Настройка сети центров обработки данных 2 уровня на основе стека
Поддерживаемые продукты и версии
Этот пример применим ко всем коммутаторам серии CE версии V100R001C00 или более поздней.
Требования к сети
Показанная на Figure 1-4 сеть центров данных состоит из уровня доступа и базового уровня. Для упрощения сети и повышения надежности сети два коммутатора CE12800 на базовом уровне создают CSS, а несколько коммутаторов CE6800 на уровне доступа создают iStack. Устройства на уровне доступа и базовом слое соединены между шасси Eth-Trunk для предотвращения циклов. Eth-Trunks сконфигурированы для преимущественного перенаправления локального трафика, так что нагрузки на соединения между шасси уменьшаются. На базовом уровне создаются экземпляры VRF для разделения маршрутов сетевых сервисов и маршрутов общедоступной сети. Два брандмауэра подключаются к коммутаторам CE12800 в режиме байпаса и работают в режиме горячего резерва для повышения надежности.
Имя устройства |
Номер интерфейса |
IP-адрес |
Связанное устройство и номер интерфейса |
---|---|---|---|
Маршрутизатор | Eth-Trunk1
|
10.10.10.2/24 |
CSS: Eth-Trunk1 |
CSS | Stack-Port1/1
|
- |
CSS: Stack-Port2/1 |
Stack-Port2/1
|
- |
CSS: Stack-Port1/1 |
|
10GE1/1/0/10 |
- |
CSS: 10GE2/1/0/10 |
|
10GE1/2/0/10 |
- |
CSS: 10GE2/2/0/10 |
|
Eth-Trunk1
|
VLANIF 1001: 10.10.10.1/24 |
Маршрутизатор: Eth-Trunk1 |
|
Eth-Trunk2
|
VLANIF 100: 10.10.1.1/24 |
iStack-1: Eth-Trunk2 |
|
Eth-Trunk3
|
iStack-2: Eth-Trunk3 |
||
Eth-Trunk4
|
VLANIF 200: 10.10.2.1/24 |
FW-1: Eth-Trunk4 |
|
Eth-Trunk6
|
FW-2: Eth-Trunk4 |
||
Eth-Trunk5
|
VLANIF 300: 10.10.3.1/24 |
FW-1: Eth-Trunk5 |
|
Eth-Trunk7
|
FW-2: Eth-Trunk5 |
||
iStack-1 |
Stack-Port1/1
|
- |
iStack-1: Stack-Port2/1 |
Stack-Port2/1
|
- |
iStack-1: Stack-Port1/1 |
|
10GE1/0/9 |
- |
iStack-1: 10GE2/0/9 |
|
10GE1/0/10 |
- |
iStack-1: 10GE2/0/10 |
|
Eth-Trunk2
|
- |
CSS: Eth-Trunk2 |
|
iStack-2 |
Stack-Port1/1
|
- |
iStack-2: Stack-Port2/1 |
Stack-Port2/1
|
- |
iStack-2: Stack-Port1/1 |
|
10GE1/0/9 |
- |
iStack-2: 10GE2/0/9 |
|
10GE1/0/10 |
- |
iStack-2: 10GE2/0/10 |
|
Eth-Trunk3
|
- |
CSS: Eth-Trunk3 |
|
FW-1 |
Eth-Trunk1
|
10.1.1.1/24 |
FW-2: Eth-Trunk1 |
Eth-Trunk4
|
10.10.2.2/24 |
CSS: Eth-Trunk4 |
|
Eth-Trunk5
|
10.10.3.2/24 |
CSS: Eth-Trunk5 |
|
FW-2 |
Eth-Trunk1
|
10.1.1.2/24 |
FW-1: Eth-Trunk1 |
Eth-Trunk4
|
10.10.2.3/24 |
CSS: Eth-Trunk6 |
|
Eth-Trunk5
|
10.10.3.3/24 |
CSS: Eth-Trunk7 |
План конфигурации
- Настройте CSS на базовом уровне и iStack на уровне доступа для реализации резервного копирования устройства.
- Настройте Eth-Trunks между основным уровнем, восходящими устройствами, нисходящими устройствами и брандмауэрами, чтобы сформировать надежную сеть без петли.
- Настройте маршруты между CSS, брандмауэрами и маршрутизатором для реализации соединения уровня 3. Запустите OSPF между CSS и маршрутизатором и настройте статические маршруты между CSS и брандмауэрами. Создайте VRF-A на CSS и привяжите порты обслуживания и нисходящие порты, подключенные к брандмауэрам, к VRF-A, чтобы разделить маршруты сегмента сети обслуживания и маршруты общедоступной сети. Путь по умолчанию для VRF-A предназначен для брандмауэров.
- Настройте горячий режим ожидания, политику безопасности, защиту от атак и функции защиты от вторжений на брандмауэрах.
Procedure
- Настройте функцию
CSS на основных коммутаторах CE12800-1 и CE12800-2.
- Подключите кабели стека между CE12800-1 и CE12800-2 в соответствии с Figure 1-5.
Настройте атрибуты стека для CE12800-1 и CE12800-2. (Задайте более высокий приоритет для CE12800-1, поэтому CE12800-1 станет главным коммутатором.)
# Задайте идентификатор стека CE12800-1 до 1, приоритет до 150, идентификатор домена до 10 и режим подключения к соединению MPU.
<HUAWEI>system-view [~HUAWEI] sysname CE12800-1 [*HUAWEI] commit [~CE12800-1] stack [~CE12800-1-stack] stack member 1 //Настройте идентификатор элемента стека. Значение по умолчанию - 1. [*CE12800-1-stack] stack priority 150 //Настройте приоритет стека. Значение по умолчанию - 100. [*CE12800-1-stack] stack domain 10 //Настройте идентификатор домена. [*CE12800-1-stack] stack link-type mainboard-direct //Настройте режим подключения. Режим по умолчанию - основной. [*CE12800-1-stack] quit [*CE12800-1] commit
# Задайте идентификатор стека CE12800-2 до 2, приоритет до 100, идентификатор домена до 10 и режим подключения к соединению MPU.
<HUAWEI>system-view [~HUAWEI] sysname CE12800-2 [*HUAWEI] commit [~CE12800-2] stack [~CE12800-2-stack] stack member 2 Warning: The device will use the configuration of member ID 2 after the device resets. Continue? [Y/N]: y [*CE12800-2-stack] stack priority 100 [*CE12800-2-stack] stack domain 10 [*CE12800-2-stack] stack link-type mainboard-direct [*CE12800-2-stack] quit [*CE12800-2] commit
Настройте порты стека. Два коммутатора подключены восемью оптическими портами 10GE на разных LPU.
# На CE12800-1 добавьте 10GE1/0/1-10GE1/0/4 и 10GE2/0/1-10GE2/0/4 в порт стека.
[~CE12800-1] port-group group1 //Создайте группу портов. [*CE12800-1-port-group-group1] group-member 10ge 1/0/1 to 10ge 1/0/4 //Добавьте порты в группу портов. [*CE12800-1-port-group-group1] group-member 10ge 2/0/1 to 10ge 2/0/4 [*CE12800-1-port-group-group1] shutdown //Выключите порт. [*CE12800-1-port-group-group1] quit [*CE12800-1] commit [~CE12800-1] interface stack-port 1 [*CE12800-1-Stack-Port1] port member-group interface 10ge 1/0/1 to 1/0/4 //Добавьте физические порты в порт стека. [*CE12800-1-Stack-Port1] port member-group interface 10ge 2/0/1 to 2/0/4 [*CE12800-1-Stack-Port1] quit [*CE12800-1] commit [~CE12800-1] port-group group1 [~CE12800-1-port-group-group1] undo shutdown //Включите порт. [*CE12800-1-port-group-group1] quit [*CE12800-1] commit [~CE12800-1] return
# Процедура конфигурации на CE12800-2 такая же, как и процедура настройки на CE12800-1, и здесь не упоминается.
Включите функцию стека.
# Включите функцию стека на CE12800-1 и перезапустите устройство.
<CE12800-1>save Warning: The current configuration will be written to the device. Continue? [Y/N]: y <CE12800-1>system-view [~CE12800-1] stack [~CE12800-1-stack] stack enable Warning: Make sure that one or more dual-active detection methods are configured once the conversion is complete and the device enters the stack mode. Current configuration will be converted to the next startup saved-configuration file of stack mode. System will reboot. Continue? [Y/N]: y
# Включите функцию стека на CE12800-2 и перезапустите устройство.
<CE12800-2>save Warning: The current configuration will be written to the device. Continue? [Y/N]: y <CE12800-2>system-view [~CE12800-2] stack [~CE12800-2-stack] stack enable Warning: Make sure that one or more dual-active detection methods are configured once the conversion is complete and the device enters the stack mode. Current configuration will be converted to the next startup saved-configuration file of stack mode. System will reboot. Continue? [Y/N]: y
Переименуйте систему стека CSS.
<CE12800-1>system-view [~CE12800-1] sysname CSS [*CE12800-1] commit
- Настройте функцию iStack на коммутаторах
уровня доступа. В качестве примера здесь приведены конфигурации на
CE6800-1 и CE6800-2. Конфигурации на других коммутаторах аналогичны.
Настройте атрибуты стека для CE6800-1 и CE6800-2. (Задайте более высокий приоритет для CE6800-1, поэтому CE6800-1 станет главным коммутатором.)
# В CE6800-1 установите идентификатор стека на 1, приоритет на150 и идентификатор домена - 20. (По умолчанию идентификатор элемента стека коммутатора равен 1. В этом примере CE6800-1 сохраняет идентификатор элемента стека по умолчанию 1, и этот параметр не настраивается.)
<HUAWEI>system-view [~HUAWEI] sysname CE6800-1 [*HUAWEI] commit [~CE6800-1] stack [~CE6800-1-stack] stack member 1 priority 150 [*CE6800-1-stack] stack member 1 domain 20 [*CE6800-1-stack] quit [*CE6800-1] commit
# В CE6800-2 установите идентификатор стека на 2 и идентификатор домена на 20.
<HUAWEI>system-view [~HUAWEI] sysname CE6800-2 [*HUAWEI] commit [~CE6800-2] stack [~CE6800-2-stack] stack member 1 renumber 2 inherit-config Warning: The stack configuration of member ID 1 will be inherited to member ID 2 after the device resets. Continue? [Y/N]: y [*CE6800-2-stack] stack member 1 priority 100 [*CE6800-2-stack] stack member 1 domain 20 [*CE6800-2-stack] quit [*CE6800-2] commit
Настройте порты стека. Два коммутатора подключены четырьмя оптическими портами 10GE.
# В CE6800-1 добавьте 10GE1/0/1-10GE1/0/4 в порт 1/1.
[~CE6800-1] interface stack-port 1/1 [*CE6800-1-Stack-Port1/1] port member-group interface 10ge 1/0/1 to 1/0/4 Warning: The interface(s) (10GE1/0/1-1/0/4) will be converted to stack mode. [Y/N]: y [*CE6800-1-Stack-Port1/1] quit [*CE6800-1] commit
# Процедура конфигурации на CE6800-2 такая же, как на CE6800-1, и здесь не упоминается.
Сохраните конфигурации CE6800-1 и CE6800-2, отключите два коммутатора, подключите кабели стека и включите коммутаторы.
Переименуйте систему стека iStack-1. В этом примере CE6800-1 функционирует как главный коммутатор.
<CE6800-1>system-view [~CE6800-1] sysname iStack-1 [*CE6800-1] commit
Настройте стек, состоящий из CE6800-3 и CE6800-4 в соответствии с предыдущими конфигурациями. Переименуйте систему стека iStack-2. В этом примере CE6800-3 функционирует как главный коммутатор.
- Настройте DAD в прямом
режиме в CSS и iStacks для обеспечения высокой надежности. В качестве
примера используется конфигурация DAD в прямом режиме в CSS.
# Настройте DAD в прямом режиме на непосредственно подключенных интерфейсах между двумя шасси в CSS.
[~CSS] interface interface 10ge 1/1/0/10 [~CSS-10GE1/1/0/10] dual-active detect mode direct //10GE1/1/0/10 напрямую подключен к 10GE2/1/0/10. Warning: The interface will block common data packets, except BPDU packets. Continue? [Y/N]: y [*CSS-10GE1/1/0/10] quit [*CSS] interface interface 10ge 2/1/0/10 [*CSS-10GE2/1/0/10] dual-active detect mode direct Warning: The interface will block common data packets, except BPDU packets. Continue? [Y/N]: y [*CSS-10GE2/1/0/10] quit [*CSS] interface interface 10ge 1/2/0/10 [*CSS-10GE1/2/0/10] dual-active detect mode direct //10GE1/2/0/10 напрямую подключен к 10GE2/2/0/10. Warning: The interface will block common data packets, except BPDU packets. Continue? [Y/N]: y [*CSS-10GE1/2/0/10] quit [*CSS] interface interface 10ge 2/2/0/10 [*CSS-10GE2/2/0/10] dual-active detect mode direct Warning: The interface will block common data packets, except BPDU packets. Continue? [Y/N]: y [*CSS-10GE2/2/0/10] quit [*CSS] commit
# Настройте DAD в прямом режиме в iStacks в соответствии с предыдущим методом. Конфигурация здесь не приводится.
- Подключите базовый уровень, восходящее устройство,
устройство вниз по потоку и брандмауэры через Eth-Trunk. В качестве
примера используется соединение между CSS и iStack-1.
# Создайте Eth-Trunk2 на CSS и добавьте 10GE1/1/0/5, 10GE1/2/0/5, 10GE2/1/0/5 и 10GE2/2/0/5 в Eth-Trunk2.
[~CSS] interface eth-trunk 2 [*CSS-Eth-Trunk2] description To_iStack-1 [*CSS-Eth-Trunk2] trunkport 10ge 1/1/0/5 1/2/0/5 2/1/0/5 2/2/0/5 [*CSS-Eth-Trunk2] quit [*CSS] commit
# Создайте Eth-Trunk2 на iStack-1 и добавьте 10GE1/0/5, 10GE1/0/6, 10GE2/0/5 и 10GE2/0/6 в Eth-Trunk2.
[~iStack-1] interface eth-trunk 2 [*iStack-1-Eth-Trunk2] description To_CSS [*iStack-1-Eth-Trunk2] trunkport 10ge 1/0/5 to 1/0/6 [*iStack-1-Eth-Trunk2] trunkport 10ge 2/0/5 to 2/0/6 [*iStack-1-Eth-Trunk2] quit [*iStack-1] commit
# Конфигурация такая же, как и конфигурации других Eth-Trunks в Table 1-3 и здесь не упоминается.
- Создайте VLAN100 на CSS и добавьте интерфейс,
подключенный к iStack к VLAN100, чтобы реализовать соединение уровня
2.
# В CSS разрешите VLAN100 на интерфейсе Eth-Trunk, подключенном к iStack-1.
[~CSS] interface eth-trunk 2 [*CSS-Eth-Trunk2] port link-type trunk [*CSS-Eth-Trunk2] undo port trunk allow-pass vlan 1 [*CSS-Eth-Trunk2] port trunk allow-pass vlan 100 [*CSS-Eth-Trunk2] quit [*CSS] commit
# На iStack-1 разрешите VLAN100 на интерфейсе Eth-Trunk, подключенном к CSS.
[~iStack-1] interface eth-trunk 2 [*iStack-1-Eth-Trunk2] port link-type trunk [*iStack-1-Eth-Trunk2] undo port trunk allow-pass vlan 1 [*iStack-1-Eth-Trunk2] port trunk allow-pass vlan 100 [*iStack-1-Eth-Trunk2] quit [*iStack-1] commit
# В CSS разрешите VLAN100 на интерфейсе Eth-Trunk, подключенном к iStack-2. Конфигурация такая же, как и конфигурация на предыдущем шаге.
- Назначьте IP-адрес для каждого
интерфейса.
# Настройте IP-адреса для интерфейсов уровня 3, соединяющих CSS с брандмауэрами и маршрутизатором. В качестве примера используется конфигурация IP-адреса VLANIF200.
[~CSS] vlan batch 200 [*CSS] interface Vlanif 200 [*CSS-Vlanif200] ip address 10.10.2.1 24 [*CSS-Vlanif200] quit [*CSS] interface eth-trunk 4 [*CSS-Eth-Trunk4] port link-type trunk [*CSS-Eth-Trunk4] undo port trunk allow-pass vlan 1 [*CSS-Eth-Trunk4] port trunk allow-pass vlan 200 [*CSS-Eth-Trunk4] port trunk pvid vlan 200 [*CSS-Eth-Trunk4] quit [*CSS] interface eth-trunk 6 [*CSS-Eth-Trunk6] port link-type trunk [*CSS-Eth-Trunk6] undo port trunk allow-pass vlan 1 [*CSS-Eth-Trunk6] port trunk allow-pass vlan 200 [*CSS-Eth-Trunk6] port trunk pvid vlan 200 [*CSS-Eth-Trunk6] quit [*CSS] commit
# Настройте IP-адреса для других интерфейсов уровня 3, подключенных к брандмауэрам и маршрутизатору в Table 1-3 в соответствии с предыдущим методом.
- Настройте маршруты между CSS, брандмауэрами и маршрутизатором
для реализации соединения уровня 3. Запустите OSPF между CSS и маршрутизатором
и настройте статические маршруты между CSS и брандмауэрами. Создайте
VRF-A на CSS, привяжите порты обслуживания и порты, подключенные к
брандмауэрам, к VRF-A. По умолчанию маршрут VRF-A предназначен для
виртуального IP-адреса виртуального IP-адреса VRRP брандмауэров.
# Создайте VRF-A на CSS, привяжите VLANIF100 и VLANIF200 к VRF-A и установите целевой адрес маршрута по умолчанию на виртуальный IP-адрес брандмауэров.
NOTE:
Когда интерфейс привязан к VRF-A, IP-адрес интерфейса будет удален, поэтому необходимо перенастроить IP-адрес.
[~CSS] ip vpn-instance VRF-A //Создайте VRF-A. [*CSS-vpn-instance-VRF-A] ipv4-family [*CSS-vpn-instance-VRF-A-af-ipv4] route-distinguisher 100:1 [*CSS-vpn-instance-VRF-A-af-ipv4] vpn-target 111:1 both [*CSS-vpn-instance-VRF-A-af-ipv4] quit [*CSS-vpn-instance-VRF-A] quit [*CSS] interface Vlanif 100 [*CSS-Vlanif100] ip binding vpn-instance VRF-A //Свяжите VLANIF100 с VRF-A. [*CSS-Vlanif100] ip address 10.10.1.1 24 [*CSS-Vlanif100] quit [*CSS] interface Vlanif 200 [*CSS-Vlanif200] ip binding vpn-instance VRF-A //Свяжите VLANIF200 с VRF-A. [*CSS-Vlanif200] ip address 10.10.2.1 24 [*CSS-Vlanif200] quit [*CSS] ip route-static vpn-instance VRF-A 0.0.0.0 0.0.0.0 10.10.2.5 //Добавьте маршрут по умолчанию, предназначенный для виртуального IP-адреса виртуального IP-адреса VRRP для VRF-A. [*CSS] commit
# Настройте статический маршрут из CSS в сегмент сети обслуживания с помощью брандмауэров в качестве следующего перехода. Запустите OSPF между CSS и маршрутизатором и импортируйте статический маршрут в OSPF.
[~CSS] ip route-static 10.10.1.0 255.255.255.0 10.10.3.5 //Настройте статический маршрут, предназначенный для сегмента сети обслуживания. Следующим ходом является виртуальный IP-адрес VRRP виртуального IP-адреса брандмауэров. [*CSS] ospf 100 //Запустите OSPF между CSS и маршрутизатором. [*CSS-ospf-100] area 0 [*CSS-ospf-100-area-0.0.0.0] network 10.10.10.0 0.0.0.255 [*CSS-ospf-100-area-0.0.0.0] quit [*CSS-ospf-100] import-route static //Импортируйте статический маршрут. [*CSS-ospf-100] quit [*CSS] commit
# Запустите OSPF на исходящем маршрутизаторе. Процедура настройки здесь не упоминается.
- Настройте
брандмауэры.
В этом примере брандмауэры - это брандмауэры Huawei USG.
# Выполните основные конфигурации на FW-1, включая имя устройства, интерфейс и зону безопасности.
<USG>system-view [USG] sysname FW-1 [FW-1] interface Eth-Trunk 4 [FW-1-Eth-Trunk4] trunkport GigabitEthernet 1/0/0 1/0/1 [FW-1-Eth-Trunk4] ip address 10.10.2.2 24 [FW-1-Eth-Trunk4] quit [FW-1] interface Eth-Trunk 5 [FW-1-Eth-Trunk5] trunkport GigabitEthernet 1/1/0 1/1/1 [FW-1-Eth-Trunk5] ip address 10.10.3.2 24 [FW-1-Eth-Trunk5] quit [FW-1] interface Eth-Trunk 1 [FW-1-Eth-Trunk1] trunkport GigabitEthernet 2/0/0 2/0/1 [FW-1-Eth-Trunk1] ip address 10.1.1.1 24 [FW-1-Eth-Trunk1] quit [FW-1] firewall zone trust [FW-1-zone-trust] add interface Eth-Trunk 4 [FW-1-zone-trust] quit [FW-1] firewall zone untrust [FW-1-zone-untrust] add interface Eth-Trunk 5 [FW-1-zone-untrust] quit [FW-1] firewall zone dmz [FW-1-zone-dmz] add interface Eth-Trunk 1 [FW-1-zone-dmz] quit
# Выполните основные конфигурации на FW-2, включая имя устройства, интерфейс и зону безопасности.
<USG>system-view [USG] sysname FW-2 [FW-2] interface Eth-Trunk 4 [FW-2-Eth-Trunk4] trunkport GigabitEthernet 1/0/0 1/0/1 [FW-2-Eth-Trunk4] ip address 10.10.2.3 24 [FW-2-Eth-Trunk4] quit [FW-2] interface Eth-Trunk 5 [FW-2-Eth-Trunk5] trunkport GigabitEthernet 1/1/0 1/1/1 [FW-2-Eth-Trunk5] ip address 10.10.3.3 24 [FW-2-Eth-Trunk5] quit [FW-2] interface Eth-Trunk 1 [FW-2-Eth-Trunk1] trunkport GigabitEthernet 2/0/0 2/0/1 [FW-2-Eth-Trunk1] ip address 10.1.1.2 24 [FW-2-Eth-Trunk1] quit [FW-2] firewall zone trust [FW-2-zone-trust] add interface Eth-Trunk 4 [FW-2-zone-trust] quit [FW-2] firewall zone untrust [FW-2-zone-untrust] add interface Eth-Trunk 5 [FW-2-zone-untrust] quit [FW-2] firewall zone dmz [FW-2-zone-dmz] add interface Eth-Trunk 1 [FW-2-zone-dmz] quit
# Настроить статический маршрут на FW-1.
[FW-1] ip route-static 0.0.0.0 0.0.0.0 10.10.3.1 //Настройте маршрут из внутренней сети во внешнюю сеть. Следующим ходом является IP-адрес VLANIF300, подключенный к восходящему интерфейсу брандмауэра. [FW-1] ip route-static 10.10.1.0 255.255.255.0 10.10.2.1 //Настройте маршрут из внешней сети во внутреннюю сеть. Адрес назначения - это сегмент сети, в котором находится внутренний сервер, а следующий прыжок - это IP-адрес VLANIF200, подключенный к нижестоящему интерфейсу брандмауэра.
# Настроить статический маршрут на FW-2.
[FW-2] ip route-static 0.0.0.0 0.0.0.0 10.10.3.1 [FW-2] ip route-static 10.10.1.0 255.255.255.0 10.10.2.1
# Настроить горячий режим ожидания на FW-1.
[FW-1] interface Eth-Trunk 4 [FW-1-Eth-Trunk4] vrrp vrid 1 virtual-ip 10.10.2.5 24 master //Настройте виртуальный IP-адрес виртуального IP-адреса VRRP. [FW-1-Eth-Trunk4] quit [FW-1] interface Eth-Trunk 5 [FW-1-Eth-Trunk5] vrrp vrid 2 virtual-ip 10.10.3.5 24 master //Настройте виртуальный IP-адрес виртуального IP-адреса VRRP. [FW-1-Eth-Trunk5] quit [FW-1] hrp interface Eth-Trunk 1 remote 10.1.1.2 [FW-1] firewall packet-filter default permit interzone local dmz [FW-1] hrp enable
# Настройте горячий режим ожидания на FW-2.
[FW-2] interface Eth-Trunk 4 [FW-2-Eth-Trunk4] vrrp vrid 1 virtual-ip 10.10.2.5 24 slave [FW-2-Eth-Trunk4] quit [FW-2] interface Eth-Trunk 5 [FW-2-Eth-Trunk5] vrrp vrid 2 virtual-ip 10.10.3.5 24 slave [FW-2-Eth-Trunk5] quit [FW-2] hrp interface Eth-Trunk 1 remote 10.1.1.1 [FW-2] firewall packet-filter default permit interzone local dmz [FW-2] hrp enable
NOTE:
После настройки режима горячего резервирования конфигурации и сеансы активного устройства синхронизируются с резервным устройством, поэтому нужно только выполнить следующие конфигурации активного брандмауэра FW-1.
# Настройте политику безопасности и защиту от вторжений.
NOTE:
Перед настройкой защиты от вторжений убедитесь, что библиотека сигнатур вторжения является последней версией.
При настройке защиты от вторжений используйте стандартный файл вторжения по умолчанию default.
HRP_M[FW-1] policy interzone trust untrust outbound HRP_M[FW-1-policy-interzone-trust-untrust-outbound] policy 1 HRP_M[FW-1-policy-interzone-trust-untrust-outbound-1] policy source 10.10.1.0 mask 24 //Адрес источника - это сегмент сети, в котором находится внутренний сервер. HRP_M[FW-1-policy-interzone-trust-untrust-outbound-1] action permit HRP_M[FW-1-policy-interzone-trust-untrust-outbound-1] profile ips default //Используется файл по умолчанию. HRP_M[FW-1-policy-interzone-trust-untrust-outbound-1] quit HRP_M[FW-1-policy-interzone-trust-untrust-outbound] quit HRP_M[FW-1] policy interzone trust untrust inbound HRP_M[FW-1-policy-interzone-trust-untrust-inbound] policy 1 HRP_M[FW-1-policy-interzone-trust-untrust-inbound-1] policy destination 10.10.1.0 mask 24 //Адрес назначения - это сегмент сети, в котором находится внутренний сервер. HRP_M[FW-1-policy-interzone-trust-untrust-inbound-1] policy service service-set ftp http //В качестве примера здесь используются протоколы FTP и HTTP. Если в вашей сети запущены другие приложения, укажите их. HRP_M[FW-1-policy-interzone-trust-untrust-inbound-1] action permit HRP_M[FW-1-policy-interzone-trust-untrust-inbound-1] profile ips default HRP_M[FW-1-policy-interzone-trust-untrust-inbound-1] quit HRP_M[FW-1-policy-interzone-trust-untrust-inbound] quit HRP_M[FW-1] ips enable
# Настройте защиту от атак.
NOTE:
Пороги защиты от атаки в этом примере предназначены только для справки. Настройте пороговые значения в соответствии с объемом трафика в вашей сети.HRP_M[FW-1] firewall defend syn-flood enable HRP_M[FW-1] firewall defend syn-flood zone untrust max-rate 20000 HRP_M[FW-1] firewall defend udp-flood enable HRP_M[FW-1] firewall defend udp-flood zone untrust max-rate 1500 HRP_M[FW-1] firewall defend icmp-flood enable HRP_M[FW-1] firewall defend icmp-flood zone untrust max-rate 20000 HRP_M[FW-1] firewall blacklist enable HRP_M[FW-1] firewall defend ip-sweep enable HRP_M[FW-1] firewall defend ip-sweep max-rate 4000 HRP_M[FW-1] firewall defend port-scan enable HRP_M[FW-1] firewall defend port-scan max-rate 4000 HRP_M[FW-1] firewall defend ip-fragment enable HRP_M[FW-1] firewall defend ip-spoofing enable
# Настройка ASPF.
HRP_M[FW-1] firewall interzone trust untrust HRP_M[FW-1-interzone-trust-untrust] detect ftp //В качестве примера используется протокол FTP. Если в вашей сети запущены другие приложения, включите для них функцию ASPF. HRP_M[FW-1-interzone-trust-untrust] quit
Проверка конфигурации
После завершения конфигураций проверьте, могут ли серверы и маршрутизатор выполнять ping друг друга. В этом примере серверы выполняют ping маршрутизатора.
PC>ping 10.10.10.2 Ping 10.10.10.2: 32 data bytes, Press Ctrl_C to break From 10.10.10.2: bytes=32 seq=1 ttl=251 time=63 ms From 10.10.10.2: bytes=32 seq=2 ttl=251 time=94 ms From 10.10.10.2: bytes=32 seq=3 ttl=251 time=63 ms From 10.10.10.2: bytes=32 seq=4 ttl=251 time=62 ms From 10.10.10.2: bytes=32 seq=5 ttl=251 time=47 ms --- 10.10.10.2 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 47/65/94 ms
Файл конфигурации
Файл конфигурации маршрутизатора
# sysname Router # interface Eth-Trunk1 ip address 10.10.10.2 255.255.255.0 # interface XGigabitEthernet1/0/1 eth-trunk 1 # interface XGigabitEthernet1/0/2 eth-trunk 1 # ospf 100 area 0.0.0.0 network 10.10.10.0 0.0.0.255 # return
Файл конфигурации CSS на базовом уровне
# sysname CSS # vlan batch 100 200 300 1001 # ip vpn-instance VRF-A ipv4-family route-distinguisher 100:1 vpn-target 111:1 export-extcommunity vpn-target 111:1 import-extcommunity # stack # stack mode # stack member 1 domain 10 stack member 1 priority 150 # stack member 2 domain 10 # interface Vlanif100 ip binding vpn-instance VRF-A ip address 10.10.1.1 255.255.255.0 # interface Vlanif200 ip binding vpn-instance VRF-A ip address 10.10.2.1 255.255.255.0 # interface Vlanif300 ip address 10.10.3.1 255.255.255.0 # interface Vlanif1001 ip address 10.10.10.1 255.255.255.0 # interface Eth-Trunk1 description To_Router port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 1001 port trunk pvid vlan 1001 # interface Eth-Trunk2 description To_iStack-1 port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 100 # interface Eth-Trunk3 description To_iStack-2 port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 100 # interface Eth-Trunk4 description To_FW-1 port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 200 port trunk pvid vlan 200 # interface Eth-Trunk5 description To_FW-1 port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 300 port trunk pvid vlan 300 # interface Eth-Trunk6 description To_FW-2 port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 200 port trunk pvid vlan 200 # interface Eth-Trunk7 description To_FW-2 port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 300 port trunk pvid vlan 300 # interface Stack-Port1/1 # interface Stack-Port2/1 # interface 10GE1/1/0/1 port mode stack stack-port 1/1 # interface 10GE1/1/0/2 port mode stack stack-port 1/1 # interface 10GE1/1/0/3 port mode stack stack-port 1/1 # interface 10GE1/1/0/4 port mode stack stack-port 1/1 # interface 10GE1/1/0/5 eth-trunk 2 # interface 10GE1/1/0/6 eth-trunk 3 # interface 10GE1/1/0/7 eth-trunk 4 # interface 10GE1/1/0/8 eth-trunk 5 # interface 10GE1/1/0/10 dual-active detect mode direct # interface 10GE1/1/0/11 eth-trunk 1 # interface 10GE1/2/0/1 port mode stack stack-port 1/1 # interface 10GE1/2/0/2 port mode stack stack-port 1/1 # interface 10GE1/2/0/3 port mode stack stack-port 1/1 # interface 10GE1/2/0/4 port mode stack stack-port 1/1 # interface 10GE1/2/0/5 eth-trunk 2 # interface 10GE1/2/0/6 eth-trunk 3 # interface 10GE1/2/0/7 eth-trunk 6 # interface 10GE1/2/0/8 eth-trunk 7 # interface 10GE1/2/0/10 dual-active detect mode direct # interface 10GE2/1/0/1 port mode stack stack-port 2/1 # interface 10GE2/1/0/2 port mode stack stack-port 2/1 # interface 10GE2/1/0/3 port mode stack stack-port 2/1 # interface 10GE2/1/0/4 port mode stack stack-port 2/1 # interface 10GE2/1/0/5 eth-trunk 2 # interface 10GE2/1/0/6 eth-trunk 3 # interface 10GE2/1/0/7 eth-trunk 4 # interface 10GE2/1/0/8 eth-trunk 5 # interface 10GE1/2/0/10 dual-active detect mode direct # interface 10GE2/1/0/11 eth-trunk 1 # interface 10GE2/2/0/1 port mode stack stack-port 2/1 # interface 10GE2/2/0/2 port mode stack stack-port 2/1 # interface 10GE2/2/0/3 port mode stack stack-port 2/1 # interface 10GE2/2/0/4 port mode stack stack-port 2/1 # interface 10GE2/2/0/5 eth-trunk 2 # interface 10GE2/2/0/6 eth-trunk 3 # interface 10GE2/2/0/7 eth-trunk 6 # interface 10GE2/2/0/8 eth-trunk 7 # interface 10GE2/2/0/10 dual-active detect mode direct # ospf 100 import-route static area 0.0.0.0 network 10.10.10.0 0.0.0.255 # ip route-static 10.10.1.0 255.255.255.0 10.10.3.5 ip route-static vpn-instance VRF-A 0.0.0.0 0.0.0.0 10.10.2.5 # port-group group1 group-member 10GE1/1/0/1 group-member 10GE1/1/0/2 group-member 10GE1/1/0/3 group-member 10GE1/1/0/4 group-member 10GE1/2/0/1 group-member 10GE1/2/0/2 group-member 10GE1/2/0/3 group-member 10GE1/2/0/4 # return
Файл конфигурации iStack-1 на уровне доступа
# sysname iStack-1 # vlan batch 100 # stack # stack member 1 domain 20 stack member 1 priority 150 # stack member 2 domain 20 # interface Eth-Trunk2 description To_CSS port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 100 # interface Stack-Port1/1 # interface Stack-Port2/1 # interface 10GE1/0/1 port mode stack stack-port 1/1 # interface 10GE1/0/2 port mode stack stack-port 1/1 # interface 10GE1/0/3 port mode stack stack-port 1/1 # interface 10GE1/0/4 port mode stack stack-port 1/1 # interface 10GE1/0/5 eth-trunk 2 # interface 10GE1/0/6 eth-trunk 2 # interface 10GE1/0/9 dual-active detect mode direct # interface 10GE1/0/10 dual-active detect mode direct # interface 10GE2/0/1 port mode stack stack-port 2/1 # interface 10GE2/0/2 port mode stack stack-port 2/1 # interface 10GE2/0/3 port mode stack stack-port 2/1 # interface 10GE2/0/4 port mode stack stack-port 2/1 # interface 10GE2/0/5 eth-trunk 2 # interface 10GE2/0/6 eth-trunk 2 # interface 10GE2/0/9 dual-active detect mode direct # interface 10GE2/0/10 dual-active detect mode direct # return
Файл конфигурации iStack-2 на уровне доступа
# sysname iStack-2 # vlan batch 100 # stack # stack member 1 domain 30 stack member 1 priority 150 # stack member 2 domain 30 # interface Eth-Trunk3 description To_CSS port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 100 # interface Stack-Port1/1 # interface Stack-Port2/1 # interface 10GE1/0/1 port mode stack stack-port 1/1 # interface 10GE1/0/2 port mode stack stack-port 1/1 # interface 10GE1/0/3 port mode stack stack-port 1/1 # interface 10GE1/0/4 port mode stack stack-port 1/1 # interface 10GE1/0/5 eth-trunk 3 # interface 10GE1/0/6 eth-trunk 3 # interface 10GE1/0/9 dual-active detect mode direct # interface 10GE1/0/10 dual-active detect mode direct # interface 10GE2/0/1 port mode stack stack-port 2/1 # interface 10GE2/0/2 port mode stack stack-port 2/1 # interface 10GE2/0/3 port mode stack stack-port 2/1 # interface 10GE2/0/4 port mode stack stack-port 2/1 # interface 10GE2/0/5 eth-trunk 3 # interface 10GE2/0/6 eth-trunk 3 # interface 10GE2/0/9 dual-active detect mode direct # interface 10GE2/0/10 dual-active detect mode direct # return
Файл конфигурации FW-1
# sysname FW-1 # firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound # firewall defend port-scan enable firewall defend ip-sweep enable firewall defend ip-fragment enable firewall defend icmp-flood enable firewall defend udp-flood enable firewall defend syn-flood enable firewall defend ip-spoofing enable firewall defend action discard firewall defend icmp-flood zone untrust max-rate 20000 firewall defend udp-flood zone untrust max-rate 1500 firewall defend syn-flood zone untrust max-rate 20000 # hrp enable hrp interface Eth-Trunk1 remote 10.1.1.2 # ips enable # interface Eth-Trunk1 ip address 10.1.1.1 255.255.255.0 # interface Eth-Trunk4 ip address 10.10.2.2 255.255.255.0 vrrp vrid 1 virtual-ip 10.10.2.5 master # interface Eth-Trunk5 ip address 10.10.3.2 255.255.255.0 vrrp vrid 2 virtual-ip 10.10.3.5 master # interface GigabitEthernet1/0/0 undo shutdown eth-trunk 4 # interface GigabitEthernet1/0/1 undo shutdown eth-trunk 4 # interface GigabitEthernet1/1/0 undo shutdown eth-trunk 5 # interface GigabitEthernet1/1/1 undo shutdown eth-trunk 5 # interface GigabitEthernet2/0/0 undo shutdown eth-trunk 1 # interface GigabitEthernet2/0/1 undo shutdown eth-trunk 1 # profile type ips name default signature-set name default os both target both severity low medium high protocol all category all # firewall zone trust set priority 85 add interface Eth-Trunk4 # firewall zone untrust set priority 5 add interface Eth-Trunk5 # firewall zone dmz set priority 50 add interface Eth-Trunk1 # firewall interzone trust untrust detect ftp # policy interzone trust untrust inbound policy 1 action permit profile ips default policy service service-set ftp policy service service-set http policy destination 10.10.1.0 mask 24 # policy interzone trust untrust outbound policy 1 action permit profile ips default policy source 10.10.1.0 mask 24 # ip route-static 0.0.0.0 0.0.0.0 10.10.3.1 ip route-static 10.10.1.0 255.255.255.0 10.10.2.1 # return
Файл конфигурации FW-2
# sysname FW-2 # firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound # firewall defend port-scan enable firewall defend ip-sweep enable firewall defend ip-fragment enable firewall defend icmp-flood enable firewall defend udp-flood enable firewall defend syn-flood enable firewall defend ip-spoofing enable firewall defend action discard firewall defend icmp-flood zone untrust max-rate 20000 firewall defend udp-flood zone untrust max-rate 1500 firewall defend syn-flood zone untrust max-rate 20000 # hrp enable hrp interface Eth-Trunk1 remote 10.1.1.1 # ips enable # interface Eth-Trunk1 ip address 10.1.1.2 255.255.255.0 # interface Eth-Trunk4 ip address 10.10.2.3 255.255.255.0 vrrp vrid 1 virtual-ip 10.10.2.5 slave # interface Eth-Trunk5 ip address 10.10.3.3 255.255.255.0 vrrp vrid 2 virtual-ip 10.10.3.5 slave # interface GigabitEthernet1/0/0 undo shutdown eth-trunk 4 # interface GigabitEthernet1/0/1 undo shutdown eth-trunk 4 # interface GigabitEthernet1/1/0 undo shutdown eth-trunk 5 # interface GigabitEthernet1/1/1 undo shutdown eth-trunk 5 # interface GigabitEthernet2/0/0 undo shutdown eth-trunk 1 # interface GigabitEthernet2/0/1 undo shutdown eth-trunk 1 # profile type ips name default signature-set name default os both target both severity low medium high protocol all category all # firewall zone trust set priority 85 add interface Eth-Trunk4 # firewall zone untrust set priority 5 add interface Eth-Trunk5 # firewall zone dmz set priority 50 add interface Eth-Trunk1 # firewall interzone trust untrust detect ftp # policy interzone trust untrust inbound policy 1 action permit profile ips default policy service service-set ftp policy service service-set http policy destination 10.10.1.0 mask 24 # policy interzone trust untrust outbound policy 1 action permit profile ips default policy source 10.10.1.0 mask 24 # ip route-static 0.0.0.0 0.0.0.0 10.10.3.1 ip route-static 10.10.1.0 255.255.255.0 10.10.2.1 # return