No se encuentran recursos de mapeo en el idioma seleccionado.

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para configurar un switch de Capa 3 para trabajar con cortafuegos para acceso de Internet

Ejemplo para configurar un switch de Capa 3 para trabajar con cortafuegos para acceso de Internet

Switch de Capa 3

Los switches de Capa 3 proporcionan la función de enrutamiento, que indica una función de capa de red en el modelo OSI.

Los switches de Capa 3 pueden funcionar en la Capa 2 y en la Capa 3 y desplegarse en la capa de acceso o en la capa de agregación como gateways de usuario.

Notas de configuración

  • Este ejemplo usa configuraciones de cortafuegos de USG6650 V500R001C60. Para otras configuraciones de cortafuegos, vea la documentación correspondiente.

  • Las configuraciones del servidor de switch DHCP utilizadas en este ejemplo se aplican a los siguientes switches y versiones.
    Tabla 2-6  Modelos de productos y versiones aplicables

    Serie

    Modelo del producto

    Versión del software

    S2300

    S2320EI

    V200R011C10, V200R012C00

    S2350EI

    V200R005C00SPC300, V200R006C00, V200R007C00, V200R008C00, V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S3300

    S3300SI, S3300EI

    V100R006C05

    S3300HI

    V200R001C00

    S5300

    S5300LI

    V200R005C00SPC300, V200R006C00, V200R007C00, V200R008(C00&C10), V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S5300SI

    V200R001C00, V200R002C00, V200R003C00, V200R005(C00&C02)

    S5300EI

    V200R001C00, V200R002C00, V200R003C00, V200R005(C00&C01&C02)

    S5300HI

    V200R001(C00&C01), V200R002C00, V200R003C00, V200R005(C00&C01&C02)

    S5310EI

    V200R002C00, V200R003C00, V200R005(C00&C02)

    S5320LI

    V200R010C00, V200R011C10, V200R012C00

    S5320SI

    V200R008(C00&C10), V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S5320EI

    V200R007C00, V200R008C00, V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S5320HI

    V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S5330SI

    V200R011C10, V200R012C00

    S6300

    S6300EI

    V200R001(C00&C01), V200R002C00, V200R003C00, V200R005(C00&C01&C02)

    S6320SI

    V200R011C10, V200R012C00

    S6320EI

    V200R008C00, V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S6320HI

    V200R012C00

    S9300

    S9303, S9306, S9312

    V200R001C00, V200R002C00, V200R003C00, V200R005C00SPC300, V200R006C00, V200R007C00, V200R008(C00&C10), V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S9300

    S9310

    V200R010C00, V200R011C10, V200R012C00

    S9300X

    S9310X

    V200R010C00, V200R011C10, V200R012C00

    S9300E

    S9303E, S9306E, S9312E

    V200R001C00, V200R002C00, V200R003C00, V200R005C00SPC300, V200R006C00, V200R007C00, V200R008(C00&C10), V200R009C00, V200R010C00, V200R011C10, V200R012C00

Requisitos de redes

En Figura 2-18, una compañía tiene múltiples departamentos que pertenecen a diferentes segmentos de red, y cada departamento necesita acceder a Internet. Se requiere que los usuarios accedan a Internet a través del switch de Capa 3 y cortafuegos y que el switch de Capa 3 funcione como el gateway de los usuarios.

Figura 2-18  Configuración de un switch de Capa 3 para trabajar con cortafuegos para acceso de Internet

Hoja de ruta de configuración

La hoja de ruta de la configuración es la siguiente:

  1. Configure el switch como el gateway de los usuarios para admitir que los usuarios se comuniquen por segmentos de red a través de las interfaces VLANIF.

  2. Configure el switch como el servidor DHCP para asignar direcciones IP a los usuarios.

  3. Configure una política de interconexión de seguridad para los cortafuegos de modo que se puedan reenviar paquetes de diferentes zonas.

  4. Configure la función PAT en los cortafuegos para admitir que los usuarios de la intranet tengan acceso a Internet.

Procedimiento

  1. Configure el switch.

    # Configure las interfaces conectadas a los usuarios y las interfaces VLANIF correspondientes.

    <Quidway> system-view
    [Quidway] sysname Switch
    [Switch] vlan batch 2 3
    [Switch] interface gigabitethernet 0/0/2
    [Switch-GigabitEthernet0/0/2] port link-type access   //Establezca el tipo de enlace de la interfaz a access.
    [Switch-GigabitEthernet0/0/2] port default vlan 2   //Agregue la interfaz a VLAN 2.
    [Switch-GigabitEthernet0/0/2] quit
    [Switch] interface gigabitethernet 0/0/3
    [Switch-GigabitEthernet0/0/3] port link-type access
    [Switch-GigabitEthernet0/0/3] port default vlan 3   
    [Switch-GigabitEthernet0/0/3] quit
    [Switch] interface vlanif 2
    [Switch-Vlanif2] ip address 192.168.1.1 24
    [Switch-Vlanif2] quit
    [Switch] interface vlanif 3
    [Switch-Vlanif3] ip address 192.168.2.1 24
    [Switch-Vlanif3] quit
    

    # Configure la interfaz conectada a los cortafuegos y la interfaz VLANIF correspondiente.

    [Switch] vlan batch 100
    [Switch] interface gigabitethernet 0/0/1
    [Switch-GigabitEthernet0/0/1] port link-type access
    [Switch-GigabitEthernet0/0/1] port default vlan 100   
    [Switch-GigabitEthernet0/0/1] quit
    [Switch] interface vlanif 100
    [Switch-Vlanif100] ip address 192.168.100.2 24
    [Switch-Vlanif100] quit
    

    # Configure la ruta predeterminada.

    [Switch] ip route-static 0.0.0.0 0.0.0.0 192.168.100.1   //El siguiente salto de la ruta predeterminada es la dirección IP 192.168.100.1 de la interfaz de cortafuegos.
    

    # Configure el servidor DHCP.

    [Switch] dhcp enable   
    [Switch] interface vlanif 2
    [Switch-Vlanif2] dhcp select interface   //DHCP usa un grupo de direcciones de interfaz para asignar direcciones IP a usuarios de la intranet.
    [Switch-Vlanif2] dhcp server dns-list 114.114.114.114 223.5.5.5   //La lista DNS configurada 114.114.114.114 es una dirección pública del servidor DNS, que es la misma para los operadores. En la práctica, la dirección de la lista DNS debe configurarse según el DNS asignado a un operador.
    [Switch-Vlanif2] quit
    [Switch] interface vlanif 3
    [Switch-Vlanif3] dhcp select interface
    [Switch-Vlanif3] dhcp server dns-list 114.114.114.114 223.5.5.5
    [Switch-Vlanif3] quit
    

  2. Configure los cortafuegos.

    # Configure una dirección IP para la interfaz conectada al switch.

    <USG> system-view
    [USG] interface gigabitethernet 1/0/1
    [USG-GigabitEthernet1/0/1] ip address 192.168.100.1 255.255.255.0   
    [USG-GigabitEthernet1/0/1] quit
    

    # Configure una dirección IP para la interfaz conectada a Internet.

    [USG] interface gigabitethernet 1/0/2
    [USG-GigabitEthernet1/0/2] ip address 200.0.0.2 255.255.255.0   //La dirección IP de la interfaz conectada a Internet está en el mismo segmento de red que la dirección IP pública.
    [USG-GigabitEthernet1/0/2] quit
    

    # Configure una ruta predeterminada y una ruta de retorno.

    [USG] ip route-static 0.0.0.0 0.0.0.0 200.0.0.1   //Configure una ruta predeterminada estática con el siguiente salto apuntando a la dirección IP pública 200.0.0.1.
    [USG] ip route-static 192.168.0.0 255.255.0.0 192.168.100.2   //Configure una ruta de retorno con el siguiente salto apuntando a la dirección IP 192.168.100.2 de la interfaz de enlace ascendente del switch.
    

    # Configure zonas de seguridad.

    [USG] firewall zone trust   //Configure una zona de trust.
    [USG-zone-trust] add interface gigabitethernet 1/0/1
    [USG-zone-trust] quit
    [USG] firewall zone untrust   //Configure una zona de untrust.
    [USG-zone-untrust] add interface gigabitethernet 1/0/2
    [USG-zone-untrust] quit
    
    # Configure una política de seguridad para admitir el acceso entre zonas.
    [USG6600] security-policy
    [USG6600-policy-security] rule name policy1
    [USG6600-policy-security-rule-policy1] source-zone trust
    [USG6600-policy-security-rule-policy1] destination-zone untrust
    [USG6600-policy-security-rule-policy1] source-address 192.168.0.0 mask 255.255.0.0
    [USG6600-policy-security-rule-policy1] action permit
    [USG6600-policy-security-rule-policy1] quit
    [USG6600-policy-security] quit
    
    # Configure un grupo de direcciones PAT para admitir el cambio de la dirección de la interfaz.
    [USG6600] nat address-group addressgroup1    
    [USG6600-address-group-addressgroup1] mode pat
    [USG6600-address-group-addressgroup1] route enable
    [USG6600-address-group-addressgroup1] section 0 200.0.0.2 200.0.0.2    //Dirección IP pública traducida
    [USG6600-address-group-addressgroup1] quit
    
    # Configure una política PAT para que las direcciones IP originales se cambian automáticamente cuando los dispositivos en un segmento de red específico de una red interna accedan a Internet.
    [USG6600] nat-policy    
    [USG6600-policy-nat] rule name policy_nat1
    [USG6600-policy-nat-rule-policy_nat1] source-zone trust
    [USG6600-policy-nat-rule-policy_nat1] destination-zone untrust
    [USG6600-policy-nat-rule-policy_nat1] source-address 192.168.0.0 mask 255.255.0.0   //Dirección IP de origen que se puede traducir usando PAT
    [USG6600-policy-nat-rule-policy_nat1] action nat address-group addressgroup1
    [USG6600-policy-nat-rule-policy_nat1] quit
    [USG6600-policy-nat] quit
    [USG6600] quit
    

  3. Verifique la configuración

    Configure una dirección IP como 192.168.1.2/24 y una dirección de gateway como 192.168.1.1 para PC1, y configure una dirección IP como 192.168.2.2/24 y una dirección de gateway como 192.168.2.1 para PC2.

    Configure una dirección IP como 200.0.0.1/24 y una dirección de gateway como 200.0.0.2 para la red externa.

    Una vez completadas las configuraciones, PC1 y PC2 pueden hacer ping a la dirección IP 200.0.0.1/24 de la red externa y acceder a Internet.

Archivos de configuración

  • Archivo de configuración de Switch
    #
    sysname Switch
    #
    vlan batch 2 to 3 100
    #
    dhcp enable
    #
    interface Vlanif2
     ip address 192.168.1.1 255.255.255.0
     dhcp select interface
     dhcp server dns-list 114.114.114.114 223.5.5.5
    #
    interface Vlanif3
     ip address 192.168.2.1 255.255.255.0
     dhcp select interface
     dhcp server dns-list 114.114.114.114 223.5.5.5
    #
    interface Vlanif100
     ip address 192.168.100.2 255.255.255.0
    #
    interface GigabitEthernet0/0/1
     port link-type access
     port default vlan 100
    #
    interface GigabitEthernet0/0/2
     port link-type access
     port default vlan 2
    #
    interface GigabitEthernet0/0/3
     port link-type access
     port default vlan 3
    #
    ip route-static 0.0.0.0 0.0.0.0 192.168.100.1
    #
    return
    
  • El archivo de configuraciones de USG
    #
    interface GigabitEthernet1/0/1
     ip address 192.168.100.1 255.255.255.0
    #
    interface GigabitEthernet0/0/2
     ip address 200.0.0.2 255.255.255.0
    #
    firewall zone trust
     set priority 85
     add interface GigabitEthernet1/0/1
    #
    firewall zone untrust
     set priority 5
     add interface GigabitEthernet0/0/2
    #
     ip route-static 0.0.0.0 0.0.0.0 200.0.0.1
     ip route-static 192.168.0.0 255.255.0.0 192.168.100.2
    #
    nat address-group addressgroup1 0 
     mode pat                                                                       
     route enable                                                                   
     section 0 200.0.0.2 200.0.0.2    
    #
    security-policy                                                                 
     rule name policy1                                                              
      source-zone trust                                                             
      destination-zone untrust                                                      
      source-address 192.168.0.0 mask 255.255.0.0                                   
      action permit   
    #
    nat-policy                                                                      
     rule name policy_nat1                                                          
      source-zone trust                                                             
      destination-zone untrust                                                      
      source-address 192.168.0.0 mask 255.255.0.0                                   
      action nat address-group addressgroup1                                 
    #  
    return
     
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15724

Descargas: 131

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente