No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Espera en caliente activo/standby de Capa 3 en los módulos de NGFW instalados en un Switch de clúster donde se implementa el desvío de tráfico basado en PBR

Espera en caliente activo/standby de Capa 3 en los módulos de NGFW instalados en un Switch de clúster donde se implementa el desvío de tráfico basado en PBR

Requisitos de servicio

Como se muestra en Figura 1-6, dos switches se despliegan en un CSS y dos módulos de NGFW se instalan en la ranura 1 en los dos switches. Los dos módulos de NGFW son necesarios para implementar Espera en caliente y realizar la detección de seguridad en el tráfico que pasa a través de los switches. Dos módulos de NGFW funcionan en modo activo/standby.

Este ejemplo utiliza los módulos de NGFW que ejecutan V100R001C30 y switches que ejecutan V200R008C00. Para los ejemplos de configuración de los módulos de NGFW que ejecutan otras versiones, consulteDeployment Guide.

Figura 1-6  Red para el despliegue del Módulo de dual NGFW de Capa 3 y CSS de switch
NOTA:

El módulo de NGFW tiene dos interfaces fijas de Ethernet internas: GE1/0/0 a GE1/0/1. La numeración de las interfaces de Ethernet internas en el switch está determinada por la ranura en la que está instalado el Módulo de NGFW. Por ejemplo, cuando el Módulo de NGFW está instalado en la ranura 1 del switch, las interfaces de Ethernet internas utilizadas por el switch son XGE1/1/0/0 a XGE1/1/0/1.

Eth-Trunk2 y Eth-Trunk3 son interfaces de los switches en CSS.

Planificación de datos

ítem Datos Descripción

Espera en caliente

NGFW Module_A: active

NGFW Module_B: standby

-

NAT

NAT de origen

Tipo de NAT: PAT

Grupo de direcciones: 1.1.1.1 a 1.1.1.2

La dirección de origen se traslada automáticamente para el acceso a Internet desde una subred privada especificada.

Servidor de NAT

Dirección global: 1.1.1.3

Dirección interna: 192.168.2.8

Una dirección de servidor específica se traslada de una dirección privada a una dirección pública para que accedan los usuarios de Internet.

Política de seguridad

Política 1: policy_sec1

Zona de seguridad de origen: Trust

Zona de seguridad de destino: Untrust

Dirección IP de origen: 192.168.1.0

Acción: permit

Los usuarios en la zona Trust (que residen en 192.168.1.0/24) pueden acceder a Internet.

Política 2: policy_sec2

Zona de seguridad de origen: Untrust

Zona de seguridad de destino: DMZ

Dirección IP de destino: 192.168.2.0

Acción: permit

Los usuarios de extranet pueden acceder a DMZ (que reside en 192.168.2.0/24) y se implementa la prevención de intrusiones.

Solución del despliegue

  1. Figura 1-6 puede ser abstraído como Figura 1-7. Puede entender el mapeo entre las dos figuras en función de los números de interfaz y las direcciones reales del tráfico.

    Como se muestra en Figura 1-7, una ruta predeterminada (siguiente salto: VLANIF201) a la red pública, una ruta específica (siguiente salto: VLANIF202) a la zona Trust, y una ruta específica (siguiente salto: VLANIF203) a la DMZ debe configurarse en los módulos de NGFW. PBR debe configurarse en los switches para dirigir el tráfico a los firewalls.

    Figura 1-7  Configuración de VRRP en los módulos de NGFW y PBR en los switches
    NOTA:

    Figura 1-7 enumera solo las interfaces de switch involucradas en la conexión con los módulos de NGFW.

  2. Especifique Eth-trunk0 como la interfaz de latido y habilite Espera en caliente en cada módulo de NGFW.

  3. Configure las funciones de seguridad, como políticas de seguridad, políticas de NAT e IPS en NGFW Module_A. Module_A de NGFW sincronizará automáticamente sus configuraciones a NGFW Module_B.

Procedimiento

  1. Complete las configuraciones de la interfaz y de red básica en los módulos de NGFW.

    # Configure el nombre del dispositivo en NGFW Module_A.

    <sysname> system-view
    [sysname] sysname Module_A

    # Configure las direcciones IP para las interfaces en NGFW Module_A.

    [Module_A] interface Eth-trunk 1
    [Module_A-Eth-Trunk1] quit
    [Module_A] interface GigabitEthernet 1/0/0
    [Module_A-GigabitEthernet1/0/0] Eth-Trunk 1
    [Module_A-GigabitEthernet1/0/0] quit
    [Module_A] interface GigabitEthernet 1/0/1
    [Module_A-GigabitEthernet1/0/1] Eth-Trunk 1
    [Module_A-GigabitEthernet1/0/1] quit
    [Module_A] interface Eth-trunk 1.1
    [Module_A-Eth-Trunk1.1] ip address 10.3.1.2 24
    [Module_A-Eth-Trunk1.1] vlan-type dot1q 201
    [Module_A-Eth-Trunk1.1] quit
    [Module_A] interface Eth-trunk 1.2
    [Module_A-Eth-Trunk1.2] ip address 10.3.2.2 24
    [Module_A-Eth-Trunk1.2] vlan-type dot1q 202
    [Module_A-Eth-Trunk1.2] quit
    [Module_A] interface Eth-trunk 1.3
    [Module_A-Eth-Trunk1.3] ip address 10.3.3.2 24
    [Module_A-Eth-Trunk1.3] vlan-type dot1q 203
    [Module_A-Eth-Trunk1.3] quit
    [Module_A] interface Eth-Trunk 0
    [Module_A-Eth-Trunk0] ip address 10.10.0.1 24
    [Module_A-Eth-Trunk0] quit
    [Module_A] interface GigabitEthernet 0/0/1
    [Module_A-GigabitEthernet0/0/1] Eth-Trunk 0
    [Module_A-GigabitEthernet0/0/1] quit
    [Module_A] interface GigabitEthernet 0/0/2
    [Module_A-GigabitEthernet0/0/2] Eth-Trunk 0
    [Module_A-GigabitEthernet0/0/2] quit

    # Asigne las interfaces de NGFW Module_A a las zonas de seguridad.

    [Module_A] firewall zone untrust
    [Module_A-zone-untrust] add interface Eth-trunk 1.1
    [Module_A-zone-untrust] quit
    [Module_A] firewall zone trust
    [Module_A-zone-trust] add interface Eth-trunk 1.2
    [Module_A-zone-trust] quit
    [Module_A] firewall zone dmz
    [Module_A-zone-dmz] add interface Eth-trunk 1.3
    [Module_A-zone-dmz] quit
    [Module_A] firewall zone name hrpzone
    [Module_A-zone-hrpzone] set priority 65
    [Module_A-zone-hrpzone] add interface Eth-Trunk 0
    [Module_A-zone-hrpzone] quit

    # Configure el nombre del dispositivo en NGFW Module_B.

    <sysname> system-view
    [sysname] sysname Module_B

    # Configure las direcciones IP para las interfaces en NGFW Module_B.

    [Module_B] interface Eth-trunk 1
    [Module_B-Eth-Trunk1] quit
    [Module_B] interface GigabitEthernet 1/0/0
    [Module_B-GigabitEthernet1/0/0] Eth-Trunk 1
    [Module_B-GigabitEthernet1/0/0] quit
    [Module_B] interface GigabitEthernet 1/0/1
    [Module_B-GigabitEthernet1/0/1] Eth-Trunk 1
    [Module_B-GigabitEthernet1/0/1] quit
    [Module_B] interface Eth-trunk 1.1
    [Module_B-Eth-Trunk1.1] ip address 10.3.1.3 24
    [Module_B-Eth-Trunk1.1] vlan-type dot1q 201
    [Module_B-Eth-Trunk1.1] quit
    [Module_B] interface Eth-trunk 1.2
    [Module_B-Eth-Trunk1.2] ip address 10.3.2.3 24
    [Module_B-Eth-Trunk1.2] vlan-type dot1q 202
    [Module_B-Eth-Trunk1.2] quit
    [Module_B] interface Eth-trunk 1.3
    [Module_B-Eth-Trunk1.3] ip address 10.3.3.3 24
    [Module_B-Eth-Trunk1.3] vlan-type dot1q 203
    [Module_B-Eth-Trunk1.3] quit
    [Module_B] interface Eth-Trunk 0
    [Module_B-Eth-Trunk0] ip address 10.10.0.2 24
    [Module_B-Eth-Trunk0] quit
    [Module_B] interface GigabitEthernet 0/0/1
    [Module_B-GigabitEthernet0/0/1] Eth-Trunk 0
    [Module_B-GigabitEthernet0/0/1] quit
    [Module_B] interface GigabitEthernet 0/0/2
    [Module_B-GigabitEthernet0/0/2] Eth-Trunk 0
    [Module_B-GigabitEthernet0/0/2] quit

    # Asigne las interfaces de NGFW Module_B a las zonas de seguridad.

    [Module_B] firewall zone untrust
    [Module_B-zone-untrust] add interface Eth-trunk 1.1
    [Module_B-zone-untrust] quit
    [Module_B] firewall zone trust
    [Module_B-zone-trust] add interface Eth-trunk 1.2
    [Module_B-zone-trust] quit
    [Module_B] firewall zone dmz
    [Module_B-zone-dmz] add interface Eth-trunk 1.3
    [Module_B-zone-dmz] quit
    [Module_B] firewall zone name hrpzone
    [Module_B-zone-hrpzone] set priority 65
    [Module_B-zone-hrpzone] add interface Eth-Trunk 0
    [Module_B-zone-hrpzone] quit

  2. Cree las rutas estáticas en los módulos de NGFW.

    # En NGFW Module_A, configure una ruta estática de vínculo ascendente (ruta predeterminada) con la dirección del siguiente salto configurada en la dirección IP de VLANIF201.

    [Module_A] ip route-static 0.0.0.0 0.0.0.0 10.3.1.4

    # En NGFW Module_A, configure una ruta estática de vínculo descendente a la zona Trust, con la dirección de destino que es la dirección de la zona Trust y la dirección del siguiente salto que es la dirección de VLANIF202 en el switch conectado.

    [Module_A] ip route-static 192.168.1.0 255.255.255.0 10.3.2.4

    # En NGFW Module_A, configure una ruta estática de vínculo descendente a la DMZ, con la dirección de destino que es la dirección de la DMZ y la dirección de siguiente salto que es la dirección de VLANIF203 en el switch conectado.

    [Module_A] ip route-static 192.168.2.0 255.255.255.0 10.3.3.4

    # En NGFW Module_A, configure una ruta de agujero negro en una dirección en el grupo de direcciones de NAT de origen para evitar bucles de enrutamiento. En este ejemplo, el rango de direcciones es 1.1.1.1-1.1.1.2 en el grupo de direcciones de NAT de origen.

    [Module_A] ip route-static 1.1.1.1 255.255.255.255 null 0
    [Module_A] ip route-static 1.1.1.2 255.255.255.255 null 0

    # En NGFW Module_A, configure una ruta de agujero negro en la dirección global del servidor de NAT para evitar los bucles de enrutamiento. En este ejemplo, la dirección global del servidor de NAT es 1.1.1.3.

    [Module_A] ip route-static 1.1.1.3 255.255.255.255 null 0

    # En NGFW Module_B, configure una ruta estática de vínculo ascendente (ruta predeterminada) con la dirección del siguiente salto configurada en la dirección IP de VLANIF201 en el switch conectado.

    [Module_B] ip route-static 0.0.0.0 0.0.0.0 10.3.1.4

    # En NGFW Module_B, configure una ruta estática de vínculo descendente a la zona Trust, con la dirección de destino que es la dirección de la zona Trust y la dirección del siguiente salto que es la dirección de VLANIF202 en el switch conectado.

    [Module_B] ip route-static 192.168.1.0 255.255.255.0 10.3.2.4

    # En NGFW Module_B, configure una ruta estática de vínculo descendente a la DMZ, con la dirección de destino que es la dirección de la DMZ y la dirección de siguiente salto que es la dirección de VLANIF203 en el switch conectado.

    [Module_B] ip route-static 192.168.2.0 255.255.255.0 10.3.3.4

    # En NGFW Module_B, configure una ruta de agujero negro en una dirección en el grupo de direcciones NAT de origen para evitar bucles de enrutamiento. En este ejemplo, el rango de direcciones es 1.1.1.1-1.1.1.2 en el grupo de direcciones de NAT de origen.

    [Module_B] ip route-static 1.1.1.1 255.255.255.255 null 0
    [Module_B] ip route-static 1.1.1.2 255.255.255.255 null 0

    # En NGFW Module_B, configure una ruta de agujero negro en la dirección global del servidor de NAT para evitar los bucles de enrutamiento. En este ejemplo, la dirección global del servidor de NAT es 1.1.1.3.

    [Module_B] ip route-static 1.1.1.3 255.255.255.255 null 0

  3. Configure Espera en caliente en los módulos de NGFW.

    # Configure los grupos VRRP en NGFW Module_A.

    [Module_A] interface Eth-trunk1.1
    [Module_A-Eth-Trunk1.1] vrrp vrid 1 virtual-ip 10.3.1.1 active
    [Module_A-Eth-Trunk1.1] quit
    [Module_A] interface Eth-trunk1.2
    [Module_A-Eth-Trunk1.2] vrrp vrid 2 virtual-ip 10.3.2.1 active
    [Module_A-Eth-Trunk1.2] quit
    [Module_A] interface Eth-trunk1.3
    [Module_A-Eth-Trunk1.3] vrrp vrid 3 virtual-ip 10.3.3.1 active
    [Module_A-Eth-Trunk1.3] quit

    # Especifique la interfaz de latido y habilite Espera en caliente en NGFW Module_A.

    [Module_A] hrp interface Eth-Trunk 0
    [Module_A] hrp enable

    # Configure los grupos VRRP en NGFW Module_B.

    [Module_B] interface Eth-trunk1.1
    [Module_B-Eth-Trunk1.1] vrrp vrid 1 virtual-ip 10.3.1.1 standby
    [Module_B-Eth-Trunk1.1] quit
    [Module_B] interface Eth-trunk1.2
    [Module_B-Eth-Trunk1.2] vrrp vrid 2 virtual-ip 10.3.2.1 standby
    [Module_B-Eth-Trunk1.2] quit
    [Module_B] interface Eth-trunk1.3
    [Module_B-Eth-Trunk1.3] vrrp vrid 3 virtual-ip 10.3.3.1 standby
    [Module_B-Eth-Trunk1.3] quit

    # Especifique la interfaz de latido y habilite Espera en caliente en NGFW Module_B.

    [Module_B] hrp interface Eth-Trunk 0
    [Module_B] hrp enable
    [Module_B] hrp standby-device  //Este comando solo se requiere en las versiones anteriores a V100R001C30SPC300.
    NOTA:

    Después de configurar Espera en caliente, las configuraciones y sesiones en el dispositivo activo se sincronizan al dispositivo standby; por lo tanto, solo necesita realizar las siguientes configuraciones en el NGFW Module_A activo.

    Antes de configurar la prevención de intrusiones, asegúrese de que se cargue la licencia requerida y la base de datos de firmas de prevención intrusas sea la última versión.

    Al configurar la prevención de intrusiones, utilice el perfil de prevención de intrusiones predeterminada default.

  4. Configure los servicios de seguridad en los módulos de NGFW.

    # En NGFW Module_A, configure una política de seguridad para permitir que los usuarios en la zona Trust (segmento de red 192.168.1.0/24) accedan al Internet.

    HRP_A[Module_A] security-policy
    HRP_A[Module_A-policy-security] rule name policy_sec1
    HRP_A[Module_A-policy-security-rule-policy_sec1] source-zone trust 
    HRP_A[Module_A-policy-security-rule-policy_sec1] destination-zone untrust
    HRP_A[Module_A-policy-security-rule-policy-sec1] source-address 192.168.1.0 24
    HRP_A[Module_A-policy-security-rule-policy_sec1] action permit
    HRP_A[Module_A-policy-security-rule-policy_sec1] quit

    # En NGFW Module_A, configure una política de seguridad para permitir que los usuarios de extranet accedan a la DMZ (segmento de red 192.168.2.0/24) y configure la prevención de intrusiones.

    HRP_A[Module_A-policy-security] rule name policy_sec2
    HRP_A[Module_A-policy-security-rule-policy_sec2] source-zone untrust 
    HRP_A[Module_A-policy-security-rule-policy_sec2] destination-zone dmz
    HRP_A[Module_A-policy-security-rule-policy-sec2] destination-address 192.168.2.0 24
    HRP_A[Module_A-policy-security-rule-policy_sec2] service http ftp
    HRP_A[Module_A-policy-security-rule-policy_sec2] profile ips default
    HRP_A[Module_A-policy-security-rule-policy_sec2] action permit
    HRP_A[Module_A-policy-security-rule-policy_sec2] quit
    HRP_A[Module_A-policy-security] quit
    

    # Configure ASPF en NGFW Module_A. FTP se usa como un ejemplo.

    HRP_A[Module_A] firewall interzone untrust dmz
    HRP_A[Module_A-interzone-dmz-untrust] detect ftp
    HRP_A[Module_A-interzone-dmz-untrust] quit
    

    # Configure un grupo de direcciones de NAT.

    HRP_A[Module_A] nat address-group addressgroup1
    HRP_A[Module_A-address-group-addressgroup1] section 0 1.1.1.1 1.1.1.2
    HRP_A[Module_A-address-group-addressgroup1] quit

    # Configure una política de NAT de origen para el acceso a Internet desde la subred privada especificada.

    HRP_A[Module_A] nat-policy
    HRP_A[Module_A-policy-nat] rule name policy_nat1
    HRP_A[Module_A-policy-nat-rule-policy_nat1] source-zone trust
    HRP_A[Module_A-policy-nat-rule-policy_nat1] destination-zone untrust
    HRP_A[Module_A-policy-nat-rule-policy_nat1] source-address 192.168.1.0 24
    HRP_A[Module_A-policy-nat-rule-policy_nat1] action nat address-group addressgroup1 
    HRP_A[Module_A-policy-nat-rule-policy_nat1] quit
    HRP_A[Module_A-policy-nat] quit

    # Configure la función del servidor de NAT para trasladar la dirección privada de un servidor específico en la DMZ a una dirección pública para el acceso del usuario. En este ejemplo, la dirección privada 192.168.2.8:80 del servidor web en la DMZ se traslada a la dirección pública 1.1.1.3:8000.

    HRP_A[Module_A] nat server policy_web protocol tcp global 1.1.1.3 8000 inside 192.168.2.8 80

    # Guarde las configuraciones en NGFW Module_A y NGFW Module_B.

    HRP_A<Module_A> save
    The current configurations will be written to the device.
    Are you sure?[Y/N] y
    Now saving the current configuration to the device......
    Info:The Current Configuration was saved to the device successfully
    HRP_S<Module_B> save
    The current configurations will be written to the device.
    Are you sure?[Y/N] y
    Now saving the current configuration to the device......
    Info:The Current Configuration was saved to the device successfully

  5. Configure los switches de core para formar un CSS.
    1. Instale el hardware y conecte los cables. Para más detalles, consulte CSS Installation Guide.
    2. Establezca el modo de conexión de CSS (como el modo de conexión de la tarjeta de CSS), ID de CSS y prioridad de CSS.

      # Configure el CSS en SwitchA. En el ejemplo, el modo de conexión de CSS es el modo de conexión de tarjeta de CSS, el ID de CSS es 1 y la prioridad de CSS es 100.

      <Huawei> system-view
      [Huawei] sysname SwitchA
      [SwitchA] set css mode css-card                //Establezca el modo de conexión CSS. El modo predeterminado es el modo de conexión de la tarjeta CSS.
      [SwitchA] set css id 1                          //Establezca la ID de CSS. El valor predeterminado es 1.
      [SwitchA] set css priority 100                 //Establece la prioridad de CSS. El valor predeterminado es 1.
      

      # Configure el CSS en SwitchB. En el ejemplo, el modo de conexión de CSS es el modo de conexión de tarjeta de CSS, el ID de CSS es 2 y la prioridad de CSS es 10.

      <Huawei> system-view
      [Huawei] sysname SwitchB
      [SwitchB] set css mode css-card
      [SwitchB] set css id 2
      [SwitchB] set css priority 10
      

    3. Habilite la función de CSS.

      # Para usar SwitchA como el switch activo, habilite CSS en SwitchA y luego reinicie SwitchA.

      [SwitchA] css enable
      Warning: The CSS configuration will take effect only after the system is rebooted. T
      he next CSS mode is CSS card. Reboot now? [Y/N]:y

      # Habilite CSS en SwitchB y luego reinicie SwitchB.

      [SwitchB] css enable
      Warning: The CSS configuration will take effect only after the system is rebooted. T
      he next CSS mode is CSS card. Reboot now? [Y/N]:y

    4. Compruebe si el CSS está establecido.

      # Inicie sesión en el CSS desde el puerto de la consola de cualquier MPU y ejecute el siguiente comando para ver el estado de CSS.

      <SwitchA> display css status
      CSS Enable switch On                                                            
                                                                                      
      Chassis Id   CSS Enable   CSS Status      CSS Mode    Priority    Master Force  
      ------------------------------------------------------------------------------  
      1            On           Master          CSS card    100         Off           
      2            On           Standby         CSS card    10          Off           

      Si se muestran los ID de CSS, las prioridades de CSS, el estado de habilitación de CSS y el estado de CSS de los dos switches de miembro, como se muestra en la información anterior, se ha establecido el CSS.

      Se recomienda configurar MAD para minimizar el impacto de una división de CSS en los servicios. Las configuraciones detalladas no se describirán aquí.

    5. Cambie el nombre del sistema de clúster a CSS.

      <SwitchA> system-view
      [SwitchA] sysname CSS
      [CSS]

  6. Configure las interfaces y las VLAN para switches. Este ejemplo describe cómo configurar la interconexión entre el switch y los módulos de NGFW.

    [CSS] vlan batch 201 to 203          //Cree las VLAN.
    [CSS] interface eth-trunk 5                
    [CSS-Eth-Trunk5] description To_NGFW_Module_A
    [CSS-Eth-Trunk5] trunkport xgigabitethernet 1/1/0/0 to 1/1/0/1  //Cree Eth-Trunk5 en el CSS y agregue las interfaces de Ethernet interna a Eth-Trunk5.
    [CSS-Eth-Trunk5] port link-type trunk                      
    [CSS-Eth-Trunk5] undo port trunk allow-pass vlan 1
    [CSS-Eth-Trunk5] port trunk allow-pass vlan 201 to 203  //Configure Eth-Trunk5 para permitir el tráfico desde las VLAN 201, 202 y 203.
    [CSS-Eth-Trunk5] quit   
    [CSS] interface eth-trunk 6                
    [CSS-Eth-Trunk6] description To_NGFW_Module_B
    [CSS-Eth-Trunk6] trunkport xgigabitethernet 2/1/0/0 to 2/1/0/1  //Cree Eth-Trunk6 en el CSS y agregue las interfaces de Ethernet interna a Eth-Trunk6.
    [CSS-Eth-Trunk6] port link-type trunk                      
    [CSS-Eth-Trunk6] undo port trunk allow-pass vlan 1
    [CSS-Eth-Trunk6] port trunk allow-pass vlan 201 to 203  //Configure Eth-Trunk6 para permitir el tráfico desde las VLAN 201, 202 y 203.
    [CSS-Eth-Trunk6] quit                    
    [CSS] interface vlanif 201
    [CSS-Vlanif201] ip address 10.3.1.4 24
    [CSS-Vlanif201] quit                       //Configure una dirección IP para VLANIF201.
    [CSS] interface vlanif 202
    [CSS-Vlanif202] ip address 10.3.2.4 24
    [CSS-Vlanif202] quit                       //Configure una dirección IP para VLANIF202.
    [CSS] interface vlanif 203
    [CSS-Vlanif203] ip address 10.3.3.4 24
    [CSS-Vlanif203] quit                       //Configure una dirección IP para VLANIF203.
    

  7. Configure el desvío de tráfico en el switch. Este ejemplo describe cómo configurar la interconexión entre el switch y los módulos de NGFW.

    [CSS] acl 3001  //Cree ACL3001.
    [CSS-acl-adv-3001] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255  //Configure una regla para ACL3001: segmento de red de origen 192.168.1.0 y segmento de red de destino 192.168.2.0.
    [CSS-acl-adv-3001] rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255  //Configure una regla para ACL3001: segmento de red de origen 192.168.2.0 y segmento de red de destino 192.168.1.0.
    [CSS-acl-adv-3001] quit
    [CSS] traffic classifier c1 precedence 5  //Cree el clasificador de tráfico c1.
    [CSS-classifier-c1] if-match acl 3001  //Coincida los paquetes intercambiados entre la zona Trust y DMZ con la regla ACL3001.
    [CSS-classifier-c1] quit
    [CSS] traffic behavior b1  //Cree el comportamiento de tráfico b1.
    [CSS-behavior-b1] permit  //Permita los paquetes coincidentes.
    [CSS-behavior-b1] quit
    [CSS] acl 3002  //Cree ACL3002.
    [CSS-acl-adv-3002] rule 5 permit ip source 192.168.1.0 0.0.0.255  //Configure una regla para ACL3002: segmento de red de origen 192.168.1.0.
    [CSS-acl-adv-3002] quit
    [CSS] traffic classifier c2 precedence 10  //Cree el clasificador de tráfico c2.
    [CSS-classifier-c2] if-match acl 3002  //Coincida los paquetes del segmento de red 192.168.1.0, es decir, los paquetes de la zona Trust a Internet, con ACL3002.
    [CSS-classifier-c2] quit
    [CSS] traffic behavior b2  //Cree el comportamiento de tráfico b2.
    [CSS-behavior-b2] redirect ip-nexthop 10.3.2.1  //Redirija los paquetes coincidentes a la dirección 10.3.2.1, es decir, al módulo de NGFW conectado.
    [CSS-behavior-b2] quit
    [CSS] traffic policy p1  //Cree una política de tráfico p1.
    [CSS-trafficpolicy-p1] classifier c1 behavior b1  //Vincule el clasificador de tráfico c1 y el comportamiento de tráfico b1 con la política de tráfico p1. Todos los paquetes intercambiados entre la zona Trust y DMZ son reenviados directamente por el switch, sin ser enviados al Módulo de NGFW.
    [CSS-trafficpolicy-p1] classifier c2 behavior b2  //Vincule el clasificador de tráfico c2 y el comportamiento de tráfico b2 con la política de tráfico p1. Todos los paquetes de la zona de Trust a Internet se redirigen al Módulo de NGFW.
    [CSS-trafficpolicy-p1] quit
    [CSS] interface eth-trunk 2  //Acceda a la vista de interfaz que conecta el switch a la zona Trust.
    [CSS-Eth-Trunk2] traffic-policy p1 inbound  //Aplique la política de tráfico P1 en la dirección de entrada de la interfaz que conecta el switch a la zona Trust.
    [CSS-Eth-Trunk2] quit
    [CSS] acl 3003  //Cree ACL3003.
    [CSS-acl-adv-3003] rule 5 permit ip source 192.168.2.0 0.0.0.255  //Configure una regla para ACL3003: segmento de red de origen 192.168.2.0.
    [CSS-acl-adv-3003] quit
    [CSS] traffic classifier c3 precedence 15  //Cree el clasificador de tráfico c3.
    [CSS-classifier-c3] if-match acl 3003  //Coincida todos los paquetes del segmento de red 192.168.2.0, es decir, todos los paquetes de la DMZ a Internet, con la regla ACL3003.
    [CSS-classifier-c3] quit
    [CSS] traffic behavior b3  //Cree el comportamiento de tráfico b3.
    [CSS-behavior-b3] redirect ip-nexthop 10.3.3.1  //Redirija los paquetes coincidentes a la dirección 10.3.3.1, es decir, al módulo de NGFW.
    [CSS-behavior-b3] quit
    [CSS] traffic policy p3  //Cree una política de tráfico p3.
    [CSS-trafficpolicy-p3] classifier c1 behavior b1  //Vincule el clasificador de tráfico c1 y el comportamiento de tráfico b1 con la política de tráfico p3. Todos los paquetes intercambiados entre la zona Trust y DMZ son reenviados directamente por el switch, sin ser enviados al Módulo de NGFW.
    [CSS-trafficpolicy-p3] classifier c3 behavior b3   //Vincule el clasificador de tráfico c3 y el comportamiento de tráfico b3 con la política de tráfico p3. Todo el tráfico desde la DMZ a Internet se dirige al Módulo de NGFW.
    [CSS-trafficpolicy-p3] quit
    [CSS] interface eth-trunk 3  //Acceda a la vista de la interfaz que conecta el switch a la zona Trust.
    [CSS-Eth-Trunk3] traffic-policy p3 inbound  //Aplique la política de tráfico p3 en la dirección de entrada de la interfaz que conecta el switch a la DMZ.
    [CSS-Eth-Trunk3] quit
    [CSS] ip route-static 1.1.1.1 32 10.3.1.1  //Configure una ruta estática a una dirección en el grupo de direcciones NAT del NGFW y configure la dirección del siguiente salto de la ruta a la dirección IP del grupo VRRP de vínculo ascendente en el Módulo de NGFW.
    [CSS] ip route-static 1.1.1.2 32 10.3.1.1  //Configure una ruta estática a una dirección en el grupo de direcciones NAT del NGFW y configure la dirección del siguiente salto de la ruta a la dirección IP del grupo VRRP de vínculo ascendente en el Módulo de NGFW.
    [CSS] ip route-static 1.1.1.3 32 10.3.1.1  //Configure una ruta estática a la dirección global del servidor NAT configurado en el Módulo de NGFW y configure la dirección del siguiente salto de la ruta a la dirección IP del grupo VRRP de vínculo ascendente en el Módulo de NGFW.
    
    NOTA:

    En este ejemplo, las funciones del servidor NAT y NAT de origen se configuran en el Módulo de NGFW. Para el switch, la dirección de destino del tráfico enviado desde la red pública a la red privada es una dirección posterior a NAT. Por lo tanto, puede configurar una ruta estática en el switch para dirigir el tráfico enviado desde la dirección pública a la red privada hacia el Módulo de NGFW.

    Si no se configura ninguna función NAT de origen o servidor NAT en el Módulo de NGFW, para el switch, la dirección de destino del tráfico enviado desde la red pública a la red privada sigue siendo una red privada. En este caso, debe configurar una política de tráfico en la interfaz de vínculo ascendente del switch para dirigir el tráfico al Módulo de NGFW.

    [CSS] acl 3004  //Cree ACL3004.
    [CSS-acl-adv-3004] rule 5 permit ip destination 192.168.1.0 0.0.0.255  //Configure una regla para ACL3004: segmento de red de destino 192.168.1.0.
    [CSS-acl-adv-3004] rule 10 permit ip destination 192.168.2.0 0.0.0.255  //Configure una regla para ACL3004: segmento de red de destino 192.168.2.0.
    [CSS-acl-adv-3004] quit
    [CSS] traffic classifier c4 precedence 20  //Cree el clasificador de tráfico c4.
    [CSS-classifier-c4] if-match acl 3004   //Coincida los paquetes cuyos segmentos de red de destino sean 192.168.1.0 y 192.168.2.0, es decir, todos los paquetes de Internet a la intranet, con la regla ACL3004.
    [CSS-classifier-c4] quit
    [CSS] traffic behavior b4  //Cree el comportamiento de tráfico b4.
    [CSS-behavior-b4] redirect ip-nexthop 10.3.1.1  //Redirija los paquetes coincidentes a la dirección 10.3.1.1, es decir, al Módulo de NGFW.
    [CSS-behavior-b4] quit
    [CSS] traffic policy p4  //Cree una política de tráfico p4.
    [CSS-trafficpolicy-p4] classifier c4 behavior b4 precedence 20  //Vincule el clasificador de tráfico c4 y el comportamiento de tráfico b4 con la política de tráfico p4. Todo el tráfico de Internet a la intranet se dirige al Módulo de NGFW.
    [CSS-trafficpolicy-p4] quit
    [CSS] interface eth-trunk 4  //Acceda a la vista de la interfaz que conecta el switch a Internet.
    [CSS-Eth-Trunk4] traffic-policy p4 inbound  //Aplique la política de tráfico p4 en la dirección de entrada de la interfaz que conecta el switch a Internet.
    [CSS-Eth-Trunk4] quit
    

Verificación

  1. Ejecute el comando display hrp state en NGFW Module_A para comprobar el estado actual de HRP. Si se muestra el siguiente resultado, se establece exitosamente una relación de HRP.

    HRP_A[Module_A] display hrp state
     The firewall's config state is: ACTIVE                                         
                                                                                    
     Backup channel usage: 0.01%                                                    
     Time elapsed after the last switchover: 0 days, 0 hours, 1 minutes             
     Current state of virtual routers configured as active:                         
                         Eth-Trunk1.3    vrid   3 : active
               (GigabitEthernet1/0/0)             : up  
               (GigabitEthernet1/0/1)             : up  
                         Eth-Trunk1.2    vrid   2 : active
               (GigabitEthernet1/0/0)             : up  
               (GigabitEthernet1/0/1)             : up  
                         Eth-Trunk1.1    vrid   1 : active
               (GigabitEthernet1/0/0)             : up  
               (GigabitEthernet1/0/1)             : up                               
    
  2. Compruebe si el acceso desde la intranet a Internet es exitoso y compruebe la tabla de sesiones de cada Módulo de NGFW.

    HRP_A[Module_A] display firewall session table
    Current Total Sessions : 1
      http  VPN: public --> public 192.168.1.8:22048[1.1.1.1:2106] --> 3.3.3.3:80
    HRP_S[Module_B] display firewall session table
    Current Total Sessions : 1
      http  VPN: public --> public Remote 192.168.1.8:22048[1.1.1.1:2106] --> 3.3.3.3:80

    De acuerdo con el resultado anterior, NGFW Module_A ha creado una entrada de sesión para el acceso desde la intranet a Internet. Existe una entrada de sesión con la etiqueta de Remota en NGFW Module_B, que indica que la copia de seguridad de la sesión es exitosa después de configurar Espera en caliente.

  3. Compruebe si el acceso de Internet a los servidores en la DMZ es exitoso y compruebe la tabla de sesiones de cada Módulo de NGFW.

    HRP_A[Module_A] display firewall session table
    Current Total Sessions : 1
      http  VPN: public --> public 2.2.2.2:11447 --> 1.1.1.3:8000[192.168.2.8:80]
    HRP_S[Module_A] display firewall session table
    Current Total Sessions : 1
      http  VPN: public --> public Remote 2.2.2.2:11447 --> 1.1.1.3:8000[192.168.2.8:80]
  4. Configure un PC en la zona Trust para hacer ping constantemente a la dirección pública y ejecute el comando shutdown en Eth-trunk1 del NGFW Module_A. Luego, compruebe la conmutación de estado del Módulo de NGFW y los paquetes de ping descartados. Si la conmutación de estado es normal, NGFW Module_B se convierte en el activo y carga los servicios. El símbolo del sistema de NGFW Module_B se cambia de HRP_S a HRP_A, y el símbolo del sistema de NGFW Module_A se cambia de HRP_A a HRP_S. No se descartan o se descartan varios paquetes de ping (1 a 3 paquetes, dependiendo de los entornos de red reales).

    Ejecute el comando undo shutdown en Eth-trunk1 del NGFW Module_A y compruebe la conmutación de estado del Módulo de NGFW y los paquetes de ping descartados. Si la conmutación de estado es normal, NGFW Module_A se convierte en el activo y comienza a cargar los servicios después de que expire el retraso de preempción (60 segundos por defecto). El símbolo del sistema de NGFW Module_A se cambia de HRP_S a HRP_A, y el símbolo del sistema de NGFW Module_B se cambia de HRP_A a HRP_S. No se descartan o se descartan varios paquetes de ping (1 a 3 paquetes, dependiendo de los entornos de red reales).

Scripts de configuración

Los scripts de configuración de los módulos de NGFW:

NGFW Module_A NGFW Module_B
#
 sysname Module_A
#
 hrp enable
 hrp interface Eth-Trunk0
#
nat server policy_web protocol tcp global 1.1.1.3 8000 inside 192.168.2.8 www
#
interface Eth-Trunk0
 ip address 10.10.0.1 255.255.255.0
#
interface Eth-Trunk1
 portswitch
 port link-type access
#
interface Eth-Trunk1.1
 vlan-type dot1q 201
 ip address 10.3.1.2 255.255.255.0
 vrrp vrid 1 virtual-ip 10.3.1.1 active
#
interface Eth-Trunk1.2
 vlan-type dot1q 202
 ip address 10.3.2.2 255.255.255.0
 vrrp vrid 2 virtual-ip 10.3.2.1 active
#
interface Eth-Trunk1.3
 vlan-type dot1q 203
 ip address 10.3.3.2 255.255.255.0
 vrrp vrid 3 virtual-ip 10.3.3.1 active
#
interface GigabitEthernet0/0/1
 eth-trunk 0
#
interface GigabitEthernet0/0/2
 eth-trunk 0
#
interface GigabitEthernet1/0/0
 portswitch
 port link-type access
 eth-trunk 1
#
interface GigabitEthernet1/0/1
 portswitch
 port link-type access
 eth-trunk 1
#
firewall zone trust
 set priority 85
 add interface Eth-Trunk1.2
#
firewall zone untrust
 set priority 5   
 add interface Eth-Trunk1.1
#
firewall zone dmz  
 set priority 50   
 add interface Eth-Trunk1.3
#
firewall zone hrpzone
 set priority 65
 add interface Eth-Trunk0
# 
 firewall interzone dmz untrust
  detect ftp
#
 ip route-static 0.0.0.0 0.0.0.0 10.3.1.4
 ip route-static 1.1.1.1 255.255.255.255 NULL0
 ip route-static 1.1.1.2 255.255.255.255 NULL0
 ip route-static 1.1.1.3 255.255.255.255 NULL0
 ip route-static 192.168.1.0 255.255.255.0 10.3.2.4
 ip route-static 192.168.2.0 255.255.255.0 10.3.3.4
# 
 nat address-group addressgroup1 0
 section 0 1.1.1.1 1.1.1.2 
#    
security-policy  
 rule name policy_sec1
  source-zone trust  
  destination-zone untrust
  source-address 192.168.1.0 mask 255.255.255.0
  action permit    
 rule name policy_sec2
  source-zone untrust  
  destination-zone dmz
  destination-address 192.168.2.0 mask 255.255.255.0
  service http
  service ftp
  profile ips default
  action permit    
#  
nat-policy  
  rule name policy_nat1 
    source-zone trust 
    destination-zone untrust  
    source-address 192.168.1.0 mask 255.255.255.0
    action nat address-group addressgroup1 
#
return
#
 sysname Module_B
#
 hrp enable
 hrp interface Eth-Trunk0
 hrp standby-device  //Este comando solo se requiere en las versiones anteriores a V100R001C30SPC300.
#
nat server policy_web protocol tcp global 1.1.1.3 8000 inside 192.168.2.8 www
# 
interface Eth-Trunk0
 ip address 10.10.0.2 255.255.255.0
#
interface Eth-Trunk1
 portswitch
 port link-type access
#
interface Eth-Trunk1.1
 vlan-type dot1q 201
 ip address 10.3.1.3 255.255.255.0
 vrrp vrid 1 virtual-ip 10.3.1.1 standby
#
interface Eth-Trunk1.2
 vlan-type dot1q 202
 ip address 10.3.2.3 255.255.255.0
 vrrp vrid 2 virtual-ip 10.3.2.1 standby
#
interface Eth-Trunk1.3
 vlan-type dot1q 203
 ip address 10.3.3.3 255.255.255.0
 vrrp vrid 3 virtual-ip 10.3.3.1 standby
#
interface GigabitEthernet0/0/1
 eth-trunk 0
#
interface GigabitEthernet0/0/2
 eth-trunk 0
#
interface GigabitEthernet1/0/0
 portswitch
 port link-type access
 eth-trunk 1
#
interface GigabitEthernet1/0/1
 portswitch
 port link-type access
 eth-trunk 1
#
firewall zone trust
 set priority 85
 add interface Eth-Trunk1.2
#
firewall zone untrust
 set priority 5   
 add interface Eth-Trunk1.1
#
firewall zone dmz  
 set priority 50   
 add interface Eth-Trunk1.3
#
firewall zone hrpzone
 set priority 65
 add interface Eth-Trunk0
#
firewall interzone dmz untrust
  detect ftp
#
 ip route-static 0.0.0.0 0.0.0.0 10.3.1.4
 ip route-static 1.1.1.1 255.255.255.255 NULL0
 ip route-static 1.1.1.2 255.255.255.255 NULL0
 ip route-static 1.1.1.3 255.255.255.255 NULL0
 ip route-static 192.168.1.0 255.255.255.0 10.3.2.4
 ip route-static 192.168.2.0 255.255.255.0 10.3.3.4
#
 nat address-group addressgroup1 0
 section 0 1.1.1.1 1.1.1.2 
#     
security-policy  
 rule name policy_sec1
  source-zone trust  
  destination-zone untrust
  source-address 192.168.1.0 mask 255.255.255.0
  action permit    
 rule name policy_sec2
  source-zone untrust  
  destination-zone dmz
  destination-address 192.168.2.0 mask 255.255.255.0
  service http
  service ftp
  profile ips default
  action permit   
# 
 nat-policy  
  rule name policy_nat1 
    source-zone trust 
    destination-zone untrust  
    source-address 192.168.1.0 mask 255.255.255.0
    action nat address-group addressgroup1 
#
return

Script de configuración de CSS:

# ----Traffic diversion configuration----
vlan batch 201 to 203
#
acl number 3001
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
 rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
acl number 3002
 rule 5 permit ip source 192.168.1.0 0.0.0.255
acl number 3003
 rule 5 permit ip source 192.168.2.0 0.0.0.255
acl number 3004
 rule 5 permit destination 192.168.1.0 0.0.0.255
 rule 10 permit destination 192.168.2.0 0.0.0.255
#
traffic classifier c1 operator or precedence 5
 if-match acl 3001
traffic classifier c2 operator or precedence 10
 if-match acl 3002
traffic classifier c3 operator or precedence 15
 if-match acl 3003
traffic classifier c4 operator or precedence 20
 if-match acl 3004
#
traffic behavior b1
 permit
traffic behavior b2
 permit
 redirect ip-nexthop 10.3.2.1
traffic behavior b3
 permit
 redirect ip-nexthop 10.3.3.1
traffic behavior b4
 permit
 redirect ip-nexthop 10.3.1.1
#
traffic policy p1 match-order config
 classifier c1 behavior b1
 classifier c2 behavior b2
traffic policy p3 match-order config
 classifier c1 behavior b1
 classifier c3 behavior b3
traffic policy p4 match-order config
 classifier c4 behavior b4
 #
interface Vlanif201
 ip address 10.3.1.4 255.255.255.0
#
interface Vlanif202
 ip address 10.3.2.4 255.255.255.0
#
interface Vlanif203
 ip address 10.3.3.4 255.255.255.0
#
interface Eth-Trunk2
  traffic-policy p1 inbound
#
interface Eth-Trunk3
  traffic-policy p3 inbound
#
interface Eth-Trunk4
 traffic-policy p4 inbound
#
interface Eth-Trunk5
 description To_NGFW_Module_A
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 201 to 203
#
interface Eth-Trunk6
 description To_NGFW_Module_B
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 201 to 203
#
interface XGigabitEthernet1/1/0/0
  eth-trunk 5
#
interface XGigabitEthernet1/1/0/1
  eth-trunk 5
#
interface XGigabitEthernet2/1/0/0
  eth-trunk 6
#
interface XGigabitEthernet2/1/0/1
  eth-trunk 6
#
ip route-static 1.1.1.1 255.255.255.255 10.3.1.1
ip route-static 1.1.1.2 255.255.255.255 10.3.1.1
ip route-static 1.1.1.3 255.255.255.255 10.3.1.1
#
return
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15606

Descargas: 131

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente