Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Configuración Rápida de Switches de Área de Campus de La Serie S PDF
Configuración Rápida de Switches de Área de Campus de La Serie S PDF
Aviso
Las funciones, los productos y los servicios adquiridos están estipulados en el contrato
celebrado entre Huawei y el cliente. Es posible que la totalidad o parte de los productos,
las funciones y los servicios descritos en el presente documento no se encuentren
dentro del alcance de compra o de uso. A menos que el contrato especifique lo
contrario, ninguna de las afirmaciones, informaciones ni recomendaciones contenidas
en este documento constituye garantía alguna, ni expresa ni implícita.
1 Antes de comenzar 1
4 Preguntas frecuentes 55
5 Referencia 58
1 Antes de comenzar
Este documento lo ayudaráa iniciar sesión en los switches de la serie S de Huawei y a
configurarlos rápidamente. Para conocer más configuraciones de servicios, consulte la
guía de configuración del switch.
1
2 Redes de campus pequeñas
2
2.1 Plan de datos
Antes de configurar el switch y el router, prepare los siguientes datos para usar los en la sección
siguiente.
3
Acción Componente Datos Descripción
Configurar
snooping
DHCP e Interfaz fiable Eth-Trunk1 No hay
IPSG
4
Configuración rápida de redes de campus
2.2 pequeñas
Paso 2. Configurar
la dirección IP de
gestión y la función
Telnet.
Paso 8. Verificar los
servicios.
Paso 3. Configurar
las interfaces y las
VLAN.
Paso 7. Configurar
snooping DHCP e
IPSG.
Paso 4. Configurar
el DHCP.
Paso 5. Configurar
Paso 6. Configurar
el enrutamiento del
el router de egreso.
CORE.
5
Inicio de sesión en el switch
1 Conecte su ordenador al switch a través del cable de consola que se entrega junto
con el switch. Si su ordenador no tiene un puerto serie, use un cable adaptador
USB a serie.
Stop bit 1
Data bit 8
6
3 Pulse Connect hasta que aparezca la siguiente información en pantalla.
Introduzca la nueva contraseña y, a continuación, vuelva a introducirla para
confirmarla.
Login authentication
Username:admin
Password:
7
Configuración de la dirección IP de gestión y de Telnet
Después de haber configurado la dirección IP de gestión de un switch, podrá iniciar
sesión en el switch usando esta dirección. En el ejemplo siguiente, se utiliza el CORE
para mostrar el procedimiento de configuración de la dirección IP de gestión y de Telnet.
1 Configure la dirección IP de gestión.
<HUAWEI> system-view
[HUAWEI] vlan 5 //Cree la VLAN 5 de gestión.
[HUAWEI-VLAN5] management-vlan
[HUAWEI-VLAN5] quit
[HUAWEI] interface vlanif 5
[HUAWEI-vlanif5] ip address 10.10.1.1 24
[HUAWEI-vlanif5] quit
2 Configure Telnet.
[HUAWEI] telnet server enable //Por defecto, la función Telnet viene deshabilitada.
[HUAWEI] user-interface vty 0 4 ////Por lo general, un administrador inicia sesión
en el switch a través de Telnet. Se recomienda la autenticación AAA.
[HUAWEI-ui-vty0-4] protocol inbound telnet
//La versión V200R006 y las versiones anteriores a esta admiten Telnet. La versión
V200R007 y las versiones posteriores a esta admiten SSH por defecto. Si la versión
del switch es V200R007 o una versión posterior, ejecute este comando antes de iniciar
sesión en el switch a través de Telnet.
[HUAWEI-ui-vty0-4] authentication-mode aaa
[HUAWEI-ui-vty0-4] idle-timeout 15
[HUAWEI-ui-vty0-4] quit
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin password irreversible-cipher Helloworld@6789
//Configure el nombre de usuario y la contraseña para el inicio de sesión de Telnet.
El nombre de usuario no es sensible al uso de mayúsculas y minúsculas, en cambio la
contraseña sí lo es.
[HUAWEI-aaa] local-user admin privilege level 15 //Establezca 15 (el nivel más alto)
como nivel de la cuenta de administrador.
[HUAWEI-aaa] local-user admin service-type telnet
8
Configuración de interfaces y VLAN
a. Configure el switch de acceso.
Comenzando con el switch de acceso ACC1 como ejemplo, cree la VLAN 10 de servicio
1 en el ACC1.
<HUAWEI> system-view
[HUAWEI] sysname ACC1 //Establezca ACC1 como nombre del switch.
[ACC1] vlan batch 10 //Cree VLAN en lote.
2 Configure la troncal Eth 1, a través de la cual el ACC1 se conecta con el CORE, para
permitir el paso de los paquetes de la VLAN del departamento A.
9
3 Configure las interfaces en el ACC1 que conectan los dispositivos de usuario para que
los dispositivos de usuario puedan ser añadidos a las VLAN. Configure las interfaces
como puertos de borde.
Para añadir a la VLAN 10 todos los usuarios que están conectados al ACC1,
se puede añadir la troncal Eth 1 del CORE a la VLAN 10 como una interfaz de
acceso y no añadir las interfaces del ACC1 a la VLAN 10, lo que simplifica la
configuración. Esta configuración garantiza que todos los usuarios conectados
a la troncal Eth 1 pertenecen a la VLAN 10.
10
b. Configure el switch de core (CORE).
1 Cree las VLAN para que el CORE se comunique con el ACC1, el ACC2 y el router de
egreso.
<HUAWEI> system-view
[HUAWEI] sysname CORE //Establezca CORE como nombre del switch.
[CORE] vlan batch 10 20 100 //Cree VLAN en lote.
[CORE-Eth-Trunk1] quit
[CORE] interface GigabitEthernet 0/0/1 //Añada interfaces miembro a la troncal
Eth 1.
[CORE-GigabitEthernet0/0/1] Eth-Trunk 1
[CORE-GigabitEthernet0/0/1] quit
[CORE] interface GigabitEthernet 0/0/2
[CORE-GigabitEthernet0/0/2] Eth-Trunk 1
[CORE-GigabitEthernet0/0/2] quit
[CORE] interface Vlanif 10 //Configure una interfaz VLANIF para permitir
que el departamento A se comunique con el departamento B a través de la capa 3.
[CORE-Vlanif10] ip address 10.10.10.1 24
[CORE-Vlanif10] quit
[CORE] interface Vlanif 20 //Configure una interfaz VLANIF para permitir
que el departamento B se comunique con el departamento A a través de la capa 3.
[CORE-Vlanif20] ip address 10.10.20.1 24
[CORE-Vlanif20] quit
11
4 Después de configurar las interfaces y las VLAN, ejecute los siguientes comandos
para ver los resultados de la configuración. Para obtener información detallada sobre
el resultado de los comandos, consulte la Referencia de comandos .
Partner:
--------------------------------------------------------------------------------
ActorPortName SysPri SystemID PortPri PortNo PortKey PortState
GigabitEthernet0/0/1 32768 0012-3321-2212 32768 2 289 10111100
GigabitEthernet0/0/2 32768 0012-3321-2212 32768 3 289 10111100
12
Ejecute el comando display eth-trunk para visualizar la configuración de la troncal
Eth en CORE.
Partner:
--------------------------------------------------------------------------------
ActorPortName SysPri SystemID PortPri PortNo PortKey PortState
GigabitEthernet0/0/1 32768 0012-3321-2211 32768 2 289 10111100
GigabitEthernet0/0/2 32768 0012-3321-2211 32768 3 289 10111100
13
Configurar DHCP
Configure el servidor DHCP en el CORE para asignar direcciones IP a los dispositivos
de usuario del departamento A (VLAN 10) y del departamento B (VLAN 20).
En el ejemplo que se muestra a continuación, se utiliza el departamento A.
14
Ejecute el comando display ip pool para visualizar la información de
3 configuración y uso. El ejemplo detallado a continuación muestra la
configuración del grupo global de direcciones 10.
-----------------------------------------------------------------------
------
Start End Total Used Idle(Expired) Conflict
Disable
-----------------------------------------------------------------------
------
10.10.10.1 10.10.10.254 253 4 249(0) 0
0
-----------------------------------------------------------------------
------
15
Una vez finalizada la configuración del servidor DHCP, configure los
adaptadores de red en los ordenadores terminales para obtener las
direcciones IP automáticamente. Los ordenadores terminales pueden
luego obtener las direcciones IP del servidor DHCP y acceder a Internet.
# Deshabilite el STP.
# Configure la interfaz del switch que se conecta a los dispositivos de usuario como un
puerto de borde.
16
Configuración del enrutamiento
1 Configure una ruta estática predeterminada hacia el gateway de egreso del campus
en el CORE para que el CORE reenvíe el tráfico de intranet al router de egreso.
17
Configuración del router de egreso
1 Configure direcciones IP para las interfaces del router de egreso que se conectan a la
intranet y a Internet.
[Router] interface GigabitEthernet 0/0/1
[Router -GigabitEthernet0/0/0] ip address 202.101.111.2 30
[Router] interface GigabitEthernet 1/0/0
[Router-GigabitEthernet0/0/1] ip address 10.10.100.2 24
Configure una ACL para permitir que los usuarios de algunos segmentos de red
2 accedan a Internet.
3 Configure la NAT en la interfaz que se conecta a Internet para que los usuarios de la
intranet puedan acceder a Internet.
4 Configure una ruta específica hacia la intranet y una ruta estática predeterminada
hacia Internet.
[Router] ip route-static 10.10.10.0 255.255.255.0 10.10.100.1
[Router] ip route-static 10.10.20.0 255.255.255.0 10.10.100.1
[Router] ip route-static 0.0.0.0 0.0.0.0 202.101.111.1
18
Configuración de snooping DHCP e IPSG
Los dispositivos de usuario pueden obtener las direcciones IP automáticamente una vez
configurado el DHCP. Si un usuario conecta un router pequeño a la intranet y habilita el
servidor DHCP en el router, los usuarios autorizados de la intranet podrán obtener las
direcciones IP asignadas por el router pequeño y no podrán acceder a Internet. A fin de
evitar este problema, configure la función DHCP snooping.
En el ejemplo que se muestra a continuación, se utiliza el departamento A.
<ACC1> system-view
[ACC1] dhcp enable //Habilite DHCP.
[ACC1] dhcp snooping enable //Habilite la función snooping DHCP.
Habilite el snooping DHCP en las interfaces que se conectan con los dispositivos de
3 usuario.
[ACC1] interface ethernet 0/0/2 //Configure la interfaz de conexión al ordenador 1.
[ACC1-Ethernet0/0/2] dhcp snooping enable
[ACC1-Ethernet0/0/2] quit
[ACC1] interface ethernet 0/0/3 //Configure la interfaz de conexión al ordenador 2.
[ACC1-Ethernet0/0/3] dhcp snooping enable
[ACC1-Ethernet0/0/3] quit
[ACC1] interface ethernet 0/0/4 //Configure la interfaz de conexión a las
impresoras.
[ACC1-Ethernet0/0/4] dhcp snooping enable
[ACC1-Ethernet0/0/4] quit
19
Para evitar que los usuarios cambien las direcciones IP y ataquen la intranet,
habilite IPSG después de habilitar snooping DHCP en el switch de acceso. En el
ejemplo que se muestra a continuación, se utiliza ACC1.
[ACC1] vlan 10
[ACC1-vlan10] ip source check user-bind enable //Habilite IPSG.
[ACC1-vlan10] quit
Para obtener detalles sobre cómo configurar el switch para evitar que los usuarios
conecten un router pequeño (servidor DHCP ficticio) a la intranet y cambien las
direcciones IP, consulte las secciones “Configuración de funciones básicas de
snooping DHCP”, “Configuración de IPSG” y los ejemplos de configuración
correspondientes de la Guía de configuración, sección Seguridad.
20
Verificación de servicios
1 Seleccione dos ordenadores dentro de un departamento para realizar pruebas de ping y
verifique si la interoperación de capa 2 del departamento es normal.
El siguiente ejemplo utiliza dos ordenadores (ordenador 1 y ordenador 2) en el departamento
A. Los dos ordenadores se comunican en la capa 2 a través del ACC1. Si pueden hacer ping entre
síexitosamente, significa que la interoperación de capa 2 es normal.
21
Cómo guardar la configuración
Antes de reiniciar el switch deberá guardar los datos en el archivo de configuración. Los
datos no guardados y configurados a través de líneas de comandos se perderándespués
de reiniciar el switch.
<CORE> save
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Now saving the current configuration to the slot 0..
Save the configuration successfully.
22
3 Redes de campus pequeñas y medianas
Esta sección usa el modelo S2750 como switch de acceso
(ACC1), el modelo S5700 como switch de core (CORE) y la serie
AR como router de egreso (Router) , como ejemplos para
demostrar el procedimiento de configuración para redes de
campus pequeñas y medianas.
Intranet GE0/0/0
empresarial Router
GE0/0/1 GE0/0/2
GE0/0/7 GE0/0/7
VLANIF 100 VLANIF 200
Switch de CORE1 VLANIF 300
agregación CORE2
GE0/0/1
/core GE0/0/5
VLANIF 10
VLANIF 20
GE0/0/2
Switch de GE0/0/3
acceso
GE0/0/4 Servidores
ACC1
VLAN 50
GE0/0/1 GE0/0/2
Dpto. C ACC2 ACC3 Dpto. D
Dpto. A Dpto. B VLAN 30 ACC4
VLAN 40
VLAN 10 VLAN 20
23
3.1 Plan de datos
Antes de configurar el switch y el router, prepare los siguientes datos para usarlos en la
sección siguiente.
Acción Componente Datos Descripción
Dirección IP de la
La dirección IP de gestión se utiliza para iniciar
interfaz de
Configurar la 10.10.1.1/24 sesión en el switch.
gestión
dirección IP
de gestión y Ethernet0/0/0 para switches modulares
la función VLAN de MEth0/0/1 para S2750, S5700 y S6700
Telnet VLAN 5
gestión En los modelos S2700 y S3700 se crea una interfaz
VLANIF que funcionará como interfaz de gestión.
Configurar
interfaces y
La VLAN predeterminada del switch es la VLAN1.
VLAN
Para aislar los departamentos A y B en la capa 2,
ACC1: VLAN 10, 20
añada el departamento A a la VLAN 10 y el B a la
ID de VLAN CORE1: VLAN 10, 20, 30,
VLAN 20.
40, 50, 100, 300
El switch CORE1 se conecta al router de egreso a
través de VLANIF100.
24
Acción Componente Datos Descripción
25
Configuración rápida de redes de campus
3.2 pequeñas y medianas
Siga el procedimiento que se muestra a continuación para configurar los switchesy el
router. Una vez finalizadas las configuraciones, los dispositivos de usuario dentro del
campus podrán comunicarse entre síy los usuarios de la intranet podrán acceder a
Internet.
Paso 2. Configurar la
Paso 9. Configurar el
dirección IP de
servidor NAT y
gestión y la función
múltiples interfaces
Telnet.
de egreso.
Paso 7. Configurar la
Paso 4. Configurar el
agregación de
DHCP.
enlaces.
Paso 6. Configurar la
Paso 5. Configurar el
fiabilidad y el
OSPF.
balanceo de carga.
26
Inicio de sesión en el switch
Conecte su ordenador al switch a través del cable de consola que se entrega junto
1
con el switch. Si su ordenador no tiene un puerto serie, use un cable adaptador
USB-serie.
Stop bit 1
Data bit 8
27
Pulse Connect hasta que aparezca la siguiente información en pantalla. Introduzca
3 la nueva contraseña y, a continuación, vuelva a introducirla para confirmarla.
Login authentication
Username:admin
Password:
28
Configuración de la dirección IP de gestión y de Telnet
Después de haber configurado la dirección IP de gestión de un switch, podrá iniciar
sesión en el switch usando esta dirección. En el ejemplo siguiente, se utiliza el CORE1
para mostrar el procedimiento de configuración de la dirección IP de gestión y deTelnet.
1 Configure la dirección IP de gestión.
<HUAWEI> system-view
[HUAWEI] vlan 5 //Cree la VLAN 5 de gestión.
[HUAWEI-VLAN5] quit
[HUAWEI] interface vlanif 5 //Cree la interfaz VLANIF de la
VLAN de gestión.
[HUAWEI-vlanif5] ip address 10.10.1.1 24 //Configure una dirección IP
para la interfaz VLANIF.
[HUAWEI-vlanif5] quit
2 Configure Telnet.
[HUAWEI] telnet server enable //Por defecto, la función Telnet viene deshabilitada.
[HUAWEI] user-interface vty 0 4 //Por lo general, un administrador inicia sesión en el
switch a través de Telnet. Se recomienda la autenticación AAA.
[HUAWEI-ui-vty0-4] protocol inbound telnet
//La versión V200R006 y las versiones anteriores a esta admiten Telnet. La versión V200R007
y las versiones posteriores a esta admiten SSH por defecto. Si la versión del switch es
V200R007 o una versión posterior, ejecute este comando antes de iniciar sesión en el switch a
través de Telnet.
[HUAWEI-ui-vty0-4] authentication-mode aaa
[HUAWEI-ui-vty0-4] idle-timeout 15
[HUAWEI-ui-vty0-4] quit
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin password irreversible-cipher Helloworld@6789
//Configure el nombre de usuario y la contraseña para el inicio de sesión por Telnet. El
nombre de usuario no es sensible al uso de mayúsculas y minúsculas, en cambio la contraseña
sí lo es.
[HUAWEI-aaa] local-user admin privilege level 15 //Establezca 15 (el nivel más alto) como
nivel de la cuenta de administrador.
[HUAWEI-aaa] local-user admin service-type telnet
29
Configuración de la conectividad de red
a. Configure el switch de acceso.
Comenzando con el switch de acceso ACC1 como ejemplo, cree las VLAN 10 y 20
1 de servicio en el ACC1.
<HUAWEI> system-view
[HUAWEI] sysname ACC1 //Establezca ACC1 como nombre del switch.
[ACC1] vlan batch 10 20 //Cree VLAN en lote.
3 Configure las interfaces en el ACC1 que conectan los dispositivos de usuario para
que los dispositivos de usuario de los distintos departamentos puedan ser añadidos
a las VLAN.
[ACC1] interface GigabitEthernet 0/0/1 //Configure la interfaz de
conexión al departamento A.
[ACC1-GigabitEthernet0/0/1] port link-type access
[ACC1-GigabitEthernet0/0/1] port default vlan 10
[ACC1-GigabitEthernet0/0/1] quit
[ACC1] interface GigabitEthernet 0/0/2 //Configure la interfaz de
conexión al departamento B.
[ACC1-GigabitEthernet0/0/2] port link-type access
[ACC1-GigabitEthernet0/0/2] port default vlan 20
[ACC1-GigabitEthernet0/0/2] quit
30
b. Configure el switch de agregación/switch de core (CORE1).
1 Cree las VLAN para que el CORE1 se comunique con los switches de acceso, con el
CORE2 y con el router de egreso.
<HUAWEI> system-view
[HUAWEI] sysname CORE1 //Establezca CORE1 como nombre del switch.
[CORE1] vlan batch 10 20 30 40 50 100 300 //Cree VLAN en lote.
Configure interfaces del lado del usuario e interfaces VLANIF. Para lacomunicación
2 entre los departamentos se utilizan interfaces VLANIF. Por ejemplo, el CORE1 se
conecta con ACC1 a través de GE0/0/1. No se menciona aquíla configuración de
otras interfaces.
[CORE1] interface GigabitEthernet0/0/1
[CORE1-GigabitEthernet0/0/1] port link-type trunk //Establezca Trunk como tipo de interfaz
para lograr una transmisión transparente de VLAN.
[ CORE1-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20 //Configure GE0/0/1 para
transmitir de manera transparente las VLAN de servicio en ACC1.
[CORE1-GigabitEthernet0/0/1] quit
[CORE1] interface Vlanif 10 //Configure una interfaz VLANIF 10 para permitir
que el departamento A se comunique con el departamento B a través de la capa 3.
[CORE1-Vlanif10] ip address 192.168.10.1 24
[CORE1-Vlanif10] quit
[CORE1] interface Vlanif 20 //Configure una interfaz VLANIF 20 para permitir
que el departamento B se comunique con el departamento A a través de la capa 3.
[CORE1-Vlanif20] ip address 192.168.20.1 24
[CORE1-Vlanif20] quit
Configure las interfaces que se conectan directamente con el CORE2 y configure una
4 interfaz VLANIF.
31
c. Observe los resultados de la configuración.
1 Después de configurar las interfaces y las VLAN, ejecute los siguientes comandos
para ver los resultados de la configuración. Para obtener información detallada sobre
el resultado de los comandos, consulte la Referencia de Comandos .
Ejecute el comando display vlan para visualizar la configuración de VLAN en ACC1.
32
d. Configure las direcciones IP de las interfaces del router de egreso.
1 Configure una dirección IP para la interfaz que se conecta a la intranet.
<HUAWEI> system-view
[HUAWEI] sysname Router
[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] ip address 172.16.1.2 24 //Configure una
dirección IP para la interfaz de conexión al CORE1.
[Router-GigabitEthernet0/0/1] quit
[Router] interface GigabitEthernet 0/0/2
[Router-GigabitEthernet0/0/2] ip address 172.16.2.2 24 //Configure una
dirección IP para la interfaz de conexión al CORE2.
[Router-GigabitEthernet0/0/2] quit
33
f. Configure el VRRP para que implemente la redundancia del
gateway virtual.
Una vez configurado el VRRP en el CORE1 y en el CORE2, los switches de acceso reenvían el tráfico
al CORE1. Si el CORE1 presenta fallos, se produce una conmutación por fallo del VRRP y el CORE2
pasa a ser el switch principal. A continuación, los switches de acceso reenvían el tráfico al CORE2.
Si no existe un bucle en la red, también puede ejecutar el comando stp disable para
deshabilitar STP en el switch de acceso.
[ACC1] stp disable
Warning: The global STP state will be changed. Continue? [Y/N] y
34
g. Configure el router de egreso para permitir a los usuarios de la
intranet acceder a Internet.
Configure una ACL para permitir que los usuarios accedan a Internet. El ejemplo que
1 se muestra a continuación permite a los usuarios de las VLAN 10 y 20 que accedan a
Internet.
2 Configure la NAT en la interfaz que se conecta a Internet para que los usuarios de la
intranet puedan acceder a Internet.
[Router] interface GigabitEthernet 0/0/0
[Router-GigabitEthernet0/0/0] nat outbound 2000
35
Configurar DHCP
1 Configure el CORE1 como el servidor DHCP activo para asignar las direcciones IP
dentro del rango de 192.168.10.1 a 192.168.10.127.
<CORE1> system-view
[CORE1] dhcp enable
[CORE1] ip pool 10
[CORE1-ip-pool-10] gateway-list 192.168.10.3 //Configure la
dirección del gateway.
[CORE1-ip-pool-10] network 192.168.10.0 mask 24 //Configure el rango
de direcciones IP asignables.
[CORE1-ip-pool-10] excluded-ip-address 192.168.10.128 192.168.10.254
// Excluya las direcciones IP dentro del rango de 192.168.10.128 a
192.168.10.254.
[CORE1-ip-pool-10] lease day 0 hour 20 minute 0 //Configure el
arrendamiento de direcciones IP.
[CORE1-ip-pool-10] dns-list 202.101.111.195 //Configure la dirección
del servidor DNS.
[CORE1-ip-pool-10] quit
36
Configure el CORE2 como el servidor DHCP standby para asignar la
2 segunda mitad de todas las direcciones IP del grupo de direcciones.
<CORE2> system-view
[CORE2] dhcp enable
[CORE2] ip pool 10
[CORE2-ip-pool-10] gateway-list 192.168.10.3
[CORE2-ip-pool-10] network 192.168.10.0 mask 24
[CORE2-ip-pool-10] excluded-ip-address 192.168.10.1 192.168.10.2
[CORE2-ip-pool-10] excluded-ip-address 192.168.10.4 192.168.10.127
[CORE2-ip-pool-10] lease day 0 hour 20 minute 0
[CORE2-ip-pool-10] dns-list 202.101.111.195
[CORE2-ip-pool-10] quit
Ver asignación de
direccionesIP.
37
Una vez finalizada la configuración del servidor DHCP, configure los
adaptadores de red en los ordenadores terminales para obtener las
direcciones IP automáticamente. Los ordenadores terminales pueden
luego obtener las direcciones IP del servidor DHCP y acceder a
Internet.
# Deshabilite el STP.
# Configure la interfaz del switch que se conecta a los dispositivos de usuario como
un puerto de borde.
[ACC1] interface GigabitEthernet 0/0/1
[ACC1- GigabitEthernet 0/0/1] stp edged-port enable
38
b. Configure snooping DHCP e IPSG
<ACC1> system-view
[ACC1] dhcp enable //Habilite DHCP.
[ACC1] dchp snooping enable //Habilite la función snooping DHCP.
Configure el snooping DHCP en las interfaces que se conectan con los dispositivos de
2 usuario.
[ACC1] interface GigabitEthernet 0/0/1 //Configure la interfaz de
conexión a los dispositivos de usuario en el departamento A.
[ACC1-GigabitEthernet 0/0/1] dhcp snooping enable
[ACC1-GigabitEthernet 0/0/1] quit
[ACC1] interface GigabitEthernet 0/0/2 //Configure la interfaz de
conexión a los dispositivos de usuario en el departamento B.
[ACC1-GigabitEthernet 0/0/2] dhcp snooping enable
[ACC1-GigabitEthernet 0/0/2] quit
Habilite el snooping DHCP en las interfaces que se conectan con los servidores DHCP
3 y configure las interfaces como interfaces fiables.
39
Para evitar que los usuarios cambien las direcciones IP y ataquen la intranet,
habilite IPSG después de habilitar snooping DHCP en el switch de acceso. En el
ejemplo que se muestra a continuación, se utiliza ACC1.
[ACC1] vlan 10
[ACC1-vlan10] ip source check user-bind enable //Habilite IPSG.
[ACC1-vlan10] quit
Para obtener detalles sobre cómo configurar el switch para evitar que los usuarios
conecten un router pequeño (servidor DHCP ficticio) a la intranet y cambien las
direcciones IP, consulte las secciones “Configuración de funciones básicas de
snooping DHCP”, “Configuración de IPSG” y los ejemplos de configuración
correspondientes de la Guía de configuración-sección Seguridad.
40
Configuración del OSPF
41
Configure OSPF en el router de egreso. Para conectar la intranet con Internet,
5 configure una ruta estática predeterminada hacia Internet. Anuncie la ruta
predeterminada en el área del OSPF y configure una ruta estática predeterminada
hacia el dispositivo deloperador.
Para obtener información detallada sobre la configuración del OSPF y los comandos,
consulte la sección “Configuración del OSPF” y los ejemplos de configuración
correspondientes de la Guía de configuración, sección Enrutamiento de unicast
42
Configuración de la fiabilidad y del balanceo de carga
43
b. Configure el balanceo de carga.
44
Configuración de la agregación de enlaces
Si el enlace ascendente del CORE1 o del CORE2 falla, el tráfico pasa a través del
enlace entre el CORE1 y el CORE2. Sin embargo, el ancho de banda del enlace
podría ser insuficiente, lo que generaría pérdidas de paquetes. Es posible vincular
múltiples enlaces físicos a un enlace lógico para aumentar el ancho de banda y
mejorar la fiabilidad de los enlaces. En el ejemplo que se muestra a continuación, se
utiliza CORE1.
ISP1 ISP2
Intranet
empresarial
Switch de
agregación/core
45
1 Configure la agregación de enlaces.
# Configure la prioridad del sistema del CORE1 en 100 para que el CORE1 pase a
ser el Actor.
[CORE1] lacp priority 100
46
Configuración de la limitación de velocidad
47
b. Configure la limitación de velocidad en función de todo el tráfico
de un segmento de red.
Para reservar recursos de ancho de banda suficientes para el departamento A a
medida que los servicios crecen, configure la limitación de velocidad para el
departamento B. La velocidad de acceso a Internet en el departamento B no puede
superar los 2 Mbit/s y la velocidad de descarga no puede superar los 4 Mbit/s.
1 Configure una ACL en el router de egreso para permitir el paso de los paquetes
provenientes del departamento B.
[Router] acl 2222
[Router-acl-basic-2222] rule permit source 192.168.20.0 0.0.0.255
[Router-acl-basic-2222] quit
2 Configure la limitación de velocidad en las interfaces del lado de la LAN del router de
egreso para limitar la velocidad de acceso a Internet y la velocidad de descarga.
48
Configuración del servidor NAT y de múltiples
interfaces de egreso
a. Configure el servidor NAT.
A medida que los servicios crecen, el servidor web y el servidor FTP en la intranet
deben prestar servicios a los usuarios internos y externos que acceden a los
servidores a través de direcciones IP públicas.
1 Configure el router de egreso para permitir que los usuarios externos accedan a los
servidores de intranet a través de direcciones IP públicas.
[Router] interface GigabitEthernet 0/0/0
[Router-GigabitEthernet0/0/0] nat server protocol tcp global current-
interface www inside 192.168.50.99 www
Warning:The port 80 is well-known port. If you continue it may cause
function failure.
Are you sure to continue?[Y/N]:y
[Router-GigabitEthernet0/0/0] nat server protocol tcp global current-
interface ftp inside 192.168.50.199 ftp
3 Configure una ACL para permitir que los usuarios de intranet accedan a los servidores
de intranet a través de direcciones IP públicas.
4 Configure NAT en las interfaces del router de egreso que se conectan con la intranet.
[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] nat outbound 3333
[Router] interface GigabitEthernet 0/0/2
[Router-GigabitEthernet0/0/2] nat outbound 3333
5 Configure una tabla de mapeo de los servidores internos en las interfaces del router
de egreso que se conectan con la intranet.
[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] nat server protocol tcp global interface
GigabitEthernet 0/0/0 www inside 192.168.50.99 www
[Router-GigabitEthernet0/0/1] nat server protocol tcp global interface
GigabitEthernet 0/0/0 ftp inside 192.168.50.199 ftp
49
El procedimiento de configuración en la interfaz GE0/0/2 es similar al de la interfaz
GE0/0/1.
Intranet
empresarial
Troncal Eth 1
Switch de VLANIF 300
agregación/core
50
3 Configure una interfaz dialer.
[Router] interface Dialer 0
[Router-Dialer0] ip address ppp-negotiate
[Router-Dialer0] ppp chap user Router
[Router-Dialer0] ppp chap password cipher Router@123
[Router-Dialer0] dialer user user
[Router-Dialer0] dialer bundle 1
[Router-Dialer0] dialer-group 1
[Router-Dialer0] ppp ipcp dns request
[Router-Dialer0] ppp ipcp dns admit-any
4 Configure NAT.
[Router] interface Dialer 0
[Router-Dialer0] nat outbound 2015
Establezca 1200 bytes como tamaño máximo de segmento (MSS) de los paquetes
5 TCP. Si se usa el valor predeterminado (1460 bytes), es posible que la velocidad de
acceso a Internet sea lenta.
[Router] interface Dialer 0
[Router-Dialer0] tcp adjust-mss 1200
6 Habilite PPPoE en la interfaz física GE1/0/0 que se conecta con el dispositivo del
operador.
[Router] interface GigabitEthernet 1/0/0
[Router-GigabitEthernet 1/0/0] pppoe-client dial-bundle-number 1
Configure una ruta estática predeterminada hacia Internet con Dialer 0 como
7 interfaz de salida.
[Router] ip route-static 0.0.0.0 0 Dialer 0
Configure una ACL para hacer coincidir los flujos de datos. No se redirige el tráfico
8 intercambiado entre los usuarios internos.
[Router] acl 3000
[Router-acl-adv-3000] rule permit ip source 192.168.10.0 0.0.0.255
destination 192.168.20.0 0.0.0.255
[Router-acl-adv-3000] rule permit ip source 192.168.20.0 0.0.0.255
destination 192.168.10.0 0.0.0.255
[Router-acl-adv-3000] quit
[Router] acl 3001
[Router-acl-adv-3001] rule permit ip source 192.168.10.0 0.0.0.255
[Router-acl-adv-3001] quit
[Router] acl 3002
[Router-acl-adv-3002] rule permit ip source 192.168.20.0 0.0.0.255
[Router-acl-adv-3002] quit
51
9 Configure los clasificadores de tráfico c0, c1 y c2; y configure las reglas de
coincidencia en función de ACL 3000, ACL 3001 y ACL 3002 en los clasificadores de
tráfico, respectivamente.
[Router] traffic classifier c0
[Router-classifier-c0] if-match acl 3000
[Router-classifier-c0] quit
[Router] traffic classifier c1
[Router-classifier-c1] if-match acl 3001
[Router-classifier-c1] quit
[Router] traffic classifier c2
[Router-classifier-c2] if-match acl 3002
[Router-classifier-c2] quit
11 Configure una política de tráfico y vincule los clasificadores de tráfico con los
comportamientos de tráfico que se especifican en la política de tráfico.
[Router] traffic policy test
[Router-trafficpolicy-test] classifier c0 behavior b0
[Router-trafficpolicy-test] classifier c1 behavior b1
[Router-trafficpolicy-test] classifier c2 behavior b2
[Router-trafficpolicy-test] quit
12 Aplique la política de tráfico a las interfaces del router de egreso que se conectan con
los switches de core.
[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] traffic-policy test inbound
[Router-GigabitEthernet0/0/1] quit
[Router] interface GigabitEthernet 0/0/2
[Router-GigabitEthernet0/0/2] traffic-policy test inbound
[Router-GigabitEthernet0/0/2] quit
Una vez configurado el enrutamiento basado en políticas (PBR), los usuarios de la intranet en
el segmento de red 192.168.10.0 acceden a Internet a través de la interfaz GE0/0/0, y los
usuarios de la intranet en el segmento de red 192.168.20.0 lo hacen a través de la interfaz
GE1/0/0 mediante acceso telefónico PPPoE.
Para obtener información detallada sobre la configuración de PBR y los comandos, consulte la
sección “Configuración de PBR” y los ejemplos de configuración correspondientes de la Guía de
configuración, sección enrutamiento de unicast IP.
52
Cómo verificar los servicios y guardar la
configuración
a. Verifique los servicios.
1 Seleccione dos ordenadores de dos departamentos para realizar pruebas de ping y
verifique si los dos departamentos se pueden comunicar en la capa 3 a través de
interfaces VLANIF.
El siguiente ejemplo utiliza dos ordenadores (ordenador 1 y ordenador 2) en los departamentos
A y B. Los dos ordenadores se comunican en la capa 3 a través del CORE1 (o CORE2). Si
pueden hacer ping entre síexitosamente, significa que la interoperación de capa 3 es normal.
3 Seleccione dos ordenadores de dos departamentos para hacer ping en una dirección
IP pública y verifique que los usuarios de intranet de la compañía puedan acceder a
Internet con normalidad.
En el siguiente ejemplo, se utiliza el departamento A. Por lo general, se puede hacer ping a
una dirección de gateway de red pública desde el ordenador 1 para verificar si este puede
acceder a Internet. La dirección del gateway de red pública es la dirección IP del dispositivo
del operador al cual se conecta el router de egreso. Si la prueba de ping es exitosa, los
usuarios de intranet pueden acceder a Internet con normalidad. El comando de ping es
similar al del paso 1.
53
b. Guarde la configuración.
Antes de reiniciar el switch deberá guardar los datos en el archivo de configuración. Los
datos no guardados y configurados a través de líneas de comandos se perderán después
de reiniciar el switch.
El siguiente ejemplo muestra el procedimiento para guardar el archivo de configuración
del CORE1.
<CORE1> save
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Now saving the current configuration to the slot 0..
Save the configuration successfully.
54
4 Preguntas frecuentes
1. ¿Cómo puedo borrar o desactivar las configuraciones y restablecer los
ajustes de fábrica?
55
3. ¿Cómo puedo restablecer la contraseña del puerto de
consola?
Si el nivel de su cuenta Telnet es 3 o superior, puede iniciar sesión en el switch desde
una terminal operativo a través de Telnet para cambiar la contraseña del puerto de
consola.
<HUAWEI> system-view
[HUAWEI] user-interface console 0
[HUAWEI-ui-console0] authentication-mode password
[HUAWEI-ui-console0] set authentication password cipher huawei@123
[HUAWEI-ui-console0] return
Inicie sesión en el switch a través del puerto de consola para cambiar la contraseña de
Telnet (en el ejemplo que se muestra a continuación, se utiliza la autenticación AAA).
<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] local-user user11 password irreversible-cipher huawei@123
56
6. ¿Cómo puedo configurar el arrendamiento?
Por defecto, el arrendamiento vence luego de transcurrido un día. En los casos en que un
usuario está trabajando fuera de su casa o de la oficina, como en una cafetería o un
aeropuerto, se recomienda el arrendamiento de corto plazo. Si los usuarios están
trabajando principalmente desde una sola ubicación, se recomiendan los arrendamientos
de largo plazo.
Método de configuración:
Ejecute este comando en la interfaz o en la vista de grupo de direcciones de la interfaz:
dhcp server lease { day day [ hour hour [ minute minute ] ] | unlimited}
Ejecute este comando en la vista de grupo global de direcciones: lease { day day [hour
hour [ minute minute ] ] | unlimited }
Método de configuración:
Ejecute este comando en la interfaz o en la vista de grupo de direcciones de la interfaz:
dhcp server static-bind ip-address ip-address mac-addressmac-address
57
5 Referencia
Para obtener más información sobre nuestros productos y servicios, consulte estos enlaces.
Acción Enlace
Intercambie información
con otros usuarios en https://forum.huawei.com/enterprise/index.html?lang=en
nuestro BBS
58