No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para configurar un switch de Capa 2 para trabajar con cortafuegos para acceso de Internet

Ejemplo para configurar un switch de Capa 2 para trabajar con cortafuegos para acceso de Internet

Switch de Capa 2

Los switches de Capa 2 solo realizan el reenvío de la Capa 2 en lugar del reenvío de la Capa 3. Es decir, los switches de Capa 2 solo admiten switches de Capa 2 en lugar de funciones de Capa 3, como el enrutamiento.

Los switches de Capa 2 normalmente se despliegan en la capa de acceso y no pueden funcionar como gateways de los usuarios.

Notas de configuración

Las configuraciones de switch utilizadas en este ejemplo se aplican a todas las versiones de todos los switches de la serie S.

Este ejemplo usa configuraciones de cortafuegos de USG6650 V500R001C60. Para otras configuraciones de cortafuegos, vea la documentación correspondiente.

Requisitos de redes

En Figura 2-17, una compañía tiene múltiples departamentos que pertenecen a diferentes segmentos de red, y cada departamento necesita acceder a Internet. Se requiere que los usuarios accedan a Internet a través del switch de Capa 2 y cortafuegos y que los cortafuegos funcione como el gateway de los usuarios.

Figura 2-17  Configuración de un switch de Capa 2 para trabajar con cortafuegos para acceso de Internet

Hoja de ruta de configuración

La hoja de ruta de la configuración es la siguiente:

  1. Configure la asignación de VLAN basada en la interfaz en el switch para el reenvío de Capa 2.

  2. Configure los cortafuegos como el gateway de los usuarios para implementar el reenvío de Capa 3 a través de segmentos de red por subinterfaces o interfaces VLANIF.

  3. Configure los cortafuegos como el servidor DHCP para asignar direcciones IP a los usuarios.

  4. Configure una política de interconexión de seguridad para los cortafuegos de modo que se puedan reenviar paquetes de diferentes zonas.

  5. Configure la función PAT en los cortafuegos para admitir que los usuarios de la intranet tengan acceso a Internet.

Procedimiento

  1. Configure el switch.

    # Configure las interfaces conectadas a los usuarios.

    <Quidway> system-view
    [Quidway] sysname Switch
    [Switch] vlan batch 2 3
    [Switch] interface gigabitethernet 0/0/2
    [Switch-GigabitEthernet0/0/2] port link-type access   //Establezca el tipo de enlace de la interfaz a access.
    [Switch-GigabitEthernet0/0/2] port default vlan 2   //Agregue la interfaz a VLAN 2.
    [Switch-GigabitEthernet0/0/2] quit
    [Switch] interface gigabitethernet 0/0/3
    [Switch-GigabitEthernet0/0/3] port link-type access
    [Switch-GigabitEthernet0/0/3] port default vlan 3   
    [Switch-GigabitEthernet0/0/3] quit
    

    # Configure la interfaz conectada a los cortafuegos.

    [Switch] interface gigabitethernet 0/0/1
    [Switch-GigabitEthernet0/0/1] port link-type trunk
    [Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 3   //Configure la interfaz como una interfaz Trunk para transmitir paquetes de manera transparente de la VLAN 2 y la VLAN 3.
    [Switch-GigabitEthernet0/0/1] quit
    

  2. Configure los cortafuegos.

    Hay dos métodos disponibles para configurar cortafuegos: uno es para configurar las subinterfaces y el otro es para configurar las interfaces VLANIF.

    • Configure los cortafuegos para terminar las etiquetas de VLAN a través de subinterfaces para implementar el reenvío de Capa 3 por segmentos de red.

      # Configure las subinterfaces para la terminación de la etiqueta de VLAN.

      <USG6600> system-view
      [USG6600] interface gigabitethernet 1/0/1.1
      [USG6600-GigabitEthernet1/0/1.1] vlan-type dot1q 2   
      [USG6600-GigabitEthernet1/0/1.1] ip address 192.168.1.1 24   
      [USG6600-GigabitEthernet1/0/1.1] quit
      [USG6600] interface gigabitethernet 1/0/1.2
      [USG6600-GigabitEthernet1/0/1.2] vlan-type dot1q 3   
      [USG6600-GigabitEthernet1/0/1.2] ip address 192.168.2.1 24   
      [USG6600-GigabitEthernet1/0/1.2] quit
      

      # Configure la función DHCP para asignar direcciones IP a usuarios de la intranet y especifique la dirección del servidor DNS.

      [USG6600] dhcp enable
      [USG6600] interface gigabitethernet 1/0/1.1
      [USG6600-GigabitEthernet1/0/1.1] dhcp select interface   //Habilite la función del servidor DHCP en la interfaz y configúrela para usar un grupo de direcciones de interfaz.
      [USG6600-GigabitEthernet1/0/1.1] dhcp server dns-list 114.114.114.114 223.5.5.5   //La lista DNS configurada 114.114.114.114 es una dirección pública del servidor DNS, que es la misma para los operadores. En la práctica, la dirección de la lista DNS debe configurarse según el DNS asignado a un operador.[USG6600-GigabitEthernet1/0/1.1] quit
      [USG6600] interface gigabitethernet 1/0/1.2
      [USG6600-GigabitEthernet1/0/1.2] dhcp select interface   
      [USG6600-GigabitEthernet1/0/1.2] dhcp server dns-list 114.114.114.114 223.5.5.5   
      [USG6600-GigabitEthernet1/0/1.2] quit
      

      # Configure una dirección IP de interfaz de red pública y una ruta estática.

      [USG6600] interface gigabitethernet 1/0/2
      [USG6600-GigabitEthernet1/0/2] ip address 200.0.0.2 255.255.255.0   //Configure una dirección IP 200.0.0.2 para GE0/0/2 conectado a la red pública.
      [USG6600-GigabitEthernet1/0/2] quit
      [USG6600] ip route-static 0.0.0.0 0.0.0.0 200.0.0.1   //Configure una ruta predeterminada estática con el siguiente salto apuntando a la dirección IP pública 200.0.0.1.
      

      # Configure zonas de seguridad.

      [USG6600] firewall zone trust   //Configura una zona de trust.
      [USG6600-zone-trust] add interface gigabitethernet 1/0/1
      [USG6600-zone-trust] add interface gigabitethernet 1/0/1.1
      [USG6600-zone-trust] add interface gigabitethernet 1/0/1.2
      [USG6600-zone-trust] quit
      [USG6600] firewall zone untrust   //Configure unazona de untrust.
      [USG6600-zone-untrust] add interface gigabitethernet 1/0/2
      [USG6600-zone-untrust] quit
      
      # Configure una política de seguridad para admitir el acceso entre zonas.
      [USG6600] security-policy
      [USG6600-policy-security] rule name policy1
      [USG6600-policy-security-rule-policy1] source-zone trust
      [USG6600-policy-security-rule-policy1] destination-zone untrust
      [USG6600-policy-security-rule-policy1] source-address 192.168.0.0 mask 255.255.0.0
      [USG6600-policy-security-rule-policy1] action permit
      [USG6600-policy-security-rule-policy1] quit
      [USG6600-policy-security] quit
      
      # Configure un grupo de direcciones PAT para admitir el cambio de la dirección de la interfaz.
      [USG6600] nat address-group addressgroup1    
      [USG6600-address-group-addressgroup1] mode pat
      [USG6600-address-group-addressgroup1] route enable
      [USG6600-address-group-addressgroup1] section 0 200.0.0.2 200.0.0.2    //Dirección IP pública traducida
      [USG6600-address-group-addressgroup1] quit
      
      # Configure una política PAT para que las direcciones IP originales se cambian automáticamente cuando los dispositivos en un segmento de red específico de una red interna accedan a Internet.
      [USG6600] nat-policy    
      [USG6600-policy-nat] rule name policy_nat1
      [USG6600-policy-nat-rule-policy_nat1] source-zone trust
      [USG6600-policy-nat-rule-policy_nat1] destination-zone untrust
      [USG6600-policy-nat-rule-policy_nat1] source-address 192.168.0.0 mask 255.255.0.0   //Dirección IP de origen que se puede traducir usando PAT
      [USG6600-policy-nat-rule-policy_nat1] action nat address-group addressgroup1
      [USG6600-policy-nat-rule-policy_nat1] quit
      [USG6600-policy-nat] quit
      [USG6600] quit
      
    • Configure las interfaces VLANIF en los cortafuegos para implementar el reenvío de Capa 3 a través de segmentos de red.

      # Configure las interfaces VLANIF.

      <USG6600> system-view
      [USG6600] vlan batch 2 3
      [USG6600] interface gigabitethernet 1/0/1
      [USG6600-GigabitEthernet1/0/1] portswitch   //Cambie la interfaz Ethernet del modo de Capa 3 al modo de Capa 2. Si ha funcionado en el modo de Capa 2, omita este paso.
      [USG6600-GigabitEthernet1/0/1] port link-type hybrid
      [USG6600-GigabitEthernet1/0/1] port hybrid tagged vlan 2 to 3
      [USG6600-GigabitEthernet1/0/1] quit
      [USG6600] interface vlanif 2
      [USG6600-Vlanif2] ip address 192.168.1.1 24   //Configure la dirección IP de VLANIF2 como la dirección del gateway de PC1.
      [USG6600-Vlanif2] quit
      [USG6600] interface vlanif 3
      [USG6600-Vlanif3] ip address 192.168.2.1 24   //Configure la dirección IP de VLANIF3 como la dirección del gateway de PC2.
      [USG6600-Vlanif3] quit
      

      # Configure las funciones DHCP y DNS.

      [USG6600] dhcp enable
      [USG6600] interface vlanif 2
      [USG6600-Vlanif2] dhcp select interface
      [USG6600-Vlanif2] dhcp server dns-list 114.114.114.114 223.5.5.5   //La lista DNS configurada 114.114.114.114 es una dirección pública del servidor DNS, que es la misma para los operadores. En la práctica, la dirección de la lista DNS debe configurarse según el DNS asignado a un operador.[USG6600-Vlanif2] quit
      [USG6600] interface vlanif 3
      [USG6600-Vlanif3] dhcp select interface
      [USG6600-Vlanif3] dhcp server dns-list 114.114.114.114 223.5.5.5
      [USG6600-Vlanif3] quit
      

      # Configure una dirección IP de interfaz de red pública y una ruta estática.

      [USG6600] interface gigabitethernet 1/0/2
      [USG6600-GigabitEthernet1/0/2] ip address 200.0.0.2 255.255.255.0
      [USG6600-GigabitEthernet1/0/2] quit
      [USG6600] ip route-static 0.0.0.0 0.0.0.0 200.0.0.1   //Configure una ruta predeterminada estática con el siguiente salto apuntando a la dirección IP pública 200.0.0.1.
      

      # Configure zonas de seguridad.

      [USG6600] firewall zone trust
      [USG6600-zone-trust] add interface gigabitethernet 1/0/1
      [USG6600-zone-trust] add interface vlanif 2
      [USG6600-zone-trust] add interface vlanif 3
      [USG6600-zone-trust] quit
      [USG6600] firewall zone untrust
      [USG6600-zone-untrust] add interface gigabitethernet 1/0/2
      [USG6600-zone-untrust] quit
      
      # Configure una política de seguridad para admitir el acceso entre zonas.
      [USG6600] security-policy
      [USG6600-policy-security] rule name policy1
      [USG6600-policy-security-rule-policy1] source-zone trust
      [USG6600-policy-security-rule-policy1] destination-zone untrust
      [USG6600-policy-security-rule-policy1] source-address 192.168.0.0 mask 255.255.0.0
      [USG6600-policy-security-rule-policy1] action permit
      [USG6600-policy-security-rule-policy1] quit
      [USG6600-policy-security] quit
      
      # Configure un grupo de direcciones PAT para admitir el cambio de la dirección de la interfaz.
      [USG6600] nat address-group addressgroup1    
      [USG6600-address-group-addressgroup1] mode pat
      [USG6600-address-group-addressgroup1] route enable
      [USG6600-address-group-addressgroup1] section 0 200.0.0.2 200.0.0.2    //Dirección IP pública traducida
      [USG6600-address-group-addressgroup1] quit
      
      # Configure una política PAT para que las direcciones IP originales se cambian automáticamente cuando los dispositivos en un segmento de red específico de una red interna accedan a Internet.
      [USG6600] nat-policy    
      [USG6600-policy-nat] rule name policy_nat1
      [USG6600-policy-nat-rule-policy_nat1] source-zone trust
      [USG6600-policy-nat-rule-policy_nat1] destination-zone untrust
      [USG6600-policy-nat-rule-policy_nat1] source-address 192.168.0.0 mask 255.255.0.0   //Dirección IP de origen que se puede traducir usando PAT
      [USG6600-policy-nat-rule-policy_nat1] action nat address-group addressgroup1
      [USG6600-policy-nat-rule-policy_nat1] quit
      [USG6600-policy-nat] quit
      [USG6600] quit
      

  3. Verifique la configuración

    Configure una dirección IP como 192.168.1.2/24 y una dirección de gateway como 192.168.1.1 para PC1, y configure una dirección IP como 192.168.2.2/24 y una dirección de gateway como 192.168.2.1 para PC2.

    Configure una dirección IP como 200.0.0.1/24 y una dirección de gateway como 200.0.0.2 para la red externa.

    Una vez completadas las configuraciones, PC1 y PC2 pueden hacer ping a la dirección IP 200.0.0.1/24 de la red externa y acceder a Internet.

Archivos de configuración

  • Archivo de configuración de Switch
    #
    sysname Switch
    #
    vlan batch 2 to 3
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 2 to 3
    #
    interface GigabitEthernet0/0/2
     port link-type access
     port default vlan 2
    #
    interface GigabitEthernet0/0/3
     port link-type access
     port default vlan 3
    #
    return
    
  • El archivo de configuración de USG (utilizado cuando los cortafuegos realizan el reenvío de Capa 3 a través de subinterfaces)
    #
    interface GigabitEthernet1/0/1
    #
    interface GigabitEthernet1/0/1.1
     vlan-type dot1q 2 
     ip address 192.168.1.1 255.255.255.0
     dhcp select interface
     dhcp server dns-list 114.114.114.114 223.5.5.5
     #
    interface GigabitEthernet1/0/1.2
     vlan-type dot1q 3
     ip address 192.168.2.1 255.255.255.0
     dhcp select interface
     dhcp server dns-list 114.114.114.114 223.5.5.5
    #
    interface GigabitEthernet1/0/2
     ip address 200.0.0.2 255.255.255.0
    #
    firewall zone trust
     set priority 85
     add interface GigabitEthernet1/0/1
     add interface GigabitEthernet1/0/1.1
     add interface GigabitEthernet1/0/1.2
    #
    firewall zone untrust
     set priority 5
     add interface GigabitEthernet1/0/2
    #
     ip route-static 0.0.0.0 0.0.0.0 200.0.0.1
    #
    nat address-group addressgroup1 0 
     mode pat                                                                       
     route enable                                                                   
     section 0 200.0.0.2 200.0.0.2    
    #
    security-policy                                                                 
     rule name policy1                                                              
      source-zone trust                                                             
      destination-zone untrust                                                      
      source-address 192.168.0.0 mask 255.255.0.0                                   
      action permit   
    #
    nat-policy                                                                      
     rule name policy_nat1                                                          
      source-zone trust                                                             
      destination-zone untrust                                                      
      source-address 192.168.0.0 mask 255.255.0.0                                   
      action nat address-group addressgroup1                                 
    #  
    return
    
  • El archivo de configuración USG (utilizado cuando los cortafuegos realizan el reenvío de Capa 3 a través de las interfaces VLANIF)
    #
     vlan batch 2 to 3
    #
    interface Vlanif2
     ip address 192.168.1.1 255.255.255.0                                           
     dhcp server dns-list 114.114.114.114 223.5.5.5 
    #
    interface Vlanif3
     ip address 192.168.2.1 255.255.255.0                                           
     dhcp select interface                                                          
     dhcp server dns-list 114.114.114.114 223.5.5.5
    #
    interface GigabitEthernet1/0/1
     portswitch
     port hybrid tagged vlan 2 to 3
    #
    interface GigabitEthernet1/0/2
     ip address 200.0.0.2 255.255.255.0
    #
    firewall zone trust
     set priority 85
     add interface GigabitEthernet1/0/1
     add interface Vlanif2
     add interface Vlanif3
    #
    firewall zone untrust
     set priority 5
     add interface GigabitEthernet1/0/2
    #
     ip route-static 0.0.0.0 0.0.0.0 200.0.0.1
    #
    nat address-group addressgroup1 0 
     mode pat                                                                       
     route enable                                                                   
     section 0 200.0.0.2 200.0.0.2    
    #
    security-policy                                                                 
     rule name policy1                                                              
      source-zone trust                                                             
      destination-zone untrust                                                      
      source-address 192.168.0.0 mask 255.255.0.0                                   
      action permit   
    #
    nat-policy                                                                      
     rule name policy_nat1                                                          
      source-zone trust                                                             
      destination-zone untrust                                                      
      source-address 192.168.0.0 mask 255.255.0.0                                   
      action nat address-group addressgroup1                                 
    #  
    return
    
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15621

Descargas: 131

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente