No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Espera en caliente activo/standby de Capa 3 en los módulos de NGFW instalados en un Switch de clúster donde se implementa el desvío de tráfico basado en enrutamiento estático

Espera en caliente activo/standby de Capa 3 en los módulos de NGFW instalados en un Switch de clúster donde se implementa el desvío de tráfico basado en enrutamiento estático

Requisitos de servicio

Como se muestra en Figura 1-3, dos switches se despliegan en un CSS y dos módulos de NGFW se instalan en la ranura 1 en los dos switches. Los dos módulos de NGFW son necesarios para implementar espera en caliente y realizar la detección de seguridad en el tráfico que pasa a través de los switches. Dos módulos de NGFW funcionan en modo activo/standby.

Este ejemplo utiliza los módulos de NGFW que ejecutan V100R001C30 y switches que ejecutan V200R008C00. Para los ejemplos de configuración de los módulos de NGFW que ejecutan otras versiones, consulteDeployment Guide.

Figura 1-3  Red para el despliegue del Módulo de dual NGFW de Capa 3 y CSS de switch
NOTA:

El módulo de NGFW tiene dos interfaces fijas de Ethernet internas: GE1/0/0 a GE1/0/1. La numeración de las interfaces de Ethernet internas en el switch está determinada por la ranura en la que está instalado el Módulo de NGFW. Por ejemplo, cuando el Módulo de NGFW está instalado en la ranura 1 del switch, las interfaces de Ethernet internas utilizadas por el switch son XGE1/1/0/0 a XGE1/1/0/1.

Eth-Trunk2 y Eth-Trunk3 son interfaces de los switches en CSS.

Planificación de datos

ítem Datos Descripción

Espera en caliente

NGFW Module_A: active

NGFW Module_B: standby

-

NAT

NAT de origen

Tipo de NAT: PAT

Grupo de direcciones: 1.1.1.1 to 1.1.1.2

La dirección de origen se traslada automáticamente para el acceso a Internet desde una subred privada especificada.

Servidor de NAT

Dirección global: 1.1.1.3

Dirección interna: 192.168.2.8

Una dirección de servidor específica se traslada de una dirección privada a una dirección pública para que accedan los usuarios de Internet.

Política de seguridad

Política 1: policy_sec1

Zona de seguridad de origen: Trust

Zona de seguridad de destino: Untrust

Dirección IP de origen: 192.168.1.0

Acción: permit

Los usuarios en la zona Trust (que residen en 192.168.1.0/24) pueden acceder a Internet.

Política 2: policy_sec2

Zona de seguridad de origen: Untrust

Zona de seguridad de destino: DMZ

Dirección IP de destino: 192.168.2.0

Acción: permit

Los usuarios de extranet pueden acceder a DMZ (que reside en 192.168.2.0/24) y se implementa la prevención de intrusiones.

Solución del despliegue

  1. Dos módulos de NGFW forman una red en espera en caliente. El switch desvía el tráfico que pasa al Módulo de NGFW a través de una ruta estática. Después de realizar un verificación de seguridad en el tráfico, el Módulo de NGFW rechaza el tráfico al switch a través de una ruta estática.

    Configure VRF en los switches para virtualizar los switches como switch virtual Public que se conecta a la red pública (no debe configurar la instancia de VPN) y switches virtuales trust y dmz, respectivamente conectando a la zona Trust y DMZ. Figura 1-4 muestra la red. Los switches virtuales están separados. Por lo tanto, el tráfico se enviará a los módulos de NGFW.

    Figura 1-4  Configurando VRF en los switches
  2. Figura 1-4 puede ser abstraído como Figura 1-5. Los módulos de NGFW ejecutan las rutas estáticas con dispositivos de vínculo ascendentes y descendentes. Por lo tanto, debe configurar los grupos de VRRP en los módulos de NGFW, de modo que los switches se comuniquen con las direcciones IP virtuales de los grupos de VRRP en los módulos de NGFW.

    Configure una ruta predeterminada a Internet en el Módulo de NGFW y configure la dirección del siguiente salto en la dirección IP de VLANIF201. Configure una ruta específica a la intranet en el Módulo de NGFW, y configure la dirección del siguiente salto a la dirección IP de VLANIF202. Figura 1-5 muestra la red. En el switch virtual Public, configure las rutas estáticas a la zona Trust y DMZ y configure la dirección del siguiente salto en la dirección IP del grupo de VRRP 1. En el switch virtual trust, configure una ruta predeterminada a Internet y configure la dirección del siguiente salto a la dirección IP del grupo 2 de VRRP. En el switch virtual dmz, configure una ruta predeterminada a Internet y configure el siguiente salto dirección a la dirección IP del grupo de VRRP 3.

    Figura 1-5  Configuración de grupos de VRRP en los módulos de NGFW y las rutas estáticas en los switches
    NOTA:

    Figura 1-5 enumera solo las interfaces de switch involucradas en la conexión con los módulos de NGFW.

  3. Agrupe las interfaces GE0/0/1 y GE0/0/2 en el panel de cada módulo de NGFW a una interfaz Eth-Trunk0, que funciona como la interfaz de latido del corazón y el canal de reserva y habilite espera en caliente.
  4. Configure las funciones de seguridad, como políticas de seguridad, políticas de NAT e IPS en NGFW Module_A. NGFW Module_A sincronizará automáticamente sus configuraciones a NGFW Module_B.

Procedimiento

  1. Complete las configuraciones de la interfaz y de red básica en los módulos de NGFW.

    # Configure el nombre del dispositivo en NGFW Module_A.

    <sysname> system-view
    [sysname] sysname Module_A

    # Configure las direcciones IP para las interfaces en NGFW Module_A.

    [Module_A] interface Eth-trunk 1
    [Module_A-Eth-Trunk1] quit
    [Module_A] interface GigabitEthernet 1/0/0
    [Module_A-GigabitEthernet1/0/0] Eth-Trunk 1
    [Module_A-GigabitEthernet1/0/0] quit
    [Module_A] interface GigabitEthernet 1/0/1
    [Module_A-GigabitEthernet1/0/1] Eth-Trunk 1
    [Module_A-GigabitEthernet1/0/1] quit
    [Module_A] interface Eth-trunk 1.1
    [Module_A-Eth-Trunk1.1] ip address 10.3.1.2 24
    [Module_A-Eth-Trunk1.1] vlan-type dot1q 201
    [Module_A-Eth-Trunk1.1] quit
    [Module_A] interface Eth-trunk 1.2
    [Module_A-Eth-Trunk1.2] ip address 10.3.2.2 24
    [Module_A-Eth-Trunk1.2] vlan-type dot1q 202
    [Module_A-Eth-Trunk1.2] quit
    [Module_A] interface Eth-trunk 1.3
    [Module_A-Eth-Trunk1.3] ip address 10.3.3.2 24
    [Module_A-Eth-Trunk1.3] vlan-type dot1q 203
    [Module_A-Eth-Trunk1.3] quit
    [Module_A] interface Eth-Trunk 0
    [Module_A-Eth-Trunk0] ip address 10.10.0.1 24
    [Module_A-Eth-Trunk0] quit
    [Module_A] interface GigabitEthernet 0/0/1
    [Module_A-GigabitEthernet0/0/1] Eth-Trunk 0
    [Module_A-GigabitEthernet0/0/1] quit
    [Module_A] interface GigabitEthernet 0/0/2
    [Module_A-GigabitEthernet0/0/2] Eth-Trunk 0
    [Module_A-GigabitEthernet0/0/2] quit

    # Asigne las interfaces de NGFW Module_A a las zonas de seguridad.

    [Module_A] firewall zone untrust
    [Module_A-zone-untrust] add interface Eth-trunk 1.1
    [Module_A-zone-untrust] quit
    [Module_A] firewall zone trust
    [Module_A-zone-trust] add interface Eth-trunk 1.2
    [Module_A-zone-trust] quit
    [Module_A] firewall zone dmz
    [Module_A-zone-dmz] add interface Eth-trunk 1.3
    [Module_A-zone-dmz] quit
    [Module_A] firewall zone name hrpzone
    [Module_A-zone-hrpzone] set priority 65
    [Module_A-zone-hrpzone] add interface Eth-Trunk 0
    [Module_A-zone-hrpzone] quit

    # Configure el nombre del dispositivo en NGFW Module_B.

    <sysname> system-view
    [sysname] sysname Module_B

    # Configure las direcciones IP para las interfaces en NGFW Module_B.

    [Module_B] interface Eth-Trunk 1
    [Module_B-Eth-Trunk1] quit
    [Module_B] interface GigabitEthernet 1/0/0
    [Module_B-GigabitEthernet1/0/0] Eth-Trunk 1
    [Module_B-GigabitEthernet1/0/0] quit
    [Module_B] interface GigabitEthernet 1/0/1
    [Module_B-GigabitEthernet1/0/1] Eth-Trunk 1
    [Module_B-GigabitEthernet1/0/1] quit
    [Module_B] interface Eth-trunk 1.1
    [Module_B-Eth-Trunk1.1] ip address 10.3.1.3 24
    [Module_B-Eth-Trunk1.1] vlan-type dot1q 201
    [Module_B-Eth-Trunk1.1] quit
    [Module_B] interface Eth-trunk 1.2
    [Module_B-Eth-Trunk1.2] ip address 10.3.2.3 24
    [Module_B-Eth-Trunk1.2] vlan-type dot1q 202
    [Module_B-Eth-Trunk1.2] quit
    [Module_B] interface Eth-trunk 1.3
    [Module_B-Eth-Trunk1.3] ip address 10.3.3.3 24
    [Module_B-Eth-Trunk1.3] vlan-type dot1q 203
    [Module_B-Eth-Trunk1.3] quit
    [Module_B] interface Eth-Trunk 0
    [Module_B-Eth-Trunk0] ip address 10.10.0.2 24
    [Module_B-Eth-Trunk0] quit
    [Module_B] interface GigabitEthernet 0/0/1
    [Module_B-GigabitEthernet0/0/1] Eth-Trunk 0
    [Module_B-GigabitEthernet0/0/1] quit
    [Module_B] interface GigabitEthernet 0/0/2
    [Module_B-GigabitEthernet0/0/2] Eth-Trunk 0
    [Module_B-GigabitEthernet0/0/2] quit

    # Asigne las interfaces de NGFW Module_B a las zonas de seguridad.

    [Module_B] firewall zone untrust
    [Module_B-zone-untrust] add interface Eth-trunk 1.1
    [Module_B-zone-untrust] quit
    [Module_B] firewall zone trust
    [Module_B-zone-trust] add interface Eth-trunk 1.2
    [Module_B-zone-trust] quit
    [Module_B] firewall zone dmz
    [Module_B-zone-dmz] add interface Eth-trunk 1.3
    [Module_B-zone-dmz] quit
    [Module_B] firewall zone name hrpzone
    [Module_B-zone-hrpzone] set priority 65
    [Module_B-zone-hrpzone] add interface Eth-Trunk 0
    [Module_B-zone-hrpzone] quit

  2. Cree las rutas estáticas en los módulos de NGFW.

    # En NGFW Module_A, configure una ruta estática de vínculo ascendente (ruta predeterminada) con la dirección del siguiente salto configurada en la dirección IP de VLANIF201.

    [Module_A] ip route-static 0.0.0.0 0.0.0.0 10.3.1.4

    # En NGFW Module_A, configure una ruta estática de vínculo descendente a la zona Trust, con la dirección de destino que es la dirección de la zona Trust y la dirección del siguiente salto que es la dirección de VLANIF202 en el switch conectado.

    [Module_A] ip route-static 192.168.1.0 255.255.255.0 10.3.2.4

    # En NGFW Module_A, configure una ruta estática de vínculo descendente a la DMZ, con la dirección de destino que es la dirección de la DMZ y la dirección de siguiente salto que es la dirección de VLANIF203 en el switch conectado.

    [Module_A] ip route-static 192.168.2.0 255.255.255.0 10.3.3.4

    # En Módulo_A de NGFW, configure una ruta de agujero negro en una dirección en el grupo de direcciones de NAT de origen para evitar bucles de enrutamiento. En este ejemplo, el rango de direcciones es 1.1.1.1-1.1.1.2 en el grupo de direcciones de NAT de origen.

    [Module_A] ip route-static 1.1.1.1 255.255.255.255 null 0
    [Module_A] ip route-static 1.1.1.2 255.255.255.255 null 0

    # En NGFW Module_A, configure una ruta de agujero negro en la dirección global del servidor de NAT para evitar los bucles de enrutamiento. En este ejemplo, la dirección global del servidor de NAT es 1.1.1.3.

    [Module_A] ip route-static 1.1.1.3 255.255.255.255 null 0

    # En NGFW Module_B, configure una ruta estática de vínculo ascendente (ruta predeterminada) con la dirección del siguiente salto configurada en la dirección IP de VLANIF201 en el switch conectado.

    [Module_B] ip route-static 0.0.0.0 0.0.0.0 10.3.1.4

    # En Módulo_B de NGFW, configure una ruta estática de vínculo descendente a la zona Trust, con la dirección de destino que es la dirección de la zona Trust y la dirección del siguiente salto que es la dirección de VLANIF202 en el switch conectado.

    [Module_B] ip route-static 192.168.1.0 255.255.255.0 10.3.2.4

    # En NGFW Module_B, configure una ruta estática de vínculo descendente a la DMZ, con la dirección de destino que es la dirección de la DMZ y la dirección de siguiente salto que es la dirección de VLANIF203 en el switch conectado.

    [Module_B] ip route-static 192.168.2.0 255.255.255.0 10.3.3.4

    # En NGFW Module_B, configure una ruta de agujero negro en una dirección en el grupo de direcciones NAT de origen para evitar bucles de enrutamiento. En este ejemplo, el rango de direcciones es 1.1.1.1-1.1.1.2 en el grupo de direcciones de NAT de origen.

    [Module_B] ip route-static 1.1.1.1 255.255.255.255 null 0
    [Module_B] ip route-static 1.1.1.2 255.255.255.255 null 0

    # En NGFW Module_B, configure una ruta de agujero negro en la dirección global del servidor de NAT para evitar los bucles de enrutamiento. En este ejemplo, la dirección global del servidor de NAT es 1.1.1.3.

    [Module_B] ip route-static 1.1.1.3 255.255.255.255 null 0

  3. Configure espera en caliente en los módulos de NGFW.

    # Configure los grupos VRRP en NGFW Module_A.

    [Module_A] interface Eth-trunk1.1
    [Module_A-Eth-Trunk1.1] vrrp vrid 1 virtual-ip 10.3.1.1 active
    [Module_A-Eth-Trunk1.1] quit
    [Module_A] interface Eth-trunk1.2
    [Module_A-Eth-Trunk1.2] vrrp vrid 2 virtual-ip 10.3.2.1 active
    [Module_A-Eth-Trunk1.2] quit
    [Module_A] interface Eth-trunk1.3
    [Module_A-Eth-Trunk1.3] vrrp vrid 3 virtual-ip 10.3.3.1 active
    [Module_A-Eth-Trunk1.3] quit

    # Especifique la interfaz de latido y habilite espera en caliente en NGFW Module_A.

    [Module_A] hrp interface Eth-Trunk 0
    [Module_A] hrp enable

    # Configure los grupos VRRP en NGFW Module_B.

    [Module_B] interface Eth-trunk1.1
    [Module_B-Eth-Trunk1.1] vrrp vrid 1 virtual-ip 10.3.1.1 standby
    [Module_B-Eth-Trunk1.1] quit
    [Module_B] interface Eth-trunk1.2
    [Module_B-Eth-Trunk1.2] vrrp vrid 2 virtual-ip 10.3.2.1 standby
    [Module_B-Eth-Trunk1.2] quit
    [Module_B] interface Eth-trunk1.3
    [Module_B-Eth-Trunk1.3] vrrp vrid 3 virtual-ip 10.3.3.1 standby
    [Module_B-Eth-Trunk1.3] quit

    # Especifique la interfaz de latido y habilite espera en caliente en NGFW Module_B.

    [Module_B] hrp interface Eth-Trunk 0
    [Module_B] hrp enable
    [Module_B] hrp standby-device //Este comando solo se requiere en versiones anteriores a V100R001C30SPC300.
    NOTA:

    Después de configurar espera en caliente, las configuraciones y sesiones en el dispositivo activo se sincronizan al dispositivo standby; por lo tanto, solo necesita realizar las siguientes configuraciones en el NGFW Module_A.

    Antes de configurar la prevención de intrusiones, asegúrese de que se cargue la licencia requerida y la base de datos de firmas de prevención intrusas sea la última versión.

    Al configurar la prevención de intrusiones, utilice el perfil de prevención de intrusiones predeterminada default.

  4. Configure los servicios de seguridad en los módulos de NGFW.

    # En NGFW Module_A, configure una política de seguridad para permitir que los usuarios en la zona Trust (segmento de red 192.168.1.0/24) accedan al Internet.

    HRP_A[Module_A] security-policy
    HRP_A[Module_A-policy-security] rule name policy_sec1
    HRP_A[Module_A-policy-security-rule-policy_sec1] source-zone trust 
    HRP_A[Module_A-policy-security-rule-policy_sec1] destination-zone untrust
    HRP_A[Module_A-policy-security-rule-policy-sec1] source-address 192.168.1.0 24
    HRP_A[Module_A-policy-security-rule-policy_sec1] action permit
    HRP_A[Module_A-policy-security-rule-policy_sec1] quit

    # En NGFW Module_A, configure una política de seguridad para permitir que los usuarios de extranet accedan a la DMZ (segmento de red 192.168.2.0/24) y configure la prevención de intrusiones.

    HRP_A[Module_A-policy-security] rule name policy_sec2
    HRP_A[Module_A-policy-security-rule-policy_sec2] source-zone untrust 
    HRP_A[Module_A-policy-security-rule-policy_sec2] destination-zone dmz
    HRP_A[Module_A-policy-security-rule-policy-sec2] destination-address 192.168.2.0 24
    HRP_A[Module_A-policy-security-rule-policy_sec2] service http ftp
    HRP_A[Module_A-policy-security-rule-policy_sec2] profile ips default
    HRP_A[Module_A-policy-security-rule-policy_sec2] action permit
    HRP_A[Module_A-policy-security-rule-policy_sec2] quit
    HRP_A[Module_A-policy-security] quit
    

    # Configure ASPF en NGFW Module_A. FTP se usa como un ejemplo.

    HRP_A[Module_A] firewall interzone untrust dmz
    HRP_A[Module_A-interzone-dmz-untrust] detect ftp
    HRP_A[Module_A-interzone-dmz-untrust] quit
    

    # Configure un grupo de direcciones de NAT.

    HRP_A[Module_A] nat address-group addressgroup1
    HRP_A[Module_A-address-group-addressgroup1] section 0 1.1.1.1 1.1.1.2
    HRP_A[Module_A-address-group-addressgroup1] quit

    # Configure una política de NAT de origen para el acceso a Internet desde la subred privada especificada.

    HRP_A[Module_A] nat-policy
    HRP_A[Module_A-policy-nat] rule name policy_nat1
    HRP_A[Module_A-policy-nat-rule-policy_nat1] source-zone trust
    HRP_A[Module_A-policy-nat-rule-policy_nat1] destination-zone untrust
    HRP_A[Module_A-policy-nat-rule-policy_nat1] source-address 192.168.1.0 24
    HRP_A[Module_A-policy-nat-rule-policy_nat1] action nat address-group addressgroup1 
    HRP_A[Module_A-policy-nat-rule-policy_nat1] quit
    HRP_A[Module_A-policy-nat] quit

    # Configure la función del servidor de NAT para trasladar la dirección privada de un servidor específico en la DMZ a una dirección pública para el acceso del usuario. En este ejemplo, la dirección privada 192.168.2.8:80 del servidor web en la DMZ se traslada a la dirección pública 1.1.1.3:8000.

    HRP_A[Module_A] nat server policy_web protocol tcp global 1.1.1.3 8000 inside 192.168.2.8 80

    # Guarde las configuraciones en NGFW Module_A y NGFW Module_B.

    HRP_A<Module_A> save
    The current configurations will be written to the device.
    Are you sure?[Y/N] y
    Now saving the current configuration to the device......
    Info:The Current Configuration was saved to the device successfully
    HRP_S<Module_B> save
    The current configurations will be written to the device.
    Are you sure?[Y/N] y
    Now saving the current configuration to the device......
    Info:The Current Configuration was saved to the device successfully

  5. Configure los switches de core para formar un CSS.
    1. Instale el hardware y conecte los cables. Para más detalles, consulte CSS Installation Guide.
    2. Establezca el modo de conexión de CSS (como el modo de conexión de la tarjeta de CSS), ID de CSS y prioridad de CSS.

      # Configure el CSS en SwitchA. En el ejemplo, el modo de conexión de CSS es el modo de conexión de tarjeta de CSS, el ID de CSS es 1 y la prioridad de CSS es 100.

      <Huawei> system-view
      [Huawei] sysname SwitchA
      [SwitchA] set css mode css-card                //Establezca el modo de conexión CSS. El modo predeterminado es el modo de conexión de la tarjeta CSS.
      [SwitchA] set css id 1                          //Establezca la ID de CSS. El valor predeterminado es 1.
      [SwitchA] set css priority 100                 //Establece la prioridad de CSS. El valor predeterminado es 1.
      

      # Configure el CSS en SwitchB. En el ejemplo, el modo de conexión de CSS es el modo de conexión de tarjeta de CSS, el ID de CSS es 2 y la prioridad de CSS es 10.

      <Huawei> system-view
      [Huawei] sysname SwitchB
      [SwitchB] set css mode css-card
      [SwitchB] set css id 2
      [SwitchB] set css priority 10
      

    3. Habilite la función de CSS.

      # Para usar SwitchA como el switch activo, habilite CSS en SwitchA y luego reinicie SwitchA.

      [SwitchA] css enable
      Warning: The CSS configuration will take effect only after the system is rebooted. T
      he next CSS mode is CSS card. Reboot now? [Y/N]:y

      # Habilite CSS en SwitchB y luego reinicie SwitchB.

      [SwitchB] css enable
      Warning: The CSS configuration will take effect only after the system is rebooted. T
      he next CSS mode is CSS card. Reboot now? [Y/N]:y

    4. Compruebe si el CSS está establecido.

      # Inicie sesión en el CSS desde el puerto de la consola de cualquier MPU y ejecute el siguiente comando para ver el estado de CSS.

      <SwitchA> display css status
      CSS Enable switch On                                                            
                                                                                      
      Chassis Id   CSS Enable   CSS Status      CSS Mode    Priority    Master Force  
      ------------------------------------------------------------------------------  
      1            On           Master          CSS card    100         Off           
      2            On           Standby         CSS card    10          Off           

      Si se muestran los ID de CSS, las prioridades de CSS, el estado de habilitación de CSS y el estado de CSS de los dos switches de miembro, como se muestra en la información anterior, se ha establecido el CSS.

      Se recomienda configurar MAD para minimizar el impacto de una división de CSS en los servicios. Las configuraciones detalladas no se describirán aquí.

    5. Cambie el nombre del sistema de clúster a CSS.

      <SwitchA> system-view
      [SwitchA] sysname CSS
      [CSS]

  6. Configure las interfaces y las VLAN para los switches de core. Este ejemplo describe cómo configurar la interconexión entre el switch y los módulos de NGFW.

    [CSS] vlan batch 201 to 205          //Cree las VLAN.
    [CSS] interface eth-trunk 5                
    [CSS-Eth-Trunk5] description To_NGFW_Module_A
    [CSS-Eth-Trunk5] trunkport xgigabitethernet 1/1/0/0 to 1/1/0/1    //Cree Eth-Trunk5 en el CSS y agregue interfaces de Ethernet interna a Eth-Trunk5.
    [CSS-Eth-Trunk5] port link-type trunk                      
    [CSS-Eth-Trunk5] undo port trunk allow-pass vlan 1
    [CSS-Eth-Trunk5] port trunk allow-pass vlan 201 to 205  //Configure Eth-Trunk5 para permitir el tráfico desde las VLAN 201, 202, 203, 204 y 205.
    [CSS-Eth-Trunk5] quit   
    [CSS] interface eth-trunk 6                
    [CSS-Eth-Trunk6] description To_NGFW_Module_B
    [CSS-Eth-Trunk6] trunkport xgigabitethernet 2/1/0/0 to 2/1/0/1    //Cree Eth-Trunk6 en el CSS y agregue interfaces de Ethernet interna a Eth-Trunk6.
    [CSS-Eth-Trunk6] port link-type trunk                      
    [CSS-Eth-Trunk6] undo port trunk allow-pass vlan 1
    [CSS-Eth-Trunk6] port trunk allow-pass vlan 201 to 205  //Configure Eth-Trunk6 para permitir el tráfico desde las VLAN 201, 202, 203, 204 y 205.
    [CSS-Eth-Trunk6] quit  
    [CSS] interface eth-trunk 2                   //Configure la interfaz del switch Eth-Trunk2 que se conecta a la zona Trust, agregar las interfaces a Eth-Trunk2 no se menciona aquí.     
    [CSS-Eth-Trunk2] description To_TRUST
    [CSS-Eth-Trunk2] port link-type trunk                      
    [CSS-Eth-Trunk2] undo port trunk allow-pass vlan 1
    [CSS-Eth-Trunk2] port trunk allow-pass vlan 204  //Habilite Eth-Trunk2 para permitir el tráfico desde la VLAN204.
    [CSS-Eth-Trunk2] quit    
    [CSS] interface eth-trunk 3                   //Configure la interfaz del switch Eth-Trunk3 que se conecta a la DMZ, agregar las interfaces a Eth-Trunk3 no se menciona aquí.
    [CSS-Eth-Trunk3] description To_DMZ
    [CSS-Eth-Trunk3] port link-type trunk                      
    [CSS-Eth-Trunk3] undo port trunk allow-pass vlan 1
    [CSS-Eth-Trunk3] port trunk allow-pass vlan 205  //Habilite Eth-Trunk3 para permitir el tráfico desde VLAN205.
    [CSS-Eth-Trunk3] quit                  
    [CSS] ip vpn-instance trust     //Cree el ejemplo de VPN trust.
    [CSS-vpn-instance-trust] ipv4-family
    [CSS-vpn-instance-trust-af-ipv4] route-distinguisher 100:1
    [CSS-vpn-instance-trust-af-ipv4] vpn-target 111:1 both
    [CSS-vpn-instance-trust-af-ipv4] quit
    [CSS-vpn-instance-trust] quit
    [CSS] ip vpn-instance dmz     //Cree el ejemplo de VPN dmz.
    [CSS-vpn-instance-dmz] ipv4-family
    [CSS-vpn-instance-dmz-af-ipv4] route-distinguisher 200:1
    [CSS-vpn-instance-dmz-af-ipv4] vpn-target 211:1 both
    [CSS-vpn-instance-dmz-af-ipv4] quit
    [CSS-vpn-instance-dmz] quit
    [CSS] interface vlanif 201
    [CSS-Vlanif201] ip address 10.3.1.4 24
    [CSS-Vlanif201] quit                       //Configure una dirección IP para VLANIF201.
    [CSS] interface vlanif 202
    [CSS-Vlanif202] ip binding vpn-instance trust     
    [CSS-Vlanif202] ip address 10.3.2.4 24     //Vincule VLANIF202 a trust.
    [CSS-Vlanif202] quit                       //Configure una dirección IP para VLANIF202.
    [CSS] interface vlanif 203
    [CSS-Vlanif203] ip binding vpn-instance dmz     //Vincule VLANIF203 a dmz.
    [CSS-Vlanif203] ip address 10.3.3.4 24          //Configure una dirección IP para VLANIF203.
    [CSS-Vlanif203] quit                       
    [CSS] interface vlanif 204
    [CSS-Vlanif204] ip binding vpn-instance trust      //Vincule VLANIF204 a trust.
    [CSS-Vlanif204] ip address 10.1.1.2 24          //Configure una dirección IP para VLANIF204.
    [CSS-Vlanif204] quit    
    [CSS] interface vlanif 205
    [CSS-Vlanif205] ip binding vpn-instance dmz      //Vincule VLANIF205 a dmz.
    [CSS-Vlanif205] ip address 10.1.2.2 24        //Configure una dirección IP para VLANIF205.
    [CSS-Vlanif205] quit    

  7. Configure el desvío de tráfico en el switch de core.

    [CSS] ip route-static 1.1.1.1 32 10.3.1.1  //Configure una ruta estática a una dirección en el grupo de direcciones NAT del NGFW y configure la dirección del siguiente salto de la ruta a la dirección IP del grupo 1 de VRRP de vínculo ascendente en el Módulo NGFW. 
    [CSS] ip route-static 1.1.1.2 32 10.3.1.1  //Configure una ruta estática a una dirección en el grupo de direcciones NAT del NGFW y configure la dirección del siguiente salto de la ruta a la dirección IP del grupo 1 de VRRP de vínculo ascendente en el Módulo NGFW.
    [CSS] ip route-static 1.1.1.3 32 10.3.1.1  //Configure una ruta estática a la dirección global del servidor NAT configurado en el Módulo NGFW y configure la dirección del siguiente salto de la ruta a la dirección IP del grupo 1 de VRRP de vínculo ascendente en el Módulo NGFW.
    [CSS] ip route-static vpn-instance trust 0.0.0.0 0.0.0.0 10.3.2.1    //Configure una ruta predeterminada en el switch virtual de trust y configure el siguiente salto a la dirección IP virtual del grupo VRRP 2.
    [CSS] ip route-static vpn-instance dmz 0.0.0.0 0.0.0.0 10.3.3.1    //Configure una ruta predeterminada en el switch virtual de dmz y configure el siguiente salto a la dirección IP virtual del grupo VRRP 3.
    [CSS] ip route-static vpn-instance trust 192.168.2.0 255.255.255.0 vpn-instance dmz 10.1.2.1    //Ruta desde la zona Trust hasta la DMZ. 10.1.2.1 es la dirección IP de la interfaz VLANIF 205 del switch de acceso.
    [CSS] ip route-static vpn-instance dmz 192.168.1.0 255.255.255.0 vpn-instance trust 10.1.1.1    //Ruta desde la zona DMZ hasta la Trust. 10.1.1.1 es la dirección IP de la interfaz VLANIF 204 del switch de acceso.
    NOTA:

    En el ejemplo, NAT está configurado en los módulos de NGFW. Por lo tanto, configure las rutas estáticas desde el switch virtual Public a la zona Trust y DMZ, y las direcciones IP de destino en las rutas deben ser direcciones IP públicas posteriores a NAT. Si NAT no está configurado en los módulos de NGFW, las direcciones IP de destino en los enrutamiento deben ser direcciones IP privadas respectivamente en la zona de Trust y DMZ cuando configure las rutas estáticas desde el switch virtual público a las dos zonas.

    En el ejemplo, los paquetes de NGFW no procesan los paquetes de comunicación entre la zona Trust y DMZ. Si la empresa requiere que los módulos de NGFW procesen los paquetes de comunicación entre la zona Trust y DMZ, establezca el siguiente salto a la dirección IP del grupo de VRRP de enlace descendente en los módulos de NGFW cuando configure el enrutamiento para las comunicaciones entre la zona Trust y DMZ .

Verificación

  1. Ejecute el comando display hrp state en NGFW Module_A para comprobar el estado actual de HRP. Si se muestra el siguiente resultado, se establece exitosamente una relación de HRP.

    HRP_A[Module_A] display hrp state
     The firewall's config state is: ACTIVE                                         
                                                                                    
     Backup channel usage: 0.01%                                                    
     Time elapsed after the last switchover: 0 days, 0 hours, 1 minutes             
     Current state of virtual routers configured as active:                         
                         Eth-Trunk1.3    vrid   3 : active
               (GigabitEthernet1/0/0)             : up  
               (GigabitEthernet1/0/1)             : up  
                         Eth-Trunk1.2    vrid   2 : active
               (GigabitEthernet1/0/0)             : up  
               (GigabitEthernet1/0/1)             : up  
                         Eth-Trunk1.1    vrid   1 : active
               (GigabitEthernet1/0/0)             : up  
               (GigabitEthernet1/0/1)             : up                               
    
  2. Compruebe si el acceso desde la intranet a Internet es exitoso y compruebe la tabla de sesiones de cada Módulo de NGFW.

    HRP_A[Module_A] display firewall session table
    Current Total Sessions : 1
      http  VPN: public --> public 192.168.1.8:22048[1.1.1.2:2106] --> 3.3.3.3:80
    HRP_S[Module_B] display firewall session table
    Current Total Sessions : 1
      http  VPN: public --> public Remote 192.168.1.8:22048[1.1.1.2:2106] --> 3.3.3.3:80

    De acuerdo con el resultado anterior, NGFW Module_A ha creado una entrada de sesión para el acceso desde la intranet a Internet. Existe una entrada de sesión con la etiqueta de Remota en NGFW Module_B, que indica que la copia de seguridad de la sesión es exitosa después de configurar espera en caliente.

  3. Compruebe si el acceso de Internet a los servidores en la DMZ es exitoso y compruebe la tabla de sesiones de cada Módulo de NGFW.

    HRP_A[Module_A] display firewall session table
    Current Total Sessions : 1
      http  VPN: public --> public 2.2.2.2:11447 --> 1.1.1.3:8000[192.168.2.8:80]
    HRP_S[Module_A] display firewall session table
    Current Total Sessions : 1
      http  VPN: public --> public Remote 2.2.2.2:11447 --> 1.1.1.3:8000[192.168.2.8:80]
  4. Configure un PC en la zona Trust para hacer ping constantemente a la dirección pública y ejecute el comando shutdown en Eth-trunk1 del NGFW Module_A. Luego, compruebe la conmutación de estado del Módulo de NGFW y los paquetes de ping descartados. Si la conmutación de estado es normal, NGFW Module_B se convierte en el activo y carga los servicios. El símbolo del sistema de NGFW Module_B se cambia de HRP_S a HRP_A, y el símbolo del sistema de NGFW Module_A se cambia de HRP_A a HRP_S. No se descartan o se descartan varios paquetes de ping (1 a 3 paquetes, dependiendo de los entornos de red reales).

    Ejecute el comando undo shutdown en Eth-trunk1 del Módulo_A de NGFW y compruebe la conmutación de estado del módulo de NGFW y los paquetes de ping descartados. Si la conmutación de estado es normal, Módulo_A de NGFW se convierte en el activo y comienza a cargar los servicios después de que expire el retraso de preempción (60 segundos por defecto). El símbolo del sistema de Módulo_A de NGFW se cambia de HRP_S a HRP_A, y el símbolo del sistema de Módulo_B de NGFW se cambia de HRP_A a HRP_S. No se descartan o se descartan varios paquetes de ping (1 a 3 paquetes, dependiendo de los entornos de red reales).

Scripts de configuración

Los scripts de configuración de los módulos de NGFW:

NGFW Module_A NGFW Module_B
#
 sysname Module_A
#
 hrp enable
 hrp interface Eth-Trunk0
#
nat server policy_web protocol tcp global 1.1.1.3 8000 inside 192.168.2.8 www
#
interface Eth-Trunk0
 ip address 10.10.0.1 255.255.255.0
#
interface Eth-Trunk1
 portswitch
 port link-type access
#
interface Eth-Trunk1.1
 vlan-type dot1q 201
 ip address 10.3.1.2 255.255.255.0
 vrrp vrid 1 virtual-ip 10.3.1.1 active
#
interface Eth-Trunk1.2
 vlan-type dot1q 202
 ip address 10.3.2.2 255.255.255.0
 vrrp vrid 2 virtual-ip 10.3.2.1 active
#
interface Eth-Trunk1.3
 vlan-type dot1q 203
 ip address 10.3.3.2 255.255.255.0
 vrrp vrid 3 virtual-ip 10.3.3.1 active
#
interface GigabitEthernet0/0/1
 eth-trunk 0
#
interface GigabitEthernet0/0/2
 eth-trunk 0
#
interface GigabitEthernet1/0/0
 portswitch
 port link-type access
 eth-trunk 1
#
interface GigabitEthernet1/0/1
 portswitch
 port link-type access
 eth-trunk 1
#
firewall zone trust
 set priority 85
 add interface Eth-Trunk1.2
#
firewall zone untrust
 set priority 5   
 add interface Eth-Trunk1.1
#
firewall zone dmz  
 set priority 50   
 add interface Eth-Trunk1.3
#
firewall zone hrpzone
 set priority 65
 add interface Eth-Trunk0
# 
 firewall interzone dmz untrust
  detect ftp
#
 ip route-static 0.0.0.0 0.0.0.0 10.3.1.4
 ip route-static 1.1.1.1 255.255.255.255 NULL0
 ip route-static 1.1.1.2 255.255.255.255 NULL0
 ip route-static 1.1.1.3 255.255.255.255 NULL0
 ip route-static 192.168.1.0 255.255.255.0 10.3.2.4
 ip route-static 192.168.2.0 255.255.255.0 10.3.3.4
#
 nat address-group addressgroup1 0
 section 0 1.1.1.1 1.1.1.2 
#   
security-policy  
 rule name policy_sec1
  source-zone trust  
  destination-zone untrust
  source-address 192.168.1.0 mask 255.255.255.0
  action permit    
 rule name policy_sec2
  source-zone untrust  
  destination-zone dmz
  destination-address 192.168.2.0 mask 255.255.255.0
  service http
  service ftp
  profile ips default
  action permit    
# 
nat-policy  
  rule name policy_nat1 
    source-zone trust 
    destination-zone untrust  
    source-address 192.168.1.0 mask 255.255.255.0   
    action nat address-group addressgroup1 
#
return
#
 sysname Module_B
#
 hrp enable
 hrp standby-device   //Este comando solo se requiere en las versiones anteriores a V100R001C30SPC300.
 hrp interface Eth-Trunk0
#
nat server policy_web protocol tcp global 1.1.1.3 8000 inside 192.168.2.8 www
# 
interface Eth-Trunk0
 ip address 10.10.0.2 255.255.255.0
#
interface Eth-Trunk1
 portswitch
 port link-type access
#
interface Eth-Trunk1.1
 vlan-type dot1q 201
 ip address 10.3.1.3 255.255.255.0
 vrrp vrid 1 virtual-ip 10.3.1.1 standby
#
interface Eth-Trunk1.2
 vlan-type dot1q 202
 ip address 10.3.2.3 255.255.255.0
 vrrp vrid 2 virtual-ip 10.3.2.1 standby
#
interface Eth-Trunk1.3
 vlan-type dot1q 203
 ip address 10.3.3.3 255.255.255.0
 vrrp vrid 3 virtual-ip 10.3.3.1 standby
#
interface GigabitEthernet0/0/1
 eth-trunk 0
#
interface GigabitEthernet0/0/2
 eth-trunk 0
#
interface GigabitEthernet1/0/0
 portswitch
 port link-type access
 eth-trunk 1
#
interface GigabitEthernet1/0/1
 portswitch
 port link-type access
 eth-trunk 1
#
firewall zone trust
 set priority 85
 add interface Eth-Trunk1.2
#
firewall zone untrust
 set priority 5   
 add interface Eth-Trunk1.1
#
firewall zone dmz  
 set priority 50   
 add interface Eth-Trunk1.3
#
firewall zone hrpzone
 set priority 65
 add interface Eth-Trunk0
#
firewall interzone dmz untrust
  detect ftp
#
 ip route-static 0.0.0.0 0.0.0.0 10.3.1.4
 ip route-static 1.1.1.1 255.255.255.255 NULL0
 ip route-static 1.1.1.2 255.255.255.255 NULL0
 ip route-static 1.1.1.3 255.255.255.255 NULL0
 ip route-static 192.168.1.0 255.255.255.0 10.3.2.4
 ip route-static 192.168.2.0 255.255.255.0 10.3.3.4
# 
 nat address-group addressgroup1 0
 section 0 1.1.1.1 1.1.1.2 
#  
security-policy  
 rule name policy_sec1
  source-zone trust  
  destination-zone untrust
  source-address 192.168.1.0 mask 255.255.255.0
  action permit    
 rule name policy_sec2
  source-zone untrust  
  destination-zone dmz
  destination-address 192.168.2.0 mask 255.255.255.0  
  service http
  service ftp
  profile ips default
  action permit   
#  
nat-policy  
  rule name policy_nat1 
    source-zone trust 
    destination-zone untrust  
    source-address 192.168.1.0 mask 255.255.255.0   
    action nat address-group addressgroup1 
#
return

Script de configuración de CSS:

# ----Traffic diversion configuration----
vlan batch 201 to 205
#
ip vpn-instance dmz
 ipv4-family
  route-distinguisher 200:1
  vpn-target 211:1 export-extcommunity
  vpn-target 211:1 import-extcommunity
#
ip vpn-instance trust
 ipv4-family
  route-distinguisher 100:1
  vpn-target 111:1 export-extcommunity
  vpn-target 111:1 import-extcommunity
#
interface Vlanif201
 ip address 10.3.1.4 255.255.255.0
#
interface Vlanif202
 ip binding vpn-instance trust 
 ip address 10.3.2.4 255.255.255.0
#
interface Vlanif203
  ip binding vpn-instance dmz
 ip address 10.3.3.4 255.255.255.0
#
interface Vlanif204
 ip binding vpn-instance trust 
 ip address 10.1.1.2 255.255.255.0
#
interface Vlanif205
  ip binding vpn-instance dmz
 ip address 10.1.2.2 255.255.255.0
#
interface Eth-Trunk2
 description To_TRUST
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 204
#
interface Eth-Trunk3
 description To_DMZ
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 205
#
interface Eth-Trunk5
 description To_NGFW_Module_A
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 201 to 205
#
interface Eth-Trunk6
 description To_NGFW_Module_B
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 201 to 205
#
interface XGigabitEthernet1/1/0/0
  eth-trunk 5
#
interface XGigabitEthernet1/1/0/1
  eth-trunk 5
#
interface XGigabitEthernet2/1/0/0
  eth-trunk 6
#
interface XGigabitEthernet2/1/0/1
  eth-trunk 6
#
ip route-static 1.1.1.1 255.255.255.255 10.3.1.1
ip route-static 1.1.1.2 255.255.255.255 10.3.1.1
ip route-static 1.1.1.3 255.255.255.255 10.3.1.1
ip route-static vpn-instance trust 0.0.0.0 0.0.0.0 10.3.2.1 
ip route-static vpn-instance trust 192.168.2.0 255.255.255.0 vpn-instance dmz 10.1.2.1
ip route-static vpn-instance dmz 0.0.0.0 0.0.0.0 10.3.3.1
ip route-static vpn-instance dmz 192.168.1.0 255.255.255.0 vpn-instance trust 10.1.1.1
#
return
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15597

Descargas: 131

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente