Хорошо

Коммутаторы серии CloudEngine: Настройка объекта VPN для передачи пакетов услуг

253 0 3 0 0

Поддерживаемые продукты и версии

Этот пример относится к CE12800, CE6800 и CE5800 по версии V100R001C00 или более поздней версии, CE7800 по версии V100R003C00 или более поздней версии и CE8800 по версии V100R006C00.

 

Требования к сети

Как показано на Рисунке 2-33, серверы в зоне обслуживания должны иметь доступ к интернету. Сервер данных и видеосервер в зоне обслуживания подключаются к маршрутизатору шлюза через коммутатор доступа SwitchB и базовый коммутатор SwitchA и взаимодействуют с интернетом через маршрутизатор шлюза.

Брандмауэр подключается к базовому коммутатору SwitchA в режиме байпаса, чтобы обеспечить безопасность обмена данными между серверами и интернетом. В этом случае весь трафик, проходящий через SwitchA, перенаправляется в брандмауэр через объект VPN. Брандмауэр фильтрует трафик для обеспечения безопасности внутренних и внешних сетей.

 

Рисунок  2-33  Настройка объекта VPN для передачи пакетов услуг


VPN

Таблица  2-10 описывает сетевой план устройств, показанный на Рисунке  2-33.

 

Таблица  2-10  План сети

Пункт

Данные

Сервер   данных

VLAN, к   которой принадлежит сервер: VLAN 100

Видеосервер

VLAN, к   которой принадлежит сервер: VLAN 100

SwitchA

VLAN, к   которой принадлежит 10GE1/0/1: VLAN 100

VLAN, к   которой принадлежит 10GE2/0/2: VLAN 102 и VLAN 103

VLAN, к   которой принадлежит 10GE3/0/3: VLAN 101

IP-адрес   VLANIF 100: 10.10.10.1/24

IP-адрес   VLANIF 101: 202.10.20.193/24

IP-адрес   VLANIF 102: 192.168.10.1/24

IP-адрес   VLANIF 103: 192.168.11.1/24

SwitchB

VLAN, к   которой принадлежит 10GE1/0/1: VLAN 100

VLAN, к   которой принадлежит 10GE1/0/2: VLAN 100

VLAN, к   которой принадлежит 10GE1/0/3: VLAN 100

 

План конфигурации

План конфигурации выглядит следующим образом:

1.   Подключите брандмауэр опорной сети к SwitchA в обходном режиме для фильтрации трафика, представляющего угрозу для безопасности сети.

2.   Создайте объект VPN vrf1 и свяжите его с соответствующими интерфейсами, чтобы весь трафик, направленный в интернет, передавался коммутатором vrf1.

3.   Настройте статический маршрут или протокол маршрутизации, который будет направлять в брандмауэр весь трафик из интернета, передаваемый на серверы данных и видео.

 

Процедура

1.   Создайте сети VLAN и настройте интерфейсы для реализации взаимодействия на уровне 2

# Создайте VLAN 100 на SwitchB.

<HUAWEI>system-view
[~HUAWEI] sysname SwitchB
[*HUAWEI] commit
[~SwitchB] vlan batch 100
[*SwitchB] commit

# Добавьте 10GE1/0/1, 10GE1/0/2 и 10GE1/0/3 на SwitchB в сеть VLAN 100.

[~SwitchB] interface 10ge 1/0/1
[~SwitchB-10GE1/0/1] port link-type trunk 
[*SwitchB-10GE1/0/1] port trunk allow-pass vlan 100
[*SwitchB-10GE1/0/1] quit
[*SwitchB] interface 10ge 1/0/2
[*SwitchB-10GE1/0/2] port link-type access
[*SwitchB-10GE1/0/2] port default vlan 100
[*SwitchB-10GE1/0/2] quit
[*SwitchB] interface 10ge 1/0/3
[*SwitchB-10GE1/0/3] port link-type access
[*SwitchB-10GE1/0/3] port default vlan 100
[*SwitchB-10GE1/0/3] quit
[*SwitchB] commit


# На SwitchA создайте VLAN 100 (соединенную с SwitchB), VLAN 101 (соединенную с маршрутизатором шлюза), а также сети VLAN 102 и 103 (подключенные к брандмауэру).

<HUAWEI>system-view
[~HUAWEI] sysname SwitchA
[*HUAWEI] commit
[~SwitchA] vlan batch 100 to 103
[*SwitchA] commit


# Для интерфейсов 10GE1/0/1, 10GE2/0/2 и 10GE3/0/3 SwitchA задайте тип trunk, затем добавьте эти интерфейсы в сети VLAN.

[~SwitchA] interface 10ge 1/0/1
[~SwitchA-10GE1/0/1] port link-type trunk
[*SwitchA-10GE1/0/1] port trunk allow-pass vlan 100
[*SwitchA-10GE1/0/1] quit
[*SwitchA] interface 10ge 2/0/2
[*SwitchA-10GE2/0/2] port link-type trunk 
[*SwitchA-10GE2/0/2] port trunk allow-pass vlan 102 to 103
[*SwitchA-10GE2/0/2] quit
[*SwitchA] interface 10ge 3/0/3
[*SwitchA-10GE3/0/3] port link-type trunk 
[*SwitchA-10GE3/0/3] port trunk allow-pass vlan 101
[*SwitchA-10GE3/0/3] quit
[*SwitchA] commit


# Создайте сети с VLANIF 100 по VLANIF 103. Допустим, IP-адреса интерфейсов брандмауэра, подключенные к VLANIF 102 и VLANIF 103 - 192.168.10.2/24 и 192.168.11.2/24.

[~SwitchA] interface vlanif 100
[*SwitchA-Vlanif100] ip address 10.10.10.1 24
[*SwitchA-Vlanif100] quit
[*SwitchA] interface vlanif 101
[*SwitchA-Vlanif101] ip address 202.10.20.193 24
[*SwitchA-Vlanif101] quit
[*SwitchA] interface vlanif 102
[*SwitchA-Vlanif102] ip address 192.168.10.1 24
[*SwitchA-Vlanif102] quit
[*SwitchA] interface vlanif 103
[*SwitchA-Vlanif102] ip address 192.168.11.1 24
[*SwitchA-Vlanif102] quit
[*SwitchA] commit



2.    Создайте объект VPN vrf1 и свяжите его с соответствующими интерфейсами, чтобы весь трафик, направленный в интернет, передавался коммутатором vrf1.

# Создайте объект VPN vrf1.

[~SwitchA] ip vpn-instance vrf1
[*SwitchA-vpn-instance-vrf1] description YeWu
[*SwitchA-vpn-instance-vrf1] ipv4-family
[*SwitchA-vpn-instance-vrf1-af-ipv4] route-distinguisher 100:1
[*SwitchA-vpn-instance-vrf1-af-ipv4] vpn-target 100:1 both 
[*SwitchA-vpn-instance-vrf1-af-ipv4] quit
[*SwitchA-vpn-instance-vrf1] quit
[*SwitchA] commit


# Свяжите объект VPN vrf1 с VLANIF 100 и VLANIF 102 для предоставления доступа абонентам VPN.

[~SwitchA] interface vlanif 100
[~SwitchA-Vlanif100] ip binding vpn-instance vrf1
[*SwitchA-Vlanif100] quit
[*SwitchA] interface vlanif 102
[*SwitchA-Vlanif102] ip binding vpn-instance vrf1
[*SwitchA-Vlanif102] quit
[*SwitchA] commit


# Настройте статические маршруты.

[~SwitchA] ip route-static vpn-instance vrf1 0.0.0.0 0.0.0.0 192.168.10.2
[*SwitchA] commit


3.   Настройте статический маршрут или протокол маршрутизации, например, OSPF, чтобы направлять в брандмауэр весь трафик, отправленный из интернета на сервера видео и данных. В качестве примера приводится статический маршрут.

[~SwitchA] ip route-static 10.10.10.0 255.255.255.0 192.168.11.2
[*SwitchA] commit


Проверка конфигурации

1.    Выполните команду display ip vpn-instance vrf1 для просмотра информации об объекте VPN vrf1.


[~SwitchA] display ip vpn-instance vrf1
  VPN-Instance Name               RD                    Address-family   
  vrf1                            100:1                 IPv4


2.    Выполните команду display ip vpn-instance interface для просмотра информации об интерфейсе объекта VPN.


[~SwitchA] display ip vpn-instance interface
 Total VPN-Instances configured      : 1          
 Total IPv4 VPN-Instances configured : 1         
 Total IPv6 VPN-Instances configured : 0          
                                    
 VPN-Instance Name and ID : vrf1, 50          
  Interface Number : 2                
  Interface list : Vlanif100,         
                   Vlanif102


Файлы конфигурации

      ·         Файл конфигурации SwitchB


#
sysname SwitchB
#
vlan batch 100
#
interface 10GE1/0/1
 port link-type trunk
 port trunk allow-pass vlan 100
#
interface 10GE1/0/2
 port default vlan 100
#
interface 10GE1/0/3
 port default vlan 100
#
return


·         Файл конфигурации SwitchA

#
sysname SwitchA
#
vlan batch 100 to 102
#
ip vpn-instance vrf1
 description YeWu
 ipv4-family
  route-distinguisher 100:1
  vpn-target 100:1 export-extcommunity
  vpn-target 100:1 import-extcommunity
#
interface Vlanif100
 ip binding vpn-instance vrf1
 ip address 10.10.10.1 255.255.255.0
#
interface Vlanif101
 ip address 202.10.20.193 255.255.255.0
#
interface Vlanif102
 ip binding vpn-instance vrf1
 ip address 192.168.10.1 255.255.255.0
#
interface Vlanif103
 ip address 192.168.11.1 255.255.255.0
#
interface 10GE1/0/1
 port link-type trunk
 port trunk allow-pass vlan 100
#
interface 10GE2/0/2
 port link-type trunk
 port trunk allow-pass vlan 101
#
interface 10GE3/0/3
 port link-type trunk
 port trunk allow-pass vlan 102 to 103
#
ip route-static 10.10.10.0 255.255.255.0 192.168.11.2
ip route-static vpn-instance vrf1 0.0.0.0 0.0.0.0 192.168.10.2
#
return


  • x

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Пользовательское соглашение.”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.
О защите информации
Благодарим за использование Huawei ICT Club! Мы хотим рассказать вам о том, как мы собираем, используем и храним ваши данные. Пожалуйста, внимательно ознакомьтесь с Политикой конфиденциальности и Пользовательским соглашением.