transmet de manière transparente les paquets de VLAN 10.

Se connecte au CORE du siège social.

Ethernet0 / 0/2: une interface d'accès avec VLAN 10 comme VLAN par défaut.

Se connecte à PC1 dans le département A.

ACC2

Eth-Trunk1: une interface de jonction qui transmet de manière transparente les paquets de VLAN 20.

Se connecte au CORE du siège social.

Ethernet0 / 0/2: une interface d'accès avec VLAN 20 comme VLAN par défaut.

Se connecte à PC3 dans le département B.

RouterC

GE2 / 0 / 0.200: configurez une sous-interface de terminaison dot1q pour terminer les paquets du VLAN 200.

Se connecte à SwitchA (commutateur d'accès) de la branche.

SwitchA

GE0 / 0/1: une interface de jonction qui transmet de manière transparente les paquets de VLAN 200.

Se connecte à RouterC (routeur de sortie) de la branche.

Ethernet0 / 0/2: une interface d'accès avec VLAN 200 comme VLAN par défaut.

Se connecte à PC5 dans la branche.

Tableau 3 Plan d'adresse IP
DispositifLes donnéesRemarques

RouterA

GE1 / 0/0: 202.10.1.2/24

Eth-Trunk1.100: 10.10.100.2/24

GE1 / 0/0 se connecte au réseau de l'opérateur.

Eth-Trunk1.100 se connecte au CORE du siège social.

RouteurB

GE1 / 0/0: 202.10.2.2/24

Eth-Trunk1.100: 10.10.100.3/24

-

COEUR

VLANIF 10: 10.10.10.1/24

VLANIF 20: 10.10.20.1/24

VLANIF 30: 10.10.30.1/24

VLANIF 100: 10.10.100.4/24

VLANIF 10 fonctionne comme la passerelle utilisateur du département A.

VLANIF 20 fonctionne comme la passerelle utilisateur du département B.

VLANIF 30 fonctionne comme la passerelle du serveur Web.

Le VLANIF 100 se connecte aux routeurs de sortie.

serveur Web

Adresse IP: 10.10.30.2/24

Passerelle par défaut: 10.10.30.1

Adresse IP du réseau public traduite par le serveur NAT: 202.10.100.3

PC1

Adresse IP: 10.10.10.2/24

Passerelle par défaut: 10.10.10.1

L'adresse IP 10.10.10.2/24 est attribuée au PC via DHCP dans cet exemple.

PC3

Adresse IP: 10.10.20.2/24

Passerelle par défaut: 10.10.20.1

L'adresse IP 10.10.20.2/24 est attribuée au PC via DHCP dans cet exemple.

RouterD

InterfaceB: numéro d'interface GigabitEthernet1 / 0/0 et adresse IP 202.10.1.1/24

InterfaceC: numéro d'interface GigabitEthernet2 / 0/0 et adresse IP 202.10.2.1/24

RouterD est un périphérique réseau opérateur. Le numéro d'interface utilisé ici est un exemple. Lors de la configuration d'un appareil, utilisez le numéro d'interface réel.

RouterE

InterfaceA: numéro d'interface GigabitEthernet1 / 0/0 et adresse IP 203.10.1.1/24

RouterE est un périphérique réseau opérateur. Le numéro d'interface utilisé ici est un exemple. Lors de la configuration d'un appareil, utilisez le numéro d'interface réel.

RouterC

GE1 / 0/0: 203.10.1.2/24

GE2 / 0 / 0.200: 10.10.200.1/24

-

PC5

Adresse IP: 10.10.200.2/24

Passerelle par défaut: 10.10.200.1

L'adresse IP 10.10.200.2/24 est attribuée au PC via DHCP dans cet exemple.

Procédure

  1. Configurez Eth-Trunks entre le CORE et deux routeurs de sortie du siège.


    # Configurez le CORE.


    <HUAWEI> system-view[HUAWEI] sysname CORE[CORE] interface eth-trunk 3[CORE-Eth-Trunk3] mode lacp[CORE-Eth-Trunk3] quit[CORE] interface eth-trunk 4[CORE-Eth-Trunk4] mode lacp[CORE-Eth-Trunk4] quit[CORE] interface gigabitethernet 0/0/3[CORE-GigabitEthernet0/0/3] eth-trunk 3[CORE-GigabitEthernet0/0/3] quit[CORE] interface gigabitethernet 1/0/3[CORE-GigabitEthernet1/0/3] eth-trunk 3[CORE-GigabitEthernet1/0/3] quit[CORE] interface gigabitethernet 0/0/4[CORE-GigabitEthernet0/0/4] eth-trunk 4[CORE-GigabitEthernet0/0/4] quit[CORE] interface gigabitethernet 1/0/4[CORE-GigabitEthernet1/0/4] eth-trunk 4[CORE-GigabitEthernet1/0/4] quit



  2. Configurez les VLAN et les adresses IP pour les interfaces.


    # Configurez le CORE.

    system-view[Huawei] sysname RouterA[RouterA] interface eth-trunk 1[RouterA-Eth-Trunk1] undo portswitch[RouterA-Eth-Trunk1] mode lacp-static[RouterA-Eth-Trunk1] quit[RouterA] interface gigabitethernet 2/0/0[RouterA-GigabitEthernet2/0/0] eth-trunk 1[RouterA-GigabitEthernet2/0/0] quit[RouterA] interface gigabitethernet 2/0/1[RouterA-GigabitEthernet2/0/1] eth-trunk 1[RouterA-GigabitEthernet2/0/1] quit

    # Configurez RouterA (routeur de sortie) du siège social. La configuration de RouterB est similaire à celle de RouterA.


    [RouterA] interface Eth-Trunk 1.100[RouterA-Eth-Trunk1.100] ip address 10.10.100.2 24[RouterA-Eth-Trunk1.100] dot1q termination vid 100[RouterA-Eth-Trunk1.100] arp broadcast enable    //Enable the interface to process ARP broadcast packets. This function has been enabled on AR3200 series routers running V200R003C01 and later versions by default.[RouterA-Eth-Trunk1.100] quit[RouterA] interface gigabitethernet 1/0/0[RouterA-GigabitEthernet1/0/0] ip address 202.10.1.2 24[RouterA-GigabitEthernet1/0/0] quit

    # Configure RouterC (egress router) of the branch.
    system-view[Huawei] sysname RouterC[RouterC] interface gigabitethernet 1/0/0[RouterC-GigabitEthernet1/0/0] ip address 203.10.1.2 24[RouterC-GigabitEthernet1/0/0] quit


  3. Déployez VRRP. Configurez VRRP entre RouterA et RouterB du siège, et configurez RouterA comme périphérique maître et RouterB comme périphérique de sauvegarde.


    # Configurez RouterA.

    [RouterA] interface Eth-Trunk 1.100[RouterA-Eth-Trunk1.100] vrrp vrid 1 virtual-ip 10.10.100.1[RouterA-Eth-Trunk1.100] vrrp vrid 1 priority 120[RouterA-Eth-Trunk1.100] vrrp vrid 1 track interface GigabitEthernet1/0/0 reduced 40[RouterA-Eth-Trunk1.100] quit // Pour éviter une interruption de service en cas de panne de liaison montante sur RouterA, associez l'état VRRP à l'interface de liaison montante de RouterA. L'association garantit un basculement VRRP rapide en cas de défaillance de la liaison montante.

    # Configure RouterB.

    [RouterB] interface Eth-Trunk 1.100[RouterB-Eth-Trunk1.100] vrrp vrid 1 virtual-ip 10.10.100.1[RouterB-Eth-Trunk1.100] quit

    Une fois la configuration terminée, un groupe VRRP aurait dû être mis en place entre RouterA et RouterB. Vous pouvez exécuter la commande display vrrp pour afficher l'état VRRP des deux routeurs de sortie.

    # Vérifiez que l'état VRRP du routeur A est maître.

    [RouterA] display vrrp
      Eth-Trunk1.100 | Virtual Router 1
        State : Master
        Virtual IP : 10.10.100.1
        Master IP : 10.10.100.2
        PriorityRun : 120
        PriorityConfig : 120
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 1 s
        TimerConfig : 1 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0101
        Check TTL : YES
        Config type : normal-vrrp
        Backup-forward : disabled
        Track IF : GigabitEthernet1/0/0   Priority reduced : 40
        IF state : UP
        Create time : 2015-05-17 22:53 UTC-05:13
        Last change time : 2015-05-17 22:53 UTC-05:13

    # Vérifiez que l'état VRRP du routeur B est Sauvegarde.

    [RouterB] display vrrp
      Eth-Trunk1.100 | Virtual Router 1
        State : Backup
        Virtual IP : 10.10.100.1
        Master IP : 10.10.100.2
        PriorityRun : 100
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 1 s
        TimerConfig : 1 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0101
        Check TTL : YES
        Config type : normal-vrrp
        Backup-forward : disabled
        Create time : 2015-05-17 22:53 UTC-05:13
        Last change time : 2015-05-17 22:53 UTC-05:13


 


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Communauté de Support de Huawei Entreprise
Communauté de Support de Huawei Entreprise
Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.