No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para configurar una política de tráfico para limitar el acceso entre segmentos de red

Ejemplo para configurar una política de tráfico para limitar el acceso entre segmentos de red

Descripción general

La interfaz de línea de comandos QoS modular (MQC) permite que el dispositivo clasifique el tráfico por tipo, proporcionando el mismo servicio para paquetes del mismo tipo y servicios diferenciados para paquetes de diferentes tipos.

Una ACL avanzada puede usar las direcciones IP de origen y de destino para definir los flujos de datos permitidos o rechazados. Un clasificador de tráfico hace referencia a una ACL para clasificar paquetes, y la acción de permiso o denegación se especifica para procesar paquetes coincidentes. Aquí, MQC se usa para implementar control de acceso entre segmentos de red.

Notas de configuración

Tabla 13-22  Modelos de productos y versiones aplicables

Producto

Modelo del Producto

Versión del software

S2300

S2352P-EI

V100R006C05

S2320EI

V200R011C10, V200R012C00

S2350EI

V200R003C00, V200R005C00SPC300, V200R006C00, V200R007C00, V200R008C00, V200R009C00, V200R010C00, V200R011C10, V200R012C00

S3300

S3300SI y S3300EI

V100R006C05

S3300HI

V200R001C00

S5300

S5300LI

V200R001C00, V200R002C00, V200R003(C00&C02), V200R005C00SPC300, V200R006C00, V200R007C00, V200R008(C00&C10), V200R009C00, V200R010C00, V200R011C10, V200R012C00

S5300SI

V200R001C00, V200R002C00, V200R003C00, V200R005(C00&C02)

S5300EI

V200R001C00, V200R002C00, V200R003C00, V200R005(C00&C01&C02)

S5300HI

V200R001(C00&C01), V200R002C00, V200R003C00, V200R005(C00&C01&C02)

S5306

V200R001C00, V200R002C00, V200R003C00, V200R005C00

S5310EI

V200R002C00, V200R003C00, V200R005(C00&C02)

S5320LI

V200R010C00, V200R011C10, V200R012C00

S5320SI

V200R008(C00&C10), V200R009C00, V200R010C00, V200R011C10, V200R012C00

S5320EI

V200R007C00, V200R008C00, V200R009C00, V200R010C00, V200R011C10, V200R012C00

S5320HI

V200R009C00, V200R010C00, V200R011C10, V200R012C00

S5330SI

V200R011C10, V200R012C00

S6300

S6300EI

V200R001(C00&C01), V200R002C00, V200R003C00, V200R005(C00&C01&C02)

S6320SI

V200R011C10, V200R012C00

S6320EI

V200R008C00, V200R009C00, V200R010C00, V200R011C10, V200R012C00

S6320HI

V200R012C00

S9300

S9303, S9306 y S9312

V200R001C00, V200R002C00, V200R003C00, V200R005C00SPC300, V200R006C00, V200R007C00, V200R008(C00&C10), V200R009C00, V200R010C00, V200R011C10, V200R012C00

S9300

S9310

V200R010C00, V200R011C10, V200R012C00

S9300X

S9310X

V200R010C00, V200R011C10, V200R012C00

S9300E

S9303E, S9306E y S9312E

V200R001C00, V200R002C00, V200R003C00, V200R005C00SPC300, V200R006C00, V200R007C00, V200R008(C00&C10), V200R009C00, V200R010C00, V200R011C10, V200R012C00

NOTA:
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.

Una ACL a menudo se usa con una política de tráfico. Una política de tráfico está vinculada al clasificador de tráfico que coincide con una ACL y el comportamiento del tráfico, como permitir o denegar, asociado con el clasificador de tráfico.

Las acciones de permiso y denegación en una ACL y un comportamiento de tráfico en la política de tráfico se utilizan de la siguiente manera.

ACL

Behavior del tráfico en la política de tráfico

Acción final tomada para paquetes combinados

permit

permit

permit

permit

deny

deny

deny

permit

deny

deny

deny

deny

Por defecto, el switch permite todos los paquetes. Para rechazar paquetes entre segmentos de red, defina los paquetes que se rechazarán en la ACL. Si se usa el comando de rule permit, todos los paquetes coinciden con esta regla. Si el comportamiento del tráfico define la acción de denegación, el switch filtra todos los paquetes y provoca interrupciones del servicio.

Requisitos de red

En Figura 13-16, la empresa tiene tres departamentos, que pertenecen a VLAN 10, VLAN 20 y VLAN 30, respectivamente. Para garantizar la seguridad, los usuarios de la VLAN 10 solo accedan a la VLAN 20 pero no a la VLAN 30. Los tres departamentos necesitan acceder a Internet y no existen otras limitaciones.

Figura 13-16  Control de acceso entre segmentos de red

Dispositivo

Interfaz

VLAN

Interfaz de Capa 3

Dirección IP

SwitchA

GigabitEthernet1/0/1

VLAN 10

-

-

GigabitEthernet1/0/2

VLAN 20

-

-

GigabitEthernet1/0/3

VLAN 30

-

-

GigabitEthernet1/0/4

VLAN 10, VLAN 20 y VLAN 30

-

-

Switch

GigabitEthernet1/0/1

VLAN 10, VLAN 20 y VLAN 30

VLANIF 10, VLANIF 20 y VLANIF 30

VLANIF 10: 192.168.1.1/24

VLANIF 20: 192.168.2.1/24

VLANIF 30: 192.168.3.1/24

GigabitEthernet1/0/2

VLAN 40

VLANIF 40

10.1.20.2/24

Hoja de ruta de configuración

La hoja de ruta de la configuración es la siguiente:
  1. Cree VLAN y configure interfaces y un protocolo de enrutamiento para implementar el interfuncionamiento entre la empresa y la red externa.
  2. Configure las reglas de ACL en Switch para definir los flujos de datos que están permitidos o rechazados.
  3. Configure un clasificador de tráfico en Switch para clasificar paquetes basados ​​en la ACL.
  4. Configure un comportamiento de tráfico en Switch y defina la acción de permiso (la ACL define los flujos de datos que se rechazan).
  5. Configure una política de tráfico en Switch, vincule la política de tráfico con el clasificador de tráfico y el comportamiento del tráfico, y aplique la política de tráfico a GE1/0/1 conectada a SwitchA en la dirección entrante para implementar el control de acceso entre los segmentos de red.

Procedimiento

  1. Cree VLAN y configure interfaces y un protocolo de enrutamiento.

    # Configure el switch.

    <Quidway> system-view
    [Quidway] sysname Switch
    [Switch] vlan batch 10 20 30 40  //Cree VLAN 10 a VLAN 40.
    [Switch] interface gigabitethernet 1/0/1
    [Switch-GigabitEthernet1/0/1] port link-type trunk  //Establezca el tipo de enlace de la interfaz a trunk.
    [Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 20 30  //Agregue la interfaz a VLAN 10, VLAN 20 y VLAN 30.
    [Switch-GigabitEthernet1/0/1] quit
    [Switch] interface gigabitethernet 1/0/2
    [Switch-GigabitEthernet1/0/2] port link-type access  //Establezca el tipo de enlace de la interfaz a acceso.
    [Switch-GigabitEthernet1/0/2] port default vlan 40  //Agregue la interfaz a la VLAN 40.
    [Switch-GigabitEthernet1/0/2] quit
    [Switch] interface vlanif 10  //Cree una interfaz VLANIF.
    [Switch-Vlanif10] ip address 192.168.1.1 255.255.255.0  //Configure una dirección IP para la interfaz VLANIF. La dirección IP es la dirección de gateway del segmento de red 192.168.1.0/24.
    [Switch-Vlanif10] quit
    [Switch] interface vlanif 20
    [Switch-Vlanif20] ip address 192.168.2.1 255.255.255.0
    [Switch-Vlanif20] quit
    [Switch] interface vlanif 30
    [Switch-Vlanif30] ip address 192.168.3.1 255.255.255.0
    [Switch-Vlanif30] quit
    [Switch] interface vlanif 40  //Cree una interfaz VLANIF.
    [Switch-Vlanif40] ip address 10.1.20.2 255.255.255.0  //Configure una dirección IP a la interfaz VLANIF para conectarse con el router.
    [Switch-Vlanif40] quit
    [Switch] ip route-static 0.0.0.0 0 10.1.20.1  //Configure una ruta estática apuntando a la red externa para implementar el interfuncionamiento.
    

    # Configure SwitchA.

    <Quidway> system-view
    [Quidway] sysname SwitchA
    [SwitchA] vlan batch 10 20 30  //Cree VLAN 10 a VLAN 30.
    [SwitchA] interface gigabitethernet 1/0/1
    [SwitchA-GigabitEthernet1/0/1] port link-type access  //Establezca el tipo de enlace de la interfaz a acceso.
    [SwitchA-GigabitEthernet1/0/1] port default vlan 10  //Agregue la interfaz a la VLAN 10.
    [SwitchA-GigabitEthernet1/0/1] quit
    [SwitchA] interface gigabitethernet 1/0/2
    [SwitchA-GigabitEthernet1/0/2] port link-type access
    [SwitchA-GigabitEthernet1/0/2] port default vlan 20
    [SwitchA-GigabitEthernet1/0/2] quit
    [SwitchA] interface gigabitethernet 1/0/3
    [SwitchA-GigabitEthernet1/0/3] port link-type access
    [SwitchA-GigabitEthernet1/0/3] port default vlan 30
    [SwitchA-GigabitEthernet1/0/3] quit
    [SwitchA] interface gigabitethernet 1/0/4
    [SwitchA-GigabitEthernet1/0/4] port link-type trunk  //Establezca el tipo de enlace de la interfaz a trunk.
    [SwitchA-GigabitEthernet1/0/4] port trunk allow-pass vlan 10 20 30
    [SwitchA-GigabitEthernet1/0/4] quit
    

    # Configure el router.

    Configure la dirección IP de 10.1.20.1/24 para la interfaz del router conectado al Switch.

  2. Configure una ACL.

    # Configure las reglas de ACL en Switch para definir los flujos de datos que están permitidos o rechazados.

    [Switch] acl 3000
    [Switch-acl-adv-3000] rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255  //Configure una regla de ACL para rechazar los flujos de datos de la VLAN 10 a la VLAN 30.
    [Switch-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255  //Configure una regla de ACL para permitir el flujo de datos desde la VLAN 10 y la VLAN 20.
    [Switch-acl-adv-3000] rule permit ip source any  //Si hay muchos segmentos de red internos, configure una ACL para permitir cualquier flujo de datos.
    [Switch-acl-adv-3000] quit
    

  3. Configure un clasificador de tráfico.

    # Configure un clasificador de tráfico en Switch para clasificar los paquetes basados ​​en la ACL.

    [Switch] traffic classifier c1 operator and
    [Switch-classifier-c1] if-match acl 3000
    [Switch-classifier-c1] quit
    

  4. Configure un comportamiento de tráfico.

    # Configure un comportamiento de tráfico en Switch y defina la acción de permiso.

    [Switch] traffic behavior b1
    [Switch-behavior-b1] permit
    [Switch-behavior-b1] quit
    

  5. Configure una política de tráfico y aplique la política de tráfico a una interfaz.

    # Cree una política de tráfico en Switch, vincule el comportamiento del tráfico y el clasificador de tráfico a la política de tráfico, y aplique la política de tráfico a la dirección entrante de GE1/0/1 conectado a SwitchA.

    [Switch] traffic policy p1
    [Switch-trafficpolicy-p1] classifier c1 behavior b1
    [Switch-trafficpolicy-p1] quit
    [Switch] interface gigabitethernet 1/0/1
    [Switch-GigabitEthernet1/0/1] traffic-policy p1 inbound
    [Switch-GigabitEthernet1/0/1] quit
    

  6. Verifique la configuración

    # Compruebe la configuración de ACL.

    [Switch] display acl 3000
    Advanced ACL 3000, 3 rules
    Acl's step is 5
     rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 (match-counter 0)
     rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 (match-counter 0)
     rule 15 permit ip (match-counter 0)
    

    # Compruebe la configuración de la política de tráfico.

    [Switch] display traffic policy user-defined p1
      User Defined Traffic Policy Information:
      Policy: p1
       Classifier: c1
        Operator: AND
         Behavior: b1
          Permit
    

    # Los dispositivos de usuario en el segmento de red 192.168.1.0/24 pueden hacer ping a los dispositivos del usuario en el segmento de red 192.168.2.0/24, es decir, los usuarios de la VLAN 10 pueden acceder a los usuarios en la VLAN 20.

    # Los dispositivos de usuario en el segmento de red 192.168.1.0/24 pueden hacer ping a los dispositivos del usuario en el segmento de red 192.168.3.0/24, es decir, los usuarios de la VLAN 10 pueden acceder a los usuarios en la VLAN 30.

    # Los dispositivos de los usuarios en los segmentos de red 192.168.1.0/24, 192.168.2.0/24 y 192.168.3.0/24 pueden hacer ping a la dirección IP 10.1.20.1/24 de la interfaz en el router, lo que indica que los usuarios de los tres departamentos pueden acceder Internet.

Archivos de configuración

  • Archivo de configuración de Switch

    #
    sysname Switch
    #
    vlan batch 10 20 30 40
    #
    acl number 3000
     rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
     rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
     rule 15 permit ip
    #
    traffic classifier c1 operator and precedence 5
     if-match acl 3000
    #
    traffic behavior b1
     permit
    #
    traffic policy p1 match-order config
     classifier c1 behavior b1
    #
    interface Vlanif10
     ip address 192.168.1.1 255.255.255.0
    #
    interface Vlanif20
     ip address 192.168.2.1 255.255.255.0
    #
    interface Vlanif30
     ip address 192.168.3.1 255.255.255.0
    #
    interface Vlanif40
     ip address 10.1.20.2 255.255.255.0
    #
    interface GigabitEthernet1/0/1
     port link-type trunk
     port trunk allow-pass vlan 10 20 30
     traffic-policy p1 inbound
    #
    interface GigabitEthernet1/0/2
     port link-type access
     port default vlan 40
    #
    ip route-static 0.0.0.0 0.0.0.0 10.1.20.1
    #
    return
    
  • Archivo de configuración de SwitchA

    #
    sysname SwitchA
    #
    vlan batch 10 20 30
    #
    interface GigabitEthernet1/0/1
     port link-type access
     port default vlan 10
    #
    interface GigabitEthernet1/0/2
     port link-type access
     port default vlan 20
    #
    interface GigabitEthernet1/0/3
     port link-type access
     port default vlan 30
    #
    interface GigabitEthernet1/0/4
     port link-type trunk
     port trunk allow-pass vlan 10 20 30
    #
    return
    
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15451

Descargas: 129

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente