Для выбранного языка не найдены ресурсы переадресации.

Продолжая просмотр сайта и(или) нажимая X, я соглашаюсь с использованием файлов cookie владельцем сайта в соответствии с Политикой в отношении файлов cookie в том числе на передачу данных, указанных в Политике, третьим лицам (статистическим службам сети Интернет), в соответствии с Пользовательским соглашением >X

Меню
Поддержка Центр документации
Типичные примеры конфигураци коммутаторов серии CloudEngine
Rate and give feedback:
Информация об этом переводе
Чтобы помочь вам лучше понять содержимое этого документа, компания Huawei перевела его на разные языки, используя машинный перевод, отредактированный людьми. Примечание: даже самые передовые программы машинного перевода не могут обеспечить качество на уровне перевода, выполненного профессиональным переводчиком. Компания Huawei не несет ответственность за точность перевода и рекомендует ознакомиться с документом на английском языке (по ссылке, которая была предоставлена ранее).
Настройка объекта VPN для передачи пакетов услуг

Настройка объекта VPN для передачи пакетов услуг

Поддерживаемые продукты и версии

Этот пример относится к CE12800, CE6800 и CE5800 по версии V100R001C00 или более поздней версии, CE7800 по версии V100R003C00 или более поздней версии и CE8800 по версии V100R006C00.

Требования к сети

Как показано на Figure 2-33, серверы в зоне обслуживания должны иметь доступ к интернету. Сервер данных и видеосервер в зоне обслуживания подключаются к маршрутизатору шлюза через коммутатор доступа SwitchB и базовый коммутатор SwitchA и взаимодействуют с интернетом через маршрутизатор шлюза.

Брандмауэр подключается к базовому коммутатору SwitchA в режиме байпаса, чтобы обеспечить безопасность обмена данными между серверами и интернетом. В этом случае весь трафик, проходящий через SwitchA, перенаправляется в брандмауэр через объект VPN. Брандмауэр фильтрует трафик для обеспечения безопасности внутренних и внешних сетей.

Figure 2-33  Настройка объекта VPN для передачи пакетов услуг

Table 2-10 описывает сетевой план устройств, показанный в Figure 2-33.

Table 2-10  План сети

Пункт

Данные

Сервер данных

VLAN, к которой принадлежит сервер: VLAN 100

Видеосервер

VLAN, к которой принадлежит сервер: VLAN 100

SwitchA

VLAN, к которой принадлежит 10GE1/0/1: VLAN 100

VLAN, к которой принадлежит 10GE2/0/2: VLAN 102 и VLAN 103

VLAN, к которой принадлежит 10GE3/0/3: VLAN 101

IP-адрес VLANIF 100: 10.10.10.1/24

IP-адрес VLANIF 101: 202.10.20.193/24

IP-адрес VLANIF 102: 192.168.10.1/24

IP-адрес VLANIF 103: 192.168.11.1/24

SwitchB

VLAN, к которой принадлежит 10GE1/0/1: VLAN 100

VLAN, к которой принадлежит 10GE1/0/2: VLAN 100

VLAN, к которой принадлежит 10GE1/0/3: VLAN 100

План конфигурации

План конфигурации выглядит следующим образом:

  1. Подключите брандмауэр опорной сети к SwitchA в обходном режиме для фильтрации трафика, представляющего угрозу для безопасности сети.
  2. Создайте объект VPN vrf1 и свяжите его с соответствующими интерфейсами, чтобы весь трафик, направленный в интернет, передавался коммутатором vrf1.
  3. Настройте статический маршрут или протокол маршрутизации, который будет направлять в брандмауэр весь трафик из интернета, передаваемый на серверы данных и видео.

Procedure

  1. Создайте сети VLAN и настройте интерфейсы для реализации взаимодействия на уровне 2.

    # Создайте VLAN 100 на SwitchB.

    <HUAWEI>system-view
[~HUAWEI] sysname SwitchB
[*HUAWEI] commit
[~SwitchB] vlan batch 100
[*SwitchB] commit

    # Добавьте 10GE1/0/1, 10GE1/0/2 и 10GE1/0/3 на SwitchB в сеть VLAN 100.

    [~SwitchB] interface 10ge 1/0/1
[~SwitchB-10GE1/0/1] port link-type trunk 
[*SwitchB-10GE1/0/1] port trunk allow-pass vlan 100
[*SwitchB-10GE1/0/1] quit
[*SwitchB] interface 10ge 1/0/2
[*SwitchB-10GE1/0/2] port link-type access
[*SwitchB-10GE1/0/2] port default vlan 100
[*SwitchB-10GE1/0/2] quit
[*SwitchB] interface 10ge 1/0/3
[*SwitchB-10GE1/0/3] port link-type access
[*SwitchB-10GE1/0/3] port default vlan 100
[*SwitchB-10GE1/0/3] quit
[*SwitchB] commit

    # На SwitchA создайте VLAN 100 (соединенную с SwitchB), VLAN 101 (соединенную с маршрутизатором шлюза), а также сети VLAN 102 и 103 (подключенные к брандмауэру).

    <HUAWEI>system-view
[~HUAWEI] sysname SwitchA
[*HUAWEI] commit
[~SwitchA] vlan batch 100 to 103
[*SwitchA] commit

    # Для интерфейсов 10GE1/0/1, 10GE2/0/2 и 10GE3/0/3 SwitchA задайте тип trunk, затем добавьте эти интерфейсы в сети VLAN.

    [~SwitchA] interface 10ge 1/0/1
[~SwitchA-10GE1/0/1] port link-type trunk
[*SwitchA-10GE1/0/1] port trunk allow-pass vlan 100
[*SwitchA-10GE1/0/1] quit
[*SwitchA] interface 10ge 2/0/2
[*SwitchA-10GE2/0/2] port link-type trunk 
[*SwitchA-10GE2/0/2] port trunk allow-pass vlan 102 to 103
[*SwitchA-10GE2/0/2] quit
[*SwitchA] interface 10ge 3/0/3
[*SwitchA-10GE3/0/3] port link-type trunk 
[*SwitchA-10GE3/0/3] port trunk allow-pass vlan 101
[*SwitchA-10GE3/0/3] quit
[*SwitchA] commit

    # Создайте сети с VLANIF 100 по VLANIF 103. Допустим, IP-адреса интерфейсов брандмауэра, подключенные к VLANIF 102 и VLANIF 103 - 192.168.10.2/24 и 192.168.11.2/24.

    [~SwitchA] interface vlanif 100
[*SwitchA-Vlanif100] ip address 10.10.10.1 24
[*SwitchA-Vlanif100] quit
[*SwitchA] interface vlanif 101
[*SwitchA-Vlanif101] ip address 202.10.20.193 24
[*SwitchA-Vlanif101] quit
[*SwitchA] interface vlanif 102
[*SwitchA-Vlanif102] ip address 192.168.10.1 24
[*SwitchA-Vlanif102] quit
[*SwitchA] interface vlanif 103
[*SwitchA-Vlanif102] ip address 192.168.11.1 24
[*SwitchA-Vlanif102] quit
[*SwitchA] commit

  2. Создайте объект VPN vrf1 и свяжите его с соответствующими интерфейсами, чтобы весь трафик, направленный в интернет, передавался коммутатором vrf1.

    # Создайте объект VPN vrf1.

    [~SwitchA] ip vpn-instance vrf1
[*SwitchA-vpn-instance-vrf1] description YeWu
[*SwitchA-vpn-instance-vrf1] ipv4-family
[*SwitchA-vpn-instance-vrf1-af-ipv4] route-distinguisher 100:1
[*SwitchA-vpn-instance-vrf1-af-ipv4] vpn-target 100:1 both 
[*SwitchA-vpn-instance-vrf1-af-ipv4] quit
[*SwitchA-vpn-instance-vrf1] quit
[*SwitchA] commit

    # Свяжите объект VPN vrf1 с VLANIF 100 и VLANIF 102 для предоставления доступа абонентам VPN.

    [~SwitchA] interface vlanif 100
[~SwitchA-Vlanif100] ip binding vpn-instance vrf1
[*SwitchA-Vlanif100] quit
[*SwitchA] interface vlanif 102
[*SwitchA-Vlanif102] ip binding vpn-instance vrf1
[*SwitchA-Vlanif102] quit
[*SwitchA] commit

    # Настройте статические маршруты.

    [~SwitchA] ip route-static vpn-instance vrf1 0.0.0.0 0.0.0.0 192.168.10.2
[*SwitchA] commit

  3. Настройте статический маршрут или протокол маршрутизации, например, OSPF, чтобы направлять в брандмауэр весь трафик, отправленный из интернета на сервера видео и данных. В качестве примера приводится статический маршрут.

    [~SwitchA] ip route-static 10.10.10.0 255.255.255.0 192.168.11.2
[*SwitchA] commit

Проверка конфигурации

  1. Выполните команду display ip vpn-instance vrf1 для просмотра информации об объекте VPN vrf1.
    [~SwitchA] display ip vpn-instance vrf1
  VPN-Instance Name               RD                    Address-family   
  vrf1                            100:1                 IPv4

  2. Выполните команду display ip vpn-instance interface для просмотра информации об интерфейсе объекта VPN.

    [~SwitchA] display ip vpn-instance interface
 Total VPN-Instances configured      : 1          
 Total IPv4 VPN-Instances configured : 1         
 Total IPv6 VPN-Instances configured : 0          
                                    
 VPN-Instance Name and ID : vrf1, 50          
  Interface Number : 2                
  Interface list : Vlanif100,         
                   Vlanif102

Файлы конфигурации

  • Файл конфигурации SwitchB

    #
sysname SwitchB
#
vlan batch 100
#
interface 10GE1/0/1
 port link-type trunk
 port trunk allow-pass vlan 100
#
interface 10GE1/0/2
 port default vlan 100
#
interface 10GE1/0/3
 port default vlan 100
#
return

  • Файл конфигурации SwitchA

    #
sysname SwitchA
#
vlan batch 100 to 102
#
ip vpn-instance vrf1
 description YeWu
 ipv4-family
  route-distinguisher 100:1
  vpn-target 100:1 export-extcommunity
  vpn-target 100:1 import-extcommunity
#
interface Vlanif100
 ip binding vpn-instance vrf1
 ip address 10.10.10.1 255.255.255.0
#
interface Vlanif101
 ip address 202.10.20.193 255.255.255.0
#
interface Vlanif102
 ip binding vpn-instance vrf1
 ip address 192.168.10.1 255.255.255.0
#
interface Vlanif103
 ip address 192.168.11.1 255.255.255.0
#
interface 10GE1/0/1
 port link-type trunk
 port trunk allow-pass vlan 100
#
interface 10GE2/0/2
 port link-type trunk
 port trunk allow-pass vlan 101
#
interface 10GE3/0/3
 port link-type trunk
 port trunk allow-pass vlan 102 to 103
#
ip route-static 10.10.10.0 255.255.255.0 192.168.11.2
ip route-static vpn-instance vrf1 0.0.0.0 0.0.0.0 192.168.10.2
#
return
английский
Загрузить
Updated: 2019-11-08

№ документа:EDOC1100112933

Просмотры:19282

Загрузки: 190

Average rating:
This Document Applies to these Products

Related Version

Связанные документы

Share
Назад Далее
Enterprise APP

Copyright © 2021 Huawei Technologies Co., Ltd. All rights reserved.

You are going to visit :