Настройка объекта VPN для передачи пакетов услуг
Поддерживаемые продукты и версии
Этот пример относится к CE12800, CE6800 и CE5800 по версии V100R001C00 или более поздней версии, CE7800 по версии V100R003C00 или более поздней версии и CE8800 по версии V100R006C00.
Требования к сети
Как показано на Figure 2-33, серверы в зоне обслуживания должны иметь доступ к интернету. Сервер данных и видеосервер в зоне обслуживания подключаются к маршрутизатору шлюза через коммутатор доступа SwitchB и базовый коммутатор SwitchA и взаимодействуют с интернетом через маршрутизатор шлюза.
Брандмауэр подключается к базовому коммутатору SwitchA в режиме байпаса, чтобы обеспечить безопасность обмена данными между серверами и интернетом. В этом случае весь трафик, проходящий через SwitchA, перенаправляется в брандмауэр через объект VPN. Брандмауэр фильтрует трафик для обеспечения безопасности внутренних и внешних сетей.
Table 2-10 описывает сетевой план устройств, показанный в Figure 2-33.
Пункт |
Данные |
|---|---|
Сервер данных |
VLAN, к которой принадлежит сервер: VLAN 100 |
Видеосервер |
VLAN, к которой принадлежит сервер: VLAN 100 |
SwitchA |
VLAN, к которой принадлежит 10GE1/0/1: VLAN 100 |
VLAN, к которой принадлежит 10GE2/0/2: VLAN 102 и VLAN 103 |
|
VLAN, к которой принадлежит 10GE3/0/3: VLAN 101 |
|
IP-адрес VLANIF 100: 10.10.10.1/24 |
|
IP-адрес VLANIF 101: 202.10.20.193/24 |
|
IP-адрес VLANIF 102: 192.168.10.1/24 |
|
IP-адрес VLANIF 103: 192.168.11.1/24 |
|
SwitchB |
VLAN, к которой принадлежит 10GE1/0/1: VLAN 100 |
VLAN, к которой принадлежит 10GE1/0/2: VLAN 100 |
|
VLAN, к которой принадлежит 10GE1/0/3: VLAN 100 |
План конфигурации
План конфигурации выглядит следующим образом:
- Подключите брандмауэр опорной сети к SwitchA в обходном режиме для фильтрации трафика, представляющего угрозу для безопасности сети.
- Создайте объект VPN vrf1 и свяжите его с соответствующими интерфейсами, чтобы весь трафик, направленный в интернет, передавался коммутатором vrf1.
- Настройте статический маршрут или протокол маршрутизации, который будет направлять в брандмауэр весь трафик из интернета, передаваемый на серверы данных и видео.
Procedure
- Создайте сети VLAN и настройте
интерфейсы для реализации взаимодействия на уровне 2.
# Создайте VLAN 100 на SwitchB.
<HUAWEI>system-view [~HUAWEI] sysname SwitchB [*HUAWEI] commit [~SwitchB] vlan batch 100 [*SwitchB] commit
# Добавьте 10GE1/0/1, 10GE1/0/2 и 10GE1/0/3 на SwitchB в сеть VLAN 100.
[~SwitchB] interface 10ge 1/0/1 [~SwitchB-10GE1/0/1] port link-type trunk [*SwitchB-10GE1/0/1] port trunk allow-pass vlan 100 [*SwitchB-10GE1/0/1] quit [*SwitchB] interface 10ge 1/0/2 [*SwitchB-10GE1/0/2] port link-type access [*SwitchB-10GE1/0/2] port default vlan 100 [*SwitchB-10GE1/0/2] quit [*SwitchB] interface 10ge 1/0/3 [*SwitchB-10GE1/0/3] port link-type access [*SwitchB-10GE1/0/3] port default vlan 100 [*SwitchB-10GE1/0/3] quit [*SwitchB] commit
# На SwitchA создайте VLAN 100 (соединенную с SwitchB), VLAN 101 (соединенную с маршрутизатором шлюза), а также сети VLAN 102 и 103 (подключенные к брандмауэру).
<HUAWEI>system-view [~HUAWEI] sysname SwitchA [*HUAWEI] commit [~SwitchA] vlan batch 100 to 103 [*SwitchA] commit
# Для интерфейсов 10GE1/0/1, 10GE2/0/2 и 10GE3/0/3 SwitchA задайте тип trunk, затем добавьте эти интерфейсы в сети VLAN.
[~SwitchA] interface 10ge 1/0/1 [~SwitchA-10GE1/0/1] port link-type trunk [*SwitchA-10GE1/0/1] port trunk allow-pass vlan 100 [*SwitchA-10GE1/0/1] quit [*SwitchA] interface 10ge 2/0/2 [*SwitchA-10GE2/0/2] port link-type trunk [*SwitchA-10GE2/0/2] port trunk allow-pass vlan 102 to 103 [*SwitchA-10GE2/0/2] quit [*SwitchA] interface 10ge 3/0/3 [*SwitchA-10GE3/0/3] port link-type trunk [*SwitchA-10GE3/0/3] port trunk allow-pass vlan 101 [*SwitchA-10GE3/0/3] quit [*SwitchA] commit
# Создайте сети с VLANIF 100 по VLANIF 103. Допустим, IP-адреса интерфейсов брандмауэра, подключенные к VLANIF 102 и VLANIF 103 - 192.168.10.2/24 и 192.168.11.2/24.
[~SwitchA] interface vlanif 100 [*SwitchA-Vlanif100] ip address 10.10.10.1 24 [*SwitchA-Vlanif100] quit [*SwitchA] interface vlanif 101 [*SwitchA-Vlanif101] ip address 202.10.20.193 24 [*SwitchA-Vlanif101] quit [*SwitchA] interface vlanif 102 [*SwitchA-Vlanif102] ip address 192.168.10.1 24 [*SwitchA-Vlanif102] quit [*SwitchA] interface vlanif 103 [*SwitchA-Vlanif102] ip address 192.168.11.1 24 [*SwitchA-Vlanif102] quit [*SwitchA] commit
- Создайте объект VPN vrf1 и свяжите его с соответствующими интерфейсами, чтобы весь трафик,
направленный в интернет, передавался коммутатором vrf1.
# Создайте объект VPN vrf1.
[~SwitchA] ip vpn-instance vrf1 [*SwitchA-vpn-instance-vrf1] description YeWu [*SwitchA-vpn-instance-vrf1] ipv4-family [*SwitchA-vpn-instance-vrf1-af-ipv4] route-distinguisher 100:1 [*SwitchA-vpn-instance-vrf1-af-ipv4] vpn-target 100:1 both [*SwitchA-vpn-instance-vrf1-af-ipv4] quit [*SwitchA-vpn-instance-vrf1] quit [*SwitchA] commit
# Свяжите объект VPN vrf1 с VLANIF 100 и VLANIF 102 для предоставления доступа абонентам VPN.
[~SwitchA] interface vlanif 100 [~SwitchA-Vlanif100] ip binding vpn-instance vrf1 [*SwitchA-Vlanif100] quit [*SwitchA] interface vlanif 102 [*SwitchA-Vlanif102] ip binding vpn-instance vrf1 [*SwitchA-Vlanif102] quit [*SwitchA] commit
# Настройте статические маршруты.
[~SwitchA] ip route-static vpn-instance vrf1 0.0.0.0 0.0.0.0 192.168.10.2 [*SwitchA] commit
- Настройте статический маршрут
или протокол маршрутизации, например, OSPF, чтобы направлять в брандмауэр
весь трафик, отправленный из интернета на сервера видео и данных.
В качестве примера приводится статический маршрут.
[~SwitchA] ip route-static 10.10.10.0 255.255.255.0 192.168.11.2 [*SwitchA] commit
Проверка конфигурации
- Выполните команду display ip vpn-instance vrf1 для просмотра информации об объекте VPN vrf1.
[~SwitchA] display ip vpn-instance vrf1 VPN-Instance Name RD Address-family vrf1 100:1 IPv4 Выполните команду display ip vpn-instance interface для просмотра информации об интерфейсе объекта VPN.
[~SwitchA] display ip vpn-instance interface Total VPN-Instances configured : 1 Total IPv4 VPN-Instances configured : 1 Total IPv6 VPN-Instances configured : 0 VPN-Instance Name and ID : vrf1, 50 Interface Number : 2 Interface list : Vlanif100, Vlanif102
Файлы конфигурации
Файл конфигурации SwitchB
# sysname SwitchB # vlan batch 100 # interface 10GE1/0/1 port link-type trunk port trunk allow-pass vlan 100 # interface 10GE1/0/2 port default vlan 100 # interface 10GE1/0/3 port default vlan 100 # return
Файл конфигурации SwitchA
# sysname SwitchA # vlan batch 100 to 102 # ip vpn-instance vrf1 description YeWu ipv4-family route-distinguisher 100:1 vpn-target 100:1 export-extcommunity vpn-target 100:1 import-extcommunity # interface Vlanif100 ip binding vpn-instance vrf1 ip address 10.10.10.1 255.255.255.0 # interface Vlanif101 ip address 202.10.20.193 255.255.255.0 # interface Vlanif102 ip binding vpn-instance vrf1 ip address 192.168.10.1 255.255.255.0 # interface Vlanif103 ip address 192.168.11.1 255.255.255.0 # interface 10GE1/0/1 port link-type trunk port trunk allow-pass vlan 100 # interface 10GE2/0/2 port link-type trunk port trunk allow-pass vlan 101 # interface 10GE3/0/3 port link-type trunk port trunk allow-pass vlan 102 to 103 # ip route-static 10.10.10.0 255.255.255.0 192.168.11.2 ip route-static vpn-instance vrf1 0.0.0.0 0.0.0.0 192.168.10.2 # return
