所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S7700, S9700 V200R011C10 配置指南-业务随行和业务编排

本文档介绍了设备支持的业务随行和业务编排相关配置。主要内容包括业务随行的基本原理和配置过程,业务编排基本原理和配置过程,并提供相关的配置案例。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
通过业务编排完成对指定数据流的引导

通过业务编排完成对指定数据流的引导

组网需求

图2-6所示,M公司的机房中有一台FTP服务器,存储公司研发部门的重要数据。管理员小王需要保证这台FTP服务器的安全,防止被攻击导致的关键数据外泄。小王希望能通过业务编排完成以下任务:

  • 研发部门员工能访问这个FTP服务器,市场部门的员工不能访问这个FTP服务器。

  • 研发部门员工访问FTP服务器的数据流必须先经过防火墙进行安全检测。

  • 如果防火墙设备发生故障,研发部门员工不能访问FTP服务器。

图2-6  M公司组网

数据规划

表2-3  用户和资源的IP地址规划

用户和资源

IP地址

研发部门员工A

10.85.100.11

研发部门员工B

10.85.100.12

研发部门员工C

10.85.100.13

研发部门员工D

10.85.100.14

研发部门员工E

10.85.100.15

FTP服务器

10.85.10.2

Controller

10.85.10.3

SwitchA

10.85.10.5

NGFW

10.85.10.6

表2-4  业务流规划

序号

协议

源IP/掩码长度

源端口

目的IP/掩码长度

目的端口

1

TCP

10.85.100.11/32

22

10.85.10.2/32

21

2

TCP

10.85.100.12/32

3

TCP

10.85.100.13/32

4

TCP

10.85.100.14/32

5

TCP

10.85.100.15/32

表2-5  设备参数规划

设备

配置

交换机

与防火墙直连的接口:
  • 接口名称:GigabitEthernet 1/0/1
  • Vlan:Vlan100
  • IP地址:10.85.10.5/24
LoopBack 100:
  • IP地址:10.7.2.1/32
LoopBack 101:
  • IP地址:10.7.2.2/32

XMPP连接密码:Admin@123

防火墙

与交换机直连的接口:
  • 接口名称:GigabitEthernet 1/0/1
  • 安全区域:trust
  • IP地址:10.85.10.6/24
LoopBack 100:
  • IP地址:10.6.2.1/32
LoopBack 101:
  • IP地址:10.6.2.2/32

XMPP连接密码:Admin@123

Radius共享密钥:Radius@123

配置思路

具体配置思路如下:

  1. 在交换机和防火墙上配置基本参数。
    • 在交换机和防火墙上配置XMPP协议参数,以便在Controller上添加交换机和防火墙设备。
    • 在交换机和防火墙上配置各接口的地址和静态路由,实现网络中各设备之间能够互通。
      说明:
      需要保证配置的Loopback编号在设备中是最大的,本文使用的是100和101。
  2. 在Controller上通过XMPP协议添加交换机和防火墙设备。

  3. 在Controller上配置业务流,通过ACL规则实现仅研发部门员工访问FTP服务器。

  4. 在Controller上配置IP地址池和业务链资源,实现交换机和防火墙之间GRE隧道的建立。
    说明:
    IP地址池不能包含网络中正在使用的IP地址。
  5. 在Controller上编排并部署业务链,实现对访问FTP服务器的数据的重定向,先经过防火墙,再访问FTP服务器。

操作步骤

  1. 在交换机上配置各接口地址,静态路由和XMPP连接参数等基本参数。

    <HUAWEI> system-view
    [HUAWEI] sysname SwitchA
    [SwitchA] vlan batch 100 
    [SwitchA] interface gigabitethernet 1/0/1
    [SwitchA-GigabitEthernet1/0/1] port link-type trunk
    [SwitchA-GigabitEthernet1/0/1] port trunk allow-pass vlan 100
    [SwitchA-GigabitEthernet1/0/1] quit
    [SwitchA] interface vlanif 100
    [SwitchA-Vlanif100] ip address 10.85.10.5 24
    [SwitchA-Vlanif100] quit
    [SwitchA] interface LoopBack 100
    [SwitchA–LoopBack100] ip address 10.7.2.1 255.255.255.255
    [SwitchA–LoopBack100] quit
    [SwitchA] interface LoopBack 101
    [SwitchA–LoopBack101] ip address 10.7.2.2 255.255.255.255
    [SwitchA–LoopBack101] quit
    [SwitchA] ip route-static 10.6.2.1 255.255.255.255 10.85.10.6
    [SwitchA] ip route-static 10.6.2.2 255.255.255.255 10.85.10.6
    [SwitchA] group-policy controller 10.85.10.3 password Admin@123 src-ip 10.85.10.5
    

  2. 在防火墙上配置各接口地址,静态路由和XMPP连接参数等基本参数。
    1. 配置接口IP地址和安全区域,完成网络基本参数配置。

      1. 选择网络 > 接口
      2. 单击GE1/0/1对应的,按如下参数配置。

        安全区域

        trust

        IPv4

        IP地址

        10.85.10.6/24

    2. 配置RADIUS服务器。

      1. 选择对象 > 认证服务器 > RADIUS。单击“新建”,按如下参数配置。

        此处设置的参数必须与RADIUS服务器的参数保持一致,共享密钥为“Radius@123”。

      2. 单击“确定”

    3. 开启防火墙的敏捷网络功能。

      1. 选择系统 > 敏捷网络配置
      2. 勾选“敏捷网络功能”对应的“启用”
      3. 配置与Controller的对接参数。“Controller主服务器IP”参数后面的状态显示为“已连接”,表示防护墙与Agile Controller-Campus对接成功。
        说明:
        在业务编排场景中,由于防火墙要配置内容安全检测功能,因此“安全策略配置”必须选择为“手工配置”

    4. 在防火墙上配置两个Loopback接口。

      说明:
      您需要登录设备CLI控制台来完成该配置步骤。
      1. 单击界面右下方的
      2. 在“CLI控制台(未连接)”对话框中单击鼠标左键,连接设备CLI控制台。
      3. 连接成功后,配置如下命令。
        <sysname> sysname NGFW
        [NGFW] interface LoopBack 100
        [NGFW-LoopBack100] ip address 10.6.2.1 255.255.255.255
        [NGFW-LoopBack100] quit
        [NGFW] interface LoopBack 101
        [NGFW-LoopBack101] ip address 10.6.2.2 255.255.255.255
        [NGFW-LoopBack101] quit
        [NGFW] ip route-static 10.7.2.1 255.255.255.255 10.85.10.5
        [NGFW] ip route-static 10.7.2.2 255.255.255.255 10.85.10.5
        

  3. 在Controller上添加交换机和防火墙设备。
    1. 在主菜单中选择资源 > 设备 > 设备管理
    2. 单击“增加”
    3. 设置添加设备的参数。

      添加交换机和防火墙的参数设置如图2-7图2-8所示。

      “密码”为在设备上配置的通信密码“Admin@123”

      图2-7  添加交换机设备的参数设置

      图2-8  添加防火墙设备的参数设置

  4. 配置业务流。
    1. 在主菜单中选择策略 > 业务链编排 > 业务流定义
    2. 单击“增加”
    3. 设置业务流参数。

      参数设置如图2-9所示。

      图2-9  业务流参数设置

  5. 配置IP地址池。
    1. 在主菜单中选择策略 > 业务链编排 > IP地址池
    2. 单击“增加”
    3. 名称设置为“10.10.192.0”,IP地址设置为“10.10.192.0”,掩码长度设置为“24”

      图2-10  IP地址池参数设置

    4. 单击“确定”
  6. 配置业务链资源。
    1. 在主菜单中选择策略 > 业务链编排 > 业务链资源
    2. 单击“增加”
    3. 在左侧“编排设备”区域选择“SwitchA”,拖拽至右侧的“编排设备”节点上。
    4. 在左侧“业务设备”区域选择“NGFW”,拖拽至右侧的“防火墙”节点上。
    5. 在左侧“地址池”区域选择“10.10.192.0”

      图2-11  业务链资源参数设置

    6. 单击“保存”,在弹出的提示框中单击“是”
  7. 编排并部署业务链。
    1. 在主菜单中选择策略 > 业务链编排 > 业务链编排
    2. 单击“增加”
    3. 在左侧“业务流”区域选择“User_to_Datacenter”,拖拽至右侧的“业务流”节点上。
    4. 在左侧“编排设备”区域选择“SwitchA”,拖拽至右侧的“编排设备”节点上。
    5. “NGFW”设备拖拽至上方的防火墙节点上。
    6. 在左侧“链异常处理方式”区域选择“阻断”

      图2-12  业务链编排参数设置

    7. 单击“保存”,在弹出的提示框中单击“是”
  8. 验证配置结果。

    # 在Controller上查看交换机和防火墙之间的隧道是否建立成功。

    业务链资源下发后的隧道信息如图2-13所示。

    图2-13  隧道部署结果详情

    # 在交换机上通过命令display acl all能够看到业务流规则成功下发。

    [SwitchA] display acl all
     Total nonempty ACL number is 1 
    Advanced ACL S_ACL_20140401153202_B3E0 3998, 5 rules
    Acl's step is 5
     rule 5 permit tcp source 10.85.100.11 0 source-port eq 22 destination 10.85.1
    0.2 0 destination-port eq 21
     rule 10 permit tcp source 10.85.100.12 0 source-port eq 22 destination 10.85.
    10.2 0 destination-port eq 21
     rule 15 permit tcp source 10.85.100.13 0 source-port eq 22 destination 10.85.
    10.2 0 destination-port eq 21
     rule 20 permit tcp source 10.85.100.14 0 source-port eq 22 destination 10.85.
    10.2 0 destination-port eq 21
     rule 25 permit tcp source 10.85.100.15 0 source-port eq 22 destination 10.85.
    10.2 0 destination-port eq 21
    

    # 在交换机上通过命令display current-configuration | include traffic-redirect能够看到业务编排配置成功下发。

    [SwitchA] display current-configuration | include traffic-redirect
    traffic-redirect inbound acl name S_ACL_20140401153202_B3E0 3998 interface Tunnel16370 
    [SwitchA] interface Tunnel 16370
    [SwitchA-Tunnel16370] display this
    #
    interface Tunnel16370
     description Controller_S_from_10.6.2.1
     ip address 10.10.192.13 255.255.255.252
     tunnel-protocol gre
     keepalive period 1
     source 10.7.2.1
     destination 10.6.2.1
     traffic-filter inbound acl name S_ACL_20140401153202_B3E0 3998
    #
    return

配置文件

  • Switch的配置文件
    #
    sysname SwitchA
    #
    vlan batch 100
    #
    group-policy controller 10.85.10.3 password %^%#FG9.7h,|j$2'c2$LRG%N#lBU;3_^;AVo,7)"f%^M%^%# src-ip 10.85.10.5
    #
    interface Vlanif100
     ip address 10.85.10.5 255.255.255.0
    #
    interface LoopBack100
     ip address 10.7.2.1 255.255.255.255
    #
    interface LoopBack101
     ip address 10.7.2.2 255.255.255.255
    #
    interface GigabitEthernet1/0/1
     port link-type trunk
     port trunk allow-pass vlan 100
    #
    return
    
翻译
下载文档
更新时间:2019-03-28

文档编号:EDOC1000178283

浏览量:1789

下载量:218

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页