Для выбранного языка не найдены ресурсы переадресации.

Продолжая просмотр сайта и(или) нажимая X, я соглашаюсь с использованием файлов cookie владельцем сайта в соответствии с Политикой в отношении файлов cookie в том числе на передачу данных, указанных в Политике, третьим лицам (статистическим службам сети Интернет), в соответствии с Пользовательским соглашением >X

Для предприятий
Huawei в странах и регионах
Huawei Global - English
Поддержка Центр документации
Типичные примеры конфигураци коммутаторов серии CloudEngine
Rate and give feedback:
Информация об этом переводе
Чтобы помочь вам лучше понять содержимое этого документа, компания Huawei перевела его на разные языки, используя машинный перевод, отредактированный людьми. Примечание: даже самые передовые программы машинного перевода не могут обеспечить качество на уровне перевода, выполненного профессиональным переводчиком. Компания Huawei не несет ответственность за точность перевода и рекомендует ознакомиться с документом на английском языке (по ссылке, которая была предоставлена ранее).
Настройка сети центров обработки данных 2 уровня на основе стека

Настройка сети центров обработки данных 2 уровня на основе стека

Поддерживаемые продукты и версии

Этот пример применим ко всем коммутаторам серии CE версии V100R001C00 или более поздней.

Требования к сети

Показанная на Figure 1-4 сеть центров данных состоит из уровня доступа и базового уровня. Для упрощения сети и повышения надежности сети два коммутатора CE12800 на базовом уровне создают CSS, а несколько коммутаторов CE6800 на уровне доступа создают iStack. Устройства на уровне доступа и базовом слое соединены между шасси Eth-Trunk для предотвращения циклов. Eth-Trunks сконфигурированы для преимущественного перенаправления локального трафика, так что нагрузки на соединения между шасси уменьшаются. На базовом уровне создаются экземпляры VRF для разделения маршрутов сетевых сервисов и маршрутов общедоступной сети. Два брандмауэра подключаются к коммутаторам CE12800 в режиме байпаса и работают в режиме горячего резерва для повышения надежности.

Figure 1-4  Схема сети центров обработки данных 2 уровня на основе стека
Table 1-3  Подготовка данных

Имя устройства

Номер интерфейса

IP-адрес

Связанное устройство и номер интерфейса
Маршрутизатор Eth-Trunk1
  • XGigabitEthernet1/0/1
  • XGigabitEthernet1/0/2

10.10.10.2/24

 CSS: Eth-Trunk1
CSS Stack-Port1/1
  • 10GE1/1/0/1 до 10GE1/1/0/4
  • 10GE1/2/0/1 до 10GE1/2/0/4

-

CSS: Stack-Port2/1
Stack-Port2/1
  • 10GE2/1/0/1 до 10GE2/1/0/4
  • 10GE2/2/0/1 до 10GE2/2/0/4

-

CSS: Stack-Port1/1

10GE1/1/0/10

-

CSS: 10GE2/1/0/10

10GE1/2/0/10

-

CSS: 10GE2/2/0/10
Eth-Trunk1
  • 10GE1/1/0/11
  • 10GE2/1/0/11

VLANIF 1001: 10.10.10.1/24

Маршрутизатор: Eth-Trunk1
Eth-Trunk2
  • 10GE1/1/0/5
  • 10GE1/2/0/5
  • 10GE2/1/0/5
  • 10GE2/2/0/5

VLANIF 100: 10.10.1.1/24

iStack-1: Eth-Trunk2
Eth-Trunk3
  • 10GE1/1/0/6
  • 10GE1/2/0/6
  • 10GE2/1/0/6
  • 10GE2/2/0/6

iStack-2: Eth-Trunk3
Eth-Trunk4
  • 10GE1/1/0/7
  • 10GE2/1/0/7

VLANIF 200: 10.10.2.1/24

FW-1: Eth-Trunk4
Eth-Trunk6
  • 10GE1/2/0/7
  • 10GE2/2/0/7

FW-2: Eth-Trunk4
Eth-Trunk5
  • 10GE1/1/0/8
  • 10GE2/1/0/8

VLANIF 300: 10.10.3.1/24

FW-1: Eth-Trunk5
Eth-Trunk7
  • 10GE1/2/0/8
  • 10GE2/2/0/8

FW-2: Eth-Trunk5

iStack-1

 Stack-Port1/1
  • 10GE1/0/1 до 10GE1/0/4

-

iStack-1: Stack-Port2/1
Stack-Port2/1
  • 10GE2/0/1 до 10GE2/0/4

-

iStack-1: Stack-Port1/1

10GE1/0/9

-

iStack-1: 10GE2/0/9

10GE1/0/10

-

iStack-1: 10GE2/0/10
Eth-Trunk2
  • 10GE1/0/5 до 10GE1/0/6
  • 10GE2/0/5 до 10GE2/0/6

-

CSS: Eth-Trunk2

iStack-2

 Stack-Port1/1
  • 10GE1/0/1 до 10GE1/0/4

-

iStack-2: Stack-Port2/1
Stack-Port2/1
  • 10GE2/0/1 до 10GE2/0/4

-

iStack-2: Stack-Port1/1

10GE1/0/9

-

iStack-2: 10GE2/0/9

10GE1/0/10

-

iStack-2: 10GE2/0/10
Eth-Trunk3
  • 10GE1/0/5 до 10GE1/0/6
  • 10GE2/0/5 до 10GE2/0/6

-

CSS: Eth-Trunk3

FW-1

 Eth-Trunk1
  • GigabitEthernet2/0/0
  • GigabitEthernet2/0/1

10.1.1.1/24

FW-2: Eth-Trunk1
Eth-Trunk4
  • GigabitEthernet1/0/0
  • GigabitEthernet1/0/1

10.10.2.2/24

CSS: Eth-Trunk4
Eth-Trunk5
  • GigabitEthernet1/1/0
  • GigabitEthernet1/1/1

10.10.3.2/24

CSS: Eth-Trunk5

FW-2

 Eth-Trunk1
  • GigabitEthernet2/0/0
  • GigabitEthernet2/0/1

10.1.1.2/24

FW-1: Eth-Trunk1
Eth-Trunk4
  • GigabitEthernet1/0/0
  • GigabitEthernet1/0/1

10.10.2.3/24

CSS: Eth-Trunk6
Eth-Trunk5
  • GigabitEthernet1/1/0
  • GigabitEthernet1/1/1

10.10.3.3/24

CSS: Eth-Trunk7

План конфигурации

План конфигурации выглядит следующим образом:
  1. Настройте CSS на базовом уровне и iStack на уровне доступа для реализации резервного копирования устройства.
  2. Настройте Eth-Trunks между основным уровнем, восходящими устройствами, нисходящими устройствами и брандмауэрами, чтобы сформировать надежную сеть без петли.
  3. Настройте маршруты между CSS, брандмауэрами и маршрутизатором для реализации соединения уровня 3. Запустите OSPF между CSS и маршрутизатором и настройте статические маршруты между CSS и брандмауэрами. Создайте VRF-A на CSS и привяжите порты обслуживания и нисходящие порты, подключенные к брандмауэрам, к VRF-A, чтобы разделить маршруты сегмента сети обслуживания и маршруты общедоступной сети. Путь по умолчанию для VRF-A предназначен для брандмауэров.
  4. Настройте горячий режим ожидания, политику безопасности, защиту от атак и функции защиты от вторжений на брандмауэрах.

Procedure

  1. Настройте функцию CSS на основных коммутаторах CE12800-1 и CE12800-2.

    1. Подключите кабели стека между CE12800-1 и CE12800-2 в соответствии с Figure 1-5.
      Figure 1-5  Физические соединения CSS

    2. Настройте атрибуты стека для CE12800-1 и CE12800-2. (Задайте более высокий приоритет для CE12800-1, поэтому CE12800-1 станет главным коммутатором.)

      # Задайте идентификатор стека CE12800-1 до 1, приоритет до 150, идентификатор домена до 10 и режим подключения к соединению MPU.

      <HUAWEI>system-view
[~HUAWEI] sysname CE12800-1
[*HUAWEI] commit
[~CE12800-1] stack
[~CE12800-1-stack] stack member 1         //Настройте идентификатор элемента стека. Значение по умолчанию - 1.
[*CE12800-1-stack] stack priority 150     //Настройте приоритет стека. Значение по умолчанию - 100.
[*CE12800-1-stack] stack domain 10        //Настройте идентификатор домена.
[*CE12800-1-stack] stack link-type mainboard-direct     //Настройте режим подключения. Режим по умолчанию - основной.
[*CE12800-1-stack] quit
[*CE12800-1] commit

      # Задайте идентификатор стека CE12800-2 до 2, приоритет до 100, идентификатор домена до 10 и режим подключения к соединению MPU.

      <HUAWEI>system-view
[~HUAWEI] sysname CE12800-2
[*HUAWEI] commit
[~CE12800-2] stack
[~CE12800-2-stack] stack member 2
Warning: The device will use the configuration of member ID 2 after the device resets. Continue? [Y/N]: y
[*CE12800-2-stack] stack priority 100
[*CE12800-2-stack] stack domain 10
[*CE12800-2-stack] stack link-type mainboard-direct
[*CE12800-2-stack] quit
[*CE12800-2] commit

    3. Настройте порты стека. Два коммутатора подключены восемью оптическими портами 10GE на разных LPU.

      # На CE12800-1 добавьте 10GE1/0/1-10GE1/0/4 и 10GE2/0/1-10GE2/0/4 в порт стека.

      [~CE12800-1] port-group group1       //Создайте группу портов.
[*CE12800-1-port-group-group1] group-member 10ge 1/0/1 to 10ge 1/0/4       //Добавьте порты в группу портов.
[*CE12800-1-port-group-group1] group-member 10ge 2/0/1 to 10ge 2/0/4
[*CE12800-1-port-group-group1] shutdown       //Выключите порт.
[*CE12800-1-port-group-group1] quit
[*CE12800-1] commit
[~CE12800-1] interface stack-port 1
[*CE12800-1-Stack-Port1] port member-group interface 10ge 1/0/1 to 1/0/4       //Добавьте физические порты в порт стека.
[*CE12800-1-Stack-Port1] port member-group interface 10ge 2/0/1 to 2/0/4
[*CE12800-1-Stack-Port1] quit
[*CE12800-1] commit
[~CE12800-1] port-group group1
[~CE12800-1-port-group-group1] undo shutdown       //Включите порт.
[*CE12800-1-port-group-group1] quit
[*CE12800-1] commit
[~CE12800-1] return

      # Процедура конфигурации на CE12800-2 такая же, как и процедура настройки на CE12800-1, и здесь не упоминается.

    4. Включите функцию стека.

      # Включите функцию стека на CE12800-1 и перезапустите устройство.

      <CE12800-1>save
Warning: The current configuration will be written to the device. Continue? [Y/N]: y
<CE12800-1>system-view
[~CE12800-1] stack
[~CE12800-1-stack] stack enable
Warning: Make sure that one or more dual-active detection methods are configured once the conversion is complete and the device enters the stack mode.
Current configuration will be converted to the next startup saved-configuration file of stack mode.
System will reboot. Continue? [Y/N]: y

      # Включите функцию стека на CE12800-2 и перезапустите устройство.

      <CE12800-2>save
Warning: The current configuration will be written to the device. Continue? [Y/N]: y
<CE12800-2>system-view
[~CE12800-2] stack
[~CE12800-2-stack] stack enable
Warning: Make sure that one or more dual-active detection methods are configured once the conversion is complete and the device enters the stack mode.
Current configuration will be converted to the next startup saved-configuration file of stack mode.
System will reboot. Continue? [Y/N]: y

    5. Переименуйте систему стека CSS.

      <CE12800-1>system-view
[~CE12800-1] sysname CSS
[*CE12800-1] commit

  2. Настройте функцию iStack на коммутаторах уровня доступа. В качестве примера здесь приведены конфигурации на CE6800-1 и CE6800-2. Конфигурации на других коммутаторах аналогичны.

    1. Настройте атрибуты стека для CE6800-1 и CE6800-2. (Задайте более высокий приоритет для CE6800-1, поэтому CE6800-1 станет главным коммутатором.)

      # В CE6800-1 установите идентификатор стека на 1, приоритет на150 и идентификатор домена - 20. (По умолчанию идентификатор элемента стека коммутатора равен 1. В этом примере CE6800-1 сохраняет идентификатор элемента стека по умолчанию 1, и этот параметр не настраивается.)

      <HUAWEI>system-view
[~HUAWEI] sysname CE6800-1
[*HUAWEI] commit
[~CE6800-1] stack
[~CE6800-1-stack] stack member 1 priority 150
[*CE6800-1-stack] stack member 1 domain 20
[*CE6800-1-stack] quit
[*CE6800-1] commit

      # В CE6800-2 установите идентификатор стека на 2 и идентификатор домена на 20.

      <HUAWEI>system-view
[~HUAWEI] sysname CE6800-2
[*HUAWEI] commit
[~CE6800-2] stack
[~CE6800-2-stack] stack member 1 renumber 2 inherit-config
Warning: The stack configuration of member ID 1 will be inherited to member ID 2 after the device resets. Continue? [Y/N]: y
[*CE6800-2-stack] stack member 1 priority 100
[*CE6800-2-stack] stack member 1 domain 20
[*CE6800-2-stack] quit
[*CE6800-2] commit

    2. Настройте порты стека. Два коммутатора подключены четырьмя оптическими портами 10GE.

      # В CE6800-1 добавьте 10GE1/0/1-10GE1/0/4 в порт 1/1.

      [~CE6800-1] interface stack-port 1/1
[*CE6800-1-Stack-Port1/1] port member-group interface 10ge 1/0/1 to 1/0/4
Warning: The interface(s) (10GE1/0/1-1/0/4) will be converted to stack mode. [Y/N]: y
[*CE6800-1-Stack-Port1/1] quit
[*CE6800-1] commit

      # Процедура конфигурации на CE6800-2 такая же, как на CE6800-1, и здесь не упоминается.

    3. Сохраните конфигурации CE6800-1 и CE6800-2, отключите два коммутатора, подключите кабели стека и включите коммутаторы.

    4. Переименуйте систему стека iStack-1. В этом примере CE6800-1 функционирует как главный коммутатор.

      <CE6800-1>system-view
[~CE6800-1] sysname iStack-1
[*CE6800-1] commit

    5. Настройте стек, состоящий из CE6800-3 и CE6800-4 в соответствии с предыдущими конфигурациями. Переименуйте систему стека iStack-2. В этом примере CE6800-3 функционирует как главный коммутатор.

  3. Настройте DAD в прямом режиме в CSS и iStacks для обеспечения высокой надежности. В качестве примера используется конфигурация DAD в прямом режиме в CSS.

    # Настройте DAD в прямом режиме на непосредственно подключенных интерфейсах между двумя шасси в CSS.

    [~CSS] interface interface 10ge 1/1/0/10
[~CSS-10GE1/1/0/10] dual-active detect mode direct          //10GE1/1/0/10 напрямую подключен к 10GE2/1/0/10.
Warning: The interface will block common data packets, except BPDU packets. Continue? [Y/N]: y
[*CSS-10GE1/1/0/10] quit
[*CSS] interface interface 10ge 2/1/0/10
[*CSS-10GE2/1/0/10] dual-active detect mode direct
Warning: The interface will block common data packets, except BPDU packets. Continue? [Y/N]: y
[*CSS-10GE2/1/0/10] quit
[*CSS] interface interface 10ge 1/2/0/10
[*CSS-10GE1/2/0/10] dual-active detect mode direct          //10GE1/2/0/10 напрямую подключен к 10GE2/2/0/10.
Warning: The interface will block common data packets, except BPDU packets. Continue? [Y/N]: y
[*CSS-10GE1/2/0/10] quit
[*CSS] interface interface 10ge 2/2/0/10
[*CSS-10GE2/2/0/10] dual-active detect mode direct
Warning: The interface will block common data packets, except BPDU packets. Continue? [Y/N]: y
[*CSS-10GE2/2/0/10] quit
[*CSS] commit

    # Настройте DAD в прямом режиме в iStacks в соответствии с предыдущим методом. Конфигурация здесь не приводится.

  4. Подключите базовый уровень, восходящее устройство, устройство вниз по потоку и брандмауэры через Eth-Trunk. В качестве примера используется соединение между CSS и iStack-1.

    # Создайте Eth-Trunk2 на CSS и добавьте 10GE1/1/0/5, 10GE1/2/0/5, 10GE2/1/0/5 и 10GE2/2/0/5 в Eth-Trunk2.

    [~CSS] interface eth-trunk 2
[*CSS-Eth-Trunk2] description To_iStack-1
[*CSS-Eth-Trunk2] trunkport 10ge 1/1/0/5 1/2/0/5 2/1/0/5 2/2/0/5
[*CSS-Eth-Trunk2] quit
[*CSS] commit

    # Создайте Eth-Trunk2 на iStack-1 и добавьте 10GE1/0/5, 10GE1/0/6, 10GE2/0/5 и 10GE2/0/6 в Eth-Trunk2. 

    [~iStack-1] interface eth-trunk 2
[*iStack-1-Eth-Trunk2] description To_CSS
[*iStack-1-Eth-Trunk2] trunkport 10ge 1/0/5 to 1/0/6
[*iStack-1-Eth-Trunk2] trunkport 10ge 2/0/5 to 2/0/6
[*iStack-1-Eth-Trunk2] quit
[*iStack-1] commit

    # Конфигурация такая же, как и конфигурации других Eth-Trunks в Table 1-3 и здесь не упоминается.

  5. Создайте VLAN100 на CSS и добавьте интерфейс, подключенный к iStack к VLAN100, чтобы реализовать соединение уровня 2.

    # В CSS разрешите VLAN100 на интерфейсе Eth-Trunk, подключенном к iStack-1.

    [~CSS] interface eth-trunk 2
[*CSS-Eth-Trunk2] port link-type trunk
[*CSS-Eth-Trunk2] undo port trunk allow-pass vlan 1
[*CSS-Eth-Trunk2] port trunk allow-pass vlan 100
[*CSS-Eth-Trunk2] quit
[*CSS] commit

    # На iStack-1 разрешите VLAN100 на интерфейсе Eth-Trunk, подключенном к CSS.

    [~iStack-1] interface eth-trunk 2
[*iStack-1-Eth-Trunk2] port link-type trunk
[*iStack-1-Eth-Trunk2] undo port trunk allow-pass vlan 1
[*iStack-1-Eth-Trunk2] port trunk allow-pass vlan 100
[*iStack-1-Eth-Trunk2] quit
[*iStack-1] commit

    # В CSS разрешите VLAN100 на интерфейсе Eth-Trunk, подключенном к iStack-2. Конфигурация такая же, как и конфигурация на предыдущем шаге.

  6. Назначьте IP-адрес для каждого интерфейса.

    # Настройте IP-адреса для интерфейсов уровня 3, соединяющих CSS с брандмауэрами и маршрутизатором. В качестве примера используется конфигурация IP-адреса VLANIF200.

    [~CSS] vlan batch 200
[*CSS] interface Vlanif 200
[*CSS-Vlanif200] ip address 10.10.2.1 24
[*CSS-Vlanif200] quit
[*CSS] interface eth-trunk 4
[*CSS-Eth-Trunk4] port link-type trunk
[*CSS-Eth-Trunk4] undo port trunk allow-pass vlan 1
[*CSS-Eth-Trunk4] port trunk allow-pass vlan 200
[*CSS-Eth-Trunk4] port trunk pvid vlan 200
[*CSS-Eth-Trunk4] quit
[*CSS] interface eth-trunk 6
[*CSS-Eth-Trunk6] port link-type trunk
[*CSS-Eth-Trunk6] undo port trunk allow-pass vlan 1
[*CSS-Eth-Trunk6] port trunk allow-pass vlan 200
[*CSS-Eth-Trunk6] port trunk pvid vlan 200
[*CSS-Eth-Trunk6] quit
[*CSS] commit

    # Настройте IP-адреса для других интерфейсов уровня 3, подключенных к брандмауэрам и маршрутизатору в Table 1-3 в соответствии с предыдущим методом.

  7. Настройте маршруты между CSS, брандмауэрами и маршрутизатором для реализации соединения уровня 3. Запустите OSPF между CSS и маршрутизатором и настройте статические маршруты между CSS и брандмауэрами. Создайте VRF-A на CSS, привяжите порты обслуживания и порты, подключенные к брандмауэрам, к VRF-A. По умолчанию маршрут VRF-A предназначен для виртуального IP-адреса виртуального IP-адреса VRRP брандмауэров.

    # Создайте VRF-A на CSS, привяжите VLANIF100 и VLANIF200 к VRF-A и установите целевой адрес маршрута по умолчанию на виртуальный IP-адрес брандмауэров.

    NOTE:

    Когда интерфейс привязан к VRF-A, IP-адрес интерфейса будет удален, поэтому необходимо перенастроить IP-адрес.

    [~CSS] ip vpn-instance VRF-A     //Создайте VRF-A.
[*CSS-vpn-instance-VRF-A] ipv4-family
[*CSS-vpn-instance-VRF-A-af-ipv4] route-distinguisher 100:1
[*CSS-vpn-instance-VRF-A-af-ipv4] vpn-target 111:1 both
[*CSS-vpn-instance-VRF-A-af-ipv4] quit
[*CSS-vpn-instance-VRF-A] quit
[*CSS] interface Vlanif 100
[*CSS-Vlanif100] ip binding vpn-instance VRF-A     //Свяжите VLANIF100 с VRF-A.
[*CSS-Vlanif100] ip address 10.10.1.1 24
[*CSS-Vlanif100] quit
[*CSS] interface Vlanif 200
[*CSS-Vlanif200] ip binding vpn-instance VRF-A     //Свяжите VLANIF200 с VRF-A.
[*CSS-Vlanif200] ip address 10.10.2.1 24
[*CSS-Vlanif200] quit
[*CSS] ip route-static vpn-instance VRF-A 0.0.0.0 0.0.0.0 10.10.2.5    //Добавьте маршрут по умолчанию, предназначенный для виртуального IP-адреса виртуального IP-адреса VRRP для VRF-A.
[*CSS] commit

    # Настройте статический маршрут из CSS в сегмент сети обслуживания с помощью брандмауэров в качестве следующего перехода. Запустите OSPF между CSS и маршрутизатором и импортируйте статический маршрут в OSPF.

    [~CSS] ip route-static 10.10.1.0 255.255.255.0 10.10.3.5     //Настройте статический маршрут, предназначенный для сегмента сети обслуживания. Следующим ходом является виртуальный IP-адрес VRRP виртуального IP-адреса брандмауэров.
[*CSS] ospf 100       //Запустите OSPF между CSS и маршрутизатором.
[*CSS-ospf-100] area 0
[*CSS-ospf-100-area-0.0.0.0] network 10.10.10.0 0.0.0.255
[*CSS-ospf-100-area-0.0.0.0] quit
[*CSS-ospf-100] import-route static      //Импортируйте статический маршрут.
[*CSS-ospf-100] quit
[*CSS] commit

    # Запустите OSPF на исходящем маршрутизаторе. Процедура настройки здесь не упоминается.

  8. Настройте брандмауэры.

    В этом примере брандмауэры - это брандмауэры Huawei USG.

    # Выполните основные конфигурации на FW-1, включая имя устройства, интерфейс и зону безопасности.

    <USG>system-view
[USG] sysname FW-1
[FW-1] interface Eth-Trunk 4
[FW-1-Eth-Trunk4] trunkport GigabitEthernet 1/0/0 1/0/1
[FW-1-Eth-Trunk4] ip address 10.10.2.2 24
[FW-1-Eth-Trunk4] quit
[FW-1] interface Eth-Trunk 5
[FW-1-Eth-Trunk5] trunkport GigabitEthernet 1/1/0 1/1/1
[FW-1-Eth-Trunk5] ip address 10.10.3.2 24
[FW-1-Eth-Trunk5] quit
[FW-1] interface Eth-Trunk 1
[FW-1-Eth-Trunk1] trunkport GigabitEthernet 2/0/0 2/0/1
[FW-1-Eth-Trunk1] ip address 10.1.1.1 24
[FW-1-Eth-Trunk1] quit
[FW-1] firewall zone trust
[FW-1-zone-trust] add interface Eth-Trunk 4
[FW-1-zone-trust] quit
[FW-1] firewall zone untrust
[FW-1-zone-untrust] add interface Eth-Trunk 5
[FW-1-zone-untrust] quit
[FW-1] firewall zone dmz
[FW-1-zone-dmz] add interface Eth-Trunk 1
[FW-1-zone-dmz] quit

    # Выполните основные конфигурации на FW-2, включая имя устройства, интерфейс и зону безопасности.

    <USG>system-view
[USG] sysname FW-2
[FW-2] interface Eth-Trunk 4
[FW-2-Eth-Trunk4] trunkport GigabitEthernet 1/0/0 1/0/1
[FW-2-Eth-Trunk4] ip address 10.10.2.3 24
[FW-2-Eth-Trunk4] quit
[FW-2] interface Eth-Trunk 5
[FW-2-Eth-Trunk5] trunkport GigabitEthernet 1/1/0 1/1/1
[FW-2-Eth-Trunk5] ip address 10.10.3.3 24
[FW-2-Eth-Trunk5] quit
[FW-2] interface Eth-Trunk 1
[FW-2-Eth-Trunk1] trunkport GigabitEthernet 2/0/0 2/0/1
[FW-2-Eth-Trunk1] ip address 10.1.1.2 24
[FW-2-Eth-Trunk1] quit
[FW-2] firewall zone trust
[FW-2-zone-trust] add interface Eth-Trunk 4
[FW-2-zone-trust] quit
[FW-2] firewall zone untrust
[FW-2-zone-untrust] add interface Eth-Trunk 5
[FW-2-zone-untrust] quit
[FW-2] firewall zone dmz
[FW-2-zone-dmz] add interface Eth-Trunk 1
[FW-2-zone-dmz] quit

    # Настроить статический маршрут на FW-1.

    [FW-1] ip route-static 0.0.0.0 0.0.0.0 10.10.3.1      //Настройте маршрут из внутренней сети во внешнюю сеть. Следующим ходом является IP-адрес VLANIF300, подключенный к восходящему интерфейсу брандмауэра.
[FW-1] ip route-static 10.10.1.0 255.255.255.0 10.10.2.1      //Настройте маршрут из внешней сети во внутреннюю сеть. Адрес назначения - это сегмент сети, в котором находится внутренний сервер, а следующий прыжок - это IP-адрес VLANIF200, подключенный к нижестоящему интерфейсу брандмауэра.

    # Настроить статический маршрут на FW-2.

    [FW-2] ip route-static 0.0.0.0 0.0.0.0 10.10.3.1      
[FW-2] ip route-static 10.10.1.0 255.255.255.0 10.10.2.1

    # Настроить горячий режим ожидания на FW-1.

    [FW-1] interface Eth-Trunk 4
[FW-1-Eth-Trunk4] vrrp vrid 1 virtual-ip 10.10.2.5 24 master     //Настройте виртуальный IP-адрес виртуального IP-адреса VRRP.
[FW-1-Eth-Trunk4] quit
[FW-1] interface Eth-Trunk 5
[FW-1-Eth-Trunk5] vrrp vrid 2 virtual-ip 10.10.3.5 24 master     //Настройте виртуальный IP-адрес виртуального IP-адреса VRRP.
[FW-1-Eth-Trunk5] quit
[FW-1] hrp interface Eth-Trunk 1 remote 10.1.1.2
[FW-1] firewall packet-filter default permit interzone local dmz
[FW-1] hrp enable

    # Настройте горячий режим ожидания на FW-2.

    [FW-2] interface Eth-Trunk 4
[FW-2-Eth-Trunk4] vrrp vrid 1 virtual-ip 10.10.2.5 24 slave
[FW-2-Eth-Trunk4] quit
[FW-2] interface Eth-Trunk 5
[FW-2-Eth-Trunk5] vrrp vrid 2 virtual-ip 10.10.3.5 24 slave
[FW-2-Eth-Trunk5] quit
[FW-2] hrp interface Eth-Trunk 1 remote 10.1.1.1
[FW-2] firewall packet-filter default permit interzone local dmz
[FW-2] hrp enable
    NOTE:

    После настройки режима горячего резервирования конфигурации и сеансы активного устройства синхронизируются с резервным устройством, поэтому нужно только выполнить следующие конфигурации активного брандмауэра FW-1.

    # Настройте политику безопасности и защиту от вторжений.

    NOTE:

    Перед настройкой защиты от вторжений убедитесь, что библиотека сигнатур вторжения является последней версией.

    При настройке защиты от вторжений используйте стандартный файл вторжения по умолчанию default.

    HRP_M[FW-1] policy interzone trust untrust outbound
HRP_M[FW-1-policy-interzone-trust-untrust-outbound] policy 1
HRP_M[FW-1-policy-interzone-trust-untrust-outbound-1] policy source 10.10.1.0 mask 24     //Адрес источника - это сегмент сети, в котором находится внутренний сервер.
HRP_M[FW-1-policy-interzone-trust-untrust-outbound-1] action permit
HRP_M[FW-1-policy-interzone-trust-untrust-outbound-1] profile ips default       //Используется файл по умолчанию.
HRP_M[FW-1-policy-interzone-trust-untrust-outbound-1] quit
HRP_M[FW-1-policy-interzone-trust-untrust-outbound] quit
HRP_M[FW-1] policy interzone trust untrust inbound
HRP_M[FW-1-policy-interzone-trust-untrust-inbound] policy 1
HRP_M[FW-1-policy-interzone-trust-untrust-inbound-1] policy destination 10.10.1.0 mask 24     //Адрес назначения - это сегмент сети, в котором находится внутренний сервер.
HRP_M[FW-1-policy-interzone-trust-untrust-inbound-1] policy service service-set ftp http     //В качестве примера здесь используются протоколы FTP и HTTP. Если в вашей сети запущены другие приложения, укажите их.
HRP_M[FW-1-policy-interzone-trust-untrust-inbound-1] action permit
HRP_M[FW-1-policy-interzone-trust-untrust-inbound-1] profile ips default
HRP_M[FW-1-policy-interzone-trust-untrust-inbound-1] quit
HRP_M[FW-1-policy-interzone-trust-untrust-inbound] quit
HRP_M[FW-1] ips enable

    # Настройте защиту от атак.

    NOTE:
    Пороги защиты от атаки в этом примере предназначены только для справки. Настройте пороговые значения в соответствии с объемом трафика в вашей сети.
    HRP_M[FW-1] firewall defend syn-flood enable
HRP_M[FW-1] firewall defend syn-flood zone untrust max-rate 20000
HRP_M[FW-1] firewall defend udp-flood enable
HRP_M[FW-1] firewall defend udp-flood zone untrust max-rate 1500
HRP_M[FW-1] firewall defend icmp-flood enable
HRP_M[FW-1] firewall defend icmp-flood zone untrust max-rate 20000
HRP_M[FW-1] firewall blacklist enable
HRP_M[FW-1] firewall defend ip-sweep enable
HRP_M[FW-1] firewall defend ip-sweep max-rate 4000
HRP_M[FW-1] firewall defend port-scan enable
HRP_M[FW-1] firewall defend port-scan max-rate 4000
HRP_M[FW-1] firewall defend ip-fragment enable
HRP_M[FW-1] firewall defend ip-spoofing enable

    # Настройка ASPF.

    HRP_M[FW-1] firewall interzone trust untrust
HRP_M[FW-1-interzone-trust-untrust] detect ftp        //В качестве примера используется протокол FTP. Если в вашей сети запущены другие приложения, включите для них функцию ASPF.
HRP_M[FW-1-interzone-trust-untrust] quit

Проверка конфигурации

После завершения конфигураций проверьте, могут ли серверы и маршрутизатор выполнять ping друг друга. В этом примере серверы выполняют ping маршрутизатора.

PC>ping 10.10.10.2

Ping 10.10.10.2: 32 data bytes, Press Ctrl_C to break
From 10.10.10.2: bytes=32 seq=1 ttl=251 time=63 ms
From 10.10.10.2: bytes=32 seq=2 ttl=251 time=94 ms
From 10.10.10.2: bytes=32 seq=3 ttl=251 time=63 ms
From 10.10.10.2: bytes=32 seq=4 ttl=251 time=62 ms
From 10.10.10.2: bytes=32 seq=5 ttl=251 time=47 ms

--- 10.10.10.2 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 47/65/94 ms

Файл конфигурации

  • Файл конфигурации маршрутизатора

    #
sysname Router
#
interface Eth-Trunk1
 ip address 10.10.10.2 255.255.255.0
#
interface XGigabitEthernet1/0/1 
 eth-trunk 1
#
interface XGigabitEthernet1/0/2 
 eth-trunk 1
#
ospf 100
 area 0.0.0.0
  network 10.10.10.0 0.0.0.255
#
return

  • Файл конфигурации CSS на базовом уровне

    #
sysname CSS
#
vlan batch 100 200 300 1001
#
ip vpn-instance VRF-A 
 ipv4-family
  route-distinguisher 100:1        
  vpn-target 111:1 export-extcommunity 
  vpn-target 111:1 import-extcommunity
# 
stack
 #
 stack mode
 #
 stack member 1 domain 10
 stack member 1 priority 150
 #
 stack member 2 domain 10
#
interface Vlanif100
 ip binding vpn-instance VRF-A
 ip address 10.10.1.1 255.255.255.0
#
interface Vlanif200
 ip binding vpn-instance VRF-A
 ip address 10.10.2.1 255.255.255.0
#
interface Vlanif300
 ip address 10.10.3.1 255.255.255.0
#
interface Vlanif1001
 ip address 10.10.10.1 255.255.255.0
#
interface Eth-Trunk1
 description To_Router
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 1001
 port trunk pvid vlan 1001
#
interface Eth-Trunk2
 description To_iStack-1
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 100
#
interface Eth-Trunk3
 description To_iStack-2
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 100
#
interface Eth-Trunk4
 description To_FW-1
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 200
 port trunk pvid vlan 200
#
interface Eth-Trunk5
 description To_FW-1
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 300
 port trunk pvid vlan 300
#
interface Eth-Trunk6
 description To_FW-2
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 200
 port trunk pvid vlan 200
#
interface Eth-Trunk7
 description To_FW-2
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 300
 port trunk pvid vlan 300
#
interface Stack-Port1/1
#
interface Stack-Port2/1
#
interface 10GE1/1/0/1
 port mode stack
 stack-port 1/1
#
interface 10GE1/1/0/2
 port mode stack
 stack-port 1/1
#
interface 10GE1/1/0/3
 port mode stack
 stack-port 1/1
#
interface 10GE1/1/0/4
 port mode stack
 stack-port 1/1
#
interface 10GE1/1/0/5
 eth-trunk 2
#
interface 10GE1/1/0/6
 eth-trunk 3
#
interface 10GE1/1/0/7
 eth-trunk 4
#
interface 10GE1/1/0/8
 eth-trunk 5
#
interface 10GE1/1/0/10
 dual-active detect mode direct
#
interface 10GE1/1/0/11
 eth-trunk 1
#
interface 10GE1/2/0/1
 port mode stack
 stack-port 1/1
#
interface 10GE1/2/0/2
 port mode stack
 stack-port 1/1
#
interface 10GE1/2/0/3
 port mode stack
 stack-port 1/1
#
interface 10GE1/2/0/4
 port mode stack
 stack-port 1/1
#
interface 10GE1/2/0/5
 eth-trunk 2
#
interface 10GE1/2/0/6
 eth-trunk 3
#
interface 10GE1/2/0/7
 eth-trunk 6
#
interface 10GE1/2/0/8
 eth-trunk 7
#
interface 10GE1/2/0/10
 dual-active detect mode direct
#
interface 10GE2/1/0/1
 port mode stack
 stack-port 2/1
#
interface 10GE2/1/0/2
 port mode stack
 stack-port 2/1
#
interface 10GE2/1/0/3
 port mode stack
 stack-port 2/1
#
interface 10GE2/1/0/4
 port mode stack
 stack-port 2/1
#
interface 10GE2/1/0/5
 eth-trunk 2
#
interface 10GE2/1/0/6
 eth-trunk 3
#
interface 10GE2/1/0/7
 eth-trunk 4
#
interface 10GE2/1/0/8
 eth-trunk 5
#
interface 10GE1/2/0/10
 dual-active detect mode direct
#
interface 10GE2/1/0/11
 eth-trunk 1
#
interface 10GE2/2/0/1
 port mode stack
 stack-port 2/1
#
interface 10GE2/2/0/2
 port mode stack
 stack-port 2/1
#
interface 10GE2/2/0/3
 port mode stack
 stack-port 2/1
#
interface 10GE2/2/0/4
 port mode stack
 stack-port 2/1
#
interface 10GE2/2/0/5
 eth-trunk 2
#
interface 10GE2/2/0/6
 eth-trunk 3
#
interface 10GE2/2/0/7
 eth-trunk 6
#
interface 10GE2/2/0/8
 eth-trunk 7
#
interface 10GE2/2/0/10
 dual-active detect mode direct
#
ospf 100
  import-route static
  area 0.0.0.0
  network 10.10.10.0 0.0.0.255
#
ip route-static 10.10.1.0 255.255.255.0 10.10.3.5 
ip route-static vpn-instance VRF-A 0.0.0.0 0.0.0.0 10.10.2.5 
#
port-group group1
 group-member 10GE1/1/0/1
 group-member 10GE1/1/0/2
 group-member 10GE1/1/0/3
 group-member 10GE1/1/0/4
 group-member 10GE1/2/0/1
 group-member 10GE1/2/0/2
 group-member 10GE1/2/0/3
 group-member 10GE1/2/0/4
#
return

  • Файл конфигурации iStack-1 на уровне доступа

    #
sysname iStack-1
#
vlan batch 100
#
stack
 #
 stack member 1 domain 20
 stack member 1 priority 150
 #
 stack member 2 domain 20
#
interface Eth-Trunk2
 description To_CSS
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 100
#
interface Stack-Port1/1
# 
interface Stack-Port2/1
# 
interface 10GE1/0/1
 port mode stack
 stack-port 1/1
#
interface 10GE1/0/2
 port mode stack
 stack-port 1/1
#
interface 10GE1/0/3
 port mode stack
 stack-port 1/1
#
interface 10GE1/0/4
 port mode stack
 stack-port 1/1
#
interface 10GE1/0/5
 eth-trunk 2
#
interface 10GE1/0/6
 eth-trunk 2
#
interface 10GE1/0/9
 dual-active detect mode direct
#
interface 10GE1/0/10
 dual-active detect mode direct
#
interface 10GE2/0/1
 port mode stack
 stack-port 2/1
#
interface 10GE2/0/2
 port mode stack
 stack-port 2/1
#
interface 10GE2/0/3
 port mode stack
 stack-port 2/1
#
interface 10GE2/0/4
 port mode stack
 stack-port 2/1
#
interface 10GE2/0/5
 eth-trunk 2
#
interface 10GE2/0/6
 eth-trunk 2
#
interface 10GE2/0/9
 dual-active detect mode direct
#
interface 10GE2/0/10
 dual-active detect mode direct
#
return

  • Файл конфигурации iStack-2 на уровне доступа

    #
sysname iStack-2
#
vlan batch 100
#
stack
 #
 stack member 1 domain 30
 stack member 1 priority 150
 #
 stack member 2 domain 30
#
interface Eth-Trunk3
 description To_CSS
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 100
#
interface Stack-Port1/1
# 
interface Stack-Port2/1
# 
interface 10GE1/0/1
 port mode stack
 stack-port 1/1
#
interface 10GE1/0/2
 port mode stack
 stack-port 1/1
#
interface 10GE1/0/3
 port mode stack
 stack-port 1/1
#
interface 10GE1/0/4
 port mode stack
 stack-port 1/1
#
interface 10GE1/0/5
 eth-trunk 3
#
interface 10GE1/0/6
 eth-trunk 3
#
interface 10GE1/0/9
 dual-active detect mode direct
#
interface 10GE1/0/10
 dual-active detect mode direct
#
interface 10GE2/0/1
 port mode stack
 stack-port 2/1
#
interface 10GE2/0/2
 port mode stack
 stack-port 2/1
#
interface 10GE2/0/3
 port mode stack
 stack-port 2/1
#
interface 10GE2/0/4
 port mode stack
 stack-port 2/1
#
interface 10GE2/0/5
 eth-trunk 3
#
interface 10GE2/0/6
 eth-trunk 3
#
interface 10GE2/0/9
 dual-active detect mode direct
#
interface 10GE2/0/10
 dual-active detect mode direct
#
return

  • Файл конфигурации FW-1

    #
sysname FW-1
#
firewall packet-filter default permit interzone local dmz direction inbound
firewall packet-filter default permit interzone local dmz direction outbound
#
firewall defend port-scan enable
firewall defend ip-sweep enable
firewall defend ip-fragment enable
firewall defend icmp-flood enable
firewall defend udp-flood enable
firewall defend syn-flood enable
firewall defend ip-spoofing enable
firewall defend action discard
firewall defend icmp-flood zone untrust max-rate 20000
firewall defend udp-flood zone untrust max-rate 1500
firewall defend syn-flood zone untrust max-rate 20000
#
hrp enable
hrp interface Eth-Trunk1 remote 10.1.1.2
#
ips enable
#
interface Eth-Trunk1
 ip address 10.1.1.1 255.255.255.0
#
interface Eth-Trunk4
 ip address 10.10.2.2 255.255.255.0
 vrrp vrid 1 virtual-ip 10.10.2.5 master
#
interface Eth-Trunk5
 ip address 10.10.3.2 255.255.255.0
 vrrp vrid 2 virtual-ip 10.10.3.5 master
#
interface GigabitEthernet1/0/0
 undo shutdown
 eth-trunk 4
#
interface GigabitEthernet1/0/1
 undo shutdown
 eth-trunk 4
#
interface GigabitEthernet1/1/0
 undo shutdown
 eth-trunk 5
#
interface GigabitEthernet1/1/1
 undo shutdown
 eth-trunk 5
#
interface GigabitEthernet2/0/0
 undo shutdown
 eth-trunk 1
#
interface GigabitEthernet2/0/1
 undo shutdown
 eth-trunk 1
#
profile type ips name default
 signature-set name default
  os both
  target both
  severity low medium high
  protocol all
  category all
#
firewall zone trust
 set priority 85
 add interface Eth-Trunk4
#
firewall zone untrust
 set priority 5
 add interface Eth-Trunk5
#
firewall zone dmz
 set priority 50
 add interface Eth-Trunk1
#
firewall interzone trust untrust
 detect ftp
#
policy interzone trust untrust inbound
 policy 1
  action permit
  profile ips default
  policy service service-set ftp
  policy service service-set http
  policy destination 10.10.1.0 mask 24
#
policy interzone trust untrust outbound
 policy 1
  action permit
  profile ips default
  policy source 10.10.1.0 mask 24
#
ip route-static 0.0.0.0 0.0.0.0 10.10.3.1
ip route-static 10.10.1.0 255.255.255.0 10.10.2.1
#
return

  • Файл конфигурации FW-2

    #
sysname FW-2
#
firewall packet-filter default permit interzone local dmz direction inbound
firewall packet-filter default permit interzone local dmz direction outbound
#
firewall defend port-scan enable
firewall defend ip-sweep enable
firewall defend ip-fragment enable
firewall defend icmp-flood enable
firewall defend udp-flood enable
firewall defend syn-flood enable
firewall defend ip-spoofing enable
firewall defend action discard
firewall defend icmp-flood zone untrust max-rate 20000
firewall defend udp-flood zone untrust max-rate 1500
firewall defend syn-flood zone untrust max-rate 20000
#
hrp enable
hrp interface Eth-Trunk1 remote 10.1.1.1
#
ips enable
#
interface Eth-Trunk1
 ip address 10.1.1.2 255.255.255.0
#
interface Eth-Trunk4
 ip address 10.10.2.3 255.255.255.0
 vrrp vrid 1 virtual-ip 10.10.2.5 slave
#
interface Eth-Trunk5
 ip address 10.10.3.3 255.255.255.0
 vrrp vrid 2 virtual-ip 10.10.3.5 slave
#
interface GigabitEthernet1/0/0
 undo shutdown
 eth-trunk 4
#
interface GigabitEthernet1/0/1
 undo shutdown
 eth-trunk 4
#
interface GigabitEthernet1/1/0
 undo shutdown
 eth-trunk 5
#
interface GigabitEthernet1/1/1
 undo shutdown
 eth-trunk 5
#
interface GigabitEthernet2/0/0
 undo shutdown
 eth-trunk 1
#
interface GigabitEthernet2/0/1
 undo shutdown
 eth-trunk 1
#
profile type ips name default
 signature-set name default
  os both
  target both
  severity low medium high
  protocol all
  category all
#
firewall zone trust
 set priority 85
 add interface Eth-Trunk4
#
firewall zone untrust
 set priority 5
 add interface Eth-Trunk5
#
firewall zone dmz
 set priority 50
 add interface Eth-Trunk1
#
firewall interzone trust untrust
 detect ftp
#
policy interzone trust untrust inbound
 policy 1
  action permit
  profile ips default
  policy service service-set ftp
  policy service service-set http
  policy destination 10.10.1.0 mask 24
#
policy interzone trust untrust outbound
 policy 1
  action permit
  profile ips default
  policy source 10.10.1.0 mask 24
#
ip route-static 0.0.0.0 0.0.0.0 10.10.3.1
ip route-static 10.10.1.0 255.255.255.0 10.10.2.1
#
return
английский
Загрузить
Updated: 2019-11-08

№ документа:EDOC1100112933

Просмотры:57992

Загрузки: 365

Average rating:
This Document Applies to these Products

Related Version

Связанные документы

Share
Назад Далее
Huawei e+ App Huawei e+

Copyright © 2021 Huawei Technologies Co., Ltd. All rights reserved.

You are going to visit :