Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Versión 02
Fecha 2018-08-13
Marcas y licencias
y toda otra marca registrada de Huawei pertenecen a Huawei Technologies Co., Ltd.
Toda otra marca y nombre comercial mencionado en este documento pertenece a sus respectivos titulares.
Aviso
Los productos, servicios y características adquiridos están estipulados en el contrato celebrado entre
Huawei y el cliente. Es posible que una parte o todos los productos, servicios y funciones descritos en este
documento no se encuentren dentro del ámbito de la compra o del ámbito de uso. Salvo especificación en
contrario del contrato, todas las declaraciones, información y recomendaciones contenidas en este
documento no están sujetas a garantía de ningún tipo, ni expresa ni implícita.
La información contenida en este documento está sujeta a cambios sin previo aviso. Se han arbitrado todos
los medios necesarios para garantizar la precisión de los contenidos. Sin embargo, las declaraciones,
información y recomendaciones incluidas en el presente no constituyen garantía de ningún tipo, ni expresa
ni implícita.
Público objetivo
Este documento está destinado a los ingenieros de redes responsables de la configuración y
gestión de los switches. Debe estar familiarizado con los conocimientos básicos de Ethernet y
tener una amplia experiencia en el despliegue y la gestión de redes.
Convenciones de símbolos
Los símbolos que se pueden encontrar en este documento se definen de la siguiente manera.
Símbolo Descripción
Convenciones de comando
Las convenciones de comando que se pueden encontrar en este documento se definen de la
siguiente manera.
Convención Descripción
Convención Descripción
Convenciones de seguridad
l Configuración de contraseña
– Para garantizar la seguridad del dispositivo, utilice texto cifrado al configurar una
contraseña y cambie la contraseña periódicamente.
– El switch considera todas las contraseñas que comienzan y finaliza con %^%#, %#
%#, %@%@ or @%@% como texto cifrado e intenta descifrarlas. Si configura una
contraseña de texto simple que comienza y finaliza con %^%#, %#%#, %@%@ or
@%@%, el switch lo descifra y lo registra en el archivo de configuración (las
contraseñas de texto plano no se graban por razones de seguridad). Por lo tanto, no
configure una contraseña que comienza y finaliza con %^%#, %#%#, %@%@ or
@%@%.
– Cuando configura las contraseñas en texto cifrado, las diferentes funciones deben
usar contraseñas de texto cifrado diferentes. Por ejemplo, la contraseña de texto
cifrado establecida para la función AAA no se puede usar para otras funciones.
l Algoritmos de cifrado
El switch actualmente es compatible con 3DES, AES, RSA, SHA1, SHA2 y MD5.
3DES, RSA y AES son reversibles, mientras que SHA1, SHA2 y MD5 son irreversibles.
El uso de los algoritmos de cifrado DES, 3DES, RSA (RSA-1024 o inferior), MD5 (en
escenarios de firmas digitales y encriptación de contraseñas) o SHA1 (en escenarios de
firmas digitales) es un riesgo de seguridad. Si los protocolos lo permiten, utilice
algoritmos de cifrado más seguros, como AES, RSA (RSA-2048 o superior), SHA2 o
HMAC-SHA2.
Se debe usar un algoritmo de encriptación irreversible para la contraseña del
administrador. SHA2 se recomienda para este propósito.
l Información personal
Algunos datos personales (como las direcciones MAC o IP de los terminales) pueden
obtenerse o utilizarse durante la operación o localización de fallas de los productos,
servicios o funciones adquiridos, por lo que tiene la obligación de realizar políticas de
privacidad y tomar medidas de acuerdo con la ley aplicable de el país para proteger los
datos personales.
l Espejado
Los términos como puerto espejado, espejado de puertos, espejado de tráfico y espejado
en este documento se mencionan solo para describir la función del producto del error de
comunicación o la detección de fallas, y no involucran la recopilación o el procesamiento
de información personal o los datos de comunicación de los usuarios.
Aviso legal
Este documento está diseñado como una referencia para que usted configure sus dispositivos.
Sus contenidos, incluidas las páginas web, la entrada y salida de línea de comandos, se basan
en las condiciones del laboratorio. Proporciona instrucciones para los escenarios generales,
pero no cubre todos los casos de uso de todos los modelos de productos. Los ejemplos
brindados pueden diferir de su caso de uso debido a diferencias en las versiones de software,
modelos y archivos de configuración. Al configurar su dispositivo, modifique la
configuración según su caso de uso.
Las especificaciones proporcionadas en este documento se prueban en el entorno de
laboratorio (por ejemplo, el dispositivo probado se ha instalado con un cierto tipo de placas o
solo se ejecuta un protocolo en el dispositivo). Los resultados pueden diferir de las
especificaciones enumeradas cuando intenta obtener los valores máximos con múltiples
funciones habilitadas en el dispositivo.
Contenidos
2 Ejemplos de interconexión........................................................................................................ 58
2.1 Configuración típica para la interconexión entre switches y teléfonos IP....................................................................58
2.1.1 Descripción general................................................................................................................................................... 58
2.1.2 Conceptos básicos......................................................................................................................................................59
2.1.3 Conexión física de un teléfono IP para el interfuncionamiento................................................................................ 61
2.1.4 Modos de interconexión compatibles con diferentes modelos de teléfonos IP......................................................... 62
2.1.5 Ejemplo para conectar teléfonos IP a switches a través de LLDP............................................................................ 75
2.1.6 Ejemplo para conectar teléfonos IP a switches a través de LLDP-MED.................................................................. 91
2.1.7 Ejemplo para conectar teléfonos IP de Cisco a switches a través del HDP.............................................................. 98
2.1.8 Ejemplo para conectar un teléfonos IP a switches a través del servidor DHCP......................................................110
2.1.9 Ejemplo para conectar teléfonos IP a switches a través de la asignación de VLAN basada en direcciones MAC.114
2.1.10 Ejemplo para conectar teléfonos IP a switches a través de VLAN de voz basada en OUI................................... 119
2.1.11 Ejemplo para conectar teléfonos IP a switches a través del PVID del ID de VLAN de voz.................................134
2.1.12 Ejemplo para conectar teléfonos IP a switches a través de una ACL....................................................................146
2.1.13 Ejemplo para conectar teléfonos IP a switches a través de una política de tráfico simplificado basada en ACL.160
2.1.14 Ejemplo para conectar teléfonos IP a switches a través de autenticación NAC y VLAN de voz......................... 172
2.1.15 Causas comunes para las fallas del inicio de sesión de los teléfonos IP y sus soluciones.................................... 177
2.2 Configuración típica para la interconexión entre switches y cortafuegos.................................................................. 182
2.2.1 Ejemplo para configurar un switch de Capa 2 para trabajar con cortafuegos para acceso de Internet................... 182
2.2.2 Ejemplo para configurar un switch de Capa 3 para trabajar con cortafuegos para acceso de Internet................... 189
2.3 Configuración típica para la interconexión entre switches y routers..........................................................................195
2.3.1 Ejemplo para configurar un switch de Capa 2 a trabajar con un router para acceso a Internet...............................195
2.3.2 Ejemplo para configurar un switch de Capa 3 a trabajar con un router para acceso a Internet...............................200
2.4 Configuración típica para la interconexión entre switches y servidores.................................................................... 205
2.4.1 Configuración típica para la interconexión entre switches y servidores NLB........................................................ 205
2.4.1.1 Ejemplo para conectar un dispositivo a un Clúster NLB (utilizando ARP de interfaz múltiple).........................205
2.4.1.2 Ejemplo de conexión de un dispositivo único a un clúster NLB (usando bucle de retorno de enlace físico)......210
2.4.1.3 Ejemplo para conectar un grupo VRRP a un clúster NLB (usando bucle de retorno de enlace físico)............... 213
2.4.1.4 Ejemplo para conectar una pila a un clúster NLB (usando bucle de retorno de enlace físico)............................ 220
2.5 Interconexión entre un switch de PoE y los PD......................................................................................................... 226
2.5.1 Principios................................................................................................................................................................. 226
2.5.2 Fuente de alimentación para diferentes tipos de los PD conectados a switches PoE.............................................. 226
11.2.3 Ejemplo para configurar la autenticación 802.1X y la autenticación de dirección MAC para controlar el acceso
del usuario a la red empresarial (punto de autenticación en el switch de agregación)...................................................1091
11.2.4 Ejemplo para configurar la autorización de usuario basada en ACL o VLAN dinámica....................................1109
11.3 Configuración típica de NAC (modo unificado) (V200R009C00 y versiones posteriores)................................... 1124
11.3.1 Ejemplo para configurar la autenticación 802.1X para controlar el acceso del usuario......................................1124
11.3.2 Ejemplo para configurar la autenticación de dirección MAC para controlar el acceso del usuario.................... 1129
11.3.3 Ejemplo para configurar la autenticación Portal para controlar el acceso del usuario........................................ 1133
11.4 Configuración típica de NAC (modo unificado) (el Agile Controller-Campus como el servidor de autenticación)
(V200R005C00 a V200R008C00)..................................................................................................................................1138
11.4.1 Ejemplo para configurar la autenticación Portal para controlar el acceso del usuario a la red empresarial (punto
de autenticación en el switch de core)............................................................................................................................ 1138
11.4.2 Ejemplo para configurar la autenticación Portal para controlar el acceso del usuario a la red empresarial (punto
de autenticación en el switch de agregación)..................................................................................................................1159
11.4.3 Ejemplo para configurar autenticación 802.1X y autenticación de dirección MAC para controlar el acceso de
usuario a la red empresarial (punto de autenticación en el switch de acceso)................................................................1178
11.4.4 Ejemplo para configurar la autenticación 802.1X y la autenticación de dirección MAC para controlar el acceso
del usuario a la red empresarial (punto de autenticación en el switch de agregación)................................................... 1194
11.5 Configuración típica de NAC (modo unificado) (V200R005C00 a V200R008C00)............................................ 1212
11.5.1 Ejemplo para configurar la autenticación 802.1X para controlar el acceso del usuario......................................1212
11.5.2 Ejemplo para configurar la autenticación de dirección MAC para controlar el acceso del usuario....................1216
11.5.3 Ejemplo para configurar la autenticación Portal para controlar el acceso del usuario........................................ 1220
11.5.4 Ejemplo para configurar múltiples modos de autenticación para controlar el acceso del usuario...................... 1225
11.6 Configuración típica de NAC (modo común).........................................................................................................1229
11.6.1 Ejemplo para configurar la autenticación 802.1X para controlar el acceso del usuario......................................1229
11.6.2 Ejemplo para configurar la autenticación de dirección MAC para controlar el acceso del usuario....................1233
11.6.3 Ejemplo para configurar la autenticación Portal para controlar el acceso del usuario........................................ 1237
12.4.1 Ejemplo para configurar IPSG para evitar que los hosts con direcciones IP estáticas cambien sus propias
direcciones IP................................................................................................................................................................. 1293
12.4.2 Ejemplo para configurar IPSG para evitar que los hosts con direcciones IP dinámicas cambien sus propias
direcciones IP................................................................................................................................................................. 1298
12.4.3 Ejemplo para configurar IPSG basado en la tabla de vinculación estática para evitar que los hosts no autorizados
accedan a la intranet........................................................................................................................................................1302
12.5 Ejemplo para configurar la seguridad del puerto....................................................................................................1306
14.3.4 Ejemplo para configurar el espejado de puerto local (Espejado N:1)................................................................. 1456
14.3.5 Ejemplo para configurar el espejado de puerto local (espejado M:N)................................................................ 1459
14.3.6 Ejemplo para configurar el espejado de puerto remoto de Capa 2...................................................................... 1462
14.3.7 Ejemplo para configurar el espejado de tráfico local basado en MQC............................................................... 1465
14.3.8 Ejemplo para configurar el espejado de tráfico local basada en ACL.................................................................1472
14.3.9 Ejemplo para configurar el espejado de tráfico remoto basado en MQC............................................................1475
14.3.10 Ejemplo para configurar el espejado de tráfico remoto basado en ACL...........................................................1481
14.3.11 Ejemplo para configurar el espejado de VLAN local........................................................................................1486
14.3.12 Ejemplo para configurar el espejado de VLAN remota.................................................................................... 1491
14.3.13 Ejemplo para configurar el espejado de direcciones MAC locales................................................................... 1496
14.3.14 Ejemplo para configurar el espejado de direcciones MAC remotas..................................................................1500
14.4 Configuración típica de iPCA.................................................................................................................................1505
14.4.1 Ejemplo para configurar iPCA para implementar la medición de pérdidas de paquetes de extremo a extremo.1505
14.4.2 Ejemplo para configurar iPCA para implementar la medición regional de pérdida de paquetes de red.............1510
14.4.3 Ejemplo para configurar iPCA para implementar la medición de pérdida de paquetes Hop-by-Hop................ 1516
14.4.4 Ejemplo para configurar iPCA para implementar la medición de pérdida de paquetes en un enlace directo.....1521
14.4.5 Ejemplo para configurar iPCA para implementar la medición de pérdida de paquetes en un dispositivo..........1524
La versión mínima de la tarjeta del módulo de NGFW que coincide con el switch es
V100R001C10. Estas tarjetas de módulo de NGFW se admiten el switch que ejecuta
V200R005C00 o la versión posterior.
Requisitos de servicio
Como se muestra en Figura 1-1, dos switches forman un CSS, y dos módulos de NGFW
están instalados en la ranura 1 de los switches respectivos e implementan Espera en caliente.
Los módulos de NGFW funcionan en la Capa 2 y están conectados transparentemente a la
red. Los módulos de NGFW implementan la verificación de seguridad en el tráfico enviado
por usuarios de intranet a Internet. El tráfico intercambiado entre las diferentes VLAN no pasa
los módulos de NGFW. En cambio, el tráfico es reenviado directamente por los switches.
Este ejemplo utiliza los módulos de NGFW que ejecutan V100R001C30 y switches que
ejecutan V200R008C00. Para los ejemplos de configuración de los módulos de NGFW que
ejecutan otras versiones, consulteDeployment Guide.
Figura 1-1 Red para el despliegue del Módulo de dual NGFW de Capa 2 y CSS de switch
Internet/WAN
10.3.0.5/24
NOTA
El módulo de NGFW tiene dos interfaces fijas de Ethernet internas: GE1/0/0 a GE1/0/1. La numeración de
las interfaces de Ethernet internas en el switch está determinada por la ranura en la que está instalado el
Módulo de NGFW. Por ejemplo, cuando el Módulo de NGFW está instalado en la ranura 1 del switch, las
interfaces de Ethernet internas utilizadas por el switch son XGE1/1/0/0 a XGE1/1/0/1.
Eth-Trunk2 y Eth-Trunk3 son interfaces de los switches en CSS.
Internet
VLANIF 200
10.3.0.1
Eth-Trunk10 Eth-Trunk10
Eth-Trunk1 Eth-Trunk1
Eth-Trunk0
10.10.0.1/24
Eth-Trunk0
10.10.0.2/24
Eth-Trunk1 Eth-Trunk1
Eth-Trunk10 Eth-Trunk10
NOTA
Figura 1-2 solo proporciona información de las interfaces relacionadas con los switches y los módulos
de NGFW.
4. Agrupe las interfaces GE0/0/1 y GE0/0/2 en el panel de cada módulo de NGFW en una
interfaz Eth-Trunk0, que funciona como la interfaz de latido y el canal de reserva y
habilite Espera en caliente.
5. Configure las funciones de seguridad, como políticas de seguridad, e IPS en NGFW
Module_A. Module_A de NGFW sincronizará automáticamente sus configuraciones a
NGFW Module_B.
Procedimiento
Paso 1 Complete las configuraciones de la interfaz y de red básica en los módulos de NGFW.
# Configure el nombre del dispositivo en NGFW Module_A.
<sysname> system-view
[sysname] sysname Module_A
# Cree Eth-Trunk 1 de Capa 2 en NGFW Module_A y permita los paquetes desde las VLAN
de vínculo ascendentes y descendentes.
[Module_A] interface Eth-Trunk 1
[Module_A-Eth-Trunk1] description To_SwitchA_trunk10
[Module_A-Eth-Trunk1] portswitch
[Module_A-Eth-Trunk1] port link-type trunk
[Module_A-Eth-Trunk1] port trunk permit vlan 200 301 to 302
[Module_A-Eth-Trunk1] quit
# Agregue las interfaces que conectan NGFW Module_A con su switch conectado a Eth-
Trunk 1.
[Module_A] interface GigabitEthernet 1/0/0
[Module_A-GigabitEthernet1/0/0] portswitch
[Module_A-GigabitEthernet1/0/0] Eth-Trunk 1
[Module_A-GigabitEthernet1/0/0] quit
[Module_A] interface GigabitEthernet 1/0/1
[Module_A-GigabitEthernet1/0/1] portswitch
[Module_A-GigabitEthernet1/0/1] Eth-Trunk 1
[Module_A-GigabitEthernet1/0/1] quit
# Cree Eth-Trunk 1 de Capa 2 en NGFW Module_B y permita los paquetes de las VLAN d
vínculo ascendentes y descendentes.
[Module_B] interface Eth-Trunk 1
[Module_B-Eth-Trunk1] description To_SwitchB_trunk10
[Module_B-Eth-Trunk1] portswitch
[Module_B-Eth-Trunk1] port link-type trunk
[Module_B-Eth-Trunk1] port trunk permit vlan 200 301 to 302
[Module_B-Eth-Trunk1] quit
# Agregue las interfaces que conectan NGFW Module_B con su switch conectado a Eth-
Trunk 1.
[Module_B] interface GigabitEthernet 1/0/0
[Module_B-GigabitEthernet1/0/0] portswitch
[Module_B-GigabitEthernet1/0/0] Eth-Trunk 1
[Module_B-GigabitEthernet1/0/0] quit
[Module_B] interface GigabitEthernet 1/0/1
[Module_B-GigabitEthernet1/0/1] portswitch
[Module_B-GigabitEthernet1/0/1] Eth-Trunk 1
[Module_B-GigabitEthernet1/0/1] quit
NOTA
NOTA
En este ejemplo, la política de seguridad configurada permite a los usuarios de la intranet acceder a
Internet. Para permitir que Internet acceda a la intranet, configure una regla cuya dirección de destino
sea una dirección de intranet.
Paso 5 Configure las interfaces de switch y las VLAN. Este ejemplo describe cómo configurar la
interconexión entre el switch y los módulos de NGFW.
1. Cree las VLAN.
[CSS] vlan batch 200 301 to 302
4. Agregue las interfaces de switch conectadas con el Módulo de NGFW a Eth-Trunk 10.
[CSS] interface eth-trunk 10
[CSS-Eth-Trunk10] description To_Module
[CSS-Eth-Trunk10] port link-type trunk
[CSS-Eth-Trunk10] trunkport xgigabitethernet 1/1/0/0 to 1/1/0/1
[CSS-Eth-Trunk10] trunkport xgigabitethernet 2/1/0/0 to 2/1/0/1
[CSS-Eth-Trunk10] undo port trunk allow-pass vlan 1
[CSS-Eth-Trunk10] port trunk allow-pass vlan 200 301 to 302
[CSS-Eth-Trunk10] mac-address learning disable
[CSS-Eth-Trunk10] undo local-preference enable
[CSS-Eth-Trunk10] stp disable
[CSS-Eth-Trunk10] quit
Cuando el tráfico se envía desde los switches a los módulos de NGFW, el Eth-Trunk de table cruzado
distribuye el tráfico. Para garantizar que los paquetes de ida y vuelta sean enviados por el mismo
Módulo de NGFW, establezca el modo mejorado del balanceo de carga. En el ejemplo, las direcciones
IP de origen y destino se utilizan para ilustración.
[CSS] load-balance-profile module
[CSS-load-balance-profile-module] ipv4 field sip dip
[CSS-load-balance-profile-module] quit
[CSS] interface Eth-Trunk 10
[CSS-Eth-Trunk10] load-balance enhanced profile module
[CSS-Eth-Trunk10] quit
6. Configure las políticas de tráfico para redirigir el tráfico a los módulos de NGFW.
# Cree las ACL.
[CSS] acl 3001 //Coincida el tráfico intercambiado entre los usuarios
de intranet de diferentes VLAN.
[CSS-acl-adv-3001] rule permit ip source 10.1.0.0 0.0.0.255 destination
10.2.0.0 0.0.0.255
# Configure el switch para que no dirija el tráfico intercambiado entre los usuarios de la
intranet, sino para dirigir el tráfico enviado por la intranet a acceder a Internet a los
módulos de NGFW.
[CSS] traffic classifier classifier1 precedence 5
[CSS-classifier-classifier1] if-match acl 3001
[CSS-classifier-classifier1] quit
[CSS] traffic behavior behavior1 //Permita el tráfico intercambiado
entre los usuarios de intranet.
[CSS-behavior-behavior1] permit
[CSS-behavior-behavior1] quit
[CSS] traffic classifier classifier2 precedence 10
[CSS-classifier-classifier2] if-match acl 3002
[CSS-classifier-classifier2] quit
[CSS] traffic behavior behavior2 //Redirija el tráfico de la intranet a
Internet a la interfaz que conecta el switch al módulo de NGFW.
[CSS-behavior-behavior2] redirect interface Eth-Trunk 10
[CSS-behavior-behavior2] quit
[CSS] traffic policy policy1 //Configure una política de tráfico.
[CSS-trafficpolicy-policy1] classifier classifier1 behavior behavior1
[CSS-trafficpolicy-policy1] classifier classifier2 behavior behavior2
[CSS-trafficpolicy-policy1] quit
[CSS] interface Eth-Trunk 2
[CSS-Eth-Trunk2] traffic-policy policy1 inbound
[CSS-Eth-Trunk2] quit
[CSS] interface Eth-Trunk 3
[CSS-Eth-Trunk3] traffic-policy policy1 inbound
[CSS-Eth-Trunk3] quit
NOTA
Después de recibir los paquetes, el switch busca la tabla de enrutamiento para completar el reenvío de
Capa 3, aunque las políticas de redireccionamiento están configuradas. Sin embargo, las interfaces de
salida de los paquetes todavía están determinadas por las políticas de redirección.
En el ejemplo, cuando se recibe un paquete de la intranet a Internet, el switch primero busca la tabla de
enrutamiento, cambia la etiqueta VLAN de 301 o 302 a 200 según la ruta predeterminada y luego
reenvía el paquete al Módulo de NGFW. Después de recibir un paquete de Internet a la intranet, el
switch cambia la etiqueta VLAN de 200 a 301 o 302 según la ruta directa y luego reenvía el paquete al
Módulo de NGFW.
Si no se coincide ninguna entrada de enrutamiento, el switch reenvía el paquete según la política de
redireccionamiento sin cambiar la etiqueta VLAN.
----Fin
Verificación
1. Ejecute el comando display hrp state en NGFW Module_A para comprobar el estado
actual de HRP. Si se muestra el siguiente resultado, se establece exitosamente una
relación de HRP.
HRP_A[Module_A] display hrp state
The firewall's config state is:
ACTIVE
De acuerdo con el resultado anterior, NGFW Module_A ha creado una entrada de sesión
para el acceso desde la intranet a Internet. Existe una entrada de sesión con la etiqueta de
Remota en NGFW Module_B, que indica que la copia de seguridad de la sesión es
exitosa después de configurar Espera en caliente.
3. Configure un PC en la zona Trust para hacer ping constantemente a la dirección pública
y ejecute el comando shutdown en Eth-trunk1 del NGFW Module_A. Luego,
compruebe la conmutación de estado del Módulo de NGFW y los paquetes de ping
descartados. Si la conmutación de estado es normal, NGFW Module_B se convierte en el
activo y carga los servicios. No se descartan o se descartan varios paquetes ping (de 1 a 3
paquetes, dependiendo de los entornos de red reales).
Scripts de configuración
Los scripts de configuración de los módulos de NGFW:
Requisitos de servicio
Como se muestra en Figura 1-3, dos switches se despliegan en un CSS y dos módulos de
NGFW se instalan en la ranura 1 en los dos switches. Los dos módulos de NGFW son
necesarios para implementar espera en caliente y realizar la detección de seguridad en el
tráfico que pasa a través de los switches. Dos módulos de NGFW funcionan en modo activo/
standby.
Este ejemplo utiliza los módulos de NGFW que ejecutan V100R001C30 y switches que
ejecutan V200R008C00. Para los ejemplos de configuración de los módulos de NGFW que
ejecutan otras versiones, consulteDeployment Guide.
Figura 1-3 Red para el despliegue del Módulo de dual NGFW de Capa 3 y CSS de switch
Internet/WAN
Eth-Trunk0 Eth-Trunk0
10.10.0.1/24 Eth-Trunk 4 Enlace de latido 10.10.0.2/24
Eth-Trunk1.1(untrust) Eth-Trunk1.1(untrust)
CSS
Eth-Trunk1.2(trust) Eth-Trunk1.2(trust)
Eth-Trunk1.3(dmz) SwitchB Eth-Trunk1.3(dmz)
SwitchA
NGFW Module_A Eth-Trunk 5 NGFW Module_B
Eth-Trunk 6
Eth-Trunk 2 Eth-Trunk 3
192.168.1.0/24 192.168.2.0/24
trust dmz
NOTA
El módulo de NGFW tiene dos interfaces fijas de Ethernet internas: GE1/0/0 a GE1/0/1. La numeración de
las interfaces de Ethernet internas en el switch está determinada por la ranura en la que está instalado el
Módulo de NGFW. Por ejemplo, cuando el Módulo de NGFW está instalado en la ranura 1 del switch, las
interfaces de Ethernet internas utilizadas por el switch son XGE1/1/0/0 a XGE1/1/0/1.
Eth-Trunk2 y Eth-Trunk3 son interfaces de los switches en CSS.
Planificación de datos
ítem Datos Descripción
Public
trust dmz
2. Figura 1-4 puede ser abstraído como Figura 1-5. Los módulos de NGFW ejecutan las
rutas estáticas con dispositivos de vínculo ascendentes y descendentes. Por lo tanto, debe
configurar los grupos de VRRP en los módulos de NGFW, de modo que los switches se
comuniquen con las direcciones IP virtuales de los grupos de VRRP en los módulos de
NGFW.
Configure una ruta predeterminada a Internet en el Módulo de NGFW y configure la
dirección del siguiente salto en la dirección IP de VLANIF201. Configure una ruta
específica a la intranet en el Módulo de NGFW, y configure la dirección del siguiente
salto a la dirección IP de VLANIF202. Figura 1-5 muestra la red. En el switch virtual
Public, configure las rutas estáticas a la zona Trust y DMZ y configure la dirección del
siguiente salto en la dirección IP del grupo de VRRP 1. En el switch virtual trust,
configure una ruta predeterminada a Internet y configure la dirección del siguiente salto
a la dirección IP del grupo 2 de VRRP. En el switch virtual dmz, configure una ruta
predeterminada a Internet y configure el siguiente salto dirección a la dirección IP del
grupo de VRRP 3.
Figura 1-5 Configuración de grupos de VRRP en los módulos de NGFW y las rutas
estáticas en los switches
Public Public
trust dmz
Ruta estática
Tráfico de la zona
de trust
Tráfico de la zona
de dmz
NOTA
Figura 1-5 enumera solo las interfaces de switch involucradas en la conexión con los módulos de
NGFW.
3. Agrupe las interfaces GE0/0/1 y GE0/0/2 en el panel de cada módulo de NGFW a una
interfaz Eth-Trunk0, que funciona como la interfaz de latido del corazón y el canal de
reserva y habilite espera en caliente.
4. Configure las funciones de seguridad, como políticas de seguridad, políticas de NAT e
IPS en NGFW Module_A. NGFW Module_A sincronizará automáticamente sus
configuraciones a NGFW Module_B.
Procedimiento
Paso 1 Complete las configuraciones de la interfaz y de red básica en los módulos de NGFW.
# Configure el nombre del dispositivo en NGFW Module_A.
<sysname> system-view
[sysname] sysname Module_A
# En NGFW Module_A, configure una ruta estática de vínculo descendente a la zona Trust,
con la dirección de destino que es la dirección de la zona Trust y la dirección del siguiente
salto que es la dirección de VLANIF202 en el switch conectado.
[Module_A] ip route-static 192.168.1.0 255.255.255.0 10.3.2.4
# En NGFW Module_A, configure una ruta estática de vínculo descendente a la DMZ, con la
dirección de destino que es la dirección de la DMZ y la dirección de siguiente salto que es la
dirección de VLANIF203 en el switch conectado.
[Module_A] ip route-static 192.168.2.0 255.255.255.0 10.3.3.4
# En Módulo_A de NGFW, configure una ruta de agujero negro en una dirección en el grupo
de direcciones de NAT de origen para evitar bucles de enrutamiento. En este ejemplo, el rango
de direcciones es 1.1.1.1-1.1.1.2 en el grupo de direcciones de NAT de origen.
[Module_A] ip route-static 1.1.1.1 255.255.255.255 null 0
[Module_A] ip route-static 1.1.1.2 255.255.255.255 null 0
# En NGFW Module_A, configure una ruta de agujero negro en la dirección global del
servidor de NAT para evitar los bucles de enrutamiento. En este ejemplo, la dirección global
del servidor de NAT es 1.1.1.3.
[Module_A] ip route-static 1.1.1.3 255.255.255.255 null 0
# En Módulo_B de NGFW, configure una ruta estática de vínculo descendente a la zona Trust,
con la dirección de destino que es la dirección de la zona Trust y la dirección del siguiente
salto que es la dirección de VLANIF202 en el switch conectado.
[Module_B] ip route-static 192.168.1.0 255.255.255.0 10.3.2.4
# En NGFW Module_B, configure una ruta estática de vínculo descendente a la DMZ, con la
dirección de destino que es la dirección de la DMZ y la dirección de siguiente salto que es la
dirección de VLANIF203 en el switch conectado.
# En NGFW Module_B, configure una ruta de agujero negro en una dirección en el grupo de
direcciones NAT de origen para evitar bucles de enrutamiento. En este ejemplo, el rango de
direcciones es 1.1.1.1-1.1.1.2 en el grupo de direcciones de NAT de origen.
[Module_B] ip route-static 1.1.1.1 255.255.255.255 null 0
[Module_B] ip route-static 1.1.1.2 255.255.255.255 null 0
# En NGFW Module_B, configure una ruta de agujero negro en la dirección global del
servidor de NAT para evitar los bucles de enrutamiento. En este ejemplo, la dirección global
del servidor de NAT es 1.1.1.3.
[Module_B] ip route-static 1.1.1.3 255.255.255.255 null 0
NOTA
HRP_A[Module_A] security-policy
HRP_A[Module_A-policy-security] rule name policy_sec1
HRP_A[Module_A-policy-security-rule-policy_sec1] source-zone trust
HRP_A[Module_A-policy-security-rule-policy_sec1] destination-zone untrust
HRP_A[Module_A-policy-security-rule-policy-sec1] source-address 192.168.1.0 24
HRP_A[Module_A-policy-security-rule-policy_sec1] action permit
HRP_A[Module_A-policy-security-rule-policy_sec1] quit
# En NGFW Module_A, configure una política de seguridad para permitir que los usuarios de
extranet accedan a la DMZ (segmento de red 192.168.2.0/24) y configure la prevención de
intrusiones.
HRP_A[Module_A-policy-security] rule name policy_sec2
HRP_A[Module_A-policy-security-rule-policy_sec2] source-zone untrust
HRP_A[Module_A-policy-security-rule-policy_sec2] destination-zone dmz
HRP_A[Module_A-policy-security-rule-policy-sec2] destination-address 192.168.2.0
24
HRP_A[Module_A-policy-security-rule-policy_sec2] service http ftp
HRP_A[Module_A-policy-security-rule-policy_sec2] profile ips default
HRP_A[Module_A-policy-security-rule-policy_sec2] action permit
HRP_A[Module_A-policy-security-rule-policy_sec2] quit
HRP_A[Module_A-policy-security] quit
# Configure una política de NAT de origen para el acceso a Internet desde la subred privada
especificada.
HRP_A[Module_A] nat-policy
HRP_A[Module_A-policy-nat] rule name policy_nat1
HRP_A[Module_A-policy-nat-rule-policy_nat1] source-zone trust
HRP_A[Module_A-policy-nat-rule-policy_nat1] destination-zone untrust
HRP_A[Module_A-policy-nat-rule-policy_nat1] source-address 192.168.1.0 24
HRP_A[Module_A-policy-nat-rule-policy_nat1] action nat address-group
addressgroup1
HRP_A[Module_A-policy-nat-rule-policy_nat1] quit
HRP_A[Module_A-policy-nat] quit
# Configure la función del servidor de NAT para trasladar la dirección privada de un servidor
específico en la DMZ a una dirección pública para el acceso del usuario. En este ejemplo, la
dirección privada 192.168.2.8:80 del servidor web en la DMZ se traslada a la dirección
pública 1.1.1.3:8000.
HRP_A[Module_A] nat server policy_web protocol tcp global 1.1.1.3 8000 inside
192.168.2.8 80
Paso 6 Configure las interfaces y las VLAN para los switches de core. Este ejemplo describe cómo
configurar la interconexión entre el switch y los módulos de NGFW.
[CSS] vlan batch 201 to 205 //Cree las VLAN.
[CSS] interface eth-trunk 5
[CSS-Eth-Trunk5] description To_NGFW_Module_A
[CSS-Eth-Trunk5] trunkport xgigabitethernet 1/1/0/0 to 1/1/0/1 //Cree Eth-
Trunk5 en el CSS y agregue interfaces de Ethernet interna a Eth-Trunk5.
[CSS-Eth-Trunk5] port link-type trunk
[CSS-Eth-Trunk5] undo port trunk allow-pass vlan 1
[CSS-Eth-Trunk5] port trunk allow-pass vlan 201 to 205 //Configure Eth-Trunk5
para permitir el tráfico desde las VLAN 201, 202, 203, 204 y 205.
[CSS-Eth-Trunk5] quit
[CSS] interface eth-trunk 6
[CSS-Eth-Trunk6] description To_NGFW_Module_B
[CSS-Eth-Trunk6] trunkport xgigabitethernet 2/1/0/0 to 2/1/0/1 //Cree Eth-
Trunk6 en el CSS y agregue interfaces de Ethernet interna a Eth-Trunk6.
[CSS-Eth-Trunk6] port link-type trunk
[CSS-Eth-Trunk6] undo port trunk allow-pass vlan 1
[CSS-Eth-Trunk6] port trunk allow-pass vlan 201 to 205 //Configure Eth-Trunk6
para permitir el tráfico desde las VLAN 201, 202, 203, 204 y 205.
[CSS-Eth-Trunk6] quit
[CSS] interface eth-trunk 2 //Configure la interfaz del switch
Eth-Trunk2 que se conecta a la zona Trust, agregar las interfaces a Eth-Trunk2 no
se menciona aquí.
[CSS-Eth-Trunk2] description To_TRUST
[CSS-Eth-Trunk2] port link-type trunk
[CSS-Eth-Trunk2] undo port trunk allow-pass vlan 1
[CSS-Eth-Trunk2] port trunk allow-pass vlan 204 //Habilite Eth-Trunk2 para
permitir el tráfico desde la VLAN204.
[CSS-Eth-Trunk2] quit
[CSS] interface eth-trunk 3 //Configure la interfaz del switch
Eth-Trunk3 que se conecta a la DMZ, agregar las interfaces a Eth-Trunk3 no se
menciona aquí.
[CSS-Eth-Trunk3] description To_DMZ
[CSS-Eth-Trunk3] port link-type trunk
[CSS-Eth-Trunk3] undo port trunk allow-pass vlan 1
[CSS-Eth-Trunk3] port trunk allow-pass vlan 205 //Habilite Eth-Trunk3 para
permitir el tráfico desde VLAN205.
[CSS-Eth-Trunk3] quit
[CSS] ip vpn-instance trust //Cree el ejemplo de VPN trust.
[CSS-vpn-instance-trust] ipv4-family
[CSS-vpn-instance-trust-af-ipv4] route-distinguisher 100:1
[CSS-vpn-instance-trust-af-ipv4] vpn-target 111:1 both
[CSS-vpn-instance-trust-af-ipv4] quit
[CSS-vpn-instance-trust] quit
[CSS] ip vpn-instance dmz //Cree el ejemplo de VPN dmz.
[CSS-vpn-instance-dmz] ipv4-family
[CSS-vpn-instance-dmz-af-ipv4] route-distinguisher 200:1
[CSS-vpn-instance-dmz-af-ipv4] vpn-target 211:1 both
[CSS-vpn-instance-dmz-af-ipv4] quit
[CSS-vpn-instance-dmz] quit
[CSS] interface vlanif 201
[CSS-Vlanif201] ip address 10.3.1.4 24
[CSS-Vlanif201] quit //Configure una dirección IP para
VLANIF201.
[CSS] interface vlanif 202
[CSS-Vlanif202] ip binding vpn-instance trust
[CSS-Vlanif202] ip address 10.3.2.4 24 //Vincule VLANIF202 a trust.
[CSS-Vlanif202] quit //Configure una dirección IP para
VLANIF202.
[CSS] interface vlanif 203
NOTA
En el ejemplo, NAT está configurado en los módulos de NGFW. Por lo tanto, configure las rutas estáticas
desde el switch virtual Public a la zona Trust y DMZ, y las direcciones IP de destino en las rutas deben ser
direcciones IP públicas posteriores a NAT. Si NAT no está configurado en los módulos de NGFW, las
direcciones IP de destino en los enrutamiento deben ser direcciones IP privadas respectivamente en la zona de
Trust y DMZ cuando configure las rutas estáticas desde el switch virtual público a las dos zonas.
En el ejemplo, los paquetes de NGFW no procesan los paquetes de comunicación entre la zona Trust y DMZ.
Si la empresa requiere que los módulos de NGFW procesen los paquetes de comunicación entre la zona Trust
y DMZ, establezca el siguiente salto a la dirección IP del grupo de VRRP de enlace descendente en los
módulos de NGFW cuando configure el enrutamiento para las comunicaciones entre la zona Trust y DMZ .
----Fin
Verificación
1. Ejecute el comando display hrp state en NGFW Module_A para comprobar el estado
actual de HRP. Si se muestra el siguiente resultado, se establece exitosamente una
relación de HRP.
HRP_A[Module_A] display hrp state
The firewall's config state is:
ACTIVE
0.01%
Time elapsed after the last switchover: 0 days, 0 hours, 1
minutes
Current state of virtual routers configured as
active:
Eth-Trunk1.3 vrid 3 : active
(GigabitEthernet1/0/0) : up
(GigabitEthernet1/0/1) : up
Eth-Trunk1.2 vrid 2 : active
(GigabitEthernet1/0/0) : up
(GigabitEthernet1/0/1) : up
Eth-Trunk1.1 vrid 1 : active
(GigabitEthernet1/0/0) : up
(GigabitEthernet1/0/1) :
up
De acuerdo con el resultado anterior, NGFW Module_A ha creado una entrada de sesión
para el acceso desde la intranet a Internet. Existe una entrada de sesión con la etiqueta de
Remota en NGFW Module_B, que indica que la copia de seguridad de la sesión es
exitosa después de configurar espera en caliente.
3. Compruebe si el acceso de Internet a los servidores en la DMZ es exitoso y compruebe la
tabla de sesiones de cada Módulo de NGFW.
HRP_A[Module_A] display firewall session table
Current Total Sessions : 1
http VPN: public --> public 2.2.2.2:11447 --> 1.1.1.3:8000[192.168.2.8:80]
HRP_S[Module_A] display firewall session table
Current Total Sessions : 1
http VPN: public --> public Remote 2.2.2.2:11447 -->
1.1.1.3:8000[192.168.2.8:80]
Scripts de configuración
Los scripts de configuración de los módulos de NGFW:
route-distinguisher 100:1
vpn-target 111:1 export-extcommunity
vpn-target 111:1 import-extcommunity
#
interface Vlanif201
ip address 10.3.1.4 255.255.255.0
#
interface Vlanif202
ip binding vpn-instance trust
ip address 10.3.2.4 255.255.255.0
#
interface Vlanif203
ip binding vpn-instance dmz
ip address 10.3.3.4 255.255.255.0
#
interface Vlanif204
ip binding vpn-instance trust
ip address 10.1.1.2 255.255.255.0
#
interface Vlanif205
ip binding vpn-instance dmz
ip address 10.1.2.2 255.255.255.0
#
interface Eth-Trunk2
description To_TRUST
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 204
#
interface Eth-Trunk3
description To_DMZ
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 205
#
interface Eth-Trunk5
description To_NGFW_Module_A
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 201 to 205
#
interface Eth-Trunk6
description To_NGFW_Module_B
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 201 to 205
#
interface XGigabitEthernet1/1/0/0
eth-trunk 5
#
interface XGigabitEthernet1/1/0/1
eth-trunk 5
#
interface XGigabitEthernet2/1/0/0
eth-trunk 6
#
interface XGigabitEthernet2/1/0/1
eth-trunk 6
#
ip route-static 1.1.1.1 255.255.255.255 10.3.1.1
ip route-static 1.1.1.2 255.255.255.255 10.3.1.1
ip route-static 1.1.1.3 255.255.255.255 10.3.1.1
ip route-static vpn-instance trust 0.0.0.0 0.0.0.0 10.3.2.1
ip route-static vpn-instance trust 192.168.2.0 255.255.255.0 vpn-instance dmz
10.1.2.1
ip route-static vpn-instance dmz 0.0.0.0 0.0.0.0 10.3.3.1
ip route-static vpn-instance dmz 192.168.1.0 255.255.255.0 vpn-instance trust
10.1.1.1
#
return
Requisitos de servicio
Como se muestra en Figura 1-6, dos switches se despliegan en un CSS y dos módulos de
NGFW se instalan en la ranura 1 en los dos switches. Los dos módulos de NGFW son
necesarios para implementar Espera en caliente y realizar la detección de seguridad en el
tráfico que pasa a través de los switches. Dos módulos de NGFW funcionan en modo activo/
standby.
Este ejemplo utiliza los módulos de NGFW que ejecutan V100R001C30 y switches que
ejecutan V200R008C00. Para los ejemplos de configuración de los módulos de NGFW que
ejecutan otras versiones, consulteDeployment Guide.
Figura 1-6 Red para el despliegue del Módulo de dual NGFW de Capa 3 y CSS de switch
Internet/WAN
Eth-Trunk0 Eth-Trunk0
10.10.0.1/24 Eth-Trunk 4 Enlace de latido 10.10.0.2/24
Eth-Trunk1.1(untrust) Eth-Trunk1.1(untrust)
CSS
Eth-Trunk1.2(trust) Eth-Trunk1.2(trust)
Eth-Trunk1.3(dmz) SwitchB Eth-Trunk1.3(dmz)
SwitchA
NGFW Module_A Eth-Trunk 5 NGFW Module_B
Eth-Trunk 6
Eth-Trunk 2 Eth-Trunk 3
192.168.1.0/24 192.168.2.0/24
trust dmz
NOTA
El módulo de NGFW tiene dos interfaces fijas de Ethernet internas: GE1/0/0 a GE1/0/1. La numeración de
las interfaces de Ethernet internas en el switch está determinada por la ranura en la que está instalado el
Módulo de NGFW. Por ejemplo, cuando el Módulo de NGFW está instalado en la ranura 1 del switch, las
interfaces de Ethernet internas utilizadas por el switch son XGE1/1/0/0 a XGE1/1/0/1.
Eth-Trunk2 y Eth-Trunk3 son interfaces de los switches en CSS.
Planificación de datos
ítem Datos Descripción
Figura 1-7 Configuración de VRRP en los módulos de NGFW y PBR en los switches
Ruta estática
Tráfico de la zona
de trust
Tráfico de la zona
de dmz
NOTA
Figura 1-7 enumera solo las interfaces de switch involucradas en la conexión con los módulos de
NGFW.
2. Especifique Eth-trunk0 como la interfaz de latido y habilite Espera en caliente en cada
módulo de NGFW.
3. Configure las funciones de seguridad, como políticas de seguridad, políticas de NAT e
IPS en NGFW Module_A. Module_A de NGFW sincronizará automáticamente sus
configuraciones a NGFW Module_B.
Procedimiento
Paso 1 Complete las configuraciones de la interfaz y de red básica en los módulos de NGFW.
[Module_A-Eth-Trunk1.2] quit
[Module_A] interface Eth-trunk 1.3
[Module_A-Eth-Trunk1.3] ip address 10.3.3.2 24
[Module_A-Eth-Trunk1.3] vlan-type dot1q 203
[Module_A-Eth-Trunk1.3] quit
[Module_A] interface Eth-Trunk 0
[Module_A-Eth-Trunk0] ip address 10.10.0.1 24
[Module_A-Eth-Trunk0] quit
[Module_A] interface GigabitEthernet 0/0/1
[Module_A-GigabitEthernet0/0/1] Eth-Trunk 0
[Module_A-GigabitEthernet0/0/1] quit
[Module_A] interface GigabitEthernet 0/0/2
[Module_A-GigabitEthernet0/0/2] Eth-Trunk 0
[Module_A-GigabitEthernet0/0/2] quit
# En NGFW Module_A, configure una ruta estática de vínculo descendente a la zona Trust,
con la dirección de destino que es la dirección de la zona Trust y la dirección del siguiente
salto que es la dirección de VLANIF202 en el switch conectado.
[Module_A] ip route-static 192.168.1.0 255.255.255.0 10.3.2.4
# En NGFW Module_A, configure una ruta estática de vínculo descendente a la DMZ, con la
dirección de destino que es la dirección de la DMZ y la dirección de siguiente salto que es la
dirección de VLANIF203 en el switch conectado.
[Module_A] ip route-static 192.168.2.0 255.255.255.0 10.3.3.4
# En NGFW Module_A, configure una ruta de agujero negro en una dirección en el grupo de
direcciones de NAT de origen para evitar bucles de enrutamiento. En este ejemplo, el rango de
direcciones es 1.1.1.1-1.1.1.2 en el grupo de direcciones de NAT de origen.
[Module_A] ip route-static 1.1.1.1 255.255.255.255 null 0
[Module_A] ip route-static 1.1.1.2 255.255.255.255 null 0
# En NGFW Module_A, configure una ruta de agujero negro en la dirección global del
servidor de NAT para evitar los bucles de enrutamiento. En este ejemplo, la dirección global
del servidor de NAT es 1.1.1.3.
[Module_A] ip route-static 1.1.1.3 255.255.255.255 null 0
# En NGFW Module_B, configure una ruta estática de vínculo descendente a la zona Trust,
con la dirección de destino que es la dirección de la zona Trust y la dirección del siguiente
salto que es la dirección de VLANIF202 en el switch conectado.
[Module_B] ip route-static 192.168.1.0 255.255.255.0 10.3.2.4
# En NGFW Module_B, configure una ruta estática de vínculo descendente a la DMZ, con la
dirección de destino que es la dirección de la DMZ y la dirección de siguiente salto que es la
dirección de VLANIF203 en el switch conectado.
[Module_B] ip route-static 192.168.2.0 255.255.255.0 10.3.3.4
# En NGFW Module_B, configure una ruta de agujero negro en una dirección en el grupo de
direcciones NAT de origen para evitar bucles de enrutamiento. En este ejemplo, el rango de
direcciones es 1.1.1.1-1.1.1.2 en el grupo de direcciones de NAT de origen.
[Module_B] ip route-static 1.1.1.1 255.255.255.255 null 0
[Module_B] ip route-static 1.1.1.2 255.255.255.255 null 0
# En NGFW Module_B, configure una ruta de agujero negro en la dirección global del
servidor de NAT para evitar los bucles de enrutamiento. En este ejemplo, la dirección global
del servidor de NAT es 1.1.1.3.
[Module_B] ip route-static 1.1.1.3 255.255.255.255 null 0
NOTA
# En NGFW Module_A, configure una política de seguridad para permitir que los usuarios de
extranet accedan a la DMZ (segmento de red 192.168.2.0/24) y configure la prevención de
intrusiones.
HRP_A[Module_A-policy-security] rule name policy_sec2
HRP_A[Module_A-policy-security-rule-policy_sec2] source-zone untrust
HRP_A[Module_A-policy-security-rule-policy_sec2] destination-zone dmz
HRP_A[Module_A-policy-security-rule-policy-sec2] destination-address 192.168.2.0
24
HRP_A[Module_A-policy-security-rule-policy_sec2] service http ftp
HRP_A[Module_A-policy-security-rule-policy_sec2] profile ips default
HRP_A[Module_A-policy-security-rule-policy_sec2] action permit
HRP_A[Module_A-policy-security-rule-policy_sec2] quit
HRP_A[Module_A-policy-security] quit
# Configure una política de NAT de origen para el acceso a Internet desde la subred privada
especificada.
HRP_A[Module_A] nat-policy
HRP_A[Module_A-policy-nat] rule name policy_nat1
HRP_A[Module_A-policy-nat-rule-policy_nat1] source-zone trust
HRP_A[Module_A-policy-nat-rule-policy_nat1] destination-zone untrust
HRP_A[Module_A-policy-nat-rule-policy_nat1] source-address 192.168.1.0 24
HRP_A[Module_A-policy-nat-rule-policy_nat1] action nat address-group
addressgroup1
HRP_A[Module_A-policy-nat-rule-policy_nat1] quit
HRP_A[Module_A-policy-nat] quit
# Configure la función del servidor de NAT para trasladar la dirección privada de un servidor
específico en la DMZ a una dirección pública para el acceso del usuario. En este ejemplo, la
dirección privada 192.168.2.8:80 del servidor web en la DMZ se traslada a la dirección
pública 1.1.1.3:8000.
HRP_A[Module_A] nat server policy_web protocol tcp global 1.1.1.3 8000 inside
192.168.2.8 80
1. Instale el hardware y conecte los cables. Para más detalles, consulte CSS Installation
Guide.
2. Establezca el modo de conexión de CSS (como el modo de conexión de la tarjeta de
CSS), ID de CSS y prioridad de CSS.
# Para usar SwitchA como el switch activo, habilite CSS en SwitchA y luego reinicie
SwitchA.
[SwitchA] css enable
Warning: The CSS configuration will take effect only after the system is
rebooted. T
he next CSS mode is CSS card. Reboot now? [Y/N]:y
Paso 6 Configure las interfaces y las VLAN para switches. Este ejemplo describe cómo configurar la
interconexión entre el switch y los módulos de NGFW.
[CSS] vlan batch 201 to 203 //Cree las VLAN.
[CSS] interface eth-trunk 5
[CSS-Eth-Trunk5] description To_NGFW_Module_A
[CSS-Eth-Trunk5] trunkport xgigabitethernet 1/1/0/0 to 1/1/0/1 //Cree Eth-Trunk5
en el CSS y agregue las interfaces de Ethernet interna a Eth-Trunk5.
[CSS-Eth-Trunk5] port link-type trunk
[CSS-Eth-Trunk5] undo port trunk allow-pass vlan 1
[CSS-Eth-Trunk5] port trunk allow-pass vlan 201 to 203 //Configure Eth-Trunk5
para permitir el tráfico desde las VLAN 201, 202 y 203.
[CSS-Eth-Trunk5] quit
[CSS] interface eth-trunk 6
[CSS-Eth-Trunk6] description To_NGFW_Module_B
[CSS-Eth-Trunk6] trunkport xgigabitethernet 2/1/0/0 to 2/1/0/1 //Cree Eth-Trunk6
en el CSS y agregue las interfaces de Ethernet interna a Eth-Trunk6.
[CSS-Eth-Trunk6] port link-type trunk
[CSS-Eth-Trunk6] undo port trunk allow-pass vlan 1
[CSS-Eth-Trunk6] port trunk allow-pass vlan 201 to 203 //Configure Eth-Trunk6
para permitir el tráfico desde las VLAN 201, 202 y 203.
[CSS-Eth-Trunk6] quit
[CSS] interface vlanif 201
[CSS-Vlanif201] ip address 10.3.1.4 24
[CSS-Vlanif201] quit //Configure una dirección IP para
VLANIF201.
[CSS] interface vlanif 202
[CSS-Vlanif202] ip address 10.3.2.4 24
[CSS-Vlanif202] quit //Configure una dirección IP para
VLANIF202.
[CSS] interface vlanif 203
[CSS-Vlanif203] ip address 10.3.3.4 24
[CSS-Vlanif203] quit //Configure una dirección IP para
VLANIF203.
Paso 7 Configure el desvío de tráfico en el switch. Este ejemplo describe cómo configurar la
interconexión entre el switch y los módulos de NGFW.
[CSS] acl 3001 //Cree ACL3001.
[CSS-acl-adv-3001] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination
192.168.2.0 0.0.0.255 //Configure una regla para ACL3001: segmento de red de
origen 192.168.1.0 y segmento de red de destino 192.168.2.0.
[CSS-acl-adv-3001] rule 10 permit ip source 192.168.2.0 0.0.0.255 destination
192.168.1.0 0.0.0.255 //Configure una regla para ACL3001: segmento de red de
origen 192.168.2.0 y segmento de red de destino 192.168.1.0.
[CSS-acl-adv-3001] quit
[CSS] traffic classifier c1 precedence 5 //Cree el clasificador de tráfico c1.
[CSS-classifier-c1] if-match acl 3001 //Coincida los paquetes intercambiados
entre la zona Trust y DMZ con la regla ACL3001.
[CSS-classifier-c1] quit
[CSS] traffic behavior b1 //Cree el comportamiento de tráfico b1.
[CSS-behavior-b1] permit //Permita los paquetes coincidentes.
[CSS-behavior-b1] quit
[CSS] acl 3002 //Cree ACL3002.
[CSS-acl-adv-3002] rule 5 permit ip source 192.168.1.0 0.0.0.255 //Configure una
regla para ACL3002: segmento de red de origen 192.168.1.0.
[CSS-acl-adv-3002] quit
[CSS] traffic classifier c2 precedence 10 //Cree el clasificador de tráfico c2.
[CSS-classifier-c2] if-match acl 3002 //Coincida los paquetes del segmento de
red 192.168.1.0, es decir, los paquetes de la zona Trust a Internet, con ACL3002.
[CSS-classifier-c2] quit
[CSS] traffic behavior b2 //Cree el comportamiento de tráfico b2.
NOTA
En este ejemplo, las funciones del servidor NAT y NAT de origen se configuran en el Módulo de NGFW. Para
el switch, la dirección de destino del tráfico enviado desde la red pública a la red privada es una dirección
posterior a NAT. Por lo tanto, puede configurar una ruta estática en el switch para dirigir el tráfico enviado
desde la dirección pública a la red privada hacia el Módulo de NGFW.
Si no se configura ninguna función NAT de origen o servidor NAT en el Módulo de NGFW, para el switch, la
dirección de destino del tráfico enviado desde la red pública a la red privada sigue siendo una red privada. En
este caso, debe configurar una política de tráfico en la interfaz de vínculo ascendente del switch para dirigir el
tráfico al Módulo de NGFW.
[CSS] acl 3004 //Cree ACL3004.
[CSS-acl-adv-3004] rule 5 permit ip destination 192.168.1.0 0.0.0.255 //
Configure una regla para ACL3004: segmento de red de destino 192.168.1.0.
[CSS-acl-adv-3004] rule 10 permit ip destination 192.168.2.0 0.0.0.255 //
Configure una regla para ACL3004: segmento de red de destino 192.168.2.0.
[CSS-acl-adv-3004] quit
[CSS] traffic classifier c4 precedence 20 //Cree el clasificador de tráfico c4.
[CSS-classifier-c4] if-match acl 3004 //Coincida los paquetes cuyos segmentos
de red de destino sean 192.168.1.0 y 192.168.2.0, es decir, todos los paquetes de
Internet a la intranet, con la regla ACL3004.
[CSS-classifier-c4] quit
[CSS] traffic behavior b4 //Cree el comportamiento de tráfico b4.
[CSS-behavior-b4] redirect ip-nexthop 10.3.1.1 //Redirija los paquetes
coincidentes a la dirección 10.3.1.1, es decir, al Módulo de NGFW.
[CSS-behavior-b4] quit
[CSS] traffic policy p4 //Cree una política de tráfico p4.
[CSS-trafficpolicy-p4] classifier c4 behavior b4 precedence 20 //Vincule el
clasificador de tráfico c4 y el comportamiento de tráfico b4 con la política de
tráfico p4. Todo el tráfico de Internet a la intranet se dirige al Módulo de NGFW.
[CSS-trafficpolicy-p4] quit
[CSS] interface eth-trunk 4 //Acceda a la vista de la interfaz que conecta el
switch a Internet.
[CSS-Eth-Trunk4] traffic-policy p4 inbound //Aplique la política de tráfico p4
en la dirección de entrada de la interfaz que conecta el switch a Internet.
[CSS-Eth-Trunk4] quit
----Fin
Verificación
1. Ejecute el comando display hrp state en NGFW Module_A para comprobar el estado
actual de HRP. Si se muestra el siguiente resultado, se establece exitosamente una
relación de HRP.
HRP_A[Module_A] display hrp state
The firewall's config state is:
ACTIVE
De acuerdo con el resultado anterior, NGFW Module_A ha creado una entrada de sesión
para el acceso desde la intranet a Internet. Existe una entrada de sesión con la etiqueta de
Remota en NGFW Module_B, que indica que la copia de seguridad de la sesión es
exitosa después de configurar Espera en caliente.
3. Compruebe si el acceso de Internet a los servidores en la DMZ es exitoso y compruebe la
tabla de sesiones de cada Módulo de NGFW.
HRP_A[Module_A] display firewall session table
Current Total Sessions : 1
http VPN: public --> public 2.2.2.2:11447 --> 1.1.1.3:8000[192.168.2.8:80]
HRP_S[Module_A] display firewall session table
Current Total Sessions : 1
http VPN: public --> public Remote 2.2.2.2:11447 -->
1.1.1.3:8000[192.168.2.8:80]
Scripts de configuración
Los scripts de configuración de los módulos de NGFW:
interface XGigabitEthernet2/1/0/0
eth-trunk 6
#
interface XGigabitEthernet2/1/0/1
eth-trunk 6
#
ip route-static 1.1.1.1 255.255.255.255 10.3.1.1
ip route-static 1.1.1.2 255.255.255.255 10.3.1.1
ip route-static 1.1.1.3 255.255.255.255 10.3.1.1
#
return
Internet/WAN
10.3.0.5/24
NOTA
El módulo de NGFW tiene dos interfaces fijas de Ethernet internas: GE1/0/0 a GE1/0/1. La numeración de
las interfaces de Ethernet internas en el switch está determinada por la ranura en la que está instalado el
Módulo de NGFW. Por ejemplo, cuando el Módulo de NGFW está instalado en la ranura 1 del switch, las
interfaces de Ethernet internas utilizadas por el switch son XGE1/1/0/0 a XGE1/1/0/1.
Eth-Trunk2 y Eth-Trunk3 son interfaces de los switches en CSS.
Server area
Internet
10.2.0.0/24
VLAN 302
VLAN 200
NOTA
Figura 1-9 solo proporciona información de las interfaces relacionadas con los switches y los módulos
de NGFW.
4. Agrupe las interfaces GE0/0/1 y GE0/0/2 en el panel de cada módulo de NGFW en una
interfaz Eth-Trunk0, que funciona como la interfaz de latido y el canal de reserva y
habilita Espera en caliente.
5. Configure las funciones de seguridad, como políticas de seguridad, e IPS en NGFW
Module_A. Module_A de NGFW sincronizará automáticamente sus configuraciones a
NGFW Module_B.
Procedimiento
Paso 1 Complete las configuraciones de la interfaz y de red básica en los módulos de NGFW.
# Agregue las interfaces que conectan NGFW Module_A con su switch conectado a Eth-
Trunk 1.
[Module_A] interface Eth-Trunk 1
[Module_A-Eth-Trunk1] description To_SWITCHA_trunk10
[Module_A-Eth-Trunk1] quit
[Module_A] interface GigabitEthernet 1/0/0
[Module_A-GigabitEthernet1/0/0] Eth-Trunk 1
[Module_A-GigabitEthernet1/0/0] quit
[Module_A] interface GigabitEthernet 1/0/1
[Module_A-GigabitEthernet1/0/1] Eth-Trunk 1
[Module_A-GigabitEthernet1/0/1] quit
NOTA
En las redes reales, la cantidad de subinterfaces requeridas depende de la cantidad de VLAN a partir de
los paquetes que se deben finalizar.
[Module_A] interface Eth-Trunk 1.301
[Module_A-Eth-Trunk1.301] vlan-type dot1q 301
[Module_A-Eth-Trunk1.301] ip address 10.1.0.1 24
[Module_A-Eth-Trunk1.301] quit
[Module_A] interface Eth-Trunk 1.302
[Module_A-Eth-Trunk1.302] vlan-type dot1q 302
[Module_A-Eth-Trunk1.302] ip address 10.2.0.1 24
[Module_A-Eth-Trunk1.302] quit
[Module_A] interface Eth-Trunk 1.200
[Module_A-Eth-Trunk1.200] vlan-type dot1q 200
[Module_A-Eth-Trunk1.200] ip address 10.3.0.1 24
[Module_A-Eth-Trunk1.200] quit
<sysname> system-view
[sysname] sysname Module_B
# Agregue las interfaces que conectan NGFW Module_B con su switch conectado a Eth-
Trunk 1.
[Module_B] interface Eth-Trunk 1
[Module_B-Eth-Trunk1] description To_SWITCHB_trunk11
[Module_B-Eth-Trunk1] quit
[Module_B] interface GigabitEthernet 1/0/0
[Module_B-GigabitEthernet1/0/0] Eth-Trunk 1
[Module_B-GigabitEthernet1/0/0] quit
[Module_B] interface GigabitEthernet 1/0/1
[Module_B-GigabitEthernet1/0/1] Eth-Trunk 1
[Module_B-GigabitEthernet1/0/1] quit
NOTA
# En NGFW Module_A, configure una política de seguridad para permitir que los usuarios de
la intranet accedan a Internet y configuren la prevención de intrusiones.
HRP_A[Module_A] security-policy
HRP_A[Module_A-policy-security] rule name policy_to_wan
2. Agregue las interfaces de switch conectadas con NGFW Module_A a Eth-Trunk 10.
[CSS] interface eth-trunk 10
[CSS-Eth-Trunk10] description To_Module_A
[CSS-Eth-Trunk10] port link-type trunk
[CSS-Eth-Trunk10] trunkport xgigabitethernet 1/1/0/0 to 1/1/0/1
[CSS-Eth-Trunk10] undo port trunk allow-pass vlan 1
[CSS-Eth-Trunk10] port trunk allow-pass vlan 200 301 to 302 //Dirija el
tráfico desde diferentes VLAN al Módulo NGFW.
[CSS-Eth-Trunk10] quit
3. Agregue las interfaces de switch conectadas con NGFW Module_B a Eth-Trunk 11.
[CSS] interface eth-trunk 11
[CSS-Eth-Trunk11] description To_Module_B
[CSS-Eth-Trunk11] port link-type trunk
[CSS-Eth-Trunk11] trunkport xgigabitethernet 2/1/0/0 to 2/1/0/1
[CSS-Eth-Trunk11] undo port trunk allow-pass vlan 1
[CSS-Eth-Trunk11] port trunk allow-pass vlan 200 301 to 302 //Dirija el
tráfico desde diferentes VLAN al Módulo NGFW.
[CSS-Eth-Trunk11] quit
4. Configure Eth-Trunk 2 conectado a los usuarios de intranet. Agregar las interfaces a Eth-
Trunk 2 no se menciona aquí.
[CSS] interface eth-trunk 2
[CSS-Eth-Trunk2] port link-type trunk
[CSS-Eth-Trunk2] undo port trunk allow-pass vlan 1
5. Configure Eth-Trunk 3 conectado a los usuarios de intranet. Agregar las interfaces a Eth-
Trunk 3 no se menciona aquí.
[CSS] interface eth-trunk 3
[CSS-Eth-Trunk3] port link-type trunk
[CSS-Eth-Trunk3] undo port trunk allow-pass vlan 1
[CSS-Eth-Trunk3] port trunk allow-pass vlan 302
[CSS-Eth-Trunk3] quit
----Fin
Verificación
1. Ejecute el comando display hrp state en NGFW Module_A para comprobar el estado
actual de HRP. Si se muestra el siguiente resultado, se establece exitosamente una
relación de HRP.
HRP_A[Module_A] display hrp state
The firewall's config state is:
ACTIVE
De acuerdo con el resultado anterior, NGFW Module_A ha creado una entrada de sesión
para el acceso desde la intranet a Internet. Existe una entrada de sesión con la etiqueta de
Remota en NGFW Module_B, que indica que la copia de seguridad de la sesión es
exitosa después de configurar Espera en caliente.
3. Compruebe si el acceso de los usuarios en la intranet a los servidores es exitoso y
compruebe la tabla de sesiones de cada Módulo de NGFW.
HRP_A[Module_A] display firewall session table
Current Total Sessions : 1
http VPN: public --> public 10.1.0.10:22048 --> 10.2.0.8:80
HRP_S[Module_A] display firewall session table
Current Total Sessions : 1
http VPN: public --> public Remote 10.1.0.10:22048 --> 10.2.0.8:80
Scripts de configuración
Los Scripts de configuración de los Módulos de NGFW:
eth-Trunk 11
#
interface XGigabitEthernet2/1/0/1
eth-Trunk 11
#
return
2 Ejemplos de interconexión
Una VLAN tag consta de 16 bits. PRI (también llamado como prioridad de CoS o
802.1p) ocupa 3 bits, CFI ocupa 1 bit y VID ocupa 12 bits.
Los tipos de paquetes se definen según las etiquetas VLAN de la siguiente manera:
a. Paquetes sin etiqueta: Los paquetes no llevan etiquetas VLAN.
b. Paquetes etiquetados con VLAN 0: Paquetes llevan etiquetas con VLAN 0:
c. Paquetes etiquetados: Paquetes etiquetados con etiquetas que no sean 0:
Según lo definido por 802.1Q, los paquetes de voz enviados por teléfonos IP pueden
llevar sin etiquetas, etiquetas con VLAN 0 o etiquetas que no sean 0.
Se debe especificar una alta prioridad especificada por el valor de CoS (normalmente 5)
para los paquetes de voz, de modo que se puedan reenviar de manera preferente. En
general, los teléfonos IP de los proveedores principales (por ejemplo, la serie Cisco
7960) envían paquetes de voz etiquetados en los que el valor de CoS por defecto es de 5.
Existen muchos tipos de teléfonos IP y los valores de CoS de algunos teléfonos IP no se
pueden ajustar a 5.
Tabla 2-2 Describa los paquetes enviados por teléfonos IP.
NOTA
Un switch de Huawei procesa los paquetes etiquetados con VLAN 0 de la misma manera que los
paquetes sin etiquetas; es decir, una interfaz agrega la VLAN tag especificada por el PVID a los
paquetes. Para los paquetes de voz, el switch necesita identificarlos en función del OUI y agregar el ID
de VLAN de voz a los paquetes de voz para que los paquetes de voz puedan reenviarse en la VLAN de
voz.
Teléfono
ASIC
P2
P1 Switch P3
3-puerto
NOTA
l Los teléfonos de Cisco 7912, Cisco 7940G y Cisco 7960G son los PD no estándar. Si se requiere un
switch para proporcionar PoE, ejecute el comando poe legacy enable en las interfaces del switch
conectado a teléfonos IP para habilitar la detección de compatibilidad para los PD en el PSE.
l Los teléfonos de Cisco SPA 303 y Linksys SPA 921 no son compatibles con PoE, por lo que debe
conectarlos a una fuente de alimentación externa y antes del switch.
Tabla 2-3 Modos de interconexión compatibles con diferentes modelos de teléfonos IP (para
switches de V200R009 y versiones posteriores)
Model LLDP LLDP_ HDP MAC Voice- PVID ACL y Modo
o de MED VLAN VLAN =Voic polític de
teléfo includ e a de acceso
no IP e- VLAN tráfico recom
untagg endad
ed o
Cisco se se se se se se se LLDP
CP-796 admite admite admite admite admite admite admite
2G
Cisco se se se se se se se LLDP
CP-796 admite admite admite admite admite admite admite
5G
Cisco se se se se se se se LLDP
CP-797 admite admite admite admite admite admite admite
5G
Cisco se se se se se se se LLDP
CP-794 admite admite admite admite admite admite admite
2G
Cisco se se se se se se se LLDP
CP-995 admite admite admite admite admite admite admite
1G
Cisco se se se se se se se LLDP
CP-794 admite admite admite admite admite admite admite
1G
Cisco se se se se se se se LLDP
CP-794 admite admite admite admite admite admite admite
1G-GE
Cisco se se se se se se se LLDP
CP-390 admite admite admite admite admite admite admite
5
Cisco se se se se se se se LLDP
CP-796 admite admite admite admite admite admite admite
1G
Cisco se se se se se se se LLDP
CP-796 admite admite admite admite admite admite admite
1G-GE
Cisco se se se se se se se LLDP
CP-797 admite admite admite admite admite admite admite
1G
Cisco se se se se se se se LLDP
CP-791 admite admite admite admite admite admite admite
1G
Cisco se se se se se se se LLDP
CP-896 admite admite admite admite admite admite admite
1G
Cisco se se se se se se se LLDP
CP-794 admite admite admite admite admite admite admite
5G
Cisco se se se se se se se LLDP
CP-782 admite admite admite admite admite admite admite
1G
Cisco se se se se se se se LLDP
CP-997 admite admite admite admite admite admite admite
1
Cisco se se se se se se se LLDP
CP-790 admite admite admite admite admite admite admite
6G
Cisco se se se se se se se LLDP
CP-793 admite admite admite admite admite admite admite
7G
Cisco se se se se se se se LLDP
CP-894 admite admite admite admite admite admite admite
5
Cisco se se se se se se se LLDP
CP-694 admite admite admite admite admite admite admite
5
Cisco se se se se se se se LLDP
CP-884 admite admite admite admite admite admite admite
1
Cisco se se se se se se se LLDP
CP-694 admite admite admite admite admite admite admite
1
Cisco se se se se se se se LLDP
CP-883 admite admite admite admite admite admite admite
1
Cisco se se se se se se se LLDP
CP-784 admite admite admite admite admite admite admite
1
Cisco se se se se se se se LLDP
CP-894 admite admite admite admite admite admite admite
5
Cisco se se se se se se se LLDP
CP-692 admite admite admite admite admite admite admite
1
Cisco se se se se se se se LLDP
CP-896 admite admite admite admite admite admite admite
1
Cisco se se se se se se se LLDP
CP-894 admite admite admite admite admite admite admite
1
Cisco se se se se se se se LLDP
CP-790 admite admite admite admite admite admite admite
6
Cisco se se se se se se se LLDP
3905 admite admite admite admite admite admite admite
Cisco se se se se se se se LLDP
CP-696 admite admite admite admite admite admite admite
1
Cisco se se se se se se se LLDP
CP-781 admite admite admite admite admite admite admite
1
Cisco se se se se se se se LLDP
SPA50 admite admite admite admite admite admite admite
2G
Cisco se se se se se se se LLDP
SPA50 admite admite admite admite admite admite admite
4G
Cisco se se se se se se se LLDP
SPA50 admite admite admite admite admite admite admite
8G
Cisco se se se se se se se LLDP
SPA51 admite admite admite admite admite admite admite
2G
Cisco se se se se se se se LLDP
SPA52 admite admite admite admite admite admite admite
4G
Cisco se se se se se se se LLDP
SPA52 admite admite admite admite admite admite admite
5G
CISCO se se se se se se se LLDP
7931G admite admite admite admite admite admite admite
CISCO se se se se se se se LLDP
8811 admite admite admite admite admite admite admite
CISCO se se se se se se se LLDP
8865 admite admite admite admite admite admite admite
CISCO se se se se se se se LLDP
8851 admite admite admite admite admite admite admite
CISCO se se se se se se se LLDP
7861 admite admite admite admite admite admite admite
Cisco No se No se se se se se se HDP
CP-796 admite admite admite admite admite admite admite
0G
Cisco No se No se se se se se se HDP
CP-794 admite admite admite admite admite admite admite
0G
Cisco No se No se se se se se se HDP
CP-797 admite admite admite admite admite admite admite
0
Cisco No se No se se se se se se HDP
CP-391 admite admite admite admite admite admite admite
1
Cisco No se No se se se se se se HDP
CP-791 admite admite admite admite admite admite admite
2
Cisco No se No se se se se se se HDP
CP-395 admite admite admite admite admite admite admite
1
Cisco No se No se se se se se se HDP
CP-798 admite admite admite admite admite admite admite
5
Cisco No se No se se se se se se HDP
6961 admite admite admite admite admite admite admite
Cisco No se No se se se se se se HDP
SPA50 admite admite admite admite admite admite admite
9G
Cisco No se No se se se se se se HDP
SPA94 admite admite admite admite admite admite admite
2G
Cisco No se No se se se se se se HDP
SPA96 admite admite admite admite admite admite admite
2G
Cisco No se No se se se se se se HDP
SPA30 admite admite admite admite admite admite admite
3
Avaya se se No se se se se se Voice-
1608-I admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Avaya se se No se se se se se Voice-
9650 admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Avaya se se No se se se se se Voice-
9611G admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Avaya se se No se se se se se Voice-
4621 admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Avaya se se No se se se se se Voice-
1616-I admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Avaya se se No se se se se se Voice-
9630G admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Avaya se se No se se se se se Voice-
1692 admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Avaya se se No se se se se se Voice-
9620 admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Avaya se se No se se se se se Voice-
9621 admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Avaya se se No se se se se se Voice-
9608 admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Avaya se se No se se se se se Voice-
1608 admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Avaya se se No se se se se se Voice-
9641 admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Avaya se se No se se se se se Voice-
1230 admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Avaya se se No se se se se se Voice-
1210 admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Avaya se se No se se se se se Voice-
9610 admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Avaya se se No se se se se se Voice-
1220 admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Avaya se se No se se se se se Voice-
9640G admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Avaya se se No se se se se se Voice-
9670G admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Avaya se se No se se se se se Voice-
4610sw admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Avaya se se No se se se se se Voice-
E129 admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Avaya No se No se No se se se se se Voice-
1120E admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Polyco se se No se se se se se LLDP
m 330 admite admite admite admite admite admite admite
Polyco se se No se se se se se LLDP
m admite admite admite admite admite admite admite
CX300
0
Polyco se se No se se se se se LLDP
m admite admite admite admite admite admite admite
vvx500
Polyco se se No se se se se se LLDP
m 550 admite admite admite admite admite admite admite
Polyco se se No se se se se se LLDP
m admite admite admite admite admite admite admite
CX700
Polyco se se No se se se se se LLDP
m admite admite admite admite admite admite admite
CX600
Polyco No se No se No se se se se se Voice-
m admite admite admite admite admite admite admite VLAN
650sip include
-
untagge
d
Polyco No se No se No se se se se se Voice-
m admite admite admite admite admite admite admite VLAN
601sip include
-
untagge
d
Polyco No se No se No se se se se se Voice-
m 320 admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Polyco No se No se No se se se se se Voice-
m 450 admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Polyco No se No se No se se se se se Voice-
m admite admite admite admite admite admite admite VLAN
301SIP include
-
untagge
d
Snom se se No se se se se se LLDP
820 admite admite admite admite admite admite admite
Snom se se No se se No se se No se LLDP
821 admite admite admite admite admite admite admite
Snom No se No se No se se se se se Voice-
300 admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Mitel se se No se se se se se LLDP
5340 admite admite admite admite admite admite admite
Mitel se se No se se se se se LLDP
5212 admite admite admite admite admite admite admite
Nortel se se No se se se se se LLDP
1140E admite admite admite admite admite admite admite
H3C No se No se No se se se se se Voice-
3120 admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Linksys No se No se No se se se se se Voice-
SPA admite admite admite admite admite admite admite VLAN
921 include
-
untagge
d
GXP se se No se se se se se Voice-
1450 admite admite admite admite admite admite admite VLAN
include
-
untagge
d
GXP se se No se se se se se Voice-
1630 admite admite admite admite admite admite admite VLAN
include
-
untagge
d
GXP se se No se se se se se LLDP
2160 admite admite admite admite admite admite admite
Atcom No se No se No se se se se se Voice-
A11 admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Escene se se No se se se se se Voice-
ES290- admite admite admite admite admite admite admite VLAN
PN include
-
untagge
d
Escene se se No se se se se se Voice-
WS290 admite admite admite admite admite admite admite VLAN
-PN include
-
untagge
d
Fanvil No se No se No se se se se se Voice-
F52HP admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Yealink se se No se se se se se Voice-
SIP admite admite admite admite admite admite admite VLAN
T23P include
-
untagge
d
Yealink se se No se se se se se LLDP
SIP admite admite admite admite admite admite admite
T22P
Yealink se se No se se se se se LLDP
SIP admite admite admite admite admite admite admite
T28P
HP se se No se se se se se LLDP
4120 admite admite admite admite admite admite admite
Huawei se se No se se se se se LLDP
Espace- admite admite admite admite admite admite admite
7910
Huawei se se No se se se se se LLDP
Espace- admite admite admite admite admite admite admite
7950
Huawei se se No se se se se se LLDP
Espace- admite admite admite admite admite admite admite
8950
Notas de configuración
l A excepción de S2300SI, todos los modelos de todas las versiones admiten esta
configuración.
l El teléfono Avaya no puede obtener una dirección IP a través de DHCP dentro de 60s
debido a la demora de la red u otras causas. Una vez que el temporizador expire, el
teléfono Avaya envía paquetes etiquetados con VLAN 0 repetidamente. El switch
procesa los paquetes etiquetados con VLAN 0 de la misma manera que los paquetes sin
etiquetas, es decir, en la VLAN especificada por el PVID de una interfaz. Dichos
paquetes no se procesan en la VLAN de voz. Como resultado, el teléfono Avaya no
puede autenticarse y no se puede conectar al switch.
Puede usar uno de los siguientes métodos para resolver el problema:
– Método 1: En V200R003C00 y versiones posteriores, recomendamos que configure
la VLAN de voz basada en OUI. Luego, el switch agrega el ID de VLAN de voz a
los paquetes sin etiquetas, de modo que los paquetes se pueden reenviar en la
VLAN de voz. Para obtener más detalles, consulte 2.1.10 Ejemplo para conectar
teléfonos IP a switches a través de VLAN de voz basada en OUI. Para los
switches fijos (S5320EI, S6320EI) y switches modulares (excepto
LE1D2S04SEC0, LE1D2X32SEC0, LE1D2H02QEC0, y tarjetas de la serie X),
usted también puede usar el comando voice-vlan vlan-id enable include-tag0 para
habilitar la VLAN de voz para paquetes etiquetados con VLAN 0 en V200R010 y
versiones posteriores.
– Método 2: Modifique el valor del temporizador de VLAN TEST del teléfono IP:
Presione la tecla asterisco (*) e introduzca la contraseña para acceder al menú.
Seleccione VLAN TEST y cambie el valor por defecto a 0 (sin tiempo de espera).
Después de reiniciar el teléfono Avaya, la configuración del temporizador ya no
está efectiva y debe reconfigurarse.
l Para los teléfonos Mitel 5212, Option 128, Option 129, Option 130, y Option 131 se
deben configurar en el grupo de direcciones de servidor DHCP; de lo contrario, estos
teléfonos no pueden identificar los paquetes de DHCP Offer enviados por DHCP Server
o conectarse en línea. La configuración en el switch es la siguiente:
<Quidway> system-view
[Quidway] ip pool ip-phone
[Quidway-ip-pool-ip-phone] option 128 ip-address 10.20.20.1 //No hay ningún
requisito para el valor configurado. Asegúrese de que los paquetes salientes
lleven los campos.
[Quidway-ip-pool-ip-phone] option 129 ip-address 11.20.20.1
[Quidway-ip-pool-ip-phone] option 130 ascii MITEL IP PHONE
[Quidway-ip-pool-ip-phone] option 131 ip-address 11.20.20.1
Teléfonos IP aplicables
Consulte 2.1.4 Modos de interconexión compatibles con diferentes modelos de teléfonos
IP.
Requisitos de redes
En Figura 2-4, para ahorrar costos de inversión, el cliente requiere que los teléfonos IP y los
PC se conecten a la red a través de VoIP. Los teléfonos IP son compatibles con LLDP y
pueden obtener ID de VLAN de voz a través de LLDP. Para garantizar que los teléfonos IP y
los PC puedan conectarse a la red, el plan de la red debe cumplir con los siguientes requisitos:
l La prioridad de los paquetes de voz enviados por teléfonos IP es baja y debe aumentarse
para garantizar la calidad de la comunicación.
l Los paquetes de voz se transmiten en VLAN 100 y los flujos de datos desde los PC se
transmiten en VLAN 101.
l Las direcciones IP de los teléfonos IP se asignan dinámicamente por servidor DHCP, y
se encuentran en un segmento de red diferente al de servidor DHCP.
l Los teléfonos IP necesitan conectarse a los switches a través de la autenticación de la
dirección MAC.
Intranet
GE1/0/3
Relé DHCP Switch A
GE1/0/1 GE1/0/2
IP Phone A
IP Phone B
PC
2. Agregue interfaces a VLAN para que los paquetes de voz y datos se puedan reenviar
normalmente.
3. Configure la función de VLAN de voz para mejorar la prioridad de los paquetes de voz
desde teléfonos IP.
4. Configure las funciones de relé DHCP y de servidor DHCP para que las direcciones IP
se asignen a teléfonos IP.
5. Configure la autenticación para que los teléfonos IP se conecten a la red a través de la
autenticación de la dirección MAC.
Procedimiento
Paso 1 Habilite LLDP en SwitchA.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] lldp enable //Habilite LLDP globalmente. Por defecto, LLDP está
habilitado en una interfaz.
2. Configure SwitchB como servidor DHCP para asignar direcciones IP a teléfonos IP.
# Configure un grupo de direcciones.
<Quidway> system-view
[Quidway] sysname SwitchB
[SwitchB] ip pool ip-phone //Cree un grupo de direcciones.
[SwitchB-ip-pool-ip-phone] gateway-list 10.20.20.1 //Configure la dirección
del gateway en el servidor DHCP.
[SwitchB-ip-pool-ip-phone] network 10.20.20.0 mask 255.255.255.0 //Configure
las direcciones IP asignables en el grupo de direcciones IP.
[SwitchB-ip-pool-ip-phone] quit
Paso 5 Configure un dominio AAA y la autenticación de la dirección MAC para teléfonos IP.
1. Configure un dominio AAA.
# Cree y configure una plantilla del servidor RADIUS.
[SwitchA] radius-server template cisco //Cree una plantilla de servidor
RADIUS llamada cisco.
[SwitchA-radius-cisco] radius-server authentication 192.168.6.182 1812 //
Configure la dirección IP y el número de puertos del servidor de
autenticación RADIUS.
[SwitchA-radius-cisco] radius-server accounting 192.168.6.182 1813 //
Configure la dirección IP y el número de puertos del servidor de contabilidad
RADIUS.
[SwitchA-radius-cisco] quit
------------------------------------------------------------------------------
------------------------------------------------------------------------------
------------------------------------------------------------------------------
Total: 2, printed: 2
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA (V200R007C00 y versiones anteriores, y
V200R008C00)
#
sysname SwitchA
#
voice-vlan mac-address 001b-d4c7-0000 mask ffff-ffff-0000
voice-vlan mac-address 0021-a08f-0000 mask ffff-ffff-0000
#
vlan batch 100 to 101 200
#
lldp enable
#
dhcp enable
#
radius-server template cisco
radius-server authentication 192.168.6.182 1812 weight 80
radius-server accounting 192.168.6.182 1813 weight 80
#
aaa
authentication-scheme radius
authentication-mode radius
domain default
authentication-scheme radius
radius-server cisco
#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
dhcp relay server-ip 10.10.20.2
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#
interface GigabitEthernet1/0/1
voice-vlan 100 enable
port hybrid pvid vlan
101
Notas de configuración
l Este ejemplo se aplica a todos los modelos de V200R002 y versiones posteriores.
l El teléfono Avaya no puede obtener una dirección IP a través de DHCP dentro de 60s
debido a la demora de la red u otras causas. Una vez que el temporizador expire, el
teléfono Avaya envía paquetes etiquetados con VLAN 0 repetidamente. El switch
procesa los paquetes etiquetados con VLAN 0 de la misma manera que los paquetes sin
etiquetas, es decir, en la VLAN especificada por el PVID de una interfaz. Dichos
paquetes no se procesan en la VLAN de voz. Como resultado, el teléfono Avaya no
puede autenticarse y no se puede conectar al switch.
Puede usar uno de los siguientes métodos para resolver el problema:
– Método 1: En V200R003C00 y versiones posteriores, recomendamos que configure
la VLAN de voz basada en OUI. Luego, el switch agrega el ID de VLAN de voz a
los paquetes sin etiquetas, de modo que los paquetes se pueden reenviar en la
VLAN de voz. Para obtener más detalles, consulte 2.1.10 Ejemplo para conectar
teléfonos IP a switches a través de VLAN de voz basada en OUI. Para los
switches fijos (S5320EI, S6320EI) y switches modulares (excepto
LE1D2S04SEC0, LE1D2X32SEC0, LE1D2H02QEC0, y tarjetas de la serie X),
usted también puede usar el comando voice-vlan vlan-id enable include-tag0 para
habilitar la VLAN de voz para paquetes etiquetados con VLAN 0 en V200R010 y
versiones posteriores.
– Método 2: Modifique el valor del temporizador de VLAN TEST del teléfono IP:
Presione la tecla asterisco (*) e introduzca la contraseña para acceder al menú.
Seleccione VLAN TEST y cambie el valor por defecto a 0 (sin tiempo de espera).
Después de reiniciar el teléfono Avaya, la configuración del temporizador ya no
está efectiva y debe reconfigurarse.
l Solo V200R0007 y versiones posteriores permiten que los dispositivos de voz se
conecten sin autenticación.
l Para los teléfonos Mitel 5212, Option 128, Option 129, Option 130, y Option 131 se
deben configurar en el grupo de direcciones de servidor DHCP; de lo contrario, estos
teléfonos no pueden identificar los paquetes de DHCP Offer enviados por DHCP Server
o conectarse en línea. La configuración en el switch es la siguiente:
<Quidway> system-view
[Quidway] ip pool ip-phone
[Quidway-ip-pool-ip-phone] option 128 ip-address 10.20.20.1 //No hay ningún
requisito para el valor configurado. Asegúrese de que los paquetes salientes
lleven los campos.
[Quidway-ip-pool-ip-phone] option 129 ip-address 11.20.20.1
[Quidway-ip-pool-ip-phone] option 130 ascii MITEL IP PHONE
[Quidway-ip-pool-ip-phone] option 131 ip-address 11.20.20.1
Teléfonos IP aplicables
Consulte 2.1.4 Modos de interconexión compatibles con diferentes modelos de teléfonos
IP.
Requisitos de redes
En Figura 2-5, para ahorrar costos de inversión, el cliente requiere que los teléfonos IP se
conecten a la red a través de VoIP. Los teléfonos IP son compatibles con LLDP y pueden
obtener ID de VLAN de voz y prioridades de paquete desde el campo network-policy TLV.
Para garantizar que los teléfonos IP se puedan conectar a la red, el plan de la red debe cumplir
los siguientes requisitos:
l Los paquetes de voz enviados por teléfonos IP pueden llevar etiquetas de VLAN. La
prioridad de los paquetes de voz es alta, por lo que no es necesario que el switch aumente
la prioridad de los paquetes de voz.
l Los paquetes de voz se transmiten en VLAN 100.
l Las direcciones IP de los teléfonos IP se asignan dinámicamente por el servidor DHCP, y
se encuentran en un segmento de red diferente al del servidor DHCP.
l Los teléfonos IP pueden conectarse sin autenticación porque el entorno de red está
seguro.
intranet
Servidor
Switch B
DHCP
GE1/0/3
GE1/0/3
Relé DHCP Switch A
GE1/0/1 GE1/0/2
IP Phone A IP Phone B
Procedimiento
Paso 1 Habilite LLDP en SwitchA y configure el campo network-policy TLV en las interfaces.
# Habilite LLDP globalmente.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] lldp enable //Después de que LLDP esté habilitado globalmente, LLDP
está habilitado en todas las interfaces por defecto.
2. Configure SwitchB como servidor DHCP para asignar direcciones IP a teléfonos IP.
# Configure un grupo de direcciones.
<Quidway> system-view
[Quidway] sysname SwitchB
[SwitchB] ip pool ip-phone //Cree un grupo de direcciones.
[SwitchB-ip-pool-ip-phone] gateway-list 10.20.20.1 //Configure la dirección
del gateway en el servidor DHCP.
[SwitchB-ip-pool-ip-phone] network 10.20.20.0 mask 255.255.255.0 //Configure
las direcciones IP asignables en el grupo de direcciones IP.
[SwitchB-ip-pool-ip-phone] quit
Paso 5 Configure un dominio AAA y configure el switch para asignar una política de acceso a la red
a los terminales de voz a través de un esquema de servicio. La política de acceso a la red
define que los terminales de voz pueden conectarse en línea sin autenticación.
1. Configure un dominio AAA.
# Cree y configure una plantilla de servidor RADIUS.
[SwitchA] radius-server template cisco //Cree una plantilla de servidor
RADIUS llamada cisco.
[SwitchA-radius-cisco] radius-server authentication 192.168.6.182 1812 //
Configure la dirección IP y el número de puertos del servidor de
autenticación RADIUS.
[SwitchA-radius-cisco] radius-server accounting 192.168.6.182 1813 //
Configure la dirección IP y el número de puertos del servidor de contabilidad
RADIUS.
[SwitchA-radius-cisco] quit
2. Configure el switch para asignar una política de acceso a la red a los terminales de voz a
través de un esquema de servicio. La política de acceso a la red define que los terminales
de voz pueden conectarse en línea sin autenticación.
– V200R007C00 y V200R008C00
# Establezca el modo NAC a unificado.
[SwitchA] authentication unified-mode //Por defecto, el switch usa el
modo unificado. Cuando se cambian los modos tradicional y unificado, el
administrador debe guardar la configuración y reiniciar el switch para
que la configuración tenga efecto.
------------------------------------------------------------------------------
-
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA (V200R007C00 y V200R008C00)
#
sysname SwitchA
#
vlan batch 100 200
#
lldp enable
#
dhcp enable
#
authentication device-type voice authorize service-scheme cisco
#
radius-server template cisco
radius-server authentication 192.168.6.182 1812 weight 80
radius-server accounting 192.168.6.182 1813 weight 80
#
aaa
authentication-scheme radius
authentication-mode radius
service-scheme cisco
domain default
authentication-scheme radius
radius-server cisco
#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
dhcp relay server-ip 10.10.20.2
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port hybrid tagged vlan
100
trust 8021p
inner
authentication-profile cisco
trust 8021p
inner
Notas de configuración
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
Teléfonos IP aplicables
Consulte 2.1.4 Modos de interconexión compatibles con diferentes modelos de teléfonos
IP.
Requisitos de redes
En Figura 2-6, para ahorrar costos de inversión, el cliente requiere que los teléfonos IP se
conecten a la red a través de VoIP. Los teléfonos IP de Cisco se implementan y pueden
obtener los ID de VLAN de voz solo a través de CDP. Para garantizar que los teléfonos IP se
puedan conectar a la red, el plan de la red debe cumplir los siguientes requisitos:
l La prioridad de los paquetes de voz enviados por teléfonos IP es baja y debe aumentarse
para garantizar la calidad de la comunicación.
l Los paquetes de voz se transmiten en VLAN 100.
l Las direcciones IP de los teléfonos IP se encuentran en un segmento de red diferente al
del servidor DHCP.
l Los teléfonos IP deben conectarse a los switches a través de la autenticación 802.1x y la
autenticación de la dirección MAC.
intranet
Servidor
Switch B
DHCP
GE1/0/3
GE1/0/3
Relé DHCP Switch A
GE1/0/1 GE1/0/2
IP Phone A IP Phone B
2. Habilite LLDP compatible con CDP para que el switch asigne un ID de VLAN de voz a
los teléfonos IP de Cisco.
3. Configure las funciones de relé DHCP y de servidor DHCP para que las direcciones IP
se asignen a teléfonos IP.
4. Configure la autenticación para que los teléfonos IP se conecten a la red a través de la
autenticación 802.1x y la autenticación de la dirección MAC.
Procedimiento
Paso 1 Habilite la función de VLAN de voz en SwitchA.
# Cree VLAN 100.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 100 //Configure la VLAN 100 en la que se transmite el
tráfico de voz.
2. Configure SwitchB como servidor DHCP para asignar direcciones IP a teléfonos IP.
# Configure un grupo de direcciones.
<Quidway> system-view
[Quidway] sysname SwitchB
[SwitchB] ip pool ip-phone //Cree un grupo de direcciones.
[SwitchB-ip-pool-ip-phone] gateway-list 10.20.20.1 //Configure la dirección
del gateway en el servidor DHCP.
[SwitchB-ip-pool-ip-phone] network 10.20.20.0 mask 255.255.255.0 //Configure
las direcciones IP asignables en el grupo de direcciones IP.
[SwitchB-ip-pool-ip-phone] quit
Paso 4 Configure la autenticación 802.1x y la autenticación de la dirección MAC para teléfonos IP.
1. Configure un dominio AAA.
# Cree y configure una plantilla del servidor RADIUS.
[SwitchA] radius-server template cisco //Cree una plantilla de servidor
RADIUS llamada cisco.
[SwitchA-radius-cisco] radius-server authentication 192.168.6.182 1812 //
Configure la dirección IP y el número de puertos del servidor de
autenticación RADIUS.
[SwitchA-radius-cisco] radius-server accounting 192.168.6.182 1813 //
Configure la dirección IP y el número de puertos del servidor de contabilidad
RADIUS.
[SwitchA-radius-cisco] quit
Seleccione Service type como Access, seleccione voice-vlan 100 que es creado en
el paso anterior.
------------------------------------------------------------------------------
------------------------------------------------------------------------------
------------------------------------------------------------------------------
Total: 2, printed: 2
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA (V200R007C00 y versiones anteriores, y
V200R008C00)
#
sysname SwitchA
#
voice-vlan mac-address 001b-d4c7-0000 mask ffff-ffff-0000
voice-vlan mac-address 0021-a08f-0000 mask ffff-ffff-0000
#
vlan batch 100 200
#
undo authentication unified-mode
#
dhcp enable
#
radius-server template cisco
radius-server authentication 192.168.6.182 1812 weight 80
radius-server accounting 192.168.6.182 1813 weight 80
#
aaa
authentication-scheme radius
authentication-mode radius
domain default
authentication-scheme radius
radius-server cisco
#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
dhcp relay server-ip 10.10.20.2
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#
interface GigabitEthernet1/0/1
voice-vlan 100 enable
voice-vlan legacy enable
port hybrid tagged vlan 100
dot1x mac-bypass
#
interface GigabitEthernet1/0/2
voice-vlan 100 enable
voice-vlan legacy enable
port hybrid tagged vlan 100
dot1x mac-bypass
#
interface GigabitEthernet1/0/3
port hybrid pvid vlan 200
port hybrid untagged vlan 200
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
return
Descripción general
Si un dispositivo de voz es compatible con DHCP, se puede habilitar DHCP en el switch y se
puede asignar un ID de VLAN de voz a un dispositivo de voz a través de DHCP.
Notas de configuración
A continuación se describen los modelos y versiones de productos aplicables.
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para obtener más información sobre los mapeos de software, consulte Version Mapping Search for Huawei
Campus Switches.
Requisitos de redes
En Figura 2-7, el teléfono IP puede obtener un ID de VLAN de voz a través de DHCP, y la
prioridad de los paquetes de voz enviados por el teléfono IP es alta (por ejemplo, la prioridad
802.1p es de 5). El campo de opción está configurado en el servidor DHCP para que el
servidor DHCP proporcione el ID de VLAN al dispositivo de voz.
Internet
Servidor de
Switch
DHCP
GE1/0/1
HG
Procedimiento
Paso 1 Configure las VLAN y una interfaz en el Switch.
# Cree VLAN 2 y VLAN 6.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 2 6
# Configure el tipo de enlace y la VLAN por defecto de la interfaz conectada al teléfono IP.
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port hybrid pvid vlan 2 //El tipo de enlace
predeterminado de una interfaz es híbrido y no debe ser configurado manualmente.
[Switch-GigabitEthernet1/0/1] port hybrid untagged vlan 2 //Agregue la interfaz
a la VLAN 2 donde se reenvían los paquetes de datos.
[Switch-GigabitEthernet1/0/1] port hybrid tagged vlan 6 //Agregue la interfaz a
la VLAN 2 donde se reenvían los paquetes de datos.
[Switch-GigabitEthernet1/0/1] quit
NOTA
El campo de opción está configurado en el servidor DHCP para que el servidor DHCP proporcione un
ID de VLAN a un dispositivo de voz. Este ejemplo usa opción 184. Los teléfonos IP de diferentes
proveedores pueden usar diferentes campos de option. Vea la documentación del teléfono IP. Para
obtener detalles sobre cómo configurar una opción, consulte el comando option en the IP Service
Commands - DHCP Configuration Commands.
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 2 6
#
dhcp enable
#
ip pool ip_access
gateway-list 192.168.10.1
network 192.168.10.0 mask 255.255.255.0
option184 voice-vlan 6
#
interface Vlanif2
ip address 192.168.10.1 255.255.255.0
dhcp select global
#
interface GigabitEthernet1/0/1
port hybrid pvid vlan 2
port hybrid tagged vlan 6
port hybrid untagged vlan 2
trust 8021p inner
#
return
Descripción general
Si un dispositivo de voz no es compatible con LLDP o DHCP, un switch no puede asignarle
un ID de VLAN de voz. Puede configurar la asignación de VLAN basada en direcciones
MAC en el switch. Luego, el switch identifica los paquetes de voz según la dirección MAC
del dispositivo de voz y aumenta la prioridad de los paquetes de voz.
Notas de configuración
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
l El teléfono Avaya no puede obtener una dirección IP a través de DHCP dentro de 60s
debido a la demora de la red u otras causas. Una vez que el temporizador expire, el
teléfono Avaya envía paquetes etiquetados con VLAN 0 repetidamente. El switch
procesa los paquetes etiquetados con VLAN 0 de la misma manera que los paquetes sin
etiquetas, es decir, en la VLAN especificada por el PVID de una interfaz. Dichos
paquetes no se procesan en la VLAN de voz. Como resultado, el teléfono Avaya no
puede autenticarse y no se puede conectar al switch.
Puede usar uno de los siguientes métodos para resolver el problema:
– Método 1: En V200R003C00 y versiones posteriores, recomendamos que configure
la VLAN de voz basada en OUI. Luego, el switch agrega el ID de VLAN de voz a
los paquetes sin etiquetas, de modo que los paquetes se pueden reenviar en la
VLAN de voz. Para obtener más detalles, consulte 2.1.10 Ejemplo para conectar
teléfonos IP a switches a través de VLAN de voz basada en OUI. Para los
switches fijos (S5320EI, S6320EI) y switches modulares (excepto
LE1D2S04SEC0, LE1D2X32SEC0, LE1D2H02QEC0, y tarjetas de la serie X),
usted también puede usar el comando voice-vlan vlan-id enable include-tag0 para
habilitar la VLAN de voz para paquetes etiquetados con VLAN 0 en V200R010 y
versiones posteriores.
– Método 2: Modifique el valor del temporizador de VLAN TEST del teléfono IP:
Presione la tecla asterisco (*) e introduzca la contraseña para acceder al menú.
Seleccione VLAN TEST y cambie el valor por defecto a 0 (sin tiempo de espera).
Después de reiniciar el teléfono Avaya, la configuración del temporizador ya no
está efectiva y debe reconfigurarse.
l Para los teléfonos Mitel 5212, Option 128, Option 129, Option 130, y Option 131 se
deben configurar en el grupo de direcciones de servidor DHCP; de lo contrario, estos
teléfonos no pueden identificar los paquetes de DHCP Offer enviados por DHCP Server
o conectarse en línea. La configuración en el switch es la siguiente:
<Quidway> system-view
[Quidway] ip pool ip-phone
[Quidway-ip-pool-ip-phone] option 128 ip-address 10.20.20.1 //No hay ningún
requisito para el valor configurado. Asegúrese de que los paquetes salientes
lleven los campos.
[Quidway-ip-pool-ip-phone] option 129 ip-address 11.20.20.1
[Quidway-ip-pool-ip-phone] option 130 ascii MITEL IP PHONE
[Quidway-ip-pool-ip-phone] option 131 ip-address 11.20.20.1
Teléfonos IP aplicables
Consulte 2.1.4 Modos de interconexión compatibles con diferentes modelos de teléfonos
IP.
Requisitos de redes
En Figura 2-8, para ahorrar costos de inversión, el cliente requiere que los teléfonos IP se
conecten a la red a través de VoIP. Los teléfonos IP no pueden obtener ID de VLAN de voz y
solo pueden enviar paquetes de voz sin etiquetas. Para garantizar que los teléfonos IP se
puedan conectar a la red, el plan de la red debe cumplir los siguientes requisitos:
l La prioridad de los paquetes de voz debe aumentarse para garantizar la calidad de la
comunicación.
l Los paquetes de voz se transmiten en VLAN 100.
l Las direcciones IP de los teléfonos IP se asignan dinámicamente por el servidor DHCP, y
se encuentran en un segmento de red diferente al del servidor DHCP.
l Los teléfonos IP pueden conectarse sin autenticación porque el entorno de red está
seguro.
intranet
Servidor
Switch B
DHCP
GE1/0/3
GE1/0/3
Relé DHCP Switch A
GE1/0/1 GE1/0/2
IP Phone A IP Phone B
Procedimiento
Paso 1 Agregue una interfaz en SwitchA a una VLAN.
# Cree VLAN 100.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 100 //Configure la VLAN 100 en la que se transmite el
tráfico de voz.
2. Configure SwitchB como servidor DHCP para asignar direcciones IP a teléfonos IP.
<Quidway> system-view
[Quidway] sysname SwitchB
[SwitchB] ip pool ip-phone //Cree un grupo de direcciones.
[SwitchB-ip-pool-ip-phone] gateway-list 10.20.20.1 //Configure la dirección
del gateway en el servidor DHCP.
[SwitchB-ip-pool-ip-phone] network 10.20.20.0 mask 255.255.255.0 //Configure
las direcciones IP asignables en el grupo de direcciones IP.
[SwitchB-ip-pool-ip-phone] quit
------------------------------------------------------------------------------
-
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 100 200
#
dhcp enable
#
vlan 100
mac-vlan mac-address 001b-d4c7-1fa9 ffff-ffff-0000 priority 6
Descripción general
Si un dispositivo de voz envía paquetes sin etiquetas, el switch puede identificar el OUI del
paquete sin etiqueta del dispositivo. Luego, el switch agrega el ID de VLAN de voz al
paquete y aumenta la prioridad del paquete en función del ID de VLAN de voz.
Notas de configuración
l Este ejemplo se aplica a todos los modelos de V200R003C00 y versiones posteriores.
l Después de configurar una VLAN de voz en una interfaz, el mapeo de VLAN, el
apilamiento de VLAN o las políticas de tráfico no se pueden configurar en la interfaz.
Teléfonos IP aplicables
Consulte 2.1.4 Modos de interconexión compatibles con diferentes modelos de teléfonos
IP.
Requisitos de redes
En Figura 2-9, para ahorrar costos de inversión, el cliente requiere que los teléfonos IP y se
conecten a la red a través de VoIP. Los teléfonos IP no pueden obtener los ID de VLAN de
voz y solo pueden enviar paquetes de voz sin etiquetas. Para garantizar que los teléfonos IP se
puedan conectar a la red, el plan de la red debe cumplir los siguientes requisitos:
l La prioridad de los paquetes de voz aumenta para garantizar la calidad de comunicación
de los teléfonos IP.
l Los paquetes de voz se transmiten en VLAN 100.
l Las direcciones IP de los teléfonos IP se encuentran en un segmento de red diferente al
del servidor DHCP, y la función DHCP snooping está configurada para mejorar la
seguridad de la red.
l Los teléfonos IP deben conectarse a los switches a través de la autenticación 802.1x y la
autenticación de la dirección MAC.
Figura 2-9 Conexión de teléfonos IP a switches a través de VLAN de voz basada en OUI
Servidor de
autenticación
intranet
Servidor
Switch B
DHCP
GE1/0/3
GE1/0/3
Relé DHCP Switch A
GE1/0/1 GE1/0/2
IP Phone A IP Phone B
Procedimiento
Paso 1 Agregue una interfaz en SwitchA a una VLAN.
Paso 2 En SwitchA, configure la interfaz para agregar el ID de VLAN de voz a los paquetes sin
etiquetas y configure el OUI.
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] voice-vlan 100 enable include-untagged //Habilite
la función Voice VLAN include-untagged de la interfaz,para S5320EI, S6320EI y
dispositivos de marco(excepto LE1D2S04SEC0, LE1D2X32SEC0, LE1D2H02QEC0 y las
placas de serie X), en V200R010 y versiones posteriores, debe usar el comando
voice-vlan vlan-id enable include-tag0 para habilitar la función de que Voice
VLAN tiene efecto para paquetes de Tag0.
[SwitchA-GigabitEthernet1/0/1] undo lldp enable //En V200R011C10 y versiones
posteriores, debe deshabilitar LLDP manualmente.
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] voice-vlan 100 enable include-untagged
[SwitchA-GigabitEthernet1/0/2] undo lldp enable
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] voice-vlan mac-address 001b-d4c7-0000 mask ffff-ffff-0000 //Cuando la
interfaz está configurada para agregar el ID de VLAN de voz a los paquetes sin
etiquetas, este comando debe configurarse. La dirección MAC es la dirección MAC
del teléfono IP.
[SwitchA] voice-vlan mac-address 0021-a08f-0000 mask ffff-ffff-0000
2. Configure SwitchB como servidor DHCP para asignar direcciones IP a teléfonos IP.
Paso 5 Configure la autenticación 802.1x y la autenticación de la dirección MAC para teléfonos IP.
1. Configure un dominio AAA.
[SwitchA] aaa
[SwitchA-aaa] authentication-scheme radius //Cree un esquema de
autenticación llamado radius.
[SwitchA-aaa-authen-radius] authentication-mode radius //Establezca el modo
de autenticación a RADIUS.
[SwitchA-aaa-authen-radius] quit
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] authentication-profile cisco
[SwitchA-GigabitEthernet1/0/2] quit
Seleccione Service type como Access, seleccione voice-vlan 100 que es creado en
el paso anterior.
------------------------------------------------------------------------------
------------------------------------------------------------------------------
------------------------------------------------------------------------------
Total: 2, printed: 2
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA (V200R007C00 y versiones anteriores, y
V200R008C00)
#
sysname SwitchA
#
voice-vlan mac-address 001b-d4c7-0000 mask ffff-ffff-0000
voice-vlan mac-address 0021-a08f-0000 mask ffff-ffff-0000
#
vlan batch 100 200
#
undo authentication unified-mode
#
dhcp enable
#
dhcp snooping enable
#
radius-server template cisco
radius-server authentication 192.168.6.182 1812 weight 80
radius-server accounting 192.168.6.182 1813 weight 80
#
aaa
authentication-scheme radius
authentication-mode radius
domain default
authentication-scheme radius
radius-server cisco
#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
dhcp relay server-ip 10.10.20.2
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#
interface GigabitEthernet1/0/1
voice-vlan 100 enable include-untagged
port hybrid untagged vlan 100
dot1x mac-bypass
dhcp snooping enable
#
interface GigabitEthernet1/0/2
voice-vlan 100 enable include-untagged
port hybrid untagged vlan 100
dot1x mac-bypass
dhcp snooping enable
#
interface GigabitEthernet1/0/3
port hybrid pvid vlan 200
port hybrid untagged vlan 200
dhcp snooping trusted
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
return
Notas de configuración
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
l Para los teléfonos Mitel 5212, Option 128, Option 129, Option 130, y Option 131 se
deben configurar en el grupo de direcciones de servidor DHCP; de lo contrario, estos
teléfonos no pueden identificar los paquetes de DHCP Offer enviados por DHCP Server
o conectarse en línea. La configuración en el switch es la siguiente:
<Quidway> system-view
[Quidway] ip pool ip-phone
[Quidway-ip-pool-ip-phone] option 128 ip-address 10.20.20.1 //No hay ningún
requisito para el valor configurado. Asegúrese de que los paquetes salientes
lleven los campos.
[Quidway-ip-pool-ip-phone] option 129 ip-address 11.20.20.1
[Quidway-ip-pool-ip-phone] option 130 ascii MITEL IP PHONE
[Quidway-ip-pool-ip-phone] option 131 ip-address 11.20.20.1
Teléfonos IP aplicables
Consulte 2.1.4 Modos de interconexión compatibles con diferentes modelos de teléfonos
IP.
Requisitos de redes
En Figura 2-10, para ahorrar costos de inversión, el cliente requiere que los teléfonos IP y se
conecten a la red a través de VoIP. Los teléfonos IP no pueden obtener ID de VLAN de voz y
solo pueden enviar paquetes de voz sin etiquetas. Para garantizar que los teléfonos IP se
puedan conectar a la red, el plan de la red debe cumplir los siguientes requisitos:
l La prioridad de los paquetes de voz aumenta para garantizar la calidad de comunicación
de los teléfonos IP.
l Los paquetes de voz se transmiten en VLAN 100.
l Las direcciones IP de los teléfonos IP se asignan dinámicamente por el servidor DHCP, y
se encuentran en un segmento de red diferente al del servidor DHCP.
l Los teléfonos IP necesitan conectarse a los switches a través de la autenticación de la
dirección MAC.
Figura 2-10 Conexión de teléfonos IP a switches a través del PVID del ID de VLAN de voz
Servidor de
autenticación
intranet
Servidor
Switch B
DHCP
GE1/0/3
GE1/0/3
Relé DHCP Switch A
GE1/0/1 GE1/0/2
IP Phone A IP Phone B
Procedimiento
Paso 1 Agregue una interfaz en SwitchA a una VLAN.
# Cree VLAN 100.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 100 //Configure la VLAN 100 en la que se transmite el
tráfico de voz.
enviados por teléfonos IP no llevan etiquetas, por lo que la interfaz debe unirse
a la VLAN 100 en modo sin etiqueta.
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port hybrid untagged vlan 100
[SwitchA-GigabitEthernet1/0/2] quit
Paso 2 Habilite la función de VLAN de voz en una interfaz de SwitchA y configure el PVID de la
interfaz con el ID de VLAN de voz.
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] voice-vlan 100 enable //Habilite la función de
VLAN de voz en la interfaz.
[SwitchA-GigabitEthernet1/0/1] voice-vlan remark-mode mac-address //En V200R003
y versiones posteriores, la interfaz debe configurarse para identificar paquetes
de voz basados en direcciones MAC. Esta configuración no es necesaria en
versiones anteriores de V200R003.
[SwitchA-GigabitEthernet1/0/1] port hybrid pvid vlan 100 //Configure el PVID.
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2 //La configuración de GE1/0/2 es
similar a la configuración de GE1/0/1.
[SwitchA-GigabitEthernet1/0/2] voice-vlan 100 enable
[SwitchA-GigabitEthernet1/0/2] voice-vlan remark-mode mac-address
[SwitchA-GigabitEthernet1/0/2] port hybrid pvid vlan 100
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] voice-vlan mac-address 001b-d4c7-0000 mask ffff-ffff-0000
[SwitchA] voice-vlan mac-address 0021-a08f-0000 mask ffff-ffff-0000
Paso 4 Configure un dominio AAA y autenticación de dirección MAC para teléfonos IP.
1. Configure un dominio AAA.
# Cree y configure una plantilla del servidor RADIUS.
[SwitchA] radius-server template cisco //Cree una plantilla de servidor
RADIUS llamada cisco.
[SwitchA-radius-cisco] radius-server authentication 192.168.6.182 1812 //
Configure la dirección IP y el número de puertos del servidor de
autenticación RADIUS.
[SwitchA-radius-cisco] radius-server accounting 192.168.6.182 1813 //
Configure la dirección IP y el número de puertos del servidor de contabilidad
RADIUS.
[SwitchA-radius-cisco] quit
------------------------------------------------------------------------------
------------------------------------------------------------------------------
------------------------------------------------------------------------------
Total: 2, printed: 2
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA (V200R007C00 y versiones anteriores, y
V200R008C00)
#
sysname SwitchA
#
voice-vlan mac-address 001b-d4c7-0000 mask ffff-ffff-0000
voice-vlan mac-address 0021-a08f-0000 mask ffff-ffff-0000
#
vlan batch 100 200
#
dhcp enable
#
radius-server template cisco
radius-server authentication 192.168.6.182 1812 weight 80
radius-server accounting 192.168.6.182 1813 weight 80
#
aaa
authentication-scheme radius
authentication-mode radius
domain default
authentication-scheme radius
radius-server cisco
#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
dhcp relay server-ip 10.10.20.2
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#
interface GigabitEthernet1/0/1
voice-vlan 100 enable
voice-vlan remark-mode mac-address
port hybrid pvid vlan 100
port hybrid untagged vlan 100
authentication mac-authen
#
interface GigabitEthernet1/0/2
voice-vlan 100 enable
voice-vlan remark-mode mac-address
port hybrid pvid vlan 100
port hybrid untagged vlan 100
authentication mac-authen
#
interface GigabitEthernet1/0/3
port hybrid pvid vlan 200
port hybrid untagged vlan 200
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
return
authentication-scheme radius
authentication-mode radius
domain default
authentication-scheme radius
radius-server cisco
#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
dhcp relay server-ip 10.10.20.2
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#
interface GigabitEthernet1/0/1
voice-vlan 100 enable
voice-vlan remark-mode mac-address
port hybrid pvid vlan 100
port hybrid untagged vlan 100
authentication-profile cisco
#
interface GigabitEthernet1/0/2
voice-vlan 100 enable
voice-vlan remark-mode mac-address
port hybrid pvid vlan 100
port hybrid untagged vlan 100
authentication-profile cisco
#
interface GigabitEthernet1/0/3
port hybrid pvid vlan 200
port hybrid untagged vlan 200
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
mac-access-profile name cisco
#
return
Notas de configuración
l Si un teléfono IP envía paquetes etiquetados y el ID de VLAN en las etiquetas es de 0, el
switch no agrega el ID de VLAN de voz a los paquetes etiquetados. Como resultado, el
teléfono IP no se puede conectar al switch. Puede cambiar la configuración del teléfono
IP o configurar una política de tráfico o re-marcar para conectar el teléfono IP al switch.
l El teléfono Avaya no puede obtener una dirección IP a través de DHCP dentro de 60s
debido a la demora de la red u otras causas. Una vez que el temporizador expire, el
teléfono Avaya envía paquetes etiquetados con VLAN 0 repetidamente. El switch
procesa los paquetes etiquetados con VLAN 0 de la misma manera que los paquetes sin
etiquetas, es decir, en la VLAN especificada por el PVID de una interfaz. Dichos
paquetes no se procesan en la VLAN de voz. Como resultado, el teléfono Avaya no
puede autenticarse y no se puede conectar al switch.
Puede usar uno de los siguientes métodos para resolver el problema:
– Método 1: En V200R003C00 y versiones posteriores, recomendamos que configure
la VLAN de voz basada en OUI. Luego, el switch agrega el ID de VLAN de voz a
los paquetes sin etiquetas, de modo que los paquetes se pueden reenviar en la
VLAN de voz. Para obtener más detalles, consulte 2.1.10 Ejemplo para conectar
teléfonos IP a switches a través de VLAN de voz basada en OUI. Para los
switches fijos (S5320EI, S6320EI) y switches modulares (excepto
LE1D2S04SEC0, LE1D2X32SEC0, LE1D2H02QEC0, y tarjetas de la serie X),
usted también puede usar el comando voice-vlan vlan-id enable include-tag0 para
habilitar la VLAN de voz para paquetes etiquetados con VLAN 0 en V200R010 y
versiones posteriores.
– Método 2: Modifique el valor del temporizador de VLAN TEST del teléfono IP:
Presione la tecla asterisco (*) e introduzca la contraseña para acceder al menú.
Seleccione VLAN TEST y cambie el valor por defecto a 0 (sin tiempo de espera).
Después de reiniciar el teléfono Avaya, la configuración del temporizador ya no
está efectiva y debe reconfigurarse.
l Para los teléfonos Mitel 5212, Option 128, Option 129, Option 130, y Option 131 se
deben configurar en el grupo de direcciones de servidor DHCP; de lo contrario, estos
teléfonos no pueden identificar los paquetes de DHCP Offer enviados por DHCP Server
o conectarse en línea. La configuración en el switch es la siguiente:
<Quidway> system-view
[Quidway] ip pool ip-phone
[Quidway-ip-pool-ip-phone] option 128 ip-address 10.20.20.1 //No hay ningún
requisito para el valor configurado. Asegúrese de que los paquetes salientes
lleven los campos.
[Quidway-ip-pool-ip-phone] option 129 ip-address 11.20.20.1
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para obtener más información sobre los mapeos de software, consulte Version Mapping Search for
Huawei Campus Switches.
Teléfonos IP aplicables
Consulte 2.1.4 Modos de interconexión compatibles con diferentes modelos de teléfonos
IP.
Requisitos de redes
En Figura 2-11, para ahorrar costos de inversión, el cliente requiere que los teléfonos IP se
conecten a la red a través de VoIP. Los teléfonos IP no pueden obtener los ID de VLAN de
voz y solo pueden enviar paquetes de voz sin etiquetas. Para garantizar que los teléfonos IP se
puedan conectar a la red, el plan de la red debe cumplir los siguientes requisitos:
l La prioridad de los paquetes de voz aumenta para garantizar la calidad de comunicación
de los teléfonos IP.
l Los paquetes de voz se transmiten en VLAN 100.
l Las direcciones IP de los teléfonos IP se asignan dinámicamente por el servidor DHCP, y
se encuentran en un segmento de red diferente al del servidor DHCP.
l Los teléfonos IP deben conectarse a los switches a través de la autenticación 802.1x.
intranet
Servidor
Switch B
DHCP
GE1/0/3
GE1/0/3
Relé DHCP Switch A
GE1/0/1 GE1/0/2
IP Phone A IP Phone B
Procedimiento
Paso 1 Agregue una interfaz en SwitchA a una VLAN.
# Cree VLAN 100.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 100 //Configure la VLAN 100 en la que se transmite el
tráfico de voz.
enviados por teléfonos IP no llevan etiquetas, por lo que la interfaz debe unirse
a la VLAN 100 en modo sin etiqueta.
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port hybrid untagged vlan 100
[SwitchA-GigabitEthernet1/0/2] quit
Paso 2 Configure una ACL para identificar paquetes de voz y agregue el ID de VLAN de voz a los
paquetes de voz y aumente la prioridad.
[SwitchA] acl 4000
[SwitchA-acl-L2-4000] rule permit source-mac 001d-a21a-0000 ffff-ffff-0000 //La
dirección MAC del teléfono IP usa la máscara de 24 bits.
[SwitchA-acl-L2-4000] rule permit source-mac 0021-a08f-0000 ffff-ffff-0000 //
Esta es la dirección MAC de otro teléfono IP.
[SwitchA-acl-L2-4000] quit
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port add-tag acl 4000 vlan 100 remark-8021p 6 //
Configure ACL 4000. El switch etiqueta VLAN 100 a los paquetes que coinciden con
ACL 4000 y cambia la prioridad 802.1p a 6.
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2 //La configuración de GE1/0/2 es
similar a la configuración de GE1/0/1.
[SwitchA-GigabitEthernet1/0/2] port add-tag acl 4000 vlan 100 remark-8021p 6
[SwitchA-GigabitEthernet1/0/2] quit
2. Configure SwitchB como servidor DHCP para asignar direcciones IP a teléfonos IP.
# Configure un grupo de direcciones.
<Quidway> system-view
[Quidway] sysname SwitchB
[SwitchB] ip pool ip-phone //Cree un grupo de direcciones.
Seleccione Service type como Access, seleccione voice-vlan 100 que es creado en
el paso anterior.
------------------------------------------------------------------------------
------------------------------------------------------------------------------
------------------------------------------------------------------------------
Total: 2, printed: 2
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA (V200R007C00 y versiones anteriores, y
V200R008C00)
#
sysname SwitchA
#
vlan batch 100 200
#
dhcp enable
#
radius-server template cisco
radius-server authentication 192.168.6.182 1812 weight 80
radius-server accounting 192.168.6.182 1813 weight 80
#
acl number
4000
rule 5 permit source-mac 001d-a21a-0000 ffff-ffff-0000
rule 10 permit source-mac 0021-a08f-0000 ffff-ffff-0000
#
aaa
authentication-scheme radius
authentication-mode radius
domain default
authentication-scheme radius
radius-server cisco
#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
dhcp relay server-ip 10.10.20.2
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port hybrid untagged vlan
100
port add-tag acl 4000 vlan 100 remark-8021p 6
authentication dot1x
#
interface GigabitEthernet1/0/2
port hybrid untagged vlan
100
port add-tag acl 4000 vlan 100 remark-8021p 6
authentication dot1x
#
interface GigabitEthernet1/0/3
port hybrid pvid vlan 200
port hybrid untagged vlan 200
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
return
acl number
4000
rule 5 permit source-mac 001d-a21a-0000 ffff-ffff-0000
rule 10 permit source-mac 0021-a08f-0000 ffff-ffff-0000
#
aaa
authentication-scheme radius
authentication-mode radius
domain default
authentication-scheme radius
radius-server cisco
#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
dhcp relay server-ip 10.10.20.2
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port hybrid untagged vlan
100
port add-tag acl 4000 vlan 100 remark-8021p 6
authentication-profile cisco
#
interface GigabitEthernet1/0/2
port hybrid untagged vlan
100
port add-tag acl 4000 vlan 100 remark-8021p 6
authentication-profile cisco
#
interface GigabitEthernet1/0/3
port hybrid pvid vlan 200
port hybrid untagged vlan 200
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
dot1x-access-profile name cisco
#
return
Descripción general
Si un dispositivo de voz no es compatible con LLDP o DHCP, un switch no puede asignarle
un ID de VLAN de voz. Puede configurar una política de tráfico en el switch para identificar
paquetes de voz y aumentar su prioridad. La implementación de la política de tráfico en los
modelos de switches es diferente. Dos métodos están disponibles:
l ACL: Ejecuta el comando port add-tag acl en una interfaz.
l Política de tráfico simplificada basada en ACL Ejecuta el comando traffic-remark
inbound acl en una interfaz.
Notas de configuración
l Este ejemplo se aplica a todas las versiones y modelos de los switches fijos.
l Este ejemplo se aplica a todos los modelos de switches modulares de V200R005C00 y
versiones posteriores.
l Para los teléfonos Mitel 5212, Option 128, Option 129, Option 130, y Option 131 se
deben configurar en el grupo de direcciones de servidor DHCP; de lo contrario, estos
teléfonos no pueden identificar los paquetes de DHCP Offer enviados por DHCP Server
o conectarse en línea. La configuración en el switch es la siguiente:
<Quidway> system-view
[Quidway] ip pool ip-phone
[Quidway-ip-pool-ip-phone] option 128 ip-address 10.20.20.1 //No hay ningún
requisito para el valor configurado. Asegúrese de que los paquetes salientes
lleven los campos.
[Quidway-ip-pool-ip-phone] option 129 ip-address 11.20.20.1
[Quidway-ip-pool-ip-phone] option 130 ascii MITEL IP PHONE
[Quidway-ip-pool-ip-phone] option 131 ip-address 11.20.20.1
Teléfonos IP aplicables
Consulte 2.1.4 Modos de interconexión compatibles con diferentes modelos de teléfonos
IP.
Requisitos de redes
En Figura 2-12, para ahorrar costos de inversión, el cliente requiere que los teléfonos IP se
conecten a la red a través de VoIP. Los teléfonos IP no pueden obtener los ID de VLAN de
voz y solo pueden enviar paquetes de voz sin etiquetas. Para garantizar que los teléfonos IP se
puedan conectar a la red, el plan de la red debe cumplir los siguientes requisitos:
l La prioridad de los paquetes de voz debe aumentarse para garantizar la calidad de la
comunicación.
l Los paquetes de voz se transmiten en VLAN 100.
l Las direcciones IP de los teléfonos IP se asignan dinámicamente por el servidor DHCP, y
se encuentran en un segmento de red diferente al del servidor DHCP.
l Los teléfonos IP deben conectarse a los switches a través de la autenticación 802.1x.
intranet
Servidor
Switch B
DHCP
GE1/0/3
GE1/0/3
Relé DHCP Switch A
GE1/0/1 GE1/0/2
IP Phone A IP Phone B
Procedimiento
Paso 1 Agregue una interfaz en SwitchA a una VLAN.
# Cree VLAN 100.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 100 //Configure la VLAN 100 en la que se transmite el
tráfico de voz.
enviados por teléfonos IP no llevan etiquetas, por lo que la interfaz debe unirse
a la VLAN 100 en modo sin etiqueta.
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port hybrid untagged vlan 100
[SwitchA-GigabitEthernet1/0/2] quit
Paso 2 Configure una ACL para identificar paquetes de voz, y agregue el ID de VLAN de voz a los
paquetes de voz y aumente la prioridad.
[SwitchA] acl 4000
[SwitchA-acl-L2-4000] rule permit source-mac 001d-a21a-0000 ffff-ffff-0000 //La
dirección MAC del teléfono IP usa la máscara de 24 bits.
[SwitchA-acl-L2-4000] rule permit source-mac 0021-a08f-0000 ffff-ffff-0000 //
Esta es la dirección MAC de otro teléfono IP.
[SwitchA-acl-L2-4000] quit
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port hybrid pvid vlan 100 //La interfaz etiqueta
el PVID de 100 a los paquetes sin etiquetas recibidos.
[SwitchA-GigabitEthernet1/0/1] traffic-remark inbound acl 4000 8021p 6 //
Configure la re-marcación basada en ACL en la interfaz, y cambie la prioridad
802.1p de los paquetes que coincidan con ACL 4000 a 6.
[SwitchA-GigabitEthernet1/0/1] traffic-remark inbound acl 4000 dscp 46 //Cambie
la prioridad DSCP de los paquetes que coincidan con ACL 4000 a 46.
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2 //La configuración de GE1/0/2 es
similar a la configuración de GE1/0/1.
[SwitchA-GigabitEthernet1/0/2] port hybrid pvid vlan 100
[SwitchA-GigabitEthernet1/0/2] traffic-remark inbound acl 4000 8021p 6
[SwitchA-GigabitEthernet1/0/2] traffic-remark inbound acl 4000 dscp 46
[SwitchA-GigabitEthernet1/0/2] quit
2. Configure SwitchB como servidor DHCP para asignar direcciones IP a teléfonos IP.
# Configure un grupo de direcciones.
<Quidway> system-view
[Quidway] sysname SwitchB
[SwitchB] ip pool ip-phone //Cree un grupo de direcciones.
[SwitchB-ip-pool-ip-phone] gateway-list 10.20.20.1 //Configure la dirección
del gateway en el servidor DHCP.
[SwitchB-ip-pool-ip-phone] network 10.20.20.0 mask 255.255.255.0 //Configure
las direcciones IP asignables en el grupo de direcciones IP.
[SwitchB-ip-pool-ip-phone] quit
[SwitchA-aaa-domain-default] quit
[SwitchA-aaa] quit
Seleccione Service type como Access, seleccione voice-vlan 100 que es creado en
el paso anterior.
------------------------------------------------------------------------------
------------------------------------------------------------------------------
------------------------------------------------------------------------------
Total: 2, printed: 2
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA (V200R007C00 y versiones anteriores, y
V200R008C00)
#
sysname SwitchA
#
vlan batch 100 200
#
dhcp enable
#
radius-server template cisco
radius-server authentication 192.168.6.182 1812 weight 80
radius-server accounting 192.168.6.182 1813 weight 80
#
acl number
4000
rule 5 permit source-mac 001d-a21a-0000 ffff-ffff-0000
rule 10 permit source-mac 0021-a08f-0000 ffff-ffff-0000
#
aaa
authentication-scheme radius
authentication-mode radius
domain default
authentication-scheme radius
radius-server cisco
#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
dhcp relay server-ip 10.10.20.2
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port hybrid pvid vlan
100
port hybrid untagged vlan
100
traffic-remark inbound acl 4000 8021p
6
traffic-remark inbound acl 4000 dscp ef
authentication dot1x
#
interface GigabitEthernet1/0/2
port hybrid pvid vlan
100
port hybrid untagged vlan
100
traffic-remark inbound acl 4000 8021p
6
traffic-remark inbound acl 4000 dscp ef
authentication dot1x
#
interface GigabitEthernet1/0/3
port hybrid pvid vlan 200
port hybrid untagged vlan 200
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
return
#
authentication-profile name cisco
dot1x-access-profile cisco
#
dhcp enable
#
radius-server template cisco
radius-server authentication 192.168.6.182 1812 weight 80
radius-server accounting 192.168.6.182 1813 weight 80
#
acl number
4000
rule 5 permit source-mac 001d-a21a-0000 ffff-ffff-0000
rule 10 permit source-mac 0021-a08f-0000 ffff-ffff-0000
#
aaa
authentication-scheme radius
authentication-mode radius
domain default
authentication-scheme radius
radius-server cisco
#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
dhcp relay server-ip 10.10.20.2
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port hybrid pvid vlan
100
port hybrid untagged vlan
100
traffic-remark inbound acl 4000 8021p
6
traffic-remark inbound acl 4000 dscp ef
authentication-profile cisco
#
interface GigabitEthernet1/0/2
port hybrid pvid vlan
100
port hybrid untagged vlan
100
traffic-remark inbound acl 4000 8021p
6
traffic-remark inbound acl 4000 dscp ef
authentication-profile cisco
#
interface GigabitEthernet1/0/3
port hybrid pvid vlan 200
port hybrid untagged vlan 200
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
dot1x-access-profile name cisco
#
return
gateway-list 10.20.20.1
network 10.20.20.0 mask 255.255.255.0
#
interface Vlanif200
ip address 10.10.20.2 255.255.255.0
dhcp select global
#
interface GigabitEthernet1/0/3
port hybrid pvid vlan 200
port hybrid untagged vlan 200
#
ip route-static 10.20.20.0 255.255.255.0 10.10.20.1
#
return
Notas de configuración
Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
Requisitos de redes
En Figura 2-13, el switch se conecta a teléfonos IP y una PC, y transmite paquetes de voz y
datos en VLAN 200 y VLAN 100, respectivamente. El teléfono IP A y el PC A se conectan al
switch en modo en línea, y el teléfono IP B se conecta al switch. Los teléfonos IP son
compatibles con 802.1x y obtienen información de VLAN de voz en el switch a través de
LLDP. Los flujos de datos de voz se deben transmitir con alta prioridad para garantizar la
calidad de las llamadas VoIP que exigen los usuarios.
Switch Switch1
Internet
IP Phone B
PC A PC C
NOTA
l Este ejemplo utiliza Avaya 9620 como teléfono IP y Cisco Secure ACS como servidor RADIUS.
l Cuando el temporizador del teléfono Avaya IP expire, el teléfono IP puede no estar conectado. El
valor de VLAN TEST en el teléfono IP debe ser ajustado a 0, lo que indica que el temporizador no
se agotará. Modifique el valor del temporizador de VLAN TEST del teléfono IP: Presione la tecla
asterisco (*) e introduzca la contraseña para acceder al menú. Seleccione VLAN TEST y cambie el
valor por defecto a 0.
l Asegúrese de que la dirección del servidor RADIUS y la clave compartida en la plantilla del
servidor RADIUS sean las mismas que los ajustes en el servidor RADIUS.
l La configuración de Switch1 es similar a la configuración del switch.
Procedimiento
Paso 1 Configure las VLAN y las interfaces en el switch.
El sistema muestra un mensaje que indica que el sistema se reiniciará y le preguntará si desea
continuar la operación. Ingrese y.
NOTA
Esta configuración es obligatoria para V200R005C00 y versiones posteriores. Después de que el modo
unificado se cambie al modo tradicional, reinicie el dispositivo para que la configuración tenga efecto.
# Configure AAA.
[Switch] aaa
[Switch-aaa] authentication-scheme cmn //Cree un esquema de autenticación
llamado cmn.
[Switch-aaa-authen-cmn] authentication-mode radius //Establezca el modo de
autenticación a RADIUS.
[Switch-aaa-authen-cmn] quit
[Switch-aaa] accounting-scheme cmn //Cree un esquema contable llamado cmn.
[Switch-aaa-accounting-cmn] accounting-mode radius //Cree el modo de
contabilidad a RADIUS.
[Switch-aaa-accounting-cmn] quit
[Switch-aaa] domain default //Configure los esquemas de autenticación y
contabilidad del dominio por defecto y del servidor RADIUS.
[Switch-aaa-domain-default] authentication-scheme cmn
[Switch-aaa-domain-default] accounting-scheme cmn
[Switch-aaa-domain-default] radius-server cmn
[Switch-aaa-domain-default] quit
[Switch-aaa] quit
Paso 5 Configure el servidor RADIUS. Cuando los hosts están conectados a teléfonos IP en modo en
línea, enlace los nombres de usuario y las contraseñas de los teléfonos IP a la VLAN de voz
en el servidor RADIUS, como se muestra en Figura 2-14.
l En versiones anteriores de V200R006, los servicios de voz y datos para una VLAN en
una interfaz se pueden autenticar simultáneamente. En V200R006 y versiones
posteriores, la autenticación se realiza de una sola vez.
Paso 6 Verifique la configuración
Los teléfonos IP pueden conectarse e implementar comunicación de voz.
los PC pueden ir en línea.
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
voice-vlan mac-address 0004-0d00-0000 mask ffff-ff00-0000
#
vlan batch 100 200
#
undo authentication unified-mode
#
dot1x enable
#
lldp enable
#
radius-server template cmn
radius-server authentication 10.136.6.132 1812 weight 80
radius-server accounting 10.136.6.132 1813 weight 80
#
aaa
authentication-scheme cmn
authentication-mode radius
accounting-scheme cmn
accounting-mode radius
domain default
authentication-scheme cmn
accounting-scheme cmn
radius-server cmn
#
interface GigabitEthernet1/0/1
voice-vlan 200 enable
voice-vlan remark-mode mac-address
voice-vlan security enable
port hybrid pvid vlan 100
port hybrid tagged vlan 200
port hybrid untagged vlan 100
dot1x enable
#
interface GigabitEthernet1/0/2
voice-vlan 200 enable
voice-vlan remark-mode mac-address
voice-vlan security enable
port hybrid tagged vlan 200
dot1x enable
#
return
2.1.15 Causas comunes para las fallas del inicio de sesión de los
teléfonos IP y sus soluciones
Entre las siguientes causas para las fallas del inicio de sesión de los teléfonos IP, causa 1 y
causa 2 están dirigidas a teléfonos Avaya, y causa 3 y causa 4 están dirigidas a todos los
teléfonos, incluidos los de Avaya.
Soluciones
<Quidway> system-view
[Quidway] dot1x timer client-timeout 5 //Cambie el intervalo de tiempo de espera
de autenticación del cliente a 5 segundos para aumentar el tiempo de
autenticación de la dirección MAC.
Escenario 2: El teléfono IP
Escenario 1: Un teléfono que envía paquetes
IP no puede conectarse en etiquetados con VLAN 0 o
Teléfono línea con la autenticación Teléfono paquetes no etiquetados no
Switch Switch
IP 802.1x. IP puede conectarse en línea.
Soluciones
l Método 1: En V200R003C00 y versiones posteriores, se recomienda configurar la
VLAN de voz basada en OUI. Para obtener más detalles, consulte 2.1.10 Ejemplo para
conectar teléfonos IP a switches a través de VLAN de voz basada en OUI.
l Método 2: En V200R010 y versiones posteriores, la migración de la dirección MAC se
puede habilitar para que los teléfonos IP se puedan autenticar en función del PVID y del
ID de la VLAN de voz.
<Quidway> system-view
[Quidway] authentication mac-move enable vlan 10 100 //Supongan que el PVID
de la interfaz es VLAN 10 y el ID de VLAN de voz es VLAN 100.
l Método 3: Configure la lista negra para que el switch descarte los paquetes que
provienen del teléfono IP y se reenvían en función del PVID. En este caso, la VLAN
autenticada y la VLAN de voz del teléfono IP son las mismas.
a. Configure una regla ACL para que coincida con la dirección MAC del teléfono IP y
el PVID de la interfaz.
<Quidway> system-view
[Quidway] acl number 4000
Soluciones
l Método 1: Configure la dirección IP de origen por defecto de los paquetes de detección
fuera de línea de ARP.
<Quidway> system-view
[Quidway] access-user arp-detect default ip-address 0.0.0.0 //Configure la
dirección de origen por defecto de los paquetes de sonda fuera de línea ARP
como 0.0.0.0.
Notas de configuración
Las configuraciones de switch utilizadas en este ejemplo se aplican a todas las versiones de
todos los switches de la serie S.
Este ejemplo usa configuraciones de cortafuegos de USG6650 V500R001C60. Para otras
configuraciones de cortafuegos, vea la documentación correspondiente.
Requisitos de redes
En Figura 2-17, una compañía tiene múltiples departamentos que pertenecen a diferentes
segmentos de red, y cada departamento necesita acceder a Internet. Se requiere que los
usuarios accedan a Internet a través del switch de Capa 2 y cortafuegos y que los cortafuegos
funcione como el gateway de los usuarios.
Figura 2-17 Configuración de un switch de Capa 2 para trabajar con cortafuegos para acceso
de Internet
Internet
IP pública: 200.0.0.1/24
IP: 200.0.0.2/24
GE1/0/2
Los cortafuegos
funcionan como el
gateway de las PC
GE1/0/1
GE0/0/1
Switch
GE0/0/2 GE0/0/3
VLAN 2 VLAN 3
PC1 PC2
IP: 192.168.1.2/24 IP: 192.168.2.2/24
Procedimiento
Paso 1 Configure el switch.
# Configure las interfaces conectadas a los usuarios.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 2 3
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access //Establezca el tipo de
quit
[USG6600] interface vlanif 3
[USG6600-Vlanif3] dhcp select interface
[USG6600-Vlanif3] dhcp server dns-list 114.114.114.114 223.5.5.5
[USG6600-Vlanif3] quit
# Configure una política PAT para que las direcciones IP originales se cambian
automáticamente cuando los dispositivos en un segmento de red específico de una red
interna accedan a Internet.
[USG6600] nat-policy
[USG6600-policy-nat] rule name policy_nat1
[USG6600-policy-nat-rule-policy_nat1] source-zone trust
[USG6600-policy-nat-rule-policy_nat1] destination-zone untrust
[USG6600-policy-nat-rule-policy_nat1] source-address 192.168.0.0 mask
255.255.0.0 //Dirección IP de origen que se puede traducir usando PAT
[USG6600-policy-nat-rule-policy_nat1] action nat address-group addressgroup1
[USG6600-policy-nat-rule-policy_nat1] quit
[USG6600-policy-nat] quit
[USG6600] quit
Configure una dirección IP como 200.0.0.1/24 y una dirección de gateway como 200.0.0.2
para la red externa.
Una vez completadas las configuraciones, PC1 y PC2 pueden hacer ping a la dirección IP
200.0.0.1/24 de la red externa y acceder a Internet.
----Fin
Archivos de configuración
l Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 2 to 3
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 3
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 2
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 3
#
return
rule name
policy1
source-zone
trust
destination-zone
untrust
source-address 192.168.0.0 mask
255.255.0.0
action permit
#
nat-
policy
rule name
policy_nat1
source-zone
trust
destination-zone
untrust
source-address 192.168.0.0 mask
255.255.0.0
action nat address-group addressgroup1
#
return
l El archivo de configuración USG (utilizado cuando los cortafuegos realizan el reenvío de
Capa 3 a través de las interfaces VLANIF)
#
vlan batch 2 to 3
#
interface Vlanif2
ip address 192.168.1.1
255.255.255.0
dhcp server dns-list 114.114.114.114 223.5.5.5
#
interface Vlanif3
ip address 192.168.2.1
255.255.255.0
dhcp select
interface
dhcp server dns-list 114.114.114.114 223.5.5.5
#
interface GigabitEthernet1/0/1
portswitch
port hybrid tagged vlan 2 to 3
#
interface GigabitEthernet1/0/2
ip address 200.0.0.2 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/1
add interface Vlanif2
add interface Vlanif3
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/2
#
ip route-static 0.0.0.0 0.0.0.0 200.0.0.1
#
nat address-group addressgroup1 0
mode
pat
route
enable
section 0 200.0.0.2 200.0.0.2
#
security-
policy
rule name
policy1
source-zone
trust
destination-zone
untrust
source-address 192.168.0.0 mask
255.255.0.0
action permit
#
nat-
policy
rule name
policy_nat1
source-zone
trust
destination-zone
untrust
source-address 192.168.0.0 mask
255.255.0.0
action nat address-group addressgroup1
#
return
Switch de Capa 3
Los switches de Capa 3 proporcionan la función de enrutamiento, que indica una función de
capa de red en el modelo OSI.
Notas de configuración
l Este ejemplo usa configuraciones de cortafuegos de USG6650 V500R001C60. Para otras
configuraciones de cortafuegos, vea la documentación correspondiente.
l Las configuraciones del servidor de switch DHCP utilizadas en este ejemplo se aplican a
los siguientes switches y versiones.
S3300HI V200R001C00
S6320HI V200R012C00
Requisitos de redes
En Figura 2-18, una compañía tiene múltiples departamentos que pertenecen a diferentes
segmentos de red, y cada departamento necesita acceder a Internet. Se requiere que los
usuarios accedan a Internet a través del switch de Capa 3 y cortafuegos y que el switch de
Capa 3 funcione como el gateway de los usuarios.
Figura 2-18 Configuración de un switch de Capa 3 para trabajar con cortafuegos para acceso
de Internet
Internet
IP pública: 200.0.0.1/24
IP: 200.0.0.2/24
GE1/0/2
Cortafuegos
GE1/0/1
IP: 192.168.100.1/24 VLANIF 100
GE0/0/1 IP: 192.168.100.2/24
PC1 PC2
IP: 192.168.1.2/24 IP: 192.168.2.2/24
Procedimiento
Paso 1 Configure el switch.
# Configure las interfaces conectadas a los usuarios y las interfaces VLANIF
correspondientes.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 2 3
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access //Establezca el tipo de
enlace de la interfaz a access.
[Switch-GigabitEthernet0/0/2] port default vlan 2 //Agregue la interfaz a VLAN
2.
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 3
[Switch-GigabitEthernet0/0/3] quit
[Switch] interface vlanif 2
[Switch-Vlanif2] ip address 192.168.1.1 24
[Switch-Vlanif2] quit
[Switch] interface vlanif 3
[Switch-Vlanif3] ip address 192.168.2.1 24
[Switch-Vlanif3] quit
# Configure una política PAT para que las direcciones IP originales se cambian
automáticamente cuando los dispositivos en un segmento de red específico de una red interna
accedan a Internet.
[USG6600] nat-policy
[USG6600-policy-nat] rule name policy_nat1
[USG6600-policy-nat-rule-policy_nat1] source-zone trust
[USG6600-policy-nat-rule-policy_nat1] destination-zone untrust
[USG6600-policy-nat-rule-policy_nat1] source-address 192.168.0.0 mask
255.255.0.0 //Dirección IP de origen que se puede traducir usando PAT
[USG6600-policy-nat-rule-policy_nat1] action nat address-group addressgroup1
[USG6600-policy-nat-rule-policy_nat1] quit
[USG6600-policy-nat] quit
[USG6600] quit
Configure una dirección IP como 200.0.0.1/24 y una dirección de gateway como 200.0.0.2
para la red externa.
Una vez completadas las configuraciones, PC1 y PC2 pueden hacer ping a la dirección IP
200.0.0.1/24 de la red externa y acceder a Internet.
----Fin
Archivos de configuración
l Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 2 to 3 100
#
dhcp enable
#
interface Vlanif2
ip address 192.168.1.1 255.255.255.0
dhcp select interface
dhcp server dns-list 114.114.114.114 223.5.5.5
#
interface Vlanif3
ip address 192.168.2.1 255.255.255.0
dhcp select interface
dhcp server dns-list 114.114.114.114 223.5.5.5
#
interface Vlanif100
ip address 192.168.100.2 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 100
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 2
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 3
#
ip route-static 0.0.0.0 0.0.0.0 192.168.100.1
#
return
l El archivo de configuraciones de USG
#
interface GigabitEthernet1/0/1
ip address 192.168.100.1 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 200.0.0.2 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/1
#
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/2
#
ip route-static 0.0.0.0 0.0.0.0 200.0.0.1
ip route-static 192.168.0.0 255.255.0.0 192.168.100.2
#
nat address-group addressgroup1 0
mode
pat
route
enable
section 0 200.0.0.2 200.0.0.2
#
security-
policy
rule name
policy1
source-zone
trust
destination-zone
untrust
source-address 192.168.0.0 mask
255.255.0.0
action permit
#
nat-
policy
rule name
policy_nat1
source-zone
trust
destination-zone
untrust
source-address 192.168.0.0 mask
255.255.0.0
action nat address-group addressgroup1
#
return
Notas de configuración
Las configuraciones de switch utilizadas en este ejemplo se aplican a todas las versiones de
todos los switches de la serie S.
Este ejemplo usa configuraciones de router de AR3600 V200R007C00SPCc00. Para otras
configuraciones de router, consulte la documentación correspondiente.
Requisitos de redes
En Figura 2-19, una compañía tiene múltiples departamentos que pertenecen a diferentes
segmentos de red, y cada departamento necesita acceder a Internet. Se requiere que los
usuarios accedan a Internet a través del switch de Capa 2 y router y que el router funcione
como el gateway de los usuarios.
Figura 2-19 Configuración de un switch de Capa 2 para trabajar con un router para acceso de
Internet
Internet
IP pública: 200.0.0.1/24
IP: 200.0.0.2/24
GE0/0/2
El router funciona
como el gateway de
las PC
GE0/0/1
GE0/0/1
Switch
GE0/0/2 GE0/0/3
VLAN 2 VLAN 3
PC1 PC2
IP: 192.168.1.2/24 IP: 192.168.2.2/24
Procedimiento
Paso 1 Configure el switch.
# Configure las interfaces conectadas a los usuarios.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 2 3
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access //Establezca el tipo de
enlace de la interfaz a access.
[Switch-GigabitEthernet0/0/2] port default vlan 2 //Agregue la interfaz a VLAN
2.
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/3
# Configure la función NAT para admitir que los usuarios de la intranet tengan acceso a
Internet.
[Router] acl number 2001
[Router-acl-basic-2001] rule 5 permit source 192.168.0.0 0.0.255.255 //NAT
sólo tiene efecto para las direcciones IP de origen en el segmento de red
192.168.0.0/16 y traduce sólo direcciones IP de origen de paquetes salientes
en GE0/0/2.
[Router-acl-basic-2001] quit
[Router] interface gigabitethernet 0/0/2
[Router-GigabitEthernet0/0/2] nat outbound 2001
[Router-GigabitEthernet0/0/2] quit
Configure una dirección IP como 200.0.0.1/24 y una dirección de gateway como 200.0.0.2
para la red externa.
Una vez completadas las configuraciones, PC1 y PC2 pueden hacer ping a la dirección IP
200.0.0.1/24 de la red externa y acceder a Internet.
----Fin
Archivos de configuración
l Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 2 to 3
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 3
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 2
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 3
#
return
l El archivo de configuración del Router (se usa cuando el router realiza el reenvío de
Capa 3 a través de las interfaces VLANIF)
#
sysname Router
#
vlan batch 2 to 3
#
dhcp enable
#
acl number 2001
rule 5 permit source 192.168.0.0 0.0.255.255
#
interface Vlanif2
ip address 192.168.1.1 255.255.255.0
dhcp select interface
dhcp server dns-list 114.114.114.114 223.5.5.5
#
interface Vlanif3
ip address 192.168.2.1 255.255.255.0
dhcp select interface
dhcp server dns-list 114.114.114.114 223.5.5.5
#
interface GigabitEthernet0/0/1
portswitch
port link-type trunk
port trunk allow-pass vlan 2 to 3
#
interface GigabitEthernet0/0/2
ip address 200.0.0.2 255.255.255.0
nat outbound 2001
#
ip route-static 0.0.0.0 0.0.0.0 200.0.0.1
#
return
Notas de configuración
l Este ejemplo usa configuraciones de router de AR3600 V200R007C00SPCc00. Para
otras configuraciones de router, vea la documentación correspondiente.
l Las configuraciones del servidor de switch DHCP utilizadas en este ejemplo se aplican a
los siguientes switches y versiones.
S3300HI V200R001C00
S6320HI V200R012C00
Requisitos de redes
En Figura 2-20, una compañía tiene múltiples departamentos que pertenecen a diferentes
segmentos de red, y cada departamento necesita acceder a Internet. Se requiere que los
usuarios accedan a Internet a través del switch y router de Capa 3 y que el switch de Capa 3
funcione como el gateway de los usuarios.
Figura 2-20 Configuración de un switch de Capa 3 a trabajar con un router para acceso de
Internet
Internet
IP pública: 200.0.0.1/24
IP: 200.0.0.2/24
GE0/0/2
Router
GE0/0/1
IP: 192.168.100.1/24 VLANIF 100
GE0/0/1 IP: 192.168.100.2/24
PC1 PC2
IP: 192.168.1.2/24 IP: 192.168.2.2/24
1. Configure el switch como el gateway de los usuarios para admitir que los usuarios se
comuniquen por segmentos de red a través de las interfaces VLANIF.
2. Configure el switch como el servidor DHCP para asignar direcciones IP a los usuarios.
3. Configure la función NAT en el router para admitir que los usuarios de la intranet tengan
acceso a Internet.
Procedimiento
Paso 1 Configure el Switch.
# Configure la función NAT para admitir que los usuarios de la intranet tengan acceso a
Internet.
[Router] acl number 2001
[Router-acl-basic-2001] rule 5 permit source 192.168.0.0 0.0.255.255 //NAT sólo
tiene efecto para las direcciones IP de origen en el segmento de red
192.168.0.0/16 y traduce sólo direcciones IP de origen de paquetes salientes en
GE0/0/2.
[Router-acl-basic-2001] quit
[Router] interface gigabitethernet 0/0/2
[Router-GigabitEthernet0/0/2] nat outbound 2001
[Router-GigabitEthernet0/0/2] quit
----Fin
Archivos de configuración
l Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 2 to 3 100
#
dhcp enable
#
interface Vlanif2
ip address 192.168.1.1 255.255.255.0
dhcp select interface
dhcp server dns-list 114.114.114.114 223.5.5.5
#
interface Vlanif3
ip address 192.168.2.1 255.255.255.0
dhcp select interface
dhcp server dns-list 114.114.114.114 223.5.5.5
#
interface Vlanif100
ip address 192.168.100.2 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 100
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 2
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 3
#
ip route-static 0.0.0.0 0.0.0.0 192.168.100.1
#
return
Descripción general
NLB está desarrollado por Microsoft para un clúster configurado por múltiples servidores de
Windows. Cuando un switch está conectado a un clúster NLB, el switch debe enviar los
paquetes destinados a la dirección IP del clúster a cada servidor NLB del clúster. Un servidor
NLB puede funcionar en modo de unidifusión, multidifusión o IGMP multidifusión.
En un modelo de dispositivo o en una versión que no admite ARP de múltiples interfaces, los
siguientes métodos están disponibles para implementar la conexión:
l Agregue un switch de Capa 2 entre el switch y los servidores NLB. (Cuando los
servidores NLB funcionan en modo de multidifusión, habilite el aprendizaje dinámico de
entradas ARP con direcciones MAC de multidifusión o configure entradas ARP estáticas
en el switch.) Este método se puede usar cuando hay suficientes recursos de dispositivo.
l Use bucle de retorno de enlace físico. Este método resulta una configuración compleja.
Notas de configuración
l La VLAN a la que se agrega una interfaz no puede ser una MAC VLAN, una súper
VLAN, una línea arrendada VLAN, MUX VLAN en las tarjetas LE1D2S04SEC0,
LE1D2X32SEC0 y LE1D2H02QEC0 y las tarjetas de la serie X y VLAN de control de
Protección de Ethernet inteligente (SEP) y Protocolo de protección de anillo rápido
(RRPP).
l Las tarjetas de la serie SA (excepto la placa LE0DX12XSA00) no admiten ARP
múltiples interfaces.
l En el S5320SI, S5330SI y S6320SI, cuando las interfaces de salida son interfaces Eth-
Trunk, debe ejecutar el comando load-balance para configurar el balanceo de carga en
función de las direcciones IP. De lo contrario, la configuración no se ponen en vigor.
l En los switches excepto el S5320SI, S5330SI y S6320SI, cuando las interfaces de salida
son interfaces Eth-Trunk, debe ejecutar el comando unknown-unicast load-balance
enhanced para configurar el modo del balanceo de carga a tráfico de unidifusión
desconocido en las interfaces. De lo contrario, la configuración no se ponen en vigor.
l Tabla 2-8 enumera productos y versiones aplicables.
S6320HI V200R012C00
NOTA
Para obtener más información sobre los mapeos de software, consulte Version Mapping Search
for Huawei Campus Switches.
l En un escenario de VPN, los switches que admiten VPN y ejecutan V200R010C00 y las
versiones posteriores se pueden conectar a un clúster NLB. Un cliente y el servidor al
que accede el cliente deben estar en la misma VPN.
Requisitos de red
Como se muestra en Figura 2-21, el Switch se conecta a tres servidores NLB respectivamente
a través de GE1/0/1, GE1/0/2 y GE1/0/3 en VLAN 10. El clúster NLB funciona en modo de
multidifusión. Cada servidor en el clúster NLB tiene una dirección IP y una dirección MAC.
Todos los servidores del clúster comparten la dirección IP del clúster (10.128.246.252/24) y la
dirección MAC del clúster (03bf-0a80-f6fc). Hay enrutamientos accesibles entre el Switch y
el Cliente.
El cliente requiere que el Switch pueda enviar el paquete del Cliente destinado a la dirección
IP del clúster a cada servidor en el clúster NLB.
Cliente
Internet Switch
VLANIF 10
10.128.246.251/24
GE1/0/1 GE1/0/3
GE1/0/2
Clúster NLB
Dirección IP del clúster: 10.128.246.252/24
Dirección MAC del clúster: 03bf-0a80-f6fc
1. Configure las direcciones IP para las interfaces y agregue las interfaces a las VLAN.
2. Configure una entrada de dirección MAC mapeando múltiples interfaces de salida y
configure una entrada ARP estática para que el Switch pueda enviar los paquetes
destinados a la dirección IP del clúster a los tres servidores en el clúster NLB.
Procedimiento
Paso 1 Cree VLAN y agregue interfaces a las VLAN.
Paso 2 # Cree una interfaz VLANIF en el Switch y asigne una dirección IP a la interfaz VLANIF.
Paso 3 Configure una entrada de dirección MAC mapeando múltiples interfaces de salida en el
Switch.
[Switch] mac-address multiport 03bf-0a80-f6fc interface gigabitethernet 1/0/1 to
gigabitethernet 1/0/3 vlan 10 //Configure una entrada de dirección MAC mapeando
múltiples interfaces de salida
# Ejecute el comando display arp static en el Switch para comprobar entradas ARP estáticas.
<Switch> display arp static
IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE
VLAN/CEVLAN
------------------------------------------------------------------------------
10.128.246.252 03bf-0a80-f6fc S-- Multi-port:3
------------------------------------------------------------------------------
Total:1 Dynamic:0 Static:1 Interface:0
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10
#
interface Vlanif10
ip address 10.128.246.251 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
mac-address multiport 03bf-0a80-f6fc vlan 10
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 10
mac-address multiport 03bf-0a80-f6fc vlan 10
#
interface GigabitEthernet1/0/3
port link-type access
port default vlan 10
mac-address multiport 03bf-0a80-f6fc vlan 10
#
arp static 10.128.246.252 03bf-0a80-f6fc
#
return
Descripción general
NLB está desarrollado por Microsoft para un clúster configurado por múltiples servidores de
Windows. Cuando un switch está conectado a un clúster NLB, el switch debe enviar los
paquetes destinados a la dirección IP del clúster a cada servidor NLB del clúster. Un servidor
NLB puede funcionar en modo de unidifusión, multidifusión o IGMP multidifusión.
Actualmente, se puede conectar un switch al servidor NLB que funciona en modo de
unidifusión o multidifusión. Si el switch admite ARP de múltiples interfaces, se recomienda
esta función para implementar la conexión entre el switch y el clúster NLB. Cuando el switch
o la versión no admite ARP de múltiples interfaces y no hay recursos suficientes en el
dispositivo, puede usar el bucle de retorno del enlace físico para conectar el switch al clúster
NLB.
Notas de configuración
l Cuando el clúster NLB funciona en modo de unidifusión, las entradas ARP estáticas no
necesitan configurarse en el switch; cuando el clúster funciona en modo de
multidifusión, las entradas ARP estáticas deben configurarse en el switch.
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
NOTA
Para obtener más información sobre los mapeos de software, consulte Version Mapping Search
for Huawei Campus Switches.
Requisitos de red
Como se muestra en Figura 2-22, el Switch se conecta a tres servidores NLB a través de
GE0/0/1, GE0/0/2, y GE0/0/3. El clúster NLB funciona en modo de unidifusión, la dirección
IP del clúster es 10.128.246.252/24 y la dirección MAC del clúster es 02bf-0a80-f6fc. Hay
enrutamientos accesibles entre el Switch y el Cliente.
El cliente requiere que el Switch pueda enviar los paquetes del Cliente destinados a la
dirección IP del clúster NLB a todos los servidores NLB.
Cliente
Internet
Router
VLANIF200
10.128.246.250/24
GE0/0/5 VLAN 200
Switch
GE0/0/1~GE0/0/3 GE0/0/4 VLAN 100
VLAN 100
Clúster NLB
Dirección IP del clúster: 10.128.246.252/24
Dirección MAC del clúster: 02bf-0a80-f6fc
Procedimiento
Paso 1 Agregue GE0/0/1 a través de GE0/0/3 que están conectados directamente a los servidores
NLB a la VLAN 100.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 100 200
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/3
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 100 200
#
interface Vlanif200
ip address 10.128.246.250 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 100
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 100
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 100
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 100
stp disable
#
interface GigabitEthernet0/0/5
port link-type access
port default vlan 200
stp disable
#
return
2.4.1.3 Ejemplo para conectar un grupo VRRP a un clúster NLB (usando bucle de
retorno de enlace físico)
Descripción general
NLB está desarrollado por Microsoft para un clúster configurado por múltiples servidores de
Windows. Cuando un switch está conectado a un clúster NLB, el switch debe enviar los
paquetes destinados a la dirección IP del clúster a cada servidor NLB del clúster. Un servidor
NLB puede funcionar en modo de unidifusión, multidifusión o IGMP multidifusión.
Notas de configuración
l Cuando el clúster NLB funciona en modo de unidifusión, las entradas ARP estáticas no
necesitan configurarse en el switch; cuando el clúster funciona en modo de
multidifusión, las entradas ARP estáticas deben configurarse en el switch.
l Tabla 2-9 enumera productos y versiones aplicables.
S3300HI V200R001C00
S5300HI V200R001(C00&C01),
V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S6320HI V200R012C00
NOTA
Para obtener más información sobre los mapeos de software, consulte Version Mapping Search
for Huawei Campus Switches.
Requisitos de red
Como se muestra en Figura 2-23, Switch_1 y Switch_2 se conectan entre sí usando GE0/0/2
y forman un grupo VRRP a través el enlace de latido. Switch_1 es el principal y Switch_2 es
la copia de seguridad. Las interfaces GE0/0/1 en Switch_1 y Switch_2 están conectadas
directamente a dos servidores NLB, respectivamente. El clúster NLB funciona en modo de
unidifusión, la dirección IP del clúster es 10.128.246.252/24 y la dirección MAC del clúster
es 03bf-0a80-f6fc. Hay enrutamientos accesibles entre el Switch y el Cliente.
El cliente requiere que el grupo VRRP pueda enviar los paquetes del Cliente destinados a la
dirección IP del clúster NLB a todos los servidores NLB.
Cliente
Internet
Router
Switch_1 Switch_2
GE0/0/5 VLAN 200 GE0/0/2 GE0/0/2 GE0/0/5 VLAN 200
VLAN 100 VLAN 100
Server_1 Server_2
Clúster NLB
Dirección IP del clúster: 10.128.246.252/24
Dirección MAC del clúster: 03bf-0a80-f6fc
Plan de datos
Antes de la configuración, necesita los siguientes datos.
Procedimiento
Paso 1 # Configure GE0/0/1.
# Agregue GE0/0/1 en Switch_1 a VLAN 100.
<Quidway> system-view
[Quidway] sysname Switch_1
[Switch_1] vlan batch 100 200
[Switch_1] interface gigabitethernet 0/0/1
[Switch_1-GigabitEthernet0/0/1] port link-type access
[Switch_1-GigabitEthernet0/0/1] port default vlan 100
[Switch_1-GigabitEthernet0/0/1] quit
NOTA
Las interfaces de latido y el gateway no pueden pertenecer a la misma VLAN para evitar un bucle de
tráfico dentro del grupo VRRP. Por ejemplo, GE 0/0/2 en este ejemplo no se puede agregar a la VLAN
200.
NOTA
l Configure una dirección IP virtual de VRRP 10.128.246.250 para VLANIF 200 que funcione como
el gateway del clúster NLB.
l Para reducir la carga de trabajo de red, se recomienda separar el gateway del clúster NLB de otros
gateways.
En esta red, el tráfico de un switch al clúster NLB pasa a lo largo del enlace de latido al switch del
otro extremo y luego pasa a lo largo de la línea de autobucle en el switch del otro extremo. En este
caso, si otros servidores usan el mismo gateway que los servidores NLB, otros servidores recibirán
tráfico destinado al clúster NLB, lo que provocará un aumento de la carga de trabajo de la red. Por
ejemplo, los paquetes destinados al clúster NLB desde Switch_1 pasan a lo largo del enlace de latido
a Switch_2. En Switch_2, los paquetes se envían desde GE0/0/4 a 0/0/5. Si VLANIF 200 en
Switch_2 también es el gateway de servidores que no son NLB, los paquetes se envían a servidores
que no son NLB a través de GE0/0/5.
----Fin
Archivos de configuración
l Archivo de configuración de Switch_1
#
sysname Switch_1
#
vlan batch 100 200
#
interface Vlanif200
ip address 10.128.246.10 255.255.255.0
vrrp vrid 1 virtual-ip 10.128.246.250
vrrp vrid 1 priority 120
#
interface
GigabitEthernet0/0/1
port link-type
access
port default vlan 100
#
interface
GigabitEthernet0/0/2
port link-type
trunk
port trunk allow-pass vlan
100
#
interface GigabitEthernet0/0/4
port link-type
access
port default vlan
100
stp
disable
#
interface GigabitEthernet0/0/5
port link-type
access
port default vlan
200
stp
disable
#
arp static 10.128.246.252 03bf-0a80-f6fc vid 200 interface
GigabitEthernet0/0/5
#
return
l Archivo de configuración de Switch_2
#
sysname Switch_2
#
vlan batch 100 200
#
interface Vlanif200
ip address 10.128.246.11 255.255.255.0
vrrp vrid 1 virtual-ip 10.128.246.250
#
interface
GigabitEthernet0/0/1
port link-type
access
port default vlan 100
#
interface
GigabitEthernet0/0/2
port link-type
trunk
port trunk allow-pass vlan
100
#
interface GigabitEthernet0/0/4
port link-type
access
port default vlan
100
stp
disable
#
interface GigabitEthernet0/0/5
port link-type
access
port default vlan
200
stp
disable
#
arp static 10.128.246.252 03bf-0a80-f6fc vid 200 interface
GigabitEthernet0/0/5
#
return
2.4.1.4 Ejemplo para conectar una pila a un clúster NLB (usando bucle de retorno
de enlace físico)
Descripción general
NLB está desarrollado por Microsoft para un clúster configurado por múltiples servidores de
Windows. Cuando un switch está conectado a un clúster NLB, el switch debe enviar los
paquetes destinados a la dirección IP del clúster a cada servidor NLB del clúster. Un servidor
NLB puede funcionar en modo de unidifusión, multidifusión o IGMP multidifusión.
Notas de configuración
l Cuando el clúster NLB funciona en modo de unidifusión, las entradas ARP estáticas no
necesitan configurarse en el switch; cuando el clúster funciona en modo de
multidifusión, las entradas ARP estáticas deben configurarse en el switch.
l Un gateway virtual de VRRP no se puede configurar en un switch en una pila para los
Clientes.
l Tabla 2-10 enumera los productos y las versiones aplicables.
S2320EI V200R011C10,
V200R012C00
S2350EI V200R003C00,
V200R005C00SPC300,
V200R006C00,
V200R007C00,
V200R008C00,
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S3300EI V100R006C05
S5300SI V200R001C00,
V200R002C00,
V200R003C00,
V200R005(C00&C02)
S5300EI V200R001C00,
V200R002C00,
V200R003C00,
V200R005(C00&C01&C0
2)
S5300HI V200R001(C00&C01),
V200R002C00,
V200R003C00,
V200R005(C00&C01&C0
2)
S5310EI V200R002C00,
V200R003C00,
V200R005(C00&C02)
S5320LI V200R010C00,
V200R011C10,
V200R012C00
S5320SI V200R008(C00&C10),
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S5320EI V200R007C00,
V200R008C00,
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S5320HI V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S5330SI V200R011C10,
V200R012C00
S6320SI V200R011C10,
V200R012C00
S6320EI V200R008C00,
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S6320HI V200R012C00
NOTA
Para obtener más información acerca de las asignaciones de software, consulte Version Mapping
Search for Huawei Campus Switches.
Requisitos de red
Como se muestra en Figura 2-24, Switch_1 y Switch_2 forman una pila y se conectan
directamente a dos servidores NLB respectivamente a través de GE0/0/1 y GE1/0/1. El clúster
NLB funciona en modo de multidifusión, la dirección IP del clúster es 10.128.246.252/24 y la
dirección MAC del clúster es 03bf-0a80-f6fc. Hay enrutamientos accesibles entre el Switch y
el Cliente.
El cliente requiere que la pila pueda enviar los paquetes del Cliente destinados a la dirección
IP del clúster NLB a todos los servidores NLB.
Cliente
Internet
Router
Switch_1 Switch_2
GE0/0/5 Eth-Trunk5 Pila GE1/0/5 Eth-Trunk5
VLAN 200 VLAN 200
Server_1 Server_2
Clúster NLB
Dirección IP del clúster: 10.128.246.252/24
Dirección MAC del clúster: 03bf-0a80-f6fc
Plan de datos
Antes de la configuración, necesita los siguientes datos.
Procedimiento
Paso 1 Agregue las interfaces conectadas directamente a los servidores NLB a la VLAN 100.
Paso 5 Configure una entrada ARP estática. En la entrada ARP estática, la dirección IP es la
dirección IP del clúster 10.128.246.252, la dirección MAC es la dirección MAC de
multidifusión del clúster 03bf-0a80-f6fc, y la interfaz de salida es Eth-Trunk 5 en la VLAN
200.
[Stack] arp static 10.128.246.252 03bf-0a80-f6fc vid 200 interface eth-trunk
5 //Configure una entrada ARP estática
----Fin
Archivos de configuración
Archivo de configuración de pila
#
sysname Stack
#
vlan batch 100 200
#
interface Vlanif200
ip address 10.128.246.250 255.255.255.0
#
interface Eth-Trunk4
port link-type access
port default vlan 100
stp disable
#
interface Eth-Trunk5
port link-type access
port default vlan 200
stp disable
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 100
#
interface GigabitEthernet0/0/4
eth-trunk 4
#
interface GigabitEthernet0/0/5
eth-trunk 5
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 100
#
interface GigabitEthernet1/0/4
eth-trunk 4
#
interface GigabitEthernet1/0/5
eth-trunk 5
#
arp static 10.128.246.252 03bf-0a80-f6fc vid 200 interface Eth-Trunk5
#
return
Tabla 2-11 Causas comunes de fallas para proporcionar energía a los PDs no estándar
Causa Configuración que se realizará en un switch PoE
La corriente para una clase de Ejecute el comando poe force-power en las interfaces que
PD específica es mayor que conectan el switch a los PD para proporcionar energía a los
51 mA. PD de forma forzada.
Tabla 2-12 Fuente de alimentación para diferentes tipos de los PD conectados a switches PoE
(esta tabla se aplica a los switches que ejecutan V200R009 o posterior)
Tipo Modelo de PD Si Si Causa y
de los los solución de
PD PD PD fallas de la
son pued fuente de
PD en alimentació
está ser n
ndar alim
enta
dos
Notas de configuración
l Prepare un cable de consola. Si usa un ordenador portátil o un ordenador sin un puerto
serie, prepare un cable de USB a serie e instale el controlador almacenado en el CD-
ROM (entregado con el cable) según las instrucciones.
l Instale el software de emulación de terminal en el ordenador. Puede usar el
HyperTerminal integrado de Windows 2000 en el ordenador. Si no hay ningún software
de emulación de terminal integrado, prepare el software de emulación de terminal. Para
obtener detalles sobre cómo usar el software de emulación de terminal, consulte la guía
de uso o la ayuda en línea relacionados. Aquí se utiliza el software de terceros
SecureCRT como ejemplo.
A continuación, se utilizan las líneas de comando y las salidas del S9300 que ejecuta V200R006C00 como
ejemplo.
Requisitos de red
El departamento de mantenimiento de IT de una empresa adquiere los switches de la serie S,
configurados por los administradores de red. Un administrador de red generalmente inicia
sesión en un nuevo switch a través de un puerto de consola y luego realiza configuraciones
iniciales.
Como se muestra en Figura 3-1, el puerto serie de un ordenador es conectado al puerto de
consola del Switch por medio del cable de consola. El usuario desea iniciar sesión en el
Switch a través del puerto de la consola y requiere la autenticación local en el siguiente inicio
de sesión. Para facilitar el mantenimiento remoto en el Switch, el usuario desea configurar la
función de Telnet.
Figura 3-1 Diagrama de redes para configurar el inicio de sesión del switch a través de un
puerto de consola
Puerto serie Puerto de consola
Cable de consola
Ordenador Switch
10.1.1.1/24
Procedimiento
Paso 1 Conecte el conector femenino DB9 del cable de la consola al puerto serie (COM) del
ordenador, y conecte el conector RJ45 al puerto de la consola en el switch, como se muestra
en Figura 3-2.
NOTA
l Si usa un ordenador portátil o un ordenador sin puerto serie, prepare un cable USB a serie. Instale el
controlador almacenado en el CD-ROM (entregado con el cable) según las instrucciones, conecte el
conector femenino USB-DB9 del cable al puerto USB en el ordenador, y conecte el conector RJ-45
al puerto de la consola en el switch.
l Si el switch tiene dos MPU, puede iniciar sesión en el switch a través del puerto de consola en
cualquiera de las dos MPU.
Stop bits 1
Data bits 8
1. Haga click en para establecer una conexión, como se muestra en Figura 3-3.
Switch, que son 9600 bit/s de velocidad de transmisión, 8 bits de datos, 1 bit de parada,
sin verificación de paridad y sin control de flujo.
NOTA
Por defecto, no se configura ningún modo de control de flujo en el switch. Como RTS/CTS se
selecciona en el software de forma predeterminada, debe anular la selección de RTS/CTS; de lo
contrario, no puede introducir comandos.
Username:admin
Password: //Introduzca la contraseña por defecto admin@huawei.com.
NOTA
La zona horaria varía según la ubicación de un switch. Establezca la zona horaria según los requisitos del
sitio. La siguiente información es solo para referencia.
<Quidway> clock timezone BJ add 08:00:00 //BJ es el nombre del huso horario, y
08:00:00 indica que la hora local es 8 más el uso horario UTC por defecto del
sistema.
<Quidway> clock datetime 10:10:00 2014-07-26 //Establezca la fecha y hora
actual. Antes de establecer la hora actual, verifique el huso horario y
establezca un desplazamiento de huso horario correcto para garantizar la hora
local correcta.
<Quidway> system-view
[Quidway] sysname Switch //Establezca el nombre del switch a Switch.
Paso 4 Configure un modo de autenticación para la interfaz de usuario de la consola. (En V200R010
y las versiones posteriores, el modo de autenticación predeterminado para la interfaz de
usuario de la consola es la autenticación AAA. El método para cambiar el modo de
autenticación es similar y no se proporciona aquí.)
# Establezca el modo de autenticación de la interfaz de la consola en AAA y cree un usuario
local.
[Switch] user-interface console 0
[Switch-ui-console0] authentication-mode aaa //Establezca el modo de
autenticación del usuario a AAA.
[Switch-ui-console0] quit
[Switch] aaa
[Switch-aaa] local-user admin1234 password irreversible-cipher
Helloworld@6789 //Cree un usuario local llamado admin1234 y establezca su
contraseña a Helloworld@6789. Las versiones anteriores a V200R003 admiten solo la
contraseña de palabra clave pero no son compatibles con irreversible-cipher.
[Switch-aaa] local-user admin1234 privilege level 15 //Establezca el nivel de
usuario a 15.
[Switch-aaa] local-user admin1234 service-type terminal //Establezca el tipo
de acceso al terminal, es decir, usuario de la consola.
[Switch-aaa] quit
----Fin
Archivos de configuración
Archivo de configuración de switch
#
sysname Switch
#
vlan batch 10
#
telnet server enable
#
clock timezone BJ add 08:00:00
#
aaa
local-user admin123 password irreversible-cipher %^%#}+ysUO*B&+p'NRQR0{ZW7[GA*Z*!
X@o:Va15dxQAj+,$>NP>63de|G~ws,9G%^%#
local-user admin123 privilege level 15
local-user admin123 service-type telnet
local-user admin1234 password irreversible-cipher %^%#}+ysUO*B&
+p'NRQR0{ZW7[GA*Z*!X@o:Va15dxQAj+,$>NP>63de|G~ws,9G%^%#
Contenido relacionado
Descripción general
El inicio de sesión de Telnet a un switch facilita la gestión y el mantenimiento remotos del
switch, de modo que no es necesario conectar un terminal a cada switch. Por defecto, no
puede iniciar sesión en un switch mediante Telnet. Debe iniciar sesión en un switch a través
de un puerto de consola y configurar primero la función Telnet. Para obtener más detalles,
consulte 3.1.1 Ejemplo para configurar el inicio de sesión en el switch a través de un
puerto de consola.
Una Lista de control de acceso (ACL) es un filtro de paquetes que filtra paquetes basados en
reglas. Una o más reglas describen las condiciones de coincidencia de paquetes, como la
dirección de origen, la dirección de destino y el número de puerto de los paquetes. Para los
paquetes que coinciden con las reglas de ACL configurados en un dispositivo, el dispositivo
reenvía o descarta estos paquetes de acuerdo con las políticas utilizadas por el módulo de
servicio al que se aplica la ACL.
RADIUS utiliza el modelo de cliente / servidor en modo distribuido y protege una red contra
el acceso no autorizado. A menudo se usa en las redes que requieren alta seguridad y control
remoto de acceso de usuarios. Después de configurar el inicio de sesión de Telnet basado en
autenticación RADIUS, un switch envía el nombre de usuario y la contraseña de un usuario
de inicio de sesión al servidor RADIUS. El servidor RADIUS luego autentica al usuario y
registra las operaciones del usuario, asegurando la seguridad de la red.
Si las ACL y la autenticación RADIUS están configuradas, los paquetes que coinciden con las
reglas de ACL alcanzan un módulo de capa superior y luego se autentican en modo RADIUS
según el nombre de usuario y la contraseña. El modo de inicio de sesión de Telnet basado en
las reglas de ACL y la autenticación RADIUS asegura la seguridad de la red.
Notas de configuración
l Telnet es un protocolo inseguro. Se recomienda usar STelnet V2.
l Asegúrese de que el terminal de usuario tenga rutas alcanzables para el switch y el
servidor RADIUS.
l Asegúrese de que la dirección IP, el número de puerto y la clave compartida del servidor
RADIUS estén configurados correctamente en el switch y sean iguales que los del
servidor RADIUS.
l Asegúrese de que se haya configurado un usuario en el servidor RADIUS. En este
ejemplo, el usuario admin@huawei.com (en el formato de user name@domain name) y
la contraseña Huawei@1234 han sido configurados.
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
NOTA
A continuación, se utilizan las líneas de comando y las salidas del S9300 que ejecuta el V200R006C00 como
ejemplo.
Requisitos de red
El administrador de red requiere gestión y mantenimiento remotos en un switch y una alta
seguridad de red para proteger la red contra el acceso no autorizado. Para cumplir con los
requisitos, configure el inicio de sesión de Telnet según las reglas de ACL y la autenticación
RADIUS.
Como se muestra en Figura 3-5, el Switch tiene rutas alcanzables para el administrador y el
servidor RADIUS La dirección IP y el número de puerto del servidor RADIUS son
10.2.1.1/24 y 1812 respectivamente.
Figura 3-5 Diagrama de redes para configurar el inicio de sesión de Telnet basado en reglas
ACL y autenticación RADIUS
Servidor de RADIUS
10.2.1.1/24
Red
Administrador Switch
de red 10.1.1.1/24
10.137.217.177/24
1. Configure el protocolo Telnet para que los usuarios puedan iniciar sesión en Switch
utilizando Telnet.
2. Configure una regla de ACL para garantizar que solo los usuarios que coincidan con la
regla de ACL puedan iniciar sesión en el Switch.
3. Configure el protocolo RADIUS para implementar la autenticación RADIUS. Una vez
completada la configuración, puede usar el nombre de usuario y la contraseña
configurados en el servidor RADIUS para iniciar sesión en Switch utilizando Telnet, lo
que garantiza la seguridad de inicio de sesión del usuario.
Procedimiento
Paso 1 Configure el inicio de sesión de Telnet.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] telnet server enable
[Switch] user-interface vty 0 14 //Introduzca las vistas de la interfaz de
usuario de VTY 0 a VTY 14.
[Switch-ui-vty0-14] protocol inbound telnet //Configure la interfaz de usuario
de VTY para admitir Telnet. De forma predeterminada, los switches en V200R006 y
versiones anteriores admite Telnet, y los switches en V200R007 y versiones
posteriores admiten SSH.
[Switch-ui-vty0-14] authentication-mode aaa //Establezca el modo de
autenticación de los usuarios en VTY 0 a VTY 14 a AAA.
[Switch-ui-vty0-14] user privilege level 15 //Establezca el nivel de usuarios
en VTY 0 a VTY 14 a 15.
[Switch-ui-vty0-14] quit
NOTA
Si el servidor RADIUS no es compatible con un nombre de usuario que contenga el nombre de dominio,
ejecute el comando undo radius-server user-name domain-included para configurar el Switch para
enviar paquetes con un nombre de usuario sin el nombre de dominio al servidor RADIUS.
Username:admin
Password:
Info: The max number of VTY users is 8, and the number
of current VTY users on line is 2.
The current login time is 2014-07-30 09:54:02+08:00.
<Switch>
----Fin
Archivos de configuración
Archivo de configuración del switch
#
sysname Switch
#
domain huawei.com admin
#
telnet server enable
#
radius-server template 1
radius-server shared-key cipher %^%#}+ysUO*B&+p'NRQR0{ZW7[GA*Z*!X@o:Va15dxQAj+,
$>NP>63de|G~ws,9G%^%#
radius-server authentication 10.2.1.1 1812 weight 80
#
acl number 2008
rule 5 permit source 10.137.217.177 0
#
aaa
authentication-scheme sch1
authentication-mode radius
domain huawei.com
authentication-scheme sch1
radius-server 1
#
user-interface vty 0 14
acl 2008 inbound
authentication-mode aaa
user privilege level 15
protocol inbound telnet
#
return
Contenido relacionado
Descripción general
El protocolo Secure Shell (SSH) implementa el inicio de sesión remoto seguro en las redes
inseguras, lo que garantiza la integridad y fiabilidad de los datos y garantiza la transmisión
segura de los datos. STelnet, en función del protocolo SSH, garantiza la seguridad de la
información y proporciona una poderosa función de autenticación. STelnet protege un switch
contra los ataques tal como IP spoofing (suplantación de IP). De forma predeterminada, no
puede iniciar sesión en un switch mediante STelnet. Debe iniciar sesión en un switch
mediante un puerto de consola o Telnet, y configurar primero la función de STelnet y los
parámetros de la interfaz del usuario.
RADIUS utiliza el modelo de cliente / servidor en modo distribuido y protege una red contra
el acceso no autorizado. A menudo se usa en redes que requieren alta seguridad y control
remoto de acceso de usuarios. Después de configurar el inicio de sesión de STelnet en función
de la autenticación de RADIUS, un switch envía el nombre de usuario y la contraseña de un
usuario de inicio de sesión al servidor RADIUS. El servidor RADIUS luego autentica al
usuario y registra las operaciones del usuario, lo que asegura la seguridad de la red.
Notas de configuración
l STelnet V1 es un protocolo inseguro. Se recomienda el uso de STelnet V2.
l Asegúrese de que el terminal del usuario tenga instalado el software de inicio de sesión
del servidor SSH antes de configurar el inicio de sesión de STelnet. En este ejemplo, el
software de terceros PuTTY se utiliza como el software de inicio de sesión del servidor
SSH.
l Asegúrese de que el terminal de usuario tenga rutas alcanzables para el switch y el
servidor RADIUS.
l Asegúrese de que la dirección IP, el número de puerto y la clave compartida del servidor
RADIUS estén configurados correctamente en el switch y sean iguales a los del servidor
RADIUS.
l Asegúrese de que se haya configurado un usuario en el servidor RADIUS. En este
ejemplo, el usuario admin@huawei.com (en el formato de user name@domain name) y
la contraseña Huawei@1234 han sido configurados.
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
NOTA
A continuación, se utilizan las líneas de comando y las salidas del S9300 que ejecuta V200R006C00 como
ejemplo.
Requisitos de red
El administrador de red requiere un inicio de sesión remoto a un switch y una alta seguridad
de red para proteger la red contra el acceso no autorizado. Para cumplir con los requisitos,
configure el inicio de sesión de STelnet en función de la autenticación RADIUS.
Como se muestra en Figura 3-6, el Switch funciona como el servidor SSH y tiene una ruta
alcanzable al servidor RADIUS. La dirección IP y el número de puerto del servidor RADIUS
son 10.2.1.1/24 y 1812 respectivamente.
Figura 3-6 Diagrama de redes para configurar el inicio de sesión STelnet en función de la
autenticación RADIUS
Servidor de RADIUS
10.2.1.1/24
Red
Administrador Switch
de red 10.1.1.1/24
10.137.217.177/24
Procedimiento
Paso 1 Configure el inicio de sesión de STelnet.
# Genera un par de claves locales en el servidor.
<Quidway> system-view
[Quidway] sysname Switch
[Quidway] dsa local-key-pair create //Genere un par de claves DSA locales.
Info: The key name will be: HUAWEI_Host_DSA.
Info: The key modulus can be any one of the following : 1024, 2048.
Info: If the key modulus is greater than 512, it may take a few minutes.
Please input the modulus [default=2048]:
Info: Generating keys...
Info: Succeeded in creating the DSA host keys.
NOTA
Para configurar la autenticación de contraseña para múltiples usuarios de SSH, ejecute el comando de
ssh authentication-type default password para especificar la autenticación de contraseña como el
modo de autenticación predeterminado de los usuarios de SSH. Una vez completada esta configuración,
no es necesario configurar el modo de autenticación y el tipo de servicio para cada usuario de SSH, lo
que simplifica la configuración y mejora la eficiencia.
NOTA
Si el servidor RADIUS no es compatible con un nombre de usuario que contenga el nombre de dominio,
ejecute el comando undo radius-server user-name domain-included para configurar el Switch para
enviar paquetes con un nombre de usuario sin el nombre de dominio al servidor RADIUS.
# Haga clic en Open. En la interfaz de inicio de sesión, escriba el nombre de usuario admin y
la contraseña Huawei@1234 cuando se le solicite y presione Enter. Se realiza la
autenticación correctamente y puede iniciar sesión correctamente en Switch mediante STelnet.
(La siguiente información es solo para referencia.)
login as: admin
password:
----Fin
Archivos de configuración
Archivo de configuración del switch
#
sysname Switch
#
domain huawei.com admin
#
radius-server template 1
radius-server shared-key cipher %^%#}+ysUO*B&+p'NRQR0{ZW7[GA*Z*!X@o:Va15dxQAj+,
$>NP>63de|G~ws,9G%^%#
Contenido relacionado
Tabla 3-2 Configuración de fábrica de archivos de páginas web para los switches fijos
Modelo del V100R006C V200R001 V200R002 V200R003 V200R005
Producto 05
S2300SI/ El medio de - - - -
S2300EI almacenami
ento no
contiene un
archivo de
página web.
S3300SI/ El medio de - - - -
S3300EI almacenami
ento no
contiene un
archivo de
página web.
S3300HI - El medio de - - -
almacenamie
nto no
contiene un
archivo de
página web.
Tabla 3-3 Configuración de fábrica de archivos de páginas web para los switches modulares
Modelo del V200R001 V200R002 V200R003 V200R005
Producto
NOTA
Descripción general
El sistema web utiliza el servidor web incorporado en un switch para proporcionar una GUI a
través de la cual los usuarios pueden realizar la gestión y el mantenimiento de los switches.
Los usuarios pueden iniciar sesión en el sistema web desde los terminales mediante HTTPS.
Notas de configuración
Este ejemplo se aplica a V200R001 de todos los switches de la serie S.
NOTA
A continuación, se utilizan las líneas de comando y las salidas del S5300EI que ejecuta V200R001C00
como ejemplo.
Requisitos de red
Como se muestra en Figura 3-8, un switch funciona como el servidor HTTPS. El usuario
desea iniciar sesión en el sistema web mediante HTTPS para administrar y mantener el
Figura 3-8 Diagrama de redes para configurar el inicio de sesión del switch a través del
sistema web
192.168.0.1/24
Red
PC HTTPS_Server
AVISO
FTP es un protocolo inseguro. Se recomienda el uso de SFTP V2, SCP o FTPS.
Procedimiento
Paso 1 Obtenga el archivo de la página web.
Los siguientes métodos están disponibles:
l Obtenga el archivo de la página web de un agente de Huawei.
l Descargue el archivo de la página web del Sitio web de asistencia técnica de Huawei
(http://support.huawei.com/carrier). En V200R001, el archivo de la página web se
nombra en el formato de product name-software version.web page file version.web.zip.
NOTA
Verifique si el tamaño del archivo de la página web obtenido es igual que el tamaño del archivo que se
muestra en el sitio web. Si no, puede ocurrir una excepción durante la descarga del archivo. Descargue el
archivo de nuevo.
interfaz de administración.
[HTTPS_Server-Vlanif10] ip address 192.168.0.1 24 //Configure la dirección IP y
despliegue la ruta según el plan de la red para garantizar la accesibilidad entre
el PC y el switch.
[HTTPS_Server-Vlanif10] quit
[HTTPS_Server] interface gigabitethernet 0/0/10 //En este ejemplo, GE0/0/10 es
la interfaz física utilizada para iniciar sesión en el switch a través del
sistema web en un PC. Seleccione una interfaz basada en los requisitos reales de
red.
[HTTPS_Server-GigabitEthernet0/0/10] port link-type access //Establezca el tipo
de interfaz para acceder.
[HTTPS_Server-GigabitEthernet0/0/10] port default vlan 10 //Agregue la interfaz
a VLAN 10.
[HTTPS_Server-GigabitEthernet0/0/10] quit
Paso 3 Suba el archivo de la página web y el certificado digital al servidor HTTPS a través de FTP.
# Configure las interfaces de usuario VTY en el servidor HTTPS.
[HTTPS_Server] user-interface vty 0 14 //Introduzca las interfaces de usuario
VTY 0 a 14.
[HTTPS_Server-ui-vty0-14] authentication-mode aaa //Establezca el modo de
autenticación de los usuarios en las interfaces de usuario VTY de 0 a 14 a AAA.
[HTTPS_Server-ui-vty0-14] quit
# Inicie sesión en el servidor HTTPS desde el ordenador a través de FTP y cargue el archivo
de la página web y el certificado digital en el servidor HTTPS.
Conecte el ordenador al switch mediante FTP. Introduzca el nombre de usuario client001 y la
contraseña Helloworld@6789 y configure el modo de transferencia de archivos como
binary.
El siguiente ejemplo asume que el ordenador ejecuta el sistema operativo Windows XP.
C:\Documents and Settings\Administrator> ftp 192.168.0.1
Connected to 192.168.0.1.
220 FTP service ready.
User (192.168.0.1:(none)): client001
331 Password required for client001.
Password:
230 User logged in.
ftp> binary //Establezca el modo de transferencia de archivos al binario. Por
defecto, los archivos se transfieren en modo ASCII.
200 Type set to I.
ftp>
Si los tamaños del archivo de la página web y el certificado digital en el directorio de almacenamiento
actual en el switch son diferentes a los del ordenador, puede ocurrir una excepción durante la
transferencia de archivos. Sube los archivos de nuevo.
# Una vez completadas las configuraciones anteriores, ejecute el comando display ssl policy
en el servidor HTTPS para verificar la información detallada sobre el certificado digital
cargado.
[HTTPS_Server] display ssl policy
Paso 6 Configure un usuario web y entre en la página de inicio de sesión del sistema web.
# Configure un usuario web.
[HTTPS_Server] aaa
[HTTPS_Server-aaa] local-user admin password cipher Helloworld@6789 //Crea un
usuario local llamado admin a establezca su contraseña a Helloworld@6789.
[HTTPS_Server-aaa] local-user admin privilege level 15 //Establezca el nivel de
usuario a 15.
[HTTPS_Server-aaa] local-user admin service-type http //Establezca el tipo de
acceso a http, es decir, usuario de web.
[HTTPS_Server-aaa] quit
----Fin
Archivos de configuración
Archivo de configuración de HTTPS_Server
#
sysname HTTPS_Server
#
FTP server enable
#
vlan batch 10
#
undo http server enable
http server load web.zip
http secure-server ssl-policy http_server
http secure-server enable
#
aaa
local-user admin password cipher %$%$_h,hW_!nJ!2gXkH9v$X)+,#w%$%$
local-user admin privilege level 15
local-user admin service-type http
local-user client001 password cipher %$%$jD,QKAhe{Yd9kD9Fqi#I+QH~%$%$
Descripción general
El sistema web utiliza el servidor web incorporado en un switch para proporcionar una GUI a
través de la cual los usuarios pueden realizar la gestión y el mantenimiento de los switches.
Los usuarios pueden iniciar sesión en el sistema web desde los terminales mediante HTTPS.
Notas de configuración
Este ejemplo se aplica a V100R006C05, V200R002 y V200R003 de todos los switches de la
serie S.
NOTA
A continuación, se utilizan las líneas de comando y las salidas del S5300EI que ejecuta V200R002C00
como ejemplo.
Requisitos de red
Como se muestra en Figura 3-10, un switch funciona como el servidor HTTPS. El usuario
desea iniciar sesión en el sistema web mediante HTTPS para administrar y mantener el
switch.
Figura 3-10 Diagrama de redes para configurar el inicio de sesión del switch a través del
sistema web
192.168.0.1/24
Red
PC HTTPS_Server
NOTA
Un switch proporciona una política SSL predeterminada y tiene un certificado digital autofirmado
generado aleatoriamente en el archivo de la página web. Si la política SSL predeterminada y el
certificado digital autofirmado pueden cumplir con los requisitos de seguridad, no es necesario cargar un
certificado digital ni configurar manualmente una política SSL, lo que simplifica la configuración. La
siguiente configuración usa la política SSL predeterminada proporcionada por el switch como ejemplo.
1. Configure una dirección IP de gestión para transferir los archivos de forma remota e
iniciar sesión en el switch a través del sistema web.
2. Suba el archivo de la página web al servidor HTTPS a través de FTP.
3. Cargue el archivo de la página web.
4. Configure un usuario web y entre en la página de inicio de sesión del sistema web.
AVISO
FTP es un protocolo inseguro. Se recomienda el uso de SFTP V2, SCP o FTPS.
Procedimiento
Paso 1 Obtenga el archivo de la página web.
Los siguientes métodos están disponibles:
l Obtenga el archivo de la página web de un agente de Huawei.
l Obtenga el archivo de la página web de http://support.huawei.com/carrier.
– Para un switch fijo, descargue el software del sistema que contiene el archivo de la
página web.
– Para un switch modular, descargue el archivo de la página web.
– En V100R006C05, el archivo de la página web se nombra en el formato de product
name-software version.web page file version.web.zip. En V200R002 y V200R003,
el archivo de la página web se nombra en el formato de product name-software
version.web page file version.web.7z.
NOTA
Verifique si el tamaño del archivo de la página web obtenido es igual que el tamaño del archivo que se
muestra en el sitio web. Si no, puede ocurrir una excepción durante la descarga del archivo. Descargue el
archivo de nuevo.
# Inicie sesión en el servidor HTTPS desde el ordenador a través de FTP y suba el archivo de
la página web al servidor HTTPS.
El siguiente ejemplo asume que el ordenador ejecuta el sistema operativo Windows XP.
C:\Documents and Settings\Administrator> ftp 192.168.0.1
Connected to 192.168.0.1.
220 FTP service ready.
User (192.168.0.1:(none)): client001
331 Password required for client001.
Password:
230 User logged in.
ftp> binary //Establezca el modo de transferencia de archivos al binario. Por
defecto, los archivos se transfieren en modo ASCII.
200 Type set to I.
ftp>
NOTA
Si el tamaño del archivo de la página web en el directorio actual del switch es diferente al del ordenador,
puede ocurrir una excepción durante la transferencia de archivos. Suba el archivo de la página web de
nuevo.
Paso 6 Configure un usuario web y entre en la página de inicio de sesión del sistema web.
# Configure un usuario web.
[HTTPS_Server] aaa
[HTTPS_Server-aaa] local-user admin password cipher Helloworld@6789 //Crea un
usuario local llamado admin y establezca su contraseña a Helloworld@6789.
[HTTPS_Server-aaa] local-user admin privilege level 15 //Esteblezca el nivel de
usuario a 15.
[HTTPS_Server-aaa] local-user admin service-type http //Esteblezca el tipo de
acceso a http, es decir, usuario web.
[HTTPS_Server-aaa] quit
----Fin
Archivos de configuración
Archivo de configuración del servidor HTTPS
#
sysname HTTPS_Server
#
FTP server enable
#
vlan batch 10
#
http server load web.7z
#
aaa
local-user admin password cipher %$%$llCb"D|46>hV2w2=%&nOT/_K%$%$
local-user admin privilege level 15
local-user admin service-type http
local-user client001 password cipher %$%$aL$_U%#$W^1T-\}Fqpe$E<#HN%$%$
local-user client001 privilege level 15
local-user client001 ftp-directory flash:/
local-user client001 service-type ftp
#
interface Vlanif10
ip address 192.168.0.1 255.255.255.0
#
interface GigabitEthernet1/0/10
port link-type access
port default vlan 10
#
user-interface vty 0 14
authentication-mode aaa
#
return
Descripción general
El sistema web utiliza el servidor web incorporado en un switch para proporcionar una GUI a
través de la cual los usuarios pueden realizar la gestión y el mantenimiento de los switches.
Los usuarios pueden iniciar sesión en el sistema web desde los terminales mediante HTTPS.
Notas de configuración
Este ejemplo se aplica a V200R005 de todos los switches de la serie S.
NOTA
A continuación, se utilizan las líneas de comando y las salidas del S5300HI que ejecuta V200R005
como ejemplo.
Requisitos de red
Como se muestra en Figura 3-12, un switch funciona como el servidor HTTPS. El usuario
desea iniciar sesión en el sistema web mediante HTTPS para administrar y mantener el
switch.
Figura 3-12 Diagrama de redes para configurar el inicio de sesión del switch a través del
sistema web
192.168.0.1/24
Red
PC HTTPS_Server
NOTA
Un switch proporciona una política SSL predeterminada y tiene un certificado digital autofirmado
generado aleatoriamente en el archivo de la página web. Si la política SSL predeterminada y el
certificado digital autofirmado pueden cumplir con los requisitos de seguridad, no es necesario cargar un
certificado digital ni configurar manualmente una política SSL, lo que simplifica la configuración. La
siguiente configuración usa la política SSL predeterminada proporcionada por el switch como ejemplo.
1. Configure una dirección IP de gestión para transferir los archivos de forma remota e
iniciar sesión en el switch a través del sistema web.
2. Suba el archivo de la página web al servidor HTTPS a través de FTP.
3. Cargue el archivo de la página web.
4. Configure un usuario web e introduzca a la página de inicio de sesión del sistema web.
NOTA
Procedimiento
Paso 1 Obtenga el archivo de la página web.
Los siguientes métodos están disponibles:
l Obtenga el archivo de la página web de un agente de Huawei.
l Descargue el archivo de la página web del Sitio web de asistencia técnica de Huawei
(http://support.huawei.com/carrier).
– Para un switch fijo, descargue el software del sistema que contiene el archivo de la
página web.
– Para un switch modular, descargue el archivo de la página web.
– En V200R005, el archivo de la página web se nombra en el formato de product
name-software version.web page file version.web.7z.
NOTA
Verifique si el tamaño del archivo de la página web obtenido es igual que el tamaño del archivo que se
muestra en el sitio web. Si no, puede ocurrir una excepción durante la descarga del archivo. Descargue el
archivo de nuevo.
# Inicie sesión en el servidor HTTPS desde el ordenador a través de FTP y suba el archivo de
la página web al servidor HTTPS.
El siguiente ejemplo asume que el ordenador ejecuta el sistema operativo Windows XP.
C:\Documents and Settings\Administrator> ftp 192.168.0.1
Connected to 192.168.0.1.
220 FTP service ready.
User (192.168.0.1:(none)): client001
331 Password required for client001.
Password:
230 User logged in.
ftp> binary //Establezca el modo de transferencia de archivos al binario. Por
defecto, los archivos se transfieren en modo ASCII.
200 Type set to I.
ftp>
NOTA
Si el tamaño del archivo de la página web en el directorio actual del switch es diferente al del ordenador,
puede ocurrir una excepción durante la transferencia de archivos. Suba el archivo de la página web de
nuevo.
Paso 6 Configure un usuario web y entre en la página de inicio de sesión del sistema web.
# Configure un usuario web.
[HTTPS_Server] aaa
[HTTPS_Server-aaa] local-user admin password irreversible-cipher
Helloworld@6789 //Establezca la contraseña del inicio de sesión para
Helloworld@6789.
[HTTPS_Server-aaa] local-user admin privilege level 15 //Establezca el nivel
de usuario a 15.
[HTTPS_Server-aaa] local-user admin service-type http //Establezca el tipo de
servicio del usuario a HTTP.
[HTTPS_Server-aaa] quit
----Fin
Archivos de configuración
Archivo de configuración de HTTPS_Server
#
sysname HTTPS_Server
#
FTP server enable
#
vlan batch 10
#
http server load web.7z
#
aaa
local-user admin password irreversible-cipher %@%@wU:(2j8~r8Htyu3.]',NwU`Td[-
A9~9"%4Kvhm'0RV[/U`Ww%@%@
local-user admin privilege level 15
local-user admin service-type http
local-user client001 password irreversible-cipher %@%@5d~9:M^ipCfL
\iB)EQd>,,ajwsi[\ad,saejin[qndi83Uwe%@%@
local-user client001 privilege level 15
local-user client001 ftp-directory flash:/
local-user client001 service-type ftp
#
interface Vlanif10
ip address 192.168.0.1 255.255.255.0
#
interface GigabitEthernet1/0/10
port link-type access
port default vlan 10
#
user-interface vty 0 14
authentication-mode aaa
#
return
3.1.4.5 Ejemplo para configurar el inicio de sesión del switch a través del sistema
web (V200R006 y las versiones posteriores)
Descripción general
El sistema web utiliza el servidor web incorporado en un switch para proporcionar una GUI a
través de la cual los usuarios pueden realizar la gestión y el mantenimiento de los switches.
Los usuarios pueden iniciar sesión en el sistema web desde los terminales mediante HTTPS.
Notas de configuración
Este ejemplo se aplica a V200R006 y las versiones posteriores de todos los switches de la
serie S.
NOTA
A continuación, se utilizan las líneas de comando y las salidas del S5300LI que ejecuta V200R006C00
como ejemplo.
Requisitos de red
Como se muestra en Figura 3-14, un switch funciona como el servidor HTTPS. El usuario
desea iniciar sesión en el sistema web mediante HTTPS para administrar y mantener el
switch.
Figura 3-14 Diagrama de redes para configurar el inicio de sesión del switch a través del
sistema web
192.168.0.1/24
Red
PC HTTPS_Server
l El software del sistema del switch ha integrado y cargado el archivo de la página web.
No se requiere configuración manual.
l Un switch proporciona una política SSL predeterminada y tiene un certificado digital
autofirmado generado aleatoriamente en el archivo de la página web. Si la política SSL
predeterminada y el certificado digital autofirmado pueden cumplir con los requisitos de
seguridad, no es necesario cargar un certificado digital ni configurar manualmente una
política SSL, lo que simplifica la configuración. La siguiente configuración usa la
política SSL predeterminada proporcionada por el switch como ejemplo.
l Configure una dirección IP de gestión para iniciar sesión en el switch a través del
sistema web.
l Configure un usuario web y entre en la página de inicio de sesión del sistema web.
Procedimiento
Paso 1 Configure una dirección IP de gestión.
<HUAWEI> system-view
[HUAWEI] sysname HTTPS_Server
[HTTPS_Server] vlan 10
[HTTPS_Server-vlan10] interface vlanif 10 //Configure VLANIF 10 como la
interfaz de administración.
[HTTPS_Server-Vlanif10] ip address 192.168.0.1 24 //Configure la dirección IP
y despliegue la ruta según el plan de la red para garantizar la accesibilidad
entre el PC y el switch.
[HTTPS_Server-Vlanif10] quit
[HTTPS_Server] interface gigabitethernet 1/0/10 //En este ejemplo, GE1/0/10 es
la interfaz física utilizada para iniciar sesión en el switch a través del
sistema web en un PC. Seleccione una interfaz basada en los requisitos reales de
red.
[HTTPS_Server-GigabitEthernet1/0/10] port link-type access //Esteblezca el
tipo de interfaz para acceder.
[HTTPS_Server-GigabitEthernet1/0/10] port default vlan 10 //Agregue la
interfaz a VLAN 10.
[HTTPS_Server-GigabitEthernet1/0/10] quit
Paso 3 Configure un usuario web y entre en la página de inicio de sesión del sistema web.
Tabla 3-4 enumera las versiones de navegador requeridas para iniciar sesión en un switch a
través del sistema web. Si la versión del navegador o la versión del parche del navegador no
se encuentra dentro de los rangos anteriores, es posible que la página web no se muestre
correctamente. Actualice el navegador y el parche del navegador. Además, el navegador debe
ser compatible con JavaScript.
Tabla 3-4 Mapeo entre la versión del producto y la versión del navegador
Versión del Versión del navegador para el Versión del navegador para el
producto sistema web EasyOperation sistema web Classic
V200R006 Internet Explorer 8.0 a 11.0, Firefox Internet Explorer 8.0 a 11.0, o
12.0 a 28.0 o Google Chrome 23.0 a Firefox 12.0 a 28.0
34.0
V200R007 Internet Explorer 8.0 a 11.0, Firefox Internet Explorer 8.0 a 11.0, o
12.0 a 32.0 o Google Chrome 23.0 a Firefox 12.0 a 32.0
37.0
Versión del Versión del navegador para el Versión del navegador para el
producto sistema web EasyOperation sistema web Classic
----Fin
Archivos de configuración
Archivo de configuración de HTTPS_Server
#
sysname HTTPS_Server
#
vlan batch 10
#
aaa
local-user admin password irreversible-cipher %#%#wU:(2j8~r8Htyu3.]',NwU`Td[-
A9~9"%4Kvhm'0RV[/U`Ww%#%#
local-user admin privilege level 15
local-user admin service-type http
#
interface Vlanif10
ip address 192.168.0.1 255.255.255.0
#
interface GigabitEthernet 1/0/10
port link-type access
port default vlan 10
#
return
Descripción general
Puede iniciar sesión en el switch mediante el puerto de la consola, Telnet o STelnet para
administrar el almacenamiento, los directorios y los archivos locales. Solo los usuarios que
inician sesión pueden administrar el almacenamiento. Para transferir los archivos, puede usar
FTP, TFTP, Secure Copy Protocol (SCP) o FTPS.
Notas de configuración
l Antes de iniciar sesión en el switch para administrar los archivos, complete la siguiente
tarea:
– Inicie sesión en el switch desde un terminal.
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
NOTA
A continuación, se utilizan las líneas de comando y las salidas del S5300LI que ejecuta V200R006C00 como
ejemplo.
Requisitos de red
Un usuario inicia sesión en el Switch mediante el puerto de consola, Telnet o STelnet desde el
ordenador, y necesita realizar las siguientes operaciones en los archivos en el Switch:
l Vea los archivos y subdirectorios en el directorio actual.
l Cree el directorio test. Copie el archivo vrpcfg.zip a test y renombre el archivo como
backup.zip.
l Vea los archivos en test.
Figura 3-16 Diagrama de redes para iniciar sesión en el switch para administrar los archivos
Ordenador Switch
Procedimiento
Paso 1 Vea los archivos y subdirectorios en el directorio actual.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] quit
<Switch> dir
Directory of flash:/
Paso 2 Cree el directorio test. Copie el archivo vrpcfg.zip a test y renombre el archivo como
backup.zip.
# Cree el directorio test.
<Switch> mkdir test
Info: Create directory flash:/test......Done.
<Switch> pwd
flash:/test
----Fin
Archivos de configuración
Archivo de configuración de switch
#
sysname Switch
#
return
Descripción general
Después de configurar un switch como servidor FTP, los usuarios pueden acceder al switch
mediante el software cliente FTP en los terminales locales. Los usuarios pueden administrar
los archivos entre el switch y los terminales locales. La configuración para administrar los
archivos mediante FTP es simple, y el FTP admite la transferencia de archivos y la gestión de
directorios de archivos.
FTP proporciona las funciones de autorización y autenticación para administrar los archivos.
Sin embargo, los datos se transfieren en texto sin formato, lo que trae riesgos de seguridad.
El FTP es aplicable a la gestión de archivos cuando no se requiere una alta seguridad de red, a
menudo se usa en las actualizaciones de la versión.
Notas de configuración
l Antes de administrar los archivos mediante FTP, complete las siguientes tareas:
– Asegúrese de que las rutas sean accesibles entre el terminal y el switch.
– Asegúrese de que el software de cliente FTP esté instalado en el terminal.
l FTP es un protocolo inseguro. Se recomienda el uso de SFTP V2, Secure Copy Protocol
(SCP) o FTPS.
l Si el número de los usuarios de FTP en el switch alcanza el valor máximo (5), los nuevos
usuarios autorizados no pueden iniciar sesión. Para garantizar que los nuevos usuarios de
FTP inicien sesión con éxito en el switch, los usuarios FTP que hayan completado las
operaciones de archivos deben desconectarse.
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
NOTA
A continuación, se utilizan las líneas de comando y las salidas del S5300LI que ejecuta V200R006C00 como
ejemplo.
Requisitos de red
Como se muestra en Figura 3-17, el ordenador se conecta al switch, y la dirección IP de la
interfaz de red de gestión en el switch es 10.136.23.5. El switch debe ser actualizado. El
switch debe funcionar como el servidor FTP, de modo que pueda subir el software del sistema
desde el ordenador al switch y hacer una copia de seguridad del archivo de configuración en
el ordenador.
Figura 3-17 Diagrama de redes para administrar los archivos mediante FTP
10.136.23.5/24
Internet
Ordenador FTP_Servidor
Procedimiento
Paso 1 Configure la función de FTP para el switch y la información sobre un usuario de FTP.
<Quidway> system-view
[Quidway] sysname FTP_Server
[FTP_Server] ftp server enable //Habilite la función del servidor FTP.
[FTP_Server] aaa
[FTP_Server-aaa] local-user admin1234 password irreversible-cipher
Helloworld@6789 //Establezca la contraseña del inicio de sesión a
Helloworld@6789.
[FTP_Server-aaa] local-user admin1234 privilege level 15 //Esteblezca el nivel
de usuario a 15.
[FTP_Server-aaa] local-user admin1234 service-type ftp //Esteblezca el tipo de
servicio del usuario a SFTP.
[FTP_Server-aaa] local-user admin1234 ftp-directory flash:/ //Establezca el
directorio autorizado del servicio SFTP para flash:/.
[FTP_Server-aaa] quit
[FTP_Server] quit
Paso 3 Establezca una conexión FTP entre el ordenador y el switch. Introduzca el nombre de usuario
admin1234 y la contraseña Helloworld@6789 y configure el modo de transferencia de
archivos como binary.
El siguiente ejemplo asume que el ordenador ejecuta el sistema operativo Windows XP.
El modo ASCII se usa para transferir los archivos de texto, y el modo binary se usa para
transferir los programas, incluido el software del sistema (con la extensión de nombre de
archivo de .cc, .bin, o .pat), imágenes, voces, vídeos, paquetes comprimidos y archivos de
bases de datos.
Paso 4 Suba el software del sistema al switch y haga una copia de seguridad del archivo de
configuración del switch al ordenador.
# Suba el software del sistema al switch.
ftp> put devicesoft.cc
200 Port command okay.
150 Opening BINARY mode data connection for devicesoft.cc
226 Transfer complete.
ftp: 106616955 bytes sent in 151.05 Seconds 560.79Kbytes/sec.
NOTA
Antes de subir y descargar los archivos en el servidor FTP, determine el directorio de trabajo FTP en el
cliente FTP. Por ejemplo, el directorio de trabajo FTP predeterminado en el sistema operativo Windows
XP es el directorio de trabajo del usuario de inicio de sesión (como C:\Documents and Settings
\Administrator). Este directorio también almacena el software del sistema que se subirá y el archivo de
configuración de la copia de seguridad.
----Fin
Archivos de configuración
Archivo de configuración de FTP_Server
#
sysname FTP_Server
#
FTP server enable
#
aaa
local-user admin1234 password irreversible-cipher %^%#-=9Z)M,-aL$_U%#$W^1T-\}Fqpe
$E<#H$J<6@KTSL/J'\}I-%^%#
local-user admin1234 privilege level 15
local-user admin1234 ftp-directory flash:/
local-user admin1234 service-type ftp
#
return
Notas de configuración
l Antes de administrar los archivos mediante SFTP, complete las siguientes tareas:
– Asegúrese de que las rutas sean accesibles entre el terminal y el switch.
– Asegúrese de que el software de cliente SSH esté instalado en la terminal.
l SFTP V1 es un protocolo inseguro. Se recomienda el uso de SFTP V2 o FTPS.
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
NOTA
A continuación, se utilizan las líneas de comando y las salidas del S5300LI que ejecuta V200R006C00 como
ejemplo.
Requisitos de red
Como se muestra en Figura 3-18, el ordenador se conecta al switch, y la dirección IP de la
interfaz de red de gestión en el switch es 10.136.23.4. Los archivos deben transferirse de
forma segura entre el ordenador y el switch para evitar los ataques man-in-the-middle y
algunos ataques de red (como DNS spoofing y IP spoofing). Configure el switch como el
servidor SSH para proporcionar el servicio de SFTP para que el servidor SSH pueda
autenticar al cliente y cifrar los datos en modo bidireccional para garantizar la transferencia
segura de archivos.
Figura 3-18 Diagrama de redes para administrar los archivos mediante SFTP
10.136.23.4/24
Internet
Ordenador SSH_Servidor
Procedimiento
Paso 1 Genere un par de claves locales en el servidor SSH y active la función del servidor SFTP.
<Quidway> system-view
[Quidway] sysname SSH_Server
[SSH_Server] dsa local-key-pair create //Genere un par de claves DSA locales.
Info: The key name will be:
SSH_Server_Host_DSA.
Info: The key modulus can be any one of the following : 1024,
2048.
Info: If the key modulus is greater than 512, it may take a few
minutes.
Please input the modulus [default=2048]: //Presione Enter. Se utiliza la
longitud de clave por defecto (2048
bits).
Info: Generating
keys...
NOTA
Asegúrese de que la versión de OpenSSH está coincida con el sistema operativo del ordenador. De lo
contrario, es posible que no pueda acceder al switch con SFTP.
----Fin
Archivos de configuración
Archivo de configuración de SSH_Server
#
sysname SSH_Server
#
aaa
local-user client001 password irreversible-cipher %^%#-=9Z)M,-aL$_U%#$W^1T-\}Fqpe
$E<#H$J<6@KTSL/J'\}I-%^%#
local-user client001 privilege level 15
local-user client001 service-type ssh
#
sftp server enable
ssh user client001
ssh user client001 authentication-type password
ssh user client001 service-type sftp
ssh user client001 sftp-directory flash:
#
user-interface vty 0 14
authentication-mode aaa
#
return
Descripción general
Después de configurar un switch como un cliente TFTP, puede acceder al servidor TFTP
remoto para subir y descargar los archivos en el servidor TFTP. Cuando accede a otros
dispositivos mediante TFTP, no necesita introducir el nombre de usuario o la contraseña, lo
que simplifica el intercambio de información. El TFTP no tiene mecanismo de autorización o
autenticación y transfiere los datos en texto sin formato, lo que genera los riesgos de
seguridad, es vulnerable a los virus y ataques de red. Tenga cuidado al usar TFTP.
En una LAN de buen rendimiento en un laboratorio, TFTP se puede utilizar para cargar y
actualizar el software del sistema.
Notas de configuración
l Antes de acceder a los archivos en el servidor TFTP, asegúrese de que las rutas sean
accesibles entre el switch y el servidor TFTP.
l El switch solo puede funcionar como un cliente TFTP.
l El modo TFTP solo admite la transferencia de archivos, pero no admite la interacción.
l El TFTP no tiene mecanismo de autorización o autenticación y transfiere los datos en
texto sin formato, lo que genera los riesgos de seguridad, es vulnerable a los virus y
ataques de red.
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
NOTA
A continuación, se utilizan las líneas de comando y las salidas del S5300LI que ejecuta V200R006C00 como
ejemplo.
Requisitos de red
Como se muestra en Figura 3-20, el servidor remoto en la dirección IP 10.1.1.1/24 funciona
como el servidor TFTP. El switch en la dirección IP 10.2.1.1/24 funciona como el cliente
TFTP y tiene rutas accesibles al servidor TFTP.
El switch debe ser actualizado. Debe descargar el software del sistema desde el servidor TFTP
al switch y realizar una copia de seguridad del archivo de configuración actual del switch al
servidor TFTP.
Figura 3-20 Diagrama de redes para acceder a los archivos en otro dispositivo mediante
TFTP
10.2.1.1/24 10.1.1.1/24
Internet
Procedimiento
Paso 1 Ejecute el software TFTP en el servidor TFTP y configure el directorio de trabajo TFTP. Para
las operaciones detalladas, consulte el documento de asistencia del software TFTP de
terceros.
----Fin
Archivos de configuración
Ninguna
Notas de configuración
l Antes de acceder a los archivos en el servidor FTP, asegúrese de que las rutas sean
accesibles entre el switch y el servidor FTP.
l FTP es un protocolo inseguro. Se recomienda el uso de SFTP V2, Secure Copy Protocol
(SCP) o FTPS.
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
NOTA
A continuación, se utilizan las líneas de comando y las salidas del S5300LI que ejecuta V200R006C00 como
ejemplo.
Requisitos de red
Como se muestra en Figura 3-21, el servidor remoto en la dirección IP 10.1.1.1/24 funciona
como el servidor FTP. El switch en la dirección IP 10.2.1.1/24 funciona como el cliente FTP y
tiene rutas accesibles al servidor FTP.
El switch debe ser actualizado. Debe descargar el software del sistema desde el servidor FTP
al switch y realizar una copia de seguridad del archivo de configuración actual del switch al
servidor FTP.
Figura 3-21 Diagrama de redes para acceder a los archivos en otro dispositivo mediante FTP
10.2.1.1/24 10.1.1.1/24
Internet
Procedimiento
Paso 1 Ejecute el software FTP en el servidor FTP y configure un usuario FTP. Para las operaciones
detalladas, consulte el documento de asistencia del software FTP de terceros.
Paso 2 Establezca una conexión FTP entre el switch y el servidor FTP.
<Quidway> ftp 10.1.1.1
Trying 10.1.1.1 ...
Press CTRL+K to abort
Connected to 10.1.1.1.
220 FTP service ready.
User(10.1.1.1:(none)):admin
331 Password required for admin.
Enter password:
230 User logged in.
El modo ASCII se usa para transferir los archivos de texto, y el modo binary se usa para
transferir los programas, incluido el software del sistema (con la extensión de nombre de
archivo de .cc, .bin, o .pat), imágenes, voces, vídeos, paquetes comprimidos y archivos de
bases de datos.
Paso 4 Verifique la configuración
# Ejecute el comando dir en el switch para verificar si el software del sistema se descarga al
switch.
<Quidway> dir
Directory of flash:/
----Fin
Archivos de configuración
Ninguna
Notas de configuración
l Antes de acceder a los archivos en el servidor SSH mediante SFTP, asegúrese de que las
rutas sean accesibles entre el switch y el servidor SSH.
l SFTP V1 es un protocolo inseguro. Se recomienda el uso de SFTP V2 o FTPS.
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
NOTA
A continuación, se utilizan las líneas de comando y las salidas del S5300LI que ejecuta V200R006C00 como
ejemplo.
Requisitos de red
Como se muestra en Figura 3-22, las rutas entre el servidor SSH y los clientes client001 y
client002 son alcanzables. En este ejemplo, se utiliza un switch de Huawei como servidor
SSH.
Los clientes client001 y client002 deben conectarse al servidor SSH en los modos de
autenticación de contraseña y DSA respectivamente, para garantizar el acceso seguro a los
archivos en el servidor SSH.
Figura 3-22 Diagrama de redes para acceder a los archivos de otro dispositivo mediante
SFTP
10.2.1.1/24
client001 10.1.1.1/24
Internet
SSH Servidor
10.3.1.1/24
client002
Procedimiento
Paso 1 En el servidor SSH, genere un par de claves locales y habilite la función del servidor SFTP.
<Quidway> system-view
[Quidway] sysname SSH Server
[SSH Server] dsa local-key-pair create //Genere un par de claves DSA locales.
Info: The key name will be: SSH
Server_Host_DSA.
Info: The key modulus can be any one of the following : 1024,
2048.
Info: If the key modulus is greater than 512, it may take a few
minutes.
Please input the modulus [default=2048]: //Presione Enter. Se utiliza la
longitud de clave por defecto (2048 bits).
Info: Generating
keys........
# Cree un usuario SSH nombrado client002 y configure el modo de autenticación DSA para
el usuario.
[SSH Server] ssh user client002 //Cree un usuario SSH.
[SSH Server] ssh user client002 authentication-type dsa //Esteblezca el modo de
autenticación para la autenticación DSA.
[SSH Server] ssh user client002 service-type sftp //Esteblezca el tipo de
servicio del usuario a SFTP.
[SSH Server] ssh user client002 sftp-directory flash: //Establezca el
directorio autorizado del servicio SFTP para flash:.
Paso 3 Genere un par de claves locales en client002 y configure la clave pública DSA generada en el
servidor SSH.
# Genera un par de claves locales en client002.
<Quidway> system-view
[Quidway] sysname client002
[client002] dsa local-key-pair create //Genere un par de claves DSA locales.
Info: The key name will be: SSH
Server_Host_DSA.
Info: The key modulus can be any one of the following : 1024,
2048.
Info: If the key modulus is greater than 512, it may take a few
minutes.
Please input the modulus [default=2048]: //Presione Enter. Se utiliza la
longitud de clave por defecto (2048 bits).
Info: Generating
keys........
=====================================================
Key name :
client002_Host_DSA
Key modulus :
2048
Key fingerprint:
b7:68:86:90:d8:19:f3:e6:4a:f2:e9:fd:e4:24:ef:a5
=====================================================
Key code:
30820322
02820100
0214
02820100
7CB5BBFD
02820100
FC38A462
AAAAB3NzaC1kc3MAAAEBAN7eulyCRNy45paRfO/rwLPm+2C
+i5420+TrnNbrf9IQ
IZrA9BrUe/HqzUNdOa+o
+stqeBkwXuFH5CiRLmBFKzfKF9YRwu5MRrS8dyZUwmhW
qZ7PpdgANnsxqQUi8TlJb0GC2/2qtZlzmrAhhYVqiB
+RlzaLktv2hJ0cdGuifhL5
iijkttBYfWVZeadQVBPpHvyWHD95IJYlz6jX1Gn6NaOeN7YUBH1TXc1jrzBYs6Jb
eccUtjJrfbYGfr8VPMGnILDhp+OcE/6zuibmsFLcW//ufFxSFI/
mwkBzj7uPBdQW
srXdcuNim7WSRL+fopxPzU6g7lAfxmldA9aNUZMk5JMAAAAVAMbEhOHwB2uK/
K0w
K5i1CjpUKr67AAABADrBF0bulZy9MPZpxX4pC8R8tbv9lq6SFXopxyNy/
ooC6+07
dr6BC0IhrY0y93I/g1n0a2b/eAXMP4bV1lvUJL1wZ37/Gs
+bPM4CzUBGVg2kIDYg
XG76sUhm5qEGDfYli+4xz+dLbFm0b+Wan75k+YLsNqZp/1l/
t5pW4y7BWgZZPRfE
Byn1h8d0lZAXYrCAcCRWSy7nnG4dhnk1SHbMZiodPeHRLHnhAsCxDlycRCizrrky
eCbUzeUYmpPqUx4P+CGZ7zXfA4l2RThDT/
OZJPBb8XrIjjQJkbXqCmKpFe5j9mDA
kjYMXS15avIw23Rh98Fbbbplye
+rJH2xPUlC4v8AAAEAVkz2m0fokxPL5DekN8U4
2SkvxBhh7W+pMLesuDOBY9PIqfwcZqY23Oi7/eJGojmX0wYTOWi8t09Qn/
LmeFNt
AEaxHc4nLmvjxDuyjoTSA/AAYJDYJ6HWZoScy3mzDCUtEMGuaL/
6SRUuH5wf9hMf
LZzmb6ETrf8S5RZWVyZv3TKm3/
FEAH7PNQYe8BYYG3SCfvgtqYQzRTZrDL6wLbCo
otdHydlhfz9CtIYH3gfhnjXoq/
X6HLQAFTexhBuoJ7nCtjC9c1HhJFicadQK2iY/
AOOu8jCp0l6vOUH4cniOONh6Mts9UiJNYnvZsjVJFzdkRsNpvcMBhK4/
NneGPPMN
+A==
ssh-dss AAAAB3NzaC1kc3MAAAEBAN7eulyCRNy45paRfO/rwLPm+2C+i5420+TrnNbrf9IQIZrA9BrUe/
HqzUNdOa+o+stqeBkwXuFH5CiRLmBFKzfKF9YRwu5MRrS8dyZU
wmhWqZ7PpdgANnsxqQUi8TlJb0GC2/2qtZlzmrAhhYVqiB
+RlzaLktv2hJ0cdGuifhL5iijkttBYfWVZeadQVBPpHvyWHD95IJYlz6jX1Gn6NaOeN7YUBH1TXc1jrzBY
s6Jb
eccUtjJrfbYGfr8VPMGnILDhp+OcE/6zuibmsFLcW//ufFxSFI/mwkBzj7uPBdQWsrXdcuNim7WSRL
+fopxPzU6g7lAfxmldA9aNUZMk5JMAAAAVAMbEhOHwB2uK/K0wK5i1
CjpUKr67AAABADrBF0bulZy9MPZpxX4pC8R8tbv9lq6SFXopxyNy/ooC6+07dr6BC0IhrY0y93I/
g1n0a2b/eAXMP4bV1lvUJL1wZ37/Gs+bPM4CzUBGVg2kIDYgXG76sUhm
5qEGDfYli+4xz+dLbFm0b+Wan75k+YLsNqZp/1l/
t5pW4y7BWgZZPRfEByn1h8d0lZAXYrCAcCRWSy7nnG4dhnk1SHbMZiodPeHRLHnhAsCxDlycRCizrrkyeC
bUzeUYmpPq
Ux4P+CGZ7zXfA4l2RThDT/OZJPBb8XrIjjQJkbXqCmKpFe5j9mDAkjYMXS15avIw23Rh98Fbbbplye
+rJH2xPUlC4v8AAAEAVkz2m0fokxPL5DekN8U42SkvxBhh7W+pMLes
uDOBY9PIqfwcZqY23Oi7/eJGojmX0wYTOWi8t09Qn/LmeFNtAEaxHc4nLmvjxDuyjoTSA/
AAYJDYJ6HWZoScy3mzDCUtEMGuaL/6SRUuH5wf9hMfLZzmb6ETrf8S5RZWVyZv
3TKm3/FEAH7PNQYe8BYYG3SCfvgtqYQzRTZrDL6wLbCootdHydlhfz9CtIYH3gfhnjXoq/
X6HLQAFTexhBuoJ7nCtjC9c1HhJFicadQK2iY/AOOu8jCp0l6vOUH4cniOONh6
Mts9UiJNYnvZsjVJFzdkRsNpvcMBhK4/NneGPPMN+A== dsa-key
# Configure la clave pública DSA generada en el servidor SSH. La parte en negrita de la
salida del comando display indica la clave pública DSA generada. Copie la clave al servidor
SSH.
[SSH Server] dsa peer-public-key dsakey001 encoding-type der
[SSH Server-dsa-public-key] public-key-code begin
[SSH Server-dsa-key-
code]30820322
[SSH Server-dsa-key-
code]02820100
3F86D5D6
[SSH Server-dsa-key-code]5BD424BD 70677EFF 1ACF9B3C CE02CD40
46560DA4
[SSH Server-dsa-key-code]2036205C 6EFAB148 66E6A106 0DF6258B
EE31CFE7
[SSH Server-dsa-key-code]4B6C59B4 6FE59A9F BE64F982 EC36A669
FF597FB7
[SSH Server-dsa-key-code]9A56E32E C15A0659 3D17C407 29F587C7
74959017
[SSH Server-dsa-key-code]62B08070 24564B2E E79C6E1D 86793548
76CC662A
[SSH Server-dsa-key-code]1D3DE1D1 2C79E102 C0B10E5C 9C4428B3
AEB93278
[SSH Server-dsa-key-code]26D4CDE5 189A93EA 531E0FF8 2199EF35
DF038976
[SSH Server-dsa-key-code]4538434F F39924F0 5BF17AC8 8E340991
B5EA0A62
[SSH Server-dsa-key-code]A915EE63 F660C092 360C5D2D 796AF230
DB7461F7
[SSH Server-dsa-key-code]C15B6DBA 65C9EFAB 247DB13D
4942E2FF
[SSH Server-dsa-key-
code]02820100
Trying
10.1.1.1 ...
Press CTRL+K to
abort
Connected to
10.1.1.1 ...
password:SSH_SERVER_CODE
Please select public key type for user authentication [R for RSA; D for DSA;
Enter for Skip publickey authentication; Ctrl_C for Cancel], Please select [R, D,
Enter or
Ctrl_C]:D
Enter
password:
sftp-client>
Trying
10.1.1.1 ...
Press CTRL+K to
abort
Connected to
10.1.1.1 ...
password:SSH_SERVER_CODE
Please select public key type for user authentication [R for RSA; D for DSA;
Enter for Skip publickey authentication; Ctrl_C for Cancel], Please select [R, D,
Enter or
Ctrl_C]:D
sftp-client>
----Fin
Archivos de configuración
l Archivo de configuración del servidor SSH
#
sysname SSH Server
#
dsa peer-public-key dsakey001 encoding-type der
public-key-code begin
30820322
02820100
0214
02820100
02820100
#
sysname client002
#
ssh client first-time enable
#
return
Los siguientes modelos de switches pueden configurar un sistema de pila en este escenario:
S6300EI, S6320HI, S5300HI, S5310EI, S5300EI, S5300SI, S5320EI, S5320HI y S6320EI.
En este escenario, cada switch en una pila se conecta a un dispositivo de core a través de Eth-
Trunk. El sistema de pila simplifica la gestión de los dispositivos de agregación y mejora la
confiabilidad del enlace ascendente de los dispositivos de acceso.
Agregación Stack
Acceso
AP
Usuario
Core CSS
AC
Agregación
Stack
Acceso
AP
Usuario
AC
Agregación
Acceso
Stack Stack
1 2
Stack
3
Usuario AP
Recomendaciones
NOTA
Las siguientes recomendaciones se proporcionan en función del posicionamiento de los modelos de switch
fijo. Si los clientes tienen requisitos especiales, se recomienda desplegar los dispositivos de gama alta en una
capa de red inferior; no se recomienda desplegar los dispositivos de gama baja en una capa de red superior.
Por ejemplo, se recomienda desplegar los switches de agregación en la capa de acceso en lugar de desplegar
los switches de acceso en la capa de agregación.
Para garantizar la confiabilidad de la pila y el ancho de banda, se recomienda hacer lo siguiente:
l Asegúrese de que cada dispositivo de miembro se conecte al dispositivo de core a través de un puerto
de enlace ascendente. Esta conexión evita que el reenvío de tráfico ascendente se vea afectado cuando
falla cualquier dispositivo de miembro.
l Cuando use varios dispositivos para configurar una pila, asegúrese de que haya el mismo ancho de
banda entre dos dispositivos. De lo contrario, el ancho de banda del sistema de pila es el ancho de
banda de pila mínimo.
Master
iStack
iStack
Topología de Topología de
cadena anillo
Figura 4-5 Solo un puerto de pila lógico entre dos dispositivos de miembro
Enlace del puerto de pila
lógico
l Dos dispositivos pueden configurar una pila en una red back-to-back, como se muestra
en Figura 4-6. En esta red, existen dos puertos lógicos de pila entre los dos dispositivos,
y existe un bucle en la pila, que será eliminado automáticamente por el sistema.
Figura 4-6 Dos puertos de pila lógicos entre dos dispositivos de miembro
Cuando se usan dos dispositivos para configurar una pila, se recomienda hacer lo siguiente:
l Si los dispositivos brindan no más que 28 puertos, use la red con solo un puerto de pila
lógico. De lo contrario, use la red back-to-back.
l Si es necesario agregar más dispositivos de miembro a la pila en el futuro, use la red
back-to-back, que requerirá una modificación mínima en el sistema existente.
l Conecte al menos dos cables de pila entre los dos dispositivos para garantizar la
confiabilidad.
l Cuando una pila se conecta a los dispositivos de acceso, configure los puertos
directamente conectados a los terminales como puertos de borde STP para evitar el
recálculo de STP cuando los puertos se alternen entre los estados de Up y Down. Esta
configuración asegura el reenvío de tráfico normal.
l Si se necesita configurar el control de tormentas en muchos puertos, reemplace el control
de tormentas con supresión de tráfico para ahorrar los recursos de CPU.
l Si la seguridad del puerto necesita configurarse en muchos puertos, reemplace la
seguridad del puerto con la limitación de aprendizaje de la dirección MAC para ahorrar
los recursos de la CPU.
l Pueden ocurrir bucles en una red a la que se conecta una pila. Ejecute el comando mac-
address flapping action error-down para establecer una interfaz al estado de error-
down cuando se detecta cambio del direccionamiento MAC en la interfaz. Esto mejora el
rendimiento del procesamiento del sistema y permite que el dispositivo del otro extremo
detecte que la interfaz está Down. Además, si el dispositivo del otro extremo tiene
enlaces redundantes, el tráfico puede cambiar rápidamente a un enlace normal.
Los switches pueden conformar una pila a través de la conexión de tarjetas de apilamiento y la conexión
de puertos de servicio según los tipos de puerto de apilamiento. Las conexiones de puertos de servicio se
clasifican en comunes y dedicadas según los tipos de cable.
l Conexión de cable común: Los switches usan cables ópticos, cables de red y cables de alta
velocidad para conformar una pila.
l Conexión de cable dedicada: Los switches usan cables de apilamiento dedicados para conformar
una pila. Este modo de conexión también se denomina "apilamiento con configuración cero".
S2300SI No se admite -
S3300HI No se admite -
S5306LI No se admite -
l Para los cables que se pueden usar como cables de apilamiento, consulte la sección "Cables" de la
Descripción del hardware. El uso de otros cables puede causar excepciones en el sistema de apilamiento;
por ejemplo, eventos frecuentes de error o desconexión en los puertos de apilamiento.
l Los puertos combinados no pueden funcionar como subpuertos de apilamiento.
l Desde la versión V200R011C10, los switches de las series S2320EI y S2350EI pueden conformar pilas en
modo de apilamiento de puertos de servicio utilizando cables de apilamiento dedicados.
l Se recomienda que la cantidad de S2300EI o S2350EI utilizados para establecer una pila sea de 2 a 5, y se
recomienda que la cantidad de S2320EI utilizados para establecer una pila sea de 2 a 9.
S230 Primeros dos Cable de pila 2,5 l Entre los switches S2300EI, solo el
0EI puertos GE SFP de 1,5 m Gbit/s S2352P-EI-AC y el S2352P-EI-DCI
del panel admiten la función de apilamiento. Se
frontal puede establecer una pila entre el
S2352P-EI-AC y el S2352P-EI-DC.
l Un switch admite un máximo de dos
puertos lógicos de apilamiento, y
cada puerto lógico de apilamiento
contiene un subpuerto de
apilamiento. Un switch admite un
máximo de dos subpuertos de
apilamiento.
l Para los cables que se pueden usar como cables de apilamiento, consulte la sección "Cables" de la
Descripción del hardware. El uso de otros cables puede causar excepciones en el sistema de apilamiento;
por ejemplo, eventos frecuentes de error o desconexión en los puertos de apilamiento.
l Los puertos combinados no pueden funcionar como subpuertos de apilamiento.
l Algunos puertos de servicio compatibles con el apilamiento se pueden usar como puertos de apilamiento,
mientras que otros se pueden usar como puertos de servicio comunes.
l Se recomienda que la cantidad de switches apilados sea de 2 a 5.
S330 Primeros dos Cable de pila 2,5 l Todos los modelos admiten la
0EI puertos GE SFP de 1,5 m Gbit/s función de apilamiento, excepto que
del panel no se puede configurar una pila entre
frontal el S3352EI y el S3328EI.
l Un switch admite un máximo de dos
puertos lógicos de apilamiento, y
cada puerto lógico de apilamiento
contiene un subpuerto de
apilamiento. Un switch admite un
máximo de dos subpuertos de
apilamiento.
S330 Primeros dos Cable de pila 2,5 l Todos los modelos admiten la
0SI puertos GE SFP de 1,5 m Gbit/s función de apilamiento, excepto que
del panel no se puede configurar una pila entre
frontal el S3352SI y el S3328SI.
l Un switch admite un máximo de dos
puertos lógicos de apilamiento, y
cada puerto lógico de apilamiento
contiene un subpuerto de
apilamiento. Un switch admite un
máximo de dos subpuertos de
apilamiento.
l Para los cables que se pueden usar como cables de apilamiento, consulte la sección "Cables" de la
Descripción del hardware. El uso de otros cables puede causar excepciones en el sistema de apilamiento;
por ejemplo, eventos frecuentes de error o desconexión en los puertos de apilamiento.
l Se recomienda que la cantidad de switches apilados sea de 2 a 5.
l Para los cables que se pueden usar como cables de apilamiento, consulte la sección "Cables" de la
Descripción del hardware. El uso de otros cables puede causar excepciones en el sistema de
apilamiento; por ejemplo, eventos frecuentes de error o desconexión en los puertos de apilamiento.
l Los puertos combinados no pueden funcionar como subpuertos de apilamiento.
l Algunos puertos de servicio compatibles con el apilamiento se pueden usar como puertos de
apilamiento, mientras que otros se pueden usar como puertos de servicio comunes.
l Se recomienda que la cantidad de switches apilados sea de 2 a 5.
l Para los cables que se pueden usar como cables de apilamiento, consulte la sección "Cables" de la
Descripción del hardware. El uso de otros cables puede causar excepciones en el sistema de
apilamiento; por ejemplo, eventos frecuentes de error o desconexión en los puertos de apilamiento.
l Los puertos combinados no pueden funcionar como subpuertos de apilamiento.
l Algunos puertos de servicio compatibles con el apilamiento se pueden usar como puertos de
apilamiento, mientras que otros se pueden usar como puertos de servicio comunes.
l Desde V200R011C10, los switches de la serie S5320HI pueden configurar pilas en el modo de
apilamiento del puerto de servicio mediante cables de apilamiento dedicados.
l Se recomienda que la cantidad de switches apilados sea de 2 a 9.
Puertos en l Cables de 10
una tarjeta de cobre de Gbit/s
interfaz alta
10GE de 4 velocidad
puertos SFP+
pasivos de
1 m, 3 m
y5m
l Cables de
cobre de
alta
velocidad
SFP+
activos de
10 m
l Cables
AOC de 3
m y 10 m
l Módulo
óptico
10GE
SFP+ y
fibra
óptica
l Para los cables que se pueden usar como cables de apilamiento, consulte la sección "Cables" de la
Descripción del hardware. El uso de otros cables puede causar excepciones en el sistema de
apilamiento; por ejemplo, eventos frecuentes de error o desconexión en los puertos de apilamiento.
l Los puertos combinados no pueden funcionar como subpuertos de apilamiento.
l Los switches de la serie S5300LI se clasifican en S5300-P-LI, S5300-TP-LI y S5300-X-LI según sus
tipos de interfaces de enlace ascendente. No se puede conformar una pila entre S5300-P-LI, S5300-
TP-LI y S5300-X-LI.
l Desde la versión V200R011C10, los switches S5300LI pueden conformar pilas en el modo de
apilamiento de puertos de servicio utilizando cables de apilamiento dedicados.
l Se recomienda que la cantidad de switches apilados sea de 2 a 5.
po to
ste dedicado
rio SFP+ de
re 0,5 m y
s: 1,5 m
lo (admitido
s en
cu V200R01
atr 1C10 y
o versiones
últ posteriore
im s)
os
pu
ert
os
óp
tic
os
SF
P
1C10 y
versiones
posteriore
s)
versiones
posteriore
s)
l Módulo
óptico
10GE
SFP+ y
fibra
óptica
l Cable de
apilamien
to
dedicado
SFP+ de
0,5 m y
1,5 m
(admitido
en
V200R01
1C10 y
versiones
posteriore
s)
l Para los cables que se pueden usar como cables de apilamiento, consulte la sección "Cables" de la
Descripción del hardware. El uso de otros cables puede causar excepciones en el sistema de apilamiento;
por ejemplo, eventos frecuentes de error o desconexión en los puertos de apilamiento.
l Los puertos combinados no pueden funcionar como subpuertos de apilamiento.
l Algunos puertos de servicio compatibles con el apilamiento se pueden usar como puertos de apilamiento,
mientras que otros se pueden usar como puertos de servicio comunes.
l Se recomienda que la cantidad de switches apilados sea de 2 a 5.
l Para los cables que se pueden usar como cables de apilamiento, consulte la sección "Cables" de la
Descripción del hardware. El uso de otros cables puede causar excepciones en el sistema de
apilamiento; por ejemplo, eventos frecuentes de error o desconexión en los puertos de apilamiento.
l Los switches de la serie S5320EI se clasifican en S5320-C-EI, S5320-PC-EI, S5320-X-EI y S5320-
P-EI en función de sus tipos de interfaces de enlace ascendente.
l En V200R009C00 y versiones posteriores, si hay switches S5320EI sin capacidad de MPLS en una
pila, esta pila no puede tener habilitada la función MPLS. Si los dispositivos que forman parte de
una pila están ejecutando servicios MPLS, no se permite añadir switches S5320EI sin capacidad de
MPLS a la pila. Para comprobar si los S5320EI son compatibles con MPLS, ejecute el comando
display device capability.
l Se recomienda que la cantidad de switches apilados sea de 2 a 9.
l Para los cables que se pueden usar como cables de apilamiento, consulte la sección "Cables" de la
Descripción del hardware. El uso de otros cables puede causar excepciones en el sistema de
apilamiento; por ejemplo, eventos frecuentes de error o desconexión en los puertos de apilamiento.
l Los puertos combinados no pueden funcionar como subpuertos de apilamiento.
l Algunos puertos de servicio compatibles con el apilamiento se pueden usar como puertos de
apilamiento, mientras que otros se pueden usar como puertos de servicio comunes.
l Los switches de la serie S5320LI se clasifican en S5320-P-LI, S5320-TP-LI y S5320-X-LI según sus
tipos de interfaces de enlace ascendente. Se puede configurar una pila entre el S5320-P-LI, el
S5320-TP-LI y el S5320-X-LI si estos switches utilizan los mismos tipos de puerto de apilamiento.
Es decir, todos usan puertos eléctricos del panel frontal o usan puertos ópticos SFP o SFP+.
l Desde la versión V200R011C10, los switches S5320LI pueden conformar pilas en el modo de
apilamiento de puertos de servicio utilizando cables de apilamiento dedicados.
l Se recomienda que la cantidad de switches apilados sea de 2 a 9.
S532 Dos puertos l Cables de 2,5 l Cuando los puertos ópticos SFP se
0-TP- ópticos SFP cobre de Gbit/s usan como puertos de apilamiento,
LI alta Un switch admite un máximo de dos
velocidad puertos lógicos de apilamiento, y
SFP+ cada puerto lógico de apilamiento
pasivos de admite un máximo de dos subpuertos
1 m, 3 m de apilamiento. Cada switch puede
y5m usar un máximo de dos puertos de
l Cables de servicio como subpuertos de
cobre de apilamiento.
alta l Cuando los puertos eléctricos del
velocidad panel frontal se usan como puertos de
SFP+ apilamiento, un switch admite un
activos de máximo de dos puertos lógicos de
10 m apilamiento, y cada puerto lógico de
l Cables apilamiento admite al menos un
AOC de 3 subpuerto de apilamiento y como
m y 10 m máximo ocho subpuertos de
apilamiento. Un switch admite un
l Módulo máximo de ocho subpuertos de
óptico de apilamiento.
apilamien
to 6GE
(SFP-6GE
-LR) y
fibra
óptica
l Cable de
apilamien
to
dedicado
SFP+ de
0,5 m y
1,5 m
(admitido
en
V200R01
1C10 y
versiones
posteriore
s)
l Para los cables que se pueden usar como cables de apilamiento, consulte la sección "Cables" de la
Descripción del hardware. El uso de otros cables puede causar excepciones en el sistema de
apilamiento; por ejemplo, eventos frecuentes de error o desconexión en los puertos de apilamiento.
l Los puertos combinados no pueden funcionar como subpuertos de apilamiento.
l Algunos puertos de servicio compatibles con el apilamiento se pueden usar como puertos de
apilamiento, mientras que otros se pueden usar como puertos de servicio comunes.
l Los switches de la serie S5320SI se clasifican en S5320-P-SI y S5320-X-SI en función de sus tipos
de interfaces de enlace ascendente.
l Cualquier modelo de la serie S5320SI puede conformar una pila. Cuando se debe conformar una pila
usando diferentes modelos, se deben usar puertos de apilamiento del mismo tipo. Es decir, todos
usan puertos eléctricos de los paneles frontales, sean puertos ópticos SFP+ o SFP.
l Desde la versión V200R011C10, los switches S5320SI pueden conformar pilas en el modo de
apilamiento de puertos de servicio utilizando cables de apilamiento dedicados.
l Se recomienda que la cantidad de switches apilados sea de 2 a 9.
SFP+ de
0,5 m y
1,5 m
(admitido
en
V200R01
1C10 y
versiones
posteriore
s)
l Para los cables que se pueden usar como cables de apilamiento, consulte la sección "Cables" de la
Descripción del hardware. El uso de otros cables puede causar excepciones en el sistema de
apilamiento; por ejemplo, eventos frecuentes de error o desconexión en los puertos de apilamiento.
l El apilamiento de las tarjetas de pila y el apilamiento de los puertos de servicio (incluido el
apilamiento de cables ordinario y el apilamiento de cables de pila dedicado) no se pueden usar
juntos. Si las configuraciones de los puertos de servicio son correctas, se prefiere el apilamiento de
los puertos de servicio sobre la pila y el apilamiento. Si se ha utilizado el apilamiento de las tarjetas
de pila para establecer una pila, para utilizar el apilamiento de los puertos de servicio para establecer
la pila, debe reiniciar la pila para que el apilamiento de los puertos de servicio surta efecto después
de configurar el apilamiento de los puertos de servicio.
l Puertos 40GE en la tarjeta de pila LS5D21VST000 no se pueden usar juntos con puertos 40GE en la
tarjeta ES5D21Q04Q01 para establecer una pila.
l Se recomienda que la cantidad de switches apilados sea de 2 a 9.
S5330S Dos puertos de l cables de alta Cualquier modelo del S5330SI puede
I pila en la tarjeta velocidad establecer una pila.
de pila dedicada pasivos 1 m, 3
LS5D21VST000 m, 5 m QSFP+
l Módulo óptico
QSFP+ (solo
QSFP-40G-
SR4 y
QSFP-40G-
iSR4) y fibra
óptica
l Cable AOC
QSFP+ 10 m
l Para los cables que se pueden usar como cables de apilamiento, consulte la sección "Cables" de la
Descripción del hardware. El uso de otros cables puede causar excepciones en el sistema de
apilamiento; por ejemplo, eventos frecuentes de error o desconexión en los puertos de apilamiento.
l Los puertos combinados no pueden funcionar como subpuertos de apilamiento.
l Algunos puertos de servicio compatibles con el apilamiento se pueden usar como puertos de
apilamiento, mientras que otros se pueden usar como puertos de servicio comunes.
l Se recomienda que la cantidad de switches apilados sea de 2 a 9.
l Para los cables que se pueden usar como cables de apilamiento, consulte la sección "Cables" de la
Descripción del hardware. El uso de otros cables puede causar excepciones en el sistema de
apilamiento; por ejemplo, eventos frecuentes de error o desconexión en los puertos de apilamiento.
l Los puertos combinados no pueden funcionar como subpuertos de apilamiento.
l Se recomienda que la cantidad de switches apilados sea de 2 a 5.
m y 10 m
(admitido
s en
V200R00
3y
versiones
posteriore
s)
l Módulo
óptico
10GE
SFP+ y
fibra
óptica
l Para los cables que se pueden usar como cables de apilamiento, consulte la sección "Cables" de la
Descripción del hardware. El uso de otros cables puede causar excepciones en el sistema de
apilamiento; por ejemplo, eventos frecuentes de error o desconexión en los puertos de apilamiento.
l Algunos puertos de servicio compatibles con el apilamiento se pueden usar como puertos de
apilamiento, mientras que otros se pueden usar como puertos de servicio comunes.
l Se recomienda que la cantidad de switches apilados sea de 2 a 9.
l Para los cables que se pueden usar como cables de apilamiento, consulte la sección "Cables" de la
Descripción del hardware. El uso de otros cables puede causar excepciones en el sistema de
apilamiento; por ejemplo, eventos frecuentes de error o desconexión en los puertos de apilamiento.
l Los puertos combinados no pueden funcionar como subpuertos de apilamiento.
l Desde la versión V200R011C10, los switches S6320EI pueden conformar pilas en el modo de
apilamiento de puertos de servicio utilizando cables de apilamiento dedicados.
l Se recomienda que la cantidad de switches apilados sea de 2 a 9.
l Para los cables que se pueden usar como cables de apilamiento, consulte la sección "Cables" de la
Descripción del hardware. El uso de otros cables puede causar excepciones en el sistema de
apilamiento; por ejemplo, eventos frecuentes de error o desconexión en los puertos de apilamiento.
l Los puertos combinados no pueden funcionar como subpuertos de apilamiento.
l Algunos puertos de servicio compatibles con el apilamiento se pueden usar como puertos de
apilamiento, mientras que otros se pueden usar como puertos de servicio comunes.
l Desde la versión V200R011C10, los switches S6320SI pueden conformar pilas en el modo de
apilamiento de puertos de servicio utilizando cables de apilamiento dedicados.
l Se recomienda que la cantidad de switches apilados sea de 2 a 9.
Requisitos de red
Una nueva red empresarial necesita proporcionar suficientes puertos para los dispositivos de
acceso, y la estructura de la red debe ser simple para facilitar la configuración y la gestión.
Como se muestra en Figura 4-7, SwitchA, SwitchB y SwitchC necesitan configurar una pila
en una topología de anillo y conectarse a SwitchD a través de un Eth-Trunk entre dispositivos.
SwitchA, SwitchB y SwitchC son los switches Master, standby y slave, respectivamente, con
los identificadores de pila de 0, 1 y 2 y las prioridades de pila de 200, 100 y 100. Como los
tres switches funcionan como un dispositivo lógico en la red , se aumenta la cantidad de
puertos y se simplifica la gestión y el mantenimiento de la red.
Red
SwitchD
GE0/0/1 GE0/0/3
GE0/0/2
Eth-Trunk 10
Pila
GE0/0/5 SwitchB
GE1/0/5 GE2/0/5
(Standby)
SwitchA STACK 2 STACK 2 SwitchC
(Master) STACK 1 STACK 1 (Slave)
STACK 2 STACK 1
Enlace MAD
Enlace de pila
Enlace común
Eth-Trunk
Procedimiento
Paso 1 Apague las fuentes de alimentación de SwitchA, SwitchB y SwitchC, instale una tarjeta de
pila ES5D00ETPC00 en cada switch y luego encienda los tres switches.
Paso 2 Habilite la función de apilamiento. Esta función está habilitada por defecto.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] stack enable
<Quidway> system-view
[Quidway] sysname SwitchB
[SwitchB] stack enable
<Quidway> system-view
[Quidway] sysname SwitchC
[SwitchC] stack enable
NOTA
Después de habilitar la función de apilamiento, reinicie el dispositivo para que la función de apilamiento
tiene efecto. Puede configurar la ID de pila y la prioridad de pila solo después de que la función de
apilamiento tiene efecto.
Paso 4 Desactive las fuentes de alimentación de SwitchA, SwitchB y SwitchC, conecte los puertos de
miembros físicos con cables PCIe como se muestra en Figura 4-8 y luego encienda los tres
switches.
SwitchA
SwitchB
SwitchC
NOTA
l Ejecute el comando save para guardar las configuraciones antes de apagar los switches.
l El puerto STACK 1 de un switch debe conectarse al puerto STACK 2 de otro switch. De lo
contrario, la pila no se puede configurar.
l Para garantizar que una pila se pueda configurar correctamente, se recomienda realizar operaciones
en la siguiente secuencia. Primero, encienda el switch que desea especificar como el switch
principal. En este ejemplo, SwitchA se convierte en el switch principal después de completar las
siguientes operaciones.
1. Apague el SwitchA, SwitchB y SwitchC.
2. Conecte SwitchA y SwitchB con un cable de pila.
3. Encienda e inicie el SwitchA y luego encienda el SwitchB.
4. Verifique si SwitchA y SwitchB configuran una pila correctamente. Para más detalles, vea el
paso 5.
5. Conecte SwitchC a SwitchB y SwitchA mediante cables de pila y luego encienda SwitchC.
6. Verifique si SwitchA, SwitchB y SwitchC configuran una pila correctamente. Para más detalles,
vea el paso 5.
l Los modelos S5300EI y S5300SI usan el mismo indicador de estado de modo para mostrar los modos de
pila y de velocidad. Después de presionar el botón MODE, el indicador está encendido en rojo sin
parpadear y apagado después de 45 segundos, lo que indica que el switch entra al modo de pila.
l El S5320EI tiene un indicador de modo de pila independiente (indicador STCK). Después de presionar el
botón MODE, el indicador está encendido en verde sin parpadear o parpadea, y se apaga después de 45
segundos, lo que indica que el switch entra al modo de pila.
# Cree un Eth-Trunk en SwitchD y configure los puertos conectados a la pila como puertos de
miembro de Eth-Trunk.
<Quidway> system-view
[Quidway] sysname SwitchD
[SwitchD] interface eth-trunk 10
[SwitchD-Eth-Trunk10] trunkport gigabitethernet 0/0/1
[SwitchD-Eth-Trunk10] trunkport gigabitethernet 0/0/2
[SwitchD-Eth-Trunk10] trunkport gigabitethernet 0/0/3
[SwitchD-Eth-Trunk10] quit
----Fin
Archivos de configuración
l Archivo de configuración de pila
#
sysname Stack
#
interface Eth-Trunk10
mad detect mode relay
#
interface GigabitEthernet0/0/5
eth-trunk 10
#
interface GigabitEthernet1/0/5
eth-trunk 10
#
interface GigabitEthernet2/0/5
eth-trunk 10
#
return
eth-trunk 10
#
interface GigabitEthernet0/0/3
eth-trunk 10
#
return
Red
SwitchD
Eth0/0/1 Eth0/0/3
Eth0/0/2
Eth-Trunk 10
Pila Eth1/0/5
SwitchB
Eth0/0/5 (Standby) Eth2/0/5
Enlace de pila
Enlace común
Eth-Trunk
1. La función de apilamiento está habilitada por defecto en el S3300EI. Por lo tanto, estos
switches pueden configurar una pila inmediatamente después de que se conecten
mediante cables de pila, sin configuración adicional. Para facilitar la gestión e
identificación del dispositivo, configure los nombres de los dispositivos, los
identificadores de pila y las prioridades de pila para los switches de miembro de pila.
2. Apague los switches SwitchA, SwitchB y SwitchC, conecte los puertos miembro físicos
mediante los cables de pila SFP, y luego encienda los tres switches.
3. Configure un Eth-Trunk entre dispositivos para aumentar la confiabilidad y el ancho de
banda del enlace ascendente.
Procedimiento
Paso 1 Configure los nombres de los dispositivos para diferenciarlos.
# Configure un nombre de dispositivo para SwitchA.
<Quidway> system-view
[Quidway] sysname SwitchA
Paso 3 Apague las fuentes de alimentación de SwitchA, SwitchB y SwitchC, conecte los puertos de
miembro físicos con cables de pila SFP como se muestra en Figura 4-10 y luego encienda los
tres switches.
SwitchA
GE0/0/1
GE0/0/2
SwitchB
GE0/0/1
GE0/0/2
SwitchC
GE0/0/1
NOTA
l Ejecute el comando save para guardar las configuraciones antes de apagar los switches.
l Para garantizar que una pila se pueda configurar exitosamente, se recomienda realizar operaciones
en la siguiente secuencia. Para especificar un switch de miembro como switch principal, primero
encienda este switch. En este ejemplo, SwitchA se convierte en el switch principal después de
completar las siguientes operaciones.
1. Apague el SwitchA, SwitchB y SwitchC.
2. Conecte SwitchA y SwitchB con un cable de pila.
3. Encienda e inicie el SwitchA y luego encienda el SwitchB.
4. Verifique si SwitchA y SwitchB configuran una pila exitosamente. Para más detalles, vea el paso
4.
5. Conecte SwitchC a SwitchB y SwitchA mediante los cables de pila y luego encienda SwitchC.
6. Verifique si SwitchA, SwitchB y SwitchC configuran una pila exitosamente. Para más detalles,
vea el paso 4.
# Cree un Eth-Trunk en SwitchD y configure los puertos conectados a la pila como puertos de
miembro de Eth-Trunk.
<Quidway> system-view
[Quidway] sysname SwitchD
[SwitchD] interface eth-trunk 10
[SwitchD-Eth-Trunk10] trunkport ethernet 0/0/1
[SwitchD-Eth-Trunk10] trunkport ethernet 0/0/2
[SwitchD-Eth-Trunk10] trunkport ethernet 0/0/3
[SwitchD-Eth-Trunk10] return
----Fin
Archivos de configuración
l Archivo de configuración de pila
#
sysname Stack
#
interface Eth-Trunk10
#
interface Ethernet0/0/5
eth-trunk 10
#
interface Ethernet1/0/5
eth-trunk 10
#
interface Ethernet2/0/5
eth-trunk 10
#
return
l Conexión de cable dedicado: Los switches usan cables dedicados a pila para configurar
una pila. Los dos extremos de un cable dedicado a pila son el extremo principal con la
etiqueta Master y el extremo secundario sin ninguna etiqueta.
Requisitos de red
Una nueva red empresarial necesita proporcionar suficientes puertos para los dispositivos de
acceso, y la estructura de la red debe ser simple para facilitar la configuración y la gestión.
Como se muestra en Figura 4-11, SwitchA, SwitchB y SwitchC necesitan configurar una pila
en una topología de anillo y conectarse a SwitchD a través de un Eth-Trunk entre dispositivos.
SwitchA, SwitchB y SwitchC son los switches Master, Standby y Slave, respectivamente, con
los identificadores de pila de 0, 1 y 2 y las prioridades de pila de 200, 100 y 100. Como los
tres switches funcionan como un dispositivo lógico en la red , se aumenta la cantidad de
puertos y se simplifica la gestión y el mantenimiento de la red.
Red
SwitchD
GE0/0/1 GE0/0/3
GE0/0/2
Eth-Trunk 10
Pila
GE0/0/5 SwitchB
GE1/0/5 GE2/0/5
(Standby)
SwitchA GE0/0/28 GE0/0/27 SwitchC
(Master) GE0/0/28 (Slave)
GE0/0/27 GE0/0/28
GE0/0/27
3. Apague los switches SwitchA, SwitchB y SwitchC, conecte los puertos de miembro
físicos con cables de pila SFP+ y luego encienda los tres switches.
4. Configure un Eth-Trunk entre dispositivos para aumentar la confiabilidad y el ancho de
banda del enlace ascendente.
5. Configure la detección de doble activos (DAD) en modo de retransmisión para garantizar
la disponibilidad de la red cuando la pila se divide.
Procedimiento
Paso 1 Configure los puertos de pila lógicos y agregue puertos de miembro físicos a ellos.
# Configure los puertos de servicio GigabitEthernet0/0/27 y GigabitEthernet0/0/28 en
SwitchA como puertos de miembro físicos y agréguelos a los puertos de pila lógicos
correspondientes.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] stack port interface gigabitethernet 0/0/27 enable
[SwitchA] stack port interface gigabitethernet 0/0/28 enable
[SwitchA] interface stack-port 0/1
[SwitchA-stack-port0/1] port member-group interface gigabitethernet 0/0/27
[SwitchA-stack-port0/1] quit
[SwitchA] interface stack-port 0/2
[SwitchA-stack-port0/2] port member-group interface gigabitethernet 0/0/28
[SwitchA-stack-port0/2] quit
Paso 3 Apague las fuentes de alimentación de SwitchA, SwitchB y SwitchC, conecte los puertos de
miembro físicos con cables de pila SFP+ como se muestra en Figura 4-12 y luego encienda
los tres switches.
stack-port 0/1
SwitchA
stack-port 0/2
stack-port 0/1
SwitchB
stack-port 0/2
stack-port 0/1
SwitchC
stack-port 0/2
NOTA
l Ejecute el comando save para guardar las configuraciones antes de apagar los switches.
l El puerto de pila 0/1 de un switch debe conectarse al puerto de pila 0/2 de otro switch. De lo
contrario, la pila no se puede configurar.
l Para garantizar que una pila se pueda configurar correctamente, se recomienda realizar operaciones
en la siguiente secuencia. Para especificar un switch de miembro como switch principal, primero
encienda este switch. En este ejemplo, SwitchA se convierte en el switch principal después de
completar las siguientes operaciones.
1. Apague el SwitchA, SwitchB y SwitchC.
2. Conecte SwitchA y SwitchB con un cable de pila.
3. Encienda e inicie el SwitchA y luego encienda el SwitchB.
4. Verifique si SwitchA y SwitchB configuran una pila exitosamente. Para más detalles, vea el paso
4.
5. Conecte SwitchC a SwitchB y SwitchA mediante cables de pila y luego encienda SwitchC.
6. Verifique si SwitchA, SwitchB y SwitchC configuran una pila exitosamente. Para más detalles,
vea el paso 4.
NOTA
# Cree un Eth-Trunk en SwitchD y configure los puertos conectados a la pila como puertos de
miembro de Eth-Trunk.
<Quidway> system-view
[Quidway] sysname SwitchD
[SwitchD] interface eth-trunk 10
[SwitchD-Eth-Trunk10] trunkport gigabitethernet 0/0/1
[SwitchD-Eth-Trunk10] trunkport gigabitethernet 0/0/2
[SwitchD-Eth-Trunk10] trunkport gigabitethernet 0/0/3
[SwitchD-Eth-Trunk10] quit
Paso 7 Configure DAD en modo de retransmisión en SwitchD y configure SwitchD como el agente
de retransmisión.
# En la pila, configure DAD en modo de retransmisión en el Eth-Trunk entre dispositivos.
[Stack] interface eth-trunk 10
[Stack-Eth-Trunk10] dual-active detect mode relay
[Stack-Eth-Trunk10] return
----Fin
Archivos de configuración
l Archivo de configuración de pila
#
sysname Stack
#
interface Eth-Trunk10
dual-active detect mode relay
#
interface GigabitEthernet0/0/5
eth-trunk 10
#
interface GigabitEthernet1/0/5
eth-trunk 10
#
interface GigabitEthernet2/0/5
eth-trunk 10
#
return
interface GigabitEthernet0/0/1
eth-trunk 10
#
interface GigabitEthernet0/0/2
eth-trunk 10
#
interface GigabitEthernet0/0/3
eth-trunk 10
#
return
Requisitos de red
Una nueva red empresarial necesita proporcionar suficientes puertos para los dispositivos de
acceso, y la estructura de la red debe ser simple para facilitar la configuración y la gestión.
Como se muestra en Figura 4-13, SwitchA, SwitchB y SwitchC necesitan configurar una pila
en una topología de anillo y conectarse a SwitchD a través de un Eth-Trunk entre dispositivos.
SwitchA, SwitchB y SwitchC son los switches Master, Standby y Slave, respectivamente, con
los identificadores de pila de 0, 1 y 2 y las prioridades de pila de 200, 100 y 100. Como los
tres switches funcionan como un dispositivo lógico en la red , se aumenta la cantidad de
puertos y se simplifica la gestión y el mantenimiento de la red.
En este ejemplo, los S5300-LI configuran una pila.
Red
SwitchD
GE0/0/1 GE0/0/3
GE0/0/2
Eth-Trunk 10
Pila
SwitchB
GE0/0/5 GE1/0/5 (Standby) GE2/0/5
SwitchA GE0/0/28 GE0/0/27 SwitchC
(Master) GE0/0/28 (Slave)
GE0/0/27 GE0/0/28
GE0/0/27
Enlace MAD
Enlace de pila
Enlace común
Eth-Trunk
Procedimiento
Paso 1 Configure los puertos de pila lógicos y agregue los puertos de miembro físicos a ellos.
# Configure los puertos de servicio GigabitEthernet0/0/27 y GigabitEthernet0/0/28 en
SwitchA como puertos de miembro físicos y agréguelos a los puertos de pila lógicos
correspondientes.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] interface stack-port 0/1
[SwitchA-stack-port0/1] port interface gigabitethernet 0/0/27 enable
[SwitchA-stack-port0/1] quit
[SwitchA] interface stack-port 0/2
[SwitchA-stack-port0/2] port interface gigabitethernet 0/0/28 enable
[SwitchA-stack-port0/2] quit
Paso 3 Apague las fuentes de alimentación de SwitchA, SwitchB y SwitchC, conecte los puertos de
miembro físicos con cables de pila SFP+ como se muestra en Figura 4-14 y luego encienda
los tres switches.
stack-port 0/1
SwitchA
stack-port 0/2
stack-port 0/1
SwitchB
stack-port 0/2
stack-port 0/1
SwitchC
stack-port 0/2
NOTA
l Ejecute el comando save para guardar las configuraciones antes de apagar los switches.
l El puerto de pila 0/1 de un switch debe conectarse al puerto de pila 0/2 de otro switch. De lo
contrario, la pila no se puede configurar.
l Para garantizar que una pila se pueda configurar correctamente, se recomienda realizar operaciones
en la siguiente secuencia. Para especificar un switch de miembro como switch principal, primero
encienda este switch. En este ejemplo, SwitchA se convierte en el switch principal después de
completar las siguientes operaciones.
1. Apague el SwitchA, SwitchB y SwitchC.
2. Conecte SwitchA y SwitchB con un cable de pila.
3. Encienda e inicie el SwitchA y luego encienda el SwitchB.
4. Verifique si SwitchA y SwitchB configuran una pila exitosamente. Para más detalles, vea el paso
4.
5. Conecte SwitchC a SwitchB y SwitchA mediante cables de pila y luego encienda SwitchC.
6. Verifique si SwitchA, SwitchB y SwitchC configuran una pila exitosamente. Para más detalles,
vea el paso 4.
NOTA
# Cree un Eth-Trunk en SwitchD y configure los puertos conectados a la pila como puertos de
miembro de Eth-Trunk.
<Quidway> system-view
[Quidway] sysname SwitchD
[SwitchD] interface eth-trunk 10
[SwitchD-Eth-Trunk10] trunkport gigabitethernet 0/0/1
[SwitchD-Eth-Trunk10] trunkport gigabitethernet 0/0/2
[SwitchD-Eth-Trunk10] trunkport gigabitethernet 0/0/3
[SwitchD-Eth-Trunk10] quit
Paso 7 Configure MAD en modo de retransmisión en SwitchD y configure SwitchD como el agente
de retransmisión.
# En la pila, configure MAD en modo de retransmisión en el Eth-Trunk entre dispositivos.
[Stack] interface eth-trunk 10
[Stack-Eth-Trunk10] mad detect mode relay
[Stack-Eth-Trunk10] return
----Fin
Archivos de configuración
l Archivo de configuración de pila
#
sysname Stack
#
interface Eth-Trunk10
mad detect mode relay
#
interface GigabitEthernet0/0/5
eth-trunk 10
#
interface GigabitEthernet1/0/5
eth-trunk 10
#
interface GigabitEthernet2/0/5
eth-trunk 10
#
return
Descripción general
La conexión de puerto de servicio permite que los switches de miembro se conecten mediante
puertos de servicio, sin necesidad de tarjetas de pila dedicadas.
Para mejorar la eficiencia de la pila y reducir la configuración manual, desde V200R011C10,
los switches pueden configurar una pila mediante los cables dedicados de pila. Las
conexiones del puerto de servicio se clasifican en conexiones de cable común y dedicado
según los tipos de cable.
l Conexión de cable común: Conexión de cable común: los switches usan cables ópticos,
cables de red y cables de alta velocidad para configurar una pila.
l Conexión de cable dedicado: Los switches usan cables dedicados a pila para configurar
una pila. Los dos extremos de un cable dedicado a pila son el extremo principal con la
etiqueta Master y el extremo secundario sin ninguna etiqueta.
Precauciones
l Conecte los switches de miembro mediante cables de pila dedicados según las siguientes
reglas:
– Conecte los switches en secuencia de arriba a abajo.
– Asegúrese de que todos los puertos de pila lógicos del switch superior estén
conectados a los extremos principales de los cables, todos los puertos de pila
lógicos del switch inferior estén conectados a los extremos secundarios de los
cables y que dos puertos de pila lógicos del switch intermedio estén conectados a
los extremos principales y secundarios respectivamente.
– Una vez que los switches se han conectado mediante los cables de pila dedicados,
configuran automáticamente una pila y sus ID de pila, así como los roles de pila, se
asignan automáticamente.
– Si los switches no están conectados en una topología de anillo, solo necesita
asegurarse de que el puerto 1 de pila lógico del switch local esté conectado al puerto
2 de pila lógico del switch remoto. En esta situación, estos switches pueden
configurar una pila, pero sus roles del master y standby, así como las ID de la pila
se generan aleatoriamente.
l Asegúrese de que no haya configuraciones de servicio en los puertos que tienen los
cables de pila dedicados conectados. De lo contrario, estos puertos no pueden
transformarse automáticamente en puertos de pila y los switches no pueden configurar
una pila.
– En los AS en un sistema SVF, asegúrese de que no haya otras configuraciones
excepto las configuraciones de comando shutdown y stp root-protection en los
puertos.
– En otros dispositivos, asegúrese de que no haya otras configuraciones, excepto la
configuración del comando shutdown en los puertos.
l Si los números del puerto de pila lógicos se han configurado manualmente antes de que
se conecten los cables de pila específicos, los números de puerto configurados seguirán
vigentes después de que se hayan conectado los cables. Necesita conectar estos puertos
según los números de puerto configurados. Si los números de los puertos lógicos de la
pila no se configuran manualmente, los correspondientes números de los puertos de pila
lógicos se generarán automáticamente después de que los cables de la pila estén
conectados. Para ver los puertos lógicos de la pila de los puertos que admiten los cables
de pila dedicados y los extremos principal y secundario de los cables conectados a estos
puertos, ejecute el comando display stack port auto-cable-info.
Requisitos de red
Una red empresarial necesita proporcionar suficientes puertos para los dispositivos de acceso,
y la estructura de red debe ser simple para facilitar la configuración y la gestión.
Como se muestra en Figura 4-15, SwitchA a SwitchC necesitan configurar una pila en una
topología de anillo y conectarse a SwitchD a través de un Eth-Trunk entre dispositivos. Para
reducir la configuración, los switches A a C configuran una pila usando los cables de pila
dedicados. En la pila, SwitchA necesita funcionar como el switch Master, Switch B como el
switch Standby, y SwitchC como el switch Slave.
Este ejemplo describe cómo usar los switches S5320LI para configurar una pila.
Red
SwitchD
GE0/0/1 GE0/0/3
GE0/0/2
Eth-Trunk 10
Pila
SwitchB
GE0/0/5 GE1/0/5 (Standby) GE2/0/5
SwitchA GE0/0/27 GE0/0/26 SwitchC
(Master) GE0/0/27 (Slave)
GE0/0/26 GE0/0/27
GE0/0/26
Procedimiento
Paso 1 Apague el SwitchA, SwitchB y SwitchC.
Paso 2 Apague el switchA, el switchB y el switchC y luego conéctelos mediante los cables de
apilamiento dedicados como se muestra en Figura 4-16.
SwitchA
Logical stack port 1 GE0/0/27
logical stack
GE0/0/26 port 2
SwitchB
SwitchC
NOTA
l El puerto de pila lógico 1 del switch local se debe conectar al puerto de pila lógico 2 del switch
adyacente. De lo contrario, estos switches no pueden configurar una pila.
l Todos los puertos de pila lógica de SwitchA deben conectarse a los extremos principales de los cables de
pila dedicados, y todos los puertos de pila lógicos de SwitchC deben conectarse a los extremos
secundarios de estos cables.
# Cree un Eth-Trunk en SwitchD y configure los puertos conectados a la pila como puertos de
miembro de Eth-Trunk.
<Quidway> system-view
[Quidway] sysname SwitchD
[SwitchD] interface eth-trunk 10
[SwitchD-Eth-Trunk10] trunkport gigabitethernet 0/0/1
[SwitchD-Eth-Trunk10] trunkport gigabitethernet 0/0/2
[SwitchD-Eth-Trunk10] trunkport gigabitethernet 0/0/3
[SwitchD-Eth-Trunk10] quit
Paso 8 Configure MAD en modo de retransmisión en SwitchD y configure SwitchD como el agente
de retransmisión.
# En la pila, configure MAD en modo de retransmisión en el Eth-Trunk entre chasis.
[Stack] interface eth-trunk 10
[Stack-Eth-Trunk10] mad detect mode relay
[Stack-Eth-Trunk10] return
----Fin
Archivos de configuración
l Archivo de configuración de pila
#
sysname Stack
#
interface Eth-Trunk10
mad detect mode relay
#
interface GigabitEthernet0/0/5
eth-trunk 10
#
interface GigabitEthernet1/0/5
eth-trunk 10
#
interface GigabitEthernet2/0/5
eth-trunk 10
#
return
#
sysname SwitchD
#
interface Eth-Trunk10
mad relay
#
interface GigabitEthernet0/0/1
eth-trunk 10
#
interface GigabitEthernet0/0/2
eth-trunk 10
#
interface GigabitEthernet0/0/3
eth-trunk 10
#
return
Después de que los cables estén conectados, ejecute el comando display stack para
verificar si la topología de conexión de la pila cambia a la topología de anillo.
Cantidad de 2 2
tarjetas de CSS
compatibles con
cada chasis
Licencia No
requerida
Cantidad de 4
tarjetas de CSS
compatibles con
cada chasis
Módulos Puerto de 10 G:
insertables para l Cables SFP+ de 1 m, 3 m y 5 m (pasivos) y 10 m (activos)
puertos de
tarjetas de CSS l Fibra y módulo óptico SFP+
l Cables AOC SFP+ de 3 m y 10 m
Puerto de 40 G:
l Cables de alta velocidad QSFP+ de 1 m, 3 m y 5 m
l Módulo óptico QSFP+ (excepto el modelo QSFP-40G-SR-BD) y
fibra
l Cable AOC QSFP+ de 10 m
Licencia No
requerida
Intercambio en No se admite
caliente de
tarjetas de CSS
Cantidad de 2
tarjetas de CSS
compatibles con
cada chasis
Licencia No
requerida
Cantidad de 4
tarjetas de CSS
compatibles con
cada chasis
Módulos Puerto de 10 G:
insertables para l Cables SFP+ de 1 m, 3 m y 5 m (pasivos) y 10 m (activos)
puertos de
tarjetas de CSS l Fibra y módulo óptico SFP+
l Cables AOC SFP+ de 3 m y 10 m
Puerto de 40 G:
l Cables de alta velocidad QSFP+ de 1 m, 3 m y 5 m
l Módulo óptico QSFP+ (excepto el modelo QSFP-40G-SR-BD) y
fibra
l Cable AOC QSFP+ de 10 m
Licencia No
requerida
Configuración l Solo dos switches S9306, dos switches S9312, dos switches S9310,
de hardware dos switches S9310X o un S9306 y un S9312 pueden configurar un
CSS.
l Las MPU correspondientes a un mismo chasis deben ser del mismo
modelo. Las MPU del chasis local y del chasis remoto pueden ser del
mismo modelo o de diferentes modelos; sin embargo, se recomienda
usar el mismo modelo de MPU. Dos chasis con SRU diferentes
pueden conformar un CSS solo dos casos: (1) SRUA en un chasis y
SRUB en el otro; (2) SRUH en un chasis y SRUE en el otro, y ambos
chasis tienen la versión V200R010C00 o una posterior.
l Cada chasis puede tener como máximo dos LPU para la conexión del
CSS. Se recomienda usar el mismo tipo de LPU dentro de un mismo
chasis para la conexión de CSS. Los dos chasis deben usar el mismo
tipo de puertos para la conexión de CSS, por ejemplo, puertos ópticos
10GE SFP +.
l Cada LPU solo permite un puerto lógico de CSS. Cada puerto lógico
de CSS admite un máximo de 32 subpuertos físicos.
Licencia Sí
requerida
l Cada chasis puede tener como máximo dos LPU para la conexión del
CSS. Se recomienda usar el mismo tipo de LPU dentro de un mismo
chasis para la conexión de CSS. Los dos chasis deben usar el mismo
tipo de puertos para la conexión de CSS, por ejemplo, puertos ópticos
10GE SFP +.
l Cada LPU solo permite un puerto lógico de CSS. Cada puerto lógico
de CSS admite un máximo de 32 subpuertos físicos.
Licencia Sí
requerida
Notas de configuración
l Después de que dos switches configuran un CSS, las siguientes características no se
pueden configurar en el CSS:
– Reloj de Ethernet sincrónico
– Protocolo de tiempo de precisión (PTP) (IEEE 1588)
– Configuración del sistema web (En V200R001C00, el sistema web no es
compatible. En V200R002C00 y versiones posteriores, puede iniciar sesión en el
CSS a través del sistema web para realizar configuraciones.)
l Al configurar MAD, preste atención a las diferencias de la sintaxis del comando entre
V200R002C00 (y versiones anteriores) y V200R003C00 (y versiones posteriores). En
V200R002C00 y versiones anteriores, la función de detección de división se denomina
detección de doble activos (DAD).
l Independientemente de cuántos enlaces MAD existen, los puertos del switch standby se
apagarán y ya no reenviarán los paquetes de servicio mientras el CSS se divida.
Requisitos de red
Una empresa necesita establecer una red que tenga una capa de core confiable y una
estructura simple para facilitar la configuración y la gestión.
Para cumplir con los requisitos de la empresa, los switches de core SwitchA y SwitchB
configuran un CSS en modo de conexión de tarjeta CSS. SwitchA es el switch principal y
SwitchB es el switch standby. Figura 4-17 muestra la topología de red. Los switches de
agregación se conectan al CSS a través de Eth-Trunks, y el CSS se conecta a la red ascendente
a través de un Eth-Trunk. En este ejemplo, los switches de core son los switches S9306.
Red
SwitchE
GE1/0/1 GE1/0/2
Eth-Trunk 10
Enlace CSS
Eth-Trunk
Procedimiento
Paso 1 Instale módulos de hardware.
A continuación, se describe solo la regla para conectar cables de clúster entre dos switches de
miembro. Si también necesita instalar MPU y tarjetas CSS y conocer los detalles de
instalación, consulte la Guía de configuración de Switch Cluster.
NOTA
Siga estas reglas cuando conecte las tarjetas CSS VSTSA: Cada tarjeta CSS VSTSA tiene cuatro
puertos. Todos los puertos con el mismo número y color de puerto deben estar conectados, como se
muestra en la figura anterior. Por ejemplo, el puerto 1 de color azul en el chasis izquierdo debe estar
conectado al puerto 1 de color azul en el chasis derecho.
La configuración de CSS mediante las tarjetas CSS VSTSA permite por lo máximo un cable de clúster
defectuoso.
NOTA
NOTA
Siga estas reglas cuando conecte tarjetas CSS VS08: Cada tarjeta CSS VS08 proporciona ocho puertos,
que se dividen en dos grupos. Los puertos en los grupos con el mismo ID y color deben ser conectados.
Por ejemplo, los puertos en el grupo 1 de color azul en el chasis izquierdo y derecho deben ser
conectados, y los puertos en el grupo 2 de color azul en el chasis izquierdo y derecho deben ser
conectados. Vea la figura anterior para conectar cables entre grupos. Los puertos de un grupo se pueden
conectar en cualquier secuencia, pero cada grupo debe tener al menos un cable conectado. Se
recomiendan las conexiones de malla completa.
Figura 4-21 Conexiones de tarjeta CSS integrada de S9310 y S9310X (mediante 4 puertos
10G y puertos 40G)
NOTA
Siga estas reglas cuando se conecta las tarjetas CSS integradas de S9310 y S9310X:
l En el S9310 y S9310X, el chasis local y del otro extremo se puede conectar utilizando MPU o
SFU, o ambas MPU y SFU. Las MPU o SFU en un chasis solo se pueden conectar al mismo tipo
de tarjetas (MPU o SFU) en el otro chasis.
l Las tarjetas CSS integradas a MPU y SFU tienen dos tipos de puertos: 4 puertos 10G y puerto
40G. Los puertos 10G con el mismo número de puerto deben ser conectados, como se muestra en
la figura anterior. Por ejemplo, el puerto 1 de color azul en el chasis izquierdo debe estar
conectado al puerto 1 de color azul en el chasis derecho.
l Los dos chasis pueden configurar un CSS siempre que estén conectados por un cable de clúster.
Para garantizar la fiabilidad, se recomienda conectar varios cables de clúster.
l Para admitir copia de seguridad de 1+N MPU, asegúrese de que las SFU estén conectadas
mediante cables de clúster.
NOTA
Para usar dos S9310 o S9310X para establecer un CSS, debe ejecutar el comando css port media-type para
establecer el tipo de puerto CSS al tipo de puerto real utilizado para las conexiones de clúster. Puede ejecutar
el comando display css status [ saved ] para verificar los tipos de puerto CSS actuales y guardados en
función del campo de CSS port media-type.
NOTA
Una vez completada la configuración, ejecute el comando display css status saved para verificar la
configuración de CSS.
El resultado del comando muestra que todos los enlaces CSS están Up, lo que indica que el
CSS se ha configurado correctamente.
Paso 5 Configure Eth-Trunks entre el CSS y sus dispositivos ascendentes y descendentes.
# Configure un Eth-Trunk en CSS y agregue los puertos de enlace ascendente al Eth-Trunk.
<SwitchA> system-view
[SwitchA] sysname CSS //Renombre el CSS.
[CSS] interface eth-trunk 10
[CSS-Eth-Trunk10] quit
[CSS] interface gigabitethernet 1/1/0/4
[CSS-GigabitEthernet1/1/0/4] eth-trunk 10
[CSS-GigabitEthernet1/1/0/4] quit
[CSS] interface gigabitethernet 2/1/0/4
[CSS-GigabitEthernet2/1/0/4] eth-trunk 10
[CSS-GigabitEthernet2/1/0/4] quit
[SwitchC-Eth-Trunk20] quit
[SwitchC] interface gigabitethernet 1/0/1
[SwitchC-GigabitEthernet1/0/1] eth-trunk 20
[SwitchC-GigabitEthernet1/0/1] quit
[SwitchC] interface gigabitethernet 1/0/2
[SwitchC-GigabitEthernet1/0/2] eth-trunk 20
[SwitchC-GigabitEthernet1/0/2] quit
# Verifique la configuración.
Una vez completada la configuración, ejecute el comando display trunkmembership eth-
trunk en cualquier vista para verificar la información sobre los puertos de miembro de Eth-
Trunk. Por ejemplo:
El resultado del comando muestra información sobre los puertos de miembro en Eth-Trunk
10.
<CSS> display trunkmembership eth-trunk 10
Trunk ID: 10
Used status: VALID
TYPE: ethernet
Working Mode : Normal
Number Of Ports in Trunk = 2
Number Of Up Ports in Trunk = 2
Operate status: up
# Verifique la configuración.
Verifique la configuración MAD en el CSS.
<CSS> display mad //En V200R002C00 y versiones
anteriores, el comando es display dual-active.
----Fin
Archivos de configuración
l Archivo de configuración de CSS
#
sysname CSS
#
interface Eth-Trunk10
#
interface Eth-Trunk20
mad detect mode relay
#
interface Eth-Trunk30
#
interface GigabitEthernet1/1/0/3
eth-trunk 20
#
interface GigabitEthernet1/1/0/4
eth-trunk 10
#
interface GigabitEthernet1/1/0/5
eth-trunk 30
#
interface GigabitEthernet2/1/0/3
eth-trunk 30
#
interface GigabitEthernet2/1/0/4
eth-trunk 10
#
interface GigabitEthernet2/1/0/5
eth-trunk 20
#
return
eth-trunk 30
#
interface GigabitEthernet1/0/2
eth-trunk 30
#
return
Puerto lógico de
Puerto de CSS
miembro físico CSS
CSS link
En comparación con el modo de conexión de tarjeta CSS, el modo de conexión del puerto de
servicio es más flexible pero es complejo de configurar y necesita ocupar puertos de servicio
en las LPU.
Notas de configuración
l La función de agrupación del puerto de servicio está controlada por una licencia. Por
defecto, esta función está deshabilitada en un nuevo dispositivo. Para usar esta función,
solicite y compre una licencia del agente u oficina local de Huawei.
l Cuando los switches que utilizan las SRUA, SRUB, SRUC y SRUD configuran un CSS
en el modo de agrupación de puertos de servicio, el archivo de software del sistema
(paquete de inicio del sistema) debe guardarse en la tarjeta CF. Si se guarda en la
memoria flash, no se puede configurar el CSS en el modo de agrupación del puerto de
servicio.
l Después de que dos switches configuran un CSS, las siguientes características no se
pueden configurar en el CSS:
– Reloj de Ethernet sincrónico
– Protocolo de tiempo de precisión (PTP) (IEEE 1588)
l Al configurar MAD, preste atención a las diferencias en la sintaxis del comando entre
V200R002C00 y V200R003C00 (y versiones posteriores). En V200R002C00, la función
de detección de división se llama detección de doble activos (DAD).
l Independientemente de cuántos enlaces de MAD existen, los puertos del switch standby
se apagarán y ya no reenviarán los paquetes de servicio mientras el CSS se divida.
Requisitos de red
Una empresa necesita construir una red que tenga una capa de core confiable y una estructura
simple para facilitar la configuración y gestión, así como reducir los costos de
implementación.
Para cumplir con los requisitos de la empresa, los switches de core SwitchA y SwitchB
configuran un CSS en el modo de conexión del puerto de servicio. SwitchA es el switch
principal, y SwitchB es el switch standby. Figura 4-23 muestra la topología de red. Los
switches de agregación se conectan al CSS a través de Eth-Trunks, y el CSS se conecta a la
red ascendente a través de un Eth-Trunk. En este ejemplo, los switches de core son los
switches S9306.
Red
SwitchE
XGE1/0/1 XGE1/0/2
Eth-Trunk 10
Capa de
agregación
Enlace de CSS
Eth-Trunk
Procedimiento
Paso 1 Instale módulos de hardware.
A continuación, se describe solo la regla para conectar cables de clúster entre dos switches de
miembro. Si también necesita instalar LPU y obtener información acerca de la instalación,
consulte la Guía de configuración de clúster de switch.
Conecte los cables del clúster de acuerdo con la regla de conexión que se muestra en Figura
4-24.
…… …… …… ……
…… …… …… ……
SwitchA SwitchB
Los puertos de servicio están conectados de dos maneras según la distribución del enlace:
l Conexión de red 1+0
Cada switch miembro tiene un puerto CSS lógico y se conecta al otro switch miembro a
través de puertos de miembros físicos en una tarjeta de servicio.
l Conexión de red 1+1
Cada switch miembro tiene dos puertos CSS lógicos, y los puertos miembros físicos de
los puertos CSS lógicos se encuentran en dos tarjetas de servicio. Los enlaces de clúster
en las dos tarjetas de servicio implementan redundancia de enlace. La figura anterior
muestra las conexiones de cable en esta red.
NOTA
Al conectar los cables del clúster, preste atención a los siguientes puntos:
l Los puertos de miembros físicos de un puerto CSS lógico en un switch deben conectarse a los
puertos miembros físicos de un puerto CSS lógico en el otro switch.
l En red 1+1, se recomienda que dos tarjetas de servicio tengan la misma cantidad de enlaces de
clúster.
Para garantizar la confiabilidad, preste atención a los siguientes puntos cuando utilice las dos redes de
agrupación de puertos de servicio anteriores:
l Para garantizar una alta confiabilidad, se recomienda utilizar redes 1+1 y configurar detección de
múltiples activos (MAD).
l Se deben agregar por lo menos dos puertos de miembros físicos en una LPU a un puerto CSS
lógico.
l Se recomienda que las tarjetas donde se encuentran los puertos de enlace ascendente y el puerto
habilitado para MAD sean las LPU que no se utilizan para las conexiones de CSS.
NOTA
Una vez completada la configuración, ejecute el comando display css status saved para verificar la
configuración de CSS.
NOTA
Una vez completada la configuración, ejecute el comando display css css-port saved para verificar si
los puertos están Up.
El indicador de ACT en una MPU de SwitchA está encendido sin parpadear de color verde, lo
que indica que la MPU es la MPU activa del CSS y SwitchA es el switch principal.
El indicador ACT en una MPU de SwitchB parpadea de color verde, lo que indica que la
MPU es la MPU standby del CSS y SwitchB es el switch standby.
# Inicie sesión en el CSS a través del puerto de consola en cualquier MPU para comprobar si
el CSS se ha configurado correctamente.
Chassis 1 || Chassis 2
================================================================================
Num [CSS port] [LPU Port] || [LPU Port] [CSS port]
1 1/1 XGigabitEthernet1/1/0/1 XGigabitEthernet2/1/0/1 2/1
2 1/1 XGigabitEthernet1/1/0/2 XGigabitEthernet2/1/0/2 2/1
3 1/2 XGigabitEthernet1/2/0/1 XGigabitEthernet2/2/0/1 2/2
4 1/2 XGigabitEthernet1/2/0/2 XGigabitEthernet2/2/0/2 2/2
Chassis 2 || Chassis 1
================================================================================
Num [CSS port] [LPU Port] || [LPU Port] [CSS port]
1 2/1 XGigabitEthernet2/1/0/1 XGigabitEthernet1/1/0/1 1/1
2 2/1 XGigabitEthernet2/1/0/2 XGigabitEthernet1/1/0/2 1/1
3 2/2 XGigabitEthernet2/2/0/1 XGigabitEthernet1/2/0/1 1/2
4 2/2 XGigabitEthernet2/2/0/2 XGigabitEthernet1/2/0/2 1/2
El resultado del comando muestra que la topología de enlace CSS es la misma que la
conexión de hardware real, lo que indica que el CSS se ha configurado correctamente.
Paso 6 Configure Eth-Trunks entre el CSS y sus dispositivos ascendentes y descendentes.
# Configure un Eth-Trunk en CSS y agregue puertos de enlace ascendente al Eth-Trunk.
<SwitchA> system-view
[SwitchA] sysname CSS //Renombre el CSS.
[CSS] interface eth-trunk 10
[CSS-Eth-Trunk10] quit
[CSS] interface xgigabitethernet 1/3/0/4
[CSS-XGigabitEthernet1/3/0/4] eth-trunk 10
[CSS-XGigabitEthernet1/3/0/4] quit
# Verifique la configuración.
# Verifique la configuración.
Verifique la configuración MAD en el CSS.
<CSS> display mad //En V200R002C00 y versiones
anteriores, el comando es display dual-active.
Current MAD domain: 0
MAD direct detection enabled: NO
MAD relay detection enabled: YES
----Fin
Archivos de configuración
l Archivo de configuración de CSS
#
sysname CSS
#
interface Eth-Trunk10
#
interface Eth-Trunk20
mad detect mode relay
#
interface Eth-Trunk30
#
interface GigabitEthernet1/4/0/3
eth-trunk 20
#
interface XGigabitEthernet1/3/0/4
eth-trunk 10
#
interface GigabitEthernet1/4/0/5
eth-trunk 30
#
interface GigabitEthernet2/4/0/3
eth-trunk 30
#
interface XGigabitEthernet2/3/0/4
eth-trunk 10
#
interface GigabitEthernet2/4/0/5
eth-trunk 20
#
return
Parent de L3
CSS
Core/
agregación L2
Client de
acceso
User
Como se muestra en Figura 4-25, SVF simplifica la gestión y el mantenimiento de la red del
campus. De acuerdo con las características de las redes del campus, la tecnología SVF le
permite configurar y mantener los dispositivos de acceso, así como administrar los usuarios
de acceso de manera uniforme.
l Mantiene el estado de los AS a través del Parent, incluido el estado de registro y el latido
del dispositivo, la versión y el estado del parche, las alarmas importantes, el estado del
puerto y el estado del usuario de todos los AS.
l Admite un máximo de dos niveles de AS (ASs de nivel 1 y nivel 2).
La siguiente tabla enumera los requisitos de hardware y software para SVF.
Figura 4-26 Redes en las que el Parent y los AS se conectan directamente en una red de
campus cableada
CSS
L3 enrutamiento
Parent
L2 conmutación
Level-1 AS
Level-2 AS
l Redes en las que el Parent y los AS están conectados a través de una red intermedia,
como se muestra en Figura 4-27
a. El Parent puede ser un dispositivo independiente, un Sistema de Conmutación de
Clúster (CSS) de dos dispositivos modulares o una pila de múltiples dispositivos de
miembro.
b. Un sistema SVF admite por lo máximo un nivel de AS. Cada AS puede ser un
dispositivo independiente o una pila de múltiples dispositivos de miembro.ada AS
puede ser una pila de hasta cinco dispositivos de miembro que son del mismo
modelo y proporcionan el mismo número o diferentes números de puertos.
c. Los terminales de usuario pueden acceder a la red a través de AS. El Parent
funciona como el gateway de acceso de los usuarios.
Si se reconstruye una red de campus y se despliega los dispositivos de diferentes
proveedores en la red del campus, se recomienda esta red.
Figura 4-27 Redes en las que el Parent y los AS están conectados a través de una red
intermedia en una red de campus cableada
CSS
L3 enrutamiento
Parent
L2 conmutación
AS
L3 enrutamiento
L2 conmutación
CSS CSS
Parent Parent
AS ...
AS
AS
Función Descripción
Configure la función Para mejorar la seguridad de las aplicaciones web, los datos de
de codificación de fuentes no fiables deben codificarse antes de enviarlos a los
URL para un AS. clientes. La codificación URL es la más comúnmente utilizada en
aplicaciones web. Después de habilitar la codificación URL para
los AS, los caracteres especiales en las URL redirigidas se
convierten a formatos seguros, lo que evita que los clientes los
confundan con instrucciones o signos de sintaxis y modifiquen de
forma inesperada la sintaxis original. De esta forma, se evitan los
ataques de secuencias de órdenes en sitios cruzados y los ataques
de inyección. De manera predeterminada, la codificación de URL
está habilitada en los AS. Esta función se puede deshabilitar con el
comando portal url-encode disable.
Configure las reglas Además de las configuraciones de los perfiles de servicio, el Parent
de ausencia de envía las reglas configuradas de ausencia de autenticación de portal
autenticación. a los AS. Las reglas 0 a 127 de ausencia de autenticación se pueden
enviar a los AS de los modelos S5320EI o S5720EI, mientras que
las reglas 0 a 31 de ausencia de autenticación se pueden enviar a
los AS de otros modelos.las reglas de ausencia de autenticación
que estén fuera de esos dos rangos no se enviarán a los AS.
Limitación de la velocidad
de los puertos
Cantidad máxima de
usuarios de acceso en un
puerto AS (esta función es
compatible con V200R010 y
versiones posteriores)
subpuertos
de un
puerto de
matriz de
enlace
descendent
e.
l Estos comandos varían según el tipo de dispositivo de AS. Para conocer más detalles,
consulte la referencia de comandos de estos dispositivos.
l En el modo independiente, la configuración de algunos comandos puede hacer que un
AS no pueda conectarse. Para evitar este problema, algunos comandos enumerados en la
siguiente tabla no se admiten. Si se ejecuta un comando no admitido en un AS, se
mostrará un mensaje de error.
Función Comando
Función Comando
Función Comando
Comandos de configuración de
redireccionamiento
S9312E/S9306E 48
S9312(SRUE/SRUH)/S9310/ 256
S9306(SRUE/SRUH)
S9312(SRUA/SRUB)/S9306(SRUA/ 32
SRUB)
S9310X 64
S9303/S9303E 4
S6320EI 32
CSS
L3 enrutamiento
Parent
L2 conmutación
Level-1 AS
Level-2 AS
Figura 4-29 muestra una conexión de red SVF ideal. Tiene las siguientes características:
1. El principal es un CSS de dos dispositivos de miembro.
2. Cada AS de nivel-1 está dual-homed a dos dispositivos de miembro del principal a través
de los puertos de enlace ascendente.
3. Cuando un AS es una pila de múltiples dispositivos de miembro, cada dispositivo de
miembro está conectado a su dispositivo ascendente a través de al menos un enlace.
Determinación el parent
1. Determine el tipo de dispositivo del parent.
El tipo de dispositivo del parent está determinado por la escala de la red del campus.
Para más detalles, vea Determine escenarios de red del campus.
2. Determine la cantidad de dispositivos para el parent.
El parent administra y mantiene todo el sistema SVF. Se recomienda desplegar un CSS
de dos switches modulares como el parent para garantizar la fiabilidad del sistema SVF.
3. Determine el tipo de tarjeta en el parent.
a. En un escenario de convergencia cableada e inalámbrica, necesita desplegar tarjetas
de la serie X en el parent.
b. Si un AS necesita conectarse a dos LPU del parent, se recomienda conectar el AS a
las LPU del mismo tipo.
c. Si la red del campus proporciona solo acceso cableado y no requiere autenticación
de acceso, no necesita desplegar tarjetas de la serie X en el parent. Si es necesario
autenticar los terminales de acceso, se recomienda desplegar las tarjetas de la serie
X en el parent porque las tarjetas de la serie X admiten una gran cantidad de
entradas de usuario y permiten políticas de control de acceso más flexibles.
d. Necesita utilizar las tarjetas de interfaz óptica para conectar el parent a los AS
porque los puertos de enlace ascendente para la mayoría de los tipos de AS son los
puertos ópticos. Si un AS utiliza un puerto óptico de 10GE para conectarse a un
puerto GE del parent, el puerto óptico 10GE debe poder cambiar al modo GE a
través de la detección automática.
e. Si el parent se conecta a los AS solo a través de pares trenzados, se le recomienda
utilizar los AS con los puertos combo de enlace ascendente para conectarse a las
tarjetas eléctricas del parent. De lo contrario, debe usar los módulos de cobre para
garantizar la conectividad entre los AS y el parent.
Determinación de AS
Seleccione AS de nivel 1 y nivel 2 de acuerdo con los siguientes requisitos:
1. Los AS pueden conectarse con el parent solo a través de los puertos de enlace ascendente
y los puertos de enlace ascendente de la mayoría de los AS son puertos ópticos. Por lo
tanto, cuando un sistema SVF tiene dos niveles de AS, use AS con puertos ópticos de
enlace descendente como AS de nivel 1. De lo contrario, debe usar los módulos de cobre
para garantizar la conectividad entre los AS de nivel 1 y nivel 2.
2. Cuando los servicios en un sistema SVF son similares, use AS del mismo tipo para que
los AS defectuosos puedan ser reemplazados.
Seleccione los AS de acuerdo con las características del hardware y tabla a bajo para cumplir
con los diferentes requisitos de red.
Figura 4-30 Entrega las configuraciones a los puertos de AS al principal mediante los perfiles
de servicio
Configure perfiles de
servicio y grupos de
Parent puertos en el principal
Service profile 3
Vinculación
Port grupo 3
Commit
Parent
En un sistema SVF mostrado en Figura 4-30, puede configurar los perfiles de servicio en el
principal para entregar las configuraciones de servicio a los AS después de los siguientes
pasos:
1. Cree grupos de puertos y agregue puertos de AS en los grupos de puertos. Cada grupo de
puertos es un conjunto de puertos, que están conectados a los usuarios con las mismas
características de servicio.
2. Cree perfiles de servicio. Cada perfil de servicio es un conjunto de servicios que se
entregarán.
3. Vincule los perfiles del servicio a los grupos de puertos.
4. Confirme las configuraciones en el principal para que los servicios se puedan entregar
automáticamente a los AS.
Al configurar servicios para AS a través de los grupos de puertos, solo necesita prestar
atención a los puertos de usuario en los AS. Si necesitan configurar los servicios de puertos de
matriz manualmente depende de los escenarios de red:
l Cuando el principal se conecta directamente a los AS, se generarán automáticamente las
configuraciones de servicio de los puertos de matriz en el principal y los AS de acuerdo
con las configuraciones de servicio de los puertos de usuario.
l Cuando el principal está conectado a los AS a través de una red intermedia, necesita
configurar los servicios para el puerto de matriz del principal.
En un sistema SVF, los AS tienen las siguientes configuraciones de servicio:
servidor de autenticación solo necesitan configurarse en el principal por una vez, lo que
simplifica el despliegue. Los puntos de aplicación de control de acceso de todos los usuarios
se despliega en los AS. Para garantizar la seguridad, los usuarios que fallan la autenticación
no pueden acceder a los AS.
Punto de autenticación
Punto de cumplimiento
Un sistema SVF admite tres modos de autenticación para usuario de acceso: MAC, 802.1X y
Portal. Tabla 4-27 enumera las características y los escenarios de aplicación de los tres modos
de autenticación.
802.1X l El software del cliente 802.1X La red está recién construida, los
necesita ser instalado. usuarios están densamente
l Se pueden configurar los distribuidos y se requiere una alta
nombres de usuario fáciles de seguridad de la información.
recordar.
l Los usuarios deben introducir
los nombres de usuario y las
contraseñas cuando inicien
sesión en la red.
Ataque en el plano de Ataque ARP con dirección Se vuelve alto el uso de la CPU
control MAC de fuente fija del principal y se interrumpe el
tráfico de algunos usuarios.
Ataque ARP con una dirección
IP de fuente fija
Ataque en el plano de Ataque de ARP Miss con El principal tiene un uso alto de
reenvío dirección IP de fuente fija CPU y no puede aprender las
entradas de ARP.
Ataque ARP
con una
dirección IP
de fuente fija
Requisitos de red
Una nueva red de campus tiene una gran cantidad de dispositivos de acceso inalámbrico y
cableado. Los dispositivos de acceso ampliamente distribuidos complican la gestión y la
configuración de la capa de acceso. Se requiere una gestión y configuración unificada de
dispositivos de acceso inalámbricos y cableado para reducir el costo de gestión.
En este ejemplo, complete las siguientes operaciones en los dispositivos de acceso:
l Configure el nombre de usuario y la contraseña del administrador para los dispositivos
de acceso.
l Asigne VLAN a los puertos de acceso.
l Establezca el modo de autenticación de acceso de usuario a la autenticación 802.1X.
Como se muestra en Figura 4-32, dos switches de agregación (SwitchA y SwitchB)
configuran un Sistema de conmutación de clúster (CSS) para mejorar la confiabilidad y
funcionan como el parent para conectarse a múltiples AS. La detección de múltiples activos
(MAD) en modo directo debe configurarse en el parent para evitar conflictos cuando el CSS
se divide.
En este ejemplo, dos S9300 funcionan como los parent, un S5320-28P-SI-AC funciona como
un level 1 AS, un S5320-12TP-LI-AC funciona como un level 2 AS.
SwitchA SwitchB
Parent CSS
as4 as5
Level 2 AS
S5320-12TP-LI-AC
Enlace CSS
Enlace MAD
Eth-Trunk (vinculado a un puerto de
matriz)
Plan de datos
Ítem Datos Descripción
Puertos que conectan AS1 a GE0/0/23 y GE0/0/24 Agregue los dos puertos a
AS4 Eth-Trunk4 y conéctelos al
Fabric-port 4.
Puertos que conectan AS3 a GE0/0/23 y GE0/0/24 Agregue los dos puertos a
AS5 Eth-Trunk5 y conéctelos al
Fabric-port 5.
Procedimiento
1. Configure SwitchA y SwitchB en el parent para configurar un CSS.
# Configure el modo de conexión CSS a la conexión de tarjeta CSS, la ID de CSS a 1 y
la prioridad de CSS a 100 para SwitchA.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] set css mode css-card
[SwitchA] set css id 1
[SwitchA] set css priority 100
Este paso es opcional. Si no realiza este paso, el sistema generará información del dispositivo AS
cuando los AS se conecten al sistema SVF. Un nombre de AS es el nombres predeterminado del sistema
- la dirección MAC del sistema, por ejemplo, S5320-28P-SI-AC mac-address 0200-0000-0011. Si
realiza este paso, asegúrese de que el modelo y la dirección MAC configurados sean consistentes con la
información real del dispositivo y que la dirección MAC sea la dirección MAC del sistema de un AS.
De lo contrario, los AS no pueden conectarse al sistema SVF.
[SwitchA-um] as name as1 model S5320-28P-SI-AC mac-address 0200-0000-0011
[SwitchA-um-as-as1] quit
[SwitchA-um] as name as2 model S5320-28P-SI-AC mac-address 0200-0000-0022
[SwitchA-um-as-as2] quit
[SwitchA-um] as name as3 model S5320-28P-SI-AC mac-address 0200-0000-0033
[SwitchA-um-as-as3] quit
[SwitchA-um] as name as4 model S5320-12TP-LI-AC mac-address 0200-0000-0044
[SwitchA-um-as-as4] quit
[SwitchA-um] as name as5 model S5320-12TP-LI-AC mac-address 0200-0000-0055
[SwitchA-um-as-as5] quit
# Configure los puertos de matriz que conectan AS1 a AS4 y AS3 a AS5.
[SwitchA] uni-mng
[SwitchA-um] as name as1
[SwitchA-um-as-as1] down-direction fabric-port 4 member-group interface eth-
trunk 4
[SwitchA-um-as-as1] port eth-trunk 4 trunkmember interface gigabitethernet
0/0/23 to 0/0/24
[SwitchA-um-as-as1] quit
[SwitchA-um] as name as3
[SwitchA-um-as-as3] down-direction fabric-port 5 member-group interface eth-
trunk 5
[SwitchA-um-as-as3] port eth-trunk 5 trunkmember interface gigabitethernet
0/0/23 to 0/0/24
[SwitchA-um-as-as3] quit
[SwitchA-um] quit
4. Borre las configuraciones de los AS, reinicie los AS y luego conecte los level 1 AS con
el parent y los level 2 AS mediante cables. Posteriormente, se configura un sistema SVF.
NOTA
l Antes de reiniciar un AS, verifique si el puerto que conecta este AS al parent es un puerto de enlace
descendente. Puede ejecutar el comando display port connection-type access all en este AS para
ver todos los puertos de enlace descendente. Si este puerto es un puerto de enlace descendente,
ejecute el comando uni-mng up-direction fabric-port en este AS para configurar este puerto como
un puerto de enlace ascendente antes de reiniciar este AS. De lo contrario, este AS no puede
conectarse.
l Antes de conectar un AS al parent, asegúrese de que el AS no tenga ningún archivo de
configuración ni entrada en el puerto de la consola.
# Después de conectar los cables, ejecute el comando display as all para verificar si los
AS se han conectado al sistema SVF.
[SwitchA] display as all
Total: 5, Normal: 5, Fault: 0, Idle: 0, Version mismatch: 0
------------------------------------------------------------------------------
--
No. Type MAC IP State Name
------------------------------------------------------------------------------
--
0 S5320-SI 0200-0000-0011 192.168.11.254 normal as1
1 S5320-SI 0200-0000-0022 192.168.11.253 normal as2
2 S5320-SI 0200-0000-0033 192.168.11.252 normal as3
3 S5320-LI 0200-0000-0044 192.168.11.251 normal as4
4 S5320-LI 0200-0000-0055 192.168.11.250 normal as5
------------------------------------------------------------------------------
--
Cuando el campo State en la salida del comando muestra normal para un AS, el AS se
ha conectado al sistema SVF.
Download patch : --
Method : --
Upgrading phase : --
Last operation result : --
Error reason : --
Last operation time : --
----------------------------------------------------------------------------
AS name : as4
Work status : NO-UPGRADE
Startup system-software : flash:/s5320li.cc
Startup version : V200R011C10
Startup patch : --
Next startup system-software : --
Next startup patch : --
Download system-software : --
Download version : --
Download patch : --
Method : --
Upgrading phase : --
Last operation result : --
Error reason : --
Last operation time : --
----------------------------------------------------------------------------
AS name : as5
Work status : NO-UPGRADE
Startup system-software : flash:/s5320li.cc
Startup version : V200R011C10
Startup patch : --
Next startup system-software : --
Next startup patch : --
Download system-software : --
Download version : --
Download patch : --
Method : --
Upgrading phase : --
Last operation result : --
Error reason : --
Last operation time : --
----------------------------------------------------------------------------
[SwitchA-um-portgroup-port_group_2] quit
[SwitchA-um] quit
# Confirme las configuraciones para que las configuraciones en los perfiles de servicio
se puedan entregar a los AS.
[SwitchA-um] commit as all
Warning: Committing the configuration will take a long time. Continue?[Y/N]: y
Info: The max number of VTY users is 10, and the number
of current VTY users on line is 1.
The current login time is 2016-06-25 22:31:18+00:00.
<HUAWEI>
NOTA
Resumen de configuración
1. Al configurar un CSS para un parent, use la tarjeta CSS o el modo de conexión del
puerto de servicio de acuerdo con los requisitos de red. Este ejemplo usa la conexión de
la tarjeta CSS.
2. Puede configurar perfiles de servicio y vincularlos a los AS antes o después de que los
AS se conecten al sistema SVF. El modo de configuración del servicio AS incluye los
modos preconfigurados y no preconfigurados según la configuración de los servicios de
tiempo. Cualquiera que sea el modo de configuración que use, debe ejecutar el comando
commit as { name as-name | all } para confirmar la configuración después de
completarla.
– Modo preconfigurado: Antes de que los AS se conecten al sistema SVF,
preconfigure los perfiles del servicio, vínculelos a los AS, guarde la configuración
en el parent y luego ejecute el comando commit as { name as-name | all } para
confirmar la configuración. Cuando los AS se conectan al sistema SVF, las
configuraciones en los perfiles de servicio se entregan automáticamente a los AS.
– Modo no preconfigurado: Después de que los AS se conecten al sistema SVF,
configure los perfiles del servicio, vínculelos a los AS y ejecute el comando
commit as { name as-name | all } para confirmar la configuración para que las
configuraciones en los perfiles de servicio puedan entregarse a los AS.
3. Después de que la función SVF es habilitada, las funciones del Protocolo de árbol de
expansión (STP) y del Protocolo de detección de capa de enlace (LLDP) están
habilitadas completamente en el parent. Preste atención a los siguientes puntos al usar las
funciones STP y LLDP en un sistema SVF:
– Puede deshabilitar las funciones STP y LLDP solo en puertos, no completamente.
– No deshabilite la función LLDP en los puertos de miembro de un puerto de matriz.
De lo contrario, la topología SVF será anormal.
4. Después de habilitar la función SVF, el parent cambiará STP a Protocolo de árbol de
expansión rápido (RSTP) y establecerá la prioridad de la instancia 0 a 28762 por medio
del comando stp instance 0 priority 28672. Después de que la función SVF esté
deshabilitada, se restablece la prioridad predeterminada de la instancia 0. Cuando la
función SVF está habilitada o deshabilitada, STP vuelve a calcular las funciones del
puerto y cambia el estado del puerto. El tráfico en los puertos se interrumpirá
temporalmente.
5. La función de retransmisión de MAD se habilita automáticamente en el Eth-Trunk al que
está vinculado un puerto de matriz de enlace descendente, y la función MAD se habilita
automáticamente en el Eth-Trunk al que un puerto de matriz de enlace ascendente está
vinculado a realizar MAD en un AS que es una pila. Cuando se elimina el switch de
modo de standby en el AS, MAD no puede ejecutarse porque el switch de modo de
standby se reinicia automáticamente sin guardar la configuración.
6. Para evitar que la función SVF se vea afectada, no realice operaciones MIB para
modificar la configuración generada automáticamente en un sistema SVF, por ejemplo,
la configuración de STP, LLDP y Eth-Trunk a la que está vinculado un puerto de matriz.
7. En el parent, puede haber un retraso al mostrar la salida de algunos comandos ejecutados
en los AS, incluido el comando patch delete all y patch load filename all [ active |
run ].
8. En un sistema SVF, la longitud de trama máxima permitida por los puertos no se puede
configurar en un AS. Por lo tanto, la longitud máxima de trama es el valor
predeterminado 9216 (incluido el campo CRC).
9. Los ataques internos de una VLAN de gestión harán que los AS se desconecten del
sistema SVF. Debe apagar los puertos atacados o eliminar los puertos de la VLAN de
gestión después de identificar la fuente de ataque.
10. Después de que un AS se desconecte del sistema SVF, todos los puertos de enlace
descendente del AS se apagarán.
11. Los parámetros configurados de túnel de Control y Aprovisionamiento de Puntos de
Acceso Inalámbricos (CAPWAP) se aplican al sistema SVF. Para asegurarse de que el
túnel CAPWAP del sistema SVF funciona normalmente, se recomienda mantener los
parámetros de túnel CAPWAP predeterminados.
12. En el sistema SVF, los derechos de acceso a la red disponibles antes de que los usuarios
pasen la autenticación de control de admisión a la red (NAC), pueden ser autorizados
mediante las reglas sin autenticación en lugar de un grupo de lista de control del usuario
(UCL).
13. SVF no admite servidores de portal incorporados.
Requisitos de red
Una nueva red de campus tiene una gran cantidad de dispositivos de acceso inalámbrico y
cableado. Los dispositivos de acceso ampliamente distribuidos complican la gestión y la
configuración de la capa de acceso. Se requiere una gestión y configuración unificada de
dispositivos de acceso inalámbrico y cableado para reducir el costo de gestión.
En este ejemplo, complete las siguientes operaciones en los dispositivos de acceso:
l Configure el nombre de usuario y la contraseña del administrador para los dispositivos
de acceso.
l Asigne VLAN a los puertos de acceso.
l Establezca el modo de autenticación de acceso de usuario a la autenticación 802.1X.
Como se muestra en Figura 4-33, dos switches de agregación (SwitchA y SwitchB)
configuran un Sistema de Conmutación de Clúster (CSS) para mejorar la confiabilidad y
funcionan como el parent para conectarse a múltiples AS y AP. La detección de múltiples
activos (MAD) en modo directo se debe configurar en el parent para evitar conflictos cuando
el CSS se divide.
En este ejemplo, dos S12700s funcionan como el parent, un S5320-28P-SI-AC funciona como
un level 1 AS, un S5320-12TP-LI-AC funciona como un level 2 AS y un AP5010DN-AGN
funciona como un AP.
SwitchA SwitchB
Parent CSS
as4 as5
Level 2 AS
S5320-12TP-LI-AC ap
AP5010DN-AGN
Enlace CSS
Enlace MAD
Eth-Trunk (vinculado a un puerto
de matriz)
Plan de datos
Ítem Datos Descripción
Puertos que conectan AS1 a GE0/0/23 y GE0/0/24 Agregue los dos puertos a
AS4 Eth-Trunk4 y vínculelos al
Fabric-port 4.
Puertos que conectan AS3 a GE0/0/23 y GE0/0/24 Agregue los dos puertos a
AS5 Eth-Trunk5 y vínculelos al
Fabric-port 5.
Procedimiento
1. Configure SwitchA y SwitchB en el parent para configurar un CSS.
Este paso es opcional. Si no realiza este paso, el sistema generará información del dispositivo AS
cuando los AS se conecten al sistema SVF. Un nombre de AS es el nombres predeterminado del sistema
- la dirección MAC del sistema, por ejemplo, S5320-28P-SI-AC mac-address 0200-0000-0011. Si
realiza este paso, asegúrese de que el modelo y la dirección MAC configurados sean consistentes con la
información real del dispositivo y que la dirección MAC sea la dirección MAC del sistema de un AS.
De lo contrario, los AS no pueden conectarse al sistema SVF.
[SwitchA-um] as name as1 model S5320-28P-SI-AC mac-address 0200-0000-0011
[SwitchA-um-as-as1] quit
[SwitchA-um] as name as2 model S5320-28P-SI-AC mac-address 0200-0000-0022
[SwitchA-um-as-as2] quit
[SwitchA-um] as name as3 model S5320-28P-SI-AC mac-address 0200-0000-0033
[SwitchA-um-as-as3] quit
[SwitchA-um] as name as4 model S5320-12TP-LI-AC mac-address 0200-0000-0044
[SwitchA-um-as-as4] quit
[SwitchA-um] as name as5 model S5320-12TP-LI-AC mac-address 0200-0000-0055
[SwitchA-um-as-as5] quit
# Configure los puertos de matriz que conectan AS1 a AS4 y AS3 a AS5.
[SwitchA] uni-mng
[SwitchA-um] as name as1
[SwitchA-um-as-as1] down-direction fabric-port 4 member-group interface eth-
trunk 4
[SwitchA-um-as-as1] port eth-trunk 4 trunkmember interface gigabitethernet
0/0/23 to 0/0/24
[SwitchA-um-as-as1] quit
[SwitchA-um] as name as3
[SwitchA-um-as-as3] down-direction fabric-port 5 member-group interface eth-
trunk 5
[SwitchA-um-as-as3] port eth-trunk 5 trunkmember interface gigabitethernet
0/0/23 to 0/0/24
[SwitchA-um-as-as3] quit
[SwitchA-um] quit
4. Borre las configuraciones de los AS, reinicie los AS y luego conecte los level 1 AS con
el parent y los level 2 AS por medio de cables. Posteriormente, se configura un sistema
SVF.
NOTA
l Antes de reiniciar un AS, verifique si el puerto que conecta este AS al parent es un puerto de enlace
descendente. Puede ejecutar el comando display port connection-type access all en este AS para
ver todos los puertos de enlace descendente. Si este puerto es un puerto de enlace descendente,
ejecute el comando uni-mng up-direction fabric-port en este AS para configurar este puerto como
un puerto de enlace ascendente antes de reiniciar este AS. De lo contrario, este AS no puede
conectarse.
l Antes de conectar un AS al parent, asegúrese de que el AS no tenga ningún archivo de
configuración ni entrada en el puerto de la consola.
# Después de conectar los cables, ejecute el comando display as all para verificar si los
AS se han conectado al sistema SVF.
[SwitchA] display as all
Total: 5, Normal: 5, Fault: 0, Idle: 0, Version mismatch: 0
------------------------------------------------------------------------------
--
No. Type MAC IP State Name
------------------------------------------------------------------------------
--
0 S5320-SI 0200-0000-0011 192.168.11.254 normal as1
1 S5320-SI 0200-0000-0022 192.168.11.253 normal as2
2 S5320-SI 0200-0000-0033 192.168.11.252 normal as3
3 S5320-LI 0200-0000-0044 192.168.11.251 normal as4
4 S5320-LI 0200-0000-0055 192.168.11.250 normal as5
------------------------------------------------------------------------------
--
Cuando el campo State en la salida del comando muestra normal para un AS, el AS se
ha conectado al sistema SVF.
# Ejecute el comando display uni-mng topology information para ver información de
topología SVF.
[SwitchA] display uni-mng topology information
The topology information of uni-mng network:
<-->: direct link <??>: indirect link
T: Trunk ID *: independent AS
------------------------------------------------------------------------------
Local MAC Hop Local Port T || T Peer Port Peer MAC
------------------------------------------------------------------------------
0400-0000-1100 0 GE1/1/0/1 1 <-->0 GE0/0/27 0200-0000-0011
0400-0000-1100 0 GE2/1/0/1 1 <-->0 GE0/0/28 0200-0000-0011
0400-0000-1100 0 GE1/1/0/2 2 <-->0 GE0/0/27 0200-0000-0022
0400-0000-1100 0 GE2/1/0/2 2 <-->0 GE0/0/28 0200-0000-0022
0400-0000-1100 0 GE1/1/0/3 3 <-->0 GE0/0/27 0200-0000-0033
0400-0000-1100 0 GE2/1/0/3 3 <-->0 GE0/0/28 0200-0000-0033
0200-0000-0011 1 GE0/0/23 4 <-->0 GE0/0/11 0200-0000-0044
0200-0000-0011 1 GE0/0/24 4 <-->0 GE0/0/12 0200-0000-0044
0200-0000-0033 1 GE0/0/23 5 <-->0 GE0/0/11 0200-0000-0055
0200-0000-0033 1 GE0/0/24 5 <-->0 GE0/0/12 0200-0000-0055
------------------------------------------------------------------------------
Total items displayed : 10
Download patch : --
Method : --
Upgrading phase : --
Last operation result : --
Error reason : --
Last operation time : --
----------------------------------------------------------------------------
AS name : as2
Work status : NO-UPGRADE
Startup system-software : flash:/s5320si.cc
Startup version : V200R010C00
Startup patch : --
Next startup system-software : --
Next startup patch : --
Download system-software : --
Download version : --
Download patch : --
Method : --
Upgrading phase : --
Last operation result : --
Error reason : --
Last operation time : --
----------------------------------------------------------------------------
AS name : as3
Work status : NO-UPGRADE
Startup system-software : flash:/s5320si.cc
Startup version : V200R010C00
Startup patch : --
Next startup system-software : --
Next startup patch : --
Download system-software : --
Download version : --
Download patch : --
Method : --
Upgrading phase : --
Last operation result : --
Error reason : --
Last operation time : --
----------------------------------------------------------------------------
AS name : as4
Work status : NO-UPGRADE
Startup system-software : flash:/s5320li.cc
Startup version : V200R010C00
Startup patch : --
Next startup system-software : --
Next startup patch : --
Download system-software : --
Download version : --
Download patch : --
Method : --
Upgrading phase : --
Last operation result : --
Error reason : --
Last operation time : --
----------------------------------------------------------------------------
AS name : as5
Work status : NO-UPGRADE
Startup system-software : flash:/s5320li.cc
Startup version : V200R010C00
Startup patch : --
Next startup system-software : --
Next startup patch : --
Download system-software : --
Download version : --
Download patch : --
Method : --
Upgrading phase : --
Last operation result : --
Error reason : --
# Confirme las configuraciones para que las configuraciones en los perfiles de servicio
se puedan entregar a los AS.
[SwitchA-um] commit as all
Warning: Committing the configuration will take a long time. Continue?[Y/N]: y
7. Inicie sesión en AS para verificar las configuraciones de servicio de los AS. Lo siguiente
usa el inicio de sesión a AS1 como ejemplo.
# Ejecute el comando attach asa name as-name en el parent para iniciar sesión en AS1 y
verifique si el nombre de usuario y la contraseña de inicio de sesión configurados son
correctos.
[SwitchA] uni-mng
[SwitchA-um] attach as name as1
Info: Connecting to the remote AS now. Use the quit command to return to the
user view.
Trying 192.168.11.254 ...
Press CTRL+K to abort
Connected to 192.168.11.254 ...
Info: The max number of VTY users is 10, and the number
of current VTY users on line is 1.
The current login time is 2016-06-25 22:31:18+00:00.
<HUAWEI>
NOTA
Para verificar la configuración de autenticación de acceso, debe ejecutar el comando display
authentication interface interface-type interface-number en un AS.
<HUAWEI> display current-configuration
......
#
interface Eth-Trunk0
port link-type hybrid
port hybrid tagged vlan 1 11
stp instance 0 cost 200
traffic-filter outbound acl 4998
traffic-limit outbound acl 3999 cir 128 pir 128 cbs 16000 pbs 16000
traffic-statistic outbound acl 3999
traffic-limit outbound acl 4999 cir 32 pir 32 cbs 4000 pbs 4000
traffic-statistic outbound acl 4999
mode lacp
mad detect mode relay
#
interface GigabitEthernet0/0/1
stp root-protection
#
interface GigabitEthernet0/0/26
eth-trunk 0
broadcast-suppression 100
#
......
Resumen de configuración
1. Al configurar un CSS para un parent, use la tarjeta CSS o el modo de conexión del
puerto de servicio de acuerdo con los requisitos de red. En este ejemplo se usa la
conexión de la tarjeta CSS.
2. Puede configurar perfiles de servicio y vincularlos a los AS antes o después de que los
AS se conecten al sistema SVF. El modo de configuración del servicio AS incluye los
modos preconfigurados y no preconfigurados según la configuración de los servicios de
tiempo. Cualquiera que sea el modo de configuración que use, debe ejecutar el comando
commit as { name as-name | all } para confirmar la configuración después de
completarla.
– Modo preconfigurado: Antes de que los AS se conecten al sistema SVF,
preconfigure los perfiles del servicio, vínculelos a los AS, guarde la configuración
en el parent y luego ejecute el comando commit as { name as-name | all } para
confirmar la configuración. Cuando los AS se conectan al sistema SVF, las
configuraciones en los perfiles de servicio se entregan automáticamente a los AS.
– Modo no preconfigurado: Después de que los AS se conecten al sistema SVF,
configure los perfiles del servicio, vínculelos a los AS y ejecute el comando
commit as { name as-name | all } para confirmar la configuración para que las
configuraciones en los perfiles de servicio puedan entregarse a los AS.
3. Una vez habilitada la función SVF, las funciones del Protocolo de árbol de expansión
(STP) y del Protocolo de detección de capa de enlace (LLDP) están habilitadas
completamente en el parent. Preste atención a los siguientes puntos al usar las funciones
STP y LLDP en un sistema SVF:
– Puede deshabilitar las funciones STP y LLDP solo en puertos, no completamente.
– No deshabilite la función LLDP en los puertos de miembro de un puerto de matriz,
puertos conectados a AP y puertos de enlace ascendente de AP. De lo contrario, la
topología SVF será anormal.
4. Después de habilitar la función SVF, el parent cambiará STP a Protocolo de árbol de
expansión rápido (RSTP) y establecerá la prioridad de la instancia 0 a 28762 mediante el
comando stp instance 0 priority 28672. Después de que la función SVF esté
deshabilitada, se restablece la prioridad predeterminada de la instancia 0. Cuando la
función SVF está habilitada o deshabilitada, STP vuelve a calcular las funciones del
puerto y cambia el estado del puerto. El tráfico en los puertos se interrumpirá
temporalmente.
5. La función de retransmisión de MAD se habilita automáticamente en el Eth-Trunk al que
está vinculado un puerto de matriz de enlace descendente, y la función MAD se habilita
automáticamente en el Eth-Trunk al que un puerto de matriz de enlace ascendente está
vinculado a realizar MAD en un AS que es una pila. Cuando se elimina el switch de
modo de standby en el AS, MAD no puede ejecutarse porque el switch de modo de
standby se reinicia automáticamente sin guardar la configuración.
6. Para evitar que la función SVF se vea afectada, no realice operaciones MIB para
modificar la configuración generada automáticamente en un sistema SVF, por ejemplo,
la configuración de STP, LLDP y Eth-Trunk a la que está vinculado un puerto de matriz.
7. Si un AP se ha conectado al parent antes de que la función SVF esté habilitada, el parent
no puede recopilar información de topología sobre el AP después de que el comando
uni-mng se use para habilitar la función SVF. Debe ejecutar el comando commit { all |
ap ap-id } en la vista de WLAN para confirmar la configuración de AP. Posteriormente,
el parent puede recopilar información de topología sobre el AP.
8. En el parent, puede haber un retraso al mostrar la salida de algunos comandos ejecutados
en los AS, incluido el comando patch delete all y patch load filename all [ active |
run ].
9. En un sistema SVF, la longitud de trama máxima permitida por los puertos no puede
configurarse en un AS. Por lo tanto, la longitud máxima de trama es el valor
predeterminado 9216 (incluido el campo CRC).
10. Los ataques internos de una VLAN de gestión harán que los AS se desconecten del
sistema SVF. Debe apagar los puertos atacados o eliminar los puertos de la VLAN de
gestión después de identificar la fuente de ataque.
11. Después de que un AS se desconecte del sistema SVF, todos los puertos de enlace
descendente del AS se apagarán.
12. Los parámetros configurados de túnel de Control y Aprovisionamiento de Puntos de
Acceso Inalámbricos (CAPWAP) se aplican al sistema SVF. Para asegurarse de que el
túnel CAPWAP del sistema SVF funciona normalmente, se recomienda mantener los
parámetros de túnel CAPWAP predeterminados.
13. En el sistema SVF, los derechos de acceso a la red disponibles antes de que los usuarios
pasen la autenticación de control de admisión a la red (NAC), pueden ser autorizados
mediante las reglas sin autenticación en lugar de un grupo de lista de control del usuario
(UCL).
14. SVF no admite servidores de portal incorporados.
lldp enable
#
dhcp enable
#
interface Vlanif11
ip address 192.168.11.1 255.255.255.0
dhcp select interface
dhcp server option 43 ip-address 192.168.11.1
#
interface Eth-Trunk1
port link-type hybrid
port hybrid tagged vlan 1 10 to 11
stp root-protection
authentication dot1x
mode lacp
loop-detection disable
mad relay
#
interface Eth-Trunk2
port link-type hybrid
port hybrid tagged vlan 1 10 to 11
stp root-protection
authentication dot1x
mode lacp
loop-detection disable
mad relay
#
interface Eth-Trunk3
port link-type hybrid
port hybrid tagged vlan 1 11 20
stp root-protection
authentication dot1x
mode lacp
loop-detection disable
mad relay
#
interface GigabitEthernet1/1/0/1
eth-trunk 1
#
interface GigabitEthernet1/1/0/2
eth-trunk 2
#
interface GigabitEthernet1/1/0/3
eth-trunk 3
#
interface GigabitEthernet1/2/0/1
mad detect mode direct
#
interface GigabitEthernet2/1/0/1
eth-trunk 1
#
interface GigabitEthernet2/1/0/2
eth-trunk 2
#
interface GigabitEthernet2/1/0/3
eth-trunk 3
#
interface GigabitEthernet2/2/0/1
mad detect mode direct
#
capwap source interface vlanif11
#
wlan
wlan ap lldp enable
ap auth-mode no-auth
ap-id 1 type-id 30 ap-mac ac85-3da6-a420 ap-sn 2102355547W0E3000316
wlan work-group default
#
as-auth
Requisitos de red
Una nueva red de campus tiene una gran cantidad de dispositivos de acceso cableado. Los
dispositivos de acceso ampliamente distribuidos complican la gestión y la configuración de la
capa de acceso. Se requiere una gestión y configuración unificada de los dispositivos de
acceso cableado para reducir el costo de gestión.
En este ejemplo, complete las siguientes operaciones en los dispositivos de acceso:
l Configure el nombre de usuario y la contraseña del administrador para los dispositivos
de acceso.
l Asigne VLAN a los puertos de acceso.
l Establezca el modo de autenticación de acceso de usuario a la autenticación 802.1X.
Como se muestra en Figura 4-34, dos switches de agregación (SwitchA y SwitchB)
configuran una pila para mejorar la confiabilidad y funcionan como el Parent para conectarse
a múltiples AS. La detección de múltiples activos (MAD) en modo directo se debe configurar
en el Parent para evitar conflictos cuando la pila se divide.
SwitchA SwitchB
iStack
Parent
S6320-26Q-EI-24S-AC
Enlace iStack
Enlace MAD
Eth-Trunk (vinculado a un puerto de matriz)
Plan de datos
Ítem Datos Descripción
Procedimiento
Paso 1 Configure una pila entre los dos switches utilizados como el Parent. Establezca el modo de
trabajo de la pila al Parent y configure MAD en modo directo.
# Configure los puertos de servicio 40GE0/0/1 y 40GE0/0/2 de SwitchA como puertos de
miembro físicos y vínculelos a los puertos lógicos de la pila.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] interface stack-port 0/1
[SwitchA-stack-port0/1] port interface 40ge 0/0/1 enable
[SwitchA-stack-port0/1] quit
[SwitchA] interface stack-port 0/2
[SwitchA-stack-port0/2] port interface 40ge 0/0/2 enable
[SwitchA-stack-port0/2] quit
# Apague el SwitchA y SwitchB, conecte los puertos de miembro físicos con puertos de cobre
QSFP+ y luego encienda los switches. Conecte el puerto de miembro del puerto lógico 1 de
pila en un switch al puerto de miembro del puerto lógico 2 de pila en el otro switch.
# Inicie sesión en la pila y configúrela para que funcione en el modo del Parent.
<SwitchA> system-view
[SwitchA] as-mode disable
Warning: Switching the AS mode will clear current configuration and reboot the
system. Continue? [Y/N]:y
Paso 2 Configure la VLAN de gestión en el sistema SVF y habilite la función SVF en el Parent.
[SwitchA] vlan batch 11
[SwitchA] dhcp enable
[SwitchA] interface vlanif 11
[SwitchA-Vlanif11] ip address 192.168.11.1 24
[SwitchA-Vlanif11] dhcp select interface
[SwitchA-Vlanif11] dhcp server option 43 ip-address 192.168.11.1
[SwitchA-Vlanif11] quit
Este paso es opcional. Si no realiza este paso, el sistema generará información del dispositivo AS cuando los
AS se conecten al sistema SVF. Un nombre AS es el nombre predeterminado del sistema - la dirección MAC
del sistema, por ejemplo, S5300-28P-LI-AC mac-address 0200-0000-0011. Si realiza este paso, asegúrese de
que el modelo y la dirección MAC configurados sean consistentes con la información real del dispositivo y
que la dirección MAC sea la dirección MAC del sistema de un AS. De lo contrario, los AS no pueden
conectarse al sistema SVF.
[SwitchA-um] as name as1 model S5300-28P-LI-AC mac-address 0200-0000-0011
[SwitchA-um-as-as1] quit
[SwitchA-um] as name as2 model S5300-28P-LI-AC mac-address 0200-0000-0022
[SwitchA-um-as-as2] quit
[SwitchA-um] as name as3 model S5300-28P-LI-AC mac-address 0200-0000-0033
[SwitchA-um-as-as3] quit
# Configure la autenticación de la lista blanca para que los AS se conecten a un sistema SVF.
[SwitchA] as-auth
[SwitchA-as-auth] undo auth-mode
[SwitchA-as-auth] whitelist mac-address 0200-0000-0011
[SwitchA-as-auth] whitelist mac-address 0200-0000-0022
[SwitchA-as-auth] whitelist mac-address 0200-0000-0033
[SwitchA-as-auth] quit
Paso 4 Borre las configuraciones de los AS, reinicie los AS y luego conecte los AS al Parent por
medio de los cables. Posteriormente, se configura un sistema SVF.
NOTA
l Antes de reiniciar un AS, verifique si el puerto que conecta este AS al parent es un puerto de enlace
descendente. Puede ejecutar el comando display port connection-type access all en este AS para ver
todos los puertos de enlace descendente. Si este puerto es un puerto de enlace descendente, ejecute el
comando uni-mng up-direction fabric-port en este AS para configurar este puerto como un puerto de
enlace ascendente antes de reiniciar este AS. De lo contrario, este AS no puede conectarse.
l Antes de conectar un AS al parent, asegúrese de que el AS no tenga ningún archivo de configuración ni
entrada en el puerto de la consola.
# Después de conectar los cables, ejecute el comando display as all para verificar si los AS se
han conectado al sistema SVF.
[SwitchA] display as all
Total: 3, Normal: 3, Fault: 0, Idle: 0, Version mismatch: 0
--------------------------------------------------------------------------------
No. Type MAC IP State Name
--------------------------------------------------------------------------------
0 S5300-P-LI 0200-0000-0011 192.168.11.254 normal as1
1 S5300-P-LI 0200-0000-0022 192.168.11.253 normal as2
2 S5300-P-LI 0200-0000-0033 192.168.11.252 normal as3
--------------------------------------------------------------------------------
Cuando el campo State en la salida del comando muestra normal para un AS, el AS se ha
conectado al sistema SVF.
# Ejecute el comando display uni-mng upgrade-info verbose para ver toda la información
de la versión AS.
[SwitchA] display uni-mng upgrade-info verbose
The total number of AS is : 3
----------------------------------------------------------------------------
AS name : as1
Work status : NO-UPGRADE
Startup system-software : flash:/s5300-p-li.cc
Startup version : V200R009C00
Startup patch : --
Next startup system-software : --
# Confirme las configuraciones para que las configuraciones en los perfiles de servicio se
puedan entregar a los AS.
[SwitchA-um] commit as all
Warning: Committing the configuration will take a long time. Continue?[Y/N]: y
Info: The max number of VTY users is 10, and the number
of current VTY users on line is 1.
The current login time is 2016-03-25 22:31:18+00:00.
<HUAWEI>
mode lacp
mad detect mode relay
#
interface GigabitEthernet0/0/1
stp root-protection
authentication access-point
authentication dot1x
#
interface GigabitEthernet0/0/26
eth-trunk 0
broadcast-suppression 100
#
......
----Fin
Resumen de configuración
1. Puede configurar perfiles de servicio y vincularlos a los AS antes o después de que los
AS se conecten al sistema SVF. El modo de configuración del servicio AS incluye los
modos preconfigurados y no preconfigurados según la configuración de los servicios de
tiempo. Cualquiera que sea el modo de configuración que use, debe ejecutar el comando
commit as { name as-name | all } para confirmar la configuración después de
completarla.
– Modo preconfigurado: Antes de que los AS se conecten al sistema SVF,
preconfigure los perfiles del servicio, vínculelos a los AS, guarde la configuración
en el Parent y luego ejecute el comando commit as { name as-name | all } para
confirmar la configuración. Cuando los AS se conectan al sistema SVF, las
configuraciones en los perfiles de servicio se entregan automáticamente a los AS.
– Modo no preconfigurado: Después de que los AS se conecten al sistema SVF,
configure los perfiles del servicio, vínculelos a los AS y ejecute el comando
commit as { name as-name | all } para confirmar la configuración para que las
configuraciones en los perfiles de servicio puedan entregarse a los AS.
2. Una vez habilitada la función SVF, las funciones del Protocolo de árbol de expansión
(STP) y del Protocolo de detección de capa de enlace (LLDP) están habilitadas
completamente en el Parent. Preste atención a los siguientes puntos al usar las funciones
STP y LLDP en un sistema SVF:
– Puede deshabilitar las funciones de STP y LLDP solo en los puertos, no
completamente.
– No deshabilite la función de LLDP en los puertos de miembro de un puerto de
matriz. De lo contrario, la topología SVF será anormal.
3. Después de habilitar la función SVF, el Parent cambiará STP a Protocolo de árbol de
expansión rápido (RSTP) y establecerá la prioridad de la instancia 0 a 28762 mediante el
comando stp instance 0 priority 28672. Después de que la función SVF esté
deshabilitada, se restablece la prioridad predeterminada de la instancia 0. Cuando la
función SVF está habilitada o deshabilitada, STP vuelve a calcular las funciones del
puerto y cambia el estado del puerto. El tráfico en los puertos se interrumpirá
temporalmente.
4. La función de retransmisión de MAD se habilita automáticamente en el Eth-Trunk al que
está vinculado un puerto de matriz de enlace descendente, y la función MAD se habilita
automáticamente en el Eth-Trunk al que un puerto de matriz de enlace ascendente está
vinculado a realizar MAD en un AS que es una pila. Cuando se elimina el switch de
modo de standby en el AS, MAD no se puede ejecutar porque el switch de modo de
standby se reinicia automáticamente sin guardar la configuración.
5. Para evitar que la función SVF se vea afectada, no realice operaciones MIB para
modificar la configuración generada automáticamente en un sistema SVF, por ejemplo,
la configuración de STP, LLDP y Eth-Trunk a la que está vinculado un puerto de matriz.
6. En el Parent, puede haber un retraso al mostrar la salida de algunos comandos ejecutados
en los AS, incluido el comando patch delete all y patch load filename all [ active |
run ].
7. En un sistema SVF, la longitud de trama máxima permitida por los puertos no se puede
configurar en un AS. Por lo tanto, la longitud máxima de trama es el valor
predeterminado 9216 (incluido el campo CRC).
8. Los ataques internos de una VLAN de gestión harán que los AS se desconecten del
sistema SVF. Debe apagar los puertos atacados o eliminar los puertos de la VLAN de
gestión después de identificar la fuente de ataque.
9. Después de que un AS se desconecte del sistema SVF, todos los puertos de enlace
descendente del AS se apagarán.
10. Los parámetros configurados de túnel de Control y Aprovisionamiento de Puntos de
Acceso Inalámbricos (CAPWAP) se aplican al sistema SVF. Para asegurarse de que el
túnel CAPWAP del sistema SVF funciona normalmente, se recomienda mantener los
parámetros de túnel CAPWAP predeterminados.
11. En el sistema SVF, los derechos de acceso a la red disponibles antes de que los usuarios
pasen la autenticación de control de admisión a la red (NAC), pueden ser autorizados
mediante reglas sin autenticación en lugar de un grupo de lista de control del usuario
(UCL).
12. SVF no admite servidores de portal incorporados.
Información relacionada
Vídeo
PoE se usa en la red Ethernet con cable y es la más utilizada en las LAN locales. Proporciona
energía a los terminales sobre el medio de transmisión sin afectar la transmisión de datos. Esta
tecnología proporciona energía en 10Base-T, 100Base-TX, 1000Base-T o 2.5GE BASE-T
Ethernet a una distancia de hasta 200 m. PoE se puede utilizar para proporcionar
efectivamente energía centralizada para terminales como teléfonos IP, AP, cargadores de
dispositivos portátiles, máquinas POS, cámaras y dispositivos de recopilación de datos. Los
terminales reciben la energía cuando acceden a la red. Por lo tanto, no se requiere el cableado
interior de la fuente de alimentación.
l Fiable: Múltiples PDs son alimentados por un dispositivo, lo que facilita la copia de
seguridad.
l Fácil de implementar: Los terminales de red pueden alimentarse a través de cables de
red, sin necesidad de las fuentes de alimentación externas.
l Standard: La función PoE cumple con IEEE 802.3af y 802.3at, y todos los dispositivos
PoE usan fuentes de energía uniformes.
Notas de configuración
l Solo los modelos de productos con PWR en los nombres de productos son compatibles
con PoE.
l A continuación se describen los modelos de productos y versiones aplicables.
S2300EI V100R006C05
S2320EI V200R011C10
S3300SI V100R006C05
S3300EI V100R006C05
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Figura 4-35 muestra que los switches se implementan en la capa de acceso en la red. El
teléfono IP conectado al switch se implementa al aire libre y el AP se implementa en la pared
externa de la oficina. Es difícil conectar fuentes de alimentación a estos dispositivos. El
usuario desea que el switch proporcione energía para estos dispositivos y ahorre los costos de
implementación.
Para gestionar de manera flexible los PD, configure el modo de administración de energía en
modo automático. Como la red de oficinas de un banco, AP1 no se puede apagar y se debe
configurar con la mayor prioridad de suministro de la fuente de alimentación. Por lo general,
IP Phone1 no se puede apagar, ya que maneja una gran cantidad de servicios y debe
configurarse con una alta prioridad de suministro de la fuente de alimentación. AP2 necesita
estar apagado dentro de un segmento de tiempo fijo cada día.
GE2/0/1 GE2/0/2
IP Phone 1 AP1
IP Phone 2 AP2
Procedimiento
Paso 1 Configure el modo de administración de energía del dispositivo como modo automático.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] poe power-management auto slot 1
[Switch] poe power-management auto slot 2
Paso 2 Configure la energía de salida máxima de la tarjeta PoE en la ranura 1 como 200 W.
[Switch] poe max-power 200000 slot 1
Warning: This operation may power off some PD. Continue?[Y/N]:y
Paso 6 Configure un rango de tiempo de apagado de PoE de 10:00 a 11:00 para los PD conectados a
GigabitEthernet1/0/1.
[Switch] time-range tset 10:00 to 11:00 daily
[Switch] interface gigabitethernet 2/0/2
[Switch-GigabitEthernet2/0/2] poe power-off time-range tset
Warning: This operation will power off the PD during this time range poe.
Continue?[Y/N]:y
[Switch-GigabitEthernet2/0/2] quit
----Fin
Archivos de configuración
#
sysname
Switch
#
poe max-power 200000 slot 1
time-range tset 10:00 to 11:00 daily
#
interface GigabitEthernet1/0/1
poe priority high
poe power 15000
#
interface GigabitEthernet1/0/2
poe priority critical
poe power 20000
#
interface GigabitEthernet2/0/1
poe power 15000
#
interface GigabitEthernet2/0/2
poe power-off time-range tset
#
return
PoE se usa en la red Ethernet con cable y es la más utilizada en las LAN locales. Proporciona
energía a los terminales sobre el medio de transmisión sin afectar la transmisión de datos. Esta
tecnología proporciona energía en 10Base-T, 100Base-TX, 1000Base-T o 2.5GE BASE-T
Ethernet a una distancia de hasta 200 m. PoE se puede utilizar para proporcionar
efectivamente energía centralizada para terminales como teléfonos IP, AP, cargadores de
dispositivos portátiles, máquinas POS, cámaras y dispositivos de recopilación de datos. Los
terminales reciben energía cuando acceden a la red. Por lo tanto, no se requiere el cableado
interior de la fuente de alimentación.
l Fiable: Múltiples PDs son alimentados por un dispositivo, lo que facilita la copia de
seguridad.
l Fácil de implementar: Los terminales de red pueden alimentarse a través de cables de
red, sin necesidad de las fuentes de alimentación externas.
l Estándar: La función PoE cumple con IEEE 802.3af y 802.3at, y todos los dispositivos
PoE usan fuentes de energía uniformes.
Notas de configuración
l Solo los modelos de productos con PWR en los nombres de productos son compatibles
con PoE.
l A continuación se describen los modelos de productos y versiones aplicables.
S2300EI V100R006C05
S2320EI V200R011C10
S3300SI V100R006C05
S3300EI V100R006C05
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Figura 4-36 muestra que los switches se implementan en la capa de acceso en la red. El
teléfono IP conectado al switch se implementa al aire libre y el AP se implementa en la pared
externa de la oficina. Es difícil conectar fuentes de alimentación a estos dispositivos. El
usuario desea que el switch proporcione energía para estos dispositivos y ahorre los costos de
implementación.
El usuario desea encender los PD seleccionados según sea necesario, por lo que el modo de
administración de energía debe configurarse en modo manual.
GE2/0/1 GE2/0/2
IP Phone 1 AP1
IP Phone 2 AP2
Procedimiento
Paso 1 Configure el modo de administración de energía del dispositivo como modo manual.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] poe power-management manual slot 1
----Fin
Archivos de configuración
#
sysname
Switch
#
poe power-management manual slot 1
poe power-on interface gigabitethernet 1/0/1
#
return
Notas de configuración
l Restricciones de uso:
– Las interfaces eléctricas y ópticas de una interfaz combo son multiplexadas. La
interfaz óptica no puede tener un módulo de cobre instalado.
– Cuando una interfaz combo funciona en modo automático y la interfaz combo
óptica tiene un módulo óptico instalado, la interfaz combo funciona como una
interfaz óptica después de reiniciar el dispositivo.
– Puede configurar el modo de trabajo de la combo interfaz según el tipo de interfaz
remota. Si la interfaz combo eléctrica local está conectada a una interfaz eléctrica
remota, configure la combo interfaz para que funcione en modo de cobre. Si la
interfaz combo óptica local está conectada a una interfaz óptica remota, configure la
combo interfaz para que funcione en modo de fibra óptica. Si la interfaz combo
local está configurada para funcionar en un modo diferente de la interfaz remota, las
dos interfaces no pueden comunicarse.
l Este ejemplo se aplica a los switches que son compatibles con la interfaz compatible.
Requisitos de red
Como se muestra en Figura 5-1, PC1, PC2, y PC3 se conectan a GE 1/0/1, GE1/0/2 y
GE1/0/3 de Switch respectivamente. El conmutador se conecta a Internet a través de la
interfaz combo GE1/0/4. Puede configurar el modo de trabajo de la combo interfaz según el
tipo de interfaz remota. En este ejemplo, la interfaz remota en el lado de Internet es una
interfaz eléctrica.
Figura 5-1 Diagrama de redes para configurar el modo de trabajo de una interfaz combo
Internet
Switch GE1/0/4
GE1/0/1 GE1/0/3
GE1/0/2
Procedimiento
Paso 1 Configure la interfaz combo GE 1/0/4 para funcionar como una interfaz eléctrica.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] interface gigabitethernet 1/0/4
[Switch-GigabitEthernet1/0/4] combo-port copper //Configure la interfaz combo
para que funcione como una interfaz eléctrica. Por defecto, el modo de trabajo de
la interfaz combo es auto.
[Switch-GigabitEthernet1/0/4] quit
----Fin
Archivo de configuración
Archivo de configuración de Switch
#
sysname Switch
#
interface GigabitEthernet1/0/4
combo-port copper
#
return
Puede configurar la tasa y el modo dúplex de una interfaz Ethernet que funcione en modo de
negociación automática o negociación no automática.
l En el modo de negociación automática, las interfaces en ambos extremos de un enlace
negocian la tasa y el modo dúplex. Si la negociación tiene éxito, las dos interfaces usan
el mismo modo dúplex y tasa. La función de negociación automática tiene efecto solo
cuando ambos dispositivos conectados lo admiten. Si el dispositivo remoto no admite
negociación automática o utiliza un modo de negociación automática diferente, las
interfaces conectadas pueden estar Down.
l Puede configurar la interfaz local para que funcione en modo negociación no automática
y configure manualmente la tasa de la interfaz y el modo dúplex en las siguientes
situaciones:
El dispositivo remoto no admite negociación automática.
Después de configurar la negociación automática, los dispositivos locales y remotos no
pueden comunicarse.
Después de configurar la negociación automática, se conecta el enlace físico entre los
dispositivos locales y los remotos, pero se generan muchos paquetes de error o se
produce una pérdida de paquetes.
Notas de configuración
l Restricciones de uso
– Las interfaces Ethernet en ambos extremos de un enlace deben funcionar en el
mismo modo de negociación automática. De lo contrario, las interfaces pueden estar
Down.
– Cuando la tasa de trabajo de una interfaz eléctrica de GE es de 1000 Mbit/s, la
interfaz solo admite el modo dúplex completo y no necesita negociar el modo
dúplex con la interfaz remota.
– Las interfaces en ambos extremos de un enlace deben usar la misma tasa y el mismo
modo dúplex.
– Tabla 5-1 enumera la tasa y el modo dúplex de las interfaces Ethernet.
Requisitos de red
Como se muestra en Figura 5-2, el Servidor1, el Servidor2 y el Servidor3 forman un clúster
de servidor y se conectan a la GE1/0/1, GE1/0/2, y GE1/0/3 del Switch respectivamente. El
Switch se conecta a Internet a través de GE1/0/4.
Debido a las limitaciones de los adaptadores de red en los servidores, GE1/0/1, GE1/0/2, and
GE1/0/3solo pueden funcionar en el modo medio dúplex después de negociar con las
interfaces del servidor conectado. Como resultado, la pérdida de paquetes ocurre cuando el
volumen de tráfico de servicio es alto. Además, la tasa se negocia a 1000 Mbit/s para
GE1/0/1, GE1/0/2, y GE1/0/3. Cuando los tres servidores envían datos simultáneamente a la
tasa de 1000 Mbit/s, la interfaz de salida GE1/0/4 estará congestionada. Los usuarios
requieren que la pérdida de paquetes y la congestión no ocurran.
Figura 5-2 Diagrama de redes para configurar la tasa y el modo dúplex en modo negociación
no automática
Internet
Switch GE1/0/4
GE1/0/1 GE1/0/3
GE1/0/2
Procedimiento
Paso 1 Cree un grupo de puertos y agregue GE1/0/1, GE1/0/2 y GE1/0/3 al grupo de puertos.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] port-group portgroup1 //Cree un grupo de puertos permanente portgroup1.
[Switch-port-group-portgroup1] group-member GE1/0/1 to GE1/0/3 //Agregue
GE1/0/1,GE1/0/2, y GE1/0/3 a portgroup1.
El resultado del comando muestra que la interfaz funciona en modo no negociable, la tasa es
de 100 Mbit/s, y el modo dúplex es dúplex completo.
Del mismo modo, ejecuta el comando display interface gigabitethernet 1/0/2 y display
interface gigabitethernet 1/0/3 en GE1/0/2 y GE1/0/3respectivamente para comprobar la
información de trabajo de la interfaz.
----Fin
Archivo de configuración
Archivo de configuración de Switch
#
sysname Switch
#
interface GigabitEthernet1/0/1
undo negotiation auto
speed 100
#
interface GigabitEthernet1/0/2
undo negotiation auto
speed 100
#
interface GigabitEthernet1/0/3
undo negotiation auto
speed 100
#
port-group portgroup1
group-member GigabitEthernet1/0/1
group-member GigabitEthernet1/0/2
group-member GigabitEthernet1/0/3
#
return
Notas de configuración
l De defecto, una interfaz Ethernet funciona en modo Capa 2 y pertenece a la VLAN 1.
Una interfaz no se elimina de la VLAN 1 inmediatamente después de cambiar al modo
de Capa 3. Se elimina de la VLAN 1 solo cuando los protocolos de Capa 3 están Up.
l Puede configurar los modos de Capa 2 y Capa 3 de una interfaz Ethernet en la vista de
interfaz Ethernet o en la vista del sistema. Si las configuraciones en las dos vistas son
diferentes, la última configuración tiene efecto.
l El intervalo mínimo entre ejecutar los comandos portswitch y undo portswitch es de 30
segundos. Es decir, después de cambiar el modo de una interfaz Ethernet, espere al
menos 30 segundos antes de volver a cambiar el modo.
l Si existen configuraciones de servicio (como la configuración de port link-type trunk)
en una interfaz, borre todas las configuraciones de servicio antes de cambiar la interfaz
entre los modos de Capa 2 y Capa 3. La configuración de cambio de modo tiene efecto
en una interfaz cuando solo existen configuraciones de atributos (como configuraciones
shutdown and description) en la interfaz.
l En los switches que ejecutan V200R003 y versiones anteriores, las direcciones IP no se
pueden asignar a las interfaces Ethernet en el modo Capa 3.
l Tabla 5-2 enumera los productos y versiones a los que se aplica este ejemplo.
S5300HI V100R005C01,
V100R006C00&C01,
V200R001C00,
V200R002C00,
V200R003C00,
V200R005C00&C01
S5310EI V200R002C00,
V200R003C00,
V200R005C00&C01
S5320EI V200R007C00,
V200R008C00,
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S5320HI V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S6320HI V200R012C00
S6320EI V200R008C00,
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de red
Como se muestra en Figura 5-3, PC1, PC2, PC3 y PC4 están en cuatro segmentos de red, y
SwitchB, SwitchC, SwitchD y SwitchE son switches de acceso para estos cuatro segmentos
de red, respectivamente. Se requiere que cuatro interfaces Ethernet físicas en SwitchA se
configuren como interfaces de gateway para estos cuatro segmentos de red.
Figura 5-3 Diagrama de redes para configurar la tasa y el modo dúplex en modo negociación
no automática
10.10.1.0/24
PC1
SwitchB
GE1/0/1
SwitchA
GE1/0/2 GE1/0/4
GE1/0/3
Procedimiento
Paso 1 Cambie las interfaces al modo Capa 3.
# Cambie las interfaces al modo Capa 3.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] undo portswitch
[SwitchA-GigabitEthernet1/0/1] quit
Paso 2 Configure las direcciones IP de las interfaces Ethernet de Capa 3 como direcciones de
gateway.
# Configure la dirección IP de GE1/0/1 como una dirección de gateway. Las configuraciones
de GE1/0/2, GE1/0/3 y GE1/0/4 son similares a la configuración de GE1/0/1, y no se
mencionan aquí. Para más detalles, vea los archivos de configuración.
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] ip address 10.10.1.1 24
[SwitchA-GigabitEthernet1/0/1] quit
Paso 3 Ejecute el comando display interface gigabitethernet 1/0/1 en cualquier vista para
comprobar el modo de trabajo de la interfaz.
[SwitchA] display interface gigabitethernet 1/0/1
...
Description:
Route Port,The Maximum Frame Length is 9216
Internet Address is 10.10.1.1/24
...
----Fin
Archivo de configuración
Archivo de configuración de SwitchA
#
sysname SwitchA
#
interface GigabitEthernet1/0/1
undo portswitch
ip address 10.10.1.1 255.255.255.0
#
interface GigabitEthernet1/0/2
undo portswitch
ip address 10.10.2.1 255.255.255.0
#
interface GigabitEthernet1/0/3
undo portswitch
ip address 10.10.3.1 255.255.255.0
#
interface GigabitEthernet1/0/4
undo portswitch
ip address 10.10.4.1 255.255.255.0
#
return
Notas de configuración
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
l No agregue las interfaces de enlace ascendente y de enlace descendente al mismo grupo
de aislamiento de puerto a menos que sea necesario. Al contrario, las interfaces de enlace
ascendente y de enlace descendente no pueden comunicarse.
l Los switches de la serie S admiten el aislamiento de Capa 2 y el interfuncionamiento de
Capa 3.
l Todos los switches de chasis de la serie S admiten aislamiento de Capa 2 y Capa 3. Los
switches de caja de la serie S admiten el aislamiento de Capa 2 y Capa 3 excluyendo el
S2300SI que ejecuta V100R006C05 y S2350EI, S2320EI, S5300LI y S5320LI que
ejecutan V200R001 y versiones posteriores.
Requisitos de red
Una oficina de I+D de una empresa contiene empleados de la empresa, de la empresa
asociada A y de la empresa asociada B. Como se muestra en Figura 5-4, se utilizan PC1 y
PC2 por dos empleados de las empresas asociadas A y B, respectivamente, y PC3 es utilizado
por un empleado de I+D de la empresa. Los requisitos son los siguientes:
Router
Switch
GE1/0/1 GE1/0/3
Port isolation
group
VLAN 10
Procedimiento
Paso 1 Configure el aislamiento del puerto.
# Configure el aislamiento del puerto en GE1/0/1.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan 10
[Switch-vlan10] quit
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access //Establezca el tipo de
interfaz de GE1/0/1 a acceso.
[Switch-GigabitEthernet1/0/1] port default vlan 10 //Agregue GE1/0/1 a VLAN 10.
[Switch-GigabitEthernet1/0/1] port-isolate enable //Por defecto, la interfaz se
agrega al grupo de aislamiento de puerto 1 y el modo de aislamiento de puerto es
el aislamiento de Capa 2 y el interfuncionamiento de Capa 3. Puedes ejecutar el
comando port-isolate mode all para establecer el modo de aislamiento del puerto
en aislamiento de Capa 2 y Capa 3.
[Switch-GigabitEthernet1/0/1] quit
----Fin
Archivo de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
port-isolate enable group 1
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 10
port-isolate enable group 1
#
interface GigabitEthernet1/0/3
port link-type access
port default vlan 10
#
return
Notas de configuración
Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
Requisitos de redes
En Figura 6-1, el servidor conecta al switch a través de GE1/0/2. Para evitar que el cambio
difunda los paquetes destinados al servidor, la entrada de la dirección MAC estática del
servidor debe configurarse en el switch. Esto asegura que el switch envía por unidifusión los
paquetes destinados al servidor a través de GE1/0/2. La dirección MAC del PC está ligada
estáticamente a GE1/0/1 para garantizar una comunicación segura entre el PC y el servidor.
Red
Switch
GE1/0/1 GE1/0/2
VLAN 2
PC:2-2-2 Servidor:4-4-4
Procedimiento
Paso 1 Cree VLAN 2 en el switch y agregue GE1/0/1 y GE1/0/2 para VLAN 2.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 2 //Cree VLAN 2.
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access //La interfaz conectada al
PC debe ser la interfaz de acceso. El tipo de enlace predeterminado de una
interfaz no es el de acceso, por lo que debe configurar manualmente la interfaz
de acceso.
[Switch-GigabitEthernet1/0/1] port default vlan 2 //Agregue GE1/0/1 a VLAN 2.
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2 //La configuración de GE1/0/2 es
similar a GE1/0/1.
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port default vlan 2
[Switch-GigabitEthernet1/0/2] quit
# Ejecuta el comando display mac-address static vlan 2 en cualquier vista para verificar si
las entradas de direcciones MAC estáticas se agregaron con éxito a la tabla de direcciones
MAC.
[Switch] display mac-address static vlan 2
-------------------------------------------------------------------------------
MAC Address VLAN/VSI Learned-From Type
-------------------------------------------------------------------------------
0002-0002-0002 2/- GE1/0/1 static
0004-0004-0004 2/- GE1/0/2 static
-------------------------------------------------------------------------------
Total items displayed = 2
----Fin
Archivos de configuración
Archivo de configuración de switch
#
sysname Switch
#
vlan batch 2
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 2
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 2
#
mac-address static 0002-0002-0002 GigabitEthernet1/0/1 vlan 2
mac-address static 0004-0004-0004 GigabitEthernet1/0/2 vlan 2
#
return
Descripción general
Las entradas de dirección MAC de Blackhole se pueden usar para prevenir ataques desde los
usuarios no autorizados. El switch descarta paquetes desde o destinados a direcciones MAC
de agujero negro.
Notas de configuración
Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
Requisitos de redes
Como se muestra en Figura 6-2, el switch recibe un paquete de una PC no autorizada cuya
dirección MAC es de 0005-0005-0005 y pertenece a VLAN 3. Esta dirección MAC se puede
configurar como una dirección MAC negra para filtrar los paquetes desde el usuario no
autorizado.
Figura 6-2 Redes para configurar entradas de direcciones MAC de agujero negro
Usuario no
MAC Address VLAN ID
5-5-5 3 autorizado
Switch
Procedimiento
Paso 1 Configure una entrada de dirección MAC de agujero negro.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan 3 //Cree VLAN 3.
[Switch-vlan3] quit
[Switch] mac-address blackhole 0005-0005-0005 vlan 3 //Configure la dirección
MAC 0005-0005-0005 como la dirección MAC de blackhole en VLAN 3.
-------------------------------------------------------------------------------
Total items displayed = 1
----Fin
Archivos de configuración
Archivo de configuración de switch
#
sysname Switch
#
vlan batch 3
#
mac-address blackhole 0005-0005-0005 vlan 3
#
return
Descripción general
El switch limita el número de las entradas de direcciones MAC basadas en VLAN o
interfaces. En las oficinas donde los clientes rara vez cambian, puede configurar la limitación
de la dirección MAC para controlar el acceso de los usuarios. Esto puede proteger contra
ciertos ataques. Por ejemplo, si un atacante falsifica una gran cantidad de paquetes con
diferentes direcciones MAC de origen y envía los paquetes al dispositivo, se pueden agotar las
entradas de direcciones MAC finitas en la tabla de direcciones MAC del dispositivo. Cuando
la tabla de direcciones MAC está llena, el dispositivo no puede aprender las direcciones MAC
de origen de los paquetes válidos. Como resultado, el dispositivo difunde los paquetes
válidos, desperdiciando recursos de ancho de banda.
La limitación de direcciones MAC en una VLAN puede limitar el número de las entradas de
direcciones MAC en múltiples interfaces en una VLAN.
Notas de configuración
l Después de que el comando port-security enable esté configurado en una interfaz, la
limitación de la dirección MAC no puede tener efecto en la interfaz. No configure la
seguridad del puerto y la limitación de la dirección MAC en la misma interfaz
simultáneamente.
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
l Una vez que el número de las entradas de direcciones MAC aprendidas alcanza el límite,
las tarjetas SA de la serie S y F de los dispositivos de chasis y dispositivos de caja
(excluyendo S5320EI) no pueden descartar paquetes con direcciones MAC de origen
inexistentes.
Requisitos de redes
En Figura 6-3, la red 1 de usuario está conectada a GE1/0/1 del switch a través de LSW1, la
red 2 de usuario está conectada a GE1/0/2 del switch a través de LSW2, y GE1/0/1 y GE1/0/2
pertenecen a la VLAN 2. Para controlar el número de los usuarios de acceso, configure la
limitación de la dirección MAC en la VLAN 2.
Red
Switch
GE1/0/1 GE1/0/2
LSW1 LSW2
Red de Red de
usuario 1 VLAN 2 usuario 2
1. Cree una VLAN y agregue interfaces a la VLAN para implementar el reenvío de Capa 2.
2. Configure la limitación de direcciones MAC en una VLAN para evitar ataques de
direcciones MAC y controlar el número de los usuarios de acceso.
Procedimiento
Paso 1 Cree VLAN 2 y agregue GE1/0/1 y GE1/0/2 para VLAN 2.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 2
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk //Configure el tipo de
enlace de la interfaz como troncal.
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 2 //Agregue GE1/0/1 a
VLAN 2.
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2 //La configuración de GE1/0/2 es
similar a la configuración de of GE1/0/1.
[Switch-GigabitEthernet1/0/2] port link-type trunk
[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 2
[Switch-GigabitEthernet1/0/2] quit
----Fin
Archivos de configuración
Archivo de configuración de switch
#
sysname Switch
#
vlan batch 2
#
vlan 2
mac-limit maximum 100 action forward
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 2
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 2
#
return
Notas de configuración
l Después de configurar port-security enable en una interfaz, la limitación de la dirección
MAC no se puede configurar en la interfaz.
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
Requisitos de redes
En Figura 6-4, la red 1 de usuario y la red 2 de usuario se conectan al switch a través del
LSW, y GE1/0/1 del switch se conecta al LSW. La red 1 de usuario y la red 2 de usuario
pertenecen a VLAN 10 y a VLAN 20, respectivamente. En el switch, la limitación de la
dirección MAC se puede configurar en GE1/0/1 para controlar el número de los usuarios de
acceso.
Red
Switch
GE1/0/1
LSW
Red de Red de
usuario 1 usuario 2
VLAN 10 VLAN 20
1. Cree VLAN y agregue interfaces a las VLAN para implementar el reenvío de Capa 2.
2. Configure la limitación de la dirección MAC en una interfaz para controlar el número de
los usuarios de acceso.
Procedimiento
Paso 1 Cree VLAN 10 y VLAN 20 y agregue GE1/0/1 a VLAN 10 y VLAN 20.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 20 //Cree VLAN 10 y VLAN 20.
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk //Configure el tipo de
enlacen de interfaz como Trunk
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 20 //Agrugue
GE1/0/1 a VLAN 10 y VLAN 20.
[Switch-GigabitEthernet1/0/1] quit
Paso 2 Configure el switch para obtener un máximo de 100 entradas de direcciones MAC en
GE1/0/1. Cuando el número de las entradas de direcciones MAC aprendidas alcanza el límite,
el switch descarta los paquetes con nuevas entradas de dirección MAC de origen y genera una
alarma.
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] mac-limit maximum 100 action discard //La acción
predeterminada tomada para los paquetes en diferentes versiones es diferente. Se
le aconseja que especifique manualmente la acción. La función de alarma está
habilitada de manera predeterminada, por lo que no necesita especificarla
manualmente.
[Switch-GigabitEthernet1/0/1] quit
----Fin
Archivos de configuración
Archivo de configuración de switch
#
sysname Switch
#
vlan batch 10 20
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
mac-limit maximum 100
#
return
Descripción general
La agregación de enlaces de Ethernet aumenta el ancho de banda del enlace agrupando varios
enlaces físicos para formar un enlace lógico. La agregación de enlaces puede funcionar en
modo manual o en modo de Protocolo de control de agregación de enlaces (LACP).
compatible con LACP, puede usar el modo manual. El modo manual puede aumentar el ancho
de banda, mejorar la confiabilidad e implementar el equilibrio de carga.
En modo manual, todos los enlaces activos reenvían datos y equilibran tráfico de carga.
Notas de configuración
l Las interfaces de miembro de un Eth-Trunk deben usar el mismo tipo y velocidad de
Ethernet.
l Ambos dispositivos del Eth-Trunk deben usar la misma cantidad de interfaces físicas,
velocidad de interfaz, modo dúplex y modo de control de flujo.
l Si se agrega una interfaz del dispositivo local a un Eth-Trunk, una interfaz del
dispositivo remoto conectado directamente a la interfaz del dispositivo local también se
debe agregar a un Eth-Trunk. De lo contrario, los dos extremos no pueden comunicarse.
l Ambos dispositivos de un Eth-Trunk deben usar el mismo modo de agregación de
enlaces.
l Este ejemplo se aplica a todas las versiones y productos.
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
Requisitos de redes
En Figura 6-5, SwitchA y SwitchB se conectan a dispositivos en VLAN 10 y VLAN 20 a
través de enlaces de Ethernet, y el tráfico pesado se transmite entre SwitchA y SwitchB.
SwitchA y SwitchB pueden proporcionar mayor ancho de banda de enlace para implementar
comunicación entre VLAN. La transmisión de datos y la fiabilidad del enlace deben estar
garantizadas.
VLAN 10 VLAN 10
VLAN 20 VLAN 20
3. Ajuste el modo de equilibrio de carga para garantizar que el tráfico esté equilibrado de
carga entre las interfaces de miembro de Eth-Trunk y mejore la confiabilidad.
Procedimiento
Paso 1 Cree un Eth-Trunk en SwitchA y SwitchB y agregue interfaces de miembro al Eth-Trunk.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] interface eth-trunk 1 //Cree Eth-Trunk 1.
[SwitchA-Eth-Trunk1] trunkport gigabitethernet 1/0/1 to 1/0/3 //Agregue
GE1/0/1, GE1/0/2, and GE1/0/3 to Eth-Trunk 1.
[SwitchA-Eth-Trunk1] quit
<Quidway> system-view
[Quidway] sysname SwitchB
[SwitchB] interface eth-trunk 1 //Cree Eth-Trunk 1.
[SwitchB-Eth-Trunk1] trunkport gigabitethernet 1/0/1 to 1/0/3 //Agregue
GE1/0/1, GE1/0/2, and GE1/0/3 to Eth-Trunk 1.
[SwitchB-Eth-Trunk1] quit
# Configure Eth-Trunk 1 para permitir que los paquetes de VLAN 10 y VLAN 20 pasen. La
configuración de SwitchB es similar a la configuración de SwitchA, y no se menciona aquí.
[SwitchA] interface eth-trunk 1
[SwitchA-Eth-Trunk1] port link-type trunk //Configure la interfaz como una
interfaz Trunk. El tipo de enlace por defecto de una interfaz no es Trunk.
[SwitchA-Eth-Trunk1] port trunk allow-pass vlan 10 20
[SwitchA-Eth-Trunk1] quit
GigabitEthernet1/0/1 Up 1
GigabitEthernet1/0/2 Up 1
GigabitEthernet1/0/3 Up 1
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 10 20
#
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 10 20
load-balance src-dst-mac
#
interface GigabitEthernet1/0/1
eth-trunk 1
#
interface GigabitEthernet1/0/2
eth-trunk 1
#
interface GigabitEthernet1/0/3
eth-trunk 1
#
interface GigabitEthernet1/0/4
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet1/0/5
port link-type trunk
port trunk allow-pass vlan 20
#
return
Descripción general
La agregación de enlaces de Ethernet aumenta el ancho de banda del enlace agrupando varios
enlaces físicos para formar un enlace lógico. La agregación de enlaces puede funcionar en
modo manual o en modo de Protocolo de control de agregación de enlaces (LACP).
En el modo LACP, algunos enlaces son enlaces activos y otros enlaces son enlaces de reserva.
Todos los enlaces activos participan en el reenvío de datos. Si un enlace activo se vuelve
defectuoso, se selecciona un enlace de reserva para reemplazar el enlace defectuoso. Es decir,
la cantidad de enlaces que participan en el reenvío de datos permanece sin cambios.
Notas de configuración
l Las interfaces de miembro de un Eth-Trunk deben usar el mismo tipo y velocidad de
Ethernet.
l Ambos dispositivos de Eth-Trunk deben usar la misma cantidad de interfaces físicas,
velocidad de interfaz, modo dúplex y modo de control de flujo.
l Si se agrega una interfaz del dispositivo local a un Eth-Trunk, una interfaz del
dispositivo remoto conectado directamente a la interfaz del dispositivo local también se
debe agregar a un Eth-Trunk. De lo contrario, los dos extremos no pueden comunicarse.
l Ambos dispositivos de un Eth-Trunk deben usar el mismo modo de agregación de
enlaces.
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
Requisitos de redes
En Figura 6-6, SwitchA y SwitchB se conectan a dispositivos en VLAN 10 y VLAN 20 a
través de enlaces de Ethernet, y el tráfico pesado se transmite entre SwitchA y SwitchB. El
enlace entre SwitchA y SwitchB es necesario para proporcionar un gran ancho de banda para
implementar la comunicación entre VLAN. La agregación de enlaces en modo LACP está
configurada en SwitchA y SwitchB para mejorar el ancho de banda y la confiabilidad. Se
deben cumplir los siguientes requisitos:
Figura 6-6 Diagrama de redes para configurar la agregación de enlaces en modo LACP
VLAN 10 VLAN 10
VLAN 20 VLAN 20
Enlace activo
Enlace de
reserva
Procedimiento
Paso 1 Cree Eth-Trunk 1 en SwitchA y configure Eth-Trunk 1 para que funcione en modo LACP. La
configuración de SwitchB es similar a la de SwitchA, y no se menciona aquí.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] interface eth-trunk 1 //Cree Eth-Trunk 1.
[SwitchA-Eth-Trunk1] mode lacp //Configure la agregación de enlaces en modo
LACP.
[SwitchA-Eth-Trunk1] quit
Paso 3 Ajuste la prioridad LACP del sistema de SwitchA a 100 para que SwitchA se vuelva en Actor.
[SwitchA] lacp priority 100 //La prioridad LACP del sistema por defecto es de
32768. Cambie la prioridad LACP de SwitchA para que sea más alta que la de
SwitchB para que SwitchA funcione como Actor.
Paso 5 Ajuste la prioridad LACP de la interfaz y determine los enlaces activos en SwitchA.
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] lacp priority 100 //La prioridad LACP del
sistema por defecto es de 32768. Cambie la prioridad LACP de GE1/0/1 a 100 para
que GE1/0/1 sirva como la interfaz activa.
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] lacp priority 100 //La prioridad LACP del
sistema por defecto es de 32768. Cambie la prioridad LACP de GE1/0/2 to 100 so
that GE1/0/2 sirva como la interfaz activa.
[SwitchA-GigabitEthernet1/0/2] quit
# Configure Eth-Trunk 1 para permitir que los paquetes de VLAN 10 y VLAN 20 pasen. La
configuración de SwitchB es similar a la configuración de SwitchA, y no se menciona aquí.
[SwitchA] interface eth-trunk 1
[SwitchA-Eth-Trunk1] port link-type trunk //Configure la interfaz como una
interfaz Trunk. El tipo de enlace por defecto de una interfaz no es Trunk.
[SwitchA-Eth-Trunk1] port trunk allow-pass vlan 10 20
[SwitchA-Eth-Trunk1] quit
Partner:
--------------------------------------------------------------------------------
ActorPortName SysPri SystemID PortPri PortNo PortKey
PortState
GigabitEthernet1/0/1 32768 00e0-fca6-7f85 32768 6145
2609 11111100
GigabitEthernet1/0/2 32768 00e0-fca6-7f85 32768 6146
2609 11111100
GigabitEthernet1/0/3 32768 00e0-fca6-7f85 32768 6147
2609 11110000
[SwitchB] display eth-trunk 1
Eth-Trunk1's state information is:
Local:
LAG ID: 1 WorkingMode: LACP
Preempt Delay: Disabled Hash arithmetic: According to SIP-XOR-DIP
System Priority: 32768 System ID: 00e0-fca6-7f85
Least Active-linknumber: 1 Max Active-linknumber: 8
Operate status: up Number Of Up Port In Trunk: 2
--------------------------------------------------------------------------------
ActorPortName Status PortType PortPri PortNo
PortKey PortState Weight
GigabitEthernet1/0/1 Selected 1GE 32768 6145 2609
11111100 1
GigabitEthernet1/0/2 Selected 1GE 32768 6146 2609
11111100 1
GigabitEthernet1/0/3 Unselect 1GE 32768 6147 2609
11110000 1
Partner:
--------------------------------------------------------------------------------
ActorPortName SysPri SystemID PortPri PortNo
PortKey PortState
GigabitEthernet1/0/1 100 00e0-fca8-0417 100 6145
2865 11111100
GigabitEthernet1/0/2 100 00e0-fca8-0417 100 6146
2865 11111100
GigabitEthernet1/0/3 100 00e0-fca8-0417 32768 6147
2865 11100000
La información anterior muestra que la prioridad del sistema LACP de SwitchA es de 100 y
es más alta que la prioridad LACP del sistema de SwitchB. GigabitEthernet1/0/1 y
GigabitEthernet1/0/2 son interfaces activas y se queda bajo el estado Selected.
GigabitEthernet1/0/3 se queda bajo el estado Unselect. Además, se implementan el equilibrio
de carga y la redundancia.
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 10 20
#
lacp priority 100
#
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 10 20
mode lacp
max active-linknumber 2
#
interface GigabitEthernet1/0/1
eth-trunk 1
lacp priority 100
#
interface GigabitEthernet1/0/2
eth-trunk 1
lacp priority 100
#
interface GigabitEthernet1/0/3
eth-trunk 1
#
interface GigabitEthernet1/0/4
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet1/0/5
port link-type trunk
port trunk allow-pass vlan 20
#
return
Descripción general
Enhanced Trunk (E-Trunk) es una extensión de LACP (un protocolo de agregación de enlaces
para un solo dispositivo) e implementa la agregación de enlaces entre múltiples dispositivos.
E-Trunk logra la confiabilidad del enlace a nivel del dispositivo pero no la confiabilidad del
enlace a nivel de la tarjeta.
Cuando un CE esté dual-homed a una red VPLS, VLL o PWE3, se puede configurar un E-
Trunk para proteger los enlaces entre el CE y los PE e implementar la copia de seguridad
entre los PE. Si no se configura ningún E-Trunk, se puede conectar un CE a solo un PE
usando un Eth-Trunk. Si el Eth-Trunk o el PE falla, el CE no puede comunicarse con el PE.
Después de que se utilice el E-Trunk, el CE puede estar dual-homed a dos PE para
implementar la copia de seguridad.
Notas de configuración
l Los dispositivos deben usar la agregación de enlaces en modo LACP.
l En Figura 6-7, la configuración del E-Trunk en PE1 y en PE2 debe ser la misma. Los
Eth-Trunks entre PE1 y CE1 y entre PE2 y CE1 deben usar la misma velocidad y el
mismo modo dúplex (los valores clave deben ser los mismos) y unirse al mismo E-
Trunk. Después de que los Eth-Trunks se agreguen al E-Trunk, asegúrese de que las
prioridades de LACP y los IDs del sistema de PE1 y PE2 sean los mismos. En CE1, las
interfaces conectadas directamente a PE1 y PE2 se deben agregar al mismo Eth-Trunk.
Eth-Trunk puede tener un ID de Eth-Trunk distinto al de los PE. Por ejemplo, el CE está
configurado con Eth-Trunk 20, mientras que ambos PE están configurados con Eth-
Trunk 10.
l Debe especificar una dirección IP (se recomienda una dirección de loopback) para cada
PE para garantizar la conectividad de Capa 3. Asegúrese de que la dirección IP del otro
extremo de un PE sea la dirección IP local del otro PE.
l El E-Trunk debe estar vinculado a una sesión BFD.
l Debe ajustar la misma contraseña del paquete de protocolo para PE1 y PE2.
l Tabla 6-1 Modelos de productos y versiones aplicables
Producto Modelo del producto Versión del software
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Si no se configura ningún E-Trunk, se puede conectar un CE a solo un PE usando un Eth-
Trunk. Si el Eth-Trunk o el PE falla, el CE no puede comunicarse con el PE. Después de que
se configure un E-Trunk, el CE puede estar dual-homed para PE. E-Trunk logra la
confiabilidad del enlace a nivel del dispositivo pero no la confiabilidad del enlace a nivel de la
tarjeta.
En Figura 6-7, CE1 es conectado a PE1 y PE2 usando dos Eth-Trunks en modo LACP y está
dual-homed a una red VPLS.
Inicialmente, CE1 se comunica con CE2 en la red VPLS a través de PE1. Si PE1 o Eth-Trunk
entre CE1 y PE1 falla, CE1 no se puede comunicar con CE2. Para evitar la interrupción del
servicio, configure un E-Trunk en PE1 y PE2. Cuando falla la comunicación entre CE1 y PE1,
el tráfico cambia a PE2 para que CE1 pueda comunicarse con CE2 a través de PE2. Cuando
se recupere PE1 o Eth-Trunk entre CE1 y PE1, el tráfico vuelve a ser cambiado a PE1.
El E-Trunk implementa una copia de seguridad de los grupos de agregación de enlaces (LAG)
entre PE1 y PE2 y, por lo tanto, mejora la confiabilidad de la red.
Loopback1
PE1
Eth-Trunk10
/1
Eth-Trunk20 1/0 GE
GE /0/2 1/0
/1 1 /3 Loopback1
1/0 GE GE
GE /0/2 1/0
1 /1
GE PE3
E-Trunk1
GE GE1/0/3
CE1 GE1 1/0
/0/ /3 /0/2 CE2
4 G E1 GE1
/0/3
GE
1/0
/0/
1 GE1
/2
Eth-Trunk10
PE2
Loopback1
PE1 GigabitEthernet1/0/1 - -
- GigabitEthernet1/0/2 - -
- Loopback1 - 1.1.1.9/32
PE2 GigabitEthernet1/0/1 - -
- GigabitEthernet1/0/2 - -
- Loopback1 - 2.2.2.9/32
- GigabitEthernet1/0/3 GigabitEthernet1/0/3.1 -
- Loopback1 - 3.3.3.9/32
CE1 GigabitEthernet1/0/1 - -
- GigabitEthernet1/0/2 - -
- GigabitEthernet1/0/3 - -
- GigabitEthernet1/0/4 - -
CE2 GigabitEthernet1/0/3 - -
Procedimiento
Paso 1 Configure VLAN y direcciones IP de las interfaces del lado de PW según Figura 6-7.
Configure un protocolo de enrutamiento en la red de backbone para implementar el
interfuncionamiento entre dispositivos. OSPF se usa en este ejemplo.
# Configure el switch de agregación PE1.
<Quidway> system-view
[Quidway] sysname PE1
[PE1] vlan batch 100
Una vez completada la configuración, PE1, PE2 y PE3 usan OSPF para descubrir rutas de IP
a la interfaz Loopback1 de cada uno y pueden hacer ping entre sí. Ejecute el comando display
ip routing-table en PE1, PE2 y PE3 para determinar si los PE se han aprendido las rutas entre
sí.
NOTA
l La interfaz del lado AC y la interfaz del lado PW de un PE no se pueden agregar a la misma VLAN;
de lo contrario, puede ocurrir un bucle.
l Al configurar OSPF, configure PE1, PE2 y PE3 para anunciar direcciones de loopback de 32 bits.
Paso 2 Configure Eth-Trunks en modo LACP en el switch CE1, PE1 y PE2 del lado del usuario, y
agregue interfaces de miembro a Eth-Trunks. Configure el reenvío de Capa 2 en CE1.
# Configure CE1.
<Quidway> system-view
[Quidway] sysname CE1
[CE1] vlan batch 10
[CE1] interface eth-trunk 20 //Cree Eth-Trunk 20 e introduzca la vista de Eth-
Trunk 20.
[CE1-Eth-Trunk20] port link-type trunk //Establezca el tipo de enlace de la
interfaz al Trunk.
[CE1-Eth-Trunk20] port trunk allow-pass vlan 10 //Agregue Eth-Trunk 20 a VLAN 10.
[CE1-Eth-Trunk20] mode lacp //Configure Eth-Trunk 20 a funcionar en modo LACP.
[CE1-Eth-Trunk20] trunkport GigabitEthernet 1/0/1 to 1/0/4 //Agregue GE1/0/1 a
GE1/0/4 a Eth-Trunk20.
[CE1-Eth-Trunk20] quit
# Configure PE1.
[PE1] interface eth-trunk 10 //Cree Eth-Trunk 10 e introduzca la vista de Eth-
Trunk 10.
[PE1-Eth-Trunk10] port link-type trunk //Establezca el tipo de enlace de la
interfaz al Trunk.
[PE1-Eth-Trunk10] mode lacp //Configure Eth-Trunk 10 a funcionar en modo LACP.
[PE1-Eth-Trunk10] trunkport GigabitEthernet 1/0/1 to 1/0/2 //Agregue GE1/0/1 a
GE1/0/2 a Eth-Trunk10.
[PE1-Eth-Trunk10] quit
# Configure PE2.
[PE2] interface eth-trunk 10 //Cree Eth-Trunk 10 e introduzca la vista de Eth-
Trunk 10.
[PE2-Eth-Trunk10] port link-type trunk //Establezca el tipo de enlace de la
interfaz al Trunk.
[PE2-Eth-Trunk10] mode lacp //Configure Eth-Trunk 10 a funcionar en modo LACP.
[PE2-Eth-Trunk10] trunkport GigabitEthernet 1/0/1 to 1/0/2 //Agregue GE1/0/1 a
GE1/0/2 a Eth-Trunk10.
[PE2-Eth-Trunk10] quit
Paso 3 Cree un E-Trunk y ajuste la prioridad de LACP, el ID del sistema LACP, la prioridad de E-
Trunk, el multiplicador de tiempo para detectar paquetes de saludo, el intervalo al que se
envían los paquetes de saludo y las direcciones IP locales y remotas.
# Configure PE1.
[PE1] e-trunk 1 //Cree E-Trunk 1 e introduzca la vista de E-Trunk 1.
[PE1-e-trunk-1] quit
[PE1] lacp e-trunk priority 1 //Establezca la prioridad LACP de E-Trunk 1 a 1.
[PE1] lacp e-trunk system-id 00E0-FC00-0000 //Establezca el ID del sistema LACP
de E-Trunk 1 a 00E0-FC00-0000.
[PE1] e-trunk 1 //Introduzca la vista de E-Trunk 1.
[PE1-e-trunk-1] priority 10 //Establezca la prioridad de E-Trunk 1 a 10.
[PE1-e-trunk-1] timer hold-on-failure multiplier 3 //Establezca el multiplicador
de tiempo para detectar paquetes de saludo a 3.
[PE1-e-trunk-1] timer hello 9 //Establezca el intervalo al que se envían los
# Configure PE2.
[PE2] e-trunk 1 //Cree Eth-Trunk 1 e ingresa en la vista de E-Trunk 1.
[PE2-e-trunk-1] quit
[PE2] lacp e-trunk priority 1 //Establezca la prioridad LACP de E-Trunk 1 a 1.
[PE2] lacp e-trunk system-id 00E0-FC00-0000 //Establezca el ID del sistema LACP
de E-Trunk 1 a 00E0-FC00-0000.
[PE2] e-trunk 1 //Introduzca la vista de E-Trunk 1.
[PE2-e-trunk-1] priority 20 //Establezca la prioridad de E-Trunk 1 a 20.
[PE2-e-trunk-1] timer hold-on-failure multiplier 3 //Establezca el multiplicador
de tiempo para detectar paquetes de saludo a 3.
[PE2-e-trunk-1] timer hello 9 //Establezca el intervalo al que se envían los
paquetes de saludo a 9 ms.
[PE2-e-trunk-1] peer-address 1.1.1.9 source-address 2.2.2.9 //Establezca la
dirección IP remota a 1.1.1.9 y la dirección IP local a 2.2.2.9.
[PE2-e-trunk-1] quit
# Configure PE1.
[PE1] interface eth-trunk 10 //Introduzca la vista de E-Trunk 10.
[PE1-Eth-Trunk10] e-trunk 1 //Agregue Eth-Trunk 10 a E-Trunk 1.
[PE1-Eth-Trunk10] quit
# Configure PE2.
[PE2] interface eth-trunk 10 //Introduzca la vista de E-Trunk 10.
[PE2-Eth-Trunk10] e-trunk 1 //Agregue Eth-Trunk 10 a E-Trunk 1.
[PE2-Eth-Trunk10] quit
Las direcciones IP del extremo local y remoto de una sesión BFD deben ser las mismas
que las del E-Trunk.
# Configure PE2.
[PE2] bfd
[PE2-bfd] quit
[PE2] bfd hello2 bind peer-ip 1.1.1.9 source-ip 2.2.2.9 //Cree una sesión BFD
llamada hello2 y enlace la sesión BFD a la dirección IP remota 1.1.1.9 y la
dirección IP local 2.2.2.9.
[PE2-bfd-session-hello2] discriminator local 2 //Establezca el discriminador
local a 2.
[PE2-bfd-session-hello2] discriminator remote 1 //Establezca el discriminador
remoto a 1.
[PE2-bfd-session-hello2] commit //Confirme la configuración de la sesión BFD.
[PE2-bfd-session-hello2] quit
# Configure PE2.
[PE2] e-trunk 1 //Introduzca la vista de E-Trunk 1.
[PE2-e-trunk-1] e-trunk track bfd-session session-name hello2 //Enlace E-
Trunk 1 a la sesión BFD hello2.
[PE2-e-trunk-1] quit
Paso 6 Configure los PE para que CE1 pueda acceder a la red VPLS.
1. Configure las funciones básicas de MPLS y el LDP en PE1, PE2 y PE3.
# Configure PE1.
[PE1] mpls lsr-id 1.1.1.9 //Establezca el ID de LSR a 3.3.3.9.
[PE1] mpls //Habilite MPLS global.
[PE1-mpls] quit
[PE1] mpls ldp //Habilite LDP global.
[PE1-mpls-ldp] quit
[PE1] interface vlanif 100
[PE1-Vlanif100] mpls //Habilite MPLS en una interfaz.
[PE1-Vlanif100] mpls ldp //Habilite LDP en una interfaz.
[PE1-Vlanif100] quit
# Configure PE2.
[PE2] mpls lsr-id 2.2.2.9 //Establezca el ID de LSR a 2.2.2.9.
[PE2] mpls //Habilite MPLS global.
[PE2-mpls] quit
[PE2] mpls ldp //Habilite LDP global.
[PE2-mpls-ldp] quit
[PE2] interface vlanif 200
[PE2-Vlanif200] mpls //Habilite MPLS en una interfaz.
[PE2-Vlanif200] mpls ldp //Habilite LDP en una interfaz.
[PE2-Vlanif200] quit
# Configure PE3.
[PE3] mpls lsr-id 3.3.3.9 ////Establezca el ID de LSR a 3.3.3.9.
[PE3] mpls //Habilite MPLS global.
[PE3-mpls] quit
[PE3] mpls ldp //Habilite LDP global.
[PE3-mpls-ldp] quit
[PE3] interface vlanif 100
[PE3-Vlanif100] mpls //Habilite MPLS en una interfaz.
[PE3-Vlanif100] mpls ldp //Habilite LDP en una interfaz.
[PE3-Vlanif100] quit
[PE3] interface vlanif 200
[PE3-Vlanif200] mpls //Habilite MPLS en una interfaz.
[PE3-Vlanif200] mpls ldp //Habilite LDP en una interfaz.
[PE3-Vlanif200] quit
Una vez completada la configuración, ejecute el comando display mpls ldp session en
PE para determinar si el estado de la relación del otro extremo de LDP remota es
Operational. Esto indica que las sesiones remotas de LDP están creadas.
2. Habilite MPLS L2VPN en PE1, PE2 y PE3.
# Configure PE1.
[PE1] mpls l2vpn //Habilite MPLS L2VPN global.
[PE1-l2vpn] quit
# Configure PE2.
[PE2] mpls l2vpn //Habilite MPLS L2VPN global.
[PE2-l2vpn] quit
# Configure PE3.
[PE3] mpls l2vpn //Habilite MPLS L2VPN global.
[PE3-l2vpn] quit
3. Cree un VSI ldp1 en PE1, PE2 y PE3 y especifique LDP como el protocolo de
señalización en el VSI.
# Configure PE1.
[PE1] vsi ldp1 static //Cree una VSI llamada ldp1 y configure descubrimiento
de miembro estático.
[PE1-vsi-ldp1] pwsignal ldp //Establezca el modo de señalización a LDP.
[PE1-vsi-ldp1-ldp] vsi-id 2 //Establezca el ID de la VSI a 2.
[PE1-vsi-ldp1-ldp] peer 3.3.3.9 //Establezca la dirección del otro extremo
de la VSI a 3.3.3.9.
[PE1-vsi-ldp1-ldp] quit
[PE1-vsi-ldp1] quit
# Configure PE2.
[PE2] vsi ldp1 static //Cree una VSI llamada ldp1 y configure descubrimiento
de miembro estático.
[PE2-vsi-ldp1] pwsignal ldp //Establezca el modo de señalización a LDP.
[PE2-vsi-ldp1-ldp] vsi-id 2 //Set the ID of the VSI to 2.
[PE2-vsi-ldp1-ldp] peer 3.3.3.9 //Establezca la dirección del otro extremo
de la VSI a 3.3.3.9.
[PE2-vsi-ldp1-ldp] quit
[PE2-vsi-ldp1] quit
# Configure PE3.
[PE3] vsi ldp1 static //Cree una VSI llamada ldp1 y configure descubrimiento
de miembro estático.
[PE3-vsi-ldp1] pwsignal ldp //Establezca el modo de señalización a LDP.
[PE3-vsi-ldp1-ldp] vsi-id 2 //Establezca el ID de la VSI a 2.
[PE3-vsi-ldp1-ldp] peer 1.1.1.9 //Establezca la dirección del otro extremo
de la VSI a 1.1.1.9.
[PE3-vsi-ldp1-ldp] peer 2.2.2.9 //Establezca la dirección del otro extremo
de la VSI a 2.2.2.9.
[PE3-vsi-ldp1-ldp] quit
[PE3-vsi-ldp1] quit
# Configure PE2.
[PE2] interface Eth-Trunk 10.1 //Cree Eth-Trunk 10.1 e introduzca la vista de
Eth-Trunk 10.1.
[PE2-Eth-Trunk10.1] dot1q termination vid 10 //Establezca el ID de VLAN único
para la encapsulación dot1q en Eth-Trunk 10.1 a VLAN 10.
[PE2-Eth-Trunk10.1] l2 binding vsi ldp1 //Enlace Eth-Trunk 10.1 a la VSI ldp1.
[PE2-Eth-Trunk10.1] quit
----Fin
Archivos de configuración
l Archivo de configuración del CE1
#
sysname CE1
#
vlan batch 10
#
interface Eth-Trunk20
port link-type trunk
port trunk allow-pass vlan 10
mode lacp
#
interface GigabitEthernet1/0/1
eth-trunk 20
#
interface GigabitEthernet1/0/2
eth-trunk 20
#
interface GigabitEthernet1/0/3
eth-trunk 20
#
interface GigabitEthernet1/0/4
eth-trunk 20
#
return
l Archivo de configuración de PE1
#
sysname PE1
#
vlan batch 100
#
lacp e-trunk system-id 00e0-fc00-0000
lacp e-trunk priority 1
#
bfd
#
mpls lsr-id 1.1.1.9
mpls
#
mpls l2vpn
#
vsi ldp1 static
pwsignal ldp
vsi-id 2
peer 3.3.3.9
#
mpls ldp
#
interface Vlanif100
ip address 10.1.1.1 255.255.255.0
mpls
mpls ldp
#
e-trunk 1
priority 10
peer-address 2.2.2.9 source-address 1.1.1.9
timer hello 9
timer hold-on-failure multiplier 3
e-trunk track bfd-session session-name hello1
#
interface Eth-Trunk10
port link-type trunk
mode lacp
e-trunk 1
#
interface Eth-Trunk10.1
dot1q termination vid 10
l2 binding vsi ldp1
#
interface GigabitEthernet1/0/1
eth-trunk 10
#
interface GigabitEthernet1/0/2
eth-trunk 10
#
interface GigabitEthernet1/0/3
port link-type trunk
port trunk allow-pass vlan 100
#
interface LoopBack1
ip address 1.1.1.9 255.255.255.255
#
bfd hello1 bind peer-ip 2.2.2.9 source-ip 1.1.1.9
discriminator local 1
discriminator remote 2
commit
#
ospf 1
area 0.0.0.0
network 1.1.1.9 0.0.0.0
network 10.1.1.0 0.0.0.255
#
return
l Archivo de configuración de PE2
#
sysname PE2
#
vlan batch 200
#
lacp e-trunk system-id 00e0-fc00-0000
lacp e-trunk priority 1
#
bfd
#
mpls lsr-id 2.2.2.9
mpls
#
mpls l2vpn
#
vsi ldp1 static
pwsignal ldp
vsi-id 2
peer 3.3.3.9
#
mpls ldp
#
interface Vlanif200
ip address 10.1.2.1 255.255.255.0
mpls
mpls ldp
#
e-trunk 1
priority 20
peer-address 1.1.1.9 source-address 2.2.2.9
timer hello 9
timer hold-on-failure multiplier 3
e-trunk track bfd-session session-name hello2
#
interface Eth-Trunk10
port link-type trunk
mode lacp
e-trunk 1
#
interface Eth-Trunk10.1
dot1q termination vid 10
l2 binding vsi ldp1
#
interface GigabitEthernet1/0/1
eth-trunk 10
#
interface GigabitEthernet1/0/2
eth-trunk 10
#
interface GigabitEthernet1/0/3
port link-type trunk
port trunk allow-pass vlan 200
#
interface LoopBack1
Descripción general
En un CSS o una pila, un Eth-Trunk se configura como la interfaz saliente del tráfico para
garantizar una transmisión confiable. Las interfaces de miembro del Eth-Trunk están ubicadas
en diferentes chasis. Cuando los dispositivos en el CSS o la pila reenvíen el tráfico, el Eth-
Trunk puede seleccionar una interfaz de miembro entre chasis basada en un algoritmo de
hash. El ancho de banda del cable entre dispositivos en el CSS o la pila es limitado, por lo que
el reenvío del tráfico entre chasis ocupa recursos del ancho de banda entre dispositivos,
reduciendo la eficiencia del reenvío del tráfico. Para solucionar este problema, puede habilitar
un Eth-Trunk para reenviar preferentemente el tráfico local.
Notas de configuración
l Si las interfaces activas de un Eth-Trunk en el dispositivo local tienen suficiente ancho
de banda para reenviar el tráfico, puede configurar el Eth-Trunk para reenviar
preferentemente el tráfico local. Esto mejora la eficiencia del reenvío del tráfico y
aumenta la capacidad del ancho de banda entre los dispositivos en el CSS.
l Si las interfaces activas de un Eth-Trunk en el dispositivo local no tienen suficiente
ancho de banda para reenviar el tráfico, puede configurar el Eth-Trunk para que no
reenvíe preferentemente el tráfico local. En este caso, una parte del tráfico en el
dispositivo local se reenvía a través de las interfaces de miembro de un Eth-Trunk en
otro dispositivo, evitando la pérdida de paquetes.
l Tabla 6-2 Modelos de productos y versiones aplicables
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
En la red que se muestra en Figura 6-8, la tecnología del CSS se usa para aumentar la
capacidad total de los switches. Switch3 y Switch4 están conectados a través de los cables de
pila para formar un switch lógico. Para implementar la copia de seguridad entre switches y
mejorar la confiabilidad, las interfaces físicas en los dos switches se agregan a un Eth-Trunk.
En situaciones normales, el tráfico desde VLAN 2 y VLAN 3 se reenvía a través de GE1/0/1
y GE1/0/2 respectivamente. Esto aumenta la capacidad del ancho de banda entre switches y
reduce la eficiencia del reenvío del tráfico.
Para garantizar que el tráfico de VLAN 2 se reenvíe a través de GE1/0/1 y que el tráfico de
VLAN 3 se reenvíe a través de GE1/0/2, puede configurar el Eth-Trunk para reenviar
preferentemente el tráfico local.
Red
PE
GE1/0/1 GE1/0/2
Eth-Trunk 10
GE1/0/2 GE1/0/2
Switch1
Switch2
GE1/0/1 GE1/0/1
VLAN 2 VLAN 3
Cable de CSS
1. Crea un Eth-Trunk.
2. Agregue interfaces de miembro al Eth-Trunk.
3. Habilite que Eth-Trunk reenvíe preferentemente el tráfico local.
4. Agregue interfaces a VLAN para implementar la conectividad de Capa 2.
Procedimiento
Paso 1 Cree un Eth-Trunk y configure el ID de una VLAN desde la cual los paquetes pueden pasar a
través del Eth-Trunk.
# Configure el CSS.
<Quidway> system-view
[Quidway] sysname CSS
[CSS] interface eth-trunk 10 //Cree Eth-Trunk 10 e introduzca la vista de Eth-
Trunk 10.
[CSS-Eth-Trunk10] port link-type trunk //Establezca el tipo de enlace de la
interfaz a Trunk.
[CSS-Eth-Trunk10] port trunk allow-pass vlan all //Configure la interfaz para
permitir todas las VLAN.
[CSS-Eth-Trunk10] quit
# Configure el PE.
[PE] interface gigabitethernet 1/0/1
[PE-GigabitEthernet1/0/1] eth-trunk 10 //Agregue GE1/0/1 a Eth-Trunk 10.
[PE-GigabitEthernet1/0/1] quit
[PE] interface gigabitethernet 1/0/2
[PE-GigabitEthernet1/0/2] eth-trunk 10 //Agregue GE1/0/2 a Eth-Trunk 10.
[PE-GigabitEthernet1/0/2] quit
Paso 3 Configure el Eth-Trunk en los dispositivos en el CSS para reenviar preferentemente el tráfico
local.
[CSS] interface eth-trunk 10
[CSS-Eth-Trunk10] local-preference enable //Habilite Eth-Trunk 10 para reenviar
preferentemente el tráfico local.
[CSS-Eth-Trunk10] quit
NOTA
Por defecto, un Eth-Trunk está habilitado para reenviar preferentemente el tráfico local. Si ejecuta el
comando local-preference enable, el sistema muestra el mensaje "Error: The local preferential
forwarding mode has been configured."
<Quidway> system-view
[Quidway] sysname Switch1
[Switch1] vlan 2
[Switch1-vlan2] quit
[Switch1] interface gigabitethernet 1/0/1
[Switch1-GigabitEthernet1/0/1] port link-type trunk
[Switch1-GigabitEthernet1/0/1] port trunk allow-pass vlan 2
[Switch1-GigabitEthernet1/0/1] quit
[Switch1] interface gigabitethernet 1/0/2
[Switch1-GigabitEthernet1/0/2] port link-type trunk
[Switch1-GigabitEthernet1/0/2] port trunk allow-pass vlan 2
[Switch1-GigabitEthernet1/0/2] quit
----Fin
Archivos de configuración
l Archivo de configuración del CSS
#
sysname CSS
#
vlan batch 2 3
#
interface Eth-Trunk10
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet1/1/0/3
port link-type trunk
port trunk allow-pass vlan 2
#
interface GigabitEthernet2/1/0/3
port link-type trunk
hosts no pueden acceder remotamente a la red a través del dispositivo Master. Para solucionar
este problema, puede configurar la asociación entre VRRP y el estado de interfaz.
Cuando el dispositivo Master detecta que la interfaz de enlace ascendente falla, el Master
reduce su prioridad a ser menor que la prioridad del dispositivo Backup y envía
inmediatamente paquetes VRRP. Después de que el dispositivo Backup recibe los paquetes
VRRP, detecta que la prioridad en los paquetes VRRP es menor que su prioridad y cambia al
Master. Esto asegura el reenvío de tráfico correcto.
Notas de configuración
l En V200R003 y versiones anteriores, VRRP se puede configurar solo en la interfaz
VLANIF.
En V200R005 y versiones posteriores, VRRP se puede configurar en la interfaz
VLANIF y en la interfaz Ethernet de capa 3.
Para un switch modular en V200R006 y versiones posteriores, VRRP se puede
configurar en la interfaz VLANIF, interfaz Ethernet de capa 3, subinterfaz de
terminación Dot1q y subinterfaz de terminación QinQ.
Para un switch fijo en V200R009 y versiones posteriores, VRRP se puede configurar en
la interfaz VLANIF, interfaz Ethernet de capa 3 y subinterfaz.
l Asegúrese de que cada dispositivo del mismo grupo VRRP esté configurado con el
mismo VRID.
l Los grupos VRRP deben usar diferentes direcciones IP virtuales. La dirección IP virtual
de un grupo VRRP debe estar en el mismo segmento de red que la dirección IP de la
interfaz donde está configurado el grupo VRRP.
l Un grupo VRRP se puede asociar con un máximo de ocho interfaces. La asociación entre
un grupo VRRP y el estado de interfaz no se puede configurar en el dispositivo como el
propietario de la dirección IP.
l A lo siguiente se describen los Modelos de productos y versiones aplicables.
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra en Figura 6-9, los hosts de usuario tienen doble pertenencia a SwitchA y
SwitchB a través del switch. Los requisitos son los siguientes:
l Los hosts usan SwitchA como gateway predeterminado para conectarse a Internet.
Cuando SwitchA o el enlace descendente/enlace ascendente fallan, SwitchB funciona
como el gateway para implementar gateway de reserva.
l El ancho de banda del enlace entre SwitchA y SwitchB se incrementa para implementar
enlace de reserva y mejorar la confiabilidad del enlace.
Figura 6-9 Interconexión de una red de asociación entre VRRP y el estado de interfaz
SwitchA
Master
VLAN 101- GE1/0/1
GE1/0/2 192.168.1.1/24
VLAN 116
GE1/0/3 GE1/0/1
GE1/0/1 GE1/0/4 192.168.1.2/24
Eth-Trunk1
GE1/0/3
...
NOTA
Procedimiento
Paso 1 Configure los dispositivos para garantizar la conectividad de la red.
# Asigne una dirección IP a cada interfaz en los dispositivos principales. SwitchA se usa
como un ejemplo. La configuración de SwitchB es similar a la configuración de SwitchA, y
no se menciona aquí. Para más detalles, vea los archivos de configuración.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 11 to 15 101 to 180 301 to 305 400
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type trunk
[SwitchA-GigabitEthernet1/0/1] undo port trunk allow-pass vlan 1
[SwitchA-GigabitEthernet1/0/1] port trunk allow-pass vlan 400
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type trunk
[SwitchA-GigabitEthernet1/0/2] undo port trunk allow-pass vlan 1
[SwitchA-GigabitEthernet1/0/2] port trunk allow-pass vlan 101 to 180
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface vlanif 11
[SwitchA-Vlanif11] ip address 10.1.1.2 24
[SwitchA-Vlanif11] quit
[SwitchA] interface vlanif 12
[SwitchA-Vlanif12] ip address 10.1.2.2 24
[SwitchA-Vlanif12] quit
[SwitchA] interface vlanif 13
[SwitchA-Vlanif13] ip address 10.1.3.2 24
[SwitchA-Vlanif13] quit
[SwitchA] interface vlanif 14
[SwitchA-Vlanif14] ip address 10.1.4.2 24
[SwitchA-Vlanif14] quit
[SwitchA] interface vlanif 15
[SwitchA-Vlanif15] ip address 10.1.5.2 24
[SwitchA-Vlanif15] quit
[SwitchA] interface vlanif 400
[SwitchA-Vlanif400] ip address 192.168.1.1 24
[SwitchA-Vlanif400] quit
# Configure OSPF en SwitchA, SwitchB y switch. SwitchA se usa como un ejemplo. Las
configuraciones de SwitchB y SwitchC son similares a la configuración de SwitchA, y no se
mencionan aquí. Para más detalles, vea los archivos de configuración.
[SwitchA] ospf 1
[SwitchA-ospf-1] area 0
[SwitchA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] network 10.1.2.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] network 10.1.3.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] network 10.1.4.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] network 10.1.5.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] quit
[SwitchA-ospf-1] quit
[SwitchA] vlan 11
[SwitchA-vlan11] aggregate-vlan
[SwitchA-vlan11] access-vlan 101 to 116 301
[SwitchA-vlan11] quit
[SwitchA] vlan 12
[SwitchA-vlan12] aggregate-vlan
[SwitchA-vlan12] access-vlan 117 to 132 302
[SwitchA-vlan12] quit
[SwitchA] vlan 13
[SwitchA-vlan13] aggregate-vlan
[SwitchA-vlan13] access-vlan 133 to 148 303
[SwitchA-vlan13] quit
[SwitchA] vlan 14
[SwitchA-vlan14] aggregate-vlan
[SwitchA-vlan14] access-vlan 149 to 164 304
[SwitchA-vlan14] quit
[SwitchA] vlan 15
[SwitchA-vlan15] aggregate-vlan
[SwitchA-vlan15] access-vlan 165 to 180 305
[SwitchA-vlan15] quit
# Ejecute el comando display vrrp en SwitchB. Puede ver que SwitchB es el dispositivo
Backup. El grupo 1 de VRRP se usa como un ejemplo.
[SwitchB] display vrrp 1
Vlanif11 | Virtual Router 1
State : Backup
Virtual IP : 10.1.1.1
Master IP : 10.1.1.2
Send VRRP packet to subvlan : 301
PriorityRun : 100
PriorityConfig : 100
MasterPriority : 120
Preempt : YES Delay Time : 0 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Create time : 2012-05-11 11:39:18
Last change time : 2012-05-26 11:38:58
PriorityConfig : 100
MasterPriority : 120
Preempt : YES Delay Time : 0 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Create time : 2012-05-11 11:39:18
Last change time : 2012-05-26 14:17:36
----Fin
Archivos de configuración
l El archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 11 to 15 101 to 180 301 to 305 400
#
vlan 11
aggregate-vlan
access-vlan 101 to 116 301
vlan 12
aggregate-vlan
access-vlan 117 to 132 302
vlan 13
aggregate-vlan
access-vlan 133 to 148 303
vlan 14
aggregate-vlan
access-vlan 149 to 164 304
vlan 15
aggregate-vlan
access-vlan 165 to 180 305
#
interface Vlanif11
ip address 10.1.1.2 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.1.1
vrrp vrid 1 priority 120
vrrp vrid 1 preempt-mode timer delay 20
vrrp vrid 1 track interface gigabitethernet1/0/1 reduced 100
vrrp vrid 1 track interface gigabitethernet1/0/2 reduced 100
vrrp advertise send-mode 301
#
interface Vlanif12
ip address 10.1.2.2 255.255.255.0
vrrp vrid 2 virtual-ip 10.1.2.1
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 20
vrrp vrid 2 track interface gigabitethernet1/0/1 reduced 100
vrrp vrid 2 track interface gigabitethernet1/0/2 reduced 100
vrrp advertise send-mode 302
#
interface Vlanif13
ip address 10.1.3.2 255.255.255.0
vrrp vrid 3 virtual-ip 10.1.3.1
vrrp vrid 3 priority 120
vrrp vrid 3 preempt-mode timer delay 20
vrrp vrid 3 track interface gigabitethernet1/0/1 reduced 100
vrrp vrid 3 track interface gigabitethernet1/0/2 reduced 100
vrrp advertise send-mode 303
#
interface Vlanif14
ip address 10.1.4.2 255.255.255.0
vlan 15
aggregate-vlan
access-vlan 165 to 180 305
#
interface Vlanif11
ip address 10.1.1.3 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.1.1
vrrp advertise send-mode 301
#
interface Vlanif12
ip address 10.1.2.3 255.255.255.0
vrrp vrid 2 virtual-ip 10.1.2.1
vrrp advertise send-mode 302
#
interface Vlanif13
ip address 10.1.3.3 255.255.255.0
vrrp vrid 3 virtual-ip 10.1.3.1
vrrp advertise send-mode 303
#
interface Vlanif14
ip address 10.1.4.3 255.255.255.0
vrrp vrid 4 virtual-ip 10.1.4.1
vrrp advertise send-mode 304
#
interface Vlanif15
ip address 10.1.5.3 255.255.255.0
vrrp vrid 5 virtual-ip 10.1.5.1
vrrp advertise send-mode 305
#
interface Vlanif200
ip address 192.168.2.1 255.255.255.0
#
interface Eth-Trunk1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 301 to 305
mode lacp
#
interface GigabitEthernet1/0/1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 200
#
interface GigabitEthernet1/0/2
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 101 to 180
#
interface GigabitEthernet1/0/3
eth-trunk 1
#
interface GigabitEthernet1/0/4
eth-trunk 1
#
ospf 1
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 10.1.2.0 0.0.0.255
network 10.1.3.0 0.0.0.255
network 10.1.4.0 0.0.0.255
network 10.1.5.0 0.0.0.255
network 192.168.2.0 0.0.0.255
#
return
l El archivo de configuración de SwitchC
#
sysname SwitchC
#
vlan batch 200 300 400
#
interface Vlanif200
ip address 192.168.2.2 255.255.255.0
#
interface Vlanif300
ip address 172.16.1.1 255.255.255.0
#
interface Vlanif400
ip address 192.168.1.2 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 400
#
interface GigabitEthernet1/0/2
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 200
#
interface GigabitEthernet1/0/3
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 300
#
ospf 1
area 0.0.0.0
network 172.16.1.0 0.0.0.255
network 192.168.1.0 0.0.0.255
network 192.168.2.0 0.0.0.255
#
return
Descripción general
Las VLAN se pueden asignar en base a las interfaces, las direcciones MAC, las subredes IP,
los protocolos y las políticas (direcciones MAC, direcciones IP e interfaces). Tabla 6-4
compara diferentes modos de asignación de VLAN.
Notas de configuración
Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
Requisitos de redes
En Figura 6-10, el switch de una empresa se conecta a muchos usuarios, y los usuarios que
acceden al mismo servicio se conectan a la red de la empresa a través de diferentes
dispositivos. Para garantizar la seguridad de la comunicación y evitar las tormentas de
difusión, la empresa requiere que los usuarios que utilizan el mismo servicio se comuniquen
entre sí y que los usuarios que acceden a servicios diferentes estén aislados. Usted puede
configurar la asignación de VLAN basada en la interfaz en el switch para que el switch
agregue las interfaces conectadas a los usuarios que utilizan el mismo servicio a la misma
VLAN. Los usuarios en diferentes VLAN no pueden comunicarse entre sí en Capa 2, y los
usuarios en la misma VLAN pueden comunicarse entre sí.
1. Cree VLAN y agregue interfaces que conectan a los usuarios con las VLAN para aislar
el tráfico de Capa 2 de diferentes servicios.
2. Configure los tipos de enlace de las interfaces entre SwitchA y SwitchB y las VLAN
permitidas por las interfaces para que los usuarios que accedan al mismo servicio puedan
comunicarse entre sí a través de SwitchA y SwitchB.
Procedimiento
Paso 1 Cree VLAN 2 y VLAN 3 en SwitchA y agregue interfaces conectadas a usuarios a las VLAN.
La configuración de SwitchB es similar a la configuración de SwitchA, y no se menciona
aquí.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 2 3 //Cree VLAN 2 y VLAN 3 en un lote.
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type access //La interfaz conectada al
dispositivo de acceso debe ser la interfaz de acceso. El tipo de enlace por
defecto de una interfaz no es el de acceso, por lo que debe configurar
manualmente la interfaz de acceso.
[SwitchA-GigabitEthernet1/0/1] port default vlan 2 //Agregue GE1/0/1 a VLAN 2.
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type access
[SwitchA-GigabitEthernet1/0/2] port default vlan 3 //Agregue GE1/0/2 a VLAN 3.
[SwitchA-GigabitEthernet1/0/2] quit
Paso 2 Configure el tipo de enlace de la interfaz en SwitchA que está conectado a SwitchB y la
VLAN permitida por la interfaz. La configuración de SwitchB es similar a la configuración de
SwitchA, y no se menciona aquí.
User1 y User2 están en el mismo segmento de red, por ejemplo, 192.168.100.0/24; User3 y
User4 están en el mismo segmento de red, por ejemplo, 192.168.200.0/24.
User1 y User2 pueden hacer ping entre ellos, pero no pueden hacer ping a User3 o User4.
User3 y User4 pueden hacer ping entre sí, pero no pueden hacer ping a User1 o User2.
----Fin
Archivos de configuración
Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 2 to 3
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 2
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 3
#
interface GigabitEthernet1/0/3
port link-type trunk
port trunk allow-pass vlan 2 to 3
#
return
Descripción general
Las VLAN se pueden asignar en base a las interfaces, las direcciones MAC, las subredes IP,
los protocolos y las políticas (direcciones MAC, direcciones IP e interfaces). La asignación de
VLAN basada en la interfaz es la más simple y comúnmente utilizada.
La asignación de VLAN basada en la interfaz indica que las VLAN se asignan en base a las
interfaces. Un administrador de red preconfigura un PVID para cada interfaz en un switch.
Cuando un marco sin etiqueta llega a una interfaz, el switch agrega el PVID de la interfaz al
marco. Luego, el marco se transmite en una VLAN especificada.
En una red jerárquica típica, cuando el switch de acceso es un switch de Capa 3, el switch de
acceso puede usarse como el gateway de los PC para simplificar la configuración del switch
de agregación.
Notas de configuración
Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
Requisitos de redes
En Figura 6-11, PC1 y PC2 pertenecen a VLAN 2 y VLAN 3, respectivamente. PC1 y PC2
se conectan al switch de agregación SW1 a través del switch de acceso SW2. PC3 pertenece a
VLAN 4 y se conecta a SW1 a través de SW3. SW2 funciona como el gateway de PC1 y
PC2, y SW3 se utiliza como el gateway de PC3. Las rutas estáticas están configuradas en los
switches para que los PC puedan comunicarse entre sí y puedan conectarse al router.
GE1/0/1
SW1
GE1/0/2 GE1/0/3
GE1/0/1 GE1/0/1
Gateway de
SW2 SW3
ordenadores
GE1/0/23 GE1/0/24 GE1/0/2
Procedimiento
Paso 1 Configure SW2.
# Configure las interfaces VLANIF y configure las direcciones IP para las interfaces VLANIF
como direcciones de gateway de los PC.
[SW2] interface vlanif 2 //Cree VLANIF 2.
[SW2-Vlanif2] ip address 192.168.2.1 24 //Configure una dirección IP para VLANIF
2. La dirección IP es la dirección de gateway del PC1.
[SW2-Vlanif2] quit
[SW2] interface vlanif 3 //Cree VLANIF 3.
[SW2-Vlanif3] ip address 192.168.3.1 24 //Configure una dirección IP para VLANIF
3. La dirección IP es la dirección de gateway del PC2.
[SW2-Vlanif3] quit
# Configure las interfaces VLANIF y configure las direcciones IP para las interfaces VLANIF
como direcciones de gateway de los PC.
[SW3] interface vlanif 4 //Cree VLANIF 4.
[SW3-Vlanif4] ip address 192.168.4.1 24 //Configure una dirección IP para VLANIF
# Configure las interfaces VLANIF para que los PC puedan conectarse al router.
[SW1] interface vlanif 5 //Cree VLANIF 5.
[SW1-Vlanif5] ip address 192.168.5.1 24 //Configure una dirección IP para VLANIF
5. La dirección IP es la dirección de la interfaz conectada al router.
[SW1-Vlanif5] quit
# Configure una ruta estática para que los PC en diferentes segmentos de red puedan
comunicarse entre sí.
[SW1] ip route-static 192.168.2.0 255.255.255.0 192.168.5.2 //Configure una ruta
estática. Los paquetes con la dirección IP de destino de 192.168.2.0/24 se envían
a la dirección del siguiente salto de 192.168.5.2. La dirección del siguiente
salto es la dirección IP de la interfaz VLANIF conectada a SW2.
[SW1] ip route-static 192.168.3.0 255.255.255.0 192.168.5.2 //Configure una ruta
estática. Los paquetes con la dirección IP de destino de 192.168.3.0/24 se envían
a la dirección del siguiente salto de 192.168.5.2. La dirección del siguiente
salto es la dirección IP de la interfaz VLANIF conectada a SW2.
[SW1] ip route-static 192.168.4.0 255.255.255.0 192.168.5.3 //Configure una ruta
estática. Los paquetes con la dirección IP de destino de 192.168.4.0/24 se envían
a la dirección del siguiente salto de 192.168.5.3. La dirección del siguiente
salto es la dirección IP de la interfaz VLANIF conectada a SW3.
# Configure una ruta por defecto para que los PC puedan comunicarse con el router.
----Fin
Archivos de configuración
Archivo de configuración de SW1
#
sysname SW1
#
vlan batch 5
#
interface Vlanif5
ip address 192.168.5.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 5
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 5
#
interface GigabitEthernet1/0/3
port link-type access
port default vlan 5
#
ip route-static 0.0.0.0 0.0.0.0 192.168.5.4
ip route-static 192.168.2.0 255.255.255.0 192.168.5.2
ip route-static 192.168.3.0 255.255.255.0 192.168.5.2
ip route-static 192.168.4.0 255.255.255.0 192.168.5.3
#
return
#
ip route-static 0.0.0.0 0.0.0.0 192.168.5.1
#
return
Notas de configuración
Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
Requisitos de redes
En Figura 6-12, PC1 y PC2 pertenecen a VLAN 2 y VLAN 3, respectivamente. PC1 y PC2
se conectan al switch de agregación SW1 a través del switch de acceso SW2. PC3 pertenece a
VLAN 4 y se conecta a SW1 a través de SW3. No se realiza ninguna configuración en SW3,
y SW3 funciona como el hub y es plug-and-play. SW1 funciona como el gateway de PC1,
PC2 y PC3 para que los PC puedan comunicarse entre sí y puedan conectarse al router.
GE1/0/1 Gateway de
ordenadores
SW1
GE1/0/2 GE1/0/3
GE1/0/1
SW2 SW3
GE1/0/23 GE1/0/24
Procedimiento
Paso 1 Configure SW2.
# Cree las VLAN.
<Quidway> system-view
[Quidway] sysname SW2 //Cambie el nombre del dispositivo a SW2 para una fácil
identificación.
[SW2] vlan batch 2 3 //Cree VLAN 2 y VLAN 3 en un lote.
a VLAN 2 y VLAN 3.
[SW2-GigabitEthernet1/0/1] quit
# Configure las interfaces VLANIF y configure las direcciones IP para las interfaces VLANIF
como direcciones de gateway de los PC.
[SW1] interface vlanif 2 //Cree VLANIF 2.
[SW1-Vlanif2] ip address 192.168.2.1 24 //Configure una dirección IP para VLANIF
2. La dirección IP es la dirección de gateway del PC1.
[SW1-Vlanif2] quit
[SW1] interface vlanif 3 //Cree VLANIF 3.
[SW1-Vlanif3] ip address 192.168.3.1 24 //Configure una dirección IP para VLANIF
3. La dirección IP es la dirección de gateway del PC2.
[SW1-Vlanif3] quit
[SW1] interface vlanif 4 //Cree VLANIF 4.
[SW1-Vlanif4] ip address 192.168.4.1 24 //Configure una dirección IP para VLANIF
4. La dirección IP es la dirección de gateway del PC3.
[SW1-Vlanif4] quit
# Configure las interfaces VLANIF para que los PC puedan conectarse al router.
[SW1] interface vlanif 5 //Cree VLANIF 5.
[SW1-Vlanif5] ip address 192.168.5.1 24 //Configure una dirección IP para VLANIF
5. La dirección IP es usada para la interconexión con el router.
[SW1-Vlanif5] quit
----Fin
Archivos de configuración
Archivo de configuración de SW1
#
sysname SW1
#
vlan batch 2 to 5
#
interface Vlanif2
ip address 192.168.2.1 255.255.255.0
#
interface Vlanif3
ip address 192.168.3.1 255.255.255.0
#
interface Vlanif4
ip address 192.168.4.1 255.255.255.0
#
interface Vlanif5
ip address 192.168.5.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 5
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 3
#
interface GigabitEthernet1/0/3
port link-type access
port default vlan 4
#
return
Notas de configuración
Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
Requisitos de redes
En Figura 6-13, interfaces de GE1/0/1 en SwitchA y SwitchB se conectan a dos salas de
conferencia, respectivamente. Laptop1 y Laptop2 son computadoras portátiles utilizadas en
las dos salas de conferencia. Laptop1 y Laptop2 pertenecen a dos departamentos, que
pertenecen a VLAN 100 y VLAN 200, respectivamente. Independientemente de la sala de
conferencia en la que se utilicen Laptop1 y Laptop2, se requieren Laptop1 y Laptop2 para
acceder a los servidores de sus respectivos departamentos (Server1 y Server2,
respectivamente). Las direcciones MAC de Laptop1 y Laptop2 son 0001-00ef-00c0 y
0001-00ef-00c1.
Server 2
Server 1
Switch
GE1/0/2 GE1/0/1
GE1/0/3 GE1/0/4
GE1/0/2 GE1/0/2
SwitchA SwitchB
GE1/0/1 GE1/0/1
Laptop 1 Laptop 2
Procedimiento
Paso 1 Configure SwitchA. La configuración de SwitchB es similar a la configuración de SwitchA, y
no se menciona aquí.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 100 200 //Cree VLAN 100 y VLAN 200.
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type trunk //El tipo de enlace de las
interfaces que conectan a los switches debe ser Trunk. El tipo de enlace por
defecto de una interfaz no es Trunk, por lo que debe configurar manualmente la
interfaz Trunk.
[SwitchA-GigabitEthernet1/0/2] port trunk allow-pass vlan 100 200 //Agregue
GE1/0/2 a VLAN 100 y VLAN 200.
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] vlan 100
[SwitchA-vlan100] mac-vlan mac-address 0001-00ef-00c0 //Los paquetes con la
dirección MAC de 0001-00ef-00c0 se transmiten en VLAN 100.
[SwitchA-vlan100] quit
[SwitchA] vlan 200
[SwitchA-vlan200] mac-vlan mac-address 0001-00ef-00c1 //Los paquetes con la
dirección MAC de 0001-00ef-00c1 se transmiten en VLAN 200.
[SwitchA-vlan200] quit
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port hybrid untagged vlan 100 200 //El tipo de
enlace por defecto de una interfaz no es híbrido, por lo que no debe configurar
el tipo de enlace.
[SwitchA-GigabitEthernet1/0/1] mac-vlan enable //Habilite la asignación de
VLAN basada en direcciones MAC en la interfaz.
[SwitchA-GigabitEthernet1/0/1] quit
Paso 2 Configure el switch. Las configuraciones de GE1/0/2, GE1/0/3, y GE1/0/4 son similares a la
configuración de GE1/0/1, y no se mencionan aquí.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 100 200
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 200 //Agregue
GE1/0/1 a VLAN 100 y VLAN 200.
[Switch-GigabitEthernet1/0/1] quit
----Fin
Archivos de configuración
Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 100 200
#
interface GigabitEthernet1/0/1
port hybrid untagged vlan 100 200
mac-vlan enable
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 100 200
#
vlan 100
mac-vlan mac-address 0001-00ef-00c0 priority 0
vlan 200
mac-vlan mac-address 0001-00ef-00c1 priority 0
#
return
interface GigabitEthernet1/0/1
port hybrid untagged vlan 100 200
mac-vlan enable
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 100 200
#
vlan 100
mac-vlan mac-address 0001-00ef-00c0 priority 0
vlan 200
mac-vlan mac-address 0001-00ef-00c1 priority 0
#
return
Notas de configuración
Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
Requisitos de redes
En Figura 6-14, una empresa tiene múltiples servicios, incluidos IPTV, VoIP y acceso a
Internet. Cada servicio usa una subred IP diferente. Para facilitar la administración, la
compañía requiere que los paquetes del mismo servicio se transmitan en la misma VLAN y
paquetes de diferentes servicios en diferentes VLAN. El switch recibe paquetes de servicios
múltiples como datos, IPTV y servicios de voz, y los dispositivos de usuario de estos
servicios usan direcciones IP en diferentes subredes IP. El switch debe asignar las VLAN a
paquetes de diferentes servicios para que el router pueda transmitir paquetes con diferentes ID
de VLAN a diferentes servidores.
Router
GE1/0/1
GE1/0/2
Switch
GE1/0/1
Switch de capa 2
simplificado
Host de
Terminal multimedia Teléfono
usuario
192.168.1.2/24 192.168.2.2/24 192.168.3.2/24
Procedimiento
Paso 1 Cree VLAN
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 100 200 300 //Cree VLAN100, VLAN 200 y VLAN 300 en un lote.
----Fin
Archivos de configuración
Archivo de configuración de switch
#
sysname Switch
#
vlan batch 100 200 300
#
vlan 100
ip-subnet-vlan 1 ip 192.168.1.2 255.255.255.0 priority 2
vlan 200
ip-subnet-vlan 1 ip 192.168.2.2 255.255.255.0 priority 3
vlan 300
ip-subnet-vlan 1 ip 192.168.3.2 255.255.255.0 priority 4
#
interface GigabitEthernet1/0/1
port hybrid untagged vlan 100 200 300
ip-subnet-vlan enable
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 100 200 300
#
return
Descripción general
Después de que se hayan asignado las VLAN, los paquetes de difusión solo se reenviarán
dentro de la misma VLAN. Es decir, los hosts en diferentes VLAN no pueden comunicarse en
Capa 2 porque la tecnología VLAN aísla los dominios de difusión. En las aplicaciones del
mundo real, los hosts en diferentes VLAN a menudo deben comunicarse, por lo que la
comunicación entre VLAN debe implementarse para resolver esto. Se requiere enrutamiento
de capa 3 o tecnología de VLAN para implementar la comunicación entre VLAN.
Huawei ofrece una variedad de tecnologías para implementar comunicación entre VLAN. Las
siguientes dos tecnologías se usan comúnmente:
l Interfaz VLANIF
Una interfaz VLANIF es una interfaz lógica de Capa 3. Usted puede configurar una
dirección IP para una interfaz VLANIF para implementar la comunicación entre VLAN
de Capa 3.
l Subinterfaz de terminación Dot1q
Similar a una interfaz VLANIF, una subinterfaz es también una interfaz lógica de Capa
3. Puede configurar la terminación dot1q y una dirección IP para una subinterfaz para
implementar la comunicación entre VLAN de Capa 3.
Las interfaces VLANIF son las más comúnmente utilizadas para la comunicación entre
VLAN debido a sus configuraciones simples. Sin embargo, una interfaz VLANIF debe
configurarse para cada VLAN y cada interfaz VLANIF requiere una dirección IP, lo que
desperdicia direcciones IP.
La interfaz VLANIF y la subinterfaz de terminación Dot1q solo pueden permitir que los hosts
en diferentes segmentos de red en diferentes VLAN se comuniquen, mientras que la super-
VLAN (agregación de VLAN) y la función VLAN Switch permiten que los hosts en el mismo
segmento de red en diferentes VLAN se comuniquen.
Notas de configuración
l La dirección de gateway por defecto de los hosts en una VLAN debe ser la dirección IP
de la interfaz VLANIF que corresponde a la VLAN.
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
Requisitos de redes
Los diferentes hosts de usuarios de una empresa transmiten el mismo servicio y están
ubicados en diferentes segmentos de red. Los hosts del usuario que transmiten el mismo
servicio pertenecen a diferentes VLAN y deben comunicarse.
En Figura 6-15, User1 y User2 acceden al mismo servicio pero pertenecen a diferentes
VLAN y se ubican en diferentes segmentos de red. User1 y User2 deben comunicarse.
Figura 6-15 Redes para configurar la comunicación entre VLAN a través de interfaces
VLANIF
Switch
GE1/0/1 GE1/0/2
VLANIF10 VLANIF20
10.10.10.2/24 10.10.20.2/24
VLAN 10 VLAN 20
User1 User2
10.10.10.3/24 10.10.20.3/24
Procedimiento
Paso 1 Configure el switch.
# Cree las VLAN y configure las interfaces en el switch conectado a los hosts del usuario
como interfaces de acceso y agregarlas a las VLAN.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 20
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access //Configure el tipo de
enlace de la interfaz como acceso.
[Switch-GigabitEthernet1/0/1] port default vlan 10 //Agregue la interfaz a VLAN
10.
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port default vlan 20
[Switch-GigabitEthernet1/0/2] quit
----Fin
Archivos de configuración
Archivo de configuración de switch
#
sysname Switch
#
vlan batch 10 20
#
interface Vlanif10
ip address 10.10.10.2 255.255.255.0
#
interface Vlanif20
ip address 10.10.20.2 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 20
#
return
Descripción general
Después de que se hayan asignado las VLAN, los paquetes de difusión solo se reenviarán
dentro de la misma VLAN. Es decir, los hosts en diferentes VLAN no pueden comunicarse en
Capa 2 porque la tecnología VLAN aísla los dominios de difusión. En las aplicaciones del
mundo real, los hosts en diferentes VLAN a menudo deben comunicarse, por lo que la
comunicación entre VLAN debe implementarse para resolver esto. Se requiere enrutamiento
de capa 3 o tecnología de VLAN para implementar la comunicación entre VLAN.
Huawei ofrece una variedad de tecnologías para implementar comunicación entre VLAN. Las
siguientes dos tecnologías se usan comúnmente:
l Interfaz VLANIF
Una interfaz VLANIF es una interfaz lógica de Capa 3. Usted puede configurar una
dirección IP para una interfaz VLANIF para implementar la comunicación entre VLAN
de Capa 3.
l Subinterfaz de terminación Dot1q
Similar a una interfaz VLANIF, una subinterfaz es también una interfaz lógica de Capa
3. Puede configurar la terminación dot1q y una dirección IP para una subinterfaz para
implementar la comunicación entre VLAN de Capa 3.
Notas de configuración
l Solo tarjetas de la serie E, tarjetas de la serie X, tarjetas de la serie F y tarjetas SC entre
la serie S son compatibles con la subinterfaz de terminación. Para más detalles, consulte
la clasificación de la tarjeta en Hardware Description.
Las tarjetas X1E entre la serie X son compatibles con la subinterfaz de terminación en
V200R007C00 y versiones posteriores.
l Para las interfaces de Capa 2, solo las interfaces híbridas y trunk son compatibles con
subinterfaces de terminación.
l Los ID de VLAN terminados por una subinterfaz no pueden crearse en la vista del
sistema o mostrarse.
l Cuando los paquetes IP deben enviarse desde la subinterfaz de terminación y no hay una
entrada ARP correspondiente en el dispositivo. Si la difusión ARP no está habilitada en
la subinterfaz de terminación a través del comando arp broadcast enable, el sistema no
envía ni reenvía los paquetes ARP de difusión para aprender las entradas ARP. En este
caso, los paquetes IP se descartan directamente.
l Este ejemplo se aplica a todas las versiones de los switches modulares.
Requisitos de redes
En Figura 6-16, Host A y Host B pertenecen al departamento de I&D, y Host C y Host D
pertenecen al departamento de calidad. Los dos departamentos están conectados a través de
un switch de Capa 2 y requieren aislamiento de Capa 2 y conectividad de Capa 3.
Figura 6-16 Redes para conectar un terminal a un gateway de Capa 3 a través de un switch de
Capa 2
SwitchB
GE1/0/1.1 GE1/0/1.2
1.1.1.1/24 2.2.2.1/24
GE1/0/5
SwitchA
GE1/0/1 GE1/0/4
GE1/0/2 GE1/0/3
Procedimiento
Paso 1 Configure el switch de Capa 2 SwitchA.
# Cree las VLAN.
<Quidway> system-view
[Quidway] sysname SwitchA //Cambie el nombre del dispositivo a SwitchA para una
fácil identificación.
[SwitchA] vlan batch 2 to 3 //Cree VLAN 2 y VLAN 3 en un lote.
----Fin
Archivos de configuración
Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 2 to 3
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 2
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 2
#
interface GigabitEthernet1/0/3
port link-type access
port default vlan 3
#
interface GigabitEthernet1/0/4
port link-type access
port default vlan 3
#
interface GigabitEthernet1/0/5
port link-type trunk
port trunk allow-pass vlan 2 to 3
#
return
Descripción general
Además de configurar una dirección IP para una interfaz VLANIF, se debe configurar una
ruta estática o un protocolo de enrutamiento dinámico cuando los PC en diferentes segmentos
de red a través de varios switches se deben comunicar. Esto se debe a que solo se genera una
ruta directa para la dirección IP de la interfaz VLANIF en el switch y una interfaz VLANIF
solo puede empalar el interfuncionamiento entre los PC en diferentes segmentos de red a
través de un switch.
Las rutas estáticas se pueden configurar fácilmente y tienen pocos requisitos en el sistema.
Son aplicables a redes simples, estables y de pequeña escala. Sin embargo, las rutas estáticas
no se pueden adaptar automáticamente a los cambios en la topología de la red, y se requiere
una intervención manual.
Notas de configuración
Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
Requisitos de redes
En Figura 6-17, para garantizar la seguridad y facilitar la administración, una empresa asigna
una VLAN para un servidor. El dispositivo del usuario pertenece a VLAN 10, y el servidor
pertenece a VLAN 20. Los switches de acceso, agregación y core se implementan entre el
usuario y el servidor. Los switches de acceso son switches de capa 2, y los switches de
agregación y core son switches de Capa 3. El usuario y el servidor deben comunicarse entre sí
debido a los requisitos del servicio.
Figura 6-17 Redes para configurar la comunicación entre diferentes segmentos de red a
través de rutas estáticas
AGG (Switch de
GE1/0/3
agregación)
VLANIF 10:
10.1.1.1/24
GE1/0/2
GE1/0/2 GE1/0/2
ACC1 ACC2
Procedimiento
Paso 1 Configure el switch de acceso ACC1.
# Cree las VLAN.
<Quidway> system-view
[Quidway] sysname ACC1 //Cambie el nombre del dispositivo a ACC1 para una fácil
identificación.
[ACC1] vlan batch 10 //Cree VLAN 10 en un lote.
# Configure una ruta estática para que el servidor y el PC puedan accederse entre sí.
[CORE] ip route-static 10.1.1.0 255.255.255.0 10.10.30.1 //Configure una ruta
estática. Los paquetes con la dirección IP de destino de 10.1.1.0/24 se envían a
la dirección IP 10.10.30.1 de VLANIF 30 en el switch de agregación.
----Fin
Archivos de configuración
Archivo de configuración de ACC1
#
sysname ACC1
#
vlan batch 10
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 10
#
return
Notas de configuración
l La VLAN 1 no se puede configurar como una super-VLAN.
l No se puede agregar una interfaz física a una VLAN configurada como una super-
VLAN.
l A continuación se describen los modelos de productos y versiones aplicables.
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
En Figura 6-18, una compañía tiene muchos departamentos en el mismo segmento de red.
Para mejorar la seguridad del servicio, la compañía asigna diferentes departamentos a
diferentes VLAN. VLAN 2 y VLAN 3 pertenecen a diferentes departamentos. Cada
departamento quiere acceder a Internet y los PC en diferentes departamentos deben
comunicarse.
Internet
Router
GE1/0/1
VLAN 10
SwitchB Super-VLAN 4
GE1/0/5
GE1/0/5
SwitchA
GE1/0/1 GE1/0/4
GE1/0/2 GE1/0/3
VLAN 2 VLAN 3
Procedimiento
Paso 1 Configure SwitchA.
# Agregue GE1/0/1, GE1/0/2, GE1/0/3 y GE1/0/4 a las VLAN.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 2 to 3
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type access //Configure el tipo de
enlace de la interfaz como acceso.
[SwitchA-GigabitEthernet1/0/1] port default vlan 2 //Aregue la interfaz a VLAN
2.
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type access
# Cree y configure VLANIF 4 para que los PC en diferentes departamentos puedan acceder a
Internet usando super-VLAN 4.
[SwitchB] interface vlanif 4
[SwitchB-Vlanif4] ip address 10.1.1.1 24
[SwitchB-Vlanif4] quit
# Configure una ruta estática al router en SwitchB para que los usuarios puedan acceder a
Internet.
[SwitchB] ip route-static 0.0.0.0 0.0.0.0 10.10.1.2
NOTA
Configure la interfaz del router conectado a SwitchB y asigne la dirección IP de 10.10.1.2 a la interfaz
del router. Vea el manual de configuración del router.
----Fin
Archivos de configuración
Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 2 to 3
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 2
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 2
#
interface GigabitEthernet1/0/3
port link-type access
port default vlan 3
#
interface GigabitEthernet1/0/4
port link-type access
port default vlan 3
#
interface GigabitEthernet1/0/5
port link-type trunk
port trunk allow-pass vlan 2 to 3
#
return
#
vlan 4
aggregate-vlan
access-vlan 2 to 3
#
interface Vlanif4
ip address 10.1.1.1 255.255.255.0
arp-proxy inter-sub-vlan-proxy enable
#
interface Vlanif10
ip address 10.10.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet1/0/5
port link-type trunk
port trunk allow-pass vlan 2 to 3
#
ip route-static 0.0.0.0 0.0.0.0 10.10.1.2
#
return
MUX VLAN está configurada en un switch de Capa 2, mientras que la tecnología de VLAN
está configurada en un switch de Capa 3. MUX VLAN es más flexible en control de acceso,
pero su configuración es compleja.
Notas de configuración
l El ID de VLAN asignado a una VLAN principal no se puede usar para configurar el
mapeo de VLAN, el apilamiento de VLAN, la super-VLAN o la sub-VLAN.
l El ID de VLAN asignado a un grupo o VLAN separada no se puede usar para configurar
ninguna interfaz VLANIF, mapeo de VLAN, apilamiento de VLAN, super-VLAN o sub-
VLAN.
l Deshabilitando el aprendizaje de la dirección MAC o limitando el número de las
direcciones MAC aprendidas en una interfaz afecta la función MUX VLAN en la
interfaz.
l MUX VLAN y la seguridad del puerto no pueden configurarse simultáneamente en la
misma interfaz.
l La autenticación de MUX VLAN y dirección MAC no se puede configurar en la misma
interfaz simultáneamente.
l La autenticación de MUX VLAN y 802.1x no se puede configurar en la misma interfaz
simultáneamente.
Requisitos de redes
Todos los empleados de una empresa pueden acceder a los servidores en la red de la empresa.
La empresa permite a algunos empleados comunicarse pero aísla a otros empleados.
Internet
Switch2
Switch1 GE1/0/2
Servidor
GE1/0/3 GE1/0/6 VLAN 2
GE
(Principal VLAN)
4
/0/
1
1
/0/
GE
4. Agregue interfaces a las VLAN y habilite la función MUX VLAN en las interfaces.
5. Agregue las interfaces de los switches de acceso a las VLAN.
Procedimiento
Paso 1 Habilite la función MUX VLAN en Switch1.
# En Switch1, cree VLAN 2, VLAN 3 y VLAN 4, y una interfaz VLANIF para VLAN 2. Se
utiliza la dirección IP de la interfaz VLANIF como la dirección IP del gateway para hosts y
servidores de enlace descendente.
<Quidway> system-view
[Quidway] sysname Switch1
[Switch1] vlan batch 2 3 4
[Switch1] interface vlanif 2
[Switch1-Vlanif2] ip address 192.168.100.100 24
[Switch1-Vlanif2] quit
# Agregue interfaces a las VLAN en Switch1 y habilite la función MUX VLAN en las
interfaces.
[Switch1] interface gigabitethernet 1/0/2
[Switch1-GigabitEthernet1/0/2] port link-type trunk
[Switch1-GigabitEthernet1/0/2] port trunk allow-pass vlan 2
[Switch1-GigabitEthernet1/0/2] port mux-vlan enable vlan 2 //En V200R003C00 y
versiones anteriores, no debe especificar la VLAN. Una interfaz solo puede unirse
a la VLAN MUX o VLAN separada, o a una VLAN de grupo.
[Switch1-GigabitEthernet1/0/2] quit
[Switch1] interface gigabitethernet 1/0/3
[Switch1-GigabitEthernet1/0/3] port link-type trunk
[Switch1-GigabitEthernet1/0/3] port trunk allow-pass vlan 3
[Switch1-GigabitEthernet1/0/3] port mux-vlan enable vlan 3
[Switch1-GigabitEthernet1/0/3] quit
[Switch1] interface gigabitethernet 1/0/4
[Switch1-GigabitEthernet1/0/4] port link-type trunk
[Switch1-GigabitEthernet1/0/4] port trunk allow-pass vlan 3
[Switch1-GigabitEthernet1/0/4] port mux-vlan enable vlan 3
[Switch1-GigabitEthernet1/0/4] quit
[Switch1] interface gigabitethernet 1/0/5
[Switch1-GigabitEthernet1/0/5] port link-type trunk
[Switch1-GigabitEthernet1/0/5] port trunk allow-pass vlan 4
[Switch1-GigabitEthernet1/0/5] port mux-vlan enable vlan 4
[Switch1-GigabitEthernet1/0/5] quit
[Switch1] interface gigabitethernet 1/0/6
[Switch1-GigabitEthernet1/0/6] port link-type trunk
[Switch1-GigabitEthernet1/0/6] port trunk allow-pass vlan 4
[Switch1-GigabitEthernet1/0/6] port mux-vlan enable vlan 4
[Switch1-GigabitEthernet1/0/6] quit
Paso 2 Configure las interfaces de los switches de acceso y agréguelos a las VLAN. Las
configuraciones de Switch3, Switch4, Switch5 y Switch6 son similares a la configuración de
Switch2, y no se mencionan aquí.
<Quidway> system-view
[Quidway] sysname Switch2
[Switch2] vlan batch 2
[Switch2] interface gigabitethernet 1/0/1
[Switch2-GigabitEthernet1/0/1] port link-type access //Configure el tipo de
enlace de la interfaz como acceso.
Archivos de configuración
Archivo de configuración de Switch1
#
sysname Switch1
#
vlan batch 2 to 4
#
vlan 2
mux-vlan
subordinate separate 4
subordinate group 3
#
interface Vlanif2
ip address 192.168.100.100 255.255.255.0
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 2
port mux-vlan enable vlan 2
#
interface GigabitEthernet1/0/3
port link-type trunk
port trunk allow-pass vlan 3
port mux-vlan enable vlan 3
#
interface GigabitEthernet1/0/4
port link-type trunk
port trunk allow-pass vlan 3
port mux-vlan enable vlan 3
#
interface GigabitEthernet1/0/5
port link-type trunk
port trunk allow-pass vlan 4
port mux-vlan enable vlan 4
#
interface GigabitEthernet1/0/6
port link-type trunk
port trunk allow-pass vlan 4
port mux-vlan enable vlan 4
#
return
sysname Switch2
#
vlan batch 2
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 2
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 2
#
return
#
sysname Switch3
#
vlan batch 3
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 3
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 3
#
return
#
sysname Switch4
#
vlan batch 3
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 3
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 3
#
return
#
sysname Switch5
#
vlan batch 4
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 4
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 4
#
return
#
sysname Switch6
#
vlan batch 4
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 4
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 4
#
return
Notas de configuración
Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
Requisitos de redes
Como se muestra en Figura 6-20, una red tiene dos empresas: empresa 1 y empresa 2. Ambas
empresas tienen dos sucursales. Las redes, empresa 1 y empresa 2, se conectan a SwitchA y
SwitchB, respectivamente, de la red ISP. Además, hay dispositivos que no son de Huawei en
la red pública y el TPID en la etiqueta de VLAN externa es 0x9100.
Los requisitos son los siguientes:
l Las VLAN deben asignarse de forma independiente a la empresa 1 y a la empresa 2.
l El tráfico entre las dos sucursales de cada empresa se transmite de forma transparente a
través de la red pública. Los usuarios que acceden al mismo servicio en diferentes
sucursales de cada empresa pueden comunicarse y los usuarios que acceden a diferentes
servicios deben estar aislados.
QinQ se puede usar para cumplir los requisitos anteriores. Configure VLAN 100 y VLAN
200 para implementar la conectividad de la empresa 1 y la empresa 2, respectivamente, y
ISP
VLAN 100,200
TPID=0x9100
GE1/0/3 GE1/0/3
Switch A Switch B
GE1/0/1 GE1/0/2 GE1/0/1 GE1/0/2
Procedimiento
Paso 1 Cree las VLAN.
# Cree VLAN 100 y VLAN 200 en SwitchA.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 100 200
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
Notas de configuración
Al configurar QinQ selectivo en el switch, preste atención a los siguientes puntos:
l Antes de configurar QinQ selectivo en un switch fijo, debe ejecutar el comando qinq
vlan-translation enable para habilitar la traducción de VLAN.
Requisitos de redes
Como se muestra en Figura 6-21, los usuarios de acceso a Internet (que usan PC) y VoIP (que
usan teléfonos VoIP) se conectan a la red ISP a través de SwitchA y SwitchB y se comunican
entre sí a través de la red ISP.
En la empresa, VLAN 100 se asigna a los PC y VLAN 300 se asigna a los teléfonos VoIP.
Se requiere que los paquetes de PC y teléfonos VoIP se etiqueten como VLAN 2 y VLAN 3
respectivamente cuando los paquetes se transmiten a través de la red ISP.
SwitchA SwitchB
GE1/0/2 Red GE1/0/2
operador
GE1/0/1 GE1/0/1
PC VoIP VoIP PC
Procedimiento
Paso 1 Cree las VLAN
# En SwitchA, cree VLAN 2 y VLAN 3, es decir, los ID de VLAN de la etiqueta de VLAN
externa que se agregará.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 2 3
Cuando se utilice un switch fijo, debe ejecutar el comando qinq vlan-translation enable en la vista de
interfaz para habilitar la traducción de VLAN.
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 2 to 3
#
interface GigabitEthernet1/0/1
port hybrid untagged vlan 2 to 3
port vlan-stacking vlan 100 stack-vlan 2
port vlan-stacking vlan 300 stack-vlan 3
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 3
#
return
de las funciones de QinQ básico, QinQ selectivo toma diferentes acciones para los paquetes
recibidos por la misma interfaz basados en las VLAN.
QinQ selectivo basado en flujo agrega etiquetas de VLAN externas basadas en políticas de
tráfico. Puede proporcionar servicios diferenciados según los tipos de servicio.
Notas de configuración
Al configurar QinQ selectivo en el switch, preste atención a los siguientes puntos:
l Selective QinQ solo se puede habilitar en interfaces híbridas en la dirección de entrada.
l La VLAN externa debe crearse antes de que se realice QinQ selectivo.
l Cuando una interfaz configurada con apilamiento de VLAN necesita eliminar la etiqueta
externa de las tramas salientes, la interfaz debe unirse a la VLAN especificada por stack-
vlan en modo sin etiqueta. Si no es necesario eliminar la VLAN externa, la interfaz debe
unirse a la VLAN especificada por stack-vlan en modo etiquetado.
l El dispositivo configurado con QinQ selectivo puede agregar solo una etiqueta de VLAN
externa a un marco con una etiqueta de VLAN interna en una interfaz.
l Si solo se deben transmitir transparentemente paquetes con una sola etiqueta desde una
VLAN, no especifique la VLAN como VLAN interna del QinQ selectivo.
l Este ejemplo se aplica a todas las versiones de los switches modulares.
Requisitos de redes
Como se muestra en Figura 6-22, los usuarios de acceso a Internet (que usan PC) y VoIP (que
usan teléfonos VoIP) se conectan a la red ISP a través de SwitchA y SwitchB y se comunican
entre sí a través de la red ISP.
Se requiere que los paquetes de PC y teléfonos VoIP se etiqueten como VLAN 2 y VLAN 3
respectivamente cuando los paquetes se transmiten a través de la red ISP. QinQ selectivo
basado en flujo puede configurarse para cumplir con el requisito.
SwitchA SwitchB
GE1/0/2 Red GE1/0/2
operador
GE1/0/1 GE1/0/1
PC VoIP VoIP PC
Procedimiento
Paso 1 Cree las VLAN
Paso 3 Aplique las políticas de tráfico a las interfaces en SwitchA y SwitchB para implementar QinQ
selectivo.
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 2 to 3
#
traffic classifier name1 operator or precedence 5
if-match vlan-id 100 to 200
traffic classifier name2 operator or precedence 10
if-match vlan-id 300 to 400
#
traffic behavior name1
permit
nest top-most vlan-id 2
traffic behavior name2
permit
nest top-most vlan-id 3
#
traffic policy name1 match-order config
classifier name1 behavior name1
classifier name2 behavior name2
#
interface GigabitEthernet1/0/1
port hybrid untagged vlan 2 to 3
traffic-policy name1 inbound
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 3
#
return
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 3
#
return
MSTP l Forma árboles múltiples sin El tráfico del usuario o del servicio
bucles para evitar tormentas de debe diferenciarse y equilibrarse en la
difusión e implementar carga. El tráfico desde diferentes
redundancia. VLAN se reenvía a través de los
l Proporciona una convergencia diferentes árboles de expansión
rápida. independientes entre sí.
l Implementa el equilibrio de carga
entre VLAN y reenvía el tráfico
en diferentes VLAN a lo largo de
diferentes rutas.
Notas de configuración
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
l Los puertos conectados a los terminales no participan en el cálculo de STP. Por lo tanto,
configure los puertos como puertos de borde o deshabilite STP en los puertos.
Requisitos de redes
Para implementar la redundancia en una red compleja, los diseñadores de red tienden a
desplegar múltiples enlaces físicos entre dos dispositivos, uno de los cuales es el enlace
primario y los otros son enlaces de reserva. Pueden producirse bucles, lo que causa tormentas
de difusión o hace que la tabla de direcciones MAC se quede inestable.
Después de que un diseñador de red implemente una red, STP se puede implementar en la red
para evitar bucles. Cuando existen bucles en una red, STP bloquea un puerto para eliminar los
bucles. En Figura 6-23, SwitchA, SwitchB, SwitchC y SwitchD que ejecutan STP
intercambian STP BPDU para descubrir bucles en la red y bloquear puertos para podar la red
en una red de árbol sin bucles. STP evita el bucle infinito de paquetes para garantizar la
capacidad de procesamiento de paquetes de los switches.
Red
GE1/0/3 GE1/0/3
Root
SwitchD GE1/0/1 GE1/0/1
Bridge
STP
GE1/0/3 GE1/0/3
SwitchC SwitchB
GE1/0/1 GE1/0/1
GE1/0/2 GE1/0/2
PC1 PC2
Puerto
bloqueado
Procedimiento
Paso 1 Configure las funciones básicas de STP.
1. Configure los dispositivos de conmutación en la red en anillo para funcionar en modo
STP.
# Configure SwitchA para funcionar en modo STP.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] stp mode stp
<Quidway> system-view
[Quidway] sysname SwitchC
[SwitchC] stp mode stp
3. Configure el costo de la ruta de un puerto para que el puerto pueda ser bloqueado.
NOTA
– El rango de costo de la ruta depende del algoritmo. El algoritmo patentado de Huawei se usa
como ejemplo. Ajuste los costos de la ruta de los puertos a ser bloqueados a 20000.
– Los dispositivos de conmutación en la misma red deben usar el mismo algoritmo para calcular
el costo de la ruta de los puertos.
# Configure SwitchA para usar el algoritmo patentado de Huawei para calcular el costo
de la ruta.
[SwitchA] stp pathcost-standard legacy
# Configure SwitchB para usar el algoritmo patentado de Huawei para calcular el costo
de la ruta.
[SwitchB] stp pathcost-standard legacy
# Configure SwitchD para usar el algoritmo patentado de Huawei para calcular el costo
de la ruta.
[SwitchD] stp pathcost-standard legacy
NOTA
Si los puertos de borde están conectados a dispositivos de red que tienen STP habilitado y la
protección BPDU está habilitada, los puertos de borde se apagarán y sus atributos
permanecerán sin cambios después de recibir BPDU.
– Habilite STP globalmente en dispositivos.
# Habilite STP globalmente en SwitchA.
[SwitchA] stp enable
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
stp mode stp
stp instance 0 root primary
stp pathcost-standard legacy
stp enable
#
return
STP se refiere a STP definido en IEEE 802.1D, Protocolo del árbol de expansión rápida
(RSTP) definido en IEEE 802.1W y Protocolo de los árboles múltiples de expansión(MSTP)
definido en IEEE 802.1S.
MSTP es compatible con RSTP y STP, y RSTP es compatible con STP. Tabla 6-9 Comparan
STP, RSTP, y MSTP.
MSTP l Forma árboles múltiples sin El tráfico del usuario o del servicio
bucles para evitar tormentas de debe diferenciarse y equilibrarse en la
difusión e implementar carga. El tráfico desde diferentes
redundancia. VLAN se reenvía a través de los
l Proporciona una convergencia diferentes árboles de expansión
rápida. independientes entre sí.
l Implementa el equilibrio de carga
entre VLAN y reenvía el tráfico
en diferentes VLAN a lo largo de
diferentes rutas.
Notas de configuración
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
l Los puertos conectados a los terminales no participan en el cálculo de RSTP. Por lo
tanto, configure los puertos como puertos de borde o deshabilite STP en los puertos.
Requisitos de redes
Para implementar la redundancia en una red compleja, los diseñadores de red tienden a
desplegar múltiples enlaces físicos entre dos dispositivos, uno de los cuales es el enlace
primario y los otros son enlaces de reserva. Pueden producirse bucles, lo que causa tormentas
de difusión o hace que la tabla de direcciones MAC se quede inestable.
Después de que un diseñador de red implemente una red, RSTP se puede implementar en la
red para evitar bucles. Cuando existen bucles en una red, RSTP bloquea un puerto para
eliminar los bucles. En Figura 6-24, SwitchA, SwitchB, SwitchC, y SwitchD que ejecutan
RSTP intercambian las RSTP BPDU para descubrir bucles en la red y bloquear puertos para
podar la red en una red de árbol sin bucles. RSTP evita el bucle infinito de paquetes para
garantizar la capacidad de procesamiento de paquetes de los switches.
Red
GE1/0/3 GE1/0/3
Root
SwitchD GE1/0/1 GE1/0/1
Bridge
RSTP
GE1/0/3 GE1/0/3
SwitchC SwitchB
GE1/0/1 GE1/0/1
GE1/0/2 GE1/0/2
PC1 PC2
Puerto
bloqueado
Procedimiento
Paso 1 Configure funciones básicas de RSTP.
1. Configure los dispositivos de conmutación en la red en anillo para que funcionen en
modo RSTP.
3. Configure el costo de la ruta de un puerto para que el puerto pueda ser bloqueado.
NOTA
– El rango de costo de la ruta depende del algoritmo. El algoritmo patentado de Huawei se usa
como ejemplo. Ajuste los costos de la ruta de los puertos a ser bloqueados a 20000.
– Los dispositivos de conmutación en la misma red deben usar el mismo algoritmo para calcular
el costo de la ruta de los puertos.
# Configure SwitchA para usar el algoritmo patentado de Huawei para calcular el costo
de la ruta.
[SwitchA] stp pathcost-standard legacy
# Configure SwitchB para usar el algoritmo patentado de Huawei para calcular el costo
de la ruta.
[SwitchB] stp pathcost-standard legacy
# Configure SwitchD para usar el algoritmo patentado de Huawei para calcular el costo
de la ruta.
[SwitchD] stp pathcost-standard legacy
NOTA
Si los puertos de borde están conectados a dispositivos de red que tienen STP habilitado y la
protección BPDU está habilitada, los puertos de borde se apagarán y sus atributos
permanecerán sin cambios después de recibir BPDU.
– Habilite RSTP globalmente en dispositivos.
# Habilite RSTP en SwitchA.
[SwitchA] stp enable
Paso 2 Habilite las funciones de protección. A continuación, se usa protección de root en el puerto
designado del root bridge como ejemplo.
# Configure la protección de root en GigabitEthernet1/0/1 de SwitchA.
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] stp root-protection
[SwitchA-GigabitEthernet1/0/1] quit
# Ejecute el comandodisplay stp brief en SwitchC para verificar el estado del puerto.
[SwitchC] display stp brief
MSTID Port Role STP State Protection
0 GigabitEthernet1/0/1 ALTE DISCARDING NONE
0 GigabitEthernet1/0/2 DESI FORWARDING NONE
0 GigabitEthernet1/0/3 ROOT FORWARDING NONE
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
stp mode rstp
stp instance 0 root primary
stp pathcost-standard legacy
stp enable
#
interface GigabitEthernet1/0/1
stp root-protection
#
interface GigabitEthernet1/0/2
stp root-protection
#
return
MSTP l Forma árboles múltiples sin El tráfico del usuario o del servicio
bucles para evitar tormentas de debe diferenciarse y equilibrarse en la
difusión e implementar carga. El tráfico desde diferentes
redundancia. VLAN se reenvía a través de los
l Proporciona una convergencia diferentes árboles de expansión
rápida. independientes entre sí.
l Implementa el equilibrio de carga
entre VLAN y reenvía el tráfico
en diferentes VLAN a lo largo de
diferentes rutas.
Notas de configuración
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
l Los puertos conectados a los terminales no participan en el cálculo MSTP. Por lo tanto,
configure los puertos como puertos de borde o deshabilite STP en los puertos.
Requisitos de redes
Para implementar la redundancia en una red compleja, los diseñadores de redes tienden a
desplegar múltiples enlaces físicos entre dos dispositivos, uno de los cuales es el enlace
primario y los otros son enlaces de reserva. Pueden producirse bucles, lo que causa tormentas
de difusión o hace que la tabla de direcciones MAC se quede inestable. MSTP se puede usar
para evitar bucles. MSTP bloquea enlaces redundantes y corta una red en una topología de
árbol libre de bucles.
En Figura 6-25, SwitchA, SwitchB, SwitchC, y SwitchD ejecutan MSTP. MSTP utiliza
instancias múltiples para implementar el equilibrio de carga del tráfico en VLAN 2 a 10 y
VLAN 11 a 20. Se puede usar la tabla de mapeo de VLAN que define el mapeo entre VLAN
y MSTI.
Red
RG1
SwitchA Eth-Trunk1 SwitchB
GE1/0/3 GE1/0/3
GE1/0/2
SwitchC SwitchD
GE1/0/2
GE1/0/1 GE1/0/1
MSTI 1:
MSTI 2:
NOTA
Cuando el enlace entre el root bridge y el secondary root bridge esté en Down, el puerto habilitado con
protección de root se convierte en Discarding porque la protección de root tiene efecto.
Para mejorar la confiabilidad, se recomienda vincular el enlace entre el root bridge y el secondary root
bridge a un Eth-Trunk.
3. Configure el reenvío de Capa 2 en los dispositivos.
Procedimiento
Paso 1 Configure las funciones básicas de MSTP.
1. Configure SwitchA, SwitchB, SwitchC y SwitchD (switches de acceso) en la región
MST RG1 y cree MSTI 1 y MSTI 2.
NOTA
Dos switches pertenecen a la misma región MST cuando tienen el mismo:
– Nombre de la región MST
– Mapeo entre VLAN y MSTI
– Nivel de revisión de la región MST
# Configure una región MST del el root bridge SwitchA en MSTI 1.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] stp region-configuration
[SwitchA-mst-region] region-name RG1 //Configure el nombre de la región como
RG1.
[SwitchA-mst-region] instance 1 vlan 2 to 10 //Mapee las VLAN 2 a 10 a MSTI 1.
[SwitchA-mst-region] instance 2 vlan 11 to 20 //Mapee las VLAN 11 a 20 a
MSTI 2.
[SwitchA-mst-region] active region-configuration //Active la configuración de
la región MST.
[SwitchA-mst-region] quit
# Configure una región MST del root bridge SwitchB en MSTI 1.
<Quidway> system-view
[Quidway] sysname SwitchB
[SwitchB] stp region-configuration
[SwitchB-mst-region] region-name RG1 //Configure el nombre de la región como
RG1.
[SwitchB-mst-region] instance 1 vlan 2 to 10 //Mapee las VLAN 2 a 10 a MSTI
1.
[SwitchB-mst-region] instance 2 vlan 11 to 20 //Mapee las VLAN 11 a 20 a
MSTI 2.
[SwitchB-mst-region] active region-configuration //Active la configuración de
la región MST.
[SwitchB-mst-region] quit
# Configure una región MST de SwitchC.
<Quidway> system-view
[Quidway] sysname SwitchC
[SwitchC] stp region-configuration
[SwitchC-mst-region] region-name RG1 //Configure el nombre de la región como
RG1.
[SwitchC-mst-region] instance 1 vlan 2 to 10 //Mapee las VLAN 2 a 10 a MSTI
1.
[SwitchC-mst-region] instance 2 vlan 11 to 20 //Mapee las VLAN 11 a 20 a
MSTI 2.
[SwitchC-mst-region] active region-configuration //Active la configuración de
la región MST.
[SwitchC-mst-region] quit
# Configure una región MST de SwitchD.
<Quidway> system-view
[Quidway] sysname SwitchD
2. Configure los root bridge y los secondary root bridge de MSTI 1 y MSTI 2 en la región
MST RG1.
– Configure el root bridge y el secondary root bridge en MSTI 1.
# Configure SwitchA como el root bridge en MSTI 1.
[SwitchA] stp instance 1 root primary
3. Ajuste que los costos de la ruta de los puertos a ser bloqueados en MSTI 1 y MSTI 2
sean mayores que los valores por defecto.
NOTA
– El rango del costo de la ruta depende del algoritmo. El algoritmo patentado de Huawei se usa
como ejemplo. Ajuste los costos de la ruta de los puertos a ser bloqueados en MSTI 1 y MSTI
2 a 20000.
– Los dispositivos de conmutación en la misma red deben usar el mismo algoritmo para calcular
el costo de la ruta de los puertos.
Configure SwitchA para usar el algoritmo patentado de Huawei para calcular el costo de
la ruta.
[SwitchA] stp pathcost-standard legacy
# Configure SwitchB para usar el algoritmo patentado de Huawei para calcular el costo
de la ruta.
[SwitchB] stp pathcost-standard legacy
# Configure SwitchD para usar el algoritmo patentado de Huawei para calcular el costo
de la ruta y ajuste el costo de la ruta de GE1/0/2 a 20000 en MSTI 1.
[SwitchD] stp pathcost-standard legacy
[SwitchD] interface gigabitethernet 1/0/2
[SwitchD-GigabitEthernet1/0/2] stp instance 1 cost 20000
[SwitchD-GigabitEthernet1/0/2] quit
NOTA
Si los puertos de borde están conectados a dispositivos de red que tienen STP habilitado y la
protección BPDU está habilitada, los puertos de borde se apagarán y sus atributos
permanecerán sin cambios después de recibir BPDU.
Paso 2 Habilite las funciones de protección. Por ejemplo, habilite la protección de root en el puerto
designado del root bridge en cada MSTI.
# Habilite la protección de root en GE1/0/1 de SwitchA.
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] stp root-protection
[SwitchA-GigabitEthernet1/0/1] quit
Una vez que sea completada la configuración y la topología de red se vuelva estable, realice
las siguientes operaciones para verificar la configuración.
NOTA
MSTI 1 y MSTI 2 se utilizan como ejemplos, por lo que no es necesario verificar el estado del puerto en
MSTI 0.
# Ejecute el comando display stp brief en SwitchA para ver el estado del puerto y el tipo de
la protección. La información mostrada es la siguiente:
[SwitchA] display stp brief
MSTID Port Role STP State Protection
0 GigabitEthernet1/0/1 DESI FORWARDING ROOT
0 Eth-Trunk1 DESI FORWARDING NONE
1 GigabitEthernet1/0/1 DESI FORWARDING ROOT
1 Eth-Trunk1 DESI FORWARDING NONE
2 GigabitEthernet1/0/1 DESI FORWARDING ROOT
2 Eth-Trunk1 ROOT FORWARDING NONE
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 2 to 20
#
stp instance 1 root primary
stp instance 2 root secondary
stp pathcost-standard legacy
stp enable
#
stp region-configuration
region-name RG1
instance 1 vlan 2 to 10
instance 2 vlan 11 to 20
active region-configuration
#
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 2 to 20
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 20
stp root-protection
#
interface GigabitEthernet1/0/2
eth-trunk 1
#
interface GigabitEthernet1/0/3
eth-trunk 1
#
return
eth-trunk 1
#
interface GigabitEthernet1/0/3
eth-trunk 1
#
return
l Archivo de configuración de SwitchC
#
sysname SwitchC
#
vlan batch 2 to 20
#
stp bpdu-protection
stp pathcost-standard legacy
stp enable
#
stp region-configuration
region-name RG1
instance 1 vlan 2 to 10
instance 2 vlan 11 to 20
active region-configuration
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 2
stp edged-port enable
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 20
stp instance 2 cost 20000
#
interface GigabitEthernet1/0/3
port link-type trunk
port trunk allow-pass vlan 2 to 20
#
return
l Archivo de configuración de SwitchD
#
sysname SwitchD
#
vlan batch 2 to 20
#
stp bpdu-protection
stp pathcost-standard legacy
stp enable
#
stp region-configuration
region-name RG1
instance 1 vlan 2 to 10
instance 2 vlan 11 to 20
active region-configuration
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 11
stp edged-port enable
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 20
stp instance 1 cost 20000
#
interface GigabitEthernet1/0/3
port link-type trunk
port trunk allow-pass vlan 2 to 20
#
return
Descripción general
Cuando VRRP se implementa en una red, varios dispositivos transmiten servicios
simultáneamente. Cada dispositivo virtual consta de un Master y varias Backup. Si es
necesario implementar enlaces redundantes para la copia de seguridad de acceso, se debe
implementar MSTP para eliminar bucles y garantizar el equilibrio de carga del tráfico.
Notas de configuración
l A continuación se describen los modelos y versiones de producto aplicables.
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
l Los puertos conectados a los terminales no participan en el cálculo MSTP. Por lo tanto,
configure los puertos como puertos de borde o deshabilite STP en los puertos.
Requisitos de redes
En Figura 6-26, hosts se conectan a la red a través de SwitchC. SwitchC está dual-homed a
SwitchA y SwitchB y se conecta a Internet. Los enlaces redundantes se implementan para la
copia de seguridad de acceso. El uso de los enlaces redundantes, sin embargo, puede producir
bucles, causando tormentas de difusión y volviendo inestable la tabla de direcciones MAC.
Es necesario evitar los bucles de red cuando se implementen enlaces redundantes, el tráfico se
conmuta a otro enlace cuando se desconecte un enlace, y se usa efectivamente el ancho de
banda de la red.
MSTP se puede configurar en la red. MSTP bloquea enlaces redundantes y corta una red en
una topología de árbol libre de bucles. VRRP se puede configurar en SwitchA y SwitchB.
HostA se conecta a Internet con SwitchA como gateway por defecto y SwitchB como
gateway de reserva; HostB se conecta a Internet con SwitchB como gateway por defecto y
SwitchA como gateway de reserva. Este ajuste implementa confiabilidad y equilibrio de carga
del tráfico.
GE1/0/2
1/0 /1
/2
E 1/0
G
MSTP Internet
GE1/0/2
GE
/3 1
E 1/0 SwitchC /0/4
G
HostB GE RouterB
1/0 /0 /3
VLAN 3 /1 GE1
10.1.3.101/24 SwitchB
VRID 1:Backup
VRRP VRID 2 VRID 2:Master
Dirección IP virtual:
10.1.3.100
MSTI 1: MSTI 2:
a. Configure una región MST y cree múltiples instancias, y mapee VLAN 2 a MSTI 1
y VLAN 3 a MSTI 2 para el equilibrio de carga del tráfico.
b. Configure el root bridge y el secondary root bridge en cada región MST.
c. Configure el costo de la ruta de un puerto en cada MSTI para que el puerto pueda
ser bloqueado.
d. Habilite MSTP para evitar bucles.
n Habilite MSTP globalmente.
n Habilite MSTP en todos los puertos excepto en los puertos conectados a los
hosts.
2. Habilite las funciones de protección para proteger dispositivos o enlaces. Por ejemplo,
habilite la protección de root en el puerto designado del root bridge en cada MSTI.
3. Configure el reenvío de Capa 2 en los dispositivos.
4. Asigne una dirección IP a cada interfaz y configure un protocolo de enrutamiento para
garantizar la conectividad de la red.
NOTA
En este ejemplo, SwitchA y SwitchB necesitan ser compatibles con VRPP y OSPF. Para obtener
detalles sobre los modelos compatibles con VRRP y OSPF, consulte la documentación.
5. Cree el grupo 1 y 2 de VRRP en SwitchA y SwitchB. En el grupo 1 de VRRP, configure
SwitchA como el Master y SwitchB como el Backup. En el grupo 2 de VRRP, configure
SwitchB como el Master y SwitchA como el Backup.
Procedimiento
Paso 1 Configure las funciones básicas de MSTP.
1. Configure SwitchA, SwitchB y SwitchC en la región MST RG1 y cree MSTI 1 y MSTI
2.
# Configure una región MST en SwitchA.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] stp region-configuration //Introduzca la vista de la región.
[SwitchA-mst-region] region-name RG1 //Configure el nombre de la región como
RG1.
[SwitchA-mst-region] instance 1 vlan 2 //Mapee VLAN 2 a MSTI 1.
[SwitchA-mst-region] instance 2 vlan 3 //Mapee VLAN 3 a MSTI 2.
[SwitchA-mst-region] active region-configuration //Active la configuración de
la región MST.
[SwitchA-mst-region] quit
RG1.
[SwitchC-mst-region] instance 1 vlan 2 //Mapee VLAN 2 a MSTI 1.
[SwitchC-mst-region] instance 2 vlan 3 //Mapee VLAN 3 a MSTI 2.
[SwitchC-mst-region] active region-configuration //Active la configuración de
la región MST.
[SwitchC-mst-region] quit
3. Ajuste que los costos de la ruta de los puertos a ser bloqueados en MSTI 1 y MSTI 2
sean mayores que los valores por defecto.
NOTA
– El rango del costo de la ruta depende del algoritmo. El algoritmo patentado de Huawei se usa
como ejemplo. Ajuste los costos de la ruta de los puertos a ser bloqueados en MSTI 1 y MSTI
2 a 20000.
– Los dispositivos de conmutación en la misma red deben usar el mismo algoritmo para calcular
el costo de la ruta de los puertos.
# Configure SwitchA para usar el algoritmo patentado de Huawei para calcular el costo
de la ruta.
[SwitchA] stp pathcost-standard legacy
# Configure SwitchB para usar el algoritmo patentado de Huawei para calcular el costo
de la ruta.
[SwitchB] stp pathcost-standard legacy
# Configure SwitchC para usar el algoritmo patentado de Huawei para calcular el costo
de la ruta, y ajuste el costo de la ruta de GE1/0/1 en MSTI 2 a 20000 y el costo de la ruta
de GE1/0/4 en MSTI 1 a 20000.
[SwitchC] stp pathcost-standard legacy
[SwitchC] interface gigabitethernet 1/0/1
[SwitchC-GigabitEthernet1/0/1] stp instance 2 cost 20000
[SwitchC-GigabitEthernet1/0/1] quit
[SwitchC] interface gigabitethernet 1/0/4
[SwitchC-GigabitEthernet1/0/4] stp instance 1 cost 20000
[SwitchC-GigabitEthernet1/0/4] quit
# Configure el SwitchB.
[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] stp edged-port enable
[SwitchB-GigabitEthernet1/0/3] quit
NOTA
Si los puertos de borde están conectados a dispositivos de red que tienen STP habilitado y la
protección BPDU está habilitada, los puertos de borde se apagarán y sus atributos
permanecerán sin cambios después de recibir BPDU.
Paso 2 Habilite las funciones de protección. Por ejemplo, habilite la protección de root en el puerto
designado del root bridge en cada MSTI.
Una vez que sea completada la configuración y la topología de red se vuelva estable, realice
las siguientes operaciones para verificar la configuración.
NOTA
MSTI 1 y MSTI 2 se utilizan como ejemplos, por lo que no es necesario verificar el estado del puerto en
MSTI 0.
# Ejecute el comando display stp brief en SwitchA para ver el estado del puerto y el tipo de
la protección. La información mostrada es la siguiente:
[SwitchA] display stp brief
MSTID Port Role STP State Protection
0 GigabitEthernet1/0/1 DESI FORWARDING ROOT
0 GigabitEthernet1/0/2 DESI FORWARDING NONE
1 GigabitEthernet1/0/1 DESI FORWARDING ROOT
1 GigabitEthernet1/0/2 DESI FORWARDING NONE
2 GigabitEthernet1/0/1 DESI FORWARDING ROOT
2 GigabitEthernet1/0/2 ROOT FORWARDING NONE
# Configure OSPF entre SwitchA, SwitchB, y router. SwitchA se usa como un ejemplo. La
configuración de SwitchB es similar a la de SwitchA, y no se menciona aquí. Para más
detalles, vea los archivos de configuración.
[SwitchA] ospf 1
[SwitchA-ospf-1] area 0
[SwitchA-ospf-1-area-0.0.0.0] network 10.1.2.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] network 10.1.3.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] network 10.1.4.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] quit
[SwitchA-ospf-1] quit
# Configure la dirección IP virtual 10.1.2.100 del grupo 1 de VRRP como gateway por
defecto de HostA, y la dirección IP virtual 10.1.3.100 del grupo 2 de VRRP como gateway
por defecto de HostB.
Paso 7 Verifique la configuración
# Una vez completada la configuración, ejecute el comando display vrrp en SwitchA. La
salida siguiente muestra que SwitchA es el Master en el grupo 1 de VRRP y el Backup en el
grupo 2 de VRRP.
[SwitchA] display vrrp
Vlanif2 | Virtual Router 1
State : Master
Virtual IP : 10.1.2.100
Master IP : 10.1.2.102
PriorityRun : 120
PriorityConfig : 120
MasterPriority : 120
Preempt : YES Delay Time : 20 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Create time : 2012-05-11 11:39:18
Last change time : 2012-05-26 11:38:58
Virtual IP : 10.1.3.100
Master IP : 10.1.3.103
PriorityRun : 100
PriorityConfig : 100
MasterPriority : 120
Preempt : YES Delay Time : 0 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0102
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Create time : 2012-05-11 11:40:18
Last change time : 2012-05-26 11:48:58
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 2 to 4
#
stp instance 1 root primary
Notas de configuración
l STP y Smart Link deben estar deshabilitados en la interfaz agregada a un dominio RRPP.
l Las reglas de limitación de direcciones DHCP y MAC no se pueden configurar en una
VLAN de control de RRPP.
l Cuando se necesita configurar el mapeo entre la instancia protegida y la MUX VLAN, se
recomienda configurar la VLAN principal, la VLAN de grupo subordinado y la VLAN
separada subordinada en la MUX VLAN en la instancia protegida. De lo contrario,
pueden producirse bucles.
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
Requisitos de redes
En Figura 6-27, SwitchA, SwitchB, y SwitchC constituye una red en anillo. La red es
necesaria para evitar bucles cuando el anillo está completo y para implementar una
convergencia rápida para restaurar rápidamente la comunicación entre los nodos en el anillo
cuando falla el anillo. Usted puede habilitar RRPP en SwitchA, SwitchB, y SwitchC para
cumplir este requisito.
GE2/0/2
GE2/0/1 GE2/0/1
Anillo 1
GE2/0/2 GE2/0/2 SwitchC
GE2/0/1
SwitchA
Interfaz primaria
Interfaz secundaria
Procedimiento
Paso 1 Cree un dominio RRPP y su VLAN de control.
Paso 2 Instancia de mapeo 1 para controlar la VLAN 20 y la 21 y las VLAN de datos de 100 a 300.
Paso 3 Configure las interfaces que se agregarán al anillo RRPP como interfaces trunk, configure las
interfaces para permitir que las VLAN 100 a 300 pasen, y deshabilite STP en las interfaces.
# Configure SwitchA.
[SwitchA] rrpp domain 1
[SwitchA-rrpp-domain-region1] protected-vlan reference-instance 1 //Configure la
instancia 1 como la instancia protegida del dominio RRPP.
[SwitchA-rrpp-domain-region1] ring 1 node-mode master primary-port
gigabitethernet 2/0/1 secondary-port gigabitethernet 2/0/2 level 0
[SwitchA-rrpp-domain-region1] ring 1 enable
[SwitchA-rrpp-domain-region1] quit
# Configure SwitchB.
[SwitchB] rrpp domain 1
[SwitchB-rrpp-domain-region1] protected-vlan reference-instance 1
[SwitchB-rrpp-domain-region1] ring 1 node-mode transit primary-port
gigabitethernet 2/0/1 secondary-port gigabitethernet 2/0/2 level 0
[SwitchB-rrpp-domain-region1] ring 1 enable
[SwitchB-rrpp-domain-region1] quit
# Configure SwitchC.
[SwitchC] rrpp domain 1
[SwitchC-rrpp-domain-region1] protected-vlan reference-instance 1
[SwitchC-rrpp-domain-region1] ring 1 node-mode transit primary-port
gigabitethernet 2/0/1 secondary-port gigabitethernet 2/0/2 level 0
[SwitchC-rrpp-domain-region1] ring 1 enable
[SwitchC-rrpp-domain-region1] quit
Una vez completada la configuración y la topología de red se vuelva estable, realice las
siguientes operaciones para verificar la configuración. La visualización en SwitchA se usa
como ejemplo.
# Ejecute el comando display rrpp brief en SwitchA. La siguiente información es la
mostrada:
[SwitchA] display rrpp brief
Abbreviations for Switch Node Mode :
M - Master , T - Transit , E - Edge , A - Assistant-Edge
Domain Index : 1
Control VLAN : major 20 sub 21
Protected VLAN : Reference Instance 1
Hello Timer : 1 sec(default is 1 sec) Fail Timer : 6 sec(default is 6 sec)
RRPP Ring : 1
Ring Level : 0
Node Mode : Master
Ring State : Complete
Is Enabled : Enable Is Active: Yes
Primary port : GigabitEthernet2/0/1 Port status: UP
Secondary port : GigabitEthernet2/0/2 Port status: BLOCKED
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 20 to 21 100 to 300
#
rrpp enable
#
stp region-configuration
instance 1 vlan 20 to 21 100 to 300
active region-configuration
#
rrpp domain 1
control-vlan 20
protected-vlan reference-instance 1
ring 1 node-mode master primary-port GigabitEthernet2/0/1 secondary-port
GigabitEthernet2/0/2 level 0
ring 1 enable
#
interface GigabitEthernet2/0/1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 20 to 21 100 to 300
stp disable
#
interface GigabitEthernet2/0/2
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 20 to 21 100 to 300
stp disable
#
return
l Archivo de configuración SwitchB
#
sysname SwitchB
#
vlan batch 20 to 21 100 to 300
#
rrpp enable
#
stp region-configuration
instance 1 vlan 20 to 21 100 to 300
active region-configuration
#
rrpp domain 1
control-vlan 20
protected-vlan reference-instance 1
ring 1 node-mode transit primary-port GigabitEthernet2/0/1 secondary-port
GigabitEthernet2/0/2 level 0
ring 1 enable
#
interface GigabitEthernet2/0/1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 20 to 21 100 to 300
stp disable
#
interface GigabitEthernet2/0/2
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 20 to 21 100 to 300
stp disable
#
return
l Archivo de configuración SwitchC
#
sysname SwitchC
#
vlan batch 20 to 21 100 to 300
#
rrpp enable
#
stp region-configuration
instance 1 vlan 20 to 21 100 to 300
active region-configuration
#
rrpp domain 1
control-vlan 20
protected-vlan reference-instance 1
ring 1 node-mode transit primary-port GigabitEthernet2/0/1 secondary-port
GigabitEthernet2/0/2 level 0
ring 1 enable
#
interface GigabitEthernet2/0/1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 20 to 21 100 to 300
stp disable
#
interface GigabitEthernet2/0/2
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 20 to 21 100 to 300
stp disable
#
return
Descripción general
En general, una red de Ethernet metropolitana utiliza anillos de dos capas:
l Una capa es la capa de agregación entre los dispositivos de agregación PE-AGG, por
ejemplo, el domain 1 de RRPP en Figura 6-28.
l La otra capa es la capa de acceso entre PE-AGG y UPE, por ejemplo, el domain 2 de
RRPP y el domain 3 de RRPP en Figura 6-28.
En Figura 6-28, se pueden usar anillos de intersección RRPP. Los anillos RRPP se configuran
en capas de agregación y acceso, y las dos capas se conectan a través de anillos RRPP
tangentes.
UPE2 PE-AGG3
RRPP Transit 1
Domain 2
Master
PE-AGG1
UPE RRPP P IP/MPLS
Domain 1 core
S
UPE Block NPE
RRPP Transit 2
Domain 3
PE-AGG2
Master PE-AGG: PE-Agregación
UPE NPE: Borde del proveedor de red
UMG: Universal Media Gateway
UPE: Borde del proveedor de capa inferior
DSLAM: Multiplexor de línea de acceso de abonado digital
Dos anillos tangentes no pueden pertenecer al mismo dominio de RRPP. El punto tangente de
los dos anillos tangentes pertenece a dos dominios de RRPP, y el nodo principal se puede
ubicar en el punto tangente.
Cuando hay múltiples anillos tangentes de RRPP, una falla en un anillo no afecta otros
dominios y el proceso de convergencia de los anillos de RRPP en un dominio es el mismo que
el de un solo anillo.
Notas de configuración
l STP y Smart Link deben estar deshabilitados en la interfaz agregada a un dominio RRPP.
l Las reglas de limitación de direcciones DHCP y MAC no se pueden configurar en una
VLAN de control de RRPP.
l Cuando se necesita configurar el mapeo entre la instancia protegida y la MUX VLAN, se
recomienda configurar la VLAN principal, la VLAN de grupo subordinado y la VLAN
separada subordinada en la MUX VLAN en la instancia protegida. De lo contrario,
pueden producirse bucles.
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
Requisitos de redes
En Figura 6-28, la red es necesaria para evitar bucles cuando el anillo está completo y para
implementar una convergencia rápida para restaurar rápidamente la comunicación entre los
nodos en el anillo cuando falla el anillo. RRPP puede cumplir este requisito. RRPP admite
múltiples anillos. Puede configurar anillos de RRPP en las capas de agregación y acceso. Los
dos anillos son tangentes, lo que simplifica la configuración de la red.
Domain 2 Domain 1
Interfaz primaria
Interfaz secundaria
Procedimiento
Paso 1 Cree dominios de RRPP y configure las VLAN de control y las VLAN protegidas de los
dominios de RRPP.
# Configure SwitchE. Las configuraciones de SwitchA, SwitchB, SwitchC, y SwitchD son
similares a la configuración de SwitchE, y no se mencionan aquí. Para más detalles, vea los
archivos de configuración.
<Quidway> system-view
[Quidway] sysname SwitchE
[SwitchE] rrpp domain 1
[SwitchE-rrpp-domain-region1] control-vlan 10 //Cada dominio RRPP tiene una VLAN
de control principal y una VLAN de subcontrol. Solo debe especificar la VLAN
principal de control. El sistema usa la VLAN cuyo ID es mayor que el ID de la
VLAN principal de control como la VLAN de subcontrol.
[SwitchE-rrpp-domain-region1] protected-vlan reference-instance 1 //Configure
la instancia 1 como la instancia protegida del dominio RRPP.
[SwitchE-rrpp-domain-region1] quit
Paso 2 Configure la instancia 2 y mapéela a las VLAN de datos y controle las VLAN permitidas por
la interfaz de RRPP.
# Configure SwitchA. Las configuraciones de SwitchB, SwitchC, SwitchD, y SwitchE son
similares a la configuración de SwitchA, y no se mencionan aquí. Para más detalles, vea los
archivos de configuración.
[SwitchA] vlan batch 201 to 300
[SwitchA] stp region-configuration
[SwitchA-mst-region] instance 2 vlan 20 21 201 to 300 ///Agregue la VLAN
principal de control y la VLAN de subcontrol a la instancia 2.
[SwitchA-mst-region] active region-configuration
[SwitchA-mst-region] quit
Paso 3 Configure las interfaces que se agregarán a los anillos RRPP como interfaces trunk y
deshabilite STP en las interfaces.
# Configure SwitchA. Las configuraciones de SwitchB, SwitchC, SwitchD, y SwitchE son
similares a la configuración de SwitchA, y no se mencionan aquí. Para más detalles, vea los
archivos de configuración.
[SwitchA] interface gigabitethernet 2/0/1
[SwitchA-GigabitEthernet2/0/1] port link-type trunk
[SwitchA-GigabitEthernet2/0/1] undo port trunk allow-pass vlan 1
[SwitchA-GigabitEthernet2/0/1] stp disable
[SwitchA-GigabitEthernet2/0/1] quit
[SwitchA] interface gigabitethernet 2/0/2
[SwitchA-GigabitEthernet2/0/2] port link-type trunk
[SwitchA-GigabitEthernet2/0/2] undo port trunk allow-pass vlan 1
[SwitchA-GigabitEthernet2/0/2] stp disable
[SwitchA-GigabitEthernet2/0/2] quit
Domain Index : 1
Control VLAN : major 10 sub 11
Protected VLAN : Reference Instance 1
Hello Timer : 1 sec(default is 1 sec) Fail Timer : 6 sec(default is 6 sec)
Ring Ring Node Primary/Common Secondary/Edge Is
ID Level Mode Port Port Enabled
----------------------------------------------------------------------------
1 0 T GigabitEthernet1/0/1 GigabitEthernet1/0/2 Yes
Domain Index : 2
Control VLAN : major 20 sub 21
Protected VLAN : Reference Instance 2
Hello Timer : 1 sec(default is 1 sec) Fail Timer : 6 sec(default is 6 sec)
Ring Ring Node Primary/Common Secondary/Edge Is
ID Level Mode Port Port Enabled
----------------------------------------------------------------------------
2 0 T GigabitEthernet2/0/1 GigabitEthernet2/0/2 Yes
RRPP Ring : 1
Ring Level : 0
Node Mode : Transit
Ring State : LinkUp
Is Enabled : Enable Is Active: Yes
Primary port : GigabitEthernet1/0/1 Port status: UP
Secondary port : GigabitEthernet1/0/2 Port status: UP
RRPP Ring : 2
Ring Level : 0
Node Mode : Transit
Ring State : LinkUp
Is Enabled : Enable Is Active: Yes
Primary port : GigabitEthernet2/0/1 Port status: UP
Secondary port : GigabitEthernet2/0/2 Port status: UP
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 20 to 21 201 to 300
#
rrpp enable
#
stp region-configuration
instance 2 vlan 20 to 21 201 to 300
active region-configuration
#
rrpp domain 2
control-vlan 20
protected-vlan reference-instance 2
ring 2 node-mode master primary-port GigabitEthernet2/0/1 secondary-port
GigabitEthernet2/0/2 level 0
ring 2 enable
#
interface GigabitEthernet2/0/1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 20 to 21
stp disable
#
interface GigabitEthernet2/0/2
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 20 to 21
stp disable
#
return
#
vlan batch 20 to 21 201 to 300
#
rrpp enable
#
stp region-configuration
instance 2 vlan 20 to 21 201 to 300
active region-configuration
#
rrpp domain 2
control-vlan 20
protected-vlan reference-instance 2
ring 2 node-mode transit primary-port GigabitEthernet2/0/1 secondary-port
GigabitEthernet2/0/2 level 0
ring 2 enable
#
interface GigabitEthernet2/0/1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 20 to 21
stp disable
#
interface GigabitEthernet2/0/2
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 20 to 21
stp disable
#
return
l Archivo de configuración de SwitchC
#
sysname SwitchC
#
vlan batch 10 to 11 20 to 21 100 to 300
#
rrpp enable
#
stp region-configuration
instance 1 vlan 10 to 11 100 to 200
instance 2 vlan 20 to 21 201 to 300
active region-configuration
#
rrpp domain 1
control-vlan 10
protected-vlan reference-instance 1
ring 1 node-mode transit primary-port GigabitEthernet1/0/1 secondary-port
GigabitEthernet1/0/2 level 0
ring 1 enable
rrpp domain 2
control-vlan 20
protected-vlan reference-instance 2
ring 2 node-mode transit primary-port GigabitEthernet2/0/1 secondary-port
GigabitEthernet2/0/2 level 0
ring 2 enable
#
interface GigabitEthernet1/0/1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 to 11
stp disable
#
interface GigabitEthernet1/0/2
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 to 11
stp disable
#
interface GigabitEthernet2/0/1
port link-type trunk
interface GigabitEthernet1/0/2
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 to 11
stp disable
#
return
Figura 6-30 Redes para configurar RRPP snooping en una red VPLS
NPEB
VPLS
NPEA NPEC
NPED
Anillo de
P RRPP
UPEA UPEB
S
Paquete de datos
Paquete de saludo
P Interfaz primaria
S Interfaz secundaria
entradas de reenvío. Esto asegura que el tráfico se puede cambiar a una ruta normal y el
tráfico de enlace descendente se puede reenviar correctamente.
Notas de configuración
l RRPP y RRPP snooping no se pueden configurar en la misma interfaz.
l Las tarjetas de la serie SA y las interfaces XGE conectadas a las tarjetas
LE1D2FW00S01 no son compatibles con RRPP snooping. En versiones anteriores de
V200R007C00, las tarjetas de la serie X1E no son compatibles con RRPP snooping.
l A continuación se describen los modelos de productos y versiones aplicables.
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
En Figura 6-31, SwitchA, SwitchB, SwitchC, y SwitchD constituye un anillo RRPP. La red
es necesaria para evitar bucles cuando el anillo está completo y para implementar una
convergencia rápida para restaurar rápidamente la comunicación entre los nodos en el anillo
cuando falla el anillo. La red VPLS puede transmitir transparentemente paquetes de RRPP,
detectar cambios de estado del anillo RRPP y actualizar entradas de reenvío para que el
tráfico pueda cambiarse rápidamente a una ruta normal de acuerdo con el estado del anillo.
Switch
VPLS
SwitchC SwitchD
GE2/0/0.10 vinculado a VSI 10 GE2/0/0.10 vinculado a VSI 10
GE2/0/0.20 vinculado a VSI 20 GE2/0/0.20 vinculado a VSI 20
Anillo RRPP
Ring 1
GE1/0/2 VLAN de control GE1/0/2
20 SwitchB
SwitchA
GE1/0/1 GE1/0/1
Procedimiento
Paso 1 Configure VPLS. SwitchC se usa como ejemplo. La configuración de SwitchD es similar a la
configuración de SwitchC, y no se menciona aquí. Para más detalles, vea los archivos de
configuración.
NOTA
# Configure GE2/0/0.10 en SwitchC para permitir que los paquetes de la VLAN 10 pasen y
enlace GE2/0/0.10 a VSI 10.
<Quidway> system-view
[Quidway] sysname SwitchC
[SwitchC] interface gigabitethernet 2/0/0
[SwitchC-GigabitEthernet2/0/0] undo portswitch
[SwitchC-GigabitEthernet2/0/0] quit
[SwitchC] interface gigabitethernet 2/0/0.10
[SwitchC-GigabitEthernet2/0/0.10] dot1q termination vid 10
[SwitchC-GigabitEthernet2/0/0.10] l2 binding vsi VSI10 //Enlace la VSI a la
subinterfaz.
[SwitchC-GigabitEthernet2/0/0.10] quit
# Configure GE2/0/0.20 en SwitchC para permitir que los paquetes de VLAN 20 (VLAN de
control del RRPP) pasen y vincule GE2/0/0.20 a VSI 20.
[SwitchC] interface gigabitethernet 2/0/0.20
[SwitchC-GigabitEthernet2/0/0.20] dot1q termination vid 20
[SwitchC-GigabitEthernet2/0/0.20] l2 binding vsi VSI20
[SwitchC-GigabitEthernet2/0/0.20] quit
Domain Index : 1
Control VLAN : major 20 sub 21
Protected VLAN : Reference Instance 1
Hello Timer : 1 sec(default is 1 sec) Fail Timer : 6 sec(default is 6 sec)
RRPP Ring : 1
Ring Level : 0
Node Mode : Master
Ring State : Complete
Is Enabled : Enable Is Active : Yes
Primary port : GigabitEthernet1/0/1 Port status: UP
Secondary port : GigabitEthernet1/0/2 Port status: BLOCKED
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 10 20 to 21
#
rrpp enable
#
stp region-configuration
instance 1 vlan 10 20 to 21
active region-configuration
#
rrpp domain 1
control-vlan 20
protected-vlan reference-instance 1
ring 1 node-mode master primary-port GigabitEthernet1/0/1 secondary-port
GigabitEthernet1/0/2 level 0
ring 1 enable
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 to 21
stp disable
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 to 21
stp disable
#
return
l Archivo de configuración de SwitchB
#
sysname SwitchB
#
vlan batch 10 20 to 21
#
rrpp enable
#
stp region-configuration
instance 1 vlan 10 20 to 21
active region-configuration
#
rrpp domain 1
control-vlan 20
protected-vlan reference-instance 1
ring 1 node-mode transit primary-port GigabitEthernet1/0/1 secondary-port
GigabitEthernet1/0/2 level 0
ring 1 enable
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 to 21
stp disable
#
interface GigabitEthernet1/0/2
port link-type trunk
Notas de configuración
Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
Requisitos de redes
La empresa A necesita desplegar múltiples dispositivos de acceso de Capa 2. En Figura 6-32,
los dispositivos de conmutación de Capa 2 forman un anillo en la capa de acceso, y los
GE1/0/1.1 GE1/0/1.1
10.1.1.1/24 10.1.1.2/24
VRRP+peer BFD
Dirección IP virtual:
10.1.1.10
GE1/0/2
GE1/0/3 GE1/0/3
GE1/0/2 PE4
Agregación
PE3
GE1/0/1 GE1/0/1
MSTP
GE1/0/2 GE1/0/2
GE1/0/2 GE1/0/1
Acceso
GE1/0/3 LSW3
GE1/0/1
CE
Puerto de borde primario sin vecinos
Puerto de borde secundario sin vecinos
VLAN 100 Puerto bloqueado (SEP)
Puerto bloqueado (MSTP)
NOTA
PE1 y PE2 no son compatibles con el protocolo SEP; por lo tanto, las interfaces de LSW1 y
LSW2 conectadas a los PE deben ser interfaces de borde no vecinas.
c. En el dispositivo donde se ubica la interfaz de borde primario no-vecina,
especifique la interfaz en el medio del segmento SEP como la interfaz para
bloquear.
d. Configure prioridad manual.
e. Configure la función de notificación de cambio de topología para que la red de capa
superior que ejecuta MSTP pueda ser notificada de los cambios de topología en el
segmento SEP.
2. Configure las funciones básicas de MSTP.
a. Agregue PE1 a PE4, LSW1 y LSW2 a la región MST RG1.
b. Cree las VLAN en PE1 a PE4, LSW1 y LSW2 y agregue interfaces en el anillo STP
a las VLAN.
c. Configure PE3 como root bridge y PE4 como secondary root bridge.
3. Configure una sesión BFD de un solo salto entre NPE1 y NPE2 para detectar el estado
de las interfaces configuradas con VRRP. Luego, informe el resultado de la detección a
VRRP para completar la conmutación rápida de VRRP.
4. Configure VRRP.
a. Cree el grupo 1 de VRRP en GE 1/0/1 de NPE1, y ajuste una prioridad de VRRP
más alta para NPE1 para garantizar que NPE1 funcione como Master.
b. Cree el grupo 1 de VRRP en la vista de la interfaz GE 1/0/1 de NPE2 y permita que
NPE2 use la prioridad VRRP por defecto.
c. Enlace una sesión BFD al grupo 1 de VRRP.
5. Configure el reenvío de Capa 2 en el CE y LSW1 a LSW3.
NOTA
Los PE1 y PE2 son switches de agregación, PE3 es el root bridge, PE4 es el secondary root bridge, los LSW
son switches de acceso y los CE son switches del lado del usuario.
Procedimiento
Paso 1 Configure las funciones básicas de SEP.
1. Configure el segmento 1 de SEP en LSW1 a LSW3 y configure la VLAN 10 como
VLAN de control del segmento 1 de SEP.
# Configure el switch de acceso LSW1.
<Quidway> system-view
[Quidway] sysname LSW1
[LSW1] sep segment 1 //Cree segmento 1 de SEP.
NOTA
– La VLAN de control debe ser una VLAN que no ha sido creada o utilizada. Sin embargo, el
comando para crear una VLAN común se muestra automáticamente en el archivo de configuración
después de crear la VLAN de control.
– Cada segmento SEP debe tener una VLAN de control. Después de agregar una interfaz a un
segmento SEP que tiene una VLAN de control, la interfaz se agrega automáticamente a la VLAN
de control.
2. Agregue el switch de acceso LSW1 a LSW3 al segmento 1 de SEP y configure los roles
de interfaz.
NOTA
Por defecto, STP está habilitado en las interfaces de Capa 2. Antes de agregar una interfaz a un
segmento SEP, deshabilite STP en la interfaz.
# Configure el switch de acceso LSW1.
[LSW1] interface gigabitethernet 1/0/1
[LSW1-GigabitEthernet1/0/1] sep segment 1 edge no-neighbor primary //
Configure la interfaz como la interfaz de borde primaria sin vecinos y
agréguela al segmento 1 de SEP.
[LSW1-GigabitEthernet1/0/1] quit
[LSW1] interface gigabitethernet 1/0/2
[LSW1-GigabitEthernet1/0/2] stp disable //Deshabilite STP.
[LSW1-GigabitEthernet1/0/2] sep segment 1 //Agregue la interfaz al segmento 1
de SEP.
[LSW1-GigabitEthernet1/0/2] quit
# Configure el switch de acceso LSW2.
[LSW2] interface gigabitethernet 1/0/1
[LSW2-GigabitEthernet1/0/1] sep segment 1 edge no-neighbor secondary //
Configure la interfaz como la interfaz de borde secundaria sin vecinos y
agréguela al segmento 1 de SEP.
[LSW2-GigabitEthernet1/0/1] quit
[LSW2] interface gigabitethernet 1/0/2
[LSW2-GigabitEthernet1/0/2] stp disable //Deshabilite STP.
[LSW2-GigabitEthernet1/0/2] sep segment 1 //Agregue la interfaz al segmento 1
de SEP.
[LSW2-GigabitEthernet1/0/2] quit
# Configure el switch de acceso LSW3.
[LSW3] interface gigabitethernet 1/0/1
[LSW3-GigabitEthernet1/0/1] stp disable //Deshabilite STP.
<Quidway> system-view
[Quidway] sysname PE4
[PE4] stp region-configuration //Introduzca la vista de la región MST.
[PE4-mst-region] region-name RG1 //Configure el nombre de la región MST como
RG1.
[PE4-mst-region] active region-configuration //Active la configuración de la
región MST.
[PE4-mst-region] quit
# En el switch de agregación PE2, PE3 y PE4, cree la VLAN 100 y agregue GE1/0/1,
GE1/0/2 y GE1/0/3 a la VLAN 100.
Las configuraciones del switch de agregación PE2, PE3 y PE4 son similares a la
configuración del switch de agregación PE1, y no se mencionan aquí. Para más detalles,
vea los archivos de configuración en este ejemplo.
En el switch de acceso LSW1 y LSW2, cree la VLAN 100 y agregue GE1/0/1 a la
VLAN 100. Las configuraciones del switch de acceso LSW1 y LSW2 son similares a la
configuración del switch de agregación PE1, y no se mencionan aquí. Para más detalles,
vea los archivos de configuración en este ejemplo.
3. Habilite MSTP.
# Configure el switch de agregación PE1.
[PE1] stp enable
# Ajuste la prioridad del switch de agregación PE4 a 4096 en MSTI 0 para garantizar que
el switch de agregación PE4 funcione como el secondary root bridge.
[PE4] stp root secondary
Paso 3 Configure VLAN 100 para transmitir paquetes VRRP y VLAN 200 para transmitir paquetes
BFD.
# Configure el switch de agregación PE3.
[PE3] vlan batch 100 200
[PE3] interface gigabitethernet 1/0/2
[PE3-GigabitEthernet1/0/2] port hybrid tagged vlan 100 200
[PE3-GigabitEthernet1/0/2] quit
[PE3] interface gigabitethernet 1/0/3
[PE3-GigabitEthernet1/0/2] port hybrid tagged vlan 100 200
[PE3-GigabitEthernet1/0/2] quit
# Configure una dirección IP para una interfaz en NPE2 y cree una sub-interfaz para la
interfaz.
<Quidway> system-view
[Quidway] sysname NPE2
[NPE2] vlan 100
[NPE2-vlan100] quit
[NPE2] interface gigabitethernet 1/0/1
[NPE2-GigabitEthernet1/0/1] undo shutdown
# Habilite BFD en NPE2 y configure una sesión BFD entre NPE1 y NPE2.
[NPE2] bfd
[NPE2-bfd] quit
[NPE2] bfd NPE1 bind peer-ip default-ip interface gigabitethernet 1/0/1 //
Configure una sesión BFD estática para monitorear el enlace del grupo VRRP.
[NPE2-bfd-session-npe1] discriminator local 2
[NPE2-bfd-session-npe1] discriminator remote 1
[NPE2-bfd-session-npe1] commit
[NPE2-bfd-session-npe1] quit
# Configure NPE2.
[NPE2] bfd
[NPE2-bfd] quit
[NPE2] bfd NPE1
[NPE2-bfd-session-npe1] process-interface-status sub-if
[NPE2-bfd-session-npe1] commit
[NPE2-bfd-session-npe1] quit
l # Configure una dirección IP para una interfaz en NPE2, cree el grupo 1 de VRRP, y
permita que NPE2 use el valor por defecto para que NPE1 pueda funcionar como
Backup.
[NPE2] interface gigabitethernet 1/0/1.1
[NPE2-GigabitEthernet1/0/1.1] vrrp vrid 1 virtual-ip 10.1.1.10
Paso 6 Configure la función de reenvío de Capa 2 en el switch CE del lado del usuario y acceda al
switch LSW1 a LSW3.
Los detalles de configuración no se mencionan aquí. Para más detalles, vea los archivos de
configuración en este ejemplo.
Paso 7 Verifique la configuración
Una vez completada la configuración y la topología de red se vuelva estable, realice las
siguientes operaciones para verificar la configuración.
l # Ejecute el comando shutdown en GE1/0/1 de LSW2 para simular una falla, y luego
ejecute el comando display sep interface en LSW3 para verificar si GE1/0/2 en LSW3
cambia del estado discarding al estado forwarding.
<LSW3> display sep interface gigabitethernet 1/0/2
SEP segment 1
----------------------------------------------------------------
Interface Port Role Neighbor Status Port Status
----------------------------------------------------------------
GE1/0/2 common up forwarding
l Ejecute el comando shutdown en GE1/0/1.1 en NPE1 para simular una falla de interfaz,
y luego ejecute el comando display vrrp en NPE2 para verificar si el estado de NPE2
cambia de Backup a Master.
----Fin
Archivos de configuración
l Archivo de configuración de LSW1
#
sysname LSW1
#
vlan batch 10 100
#
stp enable
#
stp region-configuration
region-name RG1
active region-configuration
#
sep segment 1
control-vlan 10
block port middle
tc-notify stp
protected-instance 0 to 4094
#
interface GigabitEthernet1/0/1
port hybrid tagged vlan 10 100
sep segment 1 edge no-neighbor primary
#
interface GigabitEthernet1/0/2
port hybrid tagged vlan 10 100
stp disable
sep segment 1
#
return
control-vlan 10
tc-notify stp
protected-instance 0 to 4094
#
interface GigabitEthernet1/0/1
port hybrid tagged vlan 10 100
sep segment 1 edge no-neighbor secondary
#
interface GigabitEthernet1/0/2
port hybrid tagged vlan 10 100
stp disable
sep segment 1
#
return
l Archivo de configuración de LSW3
#
sysname LSW3
#
vlan batch 10 100
#
sep segment 1
control-vlan 10
protected-instance 0 to 4094
#
interface GigabitEthernet1/0/1
port hybrid tagged vlan 10 100
stp disable
sep segment 1
#
interface GigabitEthernet1/0/2
port hybrid tagged vlan 10 100
stp disable
sep segment 1
#
interface GigabitEthernet1/0/3
port hybrid tagged vlan vlan 100
#
return
l Archivo de configuración de PE1
#
sysname PE1
#
vlan batch 100
#
stp enable
#
stp region-configuration
region-name RG1
active region-configuration
#
interface GigabitEthernet1/0/1
port hybrid tagged vlan 100
#
interface GigabitEthernet1/0/2
port hybrid tagged vlan 100
#
interface GigabitEthernet1/0/3
port hybrid tagged vlan 100
#
return
l Archivo de configuración de PE2
#
sysname PE2
#
vlan batch 100
#
stp enable
#
stp region-configuration
region-name RG1
active region-configuration
#
interface GigabitEthernet1/0/1
port hybrid tagged vlan 100
#
interface GigabitEthernet1/0/2
port hybrid tagged vlan 100
#
interface GigabitEthernet1/0/3
port hybrid tagged vlan 100
#
return
l Archivo de configuración de PE3
#
sysname PE3
#
vlan batch 100
#
stp instance 0 root primary
stp enable
#
stp region-configuration
region-name RG1
active region-configuration
#
interface GigabitEthernet1/0/1
port hybrid tagged vlan 100
#
interface GigabitEthernet1/0/2
port hybrid tagged vlan 100 200
#
interface GigabitEthernet1/0/3
port hybrid tagged vlan 100 200
#
return
l Archivo de configuración de PE4
#
sysname PE4
#
vlan batch 100
#
stp instance 0 root secondary
stp enable
#
stp region-configuration
region-name RG1
active region-configuration
#
interface GigabitEthernet1/0/1
port hybrid tagged vlan 100
#
interface GigabitEthernet1/0/2
port hybrid tagged vlan 100 200
#
interface GigabitEthernet1/0/3
port hybrid tagged vlan 100 200
#
return
l Archivo de configuración de NPE1
#
sysname NPE1
#
vlan batch 100
#
bfd
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 10.2.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1.1
vlan-type dot1q 100
ip address 10.1.1.1 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.1.10
vrrp vrid 1 priority 120
vrrp vrid 1 preempt-mode timer delay 10
vrrp vrid 1 track bfd-session 1 peer
#
bfd npe2 bind peer-ip default-ip interface GigabitEthernet1/0/1
discriminator local 1
discriminator remote 2
process-interface-status sub-if
commit
#
return
l Archivo de configuración de CE
#
sysname CE
#
vlan batch 100
#
interface GigabitEthernet1/0/1
port hybrid tagged vlan 100
#
return
Notas de configuración
Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
Requisitos de redes
En Figura 6-33, los dispositivos de conmutación de Capa 2 en las capas de acceso y
agregación constituyen una red en anillo y se conectan a la capa de core. La capa de
agregación usa RRPP para eliminar enlaces redundantes, y la capa de acceso usa SEP.
l Cuando no hay un enlace defectuoso en la red en anillo, SEP puede eliminar los bucles
en la red Ethernet.
l Cuando un enlace falla en la red en anillo, SEP puede restablecer rápidamente la
comunicación entre los nodos en el anillo.
l La función de notificación de cambio de topología se configura en un dispositivo
periférico en un segmento SEP para que los dispositivos en la red de capa superior
puedan detectar rápidamente los cambios de topología en la red de capa inferior.
Después de recibir una notificación de cambio de topología de una red de capa inferior,
un dispositivo en una red de capa superior envía un paquete de TC para notificar a otros
dispositivos que eliminen las direcciones MAC originales y aprendan nuevas direcciones
MAC. Esto asegura el reenvío continuo del tráfico.
GE1/0/1.1 GE1/0/1.1
10.1.1.1/24 10.1.1.2/24
VRRP + peer BFD
Dirección IP virtual:
10.1.1.10
GE1/0/2
GE1/0/3 GE1/0/3
GE1/0/2 PE4
Agregación
PE3
GE1/0/1
GE1/0/1
RRPP
GE1/0/2 GE1/0/2
GE1/0/2 GE1/0/1
Acceso
GE1/0/3 LSW3
GE1/0/1
CE
Puerto de borde primario
Puerto de borde secundario
VLAN 100 Puerto bloqueado (SEP)
Puerto bloqueado (RRPP)
NOTA
NOTA
Los PE son switches de agregación, los LSW son switches de acceso, y los CE son switches del lado del
usuario.
Procedimiento
Paso 1 Configure las funciones básicas de SEP.
1. Configure el segmento 1 de SEP y configure VLAN 10 como VLAN de control del
segmento 1 de SEP.
# Configure el switch de agregación PE1.
<Quidway> system-view
[Quidway] sysname PE1
[PE1] sep segment 1 //Cree segmento 1 de SEP.
NOTA
– La VLAN de control debe ser una VLAN que no ha sido creada o utilizada. Sin embargo, el
comando para crear una VLAN común se muestra automáticamente en el archivo de configuración
después de crear la VLAN de control.
– Cada segmento SEP debe tener una VLAN de control. Después de agregar una interfaz a un
segmento SEP que tiene una VLAN de control, la interfaz se agrega automáticamente a la VLAN
de control.
2. Agregue el switch de agregación PE1, el switch de agregación PE2 y el switch de acceso
LSW1 a LSW3 al segmento SEP 1 y configure los roles de interfaz.
NOTA
Por defecto, STP está habilitado en las interfaces de Capa 2. Antes de agregar una interfaz a un
segmento SEP, deshabilite STP en la interfaz.
# Configure el switch de agregación PE1.
[PE1] interface gigabitethernet 1/0/1
[PE1-GigabitEthernet1/0/1] port link-type trunk
[PE1-GigabitEthernet1/0/1] stp disable //Deshabilite STP.
[PE1-GigabitEthernet1/0/1] sep segment 1 edge primary //Configure la interfaz
como la interfaz de borde primaria y agregarla al segmento 1 de SEP.
[PE1-GigabitEthernet1/0/1] quit
Una vez completada la configuración, realice las siguientes operaciones para verificar la
configuración. El switch de agregación PE1 se usa como ejemplo.
l Ejecute el comando display sep topology en el switch de agregación PE1 para verificar
la topología del segmento SEP.
La salida del comando muestra que GE1/0/2 del switch de acceso LSW3 está en estado
discarding y otras interfaces están en estado forwarding.
[PE1] display sep topology
SEP segment 1
-------------------------------------------------------------------------
System Name Port Name Port Role Port Status Hop
-------------------------------------------------------------------------
PE1 GE1/0/1 primary forwarding 1
LSW1 GE1/0/1 common forwarding 2
LSW1 GE1/0/2 common forwarding 3
LSW3 GE1/0/2 common discarding 4
LSW3 GE1/0/1 common forwarding 5
LSW2 GE1/0/2 common forwarding 6
LSW2 GE1/0/1 common forwarding 7
PE2 GE1/0/1 secondary forwarding 8
l Ejecute el comando display sep interface verbose en el switch de agregación PE1 para
verificar información detallada sobre las interfaces en el segmento SEP.
[PE1] display sep interface verbose
SEP segment 1
Control-vlan :10
Preempt Delay Timer :0
TC-Notify Propagate to :rrpp
----------------------------------------------------------------
Interface :GE1/0/1
Port Role :Config = primary / Active = primary
Port Priority :64
Port Status :forwarding
Neighbor Status :up
Neighbor Port :LSW1 - GE1/0/1 (00e0-0829-7c00.0000)
NBR TLV rx :2124 tx :2126
LSP INFO TLV rx :2939 tx :135
LSP ACK TLV rx :113 tx :768
NOTA
La VLAN de control debe ser una VLAN que no ha sido creada o utilizada. Sin embargo, el comando
para crear una VLAN común se muestra automáticamente en el archivo de configuración después de
crear la VLAN de control.
4. Habilite RRPP.
# Configure el switch de agregación PE1.
[PE1] rrpp enable
Una vez completada la configuración, ejecute el comando display rrpp brief o display rrpp
verbose domain. El switch de agregación PE1 se usa como ejemplo.
[PE1] display rrpp brief
Abbreviations for Switch Node Mode :
M - Master , T - Transit , E - Edge , A - Assistant-Edge
Domain Index : 1
Control VLAN : major 5 sub 6
Protected VLAN : Reference Instance 1
Hello Timer : 1 sec(default is 1 sec) Fail Timer : 6 sec(default is 6 sec)
# Configure una dirección IP para una interfaz en NPE2 y cree una sub-interfaz para la
interfaz.
<Quidway> system-view
[Quidway] sysname NPE2
[NPE2] vlan 100
[NPE2-vlan100] quit
[NPE2] interface gigabitethernet 1/0/1
[NPE2-GigabitEthernet1/0/1] undo shutdown
[NPE2-GigabitEthernet1/0/1] ip address 10.2.1.2 24
[NPE2-GigabitEthernet1/0/1] quit
[NPE2] interface gigabitethernet 1/0/1.1
[NPE2-GigabitEthernet1/0/1.1] undo shutdown
[NPE2-GigabitEthernet1/0/1.1] vlan-type dot1q 100
[NPE2-GigabitEthernet1/0/1.1] ip address 10.1.1.2 24
[NPE2-GigabitEthernet1/0/1.1] quit
# Habilite BFD en NPE2 y configure una sesión BFD entre NPE1 y NPE2.
[NPE2] bfd
[NPE2-bfd] quit
[NPE2] bfd NPE1 bind peer-ip default-ip interface gigabitethernet 1/0/1 //
Configure una sesión BFD estática para monitorear el enlace del grupo VRRP.
[NPE2-bfd-session-npe1] discriminator local 2
[NPE2-bfd-session-npe1] discriminator remote 1
[NPE2-bfd-session-npe1] commit
[NPE2-bfd-session-npe1] quit
------------------------------------------------------------------------------
--
Total UP/DOWN Session Number : 1/0
# Configure NPE2.
[NPE2] bfd
[NPE2-bfd] quit
[NPE2] bfd NPE1
[NPE2-bfd-session-npe1] process-interface-status sub-if
[NPE2-bfd-session-npe1] commit
[NPE2-bfd-session-npe1] quit
l # Configure una dirección IP para una interfaz en NPE2, cree el grupo 1 de VRRP, y
permita que NPE2 use el valor por defecto para que NPE1 pueda funcionar como
Backup.
[NPE2] interface gigabitethernet 1/0/1.1
[NPE2-GigabitEthernet1/0/1.1] vrrp vrid 1 virtual-ip 10.1.1.10
Paso 6 Configure el reenvío de Capa 2 en el switch CE del lado del usuario, el switch de acceso
LSW1 a LSW3 y el switch de agregación PE1 a PE4.
Los detalles de configuración no se mencionan aquí. Para más detalles, vea los archivos de
configuración en este ejemplo.
Paso 7 Verifique la configuración
Una vez completada la configuración y la topología de red se vuelva estable, realice las
siguientes operaciones para verificar la configuración.
l # Ejecute el comando shutdown en GE1/0/1 de LSW2 para simular una falla, y luego
ejecute el comando de display sep interface en LSW3 para verificar si GE1/0/2 en
LSW3 cambia del estado discarding al estado forwarding.
[LSW3] display sep interface gigabitethernet 1/0/2
SEP segment 1
----------------------------------------------------------------
Interface Port Role Neighbor Status Port Status
----------------------------------------------------------------
GE1/0/2 common up forwarding
l Ejecute el comando shutdown en GE1/0/1.1 en NPE1 para simular una falla de interfaz,
y luego ejecute el comando display vrrp en NPE2 para verificar si el estado de NPE2
cambia de Backup a Master.
[NPE2] display vrrp
GigabitEthernet1/0/1.1 | Virtual Router 1
State : Master
Virtual IP : 10.1.1.10
Master IP : 10.1.1.2
PriorityRun : 100
PriorityConfig : 100
MasterPriority : 100
Preempt : YES Delay Time : 0
TimerRun : 1
TimerConfig : 1
Auth Type : NONE
Virtual Mac : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Config track link-bfd down-number : 0
Track BFD : 2 type: peer
BFD-session state : DOWN
Create time : 2013-12-29 22:46:32 UTC+07:00
Last change time : 2013-12-30 00:12:10 UTC+07:00
----Fin
Archivos de configuración
l Archivo de configuración de LSW1
#
sysname LSW1
#
vlan batch 10 100
#
sep segment 1
control-vlan 10
protected-instance 0 to 4094
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10 100
stp disable
sep segment 1
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 10 100
stp disable
sep segment 1
#
return
l Archivo de configuración de LSW2
#
sysname LSW2
#
vlan batch 10 100
#
sep segment 1
control-vlan 10
protected-instance 0 to 4094
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10 100
stp disable
sep segment 1
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 10 100
stp disable
sep segment 1
#
return
l Archivo de configuración de LSW3
#
sysname LSW3
#
vlan batch 10 100
#
sep segment 1
control-vlan 10
protected-instance 0 to 4094
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10 100
stp disable
sep segment 1
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 10 100
stp disable
sep segment 1
#
interface GigabitEthernet1/0/3
port link-type trunk
port trunk allow-pass vlan 100
#
return
l Archivo de configuración de PE1
#
sysname PE1
#
vlan batch 5 to 6 10 100
#
rrpp enable
#
stp region-configuration
#
interface GigabitEthernet1/0/3
port link-type trunk
port trunk allow-pass 100 200
stp disable
#
return
l Archivo de configuración de NPE1
#
sysname NPE1
#
vlan batch 100
#
bfd
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 10.2.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1.1
vlan-type dot1q 100
ip address 10.1.1.1 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.1.10
vrrp vrid 1 priority 120
vrrp vrid 1 preempt-mode timer delay 10
vrrp vrid 1 track bfd-session 1 peer
#
bfd npe2 bind peer-ip default-ip interface GigabitEthernet1/0/1
discriminator local 1
discriminator remote 2
process-interface-status sub-if
commit
#
return
l Archivo de configuración de NPE2
#
sysname NPE2
#
vlan batch 100
#
bfd
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 10.2.1.2 255.255.255.0
#
interface GigabitEthernet1/0/1.1
vlan-type dot1q 100
ip address 10.1.1.2 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.1.10
vrrp vrid 1 track bfd-session 2 peer
#
bfd npe1 bind peer-ip default-ip interface GigabitEthernet1/0/1
discriminator local 2
discriminator remote 1
process-interface-status sub-if
commit
#
return
l Archivo de configuración de CE
#
sysname CE1
#
vlan batch 100
#
interface GigabitEthernet1/0/1
port link-type trunk
Descripción general
El Árbol de expansión basado en VLAN (VBST) construye un árbol de expansión en cada
VLAN para que el tráfico de diferentes VLAN se pueda reenviar a través de diferentes árboles
de expansión. VBST es de propiedad de Huawei que es equivalente al Protocolo de árbol de
expansión (STP) o Protocolo de árbol de expansión rápida (RSTP) que se ejecuta en cada
VLAN. Los árboles de expansión en diferentes VLAN son independientes entre sí.
Actualmente, los tres protocolos de árbol de expansión estándar son STP, RSTP y Protocolo
de árbol de expansión múltiple (MSTP). STP y RSTP no pueden implementar el equilibrio de
carga basado en VLAN, porque todas las VLAN en una LAN comparten un árbol de
expansión y los paquetes en todas las VLAN se reenvían a lo largo de este árbol de expansión.
Además, el enlace bloqueado no lleva ningún tráfico, lo que desperdicia ancho de banda y
puede evitar que algunas VLAN reenvíen paquetes. Generalmente, se prefiere MSTP porque
es compatible con STP y RSTP, garantiza una convergencia rápida y proporciona múltiples
rutas para equilibrar la carga del tráfico.
En las redes empresariales, los usuarios empresariales necesitan funciones que sean fáciles de
usar y mantener, mientras que la configuración de MSTP de múltiples instancias y procesos
múltiples es compleja y requiere un conocimiento profundo.
Para abordar este problema, Huawei desarrolló VBST. VBST construye un árbol de expansión
en cada VLAN para que el tráfico de diferentes VLAN se equilibre en la carga a lo largo de
diferentes árboles de expansión. Además, VBST es fácil de configurar y mantener.
Notas de configuración
Este ejemplo se aplica a todos los modelos de V200R005C00 y versiones posteriores.
Al configurar VBST en el switch, preste atención a los siguientes puntos:
l Cuando HVRP está habilitado en un switch modular, no cambie el modo STP a VBST.
l Cuando VBST está habilitado en una red en anillo, VBST inicia inmediatamente el
cálculo del árbol de expansión. Los parámetros como la prioridad del dispositivo y la
prioridad del puerto afectan el cálculo del árbol de expansión, y los cambios de estos
parámetros pueden causar un aleteo de la red. Para garantizar un cálculo del árbol de
expansión rápido y estable, realice configuraciones básicas en el switch y las interfaces
antes de habilitar VBST.
l Si la instancia protegida se ha configurado en un segmento SEP o anillo ERPS pero el
mapeo entre instancias protegidas y VLAN no está configurada, VBST no se puede
habilitar.
l VBST no se puede habilitar en la VLAN ignorada ni en la VLAN de control utilizada
por ERPS, RRPP, SEP o Smart Link.
l Si se ha configurado el mapeo de 1:N (N>1) entre las MSTI y las VLAN en el switch,
debe eliminar el mapeo antes de cambiar el modo de funcionamiento de STP a VBST.
l Si stp vpls-subinterface enable ha sido configurado en el switch, debe ejecutar el
comando undo stp vpls-subinterface enable en la interfaz antes de cambiar el modo de
funcionamiento de STP a VBST.
Requisitos de redes
En Figura 6-34, SwitchC y SwitchD (switches de acceso) están dual-homed para SwitchA
and SwitchB (switches de agregación). SwitchC transmite el tráfico desde VLAN 10 y VLAN
20, y SwitchD transmite el tráfico desde VLAN 20 y VLAN 30. Se forma una red en anillo
entre la capa de acceso y la capa de agregación. La empresa requiere que el tráfico del
servicio en cada VLAN se reenvíe correctamente y que el tráfico del servicio de diferentes
VLAN se equilibre en la carga para mejorar la eficacia del uso del enlace.
Red de core
SwitchA SwitchB
GE1/0/1 GE1/0/1
VLAN 10, 20, 30
GE1/0/3 GE1/0/2 GE1/0/2 GE1/0/3
Root bridge
Enlace desbloqueado
Enlace bloqueado
Puerto bloqueado
Procedimiento
Paso 1 Configure el reenvío de Capa 2 en los switches de la red en anillo.
l Cree VLAN 10, VLAN 20, y VLAN 30 en SwitchA, SwitchB, SwitchC, y SwitchD.
# Cree VLAN 10, VLAN 20 y VLAN 30 en el switch de agregación SwitchA.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 10 20 30
3. Configure el costo de la ruta para un puerto en cada VLAN para que el puerto pueda ser
bloqueado.
NOTA
– El rango del costo de la ruta depende del algoritmo. El estándar IEEE 802.1t se usa como
ejemplo. Ajuste los costos de la ruta de los puertos a ser bloqueados a 2000000.
– Todos los switches en la misma red deben usar el mismo método de cálculo del costo de la
ruta.
# Ajuste el costo de ruta de GE1/0/2 en SwitchC a 2000000 en VLAN 10 y VLAN 20.
[SwitchC] interface gigabitethernet 1/0/2
[SwitchC-GigabitEthernet1/0/2] stp vlan 10 cost 2000000
[SwitchC-GigabitEthernet1/0/2] stp vlan 20 cost 2000000
[SwitchC-GigabitEthernet1/0/2] quit
Por defecto, todos los puertos que se unen a VLAN 1 y VBST están habilitados en VLAN 1.
Para reducir el cálculo del árbol de expansión, deshabilite VBST en VLAN 1. Para evitar los
bucles en VLAN 1 después de que VBST esté deshabilitado, elimine los puertos desde
VLAN 1.
# Deshabilite VBST en VLAN 1 en SwitchA.
[SwitchA] stp vlan 1 disable
La información anterior muestra que SwitchA participa en el cálculo del árbol de expansión
en VLAN 10, VLAN 20 y VLAN 30. Por ejemplo, SwitchA es el root bridge en VLAN 10 y
VLAN 20, por lo que GE1/0/1 y GE1/0/3 en VLAN 10 se seleccionan como puertos
designados. GE1/0/1, GE1/0/2 y GE1/0/3 en VLAN 20 se seleccionan como puertos
designados. SwitchA es el secondary root bridge en VLAN 30, por lo que GE1/0/1 se
selecciona como el root bridge y GE1/0/2 se selecciona como el puerto designado en VLAN
30.
# Ejecute el comando display stp vlan 10 en SwitchA para verificar información detallada
sobre VLAN 10.
La información anterior muestra que SwitchA se selecciona como el root bridge en VLAN 10
y GE1/0/1 y GE1/0/3 se seleccionan como puertos designados en el estado FORWARDING.
# Ejecute el comando display stp brief en SwitchB, SwitchC, y SwitchD para verificar el
estado del puerto.
[SwitchB] display stp brief
VLAN-ID Port Role STP State Protection
10 GigabitEthernet1/0/1 ROOT FORWARDING NONE
10 GigabitEthernet1/0/2 DESI FORWARDING NONE
20 GigabitEthernet1/0/1 ROOT FORWARDING NONE
20 GigabitEthernet1/0/2 DESI FORWARDING NONE
20 GigabitEthernet1/0/3 DESI FORWARDING NONE
30 GigabitEthernet1/0/1 DESI FORWARDING NONE
30 GigabitEthernet1/0/3 DESI FORWARDING NONE
[SwitchC] display stp brief
VLAN-ID Port Role STP State Protection
10 GigabitEthernet1/0/2 ALTE DISCARDING NONE
10 GigabitEthernet1/0/3 ROOT FORWARDING NONE
10 GigabitEthernet1/0/4 DESI FORWARDING NONE
20 GigabitEthernet1/0/2 ALTE DISCARDING NONE
20 GigabitEthernet1/0/3 ROOT FORWARDING NONE
20 GigabitEthernet1/0/5 DESI FORWARDING NONE
[SwitchD] display stp brief
VLAN-ID Port Role STP State Protection
20 GigabitEthernet1/0/2 ALTE DISCARDING NONE
20 GigabitEthernet1/0/3 ROOT FORWARDING NONE
20 GigabitEthernet1/0/4 DESI FORWARDING NONE
30 GigabitEthernet1/0/2 ALTE DISCARDING NONE
30 GigabitEthernet1/0/3 ROOT FORWARDING NONE
30 GigabitEthernet1/0/5 DESI FORWARDING NONE
La información anterior muestra que SwitchB participa en el cálculo del árbol de expansión
en VLAN 10, VLAN 20 y VLAN 30, SwitchC participa en el cálculo del árbol de expansión
en VLAN 10 y VLAN 20, y SwitchD participa en el cálculo del árbol de expansión en VLAN
20 y VLAN 30. Después de completar el cálculo, los puertos se seleccionan como roles
diferentes para eliminar los bucles.
Se forman diferentes árboles de expansión en VLAN 10, VLAN 20 y VLAN 30, y el tráfico
en VLAN 10, VLAN 20 y VLAN 30 se envía a lo largo de diferentes árboles de expansión
para implementar el equilibrio de carga.
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 10 20 30
#
stp mode vbst
stp enable
#
stp vlan 1 disable
stp vlan 30 root secondary
stp vlan 10 20 root primary
#
interface GigabitEthernet1/0/1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20 30
#
interface GigabitEthernet1/0/2
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 20 30
#
interface GigabitEthernet1/0/3
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20
#
return
Descripción general
Cuando se produzca un bucle en una red, los paquetes de difusión, multidifusión y unidifusión
desconocidos se transmiten repetidamente en la red. Esto desperdicia recursos de la red e
incluso puede causar un fallo de la red. Para minimizar el impacto de los bucles en una red de
Capa 2, se requiere una tecnología de detección que notifique rápidamente a los usuarios
sobre bucles. Cuando se produzca un bucle, se solicita a los usuarios que verifiquen las
conexiones y configuraciones de red, y que controlen la interfaz problemática.
La detección de bucle (LDT) envía periódicamente paquetes LDT en una interfaz para
verificar si los paquetes regresan al dispositivo local (las interfaces de recepción y transmisión
pueden ser diferentes) y determina si se producen bucles en la interfaz, red local o red de
enlace descendente.
l Si los paquetes LDT son recibidos por la misma interfaz, se produce un loopback en la
interfaz o se produce un bucle en la red conectada a la interfaz.
l Si los paquetes LDT son recibidos por otra interfaz en el mismo dispositivo, se produce
un bucle en la red conectada a la interfaz.
Después de detectar los bucles, el dispositivo puede enviar alarmas al NMS y registrar logs, y
puede controlar el estado de la interfaz (la interfaz se apaga por defecto) de acuerdo con la
configuración del dispositivo para minimizar el impacto de los bucles en el dispositivo y en la
red. El dispositivo proporciona las siguientes acciones después de que LDT detecte un bucle:
l Trap: El dispositivo informa un trap al NMS y registra un log, pero no realiza ninguna
acción en la interfaz.
l Block: El dispositivo bloquea esta interfaz y solo puede reenviar los BPDU.
l No learning: La interfaz está deshabilitada para aprender las direcciones MAC.
l Shutdown: El dispositivo apaga la interfaz.
l Quitvlan: La interfaz se elimina de la VLAN donde se produce un bucle.
LDT solo puede detectar bucles en un solo nodo, pero no puede eliminar bucles en toda la red
de la misma manera que las tecnologías de red en anillo de ERPS, RRPP, SEP, Smart Link, y
STP/RSTP/MSTP/VBST.
Notas de configuración
l Este ejemplo se aplica a todas las versiones de los switches modulares.
l En V200R008C00 y versiones anteriores, LDT no tiene efecto en las VLAN dinámicas
l LDT y LBDT no pueden configurarse simultáneamente.
l LDT necesita enviar una gran cantidad de paquetes LDT para detectar bucles y ocupar
recursos del sistema. Por lo tanto, deshabilite LDT si los bucles no necesitan ser
detectados.
l Cuando se produzcan bucles en múltiples VLAN en muchas interfaces, el rendimiento de
LDT se reduce debido a las limitaciones de las políticas de seguridad y la capacidad de
procesamiento de la CPU. Mientras mayor sea el número de VLAN e interfaces
involucradas, menor será el rendimiento. En particular, se reduce el rendimiento del
chasis de reserva en el clúster. Se recomienda eliminar manualmente los bucles.
l LDT no se puede usar con las tecnologías de red en anillo de ERPS, RRPP, SEP, Smart
Link, y STP/RSTP/MSTP/VBST. No configure las tecnologías de red en anillo en una
interfaz de una VLAN habilitada para LDT. Si LDT se ha habilitado globalmente y las
tecnologías de red en anillo deben configurarse en una interfaz, primero inhabilite LDT
en la interfaz.
l LDT solo envía paquetes etiquetados y solo puede detectar bucles basados en las VLAN.
LDT puede detectar bucles en un máximo de 4094 VLAN.
l Cuando se produzca un bucle en la interfaz del lado de la red donde está configurada la
acción Block o Shutdown, se interrumpen todos los servicios en el dispositivo. No
implemente LDT en la interfaz del lado de la red.
l La acción Quitvlan no se puede utilizar con GVRP, HVRP, o la acción de eliminar una
interfaz desde la VLAN donde se produce el aleteo de la dirección MAC.
l Los puertos bloqueados de LDT no pueden bloquear paquetes GVRP. Para garantizar
que GVRP se ejecute normalmente y evitar bucles GVRP, no habilite GVRP en el puerto
bloqueado de LDT.
Requisitos de redes
En Figura 6-35, una nueva red ramal de una empresa se conecta al switch de agregación
Switch, y las VLAN 10 a 20 se implementan en la red ramal. Los bucles se producen debido a
conexiones o configuraciones incorrectas. Como resultado, la comunicación en Switch y en la
red de enlace ascendente se ve afectada.
Es necesario que Switch detecte inmediatamente los bucles en la nueva red ramal para evitar
el impacto de los bucles en Switch y en la red de enlace ascendente.
Figura 6-35 Redes para configurar LDT para detectar bucles en la red de enlace descendente
Switch
GE1/0/1
Sucursal
nuevo
VLAN 10-20
NOTA
Configure las interfaces en otros dispositivos de conmutación como interfaces troncales o híbridas y
configure estas interfaces para permitir que los paquetes de las VLAN correspondientes pasen. Esto
garantiza la conectividad de Capa 2 en la nueva red y entre la nueva red y Switch.
Procedimiento
Paso 1 Habilite LDT global.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] loop-detection enable //Habilite LDT globalmente.
La salida del comando muestra que LDT está habilitado en las VLAN 10 a 20 y la acción
Shutdown se toma en GE1/0/1 en VLAN 10, lo que indica que los bucles se detectan en
VLAN 10.
NOTA
Después de que se detecten bucles en una o más VLAN, el sistema apaga la interfaz involucrada y se
eliminan los bucles. En este caso, LDT puede ser incapaz de detectar todas las VLAN donde se
producen los bucles.
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10 to 20
#
loop-detection enable
loop-detection interval-time 10
loop-detection enable vlan 10 to 20
#
interface GigabitEthernet1/0/1
port hybrid tagged vlan 10 to 20
stp disable
#
snmp-agent trap enable feature-name LDTTRAP
#
return
Descripción general
Cuando se produzca un bucle en una red, los paquetes de difusión, multidifusión y unidifusión
desconocidos se transmiten repetidamente en la red. Esto desperdicia recursos de la red e
incluso puede causar un fallo de la red. Para minimizar el impacto de los bucles en una red de
Capa 2, se requiere una tecnología de detección que notifique rápidamente a los usuarios
sobre bucles. Cuando se produzca un bucle, se solicita a los usuarios que verifiquen las
conexiones y configuraciones de red, y que controlen la interfaz problemática.
La detección de bucle (LDT) envía periódicamente paquetes LDT en una interfaz para
verificar si los paquetes regresan al dispositivo local (las interfaces de recepción y transmisión
pueden ser diferentes) y determina si se producen bucles en la interfaz, red local o red de
enlace descendente.
l Si los paquetes LDT son recibidos por la misma interfaz, se produce un loopback en la
interfaz o se produce un bucle en la red conectada a la interfaz.
l Si los paquetes LDT son recibidos por otra interfaz en el mismo dispositivo, se produce
un bucle en la red conectada a la interfaz.
Después de detectar los bucles, el dispositivo puede enviar alarmas al NMS y registrar logs, y
puede controlar el estado de la interfaz (la interfaz se apaga por defecto) de acuerdo con la
configuración del dispositivo para minimizar el impacto de los bucles en el dispositivo y en la
red. El dispositivo proporciona las siguientes acciones después de que LDT detecte un bucle:
l Trap: El dispositivo informa un trap al NMS y registra un log, pero no realiza ninguna
acción en la interfaz.
l Block: El dispositivo bloquea esta interfaz y solo puede reenviar los BPDU.
l No learning: La interfaz está deshabilitada para aprender las direcciones MAC.
l Shutdown: El dispositivo apaga la interfaz.
l Quitvlan: La interfaz se elimina de la VLAN donde se produce un bucle.
La interfaz problemática continúa enviando paquetes LDT. Si el dispositivo no recibe
paquetes LDT de la interfaz problemática dentro del tiempo de recuperación, considera que el
bucle se elimina en la interfaz y restaura la interfaz.
LDT solo puede detectar bucles en un solo nodo, pero no puede eliminar bucles en toda la red
de la misma manera que las tecnologías de red en anillo de ERPS, RRPP, SEP, Smart Link, y
STP/RSTP/MSTP/VBST.
Notas de configuración
l Este ejemplo se aplica a todas las versiones de los switches modulares.
l En V200R008C00 y versiones anteriores, LDT no tiene efecto en las VLAN dinámicas
l LDT y LBDT no pueden configurarse simultáneamente.
l LDT necesita enviar una gran cantidad de paquetes LDT para detectar bucles y ocupar
recursos del sistema. Por lo tanto, deshabilite LDT si los bucles no necesitan ser
detectados.
l Cuando se produzcan bucles en múltiples VLAN en muchas interfaces, el rendimiento de
LDT se reduce debido a las limitaciones de las políticas de seguridad y la capacidad de
procesamiento de la CPU. Mientras mayor sea el número de VLAN e interfaces
involucradas, menor será el rendimiento. En particular, se reduce el rendimiento del
chasis de reserva en el clúster. Se recomienda eliminar manualmente los bucles.
l LDT no se puede usar con las tecnologías de red en anillo de ERPS, RRPP, SEP, Smart
Link, y STP/RSTP/MSTP/VBST. No configure las tecnologías de red en anillo en una
interfaz de una VLAN habilitada para LDT. Si LDT se ha habilitado globalmente y las
tecnologías de red en anillo deben configurarse en una interfaz, primero inhabilite LDT
en la interfaz.
l LDT solo envía paquetes etiquetados y solo puede detectar bucles basados en las VLAN.
LDT puede detectar bucles en un máximo de 4094 VLAN.
l Cuando se produzca un bucle en la interfaz del lado de la red donde está configurada la
acción Block o Shutdown, se interrumpen todos los servicios en el dispositivo. No
implemente LDT en la interfaz del lado de la red.
l La acción Quitvlan no se puede utilizar con GVRP, HVRP, o la acción de eliminar una
interfaz desde la VLAN donde se produce el aleteo de la dirección MAC.
l Los puertos bloqueados de LDT no pueden bloquear paquetes GVRP. Para garantizar
que GVRP se ejecute normalmente y evitar bucles GVRP, no habilite GVRP en el puerto
bloqueado de LDT.
Requisitos de redes
En Figura 6-36, una empresa usa una red de Capa 2. Switch es el switch de agregación, y
cada switch permite que los paquetes de las VLAN 10 a 20 pasen. Debido a que los
empleados a menudo se mueven, la topología de la red cambia con frecuencia. Las
conexiones o configuraciones pueden ser incorrectas debido a malas operaciones. Como
resultado, pueden producirse bucles en las VLAN 10 a 20.
Los bucles provocan tormentas de difusión y afectan la comunicación entre dispositivo y red.
Es necesario que los bucles sean detectados y eliminados en las VLAN de manera oportuna
para evitar tormentas de difusión.
Figura 6-36 Redes para configurar LDT para detectar bucles en la red local
Switch
GE1/0/0 GE2/0/0
VLAN 10~20
Procedimiento
Paso 1 Habilite LDT global.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] loop-detection enable //Habilite LDT globalmente.
En la salida del comando, LDT está habilitado en las VLAN 10 a 20, GE1/0/0 se elimina
desde las VLAN 10, 11, 12, 16 y 19, y GE2/0/0 se elimina desde las VLAN 13, 14, 15,
17, 18 y 20.
NOTA
Las VLAN desde las que se elimina una interfaz son inciertas, pero la interfaz se eliminará de
todas las VLAN donde se producen bucles.
2. Después de eliminar el bucle (por ejemplo, GE2/0/0 se apaga y las conexiones entre los
dispositivos se corrigen), verifique si GE1/0/0 y GE2/0/0 se restauran.
[Switch] display loop-detection interface gigabitethernet 1/0/0
The port is enabled.
The port's status list:
Status WorkMode Recovery-time EnabledVLAN
-----------------------------------------------------------------------
Normal Quitvlan 30 10
Normal Quitvlan 30 11
Normal Quitvlan 30 12
Normal Quitvlan 30 13
Normal Quitvlan 30 14
Normal Quitvlan 30 15
Normal Quitvlan 30 16
Normal Quitvlan 30 17
Normal Quitvlan 30 18
Normal Quitvlan 30 19
Normal Quitvlan 30 20
[Switch] display loop-detection interface gigabitethernet 2/0/0
The port is enabled.
The port's status list:
Status WorkMode Recovery-time EnabledVLAN
-----------------------------------------------------------------------
Normal Quitvlan 30 10
Normal Quitvlan 30 11
Normal Quitvlan 30 12
Normal Quitvlan 30 13
Normal Quitvlan 30 14
Normal Quitvlan 30 15
Normal Quitvlan 30 16
Normal Quitvlan 30 17
Normal Quitvlan 30 18
Normal Quitvlan 30 19
Normal Quitvlan 30 20
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10 to 20
#
loop-detection enable
loop-detection interval-time 10
loop-detection enable vlan 10 to 20
#
interface GigabitEthernet1/0/0
port hybrid tagged vlan 10 to 20
stp disable
loop-detection mode port-quitvlan
loop-detection recovery-time 30
#
interface GigabitEthernet2/0/0
port hybrid tagged vlan 10 to 20
stp disable
loop-detection mode port-quitvlan
loop-detection recovery-time 30
#
snmp-agent trap enable feature-name LDTTRAP
#
return
Descripción general
Cuando se produce un bucle en una red, los paquetes de difusión, multidifusión y unidifusión
desconocidos se transmiten repetidamente en la red. Esto desperdicia recursos de la red e
incluso puede causar un fallo de la red. Para minimizar el impacto de los bucles en una red de
Capa 2, se requiere una tecnología de detección que notifique rápidamente a los usuarios
sobre bucles. Cuando se produzca un bucle, se solicita a los usuarios que verifiquen las
conexiones y configuraciones de red, y que controlen la interfaz problemática.
La detección de loopback (LBDT) envía periódicamente paquetes LBDT en una interfaz para
verificar si los paquetes regresan al dispositivo local (las interfaces de recepción y transmisión
pueden ser diferentes) y determina si se producen bucles en la interfaz, red local o red de
enlace descendente.
l Si los paquetes LBDT son recibidos y enviados por la misma interfaz, se produce un
loopback en la interfaz o se produce un bucle en la red conectada a la interfaz.
l Si los paquetes LBDT son recibidos por otra interfaz en el mismo dispositivo, se produce
un bucle en la red conectada a la interfaz o dispositivo.
Después de detectar los bucles, el dispositivo puede enviar alarmas a la NMS y registrar logs,
y puede controlar el estado de la interfaz (la interfaz está apagada por defecto) de acuerdo con
la configuración del dispositivo para minimizar el impacto de los bucles en el dispositivo y en
la red. El dispositivo proporciona las siguientes acciones después de que LBDT detecte un
bucle:
l Trap: El dispositivo informa un trap al NMS y registra un log, pero no realiza ninguna
acción en la interfaz.
l Block: El dispositivo bloquea esta interfaz y solo puede reenviar los BPDU.
l No learning: La interfaz está deshabilitada para aprender las direcciones MAC.
l Shutdown: El dispositivo apaga la interfaz.
l Quitvlan: La interfaz se elimina de la VLAN donde se produce un bucle.
La interfaz problemática continúa enviando paquetes LBDT. Una vez que expire el tiempo de
recuperación configurado, el sistema intenta restaurar la interfaz problemática. Si el
dispositivo no recibe paquetes LBDT de la interfaz problemática dentro del siguiente tiempo
de recuperación, considera que el bucle se elimina en la interfaz y restaura la interfaz.
LBDT solo puede detectar bucles en un solo nodo, pero no puede eliminar bucles en toda la
red de la misma manera que las tecnologías de red en anillo de ERPS, RRPP, SEP, Smart Link
y STP/RSTP/MSTP/VBST.
Notas de configuración
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
l En V200R008C00 y versiones anteriores, LBDT no tiene efecto en las VLAN dinámicas.
En V200R008C00 y versiones posteriores, el switch habilitado para LBDT puede
detectar bucles en las VLAN dinámicas, pero la acción Quitvlan no es válida para las
VLAN dinámicas.
l LBDT necesita enviar una gran cantidad de paquetes LBDT para detectar bucles y
ocupar recursos del sistema. Por lo tanto, deshabilite LBDT si no es necesario detectar
los bucles.
l LBDT no se puede configurar en un Eth-Trunk o sus interfaces de miembro.
l Una interfaz puede enviar paquetes LBDT con la etiqueta VLAN especificada solo
cuando se haya creado la VLAN especificada.
Requisitos de redes
En Figura 6-37, el switch de agregación SwitchA en una red empresarial se conecta al switch
de acceso SwitchB. Para evitar que se formen loopbacks en una interfaz TX-RX (GE1/0/0)
porque las fibras ópticas están conectadas incorrectamente o la interfaz está dañada por alto
voltaje, SwitchA es necesario para detectar loopbacks en el GE1/0/0. Además, es necesario
que la interfaz se bloquee para reducir el impacto del loopback en la red cuando se detecte un
loopback, y la interfaz se restaure después de que se elimine el loopback.
Figura 6-37 Redes para configurar LBDT para detectar loopbacks en una interfaz
SwitchA
GE1/0/0
Tx Rx
GE1/0/0
SwitchB
Procedimiento
Paso 1 Habilite LBDT en una interfaz.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] interface gigabitethernet 1/0/0
[SwitchA-GigabitEthernet1/0/0] loopback-detect enable //Habilite LBDT en la
interfaz.
[SwitchA-GigabitEthernet1/0/0] quit
Paso 2 Configure una acción a tomar después de detectar un bucle y ajuste el tiempo de recuperación.
[SwitchA] interface gigabitethernet 1/0/0
[SwitchA-GigabitEthernet1/0/0] loopback-detect action block //Configure la
acción Block que se tomará después de que se detecte un bucle.
[SwitchA-GigabitEthernet1/0/0] loopback-detect recovery-time 30 //Establezca el
retraso de recuperación a 30 s.
[SwitchA-GigabitEthernet1/0/0] quit
------------------------------------------------------------------------------
----
Interface RecoverTime Action
Status
------------------------------------------------------------------------------
----
GigabitEthernet1/0/0 30 block
NORMAL
------------------------------------------------------------------------------
----
------------------------------------------------------------------------------
----
Interface RecoverTime Action
Status
------------------------------------------------------------------------------
----
GigabitEthernet1/0/0 30 block BLOCK(Loopback
detected)
------------------------------------------------------------------------------
----
La salida del comando anterior muestra que GE1/0/0 está bloqueado, lo que indica que
se produce un loopback en GE1/0/0.
3. Elimine manualmente el loopback. Ejecute el comando display loopback-detect para
verificar si GE1/0/0 se restaura.
[SwitchA] display loopback-detect
Loopback-detect sending-packet interval:
------------------------------------------------------------------------------
----
Interface RecoverTime Action
Status
------------------------------------------------------------------------------
----
GigabitEthernet1/0/0 30 block
NORMAL
------------------------------------------------------------------------------
----
----Fin
Archivos de configuración
Archivo de configuración de SwitchA
#
sysname SwitchA
#
interface GigabitEthernet1/0/0
loopback-detect recovery-time 30
loopback-detect enable
loopback-detect action block
#
return
Descripción general
Cuando se produce un bucle en una red, los paquetes de difusión, multidifusión y unidifusión
desconocidos se transmiten repetidamente en la red. Esto desperdicia recursos de la red e
incluso puede causar un fallo de la red. Para minimizar el impacto de los bucles en una red de
Capa 2, se requiere una tecnología de detección que notifique rápidamente a los usuarios
sobre bucles. Cuando se produzca un bucle, se solicita a los usuarios que verifiquen las
conexiones y configuraciones de red, y que controlen la interfaz problemática.
La detección de loopback (LBDT) envía periódicamente paquetes LBDT en una interfaz para
verificar si los paquetes regresan al dispositivo local (las interfaces de recepción y transmisión
pueden ser diferentes) y determina si se producen bucles en la interfaz, red local o red de
enlace descendente.
l Si los paquetes LBDT son recibidos y enviados por la misma interfaz, se produce un
loopback en la interfaz o se produce un bucle en la red conectada a la interfaz.
l Si los paquetes LBDT son recibidos por otra interfaz en el mismo dispositivo, se produce
un bucle en la red conectada a la interfaz o dispositivo.
Después de detectar los bucles, el dispositivo puede enviar alarmas a la NMS y registrar logs,
y puede controlar el estado de la interfaz (la interfaz está apagada por defecto) de acuerdo con
la configuración del dispositivo para minimizar el impacto de los bucles en el dispositivo y en
la red. El dispositivo proporciona las siguientes acciones después de que LBDT detecte un
bucle:
l Trap: El dispositivo informa un trap al NMS y registra un log, pero no realiza ninguna
acción en la interfaz.
l Block: El dispositivo bloquea esta interfaz y solo puede reenviar los BPDU.
l No learning: La interfaz está deshabilitada para aprender las direcciones MAC.
l Shutdown: El dispositivo apaga la interfaz.
l Quitvlan: La interfaz se elimina de la VLAN donde se produce un bucle.
La interfaz problemática continúa enviando paquetes LBDT. Una vez que expire el tiempo de
recuperación configurado, el sistema intenta restaurar la interfaz problemática. Si el
dispositivo no recibe paquetes LBDT de la interfaz problemática dentro del siguiente tiempo
de recuperación, considera que el bucle se elimina en la interfaz y restaura la interfaz.
LBDT solo puede detectar bucles en un solo nodo, pero no puede eliminar bucles en toda la
red de la misma manera que las tecnologías de red en anillo de ERPS, RRPP, SEP, Smart Link
y STP/RSTP/MSTP/VBST.
Notas de configuración
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
l En V200R008C00 y versiones anteriores, LBDT no tiene efecto en las VLAN dinámicas.
En V200R008C00 y versiones posteriores, el switch habilitado para LBDT puede
detectar bucles en las VLAN dinámicas, pero la acción Quitvlan no es válida para las
VLAN dinámicas.
l LBDT necesita enviar una gran cantidad de paquetes LBDT para detectar bucles y
ocupar recursos del sistema. Por lo tanto, deshabilite LBDT si no es necesario detectar
los bucles.
l LBDT no se puede configurar en un Eth-Trunk o sus interfaces de miembro.
l Una interfaz puede enviar paquetes LBDT con la etiqueta VLAN especificada solo
cuando se haya creado la VLAN especificada.
l LBDT puede detectar bucles en un máximo de ocho VLAN.
l Cuando el PVID de la interfaz en el bucle es el ID de VLAN detectado o la interfaz se
une a la VLAN detectada en modo sin etiqueta, las etiquetas VLAN de los paquetes
LBDT se eliminan. Como resultado, la prioridad del paquete cambia y el sistema no
puede detectar los bucles.
l Cuando se utiliza la acción Quitvlan, el archivo de configuración permanece sin
cambios.
l La acción LBDT y la acción de aleteo de la dirección MAC se afectan mutuamente y no
pueden configurarse simultáneamente.
l La acción Quitvlan de LBDT tiene conflicto con la eliminación dinámica desde las
VLAN (por ejemplo, GVRP y HVRP) y no puede configurarse simultáneamente.
l Los puertos bloqueados de LBDT no pueden bloquear paquetes GVRP. Para garantizar
que GVRP se ejecute normalmente y evitar bucles GVRP, no habilite GVRP en el puerto
bloqueado de LBDT.
l En un switch modular, LBDT y la detección de bucle (LDT) no pueden configurarse
simultáneamente.
Requisitos de redes
En Figura 6-38, un nuevo departamento de una empresa se conecta al switch de agregación
Switch. Este departamento pertenece a la VLAN 100. Los bucles se producen debido a
Figura 6-38 Redes para configurar LBDT para detectar bucles en la red de enlace
descendente
Switch
GE1/0/1
Departamento
nuevo
VLAN 100
Configure las interfaces en otros dispositivos de conmutación como interfaces troncales o híbridas y
configure estas interfaces para permitir que los paquetes desde las VLAN correspondientes pasen. Esto
garantiza la conectividad de Capa 2 en la nueva red y entre la nueva red y Switch.
Procedimiento
Paso 1 Habilite LBDT en la interfaz.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] loopback-detect enable //Habilite LBDT en la
interfaz.
[Switch-GigabitEthernet1/0/1] quit
------------------------------------------------------------------------------
----
Interface RecoverTime Action
Status
------------------------------------------------------------------------------
----
GigabitEthernet1/0/1 30 shutdown
NORMAL
------------------------------------------------------------------------------
----
------------------------------------------------------------------------------
----
Interface RecoverTime Action
Status
------------------------------------------------------------------------------
----
GigabitEthernet1/0/1 30 shutdown SHUTDOWN(Loopback
detected)
------------------------------------------------------------------------------
----
----Fin
Archivos de configuración
Archivo de configuración del switch
#
sysname Switch
#
vlan batch 100
#
loopback-detect packet-interval 10
#
interface GigabitEthernet1/0/1
port hybrid tagged vlan 100
loopback-detect packet vlan 100
loopback-detect enable
#
return
Descripción general
Cuando se produce un bucle en una red, los paquetes de difusión, multidifusión y unidifusión
desconocidos se transmiten repetidamente en la red. Esto desperdicia recursos de la red e
incluso puede causar un fallo de la red. Para minimizar el impacto de los bucles en una red de
Capa 2, se requiere una tecnología de detección que notifique rápidamente a los usuarios
sobre bucles. Cuando se produzca un bucle, se solicita a los usuarios que verifiquen las
conexiones y configuraciones de red, y que controlen la interfaz problemática.
La detección de loopback (LBDT) envía periódicamente paquetes LBDT en una interfaz para
verificar si los paquetes regresan al dispositivo local (las interfaces de recepción y transmisión
pueden ser diferentes) y determina si se producen bucles en la interfaz, red local o red de
enlace descendente.
l Si los paquetes LBDT son recibidos y enviados por la misma interfaz, se produce un
loopback en la interfaz o se produce un bucle en la red conectada a la interfaz.
l Si los paquetes LBDT son recibidos por otra interfaz en el mismo dispositivo, se produce
un bucle en la red conectada a la interfaz o dispositivo.
Después de detectar los bucles, el dispositivo puede enviar alarmas a la NMS y registrar logs,
y puede controlar el estado de la interfaz (la interfaz está apagada por defecto) de acuerdo con
la configuración del dispositivo para minimizar el impacto de los bucles en el dispositivo y en
la red. El dispositivo proporciona las siguientes acciones después de que LBDT detecte un
bucle:
l Trap: El dispositivo informa un trap al NMS y registra un log, pero no realiza ninguna
acción en la interfaz.
l Block: El dispositivo bloquea esta interfaz y solo puede reenviar los BPDU.
l No learning: La interfaz está deshabilitada para aprender las direcciones MAC.
l Shutdown: El dispositivo apaga la interfaz.
l Quitvlan: La interfaz se elimina de la VLAN donde se produce un bucle.
La interfaz problemática continúa enviando paquetes LBDT. Una vez que expire el tiempo de
recuperación configurado, el sistema intenta restaurar la interfaz problemática. Si el
dispositivo no recibe paquetes LBDT de la interfaz problemática dentro del siguiente tiempo
de recuperación, considera que el bucle se elimina en la interfaz y restaura la interfaz.
LBDT solo puede detectar bucles en un solo nodo, pero no puede eliminar bucles en toda la
red de la misma manera que las tecnologías de red en anillo de ERPS, RRPP, SEP, Smart Link
y STP/RSTP/MSTP/VBST.
Notas de configuración
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
l En V200R008C00 y versiones anteriores, LBDT no tiene efecto en las VLAN dinámicas.
En V200R008C00 y versiones posteriores, el switch habilitado para LBDT puede
detectar bucles en las VLAN dinámicas, pero la acción Quitvlan no es válida para las
VLAN dinámicas.
l LBDT necesita enviar una gran cantidad de paquetes LBDT para detectar bucles y
ocupar recursos del sistema. Por lo tanto, deshabilite LBDT si no es necesario detectar
los bucles.
l LBDT no se puede configurar en un Eth-Trunk o sus interfaces de miembro.
l Una interfaz puede enviar paquetes LBDT con la etiqueta VLAN especificada solo
cuando se haya creado la VLAN especificada.
l LBDT puede detectar bucles en un máximo de ocho VLAN.
l Cuando el PVID de la interfaz en el bucle es el ID de VLAN detectado o la interfaz se
une a la VLAN detectada en modo sin etiqueta, las etiquetas VLAN de los paquetes
LBDT se eliminan. Como resultado, la prioridad del paquete cambia y el sistema no
puede detectar los bucles.
l Cuando se utiliza la acción Quitvlan, el archivo de configuración permanece sin
cambios.
l La acción LBDT y la acción de aleteo de la dirección MAC se afectan mutuamente y no
pueden configurarse simultáneamente.
l La acción Quitvlan de LBDT tiene conflicto con la eliminación dinámica desde las
VLAN (por ejemplo, GVRP y HVRP) y no puede configurarse simultáneamente.
l Los puertos bloqueados de LBDT no pueden bloquear paquetes GVRP. Para garantizar
que GVRP se ejecute normalmente y evitar bucles GVRP, no habilite GVRP en el puerto
bloqueado de LBDT.
l En un switch modular, LBDT y la detección de bucle (LDT) no pueden configurarse
simultáneamente.
Requisitos de redes
En Figura 6-39, una empresa de pequeña escala utiliza redes de Capa 2 y pertenece a la
VLAN 100. Como los empleados a menudo se mueven, la topología de la red cambia con
frecuencia. Los bucles se producen debido a conexiones o configuraciones incorrectas durante
el cambio. Como resultado, se producen tormentas de transmisión y afectan la comunicación
de Switch y de toda la red.
Los requisitos son los siguientes:
l Switch detecta bucles.
l Cuando existe un bucle, la interfaz está bloqueada para reducir el impacto del bucle en
Switch y en la red.
l Cuando se elimine el bucle, la interfaz puede restaurarse.
Figura 6-39 Redes para configurar LBDT para detectar bucles en la red local
Switch
GE1/0/1 GE1/0/2
VLAN 100
Procedimiento
Paso 1 Habilite LBDT en las interfaces.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] loopback-detect enable //Habilite LBDT en la
interfaz.
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] loopback-detect enable //Habilite LBDT en la
interfaz.
[Switch-GigabitEthernet1/0/2] quit
Paso 3 Configure una acción a tomar después de detectar un bucle y Establezca el tiempo de
recuperación.
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] loopback-detect action block //Configure la acción
Block a tomar después de que se detecte un bucle.
[Switch-GigabitEthernet1/0/1] loopback-detect recovery-time 30 //Establezca el
tiempo de recuperación a 30 segundos.
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] loopback-detect action block //Configure la acción
Block a tomar después de que se detecte un bucle.
[Switch-GigabitEthernet1/0/2] loopback-detect recovery-time 30 //Establezca el
tiempo de recuperación a 30 s.
[Switch-GigabitEthernet1/0/2] quit
------------------------------------------------------------------------------
----
Interface RecoverTime Action
Status
------------------------------------------------------------------------------
----
GigabitEthernet1/0/1 30 block
NORMAL
GigabitEthernet1/0/2 30 block NORMAL
------------------------------------------------------------------------------
----
------------------------------------------------------------------------------
----
Interface RecoverTime Action
Status
------------------------------------------------------------------------------
----
GigabitEthernet1/0/1 30 block
NORMAL
GigabitEthernet1/0/2 30 block BLOCK(Loopback
detected)
------------------------------------------------------------------------------
----
------------------------------------------------------------------------------
----
Interface RecoverTime Action
Status
------------------------------------------------------------------------------
----
GigabitEthernet1/0/1 30 block
NORMAL
GigabitEthernet1/0/2 30 block NORMAL
------------------------------------------------------------------------------
----
----Fin
Archivos de configuración
Switch Archivo de configuración
#
sysname Switch
#
vlan batch 100
#
interface GigabitEthernet1/0/1
port hybrid tagged vlan 100
loopback-detect recovery-time 30
loopback-detect packet vlan 100
loopback-detect enable
loopback-detect action block
#
interface GigabitEthernet1/0/2
port hybrid tagged vlan 100
loopback-detect recovery-time 30
loopback-detect packet vlan 100
loopback-detect enable
loopback-detect action block
#
return
Notas de configuración
l La cantidad de entradas ARP estáticas configurada en el dispositivo no puede exceder la
cantidad máxima de entradas ARP estáticas en el dispositivo. Puede ejecutar el comando
display arp statistics all para comprobar el número existente de entradas de ARP en el
dispositivo.
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de red
Como se muestra en Figura 7-1, el Switch conecta con los diferentes departamentos de una
empresa. Los departamentos se agregan a diferentes VLAN. Las direcciones IP fijas se han
asignado manualmente al servidor de reserva de archivos y a los hosts en la oficina del
presidente, y las direcciones IP dinámicas se han asignado a los hosts en otros departamentos
usando DHCP. Los hosts en el departamento de marketing pueden acceder a Internet y, a
menudo, son atacados por los paquetes ARP. Los atacantes atacan el Switch y modifican las
entradas de ARP dinámico en el Switch. Como resultado, la comunicación entre los hosts en
la oficina del presidente y los dispositivos externos se interrumpe y los hosts en los
departamentos no pueden acceder al servidor de reserva de archivos. La compañía requiere
que las entradas ARP estáticas se configuren en el Switch para que los hosts en la oficina del
presidente puedan comunicarse con los dispositivos externos y los hosts en los departamentos
puedan acceder al servidor de reserva de archivos.
Internet
Router
10.164.20.2/24
GE1/0/3
Servidor de reserva de 10.164.20.1/24
archivos
GE1/0/2
10.164.10.10/24 Switch
GE1/0/1
VLANIF 10
10.164.10.1/24
10.164.1.20/24
0df0-fc01-003a
Host
10.164.1.1/24
00e0-fc01-0001
Departamento Departamento Oficina del
de marketing I+D presidente
Procedimiento
Paso 1 Cree las VLAN en el Switch y configure una dirección IP para cada interfaz.
# Cree VLAN 10, agregue las interfaces a VLAN 10 y configure una dirección IP para
VLANIF 10.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access
# Configure GE1/0/2 como la interfaz principal y configure una dirección IP para ella.
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] undo portswitch
[Switch-GigabitEthernet1/0/2] ip address 10.164.10.10 24
[Switch-GigabitEthernet1/0/2] quit
# Configure GE1/0/3 como la interfaz principal y configure una dirección IP para ella.
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] undo portswitch
[Switch-GigabitEthernet1/0/3] ip address 10.164.20.1 24
[Switch-GigabitEthernet1/0/3] quit
NOTA
Si el Switch no admite la configuración que usa el comando undo portswitch para configurar una
interfaz como la interfaz principal y luego configure una dirección IP para ella, configure la interfaz
como una interfaz VLANIF y luego configure una dirección IP para ella.
# Ejecute el comando display arp static para comprobar las entradas ARP estáticas
configuradas.
[Switch] display arp static
IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE
VLAN/CEVLAN
------------------------------------------------------------------------------
10.164.1.1 00e0-fc01-0001 S-- GE1/0/1
10/-
10.164.10.1 0df0-fc01-003a S-- GE1/0/2
40/-
------------------------------------------------------------------------------
Total:2 Dynamic:0 Static:2 Interface:0
# Haga ping a la dirección IP 10.164.10.10/24 del servidor de reserva desde un host (por
ejemplo, usando la dirección IP 10.164.2.100/24 y el sistema operativo Windows 7) en el
departamento de marketing. El ping es exitoso.
# Haga ping a la dirección IP 10.164.10.10/24 del servidor de reserva desde un host (por
ejemplo, usando la dirección IP 10.164.3.100/24 y el sistema operativo Windows 7) en el
departamento de I+D. El ping es exitoso.
C:\Documents and Settings\Administrator> ping 10.164.10.10
Pinging 10.164.10.10 with 32 bytes of data:
Reply from 10.164.10.10: bytes=32 time=1ms TTL=125
Reply from 10.164.10.10: bytes=32 time=1ms TTL=125
Reply from 10.164.10.10: bytes=32 time=1ms TTL=125
Reply from 10.164.10.10: bytes=32 time=1ms TTL=125
----Fin
Archivos de configuración
Archivo de configuración de switch
#
sysname Switch
#
vlan batch 10
#
interface Vlanif10
ip address 10.164.1.20 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet1/0/2
undo portswitch
ip address 10.164.10.10 255.255.255.0
#
interface GigabitEthernet1/0/3
undo portswitch
ip address 10.164.20.1 255.255.255.0
#
arp static 10.164.1.1 00e0-fc01-0001 vid 10 interface GigabitEthernet1/0/1
arp static 10.164.10.1 0df0-fc01-003a interface GigabitEthernet1/0/2
#
return
Descripción general
Cuando una red empresarial se divide en subredes, dos subredes pueden pertenecer al mismo
segmento de red pero no a redes físicas diferentes. Estas dos subredes están aisladas por el
switch. Puede modificar la información de enrutamiento sobre los hosts en la red, de modo
que los paquetes de datos destinados a otras subredes se envíen al gateway conectado a
diferentes subredes y luego reenviados por el gateway al destino. Sin embargo, para
implementar esta solución, debe configurar enrutamientos para todos los hosts en las
subredes. Esto complica la gestión y el mantenimiento.
El despliegue del proxy ARP enrutado en gateway puede resolver eficazmente los problemas
de gestión y mantenimiento en la división de subredes. El proxy ARP enrutado permite la
comunicación entre los hosts cuyas direcciones IP pertenecen al mismo segmento de red pero
no a redes físicas diferentes. Además, el gateway predeterminado no necesita configurarse en
los hosts, lo que facilita la gestión y el mantenimiento.
Notas de configuración
Después de que el proxy ARP enrutado esté habilitado en el dispositivo, reduzca el tiempo de
envejecimiento de las entradas de ARP en los hosts. De esta forma, las entradas inválidas de
ARP no se ponen en vigor tan pronto como sea posible, reduciendo la cantidad de paquetes
que se envían pero que no pueden ser reenviados por el switch.
S2350EI V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S3300HI V200R001C00
S5300HI V200R001(C00&C01),
V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de red
Como se muestra en Figura 7-2, el branch A y el branch B de la empresa se encuentran en
diferentes ciudades y sus direcciones IP de host pertenecen al mismo segmento de red
172.16.0.0/16. Hay rutas accesibles entre Switch_1 conectado con el branch A y Switch_2
conectado con el branch B. El branch A y el branch B pertenecen a diferentes dominios de
difusión; por lo tanto, no pueden comunicarse con una LAN. Los hosts en las sucursales no
están configurados con direcciones de gateway predeterminado, por lo que no pueden
comunicarse a través de segmentos de red. La empresa requiere que el branch A y el branch B
se comuniquen sin cambiar las configuraciones del host.
GE1/0/2 GE1/0/2
Switch_1 Internet Switch_2
GE1/0/1 GE1/0/1
VLANIF 10 VLANIF 20
172.16.1.1/24 172.16.2.1/24
172.16.1.2/16 172.16.2.2/16
Host_1 Host_2
0000-5e33-ee20 0000-5e33-ee10
VLAN 10 VLAN 20
Branch A Branch B
Procedimiento
Paso 1 Cree las VLAN, agregue las interfaces a las VLAN y configure las direcciones IP para las
interfaces.
# Configure Switch_1.
<Quidway> system-view
[Quidway] sysname Switch_1
[Switch_1] vlan batch 10
[Switch_1] interface gigabitethernet 1/0/1
[Switch_1-GigabitEthernet1/0/1] port link-type access
[Switch_1-GigabitEthernet1/0/1] port default vlan 10
[Switch_1-GigabitEthernet1/0/1] quit
# Configure Switch_2.
<Quidway> system-view
[Quidway] sysname Switch_2
[Switch_2] vlan batch 20
[Switch_2] interface gigabitethernet 1/0/1
[Switch_2-GigabitEthernet1/0/1] port link-type access
[Switch_2-GigabitEthernet1/0/1] port default vlan 20
[Switch_2-GigabitEthernet1/0/1] quit
[Switch_2] interface vlanif 20
[Switch_2-Vlanif20] ip address 172.16.2.1 24
# Configure Switch_2.
[Switch_2-Vlanif20] arp-proxy enable //Configure proxy ARP enrutado
[Switch_2-Vlanif20] quit
------------------------------------------------------------------------------
172.16.1.1 101b-5441-5bf6 I -
Vlanif10
------------------------------------------------------------------------------
# Compruebe la tabla ARP en Host_1. El resultado del comando muestra que el mapeo de la
dirección MAC de la dirección IP de Host_2 es la dirección MAC de VLANIF 10 en
Switch_1, lo que indica que Host_1 y Host_2 pueden comunicarse entre sí a través del proxy
ARP.
C:\Documents and Settings\Administrator> arp -a
Interface: 172.16.1.2 --- 0xd
----Fin
Archivos de configuración
l Archivo de configuración de Switch_1
#
sysname Switch_1
#
vlan batch 10
#
interface Vlanif10
ip address 172.16.1.1 255.255.255.0
arp-proxy enable
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
#
return
#
sysname Switch_2
#
vlan batch 20
#
interface Vlanif20
ip address 172.16.2.1 255.255.255.0
arp-proxy enable
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 20
#
return
Notas de configuración
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra en Figura 7-3, una empresa divide dos segmentos de red para terminales de
oficina: 10.1.1.0/24 para empleados con terminales de oficina fija y 10.1.2.0/24 para
empleados en viajes de negocios para acceder temporalmente a la red. La empresa requiere
que DHCP se utilice para asignar direcciones IP a empleados con terminales de oficina fija y
empleados en viajes de negocios. Un PC (DHCP Client_1) requiere una dirección IP fija
10.1.1.100/24 para cumplir con los requisitos del servicio.
Figura 7-3 Diagrama de redes para configurar el dispositivo como un servidor DHCP
Internet
GE0/0/1 GE0/0/2
VLANIF 10 VLANIF 11
10.1.1.1/24 10.1.2.1/24
Switch
Servidor
DHCP
LSW_1 LSW_2
DHCP Client_1
MAC:286e-d488-b684
... DHCP DHCP DHCP
... Client_t
Client_n Client_s
IP:10.1.1.100/24
Empleados con Empleados en
oficina fija viajes de negocios
NOTA
Configure los tipos de enlace de interfaz y las VLAN en LSW_1 y LSW_2 para implementar la comunicación
de Capa 2.
Procedimiento
Paso 1 Habilite el servicio DHCP. Por defecto, el servicio está deshabilitado.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] dhcp enable
# Configure los terminales conectados a VLANIF 10 para obtener direcciones IP del grupo de
direcciones de interfaz.
[Switch] interface vlanif 10
[Switch-Vlanif10] dhcp select interface //Habilite la función del servidor DHCP
en función del grupo de direcciones de interfaz en la interfaz. Por defecto, la
función está deshabilitada.
[Switch-Vlanif10] dhcp server lease day 30 //El arrendamiento predeterminado es
un día. Modifique el arrendamiento a 30 días.
[Switch-Vlanif10] dhcp server static-bind ip-address 10.1.1.100 mac-address 286e-
d488-b684 //Asigne una dirección IP fija a Client_1.
[Switch-Vlanif10] quit
# Configure los terminales conectados a VLANIF 11 para obtener direcciones IP del grupo de
direcciones de interfaz. La concesión predeterminada (un día) se usa y no se debe configurar.
[Switch] interface vlanif 11
[Switch-Vlanif11] dhcp select interface //Habilite la función del servidor DHCP
en función del grupo de direcciones de interfaz en la interfaz. Por defecto, la
función está deshabilitada.
[Switch-Vlanif11] quit
Paso 6 Configure cada terminal (usando el PC con Windows 7 como ejemplo) para obtener
automáticamente una dirección IP.
1. Haga clic con el botón derecho en Network y elija Properties para visualizar la ventana
Network and Sharing Center.
2. Haga clic en Local Area Connection para visualizar la ventana Local Area Connection
Status.
3. Haga clic en Properties para mostrar la ventana Local Area Connection Properties.
4. Seleccione Internet Protocol Version 4 (TCP/IPv4) y haga clic en Properties para
visualizar la ventana Internet Protocol Version 4 (TCP/IPv4) Properties. Seleccione
Obtain an IP address automatically, y haga clic en OK.
-------------------------------------------------------------------------------
Network section
Start End Total Used Idle(Expired) Conflict Disabled
-------------------------------------------------------------------------------
10.1.1.1 10.1.1.254 253 100 153(0) 0 0
-------------------------------------------------------------------------------
[Switch] display ip pool interface vlanif11
Pool-name : Vlanif11
Pool-No : 1
Lease : 1 Days 0 Hours 0 Minutes
Domain-name : -
DNS-server0 : -
NBNS-server0 : -
Netbios-type : -
Position : Interface Status : Unlocked
Gateway-0 : 10.1.2.1
Network : 10.1.2.0
Mask : 255.255.255.0
VPN instance : --
Logging : Disable
Conflicted address recycle interval: -
Address Statistic: Total :253 Used :3
Idle :250 Expired :0
Conflict :0 Disable :0
-------------------------------------------------------------------------------
Network section
Start End Total Used Idle(Expired) Conflict Disabled
-------------------------------------------------------------------------------
10.1.2.1 10.1.2.254 253 3 250(0) 0 0
-------------------------------------------------------------------------------
Windows IP Configuration
Windows IP Configuration
----Fin
Archivos de configuración
Archivo de configuración del Switch
#
sysname Switch
#
vlan batch 10 to 11
#
dhcp enable
#
dhcp server database enable
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
dhcp select interface
dhcp server static-bind ip-address 10.1.1.100 mac-address 286e-d488-b684
dhcp server lease day 30 hour 0 minute 0
#
interface Vlanif11
ip address 10.1.2.1 255.255.255.0
dhcp select interface
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 11
#
return
Notas de configuración
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra en Figura 7-4, una empresa tiene dos oficinas, para guardar recursos de red,
las funciones de conmutación como servidor DHCP para asignar direcciones IP a los hosts en
las dos oficinas. Los hosts en la oficina 1 se encuentran en el segmento de red 10.1.1.0/25 y se
agregan a la VLAN 10, la concesión de direcciones IP para estos hosts es de diez días; los
servidores en la oficina 2 se encuentran en el segmento de red 10.1.1.128/25 y se agregan a la
VLAN 11, la concesión de direcciones IP para estos hosts es de dos días.
Figura 7-4 Diagrama de redes para configurar un dispositivo como servidor DHCP
Servidor DNS
10.1.2.3/25
Red IP
GE1/0/1 GE1/0/2
VLANIF 10 VLANIF 11
10.1.1.1/25 10.1.1.129/25
Switch
Servidor DHCP
Procedimiento
Paso 1 Habilite el servicio DHCP.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] dhcp enable
# Configure las direcciones IP y los parámetros de red relevantes del grupo de direcciones
global pool2.
[Switch] ip pool pool2
[Switch-ip-pool-pool1] network 10.1.1.128 mask 255.255.255.128
[Switch-ip-pool-pool1] dns-list 10.1.2.3
[Switch-ip-pool-pool1] gateway-list 10.1.1.129
[Switch-ip-pool-pool1] lease day 2
[Switch-ip-pool-pool1] quit
Network : 10.1.1.0
Mask : 255.255.255.128
VPN instance : --
Logging : Disable
Conflicted address recycle interval: -
Address Statistic: Total :125 Used :2
Idle :123 Expired :0
Conflict :0 Disabled :0
-------------------------------------------------------------------------------
Network section
Start End Total Used Idle(Expired) Conflict Disabled
-------------------------------------------------------------------------------
10.1.1.1 10.1.1.126 125 2 123(0) 0 0
-------------------------------------------------------------------------------
# Ejecute el comando display ip pool name pool2 en el switch para ver la asignación de la
dirección IP en el grupo de direcciones global pool2. El campo Used muestra la cantidad de
direcciones IP asignadas. A continuación, se usa la salida del comando en V200R011C10
como ejemplo.
[Switch] display ip pool name pool2
Pool-name : pool2
Pool-No : 1
Lease : 2 Days 0 Hours 0 Minutes
Domain-name : -
DNS-server0 : 10.1.2.3
NBNS-server0 : -
Netbios-type : -
Position : Local
Status : Unlocked
Gateway-0 : 10.1.1.129
Network : 10.1.1.128
Mask : 255.255.255.128
VPN instance : --
Logging : Disable
Conflicted address recycle interval: -
Address Statistic: Total :125 Used :2
Idle :123 Expired :0
Conflict :0 Disabled :0
-------------------------------------------------------------------------------
Network section
Start End Total Used Idle(Expired) Conflict Disabled
-------------------------------------------------------------------------------
10.1.1.129 10.1.1.254 125 2 123(0) 0 0
-------------------------------------------------------------------------------
----Fin
Archivos de configuración
Archivo de configuración de switch
#
sysname Switch
#
vlan batch 10 to 11
#
dhcp enable
#
ip pool pool1
gateway-list 10.1.1.1
network 10.1.1.0 mask 255.255.255.128
lease day 10 hour 0 minute 0
dns-list 10.1.2.3
#
ip pool pool2
gateway-list 10.1.1.129
network 10.1.1.128 mask 255.255.255.128
lease day 2 hour 0 minute 0
dns-list 10.1.2.3
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.128
dhcp select global
#
interface Vlanif11
ip address 10.1.1.129 255.255.255.128
dhcp select global
#
interface GigabitEthernet1/0/1
port hybrid pvid vlan 10
port hybrid untagged vlan 10
#
interface GigabitEthernet1/0/2
port hybrid pvid vlan 11
port hybrid untagged vlan 11
#
return
debe estar habilitado con la función de retransmisión DHCP. Para obtener más detalles,
consulte 7.2.4 Ejemplo para configurar el dispositivo como una retransmisión DHCP (en
la misma red).
Notas de configuración
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra en Figura 7-5, el teléfono IP y los PC son dispositivos en un área de
oficina. Para administrar de manera uniforme los dispositivos y reducir los costos de
configuración manual, el administrador debe configurar hosts para obtener direcciones IP
dinámicamente a través de DHCP. Los PC son terminales fijos en la sala de tareas. Deben
estar siempre en línea y usar nombres de dominio para acceder a los dispositivos de red.
Además de obtener una dirección IP de forma dinámica, los PC requieren una concesión
ilimitada de direcciones IP y deben obtener información sobre el servidor DNS. El teléfono IP
usa una dirección IP fija 10.1.1.4/24 y su dirección MAC es dcd2-fc96-e4c0. Además de
obtener una dirección IP, el teléfono IP debe obtener dinámicamente el archivo de
configuración de inicio. El archivo de configuración de inicio configuration.ini se almacena
en el servidor FTP. Las rutas entre el servidor FTP y el teléfono IP deben ser accesibles. La
dirección del gateway de los PC y del teléfono IP es 10.1.1.1/24.
Figura 7-5 Diagrama de redes para configurar un dispositivo como servidor DHCP
Servidor DNS
10.1.1.2/24
GE1/0/1
SwitchB VLANIF10
10.1.1.1/24 Internet
SwitchA
Teléfono IP Servidor DHCP
10.1.1.4/24
PC PC PC Servidor FTP
10.1.1.3/24
Procedimiento
Paso 1 Cree una VLAN y configure una dirección IP para la interfaz VLANIF.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan 10
[SwitchA-vlan10] quit
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port hybrid pvid vlan 10
[SwitchA-GigabitEthernet1/0/1] port hybrid untagged vlan 10
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface vlanif 10
[SwitchA-Vlanif10] ip address 10.1.1.1 255.255.255.0
[SwitchA-Vlanif10] quit
Paso 3 Cree una plantilla de DHCP Option. En la vista de la plantilla de DHCP Option, configure el
archivo de configuración de inicio para el teléfono IP del cliente estático, y especifique la
dirección IP del servidor de archivos para el teléfono IP.
[SwitchA] dhcp option template template1
[SwitchA-dhcp-option-template-template1] gateway-list 10.1.1.1
[SwitchA-dhcp-option-template-template1] bootfile configuration.ini
[SwitchA-dhcp-option-template-template1] next-server 10.1.1.3
[SwitchA-dhcp-option-template-template1] quit
Paso 4 Cree un grupo de direcciones IP. En la vista del grupo de direcciones IP, configure la
dirección del gateway, la concesión de la dirección IP, y la dirección IP del servidor DNS para
los PC. Asigne una dirección IP fija al teléfono IP y configure el archivo de configuración de
inicio.
[SwitchA] ip pool pool1
[SwitchA-ip-pool-pool1] network 10.1.1.0 mask 255.255.255.0
[SwitchA-ip-pool-pool1] dns-list 10.1.1.2
[SwitchA-ip-pool-pool1] gateway-list 10.1.1.1
[SwitchA-ip-pool-pool1] excluded-ip-address 10.1.1.2 10.1.1.3
[SwitchA-ip-pool-pool1] lease unlimited
[SwitchA-ip-pool-pool1] static-bind ip-address 10.1.1.4 mac-address dcd2-fc96-
e4c0 option-template template1
[SwitchA-ip-pool-pool1] quit
después de que el sistema se reinicie para restaurar los datos DHCP de los archivos en el
dispositivo de almacenamiento.
[SwitchA] dhcp server database enable
-------------------------------------------------------------------------------
Network section
Start End Total Used Idle(Expired) Conflict Disabled
-------------------------------------------------------------------------------
10.1.1.1 10.1.1.254 253 4 249(0) 0 2
-------------------------------------------------------------------------------
# Ejecute el comando display dhcp option template name template1 en SwitchA para ver la
configuración de la plantilla de DHCP Option.
[SwitchA] display dhcp option template name template1
-----------------------------------------------------------------------------
Template-Name : template1
Template-No : 0
Next-server : 10.1.1.3
Domain-name : -
DNS-server0 : -
NBNS-server0 : -
Netbios-type : -
Gateway-0 : 10.1.1.1
Bootfile : configuration.ini
----Fin
Archivos de configuración
Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 10
#
dhcp enable
#
dhcp server database enable
#
La función de retransmisión DHCP se aplica a las redes grandes con muchos gateways de
usuarios distribuidos de forma dispersa. Para reducir la carga de trabajo de mantenimiento, el
administrador de red no desea configurar la función del servidor DHCP en cada switch de
agregación (gateway de usuario) y requiere que la función del servidor DHCP esté
configurada en un dispositivo de core o que se implemente un servidor DHCP exclusivo en el
área del servidor En este caso, los switches de agregación que funcionan como los gateways
de usuario deben configurarse con la función de retransmisión DHCP para implementar el
intercambio de paquetes DHCP entre el servidor DHCP y los clientes.
Notas de configuración
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra en Figura 7-6, una empresa implementa el servidor DHCP en el switch de
core. El servidor DHCP y los terminales de la empresa pertenecen a diferentes segmentos de
red. La empresa requiere que el servidor DHCP asigne dinámicamente direcciones IP a los
terminales.
Figura 7-6 Diagrama de redes para configurar el dispositivo como una retransmisión DHCP
Internet
SwitchB
Servidor DHCP
GE0/0/1
VLANIF200
GE0/0/1 192.168.20.2/24
VLANIF200
192.168.20.1/24
SwitchA
Retransmisión
DHCP
GE0/0/2
VLANIF100
10.10.20.1/24
LSW
NOTA
Utilice un switch de la serie S de Huawei como ejemplo para el servidor DHCP (SwitchB).
En el LSW, configure el tipo de enlace de interfaz y la VLAN para implementar la comunicación de Capa 2.
Procedimiento
Paso 1 Configure la retransmisión DHCP en SwitchA.
# Agregue la interfaz a la VLAN.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 100 200
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] port link-type trunk
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 200
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2
[SwitchA-GigabitEthernet0/0/2] port link-type access
[SwitchA-GigabitEthernet0/0/2] port default vlan 100
[SwitchA-GigabitEthernet0/0/2] quit
[SwitchA] interface vlanif 200
[SwitchA-Vlanif200] ip address 192.168.20.1 24
[SwitchA-Vlanif200] quit
Paso 2 Configure la función del servidor DHCP en función del grupo de direcciones global en
SwitchB.
# Habilite el servicio DHCP. Por defecto, el servicio está deshabilitado.
<Quidway> system-view
[Quidway] sysname SwitchB
[SwitchB] dhcp enable
# Configure VLANIF 200 para que funcione en el modo del grupo de direcciones global.
[SwitchB] vlan 200
[SwitchB-vlan200] quit
[SwitchB] interface gigabitethernet 0/0/1
[SwitchB-GigabitEthernet0/0/1] port link-type trunk
[SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 200
[SwitchB-GigabitEthernet0/0/1] quit
[SwitchB] interface vlanif 200
[SwitchB-Vlanif200] ip address 192.168.20.2 24
[SwitchB-Vlanif200] dhcp select global //Habilite la función del servidor DHCP
en función del grupo de direcciones global en la interfaz. Por defecto, la
función está deshabilitada.
[SwitchB-Vlanif200] quit
Paso 4 Configure cada terminal (usando el PC con Windows 7 como ejemplo) para obtener
automáticamente una dirección IP.
1. Haga clic con el botón derecho en Network y elija Properties para visualizar la ventana
Network and Sharing Center.
2. Haga clic en Local Area Connection para visualizar la ventana Local Area Connection
Status.
3. Haga clic en Properties para visualizar la ventana Local Area Connection Properties.
4. Seleccione Internet Protocol Version 4 (TCP/IPv4) y haga clic en Properties para
visualizar la ventana Internet Protocol Version 4 (TCP/IPv4) Properties. Seleccione
Obtain an IP address automatically, y haga clic en OK.
# Ejecute el comando display dhcp relay interface vlanif 100 en SwitchA para verificar la
configuración de la retransmisión DHCP.
[SwitchA] display dhcp relay interface vlanif 100
DHCP relay agent running information of interface Vlanif100 :
Server IP address [00] : 192.168.20.2
Gateway address in use : 10.10.20.1
-------------------------------------------------------------------------------
Network section
Start End Total Used Idle(Expired) Conflict Disabled
-------------------------------------------------------------------------------
10.10.20.1 10.10.20.254 253 1 252(0) 0 0
-------------------------------------------------------------------------------
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 100 200
#
dhcp enable
#
interface Vlanif100
ip address 10.10.20.1 255.255.255.0
dhcp select relay
dhcp relay server-ip 192.168.20.2
#
interface Vlanif200
ip address 192.168.20.1 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 200
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 100
#
return
La función de retransmisión DHCP se aplica a las redes grandes con muchos gateways de
usuarios distribuidos de forma dispersa. Para reducir la carga de trabajo de mantenimiento, el
administrador de red no desea configurar la función del servidor DHCP en cada switch de
agregación (gateway de usuario) y requiere que la función del servidor DHCP esté
configurada en un dispositivo de core o que se implemente un servidor DHCP exclusivo en el
área del servidor En este caso, los switches de agregación que funcionan como los gateways
de usuario deben configurarse con la función de retransmisión DHCP para implementar el
intercambio de paquetes DHCP entre el servidor DHCP y los clientes.
La retransmisión DHCP y el servidor DHCP se pueden implementar a través de una red VPN
(como GRE o MPLS L3VPN). Un túnel GRE se utiliza como ejemplo para describir cómo
configurar una retransmisión DHCP.
Notas de configuración
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra en Figura 7-7, una empresa implementa su sede central y sucursal en
diferentes áreas. Se implementa un túnel GRE entre la sede central y la sucursal para
permitirles comunicarse a través de Internet. Para facilitar la administración unificada, el
administrador de la empresa implementa el servidor DHCP en Switch_1 en la sede central
para asignar direcciones IP a los terminales en la sede central y la sucursal. Los segmentos de
red 10.1.1.0/24 y 10.2.1.0/24 están planificados para la sede central y la sucursal,
respectivamente.
Figura 7-7 Diagrama de redes para configurar el dispositivo como una retransmisión DHCP
Switch_2
GE1/0/0 GE2/0/0
VLANIF 10 VLANIF 20
20.1.1.2/24 30.1.1.1/24
GE1/0/0 GE1/0/0
VLANIF 10 VLANIF 20
20.1.1.1/24 Túnel Túnel 30.1.1.2/24
Switch_1 40.1.1.1/24 40.1.1.2/24 Switch_3
Servidor DHCP Retransmisión
Túnel GRE DHCP
GE2/0/0 GE2/0/0
VLANIF 30 10.1.1.1/24 VLANIF 30 10.2.1.1/24
LSW_1 LSW_2
NOTA
Use un switch de la serie S de Huawei como ejemplo para el servidor DHCP (Switch_1).
Configure los tipos de enlace de interfaz y las VLAN en LSW_1 y LSW_2 para implementar la comunicación
de Capa 2.
Procedimiento
Paso 1 Configure una dirección IP para cada interfaz física en Switch_1 a través de Switch_3.
# Configure Switch_1.
<Quidway> system-view
[Quidway] sysname Switch_1
[Switch_1] vlan batch 10 30
[Switch_1] interface gigabitethernet 1/0/0
[Switch_1-GigabitEthernet1/0/0] port link-type trunk
[Switch_1-GigabitEthernet1/0/0] port trunk allow-pass vlan 10
[Switch_1-GigabitEthernet1/0/0] quit
[Switch_1] interface gigabitethernet 2/0/0
[Switch_1-GigabitEthernet2/0/0] port link-type trunk
[Switch_1-GigabitEthernet2/0/0] port trunk allow-pass vlan 30
[Switch_1-GigabitEthernet2/0/0] quit
[Switch_1] interface vlanif 10
[Switch_1-Vlanif10] ip address 20.1.1.1 24
[Switch_1-Vlanif10] quit
[Switch_1] interface vlanif 30
[Switch_1-Vlanif30] ip address 10.1.1.1 24
[Switch_1-Vlanif30] quit
# Configure Switch_2.
<Quidway> system-view
[Quidway] sysname Switch_2
[Switch_2] vlan batch 10 20
[Switch_2] interface gigabitethernet 1/0/0
[Switch_2-GigabitEthernet1/0/0] port link-type trunk
[Switch_2-GigabitEthernet1/0/0] port trunk allow-pass vlan 10
[Switch_2-GigabitEthernet1/0/0] quit
[Switch_2] interface gigabitethernet 2/0/0
[Switch_2-GigabitEthernet2/0/0] port link-type trunk
[Switch_2-GigabitEthernet2/0/0] port trunk allow-pass vlan 20
[Switch_2-GigabitEthernet2/0/0] quit
[Switch_2] interface vlanif 10
[Switch_2-Vlanif10] ip address 20.1.1.2 24
[Switch_2-Vlanif10] quit
[Switch_2] interface vlanif 20
[Switch_2-Vlanif20] ip address 30.1.1.1 24
[Switch_2-Vlanif20] quit
# Configure Switch_3.
<Quidway> system-view
[Quidway] sysname Switch_3
[Switch_3] vlan batch 20 30
[Switch_3] interface gigabitethernet 1/0/0
[Switch_3-GigabitEthernet1/0/0] port link-type trunk
[Switch_3-GigabitEthernet1/0/0] port trunk allow-pass vlan 20
[Switch_3-GigabitEthernet1/0/0] quit
[Switch_3] interface gigabitethernet 2/0/0
[Switch_3-GigabitEthernet2/0/0] port link-type trunk
[Switch_3-GigabitEthernet2/0/0] port trunk allow-pass vlan 30
[Switch_3-GigabitEthernet2/0/0] quit
[Switch_3] interface vlanif 20
[Switch_3-Vlanif20] ip address 30.1.1.2 24
[Switch_3-Vlanif20] quit
[Switch_3] interface vlanif 30
[Switch_3-Vlanif30] ip address 10.2.1.1 24
[Switch_3-Vlanif30] quit
# Configure Switch_2.
[Switch_2] ospf 1
[Switch_2-ospf-1] area 0
[Switch_2-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255
[Switch_2-ospf-1-area-0.0.0.0] network 30.1.1.0 0.0.0.255
[Switch_2-ospf-1-area-0.0.0.0] quit
[Switch_2-ospf-1] quit
# Configure Switch_3.
[Switch_3] ospf 1
[Switch_3-ospf-1] area 0
[Switch_3-ospf-1-area-0.0.0.0] network 30.1.1.0 0.0.0.255
[Switch_3-ospf-1-area-0.0.0.0] quit
[Switch_3-ospf-1] quit
# Configure Switch_3.
[Switch_3] interface tunnel 1
[Switch_3-Tunnel1] tunnel-protocol gre
[Switch_3-Tunnel1] ip address 40.1.1.2 24
[Switch_3-Tunnel1] source 30.1.1.2
[Switch_3-Tunnel1] destination 20.1.1.1
[Switch_3-Tunnel1] quit
# Configure los terminales conectados a VLANIF30 para obtener direcciones IP del grupo de
direcciones global.
[Switch_1] interface vlanif 30
[Switch_1-Vlanif30] dhcp select global //Habilite la función del servidor DHCP
en función del grupo de direcciones global en la interfaz. Por defecto, la
función está deshabilitada.
[Switch_1-Vlanif30] quit
Paso 7 Configure cada terminal (usando el PC con Windows 7 como ejemplo) para obtener
automáticamente una dirección IP.
1. Haga clic con el botón derecho en Network y elija Properties para visualizar la ventana
Network and Sharing Center.
2. Haga clic en Local Area Connection para visualizar la ventana Local Area Connection
Status.
3. Haga clic en Properties para mostrar la ventana Local Area Connection Properties.
4. Seleccione Internet Protocol Version 4 (TCP/IPv4) y haga clic en Properties para
visualizar la ventana Internet Protocol Version 4 (TCP/IPv4) Properties. Seleccione
Obtain an IP address automatically, y haga clic en OK.
Paso 8 Verifique la configuración. A continuación, se usa la salida del comando en V200R010C00
como ejemplo.
# Ejecute el comando display dhcp relay interface vlanif 30 en Switch_3 para verificar la
configuración de la retransmisión DHCP.
[Switch_3] display dhcp relay interface vlanif 30
DHCP relay agent running information of interface Vlanif30 :
Server IP address [00] : 10.1.1.1
Gateway address in use : 10.2.1.1
# Ejecute el comando display ip pool en Switch_1 para verificar la asignación de direcciones
IP de pool1 y pool2. Por ejemplo, la sede central tiene 100 terminales y la sucursal tiene 50
terminales.
[Switch_1] display ip pool name pool1
Pool-name : pool1
Pool-No : 0
Lease : 1 Days 0 Hours 0 Minutes
Domain-name : -
DNS-server0 : -
NBNS-server0 : -
Netbios-type : -
Position : Local Status : Unlocked
Gateway-0 : 10.2.1.1
Network : 10.2.1.0
Mask : 255.255.255.0
VPN instance : --
Logging : Disable
Conflicted address recycle interval: -
Address Statistic: Total :253 Used :50
-------------------------------------------------------------------------------
Network section
Start End Total Used Idle(Expired) Conflict Disabled
-------------------------------------------------------------------------------
10.2.1.1 10.2.1.254 253 50 203(0) 0 0
-------------------------------------------------------------------------------
[Switch_1] display ip pool name pool2
Pool-name : pool2
Pool-No : 1
Lease : 1 Days 0 Hours 0 Minutes
Domain-name : -
DNS-server0 : -
NBNS-server0 : -
Netbios-type : -
Position : Local Status : Unlocked
Gateway-0 : 10.1.1.1
Network : 10.1.1.0
Mask : 255.255.255.0
VPN instance : --
Logging : Disable
Conflicted address recycle interval: -
Address Statistic: Total :253 Used :50
Idle :203 Expired :0
Conflict :0 Disable :0
-------------------------------------------------------------------------------
Network section
Start End Total Used Idle(Expired) Conflict Disabled
-------------------------------------------------------------------------------
10.1.1.1 10.1.1.254 253 100 153(0) 0 0
-------------------------------------------------------------------------------
----Fin
Archivos de configuración
l Archivo de configuración de Switch_1
#
sysname Switch_1
#
vlan batch 10 30
#
dhcp enable
#
ip pool pool1
gateway-list 10.2.1.1
network 10.2.1.0 mask 255.255.255.0
#
ip pool pool2
gateway-list 10.1.1.1
network 10.1.1.0 mask 255.255.255.0
#
interface Vlanif10
ip address 20.1.1.1 255.255.255.0
#
interface Vlanif30
ip address 10.1.1.1 255.255.255.0
dhcp select global
#
interface GigabitEthernet1/0/0
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet2/0/0
port link-type trunk
source 30.1.1.2
destination 20.1.1.1
#
ospf 1
area 0.0.0.0
network 30.1.1.0 0.0.0.255
#
ip route-static 10.1.1.0 255.255.255.0 Tunnel1
#
return
Notas de configuración
Este ejemplo se aplica a:
l Switches chasis: V200R005 y versiones posteriores
l Switches fijos: V100R006 y versiones posteriores
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra en Figura 7-8, Switch_1 funciona como el cliente DHCP para obtener
dinámicamente información que incluye la dirección IP, la dirección del servidor DNS y la
dirección del gateway del servidor DHCP (Switch_2).
Figura 7-8 Diagrama de redes para configurar un dispositivo como servidor DHCP
Gateway
192.168.1.126/24
Servidor DNS Switch_2
192.168.1.2/24 Servidor DHCP
GE1/0/1
VLANIF10
192.168.1.1/24
GE1/0/1
VLANIF10
Switch_1
Cliente DHCP
Procedimiento
Paso 1 Configure Switch_1 como el cliente DHCP.
# Cree VLAN 10 y agregue GE1/0/1 a VLAN 10.
<Quidway> system-view
[Quidway] sysname Switch_1
[Switch_1] vlan 10
[Switch_1-vlan10] quit
[Switch_1] interface gigabitethernet 1/0/1
[Switch_1-GigabitEthernet1/0/1] port link-type trunk
[Switch_1-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
[Switch_1-GigabitEthernet1/0/1] quit
Paso 2 Cree un grupo de direcciones global en Switch_2 y establezca los atributos correspondientes.
1. Habilite el servicio DHCP.
<Quidway> system-view
[Quidway] sysname Switch_2
[Switch_2] dhcp enable
#
interface Vlanif10
ip address dhcp-alloc
#
return
[Switch_1-Vlanif10] quit
# Después de que VLANIF 10 obtenga una dirección IP, ejecute el comando display dhcp
client en Switch_1 para ver el estado del cliente DHCP en VLANIF 10. A continuación se
usa la salida del comando en V200R011C10 como ejemplo.
[Switch_1] display dhcp client
DHCP client lease information on interface
Vlanif10 :
IP address :
192.168.1.162
Subnet mask :
255.255.255.0
Gateway ip address :
192.168.1.126
DHCP server :
192.168.1.1
DNS : 192.168.1.2
# En Switch_2, ejecute el comando display ip pool name pool1 para ver la asignación de
direcciones IP en el grupo de direcciones. El campo Used muestra la cantidad de direcciones
IP usadas en el grupo de direcciones. A continuación, se usa la salida del comando en
V200R011C10 como ejemplo.
[Switch_2] display ip pool name pool1
Pool-name : pool1
Pool-No : 0
Lease : 1 Days 0 Hours 0 Minutes
Domain-name : -
DNS-server0 : 192.168.1.2
NBNS-server0 : -
Netbios-type : -
Position : Local
Status : Unlocked
Gateway-0 : 192.168.1.126
Network : 192.168.1.0
Mask : 255.255.255.0
VPN instance : --
Logging : Disable
Conflicted address recycle interval: -
Address Statistic: Total :253 Used :1
Idle :251 Expired :0
Conflict :0 Disabled :1
-------------------------------------------------------------------------------
Network section
Start End Total Used Idle(Expired) Conflict Disabled
-------------------------------------------------------------------------------
192.168.1.1 192.168.1.254 253 1 251(0) 0 1
-------------------------------------------------------------------------------
----Fin
Archivos de configuración
l Archivo de configuración de Switch_1
#
sysname Switch_1
#
vlan batch 10
#
interface Vlanif10
ip address dhcp-alloc
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10
#
return
Notas de configuración
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra en Figura 7-9, un host en una empresa está dual-homed a SwitchA y
SwitchB a través de Switch. SwitchA funciona como servidor maestro DHCP para asignar
direcciones IP al host. Si falla el servidor maestro DHCP, un servidor DHCP de reserva debe
asignar una dirección IP al host.
Figura 7-9 Diagrama de redes para configurar un dispositivo como servidor DHCP
GE1/0/5
GE1/0/1
GE1/0/3
Switch
Cliente GE1/0/2
DHCP GE1/0/5
GE1/0/2
VLANIF100
10.1.1.129/24 SwitchB
Backup DHCP Server
Procedimiento
Paso 1 Configure la conectividad de la capa de red entre los dispositivos.
# Configure las direcciones IP para las interfaces que conectan SwitchA y SwitchB. SwitchA
se usa como ejemplo. La configuración en SwitchB es similar a la de SwitchA. Para más
detalles, vea el archivo de configuración de SwitchB.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 100
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port hybrid pvid vlan 100
[SwitchA-GigabitEthernet1/0/2] port hybrid untagged vlan 100
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface gigabitethernet 1/0/5
[SwitchA-GigabitEthernet1/0/5] port hybrid pvid vlan 100
[SwitchA-GigabitEthernet1/0/5] port hybrid untagged vlan 100
[SwitchA-GigabitEthernet1/0/5] quit
NOTA
Backup-forward : disabled
Create time : 2017-01-12 20:15:46
Last change time : 2017-01-12 20:15:46
IP address Statistic
Total :253
Used :1 Idle :125
Expired :0 Conflict :0 Disable :127
[SwitchB] display ip pool
-------------------------------------------------------------------------------
Pool-name : 1
Pool-No : 0
Lease : 10 Days 0 Hours 0 Minutes
Position : Local
Status : Unlocked
Gateway-0 : 10.1.1.111
Network : 10.1.1.0
Mask : 255.255.255.0
VPN instance : --
Conflicted address recycle interval: -
Address Statistic: Total :253 Used :0
Idle :125 Expired :0
Conflict :0 Disable :128
IP address Statistic
Total :253
Used :0 Idle :125
Expired :0 Conflict :0 Disable :128
# Ejecuta el comando display vrrp en SwitchA y SwitchB. La salida del comando muestra
que SwitchA es Initialize y SwitchB es Master en el grupo VRRP.
[SwitchA] display vrrp
Vlanif100 | Virtual Router 1
State : Initialize
Virtual IP : 10.1.1.111
Master IP : 0.0.0.0
PriorityRun : 120
PriorityConfig : 120
MasterPriority : 0
Preempt : YES Delay Time : 0 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Create time : 2017-01-12 20:15:46
Last change time : 2017-01-12 20:15:46
[SwitchB] display vrrp
Vlanif100 | Virtual Router 1
State : Master
Virtual IP : 10.1.1.111
Master IP : 10.1.1.129
PriorityRun : 100
PriorityConfig : 100
MasterPriority : 100
Preempt : YES Delay Time : 0 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Create time : 2017-01-12 20:15:46
Last change time : 2017-01-12 20:15:46
# Ejecute el comando display ip pool en SwitchB para ver la configuración del grupo de
direcciones.
[SwitchB] display ip pool
Pool-name : 1
Pool-No : 0
Lease : 10 Days 0 Hours 0 Minutes
Position : Local
Status : Unlocked
Gateway-0 : 10.1.1.111
Network : 10.1.1.0
Mask : 255.255.255.0
VPN instance : --
Conflicted address recycle interval: -
Address Statistic: Total :253 Used :1
Idle :124 Expired :0
Conflict :0 Disabled :128
IP address Statistic
Total :253
Used :1 Idle :124
Expired :0 Conflict :0 Disabled :128
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 100
#
dhcp enable
#
ip pool 1
gateway-list 10.1.1.111
network 10.1.1.0 mask 255.255.255.0
excluded-ip-address 10.1.1.1
excluded-ip-address 10.1.1.129 10.1.1.254
lease day 10 hour 0 minute 0
#
interface Vlanif100
ip address 10.1.1.1 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.1.111
vrrp vrid 1 priority 120
dhcp select global
#
interface GigabitEthernet1/0/2
port hybrid pvid vlan 100
port hybrid untagged vlan 100
#
interface GigabitEthernet1/0/5
port hybrid pvid vlan 100
port hybrid untagged vlan 100
#
return
l Archivo de configuración de SwitchB
#
sysname SwitchB
#
vlan batch 100
#
dhcp enable
#
ip pool 1
gateway-list 10.1.1.111
network 10.1.1.0 mask 255.255.255.0
excluded-ip-address 10.1.1.1 10.1.1.110
excluded-ip-address 10.1.1.112 10.1.1.129
lease day 10 hour 0 minute 0
#
interface Vlanif100
ip address 10.1.1.129 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.1.111
dhcp select global
#
interface GigabitEthernet1/0/2
port hybrid pvid vlan 100
port hybrid untagged vlan 100
#
interface GigabitEthernet1/0/5
port hybrid pvid vlan 100
port hybrid untagged vlan 100
#
return
l Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 100
#
stp enable
#
interface GigabitEthernet1/0/1
port hybrid pvid vlan 100
port hybrid untagged vlan 100
stp instance 0 cost 20000
#
interface GigabitEthernet1/0/2
port hybrid pvid vlan 100
port hybrid untagged vlan 100
#
interface GigabitEthernet1/0/3
Las rutas estáticas son generalmente instaladas para redes simples. Sin embargo, pueden
usarse en redes complejas para mejorar el rendimiento de la red y garantizar el ancho de
banda para aplicaciones importantes.
Notas de configuración
l La comunicación entre dos dispositivos es bidireccional, por lo que las rutas accesibles
deben estar disponibles en ambas direcciones. Para permitir que dos dispositivos se
comuniquen a través de rutas estáticas, configure una ruta estática en el dispositivo local
y luego configure una ruta de retorno en el dispositivo par.
l Si una red empresarial tiene dos salidas, se pueden configurar dos rutas estáticas de igual
costo para el equilibrio de carga. En este caso, se pueden configurar dos rutas estáticas
no equivalentes para la copia de seguridad activa/standby. Cuando el enlace activo es
defectuoso, el tráfico pasa del enlace activo al enlace standby.
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
Requisitos de redes
Como se muestra en Figura 8-1, los hosts en diferentes segmentos de red están conectados
mediante varios switches. Cada dos hosts en diferentes segmentos de red pueden comunicarse
mutualmente sin usar protocolos de enrutamiento dinámico.
Procedimiento
Paso 1 Crea VLAN y agregue interfaces a las VLAN.
# Configure SwitchA. Las configuraciones de SwitchB y SwitchC son similares.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 10 30
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type trunk
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 62/62/63 ms
----Fin
Archivos de configuración
l El Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 10 30
#
interface Vlanif10
ip address 10.1.4.1 255.255.255.252
#
interface Vlanif30
ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 30
#
ip route-static 0.0.0.0 0.0.0.0 10.1.4.2
#
return
Las rutas estáticas son generalmente instaladas para redes simples. Sin embargo, pueden
usarse en redes complejas para mejorar el rendimiento de la red y garantizar el ancho de
banda para aplicaciones importantes.
Notas de configuración
l La comunicación entre dos dispositivos es bidireccional, por lo que las rutas accesibles
deben estar disponibles en ambas direcciones. Para permitir que dos dispositivos se
comuniquen a través de rutas estáticas, configure una ruta estática en el dispositivo local
y luego configure una ruta de retorno en el dispositivo par.
l Si una red empresarial tiene dos salidas, se pueden configurar dos rutas estáticas de igual
costo para el equilibrio de carga. En este caso, se pueden configurar dos rutas estáticas
no equivalentes para la copia de seguridad activa/standby. Cuando el enlace activo es
defectuoso, el tráfico pasa del enlace activo al enlace standby.
l Tabla 8-1 enumera los productos aplicables y las versiones de este ejemplo de
configuración.
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
En la red que se muestra en Figura 8-2, PC1 y PC2 están conectados a través de cuatro
switches. El tráfico de datos se puede transmitir desde PC1 a PC2 a través de dos enlaces:
PC1->SwitchA->SwitchB->SwitchC->PC2 y PC1->SwitchA->SwitchD->SwitchC->PC2.
Para mejorar la eficacia del enlace, los usuarios desean desplegar el equilibrio de carga entre
los dos enlaces. Es decir, el tráfico de PC1 a PC2 está equilibrado igualmente entre los dos
enlaces. Cuando ocurren fallas en uno de los dos enlaces, el tráfico se cambia
automáticamente al otro enlace.
NOTA
En este escenario, asegúrese de que todas las interfaces conectadas tengan STP deshabilitado. Si STP
está habilitado y las interfaces VLANIF de los switches se utilizan para construir una red de anillo de
Capa 3, una interfaz en la red se bloqueará. Como resultado, los servicios de Capa 3 en la red no pueden
ejecutarse normalmente.
GE1/0/1 GE1/0/2
VLANIF400 VLANIF300
192.168.14.2/24 192.168.34.2/24
SwitchD
Procedimiento
Paso 1 Especifique las VLAN a las que pertenecen las interfaces.
# Configure SwitchA. Las configuraciones de SwitchB y SwitchC, y SwitchD son similares.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 10 100 400
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type access
[SwitchA-GigabitEthernet1/0/1] port default vlan 10
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type trunk
[SwitchA-GigabitEthernet1/0/2] port trunk allow-pass vlan 100
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface gigabitethernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] port link-type trunk
[SwitchA-GigabitEthernet1/0/3] port trunk allow-pass vlan 400
[SwitchA-GigabitEthernet1/0/3] quit
# Configure SwitchB.
[SwitchB] ip route-static 10.1.2.0 24 192.168.23.2
# Configure SwitchD.
[SwitchD] ip route-static 10.1.2.0 24 192.168.34.1
# Configure SwitchB.
[SwitchB] ip route-static 10.1.1.0 24 192.168.12.1
# Configure SwitchD.
La tabla de enrutamiento de IP en SwitchA contiene dos rutas de igual costo para el segmento
de red 10.1.2.0/24. En esta situación, el tráfico de datos se equilibra igualmente entre dos
enlaces diferentes, logrando el equilibrio de carga.
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 10 100 400
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif100
ip address 192.168.12.1 255.255.255.0
#
interface Vlanif400
ip address 192.168.14.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 100
#
interface GigabitEthernet1/0/3
port link-type trunk
port trunk allow-pass vlan 400
#
ip route-static 10.1.2.0 255.255.255.0 192.168.12.2
interface Vlanif400
ip address 192.168.14.2 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 400
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 300
#
ip route-static 10.1.1.0 255.255.255.0 192.168.14.1
ip route-static 10.1.2.0 255.255.255.0 192.168.34.1
#
return
Las rutas estáticas son generalmente instaladas para redes simples. Sin embargo, pueden
usarse en redes complejas para mejorar el rendimiento de la red y garantizar el ancho de
banda para aplicaciones importantes.
Notas de configuración
l La comunicación entre dos dispositivos es bidireccional, por lo que las rutas accesibles
deben estar disponibles en ambas direcciones. Para permitir que dos dispositivos se
comuniquen a través de rutas estáticas, configure una ruta estática en el dispositivo local
y luego configure una ruta de retorno en el dispositivo par.
l Si una red empresarial tiene dos salidas, se pueden configurar dos rutas estáticas de igual
costo para el equilibrio de carga. En este caso, se pueden configurar dos rutas estáticas
no equivalentes para la copia de seguridad activa/standby. Cuando el enlace activo es
defectuoso, el tráfico pasa del enlace activo al enlace standby.
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
Requisitos de redes
En la red que se muestra en Figura 8-3, PC1 y PC2 están conectados a través de cuatro
switches. El tráfico de datos de PC1 puede llegar a PC2 a través de dos enlaces: PC1-
>SwitchA->SwitchB->SwitchC->PC2 y PC1->SwitchA->SwitchD->SwitchC->PC2. Para
mejorar la fiabilidad, los usuarios desean desplegar una copia de seguridad entre los dos
enlaces. Es decir, el tráfico de PC1 a PC2 se transmite primero a través del enlace que pasa
por SwitchB. Cuando se producen fallas en este enlace, el tráfico se cambia automáticamente
al enlace que pasa por SwitchD.
NOTA
En este escenario, asegúrese de que todas las interfaces conectadas tengan STP deshabilitado. Si STP
está habilitado y las interfaces VLANIF de los switches se utilizan para construir una red de anillo de
Capa 3, una interfaz en la red se bloqueará. Como resultado, los servicios de Capa 3 en la red no pueden
ejecutarse normalmente.
GE1/0/1 GE0/0/2
VLANIF400 VLANIF300
192.168.14.2/24 192.168.34.2/24
SwitchD
1. Crea VLAN, agregue interfaces a las VLAN y asigne direcciones IP a las interfaces
VLANIF.
2. Configure las rutas estáticas en dos direcciones de tráfico de datos.
3. Configure la dirección IP y las puertas de enlace predeterminadas para los hosts.
Procedimiento
Paso 1 Especifique las VLAN a las que pertenecen las interfaces.
# Configure SwitchB.
[SwitchB] ip route-static 10.1.2.0 24 192.168.23.2
# Configure SwitchD.
[SwitchD] ip route-static 10.1.2.0 24 192.168.34.1
Paso 4 Configure las rutas estáticas desde PC2 a PC1 y asegúrese de que los enlaces activos y
standby en dos direcciones sean los mismos.
# En SwitchC, configure dos rutas estáticas con diferentes prioridades. El siguiente salto de
una ruta apunta a SwitchB, y la de la otra ruta apunta a SwitchD. Posteriormente, el tráfico de
datos se reenvía primero a SwitchB. Cuando ocurren fallas en el enlace que pasa por SwitchB,
el tráfico cambia automáticamente a SwitchD.
[SwitchC] ip route-static 10.1.1.0 24 192.168.23.1
[SwitchC] ip route-static 10.1.1.0 24 192.168.34.2 preference 70
# Configure SwitchB.
[SwitchB] ip route-static 10.1.1.0 24 192.168.12.1
# Configure SwitchD.
[SwitchD] ip route-static 10.1.1.0 24 192.168.14.1
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 9 Routes : 9
Destination: 10.1.2.0/24
Protocol: Static Process ID: 0
Preference: 60 Cost: 0
NextHop: 192.168.12.2 Neighbour: 0.0.0.0
State: Active Adv Relied Age: 00h13m13s
Tag: 0 Priority: medium
Label: NULL QoSInfo: 0x0
IndirectID: 0x80000001
RelayNextHop: 0.0.0.0 Interface: Vlanif100
TunnelID: 0x0 Flags: RD
Destination: 10.1.2.0/24
Protocol: Static Process ID: 0
Preference: 70 Cost: 0
NextHop: 192.168.14.2 Neighbour: 0.0.0.0
State: Inactive Adv Relied Age: 00h00m45s
Tag: 0 Priority: medium
Label: NULL QoSInfo: 0x0
IndirectID: 0x80000002
RelayNextHop: 0.0.0.0 Interface: Vlanif400
TunnelID: 0x0 Flags: R
La tabla de enrutamiento de IP en SwitchA contiene solo una ruta activa al segmento de red
10.1.2.0/24. Normalmente, el tráfico de datos desde PC1 a PC2 se transmite a través del
enlace que pasa por SwitchB. La información detallada sobre la tabla de enrutamiento de IP
eSwitchA muestra dos rutas al segmento de red 10.1.2.0/24: una ruta Active que pasa por
SwitchB y la otra ruta Inactive que pasa por SwitchD. Cuando se producen fallas en el enlace
activo, la ruta Inactive activará para controlar el tráfico. Esto despliega la copia de seguridad
del enlace.
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 10 100 400
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif100
ip address 192.168.12.1 255.255.255.0
#
interface Vlanif400
ip address 192.168.14.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 100
#
interface GigabitEthernet1/0/3
port link-type trunk
port trunk allow-pass vlan 400
#
ip route-static 10.1.2.0 255.255.255.0 192.168.12.2
ip route-static 10.1.2.0 255.255.255.0 192.168.14.2 preference 70
#
return
l El archivo de configuración SwitchB
#
sysname SwitchB
#
vlan batch 100 200
#
interface Vlanif100
ip address 192.168.12.2 255.255.255.0
#
interface Vlanif200
ip address 192.168.23.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 100
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 200
#
ip route-static 10.1.1.0 255.255.255.0 192.168.12.1
ip route-static 10.1.2.0 255.255.255.0 192.168.23.2
#
return
l El archivo de configuración SwitchC
#
sysname SwitchC
#
vlan batch 20 200 300
#
interface Vlanif20
ip address 10.1.2.1 255.255.255.0
#
interface Vlanif200
ip address 192.168.23.2 255.255.255.0
#
interface Vlanif300
ip address 192.168.34.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 20
#
interface GigabitEthernet1/0/2
port link-type trunk
Notas de configuración
l La función NQA del switch está controlado por licencia. Si la licencia no está disponible,
los comandos NQA se pueden ejecutar, pero la función NQA no tiene efecto.
l Productos y versiones aplicables: V200R003C00 y versiones posteriores
Requisitos de redes
En una red de empresa que se muestra en Figura 8-4, los switches de acceso SwitchD y
SwitchE se conectan a los switches de agregación SwitchB y SwitchC en modo de doble
inicio a través de estática rutas para desplegar la redundancia. Los requisitos son los
siguientes:
l Se despliegue un mecanismo de detección para las rutas estáticas para que las rutas
estáticas puedan detectar fallas en los enlaces y el tráfico pueda pasar de un enlace
defectuoso para evitar interrupciones prolongadas del servicio.
l En casos normales, el tráfico se transmite a lo largo del enlace principal SwitchB-
>SwitchD.
l Si se produce un error en el enlace primario, el tráfico cambia al enlace de copia de
seguridad SwitchC->SwitchD.
NOTA
En este escenario, asegúrese de que todas las interfaces conectadas tengan STP deshabilitado. Si STP
está habilitado y las interfaces VLANIF de los switches se utilizan para construir una red de anillo de
Capa 3, una interfaz en la red se bloqueará. Como resultado, los servicios de Capa 3 en la red no pueden
ejecutarse normalmente.
Red IP
SwitchA
VLANIF30 VLANIF40
GE1/0/1 GE1/0/2
VLANIF30 VLANIF40
SwitchB GE1/0/1 GE1/0/1 SwitchC
VLANIF10 VLANIF20
VL 0
GE1/0/3 F6 GE1/0/3
AN
ANI 0/2
GE IF5 VL E1 /
1/0 0 G
/2
VLANIF10 0 VL VLANIF20
F6 AN
GE1/0/1 A NI 0/2 GE IF5 GE1/0/1
VL E1/ ...... 1/0 0
G /2
VLANIF70 VLANIF80
GE1/0/4
G
GE1/0/4
0/
E1
/
E1
/
SwitchD
0/
SwitchE
G
3
...... ......
VLANIF 30 192.168.3.1/24
SwitchA
VLANIF 40 192.168.4.1/24
VLANIF 30 192.168.3.2/24
VLANIF 10 192.168.1.1/24
VLANIF 40 192.168.4.2/24
VLANIF 20 192.168.2.1/24
VLANIF 10 192.168.1.2/24
VLANIF 70 192.168.7.1/24
VLANIF 20 192.168.2.2/24
VLANIF 80 192.168.8.1/24
1. Crea una instancia de prueba NQA del Protocolo de mensajes de control de Internet
(ICMP) para supervisar el estado del enlace principal.
Crea una instancia de prueba ICMP NQA en el cliente NQA SwitchB para comprobar si
el enlace principal SwitchB->Switch se está ejecutando correctamente.
2. Configure rutas estáticas y asocie las rutas estáticas con la instancia de prueba NQA.
Configure las rutas estáticas en los switches de agregación SwitchB y SwitchC, y asocie
la estática ruta configurada en SwitchB con la instancia de prueba ICMP NQA. Cuando
la instancia de prueba ICMP NQA detecta un error de enlace, instruye al módulo de
gestión de enrutamiento para eliminar la ruta estática asociada de la tabla de
enrutamiento IPv4.
3. Configure un protocolo de enrutamiento dinámico.
Configure un protocolo de enrutamiento dinámico en los switches de agregación
SwitchA, SwitchB, y SwitchC para que puedan aprenderse rutas entre sí.
4. Configure el protocolo de enrutamiento dinámico para importar rutas estáticas y
establezca un mayor costo para la ruta estática utilizada para el enlace de copia de
seguridad que para la ruta estática utilizada para el enlace principal a mejorar la
confiabilidad del enlace.
Configure el protocolo de enrutamiento dinámico en los switches de agregación SwitchB
y SwitchC para importar estática rutas, y establezca un costo mayor para la ruta estática
importada por SwitchC que para la ruta estática importada por SwitchB. Esta
configuración permite que SwitchA seleccione preferentemente el enlace SwitchB-
>SwitchD con un costo menor.
Procedimiento
Paso 1 Configure las VLAN a las que pertenece cada interfaz.
Paso 3 Crea una instancia de prueba NQA en SwitchB para probar el enlace entre SwitchB y
SwitchD.
[SwitchB] nqa test-instance user test //Cree la instancia de prueba NQA con el
nombre de administrador user y nombre de instancia test.
[SwitchB-nqa-user-test] test-type icmp //Establezca el tipo de prueba de la
instancia de prueba NQA en ICMP.
[SwitchB-nqa-user-test] destination-address ipv4 192.168.1.2 //Configure la
dirección de destino de la instancia de prueba NQA en 192.168.1.2.
[SwitchB-nqa-user-test] frequency 20 //Establezca el intervalo de instancias de
prueba NQA periódicas en 20 segundos.
[SwitchB-nqa-user-test] probe-count 2 //Establezca el número de sondeos en 2
que se enviarán cada vez en la instancia de prueba NQA.
[SwitchB-nqa-user-test] interval seconds 5 //Establezca el intervalo en el que
los paquetes de sondeo se envían en la instancia de prueba NQA en 5 segundos.
[SwitchB-nqa-user-test] timeout 4 //Establezca el período de tiempo de espera
de un sondeo en la instancia de prueba NQA en 4 segundos.
[SwitchB-nqa-user-test] start now
[SwitchB-nqa-user-test] quit
# Configure una ruta estática IPv4 en SwitchB y asóciela con la instancia de prueba NQA.
[SwitchB] ip route-static 192.168.7.0 255.255.255.0 Vlanif 10 192.168.1.2 track
nqa user test
# Configure OSPF en SwitchC para importar una ruta estática y establezca el costo en 20 para
la ruta estática.
[SwitchC] ospf 1
[SwitchC-ospf-1] import-route static cost 20
[SwitchC-ospf-1] quit
El resultado del comando muestra "Lost packet ratio: 0 % ", lo que indica que el enlace se está
ejecutando correctamente.
# Compruebe la tabla de enrutamiento IP en SwitchB.
[SwitchB] display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 10 Routes : 10
El resultado del comando muestra que existe una ruta a 192.168.7.0/24 en la tabla de
enrutamiento. La dirección del siguiente salto de la ruta es 192.168.3.2 y el costo es 10. El
tráfico se transmite preferentemente a lo largo del enlace SwitchB->SwitchD.
# Apague GigabitEthernet1/0/3 on SwitchB para simular un error de enlace.
[SwitchB] interface GigabitEthernet1/0/3
[SwitchB-GigabitEthernet1/0/3] shutdown
[SwitchB-GigabitEthernet1/0/3] quit
El resultado del comando muestra "Completion: failed" y "Lost packet ratio: 100 % ", lo que
indica que el enlace se está ejecutando defectuosamente.
# Compruebe la tabla de enrutamiento IP en SwitchB.
[SwitchB] display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 8 Routes : 8
La ruta estática se ha asociado con la instancia de prueba NQA en SwitchB. Si NQA detecta
un error de enlace, notifica rápidamente SwitchB que la ruta estática asociada no está
disponible. SwitchA no puede aprender la ruta a 192.168.7.0/24 desdeSwitchB. Sin embargo,
SwitchA puede aprender la ruta a 192.168.7.0/24 desde SwitchC. La dirección del próximo
salto de la ruta es 192.168.4.2 y el costo es 20. El tráfico cambia al enlace SwitchC-
>SwitchD.
----Fin
Archivos de configuración
l El Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 30 40
#
interface Vlanif30
ip address 192.168.3.1 255.255.255.0
#
interface Vlanif40
ip address 192.168.4.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 30
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 40
#
ospf 1 router-id 10.1.1.1
area 0.0.0.0
network 192.168.3.0 0.0.0.255
network 192.168.4.0 0.0.0.255
#
return
vlan batch 20 50 80
#
interface Vlanif20
ip address 192.168.2.2 255.255.255.0
#
interface Vlanif50
ip address 192.168.5.2 255.255.255.0
#
interface Vlanif80
ip address 192.168.8.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 20
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 50
#
interface GigabitEthernet1/0/4
port link-type trunk
port trunk allow-pass vlan 80
#
return
Notas de configuración
l Por defecto, EFM está desactivado en global y en las interfaces.
l Después de habilitar EFM OAM en una interfaz, la interfaz comienza a enviar PDU
OAM para realizar la detección de enlace EFM punto a punto. La detección de enlace
EFM se puede implementar entre dos interfaces solo después de habilitar EFM OAM en
la interfaz de igual.
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
Requisitos de redes
Como se muestra en Figura 8-5, SwitchA se conecta al NMS en un segmento de red a través
de SwitchB. SwitchA y SwitchB necesita detectar la calidad del enlace en tiempo real.
Cuando el enlace entre ellos se vuelve defectuoso, la ruta estática correspondiente se elimina
de la tabla de enrutamiento IP. Luego, el tráfico cambia del enlace defectuoso a una ruta
normal para mejorar la confiabilidad de la red.
Figura 8-5 Redes para configurar EFM para una ruta estática IPv4
GE1/0/1 GE1/0/2
VLANIF10 VLANIF20
192.168.1.1/24 192.168.2.2/24
GE1/0/1 192.168.2.1/24
SwitchA VLANIF10 SwitchB NMS
192.168.1.2/24
Procedimiento
Paso 1 Especifique la VLAN a la que pertenecen las interfaces.
# Configure SwitchA. Las configuraciones de SwitchB es similar.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan 10
[SwitchA-vlan10] quit
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type trunk
[SwitchA-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
[SwitchA-GigabitEthernet1/0/1] quit
# Ejecute el comando display efm session all en SwitchA. El resultado del comando muestra
que el estado del protocolo EFM OAM es discovery, que indica que la interfaz está en estado
de descubrimiento de OAM.
[SwitchA] display efm session all
Interface EFM State Loopback Timeout
----------------------------------------------------------------------
GigabitEthernet1/0/1 discovery --
# Ejecute el comando display efm session all en SwitchA. El resultado del comando muestra
que el estado del protocolo EFM OAM es detect, lo que indica que la interfaz está en el
estado de apretón de manos de nuevo.
[SwitchA] display efm session all
Interface EFM State Loopback Timeout
----------------------------------------------------------------------
GigabitEthernet1/0/1 detect --
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 10
#
efm enable
#
interface Vlanif10
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10
efm enable
#
ip route-static 192.168.2.0 255.255.255.0 192.168.1.2 track efm-state
GigabitEthernet1/0/1
#
return
#
vlan batch 10 20
#
efm enable
#
interface Vlanif10
ip address 192.168.1.2 255.255.255.0
#
interface Vlanif20
ip address 192.168.2.2 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10
efm enable
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 20
#
return
Notas de configuración
l Cada ID de router en un proceso de OSPF debe ser exclusivo en una red de OSPF. De lo
contrario, la relación de vecinos de OSPF no se puede establecer y la información de
enrutamiento es incorrecta. Se le recomienda configurar un ID de router exclusivo para
cada proceso de OSPF en un dispositivo de OSPF.
l OSPF divide un AS en diferentes áreas, entre las cuales la area 0 es la troncal. OSPF
requiere que todas las áreas que no son troncales mantengan la conectividad con el área
troncal y los dispositivos en la área troncal mantengan la conectividad entre sí.
l Los tipos de red de interfaces en ambos extremos de un enlace deben ser iguales; de lo
contrario, las dos interfaces no pueden establecer una relación de vecino OSPF. En un
enlace, si el tipo de red de una interfaz OSPF es difusión y el otro es P2P, las dos
interfaces OSPF aún pueden establecer una relación de vecino OSPF pero no pueden
aprender la información de enrutamiento entre sí.
l Las máscaras de direcciones IP de las interfaces OSPF en ambos extremos de un enlace
deben ser las mismas; de lo contrario, las dos interfaces OSPF no pueden establecer una
relación de vecino OSPF. Sin embargo, en una red P2MP, puede ejecutar el comando
ospf p2mp-mask-ignore para deshabilitar que un dispositivo verifique la máscara de
red, de modo que se pueda establecer una relación de vecino OSPF.
l En una red de difusión o NBMA, se debe haber al menos una interfaz OSPF cuya
prioridad de DR no sea 0 para garantizar que se pueda elegir el DR. De lo contrario, el
estado vecino de los dispositivos en ambos extremos solo puede ser 2-Way.
l Tabla 8-2 enumera los productos aplicables y las versiones de este ejemplo de
configuración.
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra en Figura 8-6, SwitchA, SwitchB, ySwitchC que residen en la red de OSPF.
Los tres switches deben comunicarse entre sí, y SwitchA y SwitchB funcionan como switches
centrales para admitir la expansión de la red.
Procedimiento
Paso 1 Especifique las VLAN a las que pertenecen las interfaces.
# Configure SwitchA. Las configuraciones de SwitchB y SwitchC son similares.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 10 20
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type trunk
[SwitchA-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type trunk
[SwitchA-GigabitEthernet1/0/2] port trunk allow-pass vlan 20
[SwitchA-GigabitEthernet1/0/2] quit
# Configure SwitchB.
[SwitchB] ospf 1 router-id 10.2.2.2
[SwitchB-ospf-1] area 0
[SwitchB-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255
[SwitchB-ospf-1-area-0.0.0.0] return
# Configure SwitchC.
[SwitchC] ospf 1 router-id 10.3.3.3
[SwitchC-ospf-1] area 1
[SwitchC-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255
[SwitchC-ospf-1-area-0.0.0.1] return
Neighbors
Total Nets: 2
Intra Area: 1 Inter Area: 1 ASE: 0 NSSA: 0
La salida del comando anterior muestra que SwitchC tiene una ruta a 192.168.0.0/24 y ella es
una ruta entre áreas.
Total Nets: 2
Intra Area: 1 Inter Area: 1 ASE: 0 NSSA: 0
La salida del comando anterior muestra que SwitchB tiene una ruta a 192.168.1.0/24 y ella es
una ruta entre áreas.
# En SwitchB, realice una operación de ping para probar la conectividad entre SwitchB y
SwitchC.
<SwitchB> ping 192.168.1.2
PING 192.168.1.2: 56 data bytes, press CTRL_C to break
Reply from 192.168.1.2: bytes=56 Sequence=1 ttl=254 time=62 ms
Reply from 192.168.1.2: bytes=56 Sequence=2 ttl=254 time=16 ms
Reply from 192.168.1.2: bytes=56 Sequence=3 ttl=254 time=62 ms
Reply from 192.168.1.2: bytes=56 Sequence=4 ttl=254 time=94 ms
Reply from 192.168.1.2: bytes=56 Sequence=5 ttl=254 time=63 ms
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 10 20
#
interface Vlanif10
ip address 192.168.0.1 255.255.255.0
#
interface Vlanif20
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 20
#
ospf 1 router-id 10.1.1.1
area 0.0.0.0
network 192.168.0.0 0.0.0.255
area 0.0.0.1
network 192.168.1.0 0.0.0.255
#
return
Notas de configuración
l El área troncal no se puede configurar como una área de stub.
l Un ASBR no puede existir en un área de stub. Es decir, las rutas externas no se anuncian
en un área de stub.
l Un enlace virtual no puede pasar a través de una área de stub.
l Para configurar una área como una área de stub, configure los atributos de área de stub
en todos los routers en esta área usando el comando stub.
l Para configurar un área como un área de stub totalmente, ejecute el comando stub en
todos los routers en esta área y ejecute el comando stub no-summary en el ABR en esta
área.
l El comando stub no-summary solo se puede configurar en un ABR para evitar que el
ABR publique LSA de tipo 3 dentro de un área de stub. Después de configurar este
comando en el ABR, el área se convierte en un área de stub totalmente, se reduce el
número de entradas de enrutamiento en los routers en el área, y solo hay rutas dentro del
área y una ruta predeterminada anunciada por el ABR.
l Tabla 8-3 enumera los productos aplicables y las versiones de este ejemplo de
configuración.
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra en Figura 8-7, SwitchA, SwitchB, y SwitchC ejecute el OSPF, y la red
OSPF se divide en Área 0 y Área 1.SwitchB funciona como un ASBR para comunicarse con
redes externas. El tamaño de la tabla de enrutamiento de OSPF en SwitchC debe reducirse sin
afectar la comunicación.
Figura 8-7 Diagrama de red para la configuración del área de stub de OSPF
SwitchA
192.168.1.2/24 192.168.0.2/24
VLANIF20 Area1 Area0 VLANIF10 ASBR
GE1/0/1 GE1/0/1
GE1/0/2 GE1/0/1
SwitchC VLANIF20 VLANIF10 SwitchB
192.168.1.1/24 192.168.0.1/24
Stub
Procedimiento
Paso 1 Especifique las VLAN a las que pertenecen las interfaces.
# Configure SwitchA. Las configuraciones de SwitchB y SwitchC son similares.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 10 20
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type trunk
[SwitchA-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type trunk
[SwitchA-GigabitEthernet1/0/2] port trunk allow-pass vlan 20
[SwitchA-GigabitEthernet1/0/2] quit
# Configure SwitchA.
[SwitchA] ospf 1 router-id 10.1.1.1
[SwitchA-ospf-1] area 0
[SwitchA-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] quit
[SwitchA-ospf-1] area 1
[SwitchA-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.1] quit
[SwitchA-ospf-1] quit
# Configure SwitchB.
[SwitchB] ospf 1 router-id 10.2.2.2
[SwitchB-ospf-1] area 0
[SwitchB-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255
[SwitchB-ospf-1-area-0.0.0.0] quit
[SwitchB-ospf-1] quit
# Configure SwitchC.
[SwitchC] ospf 1 router-id 10.3.3.3
[SwitchC-ospf-1] area 1
[SwitchC-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255
[SwitchC-ospf-1-area-0.0.0.1] quit
[SwitchC-ospf-1] quit
Total Nets: 3
Intra Area: 1 Inter Area: 1 ASE: 1 NSSA: 0
# Configure SwitchA.
[SwitchA] ospf 1
[SwitchA-ospf-1] area 1
[SwitchA-ospf-1-area-0.0.0.1] stub //Configure el Área 1 como un área de stub.
Todos los routers en el Área 1 deben tener configurado el comando stub.
[SwitchA-ospf-1-area-0.0.0.1] quit
[SwitchA-ospf-1] quit
# Configure SwitchC.
[SwitchC] ospf 1
[SwitchC-ospf-1] area 1
[SwitchC-ospf-1-area-0.0.0.1] stub //Configure el Área 1 como un área de stub.
Todos los routers en el Área 1 deben tener configurado el comando stub.
[SwitchC-ospf-1-area-0.0.0.1] quit
[SwitchC-ospf-1] quit
Total Nets: 3
Intra Area: 1 Inter Area: 2 ASE: 0 NSSA: 0
Total Nets: 2
Intra Area: 1 Inter Area: 1 ASE: 0 NSSA: 0
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 10 20
#
interface Vlanif10
Una NSSA permite que se anuncien LSA de Tipo 7 (LSA externas de NSSA). Las LSA de
Tipo 7 son generadas por ASBR de la NSSA. Al alcanzar el ABR de NSSA, estos LSA se
pueden traducir en LSA de tipo 5 (LSA externas de AS) y publicitarse en otras áreas.
Notas de configuración
l El área troncal no se puede configurar como una NSSA.
l Para configurar un área como una NSSA, configure los atributos de NSSA en todos los
routers en esta área.
l Un enlace virtual no puede pasar a través de una NSSA.
l Para reducir el número de LSA que se transmiten a NSSA, configure no-summary en un
ABR. Esto evita que el ABR transmita LSA de Tipo 3 a la NSSA, lo que hace que el área
sea totalmente NSSA.
l Tabla 8-4 enumera los productos aplicables y las versiones de este ejemplo de
configuración.
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra que en Figura 8-8, SwitchA, SwitchB, SwitchC, y SwitchD ejecutan OSPF
y la red OSPF está dividida en Area 0 y Area 1. Los dispositivos en el Area 1 deben prohibir
recibir rutas externas importadas de otras áreas y comunicarse con redes externas utilizando
las rutas externas importadas por ASBR en el Area 1. SwitchB transmite muchos servicios,
por eso SwitchA debe traducir LSA de Tipo 7 a LSA de Tipo 5 y enviar las LSA a otras áreas
OSPF.
NOTA
En este escenario, asegúrese de que todas las interfaces conectadas tengan STP deshabilitado. Si STP
está habilitado y las interfaces VLANIF de los switches se utilizan para construir una red de anillo de
Capa 3, una interfaz en la red se bloqueará. Como resultado, los servicios de Capa 3 en la red no pueden
ejecutarse normalmente.
Procedimiento
Paso 1 Especifique las VLAN a las que pertenecen las interfaces.
# Configure SwitchB.
[SwitchB] ospf 1 router-id 10.2.2.2
[SwitchB-ospf-1] area 0
[SwitchB-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255
[SwitchB-ospf-1-area-0.0.0.0] quit
[SwitchB-ospf-1] area 1
[SwitchB-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255
[SwitchB-ospf-1-area-0.0.0.1] quit
[SwitchB-ospf-1] quit
# Configure SwitchC.
[SwitchC] ospf 1 router-id 10.3.3.3
[SwitchC-ospf-1] area 0
[SwitchC-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[SwitchC-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255
[SwitchC-ospf-1-area-0.0.0.0] quit
[SwitchC-ospf-1] quit
# Configure SwitchD.
[SwitchD] ospf 1 router-id 10.4.4.4
[SwitchD-ospf-1] area 1
[SwitchD-ospf-1-area-0.0.0.1] network 192.168.3.0 0.0.0.255
[SwitchD-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255
[SwitchD-ospf-1-area-0.0.0.1] quit
[SwitchD-ospf-1] quit
# Configure SwitchB.
[SwitchB] ospf 1
[SwitchB-ospf-1] area 1
[SwitchB-ospf-1-area-0.0.0.1] nssa //Configure el Area 1 como NSSA. Todos los
dispositivos en el Area 1 deben tener el comando nssa configurado.
[SwitchB-ospf-1-area-0.0.0.1] quit
[SwitchB-ospf-1] quit
# Configure SwitchD.
[SwitchD] ospf 1
[SwitchD-ospf-1] area 1
[SwitchD-ospf-1-area-0.0.0.1] nssa //Configure el Area 1 como NSSA. Todos los
dispositivos en el Area 1 deben tener el comando nssa configurado.
[SwitchD-ospf-1-area-0.0.0.1] quit
[SwitchD-ospf-1] quit
Total Nets: 5
Intra Area: 2 Inter Area: 2 ASE: 1 NSSA: 0
El resultado del comando muestra que las rutas externas de AS importadas en la NSSA se
anuncian por SwitchB a otras áreas. Es decir, SwitchB traduce LSA de Tipo 7 a LSA de Tipo
5. Esto se debe a que OSPF selecciona el ABR con un ID de router más grande como un
traductor LSA.
Paso 6 Configure SwitchA como un traductor LSA.
[SwitchA] ospf 1
[SwitchA-ospf-1] area 1
[SwitchA-ospf-1-area-0.0.0.1] nssa translator-always
[SwitchA-ospf-1-area-0.0.0.1] quit
[SwitchA-ospf-1] quit
Total Nets: 5
Intra Area: 2 Inter Area: 2 ASE: 1 NSSA: 0
El resultado del comando muestra que las rutas externas de AS importadas en la NSSA son
anunciadas por SwitchA a otras áreas. Es decir, SwitchA traduce LSA de tipo 7 a LSA de tipo
5.
NOTA
Por defecto, el nuevo traductor LSA funciona con el traductor LSA anterior para traducir los LSA
durante 40 segundos. Después de 40 segundos, solo el nuevo traductor LSA traduce los LSA.
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 10 30
#
interface Vlanif10
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif30
ip address 192.168.3.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 30
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 10
#
ospf 1 router-id 10.1.1.1
area 0.0.0.0
network 192.168.1.0 0.0.0.255
area 0.0.0.1
network 192.168.3.0 0.0.0.255
nssa translator-always
#
return
En una red OSPF, pueden existir múltiples rutas de igual costo entre dos elementos de red
(NE), mientras que una ruta única lleva todo el tráfico de servicio. Los usuarios requieren que
todo el tráfico del servicio se equilibre en varias rutas para mejorar la confiabilidad de la red y
el uso de los recursos. En este caso, OSPF se puede configurar.
Notas de configuración
l El número máximo de rutas de igual costo para el equilibrio de carga se puede configurar
utilizando el comando maximum load-balancing.
l Para cancelar el equilibrio de carga, puede establecer el número máximo de rutas de
igual costo en 1.
l Tabla 8-5 enumera los productos aplicables y las versiones de este ejemplo de
configuración.
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra en Figura 8-9, todos los cuatro switches pertenecen a Area0 en la red
OSPF. El equilibrio de carga debe configurarse para que el tráfico de SwitchA se envíe a
SwitchD a través de SwitchB y SwitchC.
NOTA
En este escenario, asegúrese de que todas las interfaces conectadas tengan STP deshabilitado. Si STP
está habilitado y las interfaces VLANIF de los switches se utilizan para construir una red de anillo de
Capa 3, una interfaz en la red se bloqueará. Como resultado, los servicios de Capa 3 en la red no pueden
ejecutarse normalmente.
Figura 8-9 Diagrama de redes para configurar el equilibrio de carga entre las rutas de OSPF
SwitchB
10.1.1.2/24 192.168.0.1/24
VLANIF10 VLANIF30
GE1/0/1 GE1/0/2
172.16.1.1/24 172.17.1.1/24
VLANIF50 GE1/0/1 GE1/0/1 VLANIF60
GE1/0/3 VLANIF10 VLANIF30 GE1/0/3
10.1.1.1/24 192.168.0.2/24
SwitchA SwitchD
GE1/0/2 Area0 GE1/0/2
VLANIF20 VLANIF40
10.1.2.1/24
GE1/0/1 GE1/0/2192.168.1.2/24
VLANIF20 VLANIF40
10.1.2.2/24 192.168.1.1/24
SwitchC
Procedimiento
Paso 1 Configure las VLAN a las que pertenece cada interfaz.
# Configure SwitchA. Las configuraciones de SwitchB y SwitchC, y SwitchD son similares.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 10 20 50
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type trunk
[SwitchA-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type trunk
[SwitchA-GigabitEthernet1/0/2] port trunk allow-pass vlan 20
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface gigabitethernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] port link-type trunk
[SwitchA-GigabitEthernet1/0/3] port trunk allow-pass vlan 50
[SwitchA-GigabitEthernet1/0/3] quit
# Configure SwitchA.
[SwitchA] ospf 1 router-id 10.10.10.1
[SwitchA-ospf-1] area 0
[SwitchA-ospf-1-area-0.0.0.0] network 172.16.1.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] network 10.1.2.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] quit
[SwitchA-ospf-1] quit
# Configure SwitchB.
[SwitchB] ospf 1 router-id 10.10.10.2
[SwitchB-ospf-1] area 0
[SwitchB-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[SwitchB-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255
[SwitchB-ospf-1-area-0.0.0.0] quit
[SwitchB-ospf-1] quit
# Configure SwitchC.
[SwitchC] ospf 1 router-id 10.10.10.3
[SwitchC-ospf-1] area 0
[SwitchC-ospf-1-area-0.0.0.0] network 10.1.2.0 0.0.0.255
[SwitchC-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[SwitchC-ospf-1-area-0.0.0.0] quit
[SwitchC-ospf-1] quit
# Configure SwitchD.
[SwitchD] ospf 1 router-id 10.10.10.4
[SwitchD-ospf-1] area 0
[SwitchD-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255
[SwitchD-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[SwitchD-ospf-1-area-0.0.0.0] network 172.17.1.0 0.0.0.255
[SwitchD-ospf-1-area-0.0.0.0] quit
[SwitchD-ospf-1] quit
----Fin
Archivos de configuración
l El Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 10 20 50
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif20
ip address 10.1.2.1 255.255.255.0
#
interface Vlanif50
ip address 172.16.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 20
#
interface GigabitEthernet1/0/3
port link-type trunk
port trunk allow-pass vlan 50
#
ospf 1 router-id 10.10.10.1
nexthop 10.1.2.2 weight 1
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 10.1.2.0 0.0.0.255
network 172.16.1.0 0.0.0.255
#
return
l El archivo de configuración SwitchB
#
sysname SwitchB
#
vlan batch 10 30
#
interface Vlanif10
ip address 10.1.1.2 255.255.255.0
#
interface Vlanif30
ip address 192.168.0.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 30
#
ospf 1 router-id 10.10.10.2
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 192.168.0.0 0.0.0.255
#
return
l Archivo de configuración de SwitchC
#
sysname SwitchC
#
vlan batch 20 40
#
interface Vlanif20
ip address 10.1.2.2 255.255.255.0
#
interface Vlanif40
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 20
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 40
#
ospf 1 router-id 10.10.10.3
area 0.0.0.0
network 10.1.2.0 0.0.0.255
network 192.168.1.0 0.0.0.255
#
return
l El archivo de configuración SwitchD
#
sysname SwitchD
#
vlan batch 30 40 60
#
interface Vlanif30
ip address 192.168.0.2 255.255.255.0
#
interface Vlanif40
ip address 192.168.1.2 255.255.255.0
#
interface Vlanif60
ip address 172.17.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 30
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 40
#
interface GigabitEthernet1/0/3
port link-type trunk
port trunk allow-pass vlan 60
#
ospf 1 router-id 10.10.10.4
area 0.0.0.0
network 172.17.1.0 0.0.0.255
network 192.168.0.0 0.0.0.255
network 192.168.1.0 0.0.0.255
#
return
Cualquier falla de enlace o cambio de topología en la red hará que el dispositivo vuelva a
calcular las rutas. Si se utiliza el mecanismo de detección OSPF, el tiempo de recálculo de la
ruta es el tiempo de convergencia del protocolo OSPF. En este caso, OSPF detecta fallas en
segundos. En la transmisión de datos de alta velocidad, por ejemplo, a velocidades de gigabit,
un tiempo de detección más largo que un segundo va a causar la pérdida de una gran cantidad
de datos. En servicios sensibles a la demora, como la voz, un retraso de más de un segundo es
inaceptable. Cuando una red OSPF requiere alta confiabilidad o los servicios que se ejecutan
en la red son sensibles al retardo, se puede configurar el BFD para OSPF. BFD acelera la
convergencia de la red OSPF y luego OSPF puede detectar la falla en milisegundos si ocurre
una falla en el enlace entre los vecinos.
Notas de configuración
l BFD debe configurarse en los dos extremos entre los cuales se establece la relación de
vecino OSPF.
l Los dos extremos que establecen sesiones BFD deben ubicarse en el mismo segmento de
red en un área OSPF.
l Los comandos ospf bfd enable y ospf bfd block son mutuamente excluyentes y no se
pueden habilitar al mismo tiempo.
l Tabla 8-6 enumera los productos aplicables y las versiones de este ejemplo de
configuración.
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra en Figura 8-10, OSPF se ejecuta entre SwitchA, SwitchB, y SwitchC, y el
switch entre SwitchA y SwitchB solo proporciona la función de transmisión transparente.
SwitchA y SwitchB deben detectar rápidamente el estado del enlace entre ellos. Cuando el
enlace SwitchA->SwitchB es defectuoso, los servicios pueden cambiarse rápidamente al
enlace de copia de seguridad SwitchA-> SwitchC-> SwitchB.
NOTA
En este escenario, asegúrese de que todas las interfaces conectadas tengan STP deshabilitado. Si STP
está habilitado y las interfaces VLANIF de los switches se utilizan para construir una red de anillo de
Capa 3, una interfaz en la red se bloqueará. Como resultado, los servicios de Capa 3 en la red no pueden
ejecutarse normalmente.
Area0
10.3.3.1/24 10.3.3.2/24
SwitchA VLANIF30 VLANIF30 SwitchB
GE1/0/2 GE1/0/1
GE1/0/3
GE1/0/1 VLANIF40
GE1/0/2
VLANIF10 172.16.1.1/24
VLANIF20
10.1.1.1/24
10.2.2.2/24
GE1/0/1 GE1/0/2
VLANIF10 VLANIF20
10.1.1.2/24 10.2.2.1/24
SwitchC
Procedimiento
Paso 1 Configure las VLAN a las que pertenece cada interfaz.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 10 30
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type trunk
[SwitchA-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type trunk
[SwitchA-GigabitEthernet1/0/2] port trunk allow-pass vlan 30
[SwitchA-GigabitEthernet1/0/2] quit
# Configure SwitchB.
[SwitchB] ospf 1 router-id 10.10.10.2
[SwitchB-ospf-1] area 0
[SwitchB-ospf-1-area-0.0.0.0] network 10.2.2.0 0.0.0.255
[SwitchB-ospf-1-area-0.0.0.0] network 10.3.3.0 0.0.0.255
[SwitchB-ospf-1-area-0.0.0.0] network 172.16.1.0 0.0.0.255
[SwitchB-ospf-1-area-0.0.0.0] quit
[SwitchB-ospf-1] quit
# Configure SwitchC.
[SwitchC] ospf 1 router-id 10.10.10.3
[SwitchC-ospf-1] area 0
[SwitchC-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[SwitchC-ospf-1-area-0.0.0.0] network 10.2.2.0 0.0.0.255
[SwitchC-ospf-1-area-0.0.0.0] quit
[SwitchC-ospf-1] quit
# Después de las configuraciones anteriores, ejecute el comando display ospf peer. Las
relaciones vecinas se configuran entre SwitchA, SwitchB, y SwitchC. El resultado del
comando de SwitchA se usa como un ejemplo.
[SwitchA] display ospf peer
Authentication Sequence: [ 0 ]
Neighbors
Total Nets: 5
Intra Area: 5 Inter Area: 0 ASE: 0 NSSA: 0
# Después de las configuraciones anteriores, ejecute el comando display ospf bfd session all
en SwitchA, SwitchB o SwitchC. La sesión del BFD del peer es Up. La salida de comando de
SwitchA se usa como ejemplo.
[SwitchA] display ospf bfd session all
Total Nets: 3
Intra Area: 3 Inter Area: 0 ASE: 0 NSSA: 0
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 10 30
#
bfd
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif30
ip address 10.3.3.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 30
#
ospf 1 router-id 10.10.10.1
bfd all-interfaces enable
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 10.3.3.0 0.0.0.255
#
return
l Archivo de configuración SwitchB
#
sysname SwitchB
#
vlan batch 20 30 40
#
bfd
#
interface Vlanif20
ip address 10.2.2.2 255.255.255.0
#
interface Vlanif30
ip address 10.3.3.2 255.255.255.0
#
interface Vlanif40
ip address 172.16.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 30
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 20
#
interface GigabitEthernet1/0/3
port link-type trunk
port trunk allow-pass vlan 40
#
ospf 1 router-id 10.10.10.2
bfd all-interfaces enable
area 0.0.0.0
network 10.2.2.0 0.0.0.255
network 10.3.3.0 0.0.0.255
network 172.16.1.0 0.0.0.255
#
return
l El archivo de configuración SwitchC
#
sysname SwitchC
#
vlan batch 10 20
#
bfd
#
interface Vlanif10
ip address 10.1.1.2 255.255.255.0
#
interface Vlanif20
ip address 10.2.2.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 20
#
ospf 1 router-id 10.10.10.3
bfd all-interfaces enable
area 0.0.0.0
network 10.1.1.0 0.0.0.255
Cuando un flujo de datos específico necesita ser transmitido a un siguiente salto especificado,
PBR puede configurarse para cumplir con este requisito. Por ejemplo, se pueden transmitir
diferentes flujos de datos en diferentes enlaces para mejorar la eficacia del enlace. Los flujos
de datos pueden dirigirse a dispositivos de seguridad tales como cortafuegos para el filtrado
de seguridad. Los datos de servicio se pueden transmitir en un enlace con bajo costo para
reducir los costos del servicio de datos de las empresas sin comprometer la calidad del
servicio.
Notas de configuración
l Si un dispositivo no tiene la entrada ARP que coincide con la dirección IP del siguiente
salto especificada, el dispositivo va a activar el aprendizaje de ARP. Si el dispositivo no
puede aprender la entrada ARP, los paquetes se reenvían a lo largo de la ruta de reenvío
anterior sin ser redirigidos.
l Si se configuran varias direcciones IP de siguiente salto utilizando el comando redirect
ip-nexthop o redirect ipv6-nexthop, el dispositivo redirige los paquetes en el modo de
enlace activo/standby. Es decir, el dispositivo determina los enlaces activos y standby de
acuerdo con la secuencia en la que se configuraron las direcciones IP del siguiente salto.
La primera dirección IP configurada para el siguiente salto tiene la prioridad más alta y
su enlace funciona como el enlace activo, mientras que los enlaces de otras direcciones
IP del siguiente salto funcionan como enlaces standby. Cuando el enlace activo está
inactivo, el enlace standby de la segunda dirección IP del siguiente salto más prioritario
se selecciona como el nuevo enlace activo.
l Si se configuran varias direcciones IP de siguiente salto utilizando el comando redirect
ip-multihop o redirect ipv6-multihop, el dispositivo redirige los paquetes en modo de
equilibrio de carga de rutas de igual costo.
l Tabla 8-7 enumera los productos y las versiones aplicables en este ejemplo de
configuración.
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra en Figura 8-11, una red empresarial tiene doble conexión a dos dispositivos
de red externos a través del Switch. Un enlace ascendente es un enlace de alta velocidad con
gateway en 10.1.20.1/24, y el otro es un enlace de baja velocidad con gateway en
10.1.30.1/24.
La intranet empresarial tiene dos segmentos de red: 192.168.1.0/24 y 192.168.2.0/24. El
segmento de red 192.168.1.0/24 pertenece a la zona del servidor y requiere un alto ancho de
banda de enlace. Por lo tanto, el tráfico de este segmento de red debe transmitirse en el enlace
de alta velocidad. 192.168.2.0/24 se utiliza para el acceso de Internet y el tráfico de este
segmento de red se transmite en el enlace de baja velocidad.
Procedimiento
Paso 1 Cree VLAN, configure interfaces y configure rutas para el interfuncionamiento.
# Crear VLAN 10 y 20 en SwitchA.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 10 20
# En Switch, establezca los tipos de enlace de las interfaces conectadas a los ordenadores a
acceso y la interfaz conectada a Switch a tronco y añada las interfaces a las VLAN.
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type access
[SwitchA-GigabitEthernet1/0/1] port default vlan 10
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type access
[SwitchA-GigabitEthernet1/0/2] port default vlan 20
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface gigabitethernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] port link-type trunk
[SwitchA-GigabitEthernet1/0/3] port trunk allow-pass vlan 10 20
[SwitchA-GigabitEthernet1/0/3] quit
# En Switch, configure los tipos de enlace de las interfaces conectadas a SwitchA a tronco y
la interfaz conectada a la red externa para acceder, y agregue las interfaces a las VLAN.
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access
[Switch-GigabitEthernet1/0/1] port default vlan 100
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port default vlan 200
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] port link-type trunk
[Switch-GigabitEthernet1/0/3] port trunk allow-pass vlan 10 20
[Switch-GigabitEthernet1/0/3] quit
# En Switch, configure VLANIF 100 y VLANIF 200 para conectarse a dispositivos de red
externos y asigne direcciones IP a 10.1.20.2/24 y 10.1.30.2/24 a ellos, respectivamente.
[Switch] interface vlanif 100
[Switch-Vlanif100] ip address 10.1.20.2 24
[Switch-Vlanif100] quit
[Switch] interface vlanif 200
[Switch-Vlanif200] ip address 10.1.30.2 24
[Switch-Vlanif200] quit
[Switch] acl 3000 //Esta ACL se utiliza para coincidir con el tráfico de datos
entre dos segmentos de red de la intranet. El tráfico de datos no debe ser
redirigido. Si no se realiza esta configuración, se redirigirá el tráfico entre
los segmentos de la red. Como resultado, la comunicación entre los segmentos de
red fallará
[Switch-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination
192.168.2.0 0.0.0.255
[Switch-acl-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 destination
192.168.1.0 0.0.0.255
Switch-acl-adv-3000] quit
[Switch] acl 3001 //Coincide con el tráfico de datos del segmento de red de
intranet 192.168.1.0/24.
[Switch-acl-adv-3001] rule permit ip source 192.168.1.0 0.0.0.255
[Switch-acl-adv-3001] quit
[Switch] acl 3002 //Coincide con el tráfico de datos del segmento de red de la
intranet 192.168.2.0/24.
[Switch-acl-adv-3002] rule permit ip source 192.168.2.0 0.0.0.255
[Switch-acl-adv-3002] quit
Paso 5 Configure una política de tráfico y aplique la política de tráfico a una interfaz.
# En Switch, crea una política de tráfico p1 y vincule los clasificadores de tráfico y los
comportamientos de tráfico a esta política de tráfico.
[Switch] traffic policy p1
[Switch-trafficpolicy-p1] classifier c0 behavior b0
[Switch-trafficpolicy-p1] classifier c1 behavior b1
[Switch-trafficpolicy-p1] classifier c2 behavior b2
[Switch-trafficpolicy-p1] quit
Classifier: c0
Precedence: 5
Operator: OR
Rule(s) : if-match acl 3000
Classifier: c1
Precedence: 10
Operator: OR
Rule(s) : if-match acl 3001
Classifier: c1
Operator: OR
Behavior: b1
Permit
Redirect: no forced
Redirect ip-nexthop
10.1.20.1
Classifier: c2
Operator: OR
Behavior: b2
Permit
Redirect: no forced
Redirect ip-nexthop
10.1.30.1
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 10 20
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 20
#
interface GigabitEthernet1/0/3
port link-type trunk
port trunk allow-pass vlan 10 20
#
return
permit
redirect ip-nexthop 10.1.30.1
#
traffic policy p1 match-order config
classifier c0 behavior b0
classifier c1 behavior b1
classifier c2 behavior b2
#
interface Vlanif10
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif20
ip address 192.168.2.1 255.255.255.0
#
interface Vlanif100
ip address 10.1.20.2 255.255.255.0
#
interface Vlanif200
ip address 10.1.30.2 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 100
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 200
#
interface GigabitEthernet1/0/3
port link-type trunk
port trunk allow-pass vlan 10 20
traffic-policy p1 inbound
#
Notas de configuración
l Las tarjetas de la serie SA no son compatibles con la función BGP/MPLS IP VPN. Las
tarjetas de la serie X1E de V200R006C00 y versiones posteriores son compatible con la
función BGP/MPLS IP VPN.
l Tabla 9-1 enumera productos y versiones aplicables.
S5310EI V200R002C00,
V200R003C00,
V200R005(C00&C02)
S5320EI V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S5320HI V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S6320EI V200R008C00,
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de red
Como se muestra en Figura 9-1:
l CE1 se conecta al área de I+D de la sede de una empresa, y CE3 se conecta al área de I
+D de la sucursal. CE1 y CE3 pertenecen a vpna.
l CE2 se conecta con el área que no es de I+D de la sede y CE4 se conecta con el área que
no es de I+D de la sucursal. CE2 y CE4 pertenecen a vpnb.
La BGP/MPLS IP VPN debe desplegarse para que la empresa garantice una comunicación
segura entre la sede y la sucursal, a la vez que aísla los datos entre el área de I+D y el área que
no es de I+D.
CE1 CE3
GE1/0/0 GE1/0/0
VLANIF10 VLANIF40
10.1.1.1/24 10.3.1.1/24
Loopback1
GE1/0/0 2.2.2.9/32 GE1/0/0
VLANIF10 GE1/0/0 GE2/0/0 VLANIF40
10.1.1.2/24 VLANIF30 VLANIF60 10.3.1.2/24
PE1 PE2
Loopback1 172.1.1.2/24 172.2.1.1/24 Loopback1
1.1.1.9/32 GE3/0/0 3.3.3.9/32
GE3/0/0
GE2/0/0 VLANIF30 P VLANIF60 GE2/0/0
VLANIF20 172.1.1.1/24 172.2.1.2/24 VLANIF50
AS: 100
10.2.1.2/24 VPN de estructura 10.4.1.2/24
básica
GE1/0/0 GE1/0/0
VLANIF20 VLANIF50
10.2.1.1/24 10.4.1.1/24
CE2 CE4
vpnb vpnb
AS: 65420 AS: 65440
Procedimiento
Paso 1 Configure un IGP en la red de estructura básica MPLS para que los PE y P puedan
comunicarse entre sí.
# Configure PE1.
<Quidway> system-view
[Quidway] sysname PE1
[PE1] interface loopback 1
[PE1-LoopBack1] ip address 1.1.1.9 32
[PE1-LoopBack1] quit
[PE1] vlan batch 10 20 30
[PE1] interface gigabitethernet 1/0/0
[PE1-GigabitEthernet1/0/0] port link-type trunk
[PE1-GigabitEthernet1/0/0] port trunk allow-pass vlan 10
[PE1-GigabitEthernet1/0/0] quit
[PE1] interface gigabitethernet 2/0/0
[PE1-GigabitEthernet2/0/0] port link-type trunk
[PE1-GigabitEthernet2/0/0] port trunk allow-pass vlan 20
[PE1-GigabitEthernet2/0/0] quit
[PE1] interface gigabitethernet 3/0/0
[PE1-GigabitEthernet3/0/0] port link-type trunk
[PE1-GigabitEthernet3/0/0] port trunk allow-pass vlan 30
[PE1-GigabitEthernet3/0/0] quit
[PE1] interface vlanif 30
[PE1-Vlanif30] ip address 172.1.1.1 24
[PE1-Vlanif30] quit
[PE1] ospf 1 router-id 1.1.1.9
[PE1-ospf-1] area 0
[PE1-ospf-1-area-0.0.0.0] network 172.1.1.0 0.0.0.255
[PE1-ospf-1-area-0.0.0.0] network 1.1.1.9 0.0.0.0
[PE1-ospf-1-area-0.0.0.0] quit
[PE1-ospf-1] quit
# Configure P.
<Quidway> system-view
[Quidway] sysname P
[P] interface loopback 1
[P-LoopBack1] ip address 2.2.2.9 32
[P-LoopBack1] quit
[P] vlan batch 30 60
[P] interface gigabitethernet 1/0/0
[P-GigabitEthernet1/0/0] port link-type trunk
[P-GigabitEthernet1/0/0] port trunk allow-pass vlan 30
[P-GigabitEthernet1/0/0] quit
[P] interface gigabitethernet 2/0/0
[P-GigabitEthernet2/0/0] port link-type trunk
[P-GigabitEthernet2/0/0] port trunk allow-pass vlan 60
[P-GigabitEthernet2/0/0] quit
[P] interface vlanif 30
[P-Vlanif30] ip address 172.1.1.2 24
[P-Vlanif30] quit
[P] interface vlanif 60
[P-Vlanif60] ip address 172.2.1.1 24
[P-Vlanif60] quit
[P] ospf 1 router-id 2.2.2.9
[P-ospf-1] area 0
[P-ospf-1-area-0.0.0.0] network 172.1.1.0 0.0.0.255
[P-ospf-1-area-0.0.0.0] network 172.2.1.0 0.0.0.255
[P-ospf-1-area-0.0.0.0] network 2.2.2.9 0.0.0.0
[P-ospf-1-area-0.0.0.0] quit
[P-ospf-1] quit
# Configure PE2.
<Quidway> system-view
[Quidway] sysname PE2
[PE2] interface loopback 1
[PE2-LoopBack1] ip address 3.3.3.9 32
[PE2-LoopBack1] quit
[PE2] vlan batch 40 50 60
[PE2] interface gigabitethernet 1/0/0
[PE2-GigabitEthernet1/0/0] port link-type trunk
[PE2-GigabitEthernet1/0/0] port trunk allow-pass vlan 40
[PE2-GigabitEthernet1/0/0] quit
Paso 2 Configure las capacidades básicas MPLS y MPLS LDP en la red de estructura básica de
MPLS para establecer LSP LDP.
# Configure PE1.
[PE1] mpls lsr-id 1.1.1.9
[PE1] mpls
[PE1-mpls] quit
[PE1] mpls ldp
[PE1-mpls-ldp] quit
[PE1] interface vlanif 30
[PE1-Vlanif30] mpls
[PE1-Vlanif30] mpls ldp
[PE1-Vlanif30] quit
# Configure P.
[P] mpls lsr-id 2.2.2.9
[P] mpls
[P-mpls] quit
[P] mpls ldp
[P-mpls-ldp] quit
[P] interface vlanif 30
[P-Vlanif30] mpls
[P-Vlanif30] mpls ldp
[P-Vlanif30] quit
[P] interface vlanif 60
[P-Vlanif60] mpls
[P-Vlanif60] mpls ldp
[P-Vlanif60] quit
# Configure PE2.
[PE2] mpls lsr-id 3.3.3.9
[PE2] mpls
[PE2-mpls] quit
[PE2] mpls ldp
[PE2-mpls-ldp] quit
[PE2] interface vlanif 60
[PE2-Vlanif60] mpls
[PE2-Vlanif60] mpls ldp
[PE2-Vlanif60] quit
Después de completar la configuración, las sesiones de LDP se establecen entre PE1 y P, entre
P y PE2. Ejecute el comando display mpls ldp session. El resultado de comando muestra que
el ítem de Status es Operational. Ejecute el comando display mpls ldp lsp. Se muestra
información sobre los LSP LDP establecidos.
La información que se muestra en PE1 se usa como ejemplo.
[PE1] display mpls ldp session
Paso 3 Configure instancias de VPN en PE y vincule las interfaces conectadas a los CE a las
instancias de VPN.
# Configure PE1.
[PE1] ip vpn-instance vpna
[PE1-vpn-instance-vpna] route-distinguisher 100:1
[PE1-vpn-instance-vpna-af-ipv4] vpn-target 111:1 both
[PE1-vpn-instance-vpna-af-ipv4] quit
[PE1-vpn-instance-vpna] quit
[PE1] ip vpn-instance vpnb
[PE1-vpn-instance-vpnb] route-distinguisher 100:2
[PE1-vpn-instance-vpnb-af-ipv4] vpn-target 222:2 both
[PE1-vpn-instance-vpnb-af-ipv4] quit
[PE1-vpn-instance-vpnb] quit
[PE1] interface vlanif 10
[PE1-Vlanif10] ip binding vpn-instance vpna
[PE1-Vlanif10] ip address 10.1.1.2 24
[PE1-Vlanif10] quit
[PE1] interface vlanif 20
[PE1-Vlanif20] ip binding vpn-instance vpnb
[PE1-Vlanif20] ip address 10.2.1.2 24
[PE1-Vlanif20] quit
# Configure PE2.
[PE2] ip vpn-instance vpna
[PE2-vpn-instance-vpna] route-distinguisher 200:1
[PE2-vpn-instance-vpna-af-ipv4] vpn-target 111:1 both
[PE2-vpn-instance-vpna-af-ipv4] quit
[PE2-vpn-instance-vpna] quit
[PE2] ip vpn-instance vpnb
[PE2-vpn-instance-vpnb] route-distinguisher 200:2
[PE2-vpn-instance-vpnb-af-ipv4] vpn-target 222:2 both
[PE2-vpn-instance-vpnb-af-ipv4] quit
[PE2-vpn-instance-vpnb] quit
[PE2] interface vlanif 40
[PE2-Vlanif40] ip binding vpn-instance vpna
[PE2-Vlanif40] ip address 10.3.1.2 24
[PE2-Vlanif40] quit
[PE2] interface vlanif 50
[PE2-Vlanif50] ip binding vpn-instance vpnb
[PE2-Vlanif50] ip address 10.4.1.2 24
[PE2-Vlanif50] quit
# Asigne las direcciones IP a las interfaces en el CE1 conectando al área de I+D de la sede de
acuerdo con Figura 9-1. Las configuraciones de CE2, CE3 y CE4 son similares a la
configuración de CE1 y no se mencionan aquí.
<Quidway> system-view
[Quidway] sysname CE1
[CE1] vlan batch 10
[CE1] interface gigabitethernet 1/0/0
[CE1-GigabitEthernet1/0/0] port link-type trunk
[CE1-GigabitEthernet1/0/0] port trunk allow-pass vlan 10
[CE1-GigabitEthernet1/0/0] quit
[CE1] interface vlanif 10
[CE1-Vlanif10] ip address 10.1.1.1 24
[CE1-Vlanif10] quit
NOTA
Si un PE tiene múltiples interfaces vinculadas a la misma instancia de VPN, especifique una dirección
IP de origen configurando -a source-ip-address en el comando ping -vpn-instance vpn-instance-name -
a source-ip-address dest-ip-address para hacer ping a un CE remoto. Si no se especifica la dirección IP
de origen, el ping falla.
Paso 4 Establezca relaciones de peer EBGP entre los PE y CE e importe rutas VPN a BGP.
# Configure CE1 conectándose al área de I+D de la sede. Las configuraciones de CE2, CE3 y
CE4 son similares a la configuración de CE1 y no se mencionan aquí.
[CE1] bgp 65410
[CE1-bgp] peer 10.1.1.2 as-number 100
[CE1-bgp] import-route direct
[CE1-bgp] quit
[PE1-bgp-vpna] quit
[PE1-bgp] ipv4-family vpn-instance vpnb
[PE1-bgp-vpnb] peer 10.2.1.1 as-number 65420
[PE1-bgp-vpnb] import-route direct
[PE1-bgp-vpnb] quit
[PE1-bgp] quit
# Configure PE2.
[PE2] bgp 100
[PE2-bgp] peer 1.1.1.9 as-number 100
[PE2-bgp] peer 1.1.1.9 connect-interface loopback 1
[PE2-bgp] ipv4-family vpnv4
[PE2-bgp-af-vpnv4] peer 1.1.1.9 enable
[PE2-bgp-af-vpnv4] quit
[PE2-bgp] quit
Después de completar la configuración, ejecute el comando display bgp peer o display bgp
vpnv4 all peer en los PE. El resultado de comando muestra que las relaciones de peer BGP se
han establecido (Established) entre los PE.
[PE1] display bgp peer
Los CE en la misma VPN pueden hacer ping entre sí, mientras que los CE en diferentes VPN
no pueden hacerlo.
Por ejemplo, CE1 conectándose al área de I+D de la sede puede hacer ping a CE3
conectándose al área de I+D de la sucursal en 10.3.1.1 pero no puede hacer ping a CE4
conectándose al área de la sucursal que no es de I+D en 10.4.1.1.
[CE1] ping 10.3.1.1
PING 10.3.1.1: 56 data bytes, press CTRL_C to break
Reply from 10.3.1.1: bytes=56 Sequence=1 ttl=253 time=72 ms
Reply from 10.3.1.1: bytes=56 Sequence=2 ttl=253 time=34 ms
Reply from 10.3.1.1: bytes=56 Sequence=3 ttl=253 time=50 ms
Reply from 10.3.1.1: bytes=56 Sequence=4 ttl=253 time=50 ms
Reply from 10.3.1.1: bytes=56 Sequence=5 ttl=253 time=34 ms
--- 10.3.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 34/48/72 ms
----Fin
Archivos de configuración
l Archivo de configuración de PE1
#
sysname PE1
#
vlan batch 10 20 30
#
ip vpn-instance vpna
ipv4-family
route-distinguisher 100:1
vpn-target 111:1 export-extcommunity
vpn-target 111:1 import-extcommunity
#
ip vpn-instance vpnb
ipv4-family
route-distinguisher 100:2
vpn-target 222:2 export-extcommunity
vpn-target 222:2 import-extcommunity
#
mpls lsr-id 1.1.1.9
mpls
#
mpls ldp
#
interface Vlanif10
ip binding vpn-instance vpna
ip address 10.1.1.2 255.255.255.0
#
interface Vlanif20
ip binding vpn-instance vpnb
ip address 10.2.1.2 255.255.255.0
#
interface Vlanif30
ip address 172.1.1.1 255.255.255.0
mpls
mpls ldp
#
interface GigabitEthernet1/0/0
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet2/0/0
port link-type trunk
port trunk allow-pass vlan 20
#
interface GigabitEthernet3/0/0
port link-type trunk
port trunk allow-pass vlan 30
#
interface LoopBack1
ip address 1.1.1.9 255.255.255.255
#
bgp 100
peer 3.3.3.9 as-number 100
peer 3.3.3.9 connect-interface LoopBack1
#
ipv4-family unicast
undo synchronization
peer 3.3.3.9 enable
#
ipv4-family vpnv4
policy vpn-target
peer 3.3.3.9 enable
#
ipv4-family vpn-instance vpna
import-route direct
peer 10.1.1.1 as-number 65410
#
ipv4-family vpn-instance vpnb
import-route direct
peer 10.2.1.1 as-number 65420
#
ospf 1 router-id 1.1.1.9
area 0.0.0.0
undo synchronization
import-route direct
peer 10.1.1.2 enable
#
return
l Archivo de configuración de CE2 que conecta con el área de la sede que no es I+D
#
sysname CE2
#
vlan batch 20
#
interface Vlanif20
ip address 10.2.1.1 255.255.255.0
#
interface GigabitEthernet1/0/0
port link-type trunk
port trunk allow-pass vlan 20
#
bgp 65420
peer 10.2.1.2 as-number 100
#
ipv4-family unicast
undo synchronization
import-route direct
peer 10.2.1.2 enable
#
return
l Archivo de configuración de CE3 que conecta con el área de I+D de la sucursal
#
sysname CE3
#
vlan batch 40
#
interface Vlanif40
ip address 10.3.1.1 255.255.255.0
#
interface GigabitEthernet1/0/0
port link-type trunk
port trunk allow-pass vlan 40
#
bgp 65430
peer 10.3.1.2 as-number 100
#
ipv4-family unicast
undo synchronization
import-route direct
peer 10.3.1.2 enable
#
return
l Archivo de configuración de CE4 conectado a la sucursal área que no es I+D
#
sysname CE4
#
vlan batch 50
#
interface Vlanif50
ip address 10.4.1.1 255.255.255.0
#
interface GigabitEthernet1/0/0
port link-type trunk
port trunk allow-pass vlan 50
#
bgp 65440
peer 10.4.1.2 as-number 100
#
ipv4-family unicast
undo synchronization
import-route direct
peer 10.4.1.2 enable
#
return
Notas de configuración
l En V100R006C05, solo el S3300EI admite la función MCE.
En otras versiones, todos los modelos de switch excepto S5300SI, S5300LI, S5306-LI y
S2350EI admiten la función MCE.
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de red
La sede y las sucursales de una empresa necesitan comunicarse a través de MPLS VPN, y dos
servicios de la empresa deben estar aislados. Para reducir los costos de hardware, la empresa
quiere que la sucursal se conecte al PE a través de solo un CE.
Como se muestra en Figura 9-2, los requisitos de red son los siguientes:
l CE1 y CE2 se conectan a la sede. CE1 pertenece a vpna, y CE2 pertenece a vpnb.
l El MCE se conecta a vpna y vpnb de la sucursal a través de SwitchA y SwitchB.
Los usuarios en la misma VPN necesitan comunicarse entre sí, mientras que los usuarios en
diferentes VPN deben estar aislados.
SwitchA
GE1/0/0 GE1/0/0
VLANIF10 VLANIF60
10.1.1.1/24 10.3.1.1/24
Loopback1
GE1/0/0 2.2.2.9./32 GE3/0/0
VPN VLANIF60
VLANIF10
de estructura 10.3.1.2/24
10.1.1.2/24
básica
MCE
Loopback1 PE1 PE2
1.1.1.9./32 GE3/0/0 GE1/0/0
GE2/0/0 GE1/0/0
GE2/0/0 VLANIF30 VLANIF30 VLANIF100 GE4/0/0
VLANIF100
VLANIF20 172.1.1.1/24 172.1.1.2/24 10.5.1.2/24 VLANIF70
10.5.1.1/24
10.2.1.2/24 VLANIF200 VLANIF200 10.4.1.2/24
10.6.1.1/24 10.6.1.2/24
GE1/0/0 GE1/0/0
VLANIF20 VLANIF70
10.2.1.1/24 10.4.1.1/24
SwitchB
CE2
GE2/0/0
vpnb
VLANIF10
192.168.2.2/24
vpnb
Procedimiento
Paso 1 Configure las VLAN en las interfaces y asigne las direcciones IP a las interfaces VLANIF e
interfaces de loopback de acuerdo con Figura 9-2.
# Configure PE1. Las configuraciones en PE2, CE1, CE2, MCE, SwitchA y SwitchB son
similares a la configuración en PE1 y no se mencionan aquí.
<Quidway> system-view
[Quidway] sysname PE1
# Configure PE2.
[PE2] ospf
[PE2-ospf-1] area 0
[PE2-ospf-1-area-0.0.0.0] network 2.2.2.9 0.0.0.0
[PE2-ospf-1-area-0.0.0.0] network 172.1.1.0 0.0.0.255
[PE2-ospf-1-area-0.0.0.0] quit
[PE2-ospf-1] quit
Paso 3 Configure las capacidades básicas MPLS y MPLS LDP en los PE para establecer LDP LSP.
# Configure PE1. La configuración en PE2 es similar a la configuración en PE1 y no se
menciona aquí.
Una vez completada la configuración, ejecute el comando display mpls ldp session en los
PE. El resultado de comando muestra que la sesión de MPLS LDP entre los PE se encuentra
en estado(Status) Operational.
La información que se muestra en PE2 se usa como ejemplo.
[PE2] display mpls ldp session
Paso 4 Configure instancias de VPN en los PE. En PE1, vincule las interfaces conectadas a CE1 y
CE2 a las instancias de VPN. En PE2, vincule la interfaz conectada al MCE a las instancias de
VPN.
# Configure PE1.
[PE1] vlan batch 10 20
[PE1] interface gigabitethernet 1/0/0
[PE1-GigabitEthernet1/0/0] port link-type trunk
[PE1-GigabitEthernet1/0/0] port trunk allow-pass vlan 10
[PE1-GigabitEthernet1/0/0] quit
[PE1] interface gigabitethernet 2/0/0
[PE1-GigabitEthernet2/0/0] port link-type trunk
[PE1-GigabitEthernet2/0/0] port trunk allow-pass vlan 20
[PE1-GigabitEthernet2/0/0] quit
[PE1] ip vpn-instance vpna
[PE1-vpn-instance-vpna] ipv4-family
[PE1-vpn-instance-vpna-af-ipv4] route-distinguisher 100:1 //Establezca el RD a
100:1.
[PE1-vpn-instance-vpna-af-ipv4] vpn-target 111:1 both //Agregue el valor de
RT 100:1 a las rutas exportadas desde el ejemplo de VPN vpna a MP-BGP. Solo las
rutas con el valor RT 100:1 se pueden importar a vpna.
[PE1-vpn-instance-vpna-af-ipv4] quit
[PE1-vpn-instance-vpna] quit
[PE1] ip vpn-instance vpnb
[PE1-vpn-instance-vpnb] ipv4-family
[PE1-vpn-instance-vpnb-af-ipv4] route-distinguisher 100:2
[PE1-vpn-instance-vpnb-af-ipv4] vpn-target 222:2 both
[PE1-vpn-instance-vpnb-af-ipv4] quit
[PE1-vpn-instance-vpnb] quit
[PE1] interface vlanif 10
[PE1-Vlanif10] ip binding vpn-instance vpna //Vincule la interfaz a vpna.
[PE1-Vlanif10] ip address 10.1.1.2 24
[PE1-Vlanif10] quit
[PE1] interface vlanif 20
[PE1-Vlanif20] ip binding vpn-instance vpnb
[PE1-Vlanif20] ip address 10.2.1.2 24
[PE1-Vlanif20] quit
# Configure PE2.
[PE2] vlan batch 60 70
[PE2] interface gigabitethernet 2/0/0
[PE2-GigabitEthernet2/0/0] port link-type trunk
[PE2-GigabitEthernet2/0/0] port trunk allow-pass vlan 60 70
[PE2-GigabitEthernet2/0/0] quit
[PE2] ip vpn-instance vpna
[PE2-vpn-instance-vpna] ipv4-family
Paso 5 Configure las instancias de VPN en el MCE y vincule las interfaces conectadas a SwitchA y
SwitchB a las instancias de VPN.
<Quidway> system-view
[Quidway] sysname MCE
[MCE] vlan batch 60 70
[MCE] interface gigabitethernet 1/0/0
[MCE-GigabitEthernet1/0/0] port link-type trunk
[MCE-GigabitEthernet1/0/0] port trunk allow-pass vlan 60 70
[MCE-GigabitEthernet1/0/0] quit
[MCE] interface gigabitethernet 3/0/0
[MCE-GigabitEthernet3/0/0] port link-type trunk
[MCE-GigabitEthernet3/0/0] port trunk allow-pass vlan 60
[MCE-GigabitEthernet3/0/0] quit
[MCE] interface gigabitethernet 4/0/0
[MCE-GigabitEthernet4/0/0] port link-type trunk
[MCE-GigabitEthernet4/0/0] port trunk allow-pass vlan 70
[MCE-GigabitEthernet4/0/0] quit
[MCE] ip vpn-instance vpna
[MCE-vpn-instance-vpna] ipv4-family
[MCE-vpn-instance-vpna-af-ipv4] route-distinguisher 100:1
[MCE-vpn-instance-vpna-af-ipv4] quit
[MCE-vpn-instance-vpna] quit
[MCE] ip vpn-instance vpnb
[MCE-vpn-instance-vpnb] ipv4-family
[MCE-vpn-instance-vpnb-af-ipv4] route-distinguisher 100:2
[MCE-vpn-instance-vpnb-af-ipv4] quit
[MCE-vpn-instance-vpnb] quit
[MCE] interface vlanif 60
[MCE-Vlanif60] ip binding vpn-instance vpna
[MCE-Vlanif60] ip address 10.3.1.2 24
[MCE-Vlanif60] quit
[MCE] interface vlanif 70
[MCE-Vlanif70] ip binding vpn-instance vpnb
[MCE-Vlanif70] ip address 10.4.1.2 24
[MCE-Vlanif70] quit
Paso 6 Establezca una relación de peer MP-IBGP entre los PE. Establezca una relación de peer
EBGP entre PE1 y CE1, y entre PE1 y CE2.
# Configure CE1. La configuración en CE2 es similar a la configuración en CE1 y no se
menciona aquí.
[CE1] bgp 65410
[CE1-bgp] peer 10.1.1.2 as-number 100 //Establezca una relación de peer EBGP
entre PE1 y CE1 e importe rutas de VPN.
[CE1-bgp] import-route direct
[CE1-bgp] quit
Después de completar la configuración, ejecute el comando display bgp vpnv4 all peer en
PE1. La salida de comando muestra que PE1 ha establecido una relación de peers IBGP con
PE2 y una relación de peers EBGP con CE1 y CE2. Las relaciones de peers están en estado de
Established.
[PE1] display bgp vpnv4 all peer
l # Configure el MCE.
Routing Tables:
vpna
Destinations : 3 Routes :
3
El protocolo RIP se ejecuta en vpnb. Configure el proceso RIP 200 en el MCE y vincúlelo a
vpnb para que las rutas aprendidas por RIP se agreguen a la tabla de enrutamiento de vpnb.
l # Configure el MCE.
[MCE] rip 200 vpn-instance vpnb
[MCE-rip-200] version 2
[MCE-rip-200] network 10.0.0.0
[MCE-rip-200] import-route ospf 200 //Importe las rutas de OSPF para que
SwitchB pueda aprender las rutas al MCE.
[MCE-rip-200] quit
l # Configure SwitchB.
Asigne la dirección IP 192.168.2.1/24 a la interfaz conectada a vpnb. La configuración
no se menciona aquí.
<Quidway> system-view
[Quidway] sysname SwitchB
[SwitchB] vlan batch 70
[SwitchB] interface gigabitethernet 1/0/0
[SwitchB-GigabitEthernet1/0/0] port link-type trunk
[SwitchB-GigabitEthernet1/0/0] port trunk allow-pass vlan 70
[SwitchB-GigabitEthernet1/0/0] quit
[SwitchB] interface vlanif 70
[SwitchB-Vlanif70] ip address 10.4.1.1 24
[SwitchB-Vlanif70] quit
[SwitchB] rip 200
[SwitchB-rip-200] version 2
[SwitchB-rip-200] network 10.0.0.0
[SwitchB-rip-200] network 192.168.2.0
[SwitchB-rip-200] quit
Routing Tables:
vpnb
Destinations : 3 Routes :
3
Para configurar las múltiples instancias de OSPF entre MCE y PE2, complete las siguientes tareas en
PE2:
l En la vista OSPF, importe las rutas BGP y anuncie las rutas VPN de PE1 al MCE.
l En la vista BGP, importe las rutas de los procesos OSPF y anuncie las rutas VPN del MCE a PE1.
[PE2] ospf 100 vpn-instance vpna
[PE2-ospf-100] import-route bgp //Importe las rutas de BGP a OSPF 100 en vpna
entre PE y MCE, para que el MCE aprenda las rutas a CE1.
[PE2-ospf-100] area 0
[PE2-ospf-100-area-0.0.0.0] network 10.3.1.0 0.0.0.255
[PE2-ospf-100-area-0.0.0.0] quit
[PE2-ospf-100] quit
[PE2] ospf 200 vpn-instance vpnb
[PE2-ospf-200] import-route bgp //Importe las rutas BGP a OSPF 200 en vpnb
entre PE y MCE, para que el MCE aprenda las rutas a CE2.
[PE2-ospf-200] area 0
[PE2-ospf-200-area-0.0.0.0] network 10.4.1.0 0.0.0.255
[PE2-ospf-200-area-0.0.0.0] quit
[PE2-ospf-200] quit
[PE2] bgp 100
[PE2-bgp] ipv4-family vpn-instance vpna
[PE2-bgp-vpna] import-route ospf 100 //Importe OSPF 100 a BGP para que PE2
agregue el prefijo de VPNv4 a las rutas y use MP-IBGP para anunciar las rutas a
PE1.
[PE2-bgp-vpna] quit
[PE2-bgp] ipv4-family vpn-instance vpnb
[PE2-bgp-vpnb] import-route ospf 200 //Importe OSPF 200 a BGP para que PE2
agregue el prefijo de VPNv4 a las rutas y use MP-IBGP para anunciar las rutas a
PE1.
[PE2-bgp-vpnb] quit
# Configure el MCE.
NOTA
para OSPF VPN, para que el MCE pueda aprender las rutas anunciadas nuevamente
desde PE2.
[MCE-ospf-100] area 0
[MCE-ospf-100-area-0.0.0.0] network 10.3.1.0 0.0.0.255
[MCE-ospf-100-area-0.0.0.0] quit
[MCE-ospf-100] quit
[MCE] ospf 200 vpn-instance vpnb
[MCE-ospf-200] import-route rip 200
[MCE-ospf-200] vpn-instance-capability simple
[MCE-ospf-200] area 0
[MCE-ospf-200-area-0.0.0.0] network 10.4.1.0 0.0.0.255
[MCE-ospf-200-area-0.0.0.0] quit
[MCE-ospf-200] quit
Ejecute el comando display ip routing-table vpn-instance en los PE para ver las rutas a los
CE remotos.
La instancia de VPN vpna en PE1 se usa como ejemplo.
[PE1] display ip routing-table vpn-instance vpna
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: vpna
Destinations : 4 Routes : 4
CE1 y SwitchA pueden comunicarse entre sí. CE2 y SwitchB pueden comunicarse entre sí.
La información que se muestra en CE1 se usa como ejemplo.
[CE1] ping 10.3.1.1
PING 10.3.1.1: 56 data bytes, press CTRL_C to break
Reply from 10.3.1.1: bytes=56 Sequence=1 ttl=252 time=3 ms
Reply from 10.3.1.1: bytes=56 Sequence=2 ttl=252 time=3 ms
Reply from 10.3.1.1: bytes=56 Sequence=3 ttl=252 time=3 ms
Reply from 10.3.1.1: bytes=56 Sequence=4 ttl=252 time=3 ms
Reply from 10.3.1.1: bytes=56 Sequence=5 ttl=252 time=11 ms
CE1 no puede hacer ping a CE2 o SwitchB. SwitchA no puede hacer ping a CE2 o SwitchB.
El ping de CE1 a SwitchB se usa como ejemplo.
[CE1] ping 10.4.1.1
PING 10.4.1.1: 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out
----Fin
Archivos de configuración
l Archivo de configuración de CE1
#
sysname CE1
#
vlan batch 10
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/0
port link-type trunk
port trunk allow-pass vlan 10
#
bgp 65410
peer 10.1.1.2 as-number 100
#
ipv4-family unicast
undo synchronization
import-route direct
peer 10.1.1.2 enable
#
return
#
sysname PE1
#
vlan batch 10 20 30
#
ip vpn-instance vpna
ipv4-family
route-distinguisher 100:1
vpn-target 111:1 export-extcommunity
vpn-target 111:1 import-extcommunity
#
ip vpn-instance vpnb
ipv4-family
route-distinguisher 100:2
vpn-target 222:2 export-extcommunity
vpn-target 222:2 import-extcommunity
#
mpls lsr-id 1.1.1.9
mpls
#
mpls ldp
#
interface Vlanif10
ip binding vpn-instance vpna
ip address 10.1.1.2 255.255.255.0
#
interface Vlanif20
ip binding vpn-instance vpnb
ip address 10.2.1.2 255.255.255.0
#
interface Vlanif30
ip address 172.1.1.1 255.255.255.0
mpls
mpls ldp
#
interface GigabitEthernet1/0/0
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet2/0/0
port link-type trunk
port trunk allow-pass vlan 20
#
interface GigabitEthernet3/0/0
port link-type trunk
port trunk allow-pass vlan 30
#
interface LoopBack1
ip address 1.1.1.9 255.255.255.255
#
bgp 100
peer 2.2.2.9 as-number 100
peer 2.2.2.9 connect-interface LoopBack1
#
ipv4-family unicast
undo synchronization
peer 2.2.2.9 enable
#
ipv4-family vpnv4
policy vpn-target
peer 2.2.2.9 enable
#
ipv4-family vpn-instance vpna
import-route direct
peer 10.1.1.1 as-number 65410
#
ipv4-family vpn-instance vpnb
import-route direct
peer 10.2.1.1 as-number 65420
#
ospf 1
area 0.0.0.0
network 1.1.1.9 0.0.0.0
network 172.1.1.0 0.0.0.255
#
return
l Archivo de configuración de PE2
#
sysname PE2
#
vlan batch 30 60 70
#
ip vpn-instance vpna
ipv4-family
route-distinguisher 200:1
vpn-target 111:1 export-extcommunity
vpn-target 111:1 import-extcommunity
#
ip vpn-instance vpnb
ipv4-family
route-distinguisher 200:2
vpn-target 222:2 export-extcommunity
vpn-target 222:2 import-extcommunity
#
mpls lsr-id 2.2.2.9
mpls
#
mpls ldp
#
interface Vlanif30
ip address 172.1.1.2 255.255.255.0
mpls
mpls ldp
#
interface Vlanif60
ip binding vpn-instance vpna
ip address 10.3.1.3 255.255.255.0
#
interface Vlanif70
ip binding vpn-instance vpnb
ip address 10.4.1.3 255.255.255.0
#
interface LoopBack1
ip address 2.2.2.9 255.255.255.255
#
interface GigabitEthernet1/0/0
port link-type trunk
port trunk allow-pass vlan 30
#
interface GigabitEthernet2/0/0
port link-type trunk
port trunk allow-pass vlan 60 70
#
bgp 100
peer 1.1.1.9 as-number 100
peer 1.1.1.9 connect-interface LoopBack1
#
ipv4-family unicast
undo synchronization
peer 1.1.1.9 enable
#
ipv4-family vpnv4
policy vpn-target
peer 1.1.1.9 enable
#
ipv4-family vpn-instance vpna
import-route ospf 100
#
#
ip route-static vpn-instance vpna 192.168.1.0 255.255.255.0 10.3.1.1
#
return
en una red BGP/MPLS IP VPN no conoce los enrutamientos de VPN; por lo tanto, las
comprobaciones RPF fallan en el dispositivo P.
l La superposición de direcciones de origen de multicast o direcciones de grupo en VPN
conduce a la comunicación entre VPN.
Una red BGP/MPLS IP VPN permite la superposición de direcciones en cada VPN; por
lo tanto, las direcciones original de multicast o direcciones de grupo de VPN diferentes
pueden superponerse. Un dispositivo PE debe reenviar correctamente paquetes de
multicast desde una VPN a solo los usuarios de la misma VPN para evitar la
comunicación entre diferentes VPN.
l Los paquetes VPN se reenvían en modo de unicast en la red pública. Cuando el volumen
de tráfico de multicast es alto, las cargas en la red pública aumentan considerablemente.
La tecnología de multicast asegura que cada enlace transmita solo una copia de los
paquetes de multicast. Cada dispositivo copia datos de multicast de acuerdo con la
cantidad de interfaces de salida, y el ancho de banda consumido no aumenta con la
cantidad de receptores. Si la red pública admite el reenvío de multicast, los paquetes de
multicast solo se copian en los puntos de bifurcación en la red pública. Este mecanismo
de replicación bajo demanda reduce las cargas en la red pública y ahorra el ancho de
banda.
l Todos los dispositivos PE en una VPN pueden recibir paquetes de multicast desde un
origen de multicast en la misma VPN. Cuando el volumen de tráfico de multicast es alto,
las cargas en los dispositivos PE aumentan considerablemente.
Una VPN se compone de varios sitios(Site), cada uno de los cuales se conecta a un PE
diferente. Algunos sitios tal vez que no tengan receptores. Si los datos de VPN de
multicast se envían solo a los dispositivos PE con receptores conectados, se reducen las
cargas en los dispositivos PE.
Notas de configuración
l Si se utiliza la VPN de multicast en el modo de dominio de multicast (MD) en los
switches, el modelo PIM-SM SSM no se puede utilizar en la red pública.
l La VPN de multicast no se puede desplegar en redes VPN IPv4 BGP/MPLS entre AS.
l La VPN de multicast no se puede desplegar en redes VPN IPv6 BGP/MPLS.
l Las interfaces en las siguientes tarjetas de interfaz no se pueden configurar como
interfaces de miembro de las interfaces de bucle invertido de multicast Eth-Trunk:
– V200R001 a V200R003: Tarjetas de interfaz LE0MG24SA, LE0MG24CA,
LE0DX12XSA00, LE0DG48SBC00 y LE0DG48TBC00 para el S9300; Tarjetas de
interfaz LE0DX12XSA00, LE0DG48SBC00 y LE0DG48TBC00 para el S9300E
– V200R005 a V200R008: Serie X1E, tarjetas de interfaz LE0MG24SA,
LE0MG24CA, LE0DG48SBC00 y LE0DG48TBC00 para S9300; Serie X1E,
tarjetas de interfaz LE0DG48SBC00 y LE0DG48TBC00 para S9300E
– V200R009: Serie X1E, tarjetas de interfaz LE1D2S04SEC0, LE0MG24SA,
LE0MG24CA, LE0DG48SBC00 y LE0DG48TBC00 para S9300; Serie X1E,
tarjetas de interfaz LE1D2S04SEC0, LE0DG48SBC00 y LE0DG48TBC00 para
S9300E.
l La siguiente tabla enumera los productos y las versiones aplicables de este ejemplo de
configuración.
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra en Figura 9-3, una compañía despliega dos servicios, cuyos datos se
transmiten en modo de multicast. El sitio de VPN Blue que usa el servicio A y el sitio de VPN
White que usa el servicio B se conectan a la red backbone a través de los dispositivos MCE.
La VPN de multicast en modo MD se puede desplegar para cumplir con los requisitos del
servicio de multicast de la compañía. Esta configuración puede aislar datos de diferentes
servicios y reduce las cargas de tráfico de multicast en la red pública.
VPN Blue
GE2/0/1
VLANIF101 CE1
192.168.11.1/24
GE1/0/1
VLANIF100
192.168.1.2/24
Source2 192.168.12.1/24
VLANIF201 192.168.1.1/24
GE2/0/1 VLANIF100
CE2 192.168.2.1/24 GE1/0/1
VLANIF200
VPN White GE1/0/2 GE1/0/2 MCE1
VLANIF200
192.168.2.2/24 GE1/0/0
VLANIF20 VLANIF10
10.1.2.2/24 10.1.1.2/24
BGP/MPLS VPN de
estructura básica 10.1.2.1/24 10.1.1.1/24
VLANIF20 VLANIF10
PE2 10.1.4.2/24 10.1.4.1/24 P 10.1.3.2/24 GE1/0/0
VLANIF40 VLANIF40 VLANIF30
3.3.3.3/32 GE3/0/0 GE3/0/0 GE2/0/0 1.1.1.1/32
Loopback0 Loopback0
GE2/0/0
VLANIF30
GE1/0/0 10.1.3.1/24 PE1
VLANIF50 VLANIF60 Loopback0
10.1.5.1/24 10.1.6.1/24 2.2.2.2/32
10.1.5.2/24 10.1.6.2/24
VLANIF50 VLANIF60
GE1/0/0 192.168.4.2/24
GE1/0/2 VLANIF400
MCE2 VPN White
VLANIF400 GE1/0/2
GE1/0/1 192.168.4.1/24 CE4 GE2/0/1
VLANIF300 VLANIF401
192.168.3.1/24 192.168.14.1/24
192.168.3.2/24 HostB
VLANIF300
GE1/0/1
192.168.13.1/24
CE3 VLANIF301
GE2/0/1
VPN Blue
HostA
Procedimiento
Paso 1 Configure BGP/MPLS IP VPN.
1. Configure el protocolo Open Shortest Path First (OSPF) en la red backbone para permitir
la comunicación entre los dispositivos de borde del proveedor (PE1 y PE2) y el
dispositivo intermedio P.
# Configure PE1.
<PE1> system-view
[PE1] interface loopback 0 //Cree una interfaz loopback.
[PE1-LoopBack0] ip address 1.1.1.1 32
[PE1-LoopBack0] quit
[PE1] router id 1.1.1.1 //Configure la ID del router de PE1 a 1.1.1.1
para la administración de enrutamientos.
[PE1] vlan batch 30
[PE1] interface gigabitethernet 2/0/0
[PE1-GigabitEthernet2/0/0] port link-type trunk //Establezca el tipo de
enlace de la interfaz en trunk, que no es el tipo de enlace predeterminado.
[PE1-GigabitEthernet2/0/0] port trunk allow-pass vlan 30
[PE1-GigabitEthernet2/0/0] quit
[PE1] interface vlanif 30 //Cree una interfaz VLANIF.
[PE1-Vlanif30] ip address 10.1.3.1 24
[PE1-Vlanif30] quit
[PE1] ospf
[PE1-ospf-1] area 0
[PE1-ospf-1-area-0.0.0.0] network 10.1.3.0 0.0.0.255 //Especifique que la
interfaz que ejecuta OSPF es la que está conectada al segmento de red
10.1.3.0 y que la interfaz pertenece al Area 0.
[PE1-ospf-1-area-0.0.0.0] network 1.1.1.1 0.0.0.0
[PE1-ospf-1-area-0.0.0.0] quit
[PE1-ospf-1] quit
Una vez completada la configuración, las sesiones LDP pueden configurarse entre PE1 y
P y entre P y PE2. Ejecute el comando display mpls ldp session en los dispositivos PE y
P, y se podrá ver que la sesión LDP está en el estado(Status) Operational.
3. Establezca una relación de peers de Multiprotocol Interior Border Gateway Protocol
(MP-IBGP) entre los dispositivos de borde de proveedor PE1 y PE2.
# Configure PE1.
[PE1] bgp 100
[PE1-bgp] peer 3.3.3.3 as-number 100 //Cree peers BGP 3.3.3.3 y configure
su número de AS en 100.
[PE1-bgp] peer 3.3.3.3 connect-interface loopback 0 //Especifique
LoopBack0 como la interfaz de origen para enviar paquetes BGP a peer BGP
3.3.3.3.
[PE1-bgp] ipv4-family vpnv4 //Introduzca vista familiar de direcciones
BGP-VPNv4.
[PE1-bgp-af-vpnv4] peer 3.3.3.3 enable //Habilite el switch local para
intercambiar enrutamientos BGP-VPNv4 con peer BGP 3.3.3.3.
[PE1-bgp-af-vpnv4] quit
[PE1-bgp] quit
# Configure PE2.
[PE2] bgp 100
[PE2-bgp] peer 1.1.1.1 as-number 100 //Cree peer BGP 1.1.1.1 y configure
su número de AS en 100.
[PE2-bgp] peer 1.1.1.1 connect-interface loopback 0 //Especifique
LoopBack0 como la interfaz de origen para enviar paquetes BGP a 1.1.1.1.
[PE2-bgp] ipv4-family vpnv4 //Ingrese la vista familiar de direcciones
BGP-VPNv4.
[PE2-bgp-af-vpnv4] peer 1.1.1.1 enable //Habilite el switch local para
intercambiar enrutamientos BGP-VPNv4 con peer BGP 1.1.1.1.
[PE2-bgp-af-vpnv4] quit
[PE2-bgp] quit
Una vez completada la configuración, ejecute el comando display bgp vpnv4 all peer
en los dispositivos PE. Pueden ver que una relación de peers BGP se ha configurado
entre PE1 y PE2 y está en el estado Established.
4. Cree instancias de VPN Blue y VPN White en los dispositivos de borde del proveedor
PE1 y PE2, y dispositivos de salida agregados MCE1 y MCE2 para sucursales, para
conectar el CE de salida de cada sitio de servicio a los dispositivos PE a través de los
dispositivos MCE.
# Configure PE1.
[PE1] ip vpn-instance blue //Cree instancia de VPN blue.
[PE1-vpn-instance-blue] route-distinguisher 100:1 //Establezca el RD de
la instancia de VPN blue en 100:1.
[PE1-vpn-instance-blue-af-ipv4] vpn-target 111:1 both //Agregue 111:1 a
la lista del export VPN target y la lista de import VPN target de la
instancia de VPN blue.
[PE1-vpn-instance-blue-af-ipv4] quit
[PE1-vpn-instance-blue] quit
[PE1] ip vpn-instance white //Cree una instancia de VPN white.
[PE1-vpn-instance-white] route-distinguisher 200:1 //Establezca el RD de
la instancia VPN white a 200: 1.
[PE1-vpn-instance-white-af-ipv4] vpn-target 222:1 both //Agregue 222:1 a
la lista del export VPN target y la lista de import VPN target de la
instancia de VPN white.
[PE1-vpn-instance-white-af-ipv4] quit
[PE1-vpn-instance-white] quit
[PE1] vlan batch 10 20
[PE1] interface gigabitethernet 1/0/0
[PE1-GigabitEthernet1/0/0] port link-type trunk //Establezca el tipo de
enlace de la interfaz en trunk, que no es el tipo de enlace predeterminado.
[PE1-GigabitEthernet1/0/0] port trunk allow-pass vlan 10 20
[PE1-GigabitEthernet1/0/0] quit
[PE1] interface vlanif 10
[PE1-Vlanif10] ip binding vpn-instance blue //Enlace la instancia de VPN
blue a VLANIF10 para que VLANIF10 se convierta en una interfaz de red privada
de instancia de VPN blue.
[PE1-Vlanif10] ip address 10.1.1.1 24
[PE1-Vlanif10] quit
[PE1] interface vlanif 20
[PE1-Vlanif20] ip binding vpn-instance white //Enlace la instancia de VPN
white a VLANIF20 para que VLANIF20 se convierta en una interfaz de red
privada de instancia de VPN white.
[PE1-Vlanif20] ip address 10.1.2.1 24
[PE1-Vlanif20] quit
# Configure MCE1.
[MCE1] ip vpn-instance blue //Cree instancia de VPN blue.
[MCE1-vpn-instance-blue] route-distinguisher 100:1 //Establezca el RD de
la instancia de VPN blue en 100: 1.
[MCE1-vpn-instance-blue-af-ipv4] vpn-target 111:1 both //Agregue 111:1 a
la lista de export VPN target y la lista de import VPN target de la instancia
VPN blue.
[MCE1-vpn-instance-blue-af-ipv4] quit
[MCE1-vpn-instance-blue] quit
[MCE1] ip vpn-instance white //Cree una instancia de VPN white.
[MCE1-vpn-instance-white] route-distinguisher 200:1 //Establezca el RD de
la instancia VPN white a 200: 1.
[MCE1-vpn-instance-white-af-ipv4] vpn-target 222:1 both //Agregue 222:1 a
la lista de export VPN target y la lista de import VPN target de la instancia
VPN white.
[MCE1-vpn-instance-white-af-ipv4] quit
[MCE1-vpn-instance-white] quit
[MCE1] vlan batch 10 20 100 200
[MCE1] interface gigabitethernet 1/0/0
[MCE1-GigabitEthernet1/0/0] port link-type trunk //Establezca el tipo de
enlace de la interfaz en trunk, que no es el tipo de enlace predeterminado.
[MCE1-GigabitEthernet1/0/0] port trunk allow-pass vlan 10 20
[MCE1-GigabitEthernet1/0/0] quit
[MCE1] interface gigabitethernet 1/0/1
[MCE1-GigabitEthernet1/0/1] port link-type trunk //Establezca el tipo de
enlace de la interfaz en trunk, que no es el tipo de enlace predeterminado.
[MCE1-GigabitEthernet1/0/1] port trunk allow-pass vlan 100
[MCE1-GigabitEthernet1/0/1] quit
[MCE1] interface gigabitethernet 1/0/2
[MCE1-GigabitEthernet1/0/2] port link-type trunk //Establezca el tipo de
enlace de la interfaz en trunk, que no es el tipo de enlace predeterminado.
[MCE1-GigabitEthernet1/0/2] port trunk allow-pass vlan 200
[MCE1-GigabitEthernet1/0/2] quit
[MCE1] interface vlanif 10
[MCE1-Vlanif10] ip binding vpn-instance blue //Enlace la instancia de VPN
blue a VLANIF10 para que VLANIF10 se convierta en una interfaz de red privada
de instancia de VPN blue.
[MCE1-Vlanif10] ip address 10.1.1.2 24
[MCE1-Vlanif10] quit
[MCE1] interface vlanif 20
[MCE1-Vlanif20] ip binding vpn-instance white //Enlace la instancia de
VPN white a VLANIF20 de forma que VLANIF20 se convierta en una interfaz de
red privada de instancia de VPN white.
[MCE1-Vlanif20] ip address 10.1.2.2 24
[MCE1-Vlanif20] quit
[MCE1] interface vlanif 100
[MCE1-Vlanif100] ip binding vpn-instance blue //Enlace la instancia de
VPN blue a VLANIF100 para que VLANIF100 se convierta en una interfaz de red
privada de la instancia de VPN blue.
[MCE1-Vlanif100] ip address 192.168.1.1 24
[MCE1-Vlanif100] quit
[MCE1] interface vlanif 200
[MCE1-Vlanif200] ip binding vpn-instance white //Enlace la instancia de
VPN white a VLANIF200 de forma que VLANIF200 se convierta en una interfaz de
red privada de la instancia de VPN white.
# Configure PE2.
[PE2] ip vpn-instance blue //Cree instancia de VPN blue.
[PE2-vpn-instance-blue] route-distinguisher 100:1 //Establezca el RD de
la instancia de VPN blue en 100: 1.
[PE2-vpn-instance-blue-af-ipv4] vpn-target 111:1 both //Agregue 111:1 a
la lista de export VPN target y a la lista de import VPN target de la
instancia de VPN blue
[PE2-vpn-instance-blue-af-ipv4] quit
[PE2-vpn-instance-blue] quit
[PE2] ip vpn-instance white //Cree una instancia de VPN white.
[PE2-vpn-instance-white] route-distinguisher 200:1 //Establezca el RD de
la instancia VPN white a 200: 1.
[PE2-vpn-instance-white-af-ipv4] vpn-target 222:1 both //Agregue 222:1 a
la lista de export VPN target y a la lista de import VPN target de la
instancia VPN white.
[PE2-vpn-instance-white-af-ipv4] quit
[PE2-vpn-instance-white] quit
[PE2] vlan batch 50 60
[PE2] interface gigabitethernet 1/0/0
[PE2-GigabitEthernet1/0/0] port link-type trunk //Establezca el tipo de
enlace de la interfaz en trunk, que no es el tipo de enlace predeterminado.
[PE2-GigabitEthernet1/0/0] port trunk allow-pass vlan 50 60
[PE2-GigabitEthernet1/0/0] quit
[PE2] interface vlanif 50
[PE2-Vlanif50] ip binding vpn-instance blue //Enlace la instancia de VPN
blue a VLANIF50 para que VLANIF50 se convierta en una interfaz de red privada
de la instancia de VPN blue.
[PE2-Vlanif50] ip address 10.1.5.1 24
[PE2-Vlanif50] quit
[PE2] interface vlanif 60
[PE2-Vlanif60] ip binding vpn-instance white //Enlace la instancia de VPN
white a VLANIF60 de forma que VLANIF60 se convierta en una interfaz de red
privada de la instancia de VPN white.
[PE2-Vlanif60] ip address 10.1.6.1 24
[PE2-Vlanif60] quit
# Configure MCE2.
[MCE2] ip vpn-instance blue //Cree una instancia de VPN blue.
[MCE2-vpn-instance-blue] route-distinguisher 100:1 //Establezca el RD de
la instancia de VPN blue en 100: 1.
[MCE2-vpn-instance-blue-af-ipv4] vpn-target 111:1 both //Agregue 111:1 a
la lista de export VPN target y a la lista de import VPN target de la
instancia de VPN blue.
[MCE2-vpn-instance-blue-af-ipv4] quit
[MCE2-vpn-instance-blue] quit
[MCE2] ip vpn-instance white //Cree una instancia de VPN white.
[MCE2-vpn-instance-white] route-distinguisher 200:1 //Establezca el RD de
la instancia VPN white a 200: 1.
[MCE2-vpn-instance-white-af-ipv4] vpn-target 222:1 both //Agregue 222:1 a
la lista de export VPN target y a la lista de import VPN target de la
instancia VPN white.
[MCE2-vpn-instance-white-af-ipv4] quit
[MCE2-vpn-instance-white] quit
[MCE2] vlan batch 50 60 300 400
[MCE2] interface gigabitethernet 1/0/0
[MCE2-GigabitEthernet1/0/0] port link-type trunk //Establezca el tipo de
enlace de la interfaz en trunk, que no es el tipo de enlace predeterminado.
[MCE2-GigabitEthernet1/0/0] port trunk allow-pass vlan 50 60
[MCE2-GigabitEthernet1/0/0] quit
[MCE2] interface gigabitethernet 1/0/1
[MCE2-GigabitEthernet1/0/1] port link-type trunk //Establezca el tipo de
enlace de la interfaz en trunk, que no es el tipo de enlace predeterminado.
[MCE2-GigabitEthernet1/0/1] port trunk allow-pass vlan 300
[MCE2-GigabitEthernet1/0/1] quit
[MCE2] interface gigabitethernet 1/0/2
5. Configure OSPF en los dispositivos de borde de proveedor PE1 y PE2, los dispositivos
de salida agregados de sucursales MCE1 y MCE2, y el CE de salida de cada sitio de
servicio. Importe enrutamientos de VPN a la tabla de enrutamiento de OSPF.
# Configure PE1.
[PE1] ospf 2 vpn-instance blue //Cree un proceso OSPF para servir la
instancia de VPN blue.
[PE1-ospf-2] import-route bgp //Importe rutas BGP
[PE1-ospf-2] area 0
[PE1-ospf-2-area-0.0.0.0] network 10.1.1.0 0.0.0.255 //Especifique que la
interfaz que ejecuta OSPF es la que está conectada al segmento de red
10.1.1.0 y que la interfaz pertenece al Area 0.
[PE1-ospf-2-area-0.0.0.0] quit
[PE1-ospf-2] quit
[PE1] ospf 3 vpn-instance white //Cree un proceso OSPF para servir a la
instancia VPN white.
[PE1-ospf-3] import-route bgp //Importe rutas BGP.
[PE1-ospf-3] area 0
[PE1-ospf-3-area-0.0.0.0] network 10.1.2.0 0.0.0.255 //Especifique que la
interfaz que ejecuta OSPF es la que está conectada al segmento de red
10.1.2.0 y que la interfaz pertenece al Area 0.
[PE1-ospf-3-area-0.0.0.0] quit
[PE1-ospf-3] quit
[PE1] bgp 100
[PE1-bgp] ipv4-family vpn-instance blue //Entre en la vista familiar de
direcciones IPv4 de la instancia BGP-VPN blue.
[PE1-bgp-blue] import-route ospf 2 //Importe rutas del proceso OSPF 2.
[PE1-bgp-blue] quit
[PE1-bgp] ipv4-family vpn-instance white //Entre en la vista familiar de
direcciones IPv4 de la instancia de BGP-VPN white
[PE1-bgp-white] import-route ospf 3 //Importe enrutamientos del proceso
OSPF 3.
[PE1-bgp-white] quit
[PE1-bgp] quit
# Configure MCE1.
[MCE1] ospf 1 vpn-instance blue //Cree un proceso OSPF para servir la
instancia de VPN blue.
[MCE1-ospf-1] vpn-instance-capability simple //Deshabilite la detección
# Configure PE2.
[PE2] ospf 2 vpn-instance blue //Cree un proceso OSPF para servir la
instancia de VPN blue.
[PE2-ospf-2] import-route bgp //Importe enrutamientos BGP.
[PE2-ospf-2] area 0
[PE2-ospf-2-area-0.0.0.0] network 10.1.5.0 0.0.0.255 //Especifique que la
interfaz se está ejecutando OSPF es el que está conectado al segmento de red
10.1.5.0 y que la interfaz pertenece al Area 0.
[PE2-ospf-2-area-0.0.0.0] quit
[PE2-ospf-2] quit
[PE2] ospf 3 vpn-instance white //Cree un proceso OSPF para servir a la
instancia VPN white.
[PE2-ospf-3] import-route bgp //Importe rutas BGP.
[PE2-ospf-3] area 0
[PE2-ospf-3-area-0.0.0.0] network 10.1.6.0 0.0.0.255 //Especifique que la
interfaz se está ejecutando OSPF es el que está conectado al segmento de red
10.1.6.0 y que la interfaz pertenece al Area 0.
[PE2-ospf-3-area-0.0.0.0] quit
[PE2-ospf-3] quit
[PE2] bgp 100
[PE2-bgp] ipv4-family vpn-instance blue //Entre en la vista familiar de
direcciones IPv4 de la instancia BGP-VPN blue.
[PE2-bgp-blue] import-route ospf 2 //Importe rutas del proceso OSPF 2.
[PE2-bgp-blue] quit
[PE2-bgp] ipv4-family vpn-instance white //Entre en la vista familiar de
direcciones IPv4 de instancia de BGP-VPN white.
[PE2-bgp-white] import-route ospf 3 //Importe rutas del proceso OSPF 3.
[PE2-bgp-white] quit
[PE2-bgp] quit
# Configure MCE2.
[MCE2] ospf 1 vpn-instance blue //Cree un proceso OSPF para servir la
instancia de VPN blue.
[MCE2-ospf-1] vpn-instance-capability simple //Deshabilite la detección
del bucle de enrutamiento OSPF.
[MCE2-ospf-1] area 0
[MCE2-ospf-1-area-0.0.0.0] network 10.1.5.0 0.0.0.255 //Especifique que
la interfaz se está ejecutando OSPF es el que está conectado al segmento de
red 10.1.5.0 y que la interfaz pertenece al Area 0.
[MCE2-ospf-1-area-0.0.0.0] network 192.168.3.0 0.0.0.255 //Especifique
que la interfaz se está ejecutando OSPF es el que está conectado al segmento
de red 192.168.3.0 y que la interfaz pertenece al Area 0.
[MCE2-ospf-1-area-0.0.0.0] quit
[MCE2-ospf-1] quit
CE1 y CE3 han aprendido enrutamientos entre sí, y CE2 y CE4 han aprendido
enrutamientos entre sí.
Paso 2 Configure interfaces de bucle invertido de multicast, direcciones de Share-Group y MTI para
instancias de VPN en los dispositivos de borde de proveedor PE1 y PE2.
# Configure PE1.
[PE1] interface eth-trunk 10
[PE1-Eth-Trunk10] service type multicast-tunnel //Configure Eth-Trunk 10 como
una interfaz loopback de multicast.
[PE1-Eth-Trunk10] trunkport gigabitethernet 3/0/5 //Enlace la interfaz de
miembro GE3/0/5 a Eth-Trunk 10.
[PE1-Eth-Trunk10] quit
[PE1] ip vpn-instance blue
[PE1-vpn-instance-blue] multicast routing-enable //Habilite el enrutamiento
de multicast en la instancia VPN blue.
[PE1-vpn-instance-blue] multicast-domain share-group 239.1.1.1 binding mtunnel
0 //Especifique 239.1.1.1 como el Share-Group de la instancia de VPN blue y
conéctelo a la interfaz de túnel de multicast MTI0.
[PE1-vpn-instance-blue] ipv4-family
[PE1-vpn-instance-blue-af-ipv4] multicast-domain source-interface loopback
0 //Configure el MTI para usar la dirección de Loopback0 como la dirección
predeterminada.
[PE1-vpn-instance-blue-af-ipv4] quit
[PE1-vpn-instance-blue] quit
[PE1] ip vpn-instance white
[PE1-vpn-instance-white] multicast routing-enable //Habilite el enrutamiento
de multicast en la instancia VPN white.
[PE1-vpn-instance-white] multicast-domain share-group 239.1.2.1 binding mtunnel
10 //Especifique 239.1.2.1 como el Share-Group de la instancia VPN white y
conéctelo a la interfaz de túnel de multicast MTI0.
[PE1-vpn-instance-white] ipv4-family
[PE1-vpn-instance-white-af-ipv4] multicast-domain source-interface loopback
0 //Configure el MTI para usar la dirección de Loopback0 como la dirección
predeterminada.
[PE1-vpn-instance-white-af-ipv4] quit
[PE1-vpn-instance-white] quit
# Configure PE2.
[PE2] interface eth-trunk 10
[PE2-Eth-Trunk10] service type multicast-tunnel //Configure Eth-Trunk 10 como
una interfaz loopback de multicast.
[PE2-Eth-Trunk10] trunkport gigabitethernet 3/0/5 //Enlace la interfaz de
miembro GE3/0/5 a Eth-Trunk 10.
[PE2-Eth-Trunk10] quit
[PE2] ip vpn-instance blue
[PE2-vpn-instance-blue] multicast routing-enable //Habilite el enrutamiento
de multicast en la instancia VPN blue.
[PE2-vpn-instance-blue] multicast-domain share-group 239.1.1.1 binding mtunnel
0 //Especifique 239.1.1.1 como el Share-Group de la instancia de VPN blue y
conéctelo a la interfaz de túnel de multicast MTI0.
[PE2-vpn-instance-blue] ipv4-family
[PE2-vpn-instance-blue-af-ipv4] multicast-domain source-interface loopback
0 //Configure el MTI para usar la dirección de Loopback0 como la dirección
predeterminada.
[PE2-vpn-instance-blue-af-ipv4] quit
[PE2-vpn-instance-blue] quit
[PE2] ip vpn-instance white
[PE2-vpn-instance-white] multicast routing-enable //Habilite el enrutamiento
de multicast en la instancia VPN white.
[PE2-vpn-instance-white] multicast-domain share-group 239.1.2.1 binding mtunnel
10 //Especifique 239.1.2.1 como el Share-Group de la instancia VPN white y
conéctelo a la interfaz de túnel de multicast MTI0.
[PE2-vpn-instance-white] ipv4-family
[PE2-vpn-instance-white-af-ipv4] multicast-domain source-interface loopback
0 //Configure el MTI para usar la dirección de Loopback0 como la dirección
predeterminada.
[PE2-vpn-instance-white-af-ipv4] quit
[PE2-vpn-instance-white] quit
# Configure PE2.
[PE2] multicast routing-enable //Habilite el enrutamiento de multicast
globalmente.
[PE2] interface vlanif 40
[PE2-Vlanif40] pim sm //Habilite PIM-SM en VLANIF40.
[PE2-Vlanif40] quit
[PE2] interface loopback 0
[PE2-LoopBack0] pim sm //Habilite PIM-SM en Loopback0.
[PE2-LoopBack0] quit
# Configure P.
[P] multicast routing-enable //Habilite el enrutamiento de multicast
globalmente.
[P] interface vlanif 30
[P-Vlanif30] pim sm //Habilite PIM-SM en VLANIF30.
[P-Vlanif30] quit
[P] interface vlanif 40
[P-Vlanif40] pim sm //Habilite PIM-SM en VLANIF40.
[P-Vlanif40] quit
[P] interface loopback 0
[P-LoopBack0] pim sm //Habilite PIM-SM en Loopback0.
[P-LoopBack0] quit
[P] pim
[P-pim] c-bsr loopback 0 //Configure Loopback0 como una interfaz C-BSR.
[P-pim] c-rp loopback 0 //Configure Loopback0 como una interfaz C-RP.
# Configure MCE1.
[MCE1] multicast routing-enable //Habilite el enrutamiento de multicast
globalmente.
[MCE1] ip vpn-instance blue
[MCE1-vpn-instance-blue] multicast routing-enable //Habilite el
enrutamiento de multicast en la instancia VPN blue.
[MCE1-vpn-instance-blue] quit
[MCE1] ip vpn-instance white
[MCE1-vpn-instance-white] multicast routing-enable //Habilite el
enrutamiento de multicast en la instancia VPN white.
[MCE1-vpn-instance-white] quit
[MCE1] interface vlanif 10
[MCE1-Vlanif10] pim sm //Habilite PIM-SM en VLANIF10.
[MCE1-Vlanif10] quit
[MCE1] interface vlanif 20
[MCE1-Vlanif20] pim sm //Habilite PIM-SM en VLANIF20.
[MCE1-Vlanif20] quit
[MCE1] interface vlanif 100
[MCE1-Vlanif100] pim sm //Habilite PIM-SM en VLANIF100.
[MCE1-Vlanif100] quit
[MCE1] interface vlanif 200
[MCE1-Vlanif200] pim sm //Habilite PIM-SM en VLANIF200.
[MCE1-Vlanif200] quit
# Configure PE2.
[PE2] interface vlanif 50
[PE2-Vlanif50] pim sm //Habilite PIM-SM en VLANIF50.
[PE2-Vlanif50] quit
[PE2] interface vlanif 60
[PE2-Vlanif60] pim sm //Habilite PIM-SM en VLANIF60.
[PE2-Vlanif60] quit
# Configure MCE2.
[MCE2] multicast routing-enable //Habilite el enrutamiento de multicast
globalmente.
[MCE2] ip vpn-instance blue
[MCE2-vpn-instance-blue] multicast routing-enable //Habilite el
enrutamiento de multicast en la instancia VPN blue.
[MCE2-vpn-instance-blue] quit
[MCE2] ip vpn-instance white
[MCE2-vpn-instance-white] multicast routing-enable //Habilite el
enrutamiento de multicast en la instancia VPN white.
[MCE2-vpn-instance-white] quit
[MCE2] interface vlanif 50 //Habilite PIM-SM en VLANIF50.
[MCE2-Vlanif50] pim sm
[MCE2-Vlanif50] quit
[MCE2] interface vlanif 60 //Habilite PIM-SM en VLANIF60.
[MCE2-Vlanif60] pim sm
[MCE2-Vlanif60] quit
[MCE2] interface vlanif 300 //Habilite PIM-SM en VLANIF300.
[MCE2-Vlanif300] pim sm
[MCE2-Vlanif300] quit
[MCE2] interface vlanif 400 //Habilite PIM-SM en VLANIF400.
[MCE2-Vlanif400] pim sm
[MCE2-Vlanif400] quit
----Fin
Archivos de configuración
l El archivo de configuración del borde PE1 del proveedor
#
sysname PE1
#
router id 1.1.1.1
#
vlan batch 10 20 30
#
multicast routing-enable
#
ip vpn-instance blue
ipv4-family
route-distinguisher 100:1
policy vpn-target
peer 3.3.3.3 enable
#
ipv4-family vpn-instance blue
import-route ospf 2
#
ipv4-family vpn-instance white
import-route ospf 3
#
ospf 1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 10.1.3.0 0.0.0.255
#
ospf 2 vpn-instance blue
import-route bgp
area 0.0.0.0
network 10.1.1.0 0.0.0.255
#
ospf 3 vpn-instance white
import-route bgp
area 0.0.0.0
network 10.1.2.0 0.0.0.255
#
pim vpn-instance blue
c-bsr Vlanif10
c-rp Vlanif10
#
pim vpn-instance white
c-bsr Vlanif20
c-rp Vlanif20
#
return
l El archivo de configuración del proveedor de borde PE2
#
sysname PE2
#
router id 3.3.3.3
#
vlan batch 40 50 60
#
multicast routing-enable
#
ip vpn-instance blue
ipv4-family
route-distinguisher 100:1
vpn-target 111:1 export-extcommunity
vpn-target 111:1 import-extcommunity
multicast routing-enable
multicast-domain source-interface LoopBack0
multicast-domain share-group 239.1.1.1 binding mtunnel 0
#
ip vpn-instance white
ipv4-family
route-distinguisher 200:1
vpn-target 222:1 export-extcommunity
vpn-target 222:1 import-extcommunity
multicast routing-enable
multicast-domain source-interface LoopBack0
multicast-domain share-group 239.1.2.1 binding mtunnel 10
#
mpls lsr-id 3.3.3.3
mpls
#
mpls ldp
#
interface Vlanif40
ip address 10.1.4.2 255.255.255.0
pim sm
mpls
mpls ldp
#
interface Vlanif50
ip binding vpn-instance blue
ip address 10.1.5.1 255.255.255.0
pim sm
#
interface Vlanif60
ip binding vpn-instance white
ip address 10.1.6.1 255.255.255.0
pim sm
#
interface Eth-Trunk10
service type multicast-tunnel
#
interface GigabitEthernet1/0/0
port link-type trunk
port trunk allow-pass vlan 50 60
#
interface GigabitEthernet3/0/0
port link-type trunk
port trunk allow-pass vlan 40
#
interface GigabitEthernet3/0/5
eth-trunk 10
#
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
pim sm
#
interface MTunnel0
ip binding vpn-instance blue
#
interface MTunnel10
ip binding vpn-instance white
#
bgp 100
peer 1.1.1.1 as-number 100
peer 1.1.1.1 connect-interface LoopBack0
#
ipv4-family unicast
undo synchronization
peer 1.1.1.1 enable
#
ipv4-family vpnv4
policy vpn-target
peer 1.1.1.1 enable
#
ipv4-family vpn-instance blue
import-route ospf 2
#
ipv4-family vpn-instance white
import-route ospf 3
#
ospf 1
area 0.0.0.0
network 3.3.3.3 0.0.0.0
network 10.1.4.0 0.0.0.255
#
ospf 2 vpn-instance blue
import-route bgp
area 0.0.0.0
network 10.1.5.0 0.0.0.255
#
ospf 3 vpn-instance white
import-route bgp
area 0.0.0.0
network 10.1.6.0 0.0.0.255
#
return
l El archivo de configuración del dispositivo intermedio del proveedor P
#
sysname P
#
router id 2.2.2.2
#
vlan batch 30 40
#
multicast routing-enable
#
mpls lsr-id 2.2.2.2
mpls
#
mpls ldp
#
interface Vlanif30
ip address 10.1.3.2 255.255.255.0
pim sm
mpls
mpls ldp
#
interface Vlanif40
ip address 10.1.4.1 255.255.255.0
pim sm
mpls
mpls ldp
#
interface GigabitEthernet2/0/0
port link-type trunk
port trunk allow-pass vlan 30
#
interface GigabitEthernet3/0/0
port link-type trunk
port trunk allow-pass vlan 40
#
interface LoopBack0
ip address 2.2.2.2 255.255.255.255
pim sm
#
ospf 1
area 0.0.0.0
network 2.2.2.2 0.0.0.0
network 10.1.3.0 0.0.0.255
network 10.1.4.0 0.0.0.255
#
pim
c-bsr LoopBack0
c-rp LoopBack0
#
return
l El archivo de configuración de salida agregada de sucursales MCE1
#
sysname MCE1
#
vlan batch 10 20 100 200
#
multicast routing-enable
#
ip vpn-instance blue
ipv4-family
route-distinguisher 100:1
vpn-target 111:1 export-extcommunity
vpn-target 111:1 import-extcommunity
multicast routing-enable
#
ip vpn-instance white
ipv4-family
route-distinguisher 200:1
vpn-target 222:1 export-extcommunity
vpn-target 222:1 import-extcommunity
multicast routing-enable
#
interface Vlanif10
ip binding vpn-instance blue
ip address 10.1.1.2 255.255.255.0
pim sm
#
interface Vlanif20
ip binding vpn-instance white
ip address 10.1.2.2 255.255.255.0
pim sm
#
interface Vlanif100
ip binding vpn-instance blue
ip address 192.168.1.1 255.255.255.0
pim sm
#
interface Vlanif200
ip binding vpn-instance white
ip address 192.168.2.1 255.255.255.0
pim sm
#
interface GigabitEthernet1/0/0
port link-type trunk
port trunk allow-pass vlan 10 20
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 100
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 200
#
ospf 1 vpn-instance blue
vpn-instance-capability simple
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 192.168.1.0 0.0.0.255
#
ospf 2 vpn-instance white
vpn-instance-capability simple
area 0.0.0.0
network 10.1.2.0 0.0.0.255
network 192.168.2.0 0.0.0.255
#
return
l El archivo de configuración de salida agregada de sucursales MCE2
#
sysname MCE2
#
vlan batch 50 60 300 400
#
multicast routing-enable
#
ip vpn-instance blue
ipv4-family
route-distinguisher 100:1
vpn-target 111:1 export-extcommunity
vpn-target 111:1 import-extcommunity
multicast routing-enable
#
ip vpn-instance white
ipv4-family
route-distinguisher 200:1
interface GigabitEthernet2/0/1
port link-type trunk
port trunk allow-pass vlan 101
#
ospf 1
area 0.0.0.0
network 192.168.1.0 0.0.0.255
network 192.168.11.0 0.0.0.255
#
return
l El archivo de configuración de CE2, salida para un sitio de servicio B
#
sysname CE2
#
vlan batch 200 to 201
#
multicast routing-enable
#
interface Vlanif200
ip address 192.168.2.2 255.255.255.0
pim sm
#
interface Vlanif201
ip address 192.168.12.1 255.255.255.0
pim sm
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 200
#
interface GigabitEthernet2/0/1
port link-type trunk
port trunk allow-pass vlan 201
#
ospf 1
area 0.0.0.0
network 192.168.2.0 0.0.0.255
network 192.168.12.0 0.0.0.255
#
return
l El archivo de configuración de CE3, salida para un sitio de servicio A.
#
sysname CE3
#
vlan batch 300 to 301
#
multicast routing-enable
#
interface Vlanif300
ip address 192.168.3.2 255.255.255.0
pim sm
#
interface Vlanif301
ip address 192.168.13.1 255.255.255.0
pim sm
igmp enable
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 300
#
interface GigabitEthernet2/0/1
port link-type trunk
port trunk allow-pass vlan 301
#
ospf 1
area 0.0.0.0
network 192.168.3.0 0.0.0.255
En general, todos los hosts en el mismo segmento de red tienen la misma ruta predeterminada
con la dirección de gateway como la dirección del siguiente salto. Los hosts utilizan el
enrutamiento predeterminado para enviar paquetes a gateway y el gateway reenvía los
paquetes a otros segmentos de red. Cuando el gateway falla, los hosts con el mismo
enrutamiento predeterminado no pueden comunicarse con redes externas. La configuración de
múltiples gateways de salida es un método común para mejorar la confiabilidad del sistema.
Sin embargo, la selección de enrutamiento entre los gateways se convierte en un problema.
Notas de configuración
l Asegúrese de que cada dispositivo del mismo grupo VRRP esté configurado con el
mismo VRID.
l En V200R003 y versiones anteriores, VRRP se puede configurar solo en la interfaz
VLANIF.
En V200R005 y versiones posteriores, VRRP se puede configurar en la interfaz
VLANIF y en la interfaz Ethernet de capa 3.
Para un switch modular en V200R006 y versiones posteriores, VRRP se puede
configurar en la interfaz VLANIF, interfaz Ethernet de capa 3, subinterfaz de
terminación Dot1q y subinterfaz de terminación QinQ.
Para un switch fijo en V200R009 y versiones posteriores, VRRP se puede configurar en
la interfaz VLANIF, interfaz Ethernet de capa 3 y subinterfaz.
l Las tarjetas de la serie SA no son compatibles con la función BGP/MPLS IP VPN. Las
tarjetas de la serie X1E de V200R006C00 y versiones posteriores son compatible con la
función BGP/MPLS IP VPN.
l Tabla 9-3 enumera productos y versiones aplicables.
S5310EI V200R002C00,
V200R003C00,
V200R005(C00&C02)
S5320EI V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S5320HI V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S6320EI V200R008C00,
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
En Figura 9-4, CE1 y CE2 pertenecen a vpna, y CE1 es dual-homed a PE1 y PE2 a través del
switch. Los requisitos son los siguientes:
l Normalmente, CE1 usa PE1 como el gateway predeterminado para comunicarse con
CE2. Cuando PE1 se vuelve defectuoso, PE1 se substituye por PE2, implementando
redundancia de gateway.
l Después de que PE1 se recupera, va a ser Master para transmitir datos después de un
retraso de prioridad de 20 segundos.
NOTA
En este escenario, para evitar bucles, asegúrese de que todas las interfaces conectadas tengan STP
deshabilitado y las interfaces conectadas se eliminen de la VLAN 1. Si STP está habilitado y las
interfaces VLANIF de switches se usan para construir una red de anillo de Capa 3, una interfaz en la red
va a ser bloqueado. Como resultado, los servicios de Capa 3 en la red no pueden ejecutarse
normalmente.
Procedimiento
Paso 1 Configure un protocolo IGP en la red de estructura básica MPLS para que los PE puedan
comunicarse entre sí.
# Configure PE1.
<Quidway> system-view
[Quidway] sysname PE1
[PE1] vlan 300
[PE1-vlan300] quit
[PE1] interface gigabitethernet 1/0/1
[PE1-GigabitEthernet1/0/1] port hybrid pvid vlan 300
[PE1-GigabitEthernet1/0/1] port hybrid untagged vlan 300
[PE1-GigabitEthernet1/0/1] quit
[PE1] interface loopback 1
[PE1-LoopBack1] ip address 1.1.1.1 32
[PE1-LoopBack1] quit
[PE1] interface vlanif 300
[PE1-Vlanif300] ip address 192.168.1.1 24
[PE1-Vlanif300] quit
[PE1] ospf 1
[PE1-ospf-1] area 0
[PE1-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[PE1-ospf-1-area-0.0.0.0] network 1.1.1.1 0.0.0.0
[PE1-ospf-1-area-0.0.0.0] quit
[PE1-ospf-1] quit
# Configure PE2.
<Quidway> system-view
[Quidway] sysname PE2
[PE2] vlan 200
[PE2-vlan200] quit
[PE2] interface gigabitethernet 1/0/1
[PE2-GigabitEthernet1/0/1] port hybrid pvid vlan 200
[PE2-GigabitEthernet1/0/1] port hybrid untagged vlan 200
[PE2-GigabitEthernet1/0/1] quit
# Configure PE3.
<Quidway> system-view
[Quidway] sysname PE3
[PE3] vlan batch 200 300
[PE3] interface gigabitethernet 1/0/1
[PE3-GigabitEthernet1/0/1] port hybrid pvid vlan 300
[PE3-GigabitEthernet1/0/1] port hybrid untagged vlan 300
[PE3-GigabitEthernet1/0/1] quit
[PE3] interface gigabitethernet 1/0/2
[PE3-GigabitEthernet1/0/2] port hybrid pvid vlan 200
[PE3-GigabitEthernet1/0/2] port hybrid untagged vlan 200
[PE3-GigabitEthernet1/0/2] quit
[PE3] interface loopback 1
[PE3-LoopBack1] ip address 3.3.3.3 32
[PE3-LoopBack1] quit
[PE3] interface vlanif 200
[PE3-Vlanif200] ip address 192.168.2.2 24
[PE3-Vlanif200] quit
[PE3] interface vlanif 300
[PE3-Vlanif300] ip address 192.168.1.2 24
[PE3-Vlanif300] quit
[PE3] ospf 1
[PE3-ospf-1] area 0
[PE3-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255
[PE3-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[PE3-ospf-1-area-0.0.0.0] network 3.3.3.3 0.0.0.0
[PE3-ospf-1-area-0.0.0.0] quit
[PE3-ospf-1] quit
Paso 2 Configure las funciones básicas de MPLS, habilite MPLS LDP y establezca LDP LSP en la
red de estructura básica de MPLS.
# Configure PE1.
[PE1] mpls lsr-id 1.1.1.1
[PE1] mpls
[PE1-mpls] quit
[PE1] mpls ldp
[PE1-mpls-ldp] quit
[PE1] interface vlanif 300
[PE1-Vlanif300] mpls
[PE1-Vlanif300] mpls ldp
[PE1-Vlanif300] quit
# Configure PE2.
[PE2] mpls lsr-id 2.2.2.2
[PE2] mpls
[PE2-mpls] quit
[PE2] mpls ldp
[PE2-mpls-ldp] quit
[PE2] interface vlanif 200
[PE2-Vlanif200] mpls
[PE2-Vlanif200] mpls ldp
[PE2-Vlanif200] quit
# Configure PE3.
[PE3] mpls lsr-id 3.3.3.3
[PE3] mpls
[PE3-mpls] quit
[PE3] mpls ldp
[PE3-mpls-ldp] quit
[PE3] interface vlanif 200
[PE3-Vlanif200] mpls
[PE3-Vlanif200] mpls ldp
[PE3-Vlanif200] quit
[PE3] interface vlanif 300
[PE3-Vlanif300] mpls
[PE3-Vlanif300] mpls ldp
[PE3-Vlanif300] quit
Paso 3 Configure una instancia de VPN en cada PE y conecte los CE a los PE.
# Configure el switch.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan 100
[Switch-vlan100] quit
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port hybrid pvid vlan 100
[Switch-GigabitEthernet1/0/1] port hybrid untagged vlan 100
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port hybrid pvid vlan 100
[Switch-GigabitEthernet1/0/2] port hybrid untagged vlan 100
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] port hybrid pvid vlan 100
[Switch-GigabitEthernet1/0/3] port hybrid untagged vlan 100
[Switch-GigabitEthernet1/0/3] quit
# Configure PE1.
[PE1] ip vpn-instance vpna
[PE1-vpn-instance-vpna] route-distinguisher 100:1
[PE1-vpn-instance-vpna-af-ipv4] vpn-target 111:1 both
[PE1-vpn-instance-vpna-af-ipv4] quit
[PE1-vpn-instance-vpna] quit
[PE1] vlan 100
[PE1-vlan100] quit
[PE1] interface gigabitethernet 1/0/2
[PE1-GigabitEthernet1/0/2] port hybrid pvid vlan 100
[PE1-GigabitEthernet1/0/2] port hybrid untagged vlan 100
[PE1-GigabitEthernet1/0/2] quit
[PE1] interface gigabitethernet 1/0/5
[PE1-GigabitEthernet1/0/5] port hybrid pvid vlan 100
[PE1-GigabitEthernet1/0/5] port hybrid untagged vlan 100
[PE1-GigabitEthernet1/0/5] quit
[PE1] interface vlanif 100
[PE1-Vlanif100] ip binding vpn-instance vpna
[PE1-Vlanif100] ip address 10.1.1.1 24
[PE1-Vlanif100] quit
# Configure PE2.
[PE2] ip vpn-instance vpna
[PE2-vpn-instance-vpna] route-distinguisher 100:1
[PE2-vpn-instance-vpna-af-ipv4] vpn-target 111:1 both
[PE2-vpn-instance-vpna-af-ipv4] quit
[PE2-vpn-instance-vpna] quit
[PE2] vlan 100
[PE2-vlan100] quit
[PE2] interface gigabitethernet 1/0/2
[PE2-GigabitEthernet1/0/2] port hybrid pvid vlan 100
# Configure PE3.
[PE3] ip vpn-instance vpna
[PE3-vpn-instance-vpna] route-distinguisher 100:1
[PE3-vpn-instance-vpna-af-ipv4] vpn-target 111:1 both
[PE3-vpn-instance-vpna-af-ipv4] quit
[PE3-vpn-instance-vpna] quit
[PE3] vlan 400
[PE3-vlan400] quit
[PE3] interface gigabitethernet 1/0/3
[PE3-GigabitEthernet1/0/3] port hybrid pvid vlan 400
[PE3-GigabitEthernet1/0/3] port hybrid untagged vlan 400
[PE3-GigabitEthernet1/0/3] quit
[PE3] interface vlanif 400
[PE3-Vlanif400] ip binding vpn-instance vpna
[PE3-Vlanif400] ip address 172.16.1.100 24
[PE3-Vlanif400] quit
# Configure CE1.
<Quidway> system-view
[Quidway] sysname CE1
[CE1] vlan 100
[CE1-vlan100] quit
[CE1] interface gigabitethernet 1/0/3
[CE1-GigabitEthernet1/0/3] port hybrid pvid vlan 100
[CE1-GigabitEthernet1/0/3] port hybrid untagged vlan 100
[CE1-GigabitEthernet1/0/3] quit
[CE1] interface vlanif 100
[CE1-Vlanif100] ip address 10.1.1.100 24
[CE1-Vlanif100] quit
# Configure CE2.
<Quidway> system-view
[Quidway] sysname CE2
[CE2] vlan 400
[CE2-vlan400] quit
[CE2] interface gigabitethernet 1/0/3
[CE2-GigabitEthernet1/0/3] port hybrid pvid vlan 400
[CE2-GigabitEthernet1/0/3] port hybrid untagged vlan 400
[CE2-GigabitEthernet1/0/3] quit
[CE2] interface vlanif 400
[CE2-Vlanif400] ip address 172.16.1.200 24
[CE2-Vlanif400] quit
Paso 4 Configure las relaciones de peers EBGP entre PE y CE e importe rutas VPN.
# Configure CE1.
[CE1] bgp 65410
[CE1-bgp] peer 10.1.1.111 as-number 100
[CE1-bgp] import-route direct
[CE1-bgp] quit
# Configure CE2.
[CE2] bgp 65430
[CE2-bgp] peer 172.16.1.100 as-number 100
# Configure PE1.
[PE1] bgp 100
[PE1-bgp] ipv4-family vpn-instance vpna
[PE1-bgp-vpna] peer 10.1.1.100 as-number 65410
[PE1-bgp-vpna] import-route direct
[PE1-bgp-vpna] quit
[PE1-bgp] quit
# Configure PE2.
[PE2] bgp 100
[PE2-bgp] ipv4-family vpn-instance vpna
[PE2-bgp-vpna] peer 10.1.1.100 as-number 65410
[PE2-bgp-vpna] import-route direct
[PE2-bgp-vpna] quit
[PE2-bgp] quit
# Configure PE3.
[PE3] bgp 100
[PE3-bgp] ipv4-family vpn-instance vpna
[PE3-bgp-vpna] peer 172.16.1.200 as-number 65430
[PE3-bgp-vpna] import-route direct
[PE3-bgp-vpna] quit
[PE3-bgp] quit
# Configure PE2.
[PE2] bgp 100
[PE2-bgp] peer 3.3.3.3 as-number 100
[PE2-bgp] peer 3.3.3.3 connect-interface loopback 1
[PE2-bgp] ipv4-family vpnv4
[PE2-bgp-af-vpnv4] peer 3.3.3.3 enable
[PE2-bgp-af-vpnv4] quit
[PE2-bgp] quit
# Configure PE3.
[PE3] bgp 100
[PE3-bgp] peer 1.1.1.1 as-number 100
[PE3-bgp] peer 2.2.2.2 as-number 100
[PE3-bgp] peer 1.1.1.1 connect-interface loopback 1
[PE3-bgp] peer 2.2.2.2 connect-interface loopback 1
[PE3-bgp] ipv4-family vpnv4
[PE3-bgp-af-vpnv4] peer 1.1.1.1 enable
[PE3-bgp-af-vpnv4] peer 2.2.2.2 enable
[PE3-bgp-af-vpnv4] quit
[PE3-bgp] quit
Paso 6 Configure MSTP para bloquear el enlace entre PE2 y el switch y evitar bucles.
# Configure PE1 para que funcione en modo MSTP.
[PE1] stp mode mstp
# Establezca el costo de ruta del puerto que conecta PE2 y el switch a 400000 para bloquear el
enlace entre PE2 y el switch.
[PE2] interface gigabitethernet 1/0/2
[PE2-GigabitEthernet1/0/2] stp cost 400000
[PE2-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] stp cost 400000
[Switch-GigabitEthernet1/0/2] quit
# Una vez completada la configuración, ejecute el comando display stp brief en el switch.
Puede ver que GE1/0/2 es el puerto alternativo y en estado DISCARDING.
[Switch] display stp brief
MSTID Port Role STP State Protection
0 GigabitEthernet1/0/1 ROOT FORWARDING NONE
0 GigabitEthernet1/0/2 ALTE DISCARDING NONE
# Ejecute el comando display vrrp en PE2 para comprobar el estado de VRRP. El resultado
del comando muestra que PE2 está en estado Master.
[PE2] display vrrp
Vlanif100 | Virtual Router 1
State : Master
Virtual IP : 10.1.1.111
Master IP : 10.1.1.2
PriorityRun : 100
PriorityConfig : 100
MasterPriority : 100
Preempt : YES Delay Time : 0 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
----Fin
Archivos de configuración
l Archivo de configuración de PE1
#
sysname PE1
#
vlan batch 100 300
#
stp instance 0 root primary
stp enable
#
ip vpn-instance vpna
ipv4-family
route-distinguisher 100:1
vpn-target 111:1 export-extcommunity
vpn-target 111:1 import-extcommunity
#
mpls lsr-id 1.1.1.1
mpls
#
mpls ldp
#
interface Vlanif100
ip binding vpn-instance vpna
ip address 10.1.1.1 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.1.111
vrrp vrid 1 priority 120
vrrp vrid 1 preempt-mode timer delay 20
#
interface Vlanif300
ip address 192.168.1.1 255.255.255.0
mpls
mpls ldp
#
interface GigabitEthernet1/0/1
port hybrid pvid vlan 300
port hybrid untagged vlan 300
#
interface GigabitEthernet1/0/2
port hybrid pvid vlan 100
port hybrid untagged vlan 100
#
interface GigabitEthernet1/0/5
port hybrid pvid vlan 100
port hybrid untagged vlan 100
#
interface LoopBack1
ip address 1.1.1.1 255.255.255.255
#
bgp 100
peer 3.3.3.3 as-number 100
peer 3.3.3.3 connect-interface LoopBack1
#
ipv4-family unicast
undo synchronization
peer 3.3.3.3 enable
#
ipv4-family vpnv4
policy vpn-target
peer 3.3.3.3 enable
#
ipv4-family vpn-instance vpna
import-route direct
peer 10.1.1.100 as-number 65410
#
ospf 1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 192.168.1.0 0.0.0.255
#
return
l Archivo de configuración de PE2
#
sysname PE2
#
vlan batch 100 200
#
stp instance 0 root secondary
stp enable
#
ip vpn-instance vpna
ipv4-family
route-distinguisher 100:1
vpn-target 111:1 export-extcommunity
vpn-target 111:1 import-extcommunity
#
mpls lsr-id 2.2.2.2
mpls
#
mpls ldp
#
interface Vlanif100
ip binding vpn-instance vpna
ip address 10.1.1.2 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.1.111
#
interface Vlanif200
ip address 192.168.2.1 255.255.255.0
mpls
mpls ldp
#
interface GigabitEthernet1/0/1
port hybrid pvid vlan 200
port hybrid untagged vlan 200
#
interface GigabitEthernet1/0/2
port hybrid pvid vlan 100
port hybrid untagged vlan 100
stp instance 0 cost 400000
#
interface GigabitEthernet1/0/5
port hybrid pvid vlan 100
port hybrid untagged vlan 100
#
interface LoopBack1
ip address 2.2.2.2 255.255.255.255
#
bgp 100
peer 3.3.3.3 as-number 100
peer 3.3.3.3 connect-interface LoopBack1
#
ipv4-family unicast
undo synchronization
peer 3.3.3.3 enable
#
ipv4-family vpnv4
policy vpn-target
peer 3.3.3.3 enable
#
ipv4-family vpn-instance vpna
import-route direct
peer 10.1.1.100 as-number 65410
#
ospf 1
area 0.0.0.0
network 2.2.2.2 0.0.0.0
network 192.168.2.0 0.0.0.255
#
return
l Archivo de configuración de PE3
#
sysname PE3
#
vlan batch 200 300 400
#
ip vpn-instance vpna
ipv4-family
route-distinguisher 100:1
vpn-target 111:1 export-extcommunity
vpn-target 111:1 import-extcommunity
#
mpls lsr-id 3.3.3.3
mpls
#
mpls ldp
#
interface Vlanif200
ip address 192.168.2.2 255.255.255.0
mpls
mpls ldp
#
interface Vlanif300
ip address 192.168.1.2 255.255.255.0
mpls
mpls ldp
#
interface Vlanif400
ip binding vpn-instance vpna
ip address 172.16.1.100 255.255.255.0
#
interface GigabitEthernet1/0/1
port hybrid pvid vlan 300
port hybrid untagged vlan 300
#
interface GigabitEthernet1/0/2
port hybrid pvid vlan 200
port hybrid untagged vlan 200
#
interface GigabitEthernet1/0/3
port hybrid pvid vlan 400
port hybrid untagged vlan 400
#
interface LoopBack1
ip address 3.3.3.3 255.255.255.255
#
bgp 100
peer 1.1.1.1 as-number 100
peer 1.1.1.1 connect-interface LoopBack1
peer 2.2.2.2 as-number 100
peer 2.2.2.2 connect-interface LoopBack1
#
ipv4-family unicast
undo synchronization
peer 1.1.1.1 enable
peer 2.2.2.2 enable
#
ipv4-family vpnv4
policy vpn-target
peer 1.1.1.1 enable
peer 2.2.2.2 enable
#
ipv4-family vpn-instance vpna
import-route direct
peer 172.16.1.200 as-number 65430
#
ospf 1
area 0.0.0.0
network 3.3.3.3 0.0.0.0
network 192.168.1.0 0.0.0.255
network 192.168.2.0 0.0.0.255
#
return
l Archivo de configuración del switch
#
sysname Switch
#
vlan batch 100
#
stp enable
#
interface GigabitEthernet1/0/1
port hybrid pvid vlan 100
port hybrid untagged vlan 100
#
interface GigabitEthernet1/0/2
port hybrid pvid vlan 100
port hybrid untagged vlan 100
stp instance 0 cost 400000
#
interface GigabitEthernet1/0/3
port hybrid pvid vlan 100
port hybrid untagged vlan 100
stp disable
#
return
l Archivo de configuración de CE1
#
sysname CE1
#
vlan batch 100
#
interface Vlanif100
ip address 10.1.1.100 255.255.255.0
#
interface GigabitEthernet1/0/3
port hybrid pvid vlan 100
port hybrid untagged vlan 100
#
bgp 65410
peer 10.1.1.111 as-number 100
#
ipv4-family unicast
undo synchronization
import-route direct
peer 10.1.1.111 enable
#
return
Notas de configuración
l Las tarjetas de la serie SA no son compatibles con la función BGP/MPLS IP VPN. Las
tarjetas de la serie X1E de V200R006C00 y versiones posteriores son compatible con la
función BGP/MPLS IP VPN.
l Tabla 9-4 enumera productos y versiones aplicables.
S5310EI V200R002C00,
V200R003C00,
V200R005(C00&C02)
S5320EI V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S5320HI V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S6320EI V200R008C00,
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de red
Como se muestra en Figura 9-5, CE1 está conectado a la sucursal Site 1, y CE2 está
conectado a la sucursal Site 2. Site 1 y Site 2 se comunican entre sí a través de la red de
estructura básica ISP . La empresa requiere que los usuarios de L3VPN en algunos segmentos
de red puedan comunicarse seguramente entre sí para cumplir con los requisitos del servicio.
Figura 9-5 Configuración de políticas de enrutamiento para controlar el acceso mutuo entre
usuarios de L3VPN
VPN de
estructura
Loopback1 básica Loopback1
1.1.1.9/32 2.2.2.9/32
GE2/0/0 GE2/0/0
VLANIF100 VLANIF100
PE1 172.10.1.1/24 172.10.1.2/24 PE2
GE1/0/0 GE1/0/0
VLANIF10 VLANIF10
192.168.1.1/24 192.168.2.1/24
Procedimiento
Paso 1 Configure un protocolo IGP en la red de estructura básica MPLS para que los dispositivos PE
puedan comunicarse entre sí.
# Configure PE1.
<Quidway> system-view
[Quidway] sysname PE1
[PE1] interface loopback 1
[PE1-LoopBack1] ip address 1.1.1.9 32
[PE1-LoopBack1] quit
[PE1] vlan batch 10 100
[PE1] interface gigabitethernet 1/0/0
[PE1-GigabitEthernet1/0/0] port link-type trunk
[PE1-GigabitEthernet1/0/0] port trunk allow-pass vlan 10
[PE1-GigabitEthernet1/0/0] quit
[PE1] interface gigabitethernet 2/0/0
[PE1-GigabitEthernet2/0/0] port link-type trunk
[PE1-GigabitEthernet2/0/0] port trunk allow-pass vlan 100
[PE1-GigabitEthernet2/0/0] quit
[PE1] interface vlanif 100
[PE1-Vlanif100] ip address 172.10.1.1 24
[PE1-Vlanif100] quit
[PE1] ospf 1
[PE1-ospf-1] area 0
[PE1-ospf-1-area-0.0.0.0] network 172.10.1.0 0.0.0.255
[PE1-ospf-1-area-0.0.0.0] network 1.1.1.9 0.0.0.0
[PE1-ospf-1-area-0.0.0.0] quit
[PE1-ospf-1] quit
# Configure PE2.
<Quidway> system-view
[Quidway] sysname PE2
[PE2] interface loopback 1
[PE2-LoopBack1] ip address 2.2.2.9 32
[PE2-LoopBack1] quit
[PE2] vlan batch 10 100
[PE2] interface gigabitethernet 1/0/0
[PE2-GigabitEthernet1/0/0] port link-type trunk
[PE2-GigabitEthernet1/0/0] port trunk allow-pass vlan 10
[PE2-GigabitEthernet1/0/0] quit
[PE2] interface gigabitethernet 2/0/0
[PE2-GigabitEthernet2/0/0] port link-type trunk
[PE2-GigabitEthernet2/0/0] port trunk allow-pass vlan 100
[PE2-GigabitEthernet2/0/0] quit
[PE2] interface vlanif 100
[PE2-Vlanif100] ip address 172.10.1.2 24
[PE2-Vlanif100] quit
[PE2] ospf 1
[PE2-ospf-1] area 0
[PE2-ospf-1-area-0.0.0.0] network 172.10.1.0 0.0.0.255
[PE2-ospf-1-area-0.0.0.0] network 2.2.2.9 0.0.0.0
[PE2-ospf-1-area-0.0.0.0] quit
[PE2-ospf-1] quit
# Configure PE2.
[PE2] mpls lsr-id 2.2.2.9
[PE2] mpls
[PE2-mpls] quit
[PE2] mpls ldp
[PE2-mpls-ldp] quit
[PE2] interface vlanif 100
[PE2-Vlanif100] mpls
[PE2-Vlanif100] mpls ldp
[PE2-Vlanif100] quit
Después de completar la configuración, PE1 y PE2 han establecido sesiones LDP. Ejecute el
comando display mpls ldp session, y puede ver que el estado(Status) de la sesión LDP es
Operational.
Paso 3 Configure una instancia VPN en cada dispositivo PE y conecte los dispositivos CE a los
dispositivos PE.
# Configure PE1.
[PE1] ip vpn-instance vpna
[PE1-vpn-instance-vpna] route-distinguisher 100:1
[PE1-vpn-instance-vpna-af-ipv4] vpn-target 111:1 both
[PE1-vpn-instance-vpna-af-ipv4] quit
[PE1-vpn-instance-vpna] quit
[PE1] interface vlanif 10
[PE1-Vlanif10] ip binding vpn-instance vpna
[PE1-Vlanif10] ip address 192.168.1.1 24
[PE1-Vlanif10] quit
# Configure PE2.
[PE2] ip vpn-instance vpna
[PE2-vpn-instance-vpna] route-distinguisher 200:1
[PE2-vpn-instance-vpna-af-ipv4] vpn-target 222:1 both
[PE2-vpn-instance-vpna-af-ipv4] quit
[PE2-vpn-instance-vpna] quit
[PE2] interface vlanif 10
[PE2-Vlanif10] ip binding vpn-instance vpna
[PE2-Vlanif10] ip address 192.168.2.1 24
[PE2-Vlanif10] quit
NOTA
Si un dispositivo PE tiene múltiples interfaces vinculadas a la misma instancia de VPN, debe especificar
una dirección IP de origen cuando haga ping al dispositivo CE conectado al dispositivo PE remoto. Para
especificar la dirección IP de origen, configure el parámetro -a source-ip-address en el comando ping -
vpn-instance vpn-instance-name -a source-ip-address dest-ip-address. Si no se especifica una dirección
IP de origen, la operación de ping falla.
# Configure PE2.
[PE2] ip ip-prefix ipPrefix1 index 10 permit 192.168.2.0 24 greater-equal 24 less-
equal 32
[PE2] route-policy vpnroute permit node 1
[PE2-route-policy] if-match ip-prefix ipPrefix1
[PE2-route-policy] apply extcommunity rt 111:1
[PE2-route-policy] quit
[PE2] ip vpn-instance vpna
[PE2-vpn-instance-vpna] export route-policy vpnroute
[PE2-vpn-instance-vpna] quit
Paso 5 Configure las relaciones de peers EBGP entre los dispositivos PE y CE e importe las rutas
VPN.
# Configure CE1. La configuración de CE2 es similar a la de CE1 y no se menciona aquí.
[CE1] bgp 65410
[CE1-bgp] peer 192.168.1.1 as-number 100
[CE1-bgp] import-route direct
[CE1-bgp] quit
# Configure PE2.
[PE2] bgp 100
[PE2-bgp] peer 1.1.1.9 as-number 100
[PE2-bgp] peer 1.1.1.9 connect-interface loopback 1
[PE2-bgp] ipv4-family vpnv4
[PE2-bgp-af-vpnv4] peer 1.1.1.9 enable
[PE2-bgp-af-vpnv4] quit
[PE2-bgp] quit
Después de completar la configuración, ejecute el comando display bgp peer o display bgp
vpnv4 all peer en PE1 y PE2. Puede ver que las relaciones de peers BGP se han establecido
entre los dispositivos PE y están en el estado Established.
Paso 7 Verifique la configuración
# Ejecute el comando ping -vpn-instance en PE1 y PE2. Puede hacer ping con éxito en el
Site CE que está conectado al dispositivo PE de peers.
La visualización en PE1 se usa como un ejemplo:
[PE1] ping -vpn-instance vpna 192.168.2.2
PING 192.168.2.2: 56 data bytes, press CTRL_C to break
Reply from 192.168.2.2: bytes=56 Sequence=1 ttl=254 time=6 ms
Reply from 192.168.2.2: bytes=56 Sequence=2 ttl=254 time=5 ms
Reply from 192.168.2.2: bytes=56 Sequence=3 ttl=254 time=7 ms
Reply from 192.168.2.2: bytes=56 Sequence=4 ttl=254 time=6 ms
Reply from 192.168.2.2: bytes=56 Sequence=5 ttl=254 time=5 ms
----Fin
Archivos de configuración
l Archivo de configuración de PE1
#
sysname PE1
#
vlan batch 10 100
#
ip vpn-instance vpna
ipv4-family
route-distinguisher 100:1
export route-policy vpnroute
vpn-target 111:1 export-extcommunity
vpn-target 111:1 import-extcommunity
#
mpls lsr-id 1.1.1.9
mpls
#
mpls ldp
#
interface Vlanif10
ip binding vpn-instance vpna
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif100
ip address 172.10.1.1 255.255.255.0
mpls
mpls ldp
#
interface GigabitEthernet1/0/0
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet2/0/0
port link-type trunk
port trunk allow-pass vlan 100
#
interface LoopBack1
ip address 1.1.1.9 255.255.255.255
#
bgp 100
peer 2.2.2.9 as-number 100
peer 2.2.2.9 connect-interface LoopBack1
#
ipv4-family unicast
undo synchronization
peer 2.2.2.9 enable
#
ipv4-family vpnv4
policy vpn-target
peer 2.2.2.9 enable
#
ipv4-family vpn-instance vpna
import-route direct
peer 192.168.1.2 as-number 65410
#
ospf 1
area 0.0.0.0
network 1.1.1.9 0.0.0.0
network 172.10.1.0 0.0.0.255
#
route-policy vpnroute permit node 1
if-match ip-prefix ipPrefix1
apply extcommunity rt 222:1
#
ip ip-prefix ipPrefix1 index 10 permit 192.168.1.0 24 greater-equal 24 less-
equal 32
#
return
l Archivo de configuración de PE2
#
sysname PE2
#
vlan batch 10 100
#
ip vpn-instance vpna
ipv4-family
route-distinguisher 200:1
export route-policy vpnroute
vpn-target 222:1 export-extcommunity
vpn-target 222:1 import-extcommunity
#
mpls lsr-id 2.2.2.9
mpls
#
mpls ldp
#
interface Vlanif10
ip binding vpn-instance vpna
ip address 192.168.2.1 255.255.255.0
#
interface Vlanif100
ip address 172.10.1.2 255.255.255.0
mpls
mpls ldp
#
interface GigabitEthernet1/0/0
port link-type trunk
#
interface GigabitEthernet1/0/0
port link-type trunk
port trunk allow-pass vlan 10
#
bgp 65420
peer 192.168.2.1 as-number 100
#
ipv4-family unicast
undo synchronization
import-route direct
peer 192.168.2.1 enable
#
return
Después de que las subinterfaces de terminación QinQ estén conectadas a una red VLL, las
sub-interfaces en los dispositivos terminan las etiquetas VLAN dobles antes de enviar los
paquetes a la red VLL.
Las subinterfaces de terminación QinQ se aplican a escenarios donde todas las VLAN (como
VLAN 100 a VLAN 200) de un sitio necesitan comunicarse con un sitio remoto a través de la
red VLL o se deben guardar los recursos de VLAN de la red pública. En estos escenarios, se
debe desplegar el dispositivo de conmutación entre los dispositivos CE y PE, agrega la misma
etiqueta VLAN externa a los paquetes que llevan diferentes etiquetas VLAN internas desde
diferentes dispositivos CE. Luego la subinterfaz en el dispositivo PE termina las doble
etiquetas VLAN en paquetes QinQ y envía los paquetes al túnel de VLL.
QinQ es una extensión de MAN Ethernet VPN en la red VLL de core. Puede formar una
solución VPN extremo a extremo para implementar la comunicación de Capa 2 entre usuarios
geográficamente aislados.
Notas de configuración
l Las tarjetas SA de la serie S no son compatibles con VLL, y las tarjetas de la serie X1E
de V200R007 y versiones posteriores admiten VLL.
l A continuación se describen los modelos y versiones de productos aplicables.
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra en Figura 9-6, CE1 y CE2 están conectados a PE1 y PE2 respectivamente a
través de las VLAN.
Debe configurar QinQ selectivo en las interfaces conectadas a los CE para que Switch
agregue las etiquetas de VLAN especificadas por el portador a los paquetes enviados desde
los CE.
Cuando Switch está conectado a múltiples CE, Switch puede agregar la misma etiqueta de
VLAN a los paquetes de diferentes CE, con lo que se guardan los ID de VLAN en la red
pública.
Figura 9-6 Diagrama de redes para conectar las subinterfaces de terminación QinQ a una red
VLL
Loopback1 Loopback1 Loopback1
1.1.1.1/32 2.2.2.2/32 3.3.3.3/32
GE2/0/0 GE1/0/0
PE1 PE2
GE2/0/0 GE1/0/0
GE1/0/0 P GE2/0/0
GE2/0/0 GE2/0/0
Switch1 Switch2
GE1/0/0 GE1/0/0
GE1/0/0 GE1/0/0
CE1 CE2
Switch Interfaz Interfaz VLANIF Dirección IP
- Loopback1 - 1.1.1.1/32
- GigabitEthernet2/0/0 GigabitEthernet2/0/0.1 -
- Loopback1 - 3.3.3.3/32
- Loopback1 - 2.2.2.2/32
Procedimiento
Paso 1 Configure las VLAN a las que pertenecen las interfaces de CE, PE y P y asigne direcciones IP
a las interfaces de VLANIF de acuerdo con Figura 9-6.
# Configure CE1 para garantizar que los paquetes enviados desde CE1 hasta Switch1 lleven
una sola etiqueta VLAN.
<Quidway> system-view
[Quidway] sysname CE1
[CE1] vlan batch 10
[CE1] interface gigabitethernet 1/0/0
[CE1-GigabitEthernet1/0/0] port link-type trunk
[CE1-GigabitEthernet1/0/0] port trunk allow-pass vlan 10
[CE1-GigabitEthernet1/0/0] quit
[CE1] interface vlanif 10
[CE1-Vlanif10] ip address 10.10.10.1 24
[CE1-Vlanif10] quit
# Configure CE2 para garantizar que los paquetes enviados desde CE2 hasta Switch2 lleven
una sola etiqueta VLAN.
<Quidway> system-view
[Quidway] sysname CE2
[CE2] vlan batch 10
[CE2] interface gigabitethernet 1/0/0
[CE2-GigabitEthernet1/0/0] port link-type trunk
[CE2-GigabitEthernet1/0/0] port trunk allow-pass vlan 10
[CE2-GigabitEthernet1/0/0] quit
[CE2] interface vlanif 10
[CE2-Vlanif10] ip address 10.10.10.2 24
[CE2-Vlanif10] quit
# Configure PE1.
<Quidway> system-view
[Quidway] sysname PE1
[PE1] vlan batch 20
[PE1] interface gigabitethernet 2/0/0
[PE1-GigabitEthernet2/0/0] port hybrid pvid vlan 20
[PE1-GigabitEthernet2/0/0] port hybrid tagged vlan 20
[PE1-GigabitEthernet2/0/0] quit
[PE1] interface vlanif 20
[PE1-Vlanif20] ip address 10.1.1.1 24
[PE1-Vlanif20] quit
# Configure P.
<Quidway> system-view
[Quidway] sysname P
[P] vlan batch 20 30
[P] interface gigabitethernet 1/0/0
[P-GigabitEthernet1/0/0] port hybrid pvid vlan 30
[P-GigabitEthernet1/0/0] port hybrid tagged vlan 30
[P-GigabitEthernet1/0/0] quit
# Configure PE2.
<Quidway> system-view
[Quidway] sysname PE2
[PE2] vlan batch 30
[PE2] interface gigabitethernet 1/0/0
[PE2-GigabitEthernet1/0/0] port hybrid pvid vlan 30
[PE2-GigabitEthernet1/0/0] port hybrid tagged vlan 30
[PE2-GigabitEthernet1/0/0] quit
[PE2] interface vlanif 30
[PE2-Vlanif30] ip address 10.2.2.1 24
[PE2-Vlanif30] quit
Paso 2 Configure QinQ selectivo en las interfaces de Switch y especifique las VLAN permitidas por
las interfaces.
# Configure Switch1.
<Quidway> system-view
[Quidway] sysname Switch1
[Switch1] vlan 100
[Switch1-vlan100] quit
[Switch1] interface gigabitethernet2/0/0
[Switch1-GigabitEthernet2/0/0] port hybrid tagged vlan 100
[Switch1-GigabitEthernet2/0/0] quit
[Switch1] interface gigabitethernet1/0/0
[Switch1-GigabitEthernet1/0/0] port hybrid untagged vlan 100
[Switch1-GigabitEthernet1/0/0] port vlan-stacking vlan 10 stack-vlan 100 //En un
switch fijo, primero ejecute el comando qinq vlan-translation enable para
habilitar la traducción de VLAN.
[Switch1-GigabitEthernet1/0/0] quit
# Configure Switch2.
<Quidway> system-view
[Quidway] sysname Switch2
[Switch2] vlan 100
[Switch2-vlan100] quit
[Switch2] interface gigabitethernet2/0/0
[Switch2-GigabitEthernet2/0/0] port hybrid tagged vlan 100
[Switch2-GigabitEthernet2/0/0] quit
[Switch2] interface gigabitethernet1/0/0
[Switch2-GigabitEthernet1/0/0] port hybrid untagged vlan 100
[Switch2-GigabitEthernet1/0/0] port vlan-stacking vlan 10 stack-vlan 100 //En un
switch fijo, primero ejecute el comando qinq vlan-translation enable para
habilitar la traducción de VLAN.
[Switch2-GigabitEthernet1/0/0] quit
Paso 3 Configure un IGP en la red de estructura básica MPLS. OSPF se usa como un ejemplo.
Configure PE1, P y PE2 para anunciar direcciones de interfaz de loopback de 32–bit como los
ID de LSR.
# Configure PE1.
[PE1] router id 1.1.1.1
[PE1] interface loopback 1
[PE1-LoopBack1] ip address 1.1.1.1 32
[PE1-LoopBack1] quit
[PE1] ospf 1
[PE1-ospf-1] area 0
[PE1-ospf-1-area-0.0.0.0] network 1.1.1.1 0.0.0.0
[PE1-ospf-1-area-0.0.0.0] network 10.1.1.1 0.0.0.255
[PE1-ospf-1-area-0.0.0.0] quit
[PE1-ospf-1] quit
# Configure P.
[P] router id 2.2.2.2
[P] interface loopback 1
[P-LoopBack1] ip address 2.2.2.2 32
[P-LoopBack1] quit
[P] ospf 1
[P-ospf-1] area 0
[P-ospf-1-area-0.0.0.0] network 2.2.2.2 0.0.0.0
[P-ospf-1-area-0.0.0.0] network 10.1.1.2 0.0.0.255
[P-ospf-1-area-0.0.0.0] network 10.2.2.2 0.0.0.255
[P-ospf-1-area-0.0.0.0] quit
[P-ospf-1] quit
# Configure PE2.
[PE2] router id 3.3.3.3
[PE2] interface loopback 1
[PE2-LoopBack1] ip address 3.3.3.3 32
[PE2-LoopBack1] quit
[PE2] ospf 1
[PE2-ospf-1] area 0
[PE2-ospf-1-area-0.0.0.0] network 3.3.3.3 0.0.0.0
[PE2-ospf-1-area-0.0.0.0] network 10.2.2.1 0.0.0.255
[PE2-ospf-1-area-0.0.0.0] quit
[PE2-ospf-1] quit
# Una vez completada la configuración, PE1, P y PE2 pueden establecer relaciones vecinas
OSPF. Ejecute el comando display ospf peer. Usted puede ver que el estado de la relación de
vecino OSPF es Full. Ejecute el comando display ip routing-table. Usted puede ver que los
PE aprenden la ruta a la interfaz Loopback1 entre ellos. La visualización en PE1 se usa como
un ejemplo:
[PE1] display ospf peer
Paso 4 Habilite las funciones básicas de MPLS y el MPLS LDP en la red de estructura básica de
MPLS.
# Configure PE1.
[PE1] mpls lsr-id 1.1.1.1
[PE1] mpls
[PE1-mpls] quit
[PE1] mpls ldp
[PE1-mpls-ldp] quit
[PE1] interface vlanif 20
[PE1-Vlanif20] mpls
[PE1-Vlanif20] mpls ldp
[PE1-Vlanif20] quit
# Configure P.
[P] mpls lsr-id 2.2.2.2
[P] mpls
[P-mpls] quit
[P] mpls ldp
[P-mpls-ldp] quit
[P] interface vlanif 20
[P-Vlanif20] mpls
[P-Vlanif20] mpls ldp
[P-Vlanif20] quit
[P] interface vlanif 30
[P-Vlanif30] mpls
[P-Vlanif30] mpls ldp
[P-Vlanif30] quit
# Configure PE2.
[PE2] mpls lsr-id 3.3.3.3
[PE2] mpls
[PE2-mpls] quit
[PE2] mpls ldp
[PE2-mpls-ldp] quit
[PE2] interface vlanif 30
[PE2-Vlanif30] mpls
[PE2-Vlanif30] mpls ldp
[PE2-Vlanif30] quit
# Configure PE2.
[PE2] mpls ldp remote-peer 1.1.1.1
[PE2-mpls-ldp-remote-1.1.1.1] remote-ip 1.1.1.1
[PE2-mpls-ldp-remote-1.1.1.1] quit
Una vez completada la configuración, ejecute el comando display mpls ldp session en PE1
para ver la configuración de la sesión LDP. Usted puede ver que una sesión LDP está
configurada entre PE1 y PE2.
La visualización en PE1 se usa como un ejemplo:
[PE1] display mpls ldp session
----Fin
Archivos de configuración
l Archivo de configuración de CE1
#
sysname CE1
#
vlan batch 10
#
interface Vlanif10
ip address 10.10.10.1 255.255.255.0
#
interface GigabitEthernet1/0/0
port link-type trunk
port trunk allow-pass vlan 10
#
return
interface Vlanif30
ip address 10.2.2.2 255.255.255.0
mpls
mpls ldp
#
interface GigabitEthernet1/0/0
port hybrid pvid vlan 30
port hybrid tagged vlan 30
#
interface GigabitEthernet2/0/0
port hybrid pvid vlan 20
port hybrid tagged vlan 20
#
interface LoopBack1
ip address 2.2.2.2 255.255.255.255
#
ospf 1
area 0.0.0.0
network 2.2.2.2 0.0.0.0
network 10.1.1.0 0.0.0.255
network 10.2.2.0 0.0.0.255
#
return
l Archivo de configuración de PE2
#
sysname PE2
#
router id 3.3.3.3
#
vlan batch 30
#
mpls lsr-id 3.3.3.3
mpls
#
mpls l2vpn
#
mpls ldp
#
mpls ldp remote-peer 1.1.1.1
remote-ip 1.1.1.1
#
interface Vlanif30
ip address 10.2.2.1 255.255.255.0
mpls
mpls ldp
#
interface GigabitEthernet1/0/0
port hybrid pvid vlan 30
port hybrid tagged vlan 30
#
interface GigabitEthernet2/0/0.1
qinq termination pe-vid 100 ce-vid 10
mpls l2vc 1.1.1.1 101
#
interface LoopBack1
ip address 3.3.3.3 255.255.255.255
#
ospf 1
area 0.0.0.0
network 3.3.3.3 0.0.0.0
network 10.2.2.0 0.0.0.255
#
return
l Archivo de configuración de Switch2
#
sysname Switch2
#
vlan batch 100
#
interface GigabitEthernet1/0/0
port hybrid untagged vlan 100
port vlan-stacking vlan 10 stack-vlan 100
#
interface GigabitEthernet2/0/0
port hybrid tagged vlan 100
#
return
VPLS integra las ventajas proporcionadas por Ethernet y MPLS. con la emulación de las
funciones de LAN tradicionales, VPLS habilita los usuarios que están muy separados y en
diferentes LAN Ethernet para que se comuniquen entre sí a través de la red IP/MPLS
proporcionada por el ISP como si estuvieran en la misma LAN.
A medida que las empresas establecen cada día más sucursales en diferentes regiones y
aumenta la flexibilidad de la oficina, las aplicaciones como la mensajería instantánea y las
teleconferencias se usan cada vez más. Esto impone altos requisitos para las tecnologías de
comunicación de datos de extremo a extremo (E2E). Múltiples sucursales de empresa
distribuidas en diferentes regiones necesitan comunicarse a través de la red de área
metropolitana (MAN) proporcionada por el ISP. Los paquetes de servicio de Capa 2 entre las
sucursales empresariales deben transmitirse a través de MAN mediante la tecnología VPLS,
de modo que las sucursales empresariales en diferentes regiones puedan comunicarse entre sí.
El ISP puede usar el mismo dispositivo PE para proporcionar servicios de VPLS y L3VPN
para que las empresas reduzcan los costos de construcción de la red.
Notas de configuración
l Las tarjetas de la serie SA no son compatibles en este ejemplo. Las tarjetas de la serie
X1E de V200R007 y versiones posteriores son compatibles en este ejemplo.
l Tabla 9-6 enumera productos y versiones aplicables.
S5310EI V200R002C00,
V200R003C00,
V200R005(C00&C02)
S5320EI V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S5320HI V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S6320EI V200R008C00,
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de red
Como se muestra en Figura 9-7:
l Un ISP proporciona servicios VPLS y L3VPN.
l CE1 conectado a la sede de la empresa A y CE3 conectado a una sucursal pertenecen al
mismo VPLS para proporcionar servicios de Capa 2. CE1 y CE3 están vinculados a
vpna a implementar una transmisión segura de los datos de Capa 3.
l CE2 conectado a la sede de la empresa B y CE4 conectado a una sucursal pertenecen al
mismo VPLS para proporcionar servicios de Capa 2. CE2 y CE4 están vinculados a
vpna a implementar una transmisión segura de los datos de Capa 3.
l El QinQ selectivo debe configurarse en las interfaces del lado CE en los switches para
agregar las etiquetas VLAN externas especificadas por el ISP a los paquetes enviados
desde los dispositivos CE. Si un switch se conecta a múltiples dispositivos CE, puede
agregar la misma etiqueta VLAN a los paquetes de diferentes dispositivos CE. Esto
ahorra las ID de VLAN en la red ISP.
Figura 9-7 Redes para desplegar BGP/MPLS IP VPN y VPLS en una red ISP
GE1/0/0 GE1/0/0
VLANIF10 CE1 VLANIF10 CE3
10.1.1.1/24 10.3.1.1/24
Loopback1
2.2.2.9/32
GE1/0/0 GE1/0/0 GE2/0/0 GE1/0/0
PE1 VLANIF30 VLANIF60 PE2
Loopback1 172.1.1.2/24 172.2.1.1/24 Loopback1
1.1.1.9/32 GE3/0/0 3.3.3.9/32
GE3/0/0
VLANIF30 P VLANIF60
GE2/0/0 172.1.1.1/24 172.2.1.2/24 GE2/0/0
AS: 100
VPN de estructura básica
GE2/0/0 GE2/0/0
Switch1 Switch2
GE1/0/0 GE1/0/0
GE1/0/0 GE1/0/0
CE2 VLANIF20 VLANIF20 CE4
10.2.1.1/24 10.4.1.1/24
vpnb vpnb
vsi2 vsi2
AS: 65420 AS: 65440
Plan de datos
Procedimiento
Paso 1 Configure un protocolo IGP en la red de estructura básica MPLS para que los dispositivos PE
y P puedan comunicarse entre sí.
# Configure PE1.
<Quidway> system-view
[Quidway] sysname PE1
[PE1] interface loopback 1
[PE1-LoopBack1] ip address 1.1.1.9 32
[PE1-LoopBack1] quit
[PE1] vlan batch 30
[PE1] interface gigabitethernet 3/0/0
[PE1-GigabitEthernet3/0/0] port hybrid pvid vlan 30
[PE1-GigabitEthernet3/0/0] port hybrid untagged vlan 30
[PE1-GigabitEthernet3/0/0] quit
[PE1] interface vlanif 30
[PE1-Vlanif30] ip address 172.1.1.1 24
[PE1-Vlanif30] quit
[PE1] ospf 1
[PE1-ospf-1] area 0
[PE1-ospf-1-area-0.0.0.0] network 172.1.1.0 0.0.0.255
[PE1-ospf-1-area-0.0.0.0] network 1.1.1.9 0.0.0.0
[PE1-ospf-1-area-0.0.0.0] quit
[PE1-ospf-1] quit
# Configure P.
<Quidway> system-view
[Quidway] sysname P
[P] interface loopback 1
[P-LoopBack1] ip address 2.2.2.9 32
[P-LoopBack1] quit
[P] vlan batch 30 60
[P] interface gigabitethernet 1/0/0
[P-GigabitEthernet1/0/0] port hybrid pvid vlan 30
[P-GigabitEthernet1/0/0] port hybrid untagged vlan 30
[P-GigabitEthernet1/0/0] quit
[P] interface gigabitethernet 2/0/0
[P-GigabitEthernet2/0/0] port hybrid pvid vlan 60
[P-GigabitEthernet2/0/0] port hybrid untagged vlan 60
[P-GigabitEthernet2/0/0] quit
[P] interface vlanif 30
[P-Vlanif30] ip address 172.1.1.2 24
[P-Vlanif30] quit
[P] interface vlanif 60
[P-Vlanif60] ip address 172.2.1.1 24
[P-Vlanif60] quit
[P] ospf 1
[P-ospf-1] area 0
[P-ospf-1-area-0.0.0.0] network 172.1.1.0 0.0.0.255
[P-ospf-1-area-0.0.0.0] network 172.2.1.0 0.0.0.255
[P-ospf-1-area-0.0.0.0] network 2.2.2.9 0.0.0.0
[P-ospf-1-area-0.0.0.0] quit
[P-ospf-1] quit
# Configure PE2.
<Quidway> system-view
[Quidway] sysname PE2
[PE2] interface loopback 1
[PE2-LoopBack1] ip address 3.3.3.9 32
[PE2-LoopBack1] quit
[PE2] vlan batch 60
[PE2] interface gigabitethernet 3/0/0
[PE2-GigabitEthernet3/0/0] port hybrid pvid vlan 60
[PE2-GigabitEthernet3/0/0] port hybrid untagged vlan 60
[PE2-GigabitEthernet3/0/0] quit
[PE2] interface vlanif 60
[PE2-Vlanif60] ip address 172.2.1.2 24
[PE2-Vlanif60] quit
[PE2] ospf 1
[PE2-ospf-1] area 0
[PE2-ospf-1-area-0.0.0.0] network 172.2.1.0 0.0.0.255
[PE2-ospf-1-area-0.0.0.0] network 3.3.3.9 0.0.0.0
[PE2-ospf-1-area-0.0.0.0] quit
[PE2-ospf-1] quit
Paso 2 Habilite las capacidades básicas de MPLS y MPLS LDP en los dispositivos PE para
configurar los LDP LSP en la red de estructura básica MPLS.
# Configure PE1.
[PE1] mpls lsr-id 1.1.1.9
[PE1] mpls
[PE1-mpls] quit
[PE1] mpls ldp
[PE1-mpls-ldp] quit
[PE1] interface vlanif 30
[PE1-Vlanif30] mpls
[PE1-Vlanif30] mpls ldp
[PE1-Vlanif30] quit
# Configure P.
[P] mpls lsr-id 2.2.2.9
[P] mpls
[P-mpls] quit
[P] mpls ldp
[P-mpls-ldp] quit
[P] interface vlanif 30
[P-Vlanif30] mpls
[P-Vlanif30] mpls ldp
[P-Vlanif30] quit
[P] interface vlanif 60
[P-Vlanif60] mpls
[P-Vlanif60] mpls ldp
[P-Vlanif60] quit
# Configure PE2.
[PE2] mpls lsr-id 3.3.3.9
[PE2] mpls
[PE2-mpls] quit
[PE2] mpls ldp
[PE2-mpls-ldp] quit
[PE2] interface vlanif 60
[PE2-Vlanif60] mpls
[PE2-Vlanif60] mpls ldp
[PE2-Vlanif60] quit
Después de completar la configuración, las sesiones de LDP se establecen entre PE1 y P, entre
P y PE2. Ejecute el comando display mpls ldp session en PE1, P y PE2, y puede ver que el
estado (Status) de la sesión LDP es Operational. Ejecute el comando display mpls ldp lsp y
podrá ver información sobre los LDP LSP establecidos.
La visualización en PE1 se usa como un ejemplo:
[PE1] display mpls ldp session
Paso 3 Configure las instancias L3VPN en los dispositivos PE. Configure las subinterfaces de
terminación dot1q para paquetes de etiqueta única desde vpna. Configure las subinterfaces de
terminación QinQ para paquetes de doble etiqueta desde vpnb. (Los usuarios del servicio de
Capa 3 son identificados por la VLAN 10 y la VLAN 20, y los dispositivos PE usan la VLAN
10 y la VLAN 100 para identificar los servicios de Capa 3.)
# Configure PE1.
[PE1] ip vpn-instance vpna
[PE1-vpn-instance-vpna] route-distinguisher 100:1
[PE1-vpn-instance-vpna-af-ipv4] vpn-target 111:1 both
[PE1-vpn-instance-vpna-af-ipv4] quit
[PE1-vpn-instance-vpna] quit
[PE1] ip vpn-instance vpnb
[PE1-vpn-instance-vpnb] route-distinguisher 100:2
[PE1-vpn-instance-vpnb-af-ipv4] vpn-target 222:2 both
[PE1-vpn-instance-vpnb-af-ipv4] quit
[PE1-vpn-instance-vpnb] quit
[PE1] interface gigabitethernet 1/0/0.1
[PE1-GigabitEthernet1/0/0.1] dot1q termination vid 10
[PE1-GigabitEthernet1/0/0.1] ip binding vpn-instance vpna
[PE1-GigabitEthernet1/0/0.1] ip address 10.1.1.2 24
[PE1-GigabitEthernet1/0/0.1] arp broadcast enable
[PE1-GigabitEthernet1/0/0.1] quit
[PE1] interface gigabitethernet 2/0/0.1
[PE1-GigabitEthernet2/0/0.1] qinq termination pe-vid 100 ce-vid 20
[PE1-GigabitEthernet2/0/0.1] ip binding vpn-instance vpnb
[PE1-GigabitEthernet2/0/0.1] ip address 10.2.1.2 24
[PE1-GigabitEthernet2/0/0.1] arp broadcast enable
[PE1-GigabitEthernet2/0/0.1] quit
# Configure PE2.
[PE2] ip vpn-instance vpna
[PE2-vpn-instance-vpna] route-distinguisher 200:1
[PE2-vpn-instance-vpna-af-ipv4] vpn-target 111:1 both
[PE2-vpn-instance-vpna-af-ipv4] quit
[PE2-vpn-instance-vpna] quit
[PE2] ip vpn-instance vpnb
[PE2-vpn-instance-vpnb] route-distinguisher 200:2
[PE2-vpn-instance-vpnb-af-ipv4] vpn-target 222:2 both
[PE2-vpn-instance-vpnb-af-ipv4] quit
[PE2-vpn-instance-vpnb] quit
[PE2] interface gigabitethernet 1/0/0.1
[PE2-GigabitEthernet1/0/0.1] dot1q termination vid 10
[PE2-GigabitEthernet1/0/0.1] ip binding vpn-instance vpna
[PE2-GigabitEthernet1/0/0.1] ip address 10.3.1.2 24
[PE2-GigabitEthernet1/0/0.1] arp broadcast enable
[PE2-GigabitEthernet1/0/0.1] quit
[PE2] interface gigabitethernet 2/0/0.1
[PE2-GigabitEthernet2/0/0.1] qinq termination pe-vid 100 ce-vid 20
[PE2-GigabitEthernet2/0/0.1] ip binding vpn-instance vpnb
[PE2-GigabitEthernet2/0/0.1] ip address 10.4.1.2 24
[PE2-GigabitEthernet2/0/0.1] arp broadcast enable
[PE2-GigabitEthernet2/0/0.1] quit
NOTA
Si un dispositivo PE tiene múltiples interfaces vinculadas a la misma instancia de VPN, debe especificar
una dirección IP de origen cuando haga ping al dispositivo CE conectado al dispositivo PE remoto. Para
especificar la dirección IP de origen, configure el parámetro -a source-ip-address en el comando ping -
vpn-instance vpn-instance-name -a source-ip-address dest-ip-address. Si no se especifica una dirección
IP de origen, la operación de ping falla.
Paso 4 Cree instancias de VSI de VPLS en PE1 y PE2. En cada instancia de VSI, especifique BGP
como el protocolo de señalización y configure el RD, VPN-target y Site. Vincule las
subinterfaces a instancias de VSI para que las subinterfaces funcionen como interfaces de AC
para proporcionar acceso a los usuarios de VPLS. Configure las subinterfaces de terminación
dot1q para paquetes de etiqueta única enviados desde CE1 y CE3. Configure las subinterfaces
de terminación de QinQ para los paquetes de doble etiqueta enviados desde CE2 y CE4. (Los
dispositivos CE usan la VLAN 11 y la VLAN 21 para identificar a los usuarios del servicio de
Capa 2, y los dispositivos PE usan la VLAN 11 y la VLAN 200 para identificar los servicios
de Capa 2.)
# Configure PE1.
[PE1] mpls l2vpn
[PE1-l2vpn] quit
[PE1] vsi vsi1 auto
[PE1-vsi-vsi1] pwsignal bgp
[PE1-vsi-vsi1-bgp] route-distinguisher 101:1
[PE1-vsi-vsi1-bgp] vpn-target 100:1 import-extcommunity
[PE1-vsi-vsi1-bgp] vpn-target 100:1 export-extcommunity
[PE1-vsi-vsi1-bgp] site 1 range 5 default-offset 0
[PE1-vsi-vsi1-bgp] quit
[PE1-vsi-vsi1] quit
[PE1] vsi vsi2 auto
[PE1-vsi-vsi2] pwsignal bgp
[PE1-vsi-vsi2-bgp] route-distinguisher 101:2
[PE1-vsi-vsi2-bgp] vpn-target 200:1 import-extcommunity
[PE1-vsi-vsi2-bgp] vpn-target 200:1 export-extcommunity
[PE1-vsi-vsi2-bgp] site 1 range 5 default-offset 0
[PE1-vsi-vsi2-bgp] quit
[PE1-vsi-vsi2] quit
[PE1] interface gigabitethernet 1/0/0.2
[PE1-GigabitEthernet1/0/0.2] dot1q termination vid 11
[PE1-GigabitEthernet1/0/0.2] l2 binding vsi vsi1
[PE1-GigabitEthernet1/0/0.2] quit
[PE1] interface gigabitethernet 2/0/0.2
[PE1-GigabitEthernet2/0/0.2] qinq termination pe-vid 200 ce-vid 21
[PE1-GigabitEthernet2/0/0.2] l2 binding vsi vsi2
[PE1-GigabitEthernet2/0/0.2] quit
# Configure PE2.
[PE2] mpls l2vpn
[PE2-l2vpn] quit
[PE2] vsi vsi1 auto
[PE2-vsi-vsi1] pwsignal bgp
Paso 5 Configure las relaciones entre peers EBGP entre los dispositivos PE y CE e importe las rutas
L3VPN a BGP.
# Configure CE1 conectándose a la sede de la empresa A. Las configuraciones de CE2, CE3 y
CE4 son similares a las de CE1 y no se mencionan aquí.
[CE1] bgp 65410
[CE1-bgp] peer 10.1.1.2 as-number 100
[CE1-bgp] import-route direct
[CE1-bgp] quit
# Configure PE2.
[PE2] bgp 100
[PE2-bgp] peer 1.1.1.9 as-number 100
[PE2-bgp] peer 1.1.1.9 connect-interface loopback 1
[PE2-bgp] ipv4-family vpnv4
[PE2-bgp-af-vpnv4] peer 1.1.1.9 enable
[PE2-bgp-af-vpnv4] quit
[PE2-bgp] vpls-family
[PE2-bgp-af-vpls] peer 1.1.1.9 enable
[PE2-bgp-af-vpls] quit
[PE2-bgp] quit
Paso 7 Configure QinQ selectivo en las interfaces del lado CE de los switches y especifique las
VLAN permitidas por las interfaces.
# Configure Switch1.
<Quidway> system-view
[Quidway] sysname Switch1
[Switch1] vlan batch 100 200
[Switch1] interface gigabitethernet 2/0/0
[Switch1-GigabitEthernet2/0/0] port hybrid tagged vlan 100 200
[Switch1-GigabitEthernet2/0/0] quit
[Switch1] interface gigabitethernet 1/0/0
[Switch1-GigabitEthernet1/0/0] port hybrid untagged vlan 100 200
[Switch1-GigabitEthernet1/0/0] port vlan-stacking vlan 20 stack-vlan 100
[Switch1-GigabitEthernet1/0/0] port vlan-stacking vlan 21 stack-vlan 200
[Switch1-GigabitEthernet1/0/0] quit
# Configure Switch2.
<Quidway> system-view
[Quidway] sysname Switch2
[Switch2] vlan batch 100 200
[Switch2] interface gigabitethernet 2/0/0
[Switch2-GigabitEthernet2/0/0] port hybrid tagged vlan 100 200
[Switch2-GigabitEthernet2/0/0] quit
[Switch2] interface gigabitethernet 1/0/0
[Switch2-GigabitEthernet1/0/0] port hybrid untagged vlan 100 200
[Switch2-GigabitEthernet1/0/0] port vlan-stacking vlan 20 stack-vlan 100
[Switch2-GigabitEthernet1/0/0] port vlan-stacking vlan 21 stack-vlan 200
[Switch2-GigabitEthernet1/0/0] quit
Los dispositivos CE en la misma instancia VPN pueden hacer ping entre sí con éxito,
mientras que los dispositivos CE en diferentes instancias VPN no pueden hacerlo.
Por ejemplo, CE1 conectada a la sede de la empresa A puede hacer ping a CE3 conectada a
una sucursal en 10.3.1.1 pero no puede hacer ping a CE4 conectada a la sede de la empresa B
en 10.4.1.1.
[CE1] ping 10.3.1.1
PING 10.3.1.1: 56 data bytes, press CTRL_C to break
Reply from 10.3.1.1: bytes=56 Sequence=1 ttl=253 time=72 ms
Reply from 10.3.1.1: bytes=56 Sequence=2 ttl=253 time=34 ms
Reply from 10.3.1.1: bytes=56 Sequence=3 ttl=253 time=50 ms
Reply from 10.3.1.1: bytes=56 Sequence=4 ttl=253 time=50 ms
Reply from 10.3.1.1: bytes=56 Sequence=5 ttl=253 time=34 ms
--- 10.3.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 34/48/72 ms
[CE1] ping 10.4.1.1
PING 10.4.1.1: 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out
--- 10.4.1.1 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
Ejecute el comando display vsi name vsi2 verbose en PE1, y puede ver que vsi2 tiene un PW
a PE2 y está en estado Up.
[PE1] display vsi name vsi2 verbose
BGP RD : 101:2
SiteID/Range/Offset : 1/5/0
Import vpn target : 200:1
Export vpn target : 200:1
Remote Label Block : 35845/5/0
Local Label Block : 0/35845/5/0
**PW Information:
----Fin
Archivos de configuración
l Archivo de configuración de PE1
#
sysname PE1
#
vlan batch 30
#
ip vpn-instance vpna
ipv4-family
route-distinguisher 100:1
vpn-target 111:1 export-extcommunity
vpn-target 111:1 import-extcommunity
#
ip vpn-instance vpnb
ipv4-family
route-distinguisher 100:2
vpn-target 222:2 export-extcommunity
vpn-target 222:2 import-extcommunity
#
mpls lsr-id 1.1.1.9
mpls
#
mpls l2vpn
#
vsi vsi1 auto
pwsignal bgp
route-distinguisher 101:1
vpn-target 100:1 import-extcommunity
vpn-target 100:1 export-extcommunity
site 1 range 5 default-offset 0
#
vsi vsi2 auto
pwsignal bgp
route-distinguisher 101:2
vpn-target 200:1 import-extcommunity
vpn-target 200:1 export-extcommunity
site 1 range 5 default-offset 0
#
mpls ldp
#
interface Vlanif30
ip address 172.1.1.1 255.255.255.0
mpls
mpls ldp
#
interface GigabitEthernet1/0/0
#
interface GigabitEthernet1/0/0.1
dot1q termination vid 10
ip binding vpn-instance vpna
ip address 10.1.1.2 255.255.255.0
arp broadcast enable
#
interface GigabitEthernet1/0/0.2
dot1q termination vid 11
l2 binding vsi vsi1
#
interface GigabitEthernet2/0/0
#
interface GigabitEthernet2/0/0.1
qinq termination pe-vid 100 ce-vid 20
ip binding vpn-instance vpnb
ip address 10.2.1.2 255.255.255.0
arp broadcast enable
#
interface GigabitEthernet2/0/0.2
dot1q termination vid 21
l2 binding vsi vsi2
#
interface GigabitEthernet3/0/0
port hybrid pvid vlan 30
port hybrid untagged vlan 30
#
interface LoopBack1
ip address 1.1.1.9 255.255.255.255
#
bgp 100
peer 3.3.3.9 as-number 100
peer 3.3.3.9 connect-interface LoopBack1
#
ipv4-family unicast
undo synchronization
peer 3.3.3.9 enable
#
vpls-family
policy vpn-target
peer 3.3.3.9 enable
#
ipv4-family vpnv4
policy vpn-target
peer 3.3.3.9 enable
#
ipv4-family vpn-instance vpna
peer 10.1.1.1 as-number 65410
import-route direct
#
ipv4-family vpn-instance vpnb
peer 10.2.1.1 as-number 65420
import-route direct
#
ospf 1
area 0.0.0.0
network 172.1.1.0 0.0.0.255
network 1.1.1.9 0.0.0.0
#
return
l Archivo de configuración del dispositivo P
#
sysname P
#
vlan batch 30 60
#
mpls lsr-id 2.2.2.9
mpls
#
mpls ldp
#
interface Vlanif30
ip address 172.1.1.2 255.255.255.0
mpls
mpls ldp
#
interface Vlanif60
ip address 172.2.1.1 255.255.255.0
mpls
mpls ldp
#
interface GigabitEthernet1/0/0
port hybrid pvid vlan 30
port hybrid untagged vlan 30
#
interface GigabitEthernet2/0/0
port hybrid pvid vlan 60
port hybrid untagged vlan 60
#
interface LoopBack1
ip address 2.2.2.9 255.255.255.255
#
ospf 1
area 0.0.0.0
network 172.1.1.0 0.0.0.255
network 172.2.1.0 0.0.0.255
network 2.2.2.9 0.0.0.0
#
return
l Archivo de configuración de PE2
#
sysname PE2
#
vlan batch 60
#
ip vpn-instance vpna
ipv4-family
route-distinguisher 200:1
vpn-target 111:1 export-extcommunity
vpn-target 111:1 import-extcommunity
#
ip vpn-instance vpnb
ipv4-family
route-distinguisher 200:2
vpn-target 222:2 export-extcommunity
vpn-target 222:2 import-extcommunity
#
mpls lsr-id 3.3.3.9
mpls
#
mpls l2vpn
#
vsi vsi1 auto
pwsignal bgp
route-distinguisher 201:1
vpn-target 100:1 import-extcommunity
vpn-target 100:1 export-extcommunity
site 2 range 5 default-offset 0
#
vsi vsi2 auto
pwsignal bgp
route-distinguisher 201:2
vpn-target 200:1 import-extcommunity
vpn-target 200:1 export-extcommunity
site 2 range 5 default-offset 0
#
mpls ldp
#
interface Vlanif60
ip address 172.2.1.2 255.255.255.0
mpls
mpls ldp
#
interface GigabitEthernet1/0/0
#
interface GigabitEthernet1/0/0.1
dot1q termination vid 10
ip binding vpn-instance vpna
ip address 10.3.1.2 255.255.255.0
arp broadcast enable
#
interface GigabitEthernet1/0/0.2
dot1q termination vid 11
l2 binding vsi vsi1
#
interface GigabitEthernet2/0/0
#
interface GigabitEthernet2/0/0.1
qinq termination pe-vid 100 ce-vid 20
ip binding vpn-instance vpnb
ip address 10.4.1.2 255.255.255.0
arp broadcast enable
#
interface GigabitEthernet2/0/0.2
dot1q termination vid 21
l2 binding vsi vsi2
#
interface GigabitEthernet3/0/0
port hybrid pvid vlan 60
port hybrid untagged vlan 60
#
interface LoopBack1
ip address 3.3.3.9 255.255.255.255
#
bgp 100
peer 1.1.1.9 as-number 100
peer 1.1.1.9 connect-interface LoopBack1
#
ipv4-family unicast
undo synchronization
peer 1.1.1.9 enable
#
vpls-family
policy vpn-target
peer 1.1.1.9 enable
#
ipv4-family vpnv4
policy vpn-target
peer 1.1.1.9 enable
#
#
bgp 65430
peer 10.3.1.2 as-number 100
#
ipv4-family unicast
undo synchronization
import-route direct
peer 10.3.1.2 enable
#
return
Notas de configuración
l El discriminador local del sistema local y el discriminador remoto del sistema remoto
deben ser el mismo. Si el discriminador local del sistema local y el discriminador remoto
del sistema remoto son diferentes, no se puede configurar una sesión BFD estática.
Después de configurar el discriminador local y el discriminador remoto, no se puede
modificarlos.
l Si una sesión BFD está vinculada a la dirección de multidifusión predeterminada, el
discriminador local y el discriminador remoto deben ser diferentes.
l Si se configura el tiempo de WTR, configure el mismo tiempo de WTR en ambos
dispositivos. De lo contrario, cuando el estado de la sesión BFD se cambia en un
dispositivo, las aplicaciones en ambos dispositivos detectan diferentes estados de sesión
BFD.
l A lo siguiente se describen los Modelos de productos y versiones aplicables.
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
En Figura 10-1, SwitchA se conecta directamente a SwitchB en la capa de red y los
dispositivos de transmisión de Capa 2, SwitchC y SwitchD, se despliegan entre ellos. Se
requiere que SwitchA y SwitchB detecten rápidamente las fallas de enlace de los dispositivos
de transmisión de Capa 2 para activar la convergencia de ruta rápida.
Procedimiento
Paso 1 Establezca las direcciones IP de las interfaces directamente conectadas en SwitchA y
SwitchB.
# Asigne una dirección IP a la interfaz de SwitchA.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan 10
[SwitchA-vlan10] quit
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port hybrid pvid vlan 10
[SwitchA-GigabitEthernet1/0/1] port hybrid untagged vlan 10
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface vlanif 10
# Habilite BFD en SwitchB y establezca una sesión de BFD llamada btoa entre SwitchB y
SwitchA.
[SwitchB] bfd
[SwitchB-bfd] quit
[SwitchB] bfd btoa bind peer-ip default-ip interface gigabitethernet 1/0/1 //
Configure una sesión BFD nombrada btoa.
[SwitchB-bfd-session-btoa] discriminator local 20
[SwitchB-bfd-session-btoa] discriminator remote 10
[SwitchB-bfd-session-btoa] commit
[SwitchB-bfd-session-btoa] quit
# Una vez completada la configuración, ejecute el comando display bfd session all verbose
en SwitchA y SwitchB. Puede ver que una sesión BFD de un solo salto está configurada y su
estado es Up. La visualización en SwitchA se usa como un ejemplo.
[SwitchA] display bfd session all verbose
--------------------------------------------------------------------------------
Session MIndex : 16384 (One Hop) State : Up Name : atob
--------------------------------------------------------------------------------
Local Discriminator : 10 Remote Discriminator : 20
Session Detect Mode : Asynchronous Mode Without Echo Function
BFD Bind Type : Interface(GigabitEthernet1/0/1)
Bind Session Type : Static
Bind Peer Ip Address : 224.0.0.184
NextHop Ip Address : 224.0.0.184
Bind Interface : GigabitEthernet1/0/1
FSM Board Id : 3 TOS-EXP : 7
Min Tx Interval (ms) : 1000 Min Rx Interval (ms) : 1000
Actual Tx Interval (ms): 1000 Actual Rx Interval (ms): 1000
Local Detect Multi : 3 Detect Interval (ms) : 3000
Echo Passive : Disable Acl Number : -
Destination Port : 3784 TTL : 255
Una vez completada la configuración, ejecute el comando display bfd session all verbose en
SwitchA y SwitchB. Pueden ver que el campo Proc interface status es Enable.
Ejecute el comando shutdown en GE1/0/1 de SwitchB para hacer que la sesión de BFD es
Down.
Ejecute los comandos display bfd session all verbose y display interface
gigabitethernet1/0/1 en SwitchA. Pueden ver que el estado de la sesión BFD es Down, y el
estado de GE1/0/1 es UP (BFD status down).
[SwitchA] display bfd session all verbose
--------------------------------------------------------------------------------
Session MIndex : 16384 (One Hop) State : Down Name : atob
--------------------------------------------------------------------------------
Local Discriminator : 10 Remote Discriminator : 20
Session Detect Mode : Asynchronous Mode Without Echo Function
BFD Bind Type : Interface(GigabitEthernet1/0/1)
Bind Session Type : Static
Bind Peer Ip Address : 224.0.0.184
NextHop Ip Address : 224.0.0.184
Bind Interface : GigabitEthernet1/0/1
FSM Board Id : 3 TOS-EXP : 7
Min Tx Interval (ms) : 1000 Min Rx Interval (ms) : 10
Actual Tx Interval (ms): 13000 Actual Rx Interval (ms): 13000
Local Detect Multi : 3 Detect Interval (ms) : 30
Echo Passive : Disable Acl Number : -
Destination Port : 3784 TTL : 255
Proc interface status : Enable Process PST : Disable
WTR Interval (ms) : -
Active Multi : 3
Last Local Diagnostic : Control Detection Time Expired
Bind Application : IFNET
Session TX TmrID : - Session Detect TmrID : -
Session Init TmrID : - Session WTR TmrID : -
Session Echo Tx TmrID : -
PDT Index : FSM-0 | RCV-0 | IF-0 | TOKEN-0
Session Description : -
--------------------------------------------------------------------------------
NOTA
Solo la información importante aparece en la lista debajo del comando display interface
gigabitethernet1/0/1 y "..." indica que esa información se omite.
----Fin
Archivos de configuración
l El archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 10
#
bfd
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port hybrid pvid vlan 10
port hybrid untagged vlan 10
#
bfd atob bind peer-ip default-ip interface GigabitEthernet1/0/1
discriminator local 10
discriminator remote 20
process-interface-status
commit
#
return
l Modo de preferencia: Backup va a ser Master cuando su prioridad es mayor que Master.
l Modo de no preferencia: Siempre que Master esté funcionando correctamente, Backup
con una prioridad más alta no puede convertirse en Master.
Notas de configuración
l En V200R003 y versiones anteriores, VRRP se puede configurar solo en la interfaz
VLANIF.
En V200R005 y versiones posteriores, VRRP se puede configurar en la interfaz
VLANIF y en la interfaz Ethernet de capa 3.
Para un switch modular en V200R006 y versiones posteriores, VRRP se puede
configurar en la interfaz VLANIF, interfaz Ethernet de capa 3, subinterfaz de
terminación Dot1q y subinterfaz de terminación QinQ.
Para un switch fijo en V200R009 y versiones posteriores, VRRP se puede configurar en
la interfaz VLANIF, interfaz Ethernet de capa 3 y subinterfaz.
l Asegúrese de que cada dispositivo del mismo grupo VRRP esté configurado con el
mismo VRID.
l Los grupos VRRP deben usar diferentes direcciones IP virtuales. La dirección IP virtual
de un grupo VRRP debe estar en el mismo segmento de red que la dirección IP de la
interfaz donde está configurado el grupo VRRP.
l A lo siguiente se describen los Modelos de productos y versiones aplicables.
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
En Figura 10-2, HostA es dual-homed a SwitchA y SwitchB a través del switch. Para
garantizar la transmisión ininterrumpida del servicio, un grupo VRRP en modo activo/standby
debe configurarse en SwitchA y SwitchB.
l El host utiliza SwitchA como el gateway predeterminado para conectarse a Internet.
Cuando SwitchA está defectuoso, SwitchB funciona como el gateway. Esto implementa
el gateway de reserva.
l Después de que SwitchA se recupera, va a ser Master para transmitir datos después de un
retraso de prioridad de 20 segundos.
NOTA
En este escenario, para evitar bucles, asegúrese de que todas las interfaces conectadas tengan STP
deshabilitado y las interfaces conectadas se eliminen de la VLAN 1. Si STP está habilitado y las
interfaces VLANIF de switches se usan para construir una red de anillo de Capa 3, una interfaz en la red
va a ser bloqueado. Como resultado, los servicios de Capa 3 en la red no pueden ejecutarse
normalmente.
Procedimiento
Paso 1 Configure los dispositivos para garantizar la conectividad de la red.
# Asigne una dirección IP a cada interfaz. SwitchA se usa como un ejemplo. Las
configuraciones de SwitchB y SwitchC son similares a la configuración de SwitchA, y no se
mencionan aquí. Para más detalles, vea los archivos de configuración.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 100 300
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port hybrid pvid vlan 300
[SwitchA-GigabitEthernet1/0/1] port hybrid untagged vlan 300
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port hybrid pvid vlan 100
[SwitchA-GigabitEthernet1/0/2] port hybrid untagged vlan 100
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface vlanif 100
[SwitchA-Vlanif100] ip address 10.1.1.1 24
[SwitchA-Vlanif100] quit
[SwitchA] interface vlanif 300
[SwitchA-Vlanif300] ip address 192.168.1.1 24
[SwitchA-Vlanif300] quit
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan 100
[Switch-vlan100] quit
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port hybrid pvid vlan 100
[Switch-GigabitEthernet1/0/1] port hybrid untagged vlan 100
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port hybrid pvid vlan 100
[Switch-GigabitEthernet1/0/2] port hybrid untagged vlan 100
[Switch-GigabitEthernet1/0/2] quit
# Configure OSPF en SwitchA, SwitchB, y SwitchC. SwitchA se usa como un ejemplo. Las
configuraciones de SwitchB y SwitchC son similares a la configuración de SwitchA, y no se
mencionan aquí. Para más detalles, vea los archivos de configuración.
[SwitchA] ospf 1
[SwitchA-ospf-1] area 0
[SwitchA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] quit
[SwitchA-ospf-1] quit
# Ejecute el comando display vrrp en SwitchB para ver el estado de VRRP. El resultado del
comando muestra que SwitchB está en estado Master.
# Después de 20 s, ejecute el comando display vrrp en SwitchA para ver el estado de VRRP.
El resultado del comando muestra que SwitchA está en estado Master.
[SwitchA] display vrrp
Vlanif100 | Virtual Router 1
State : Master
Virtual IP : 10.1.1.111
Master IP : 10.1.1.1
PriorityRun : 120
PriorityConfig : 120
MasterPriority : 120
Preempt : YES Delay Time : 20 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Create time : 2012-01-12 20:15:46
Last change time : 2012-01-12 20:20:56
----Fin
Archivos de configuración
l El archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 100 300
#
interface Vlanif100
ip address 10.1.1.1 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.1.111
vrrp vrid 1 priority 120
vrrp vrid 1 preempt-mode timer delay 20
#
interface Vlanif300
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port hybrid pvid vlan 300
Notas de configuración
l En V200R003 y versiones anteriores, VRRP se puede configurar solo en la interfaz
VLANIF.
En V200R005 y versiones posteriores, VRRP se puede configurar en la interfaz
VLANIF y en la interfaz Ethernet de capa 3.
Para un switch modular en V200R006 y versiones posteriores, VRRP se puede
configurar en la interfaz VLANIF, interfaz Ethernet de capa 3, subinterfaz de
terminación Dot1q y subinterfaz de terminación QinQ.
Para un switch fijo en V200R009 y versiones posteriores, VRRP se puede configurar en
la interfaz VLANIF, interfaz Ethernet de capa 3 y subinterfaz.
l Asegúrese de que cada dispositivo del mismo grupo VRRP esté configurado con el
mismo VRID.
l Los grupos VRRP deben usar diferentes direcciones IP virtuales. La dirección IP virtual
de un grupo VRRP debe estar en el mismo segmento de red que la dirección IP de la
interfaz donde está configurado el grupo VRRP.
l A lo siguiente se describen los Modelos de productos y versiones aplicables.
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
En Figura 10-3, HostA y HostC son dual-homed a SwitchA y SwitchB a través del switch.
Para reducir la carga de tráfico de datos en SwitchA, HostA utiliza SwitchA como el gateway
predeterminado para conectarse a Internet, y SwitchB funciona como el gateway de reserva.
HostC usa SwitchB como el gateway predeterminado para conectarse a Internet, y SwitchA
funciona como gateway de reserva. Esto implementa el equilibrio de carga.
NOTA
En este escenario, para evitar bucles, asegúrese de que todas las interfaces conectadas tengan STP
deshabilitado y las interfaces conectadas se eliminen de la VLAN 1. Si STP está habilitado y las
interfaces VLANIF de switches se usan para construir una red de anillo de Capa 3, una interfaz en la red
va a ser bloqueado. Como resultado, los servicios de Capa 3 en la red no pueden ejecutarse
normalmente.
Figura 10-3 Diagrama de redes para configurar un grupo VRRP en modo de equilibrio de
carga
VRRP VRID 1 SwitchA
Dirección IP virtual: VRID 1: Master
10.1.10.111 VRID 2: Backup
GE1/0/1
HostA 192.168.1.1/24
10.1.10.100/24
GE1/0/2 GE1/0/1
GE1/0/1 10.1.10.1/24 192.168.1.2/24
10.1.50.1/24
Switch GE1/0/3 Red
SwitchC
GE1/0/2 172.16.1.1/24
GE1/0/2 10.1.10.2/24 GE1/0/2
10.1.50.2/24 192.168.2.2/24
HostC
10.1.50.100/24 GE1/0/1
192.168.2.1/24
SwitchB
VRID 1: Master
VRRP VRID 2 VRID 2: Backup
Dirección IP virtual:
10.1.50.111
Procedimiento
Paso 1 Configure los dispositivos para garantizar la conectividad de la red.
# Asigne una dirección IP a cada interfaz. SwitchA se usa como un ejemplo. Las
configuraciones de SwitchB y SwitchC son similares a la configuración de SwitchA, y no se
mencionan aquí. Para más detalles, vea los archivos de configuración.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 100 300 500
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type trunk
[SwitchA-GigabitEthernet1/0/1] port trunk allow-pass vlan 300
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type trunk
[SwitchA-GigabitEthernet1/0/2] port trunk allow-pass vlan 100 500
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface vlanif 100
[SwitchA-Vlanif100] ip address 10.1.10.1 24
[SwitchA-Vlanif100] quit
[SwitchA] interface vlanif 500
[SwitchA-Vlanif500] ip address 10.1.50.1 24
[SwitchA-Vlanif500] quit
[SwitchA] interface vlanif 300
[SwitchA-Vlanif300] ip address 192.168.1.1 24
[SwitchA-Vlanif300] quit
# Configure OSPF en SwitchA, SwitchB, y SwitchC. SwitchA se usa como un ejemplo. Las
configuraciones de SwitchB y SwitchC son similares a la configuración de SwitchA, y no se
mencionan aquí. Para más detalles, vea los archivos de configuración.
[SwitchA] ospf 1
[SwitchA-ospf-1] area 0
[SwitchA-ospf-1-area-0.0.0.0] network 10.1.10.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] network 10.1.50.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] quit
[SwitchA-ospf-1] quit
# Una vez completada la configuración, ejecute el comando display vrrp en SwitchB. Pueden
ver que SwitchB es el Backup en el grupo 1 de VRRP y el Master en el grupo 2 de VRRP.
[SwitchB] display vrrp
Vlanif100 | Virtual Router 1
State : Backup
Virtual IP : 10.1.10.111
Master IP : 10.1.10.1
PriorityRun : 100
PriorityConfig : 100
MasterPriority : 120
Preempt : YES Delay Time : 0 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Create time : 2012-01-12 20:15:46
Last change time : 2012-01-12 20:15:46
----Fin
Archivos de configuración
l El archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 100 300 500
#
interface Vlanif100
ip address 10.1.10.1 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.10.111
vrrp vrid 1 priority 120
vrrp vrid 1 preempt-mode timer delay 20
#
interface Vlanif300
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif500
ip address 10.1.50.1 255.255.255.0
vrrp vrid 2 virtual-ip 10.1.50.111
#
interface GigabitEthernet1/0/1
port link-type trunk
Notas de configuración
l En V200R003 y versiones anteriores, VRRP se puede configurar solo en la interfaz
VLANIF.
En V200R005 y versiones posteriores, VRRP se puede configurar en la interfaz
VLANIF y en la interfaz Ethernet de capa 3.
Para un switch modular en V200R006 y versiones posteriores, VRRP se puede
configurar en la interfaz VLANIF, interfaz Ethernet de capa 3, subinterfaz de
terminación Dot1q y subinterfaz de terminación QinQ.
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
En Figura 10-4, hosts en a LAN son dual-homed a SwitchA y SwitchB a través del switch.
Un grupo VRRP se establece en SwitchA y SwitchB, y SwitchA es el Master.
Cuando SwitchA o un enlace entre SwitchA y SwitchB es defectuoso, los paquetes VRRP se
envían después de que se completa la negociación de VRRP. Para acelerar las conmutaciones
de enlace, despliegue una sesión BFD en el enlace y asocie el grupo VRRP con la sesión
BFD. Cuando la interfaz en el principal o el enlace falla, la sesión BFD detecta rápidamente la
falla y notifica al grupo VRRP de la falla. Después de recibir la notificación, el grupo VRRP
realiza una conmutación rápida activa/standby. Backup se convierte en Master y se hace cargo
del tráfico. Esto reduce el impacto de la falla en la transmisión del servicio.
NOTA
En este escenario, para evitar bucles, asegúrese de que todas las interfaces conectadas tengan STP
deshabilitado y las interfaces conectadas se eliminen de la VLAN 1. Si STP está habilitado y las
interfaces VLANIF de switches se usan para construir una red de anillo de Capa 3, una interfaz en la red
va a ser bloqueado. Como resultado, los servicios de Capa 3 en la red no pueden ejecutarse
normalmente.
Figura 10-4 Asociación entre VRRP y BFD para implementar una conmutación rápida
activa/standby
VRRP VRID 1
Dirección IP virtual: 10.1.1.3/24
GE1/0/1 Master
VLANIF 100 SwitchA
10.1.1.1/24
HostA
GE1/0/1
Switch Red
GE1/0/2
HostB GE1/0/1
VLANIF100 SwitchB
10.1.1.2/24 Backup Paquetes BFD
Procedimiento
Paso 1 Configure los dispositivos para garantizar la conectividad de la red.
# Asigne una dirección IP a cada interfaz. SwitchA se usa como un ejemplo. La configuración
de SwitchB es similar a la de SwitchA.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan 100
[SwitchA-vlan100] quit
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port hybrid pvid vlan 100
[SwitchA-GigabitEthernet1/0/1] port hybrid untagged vlan 100
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface vlanif 100
[SwitchA-Vlanif100] ip address 10.1.1.1 24
[SwitchA-Vlanif100] quit
Ejecute el comando display bfd session en SwitchA y SwitchB. Pueden ver que la sesión de
BFD es Up. La visualización en SwitchA se usa como un ejemplo.
[SwitchA] display bfd session all
--------------------------------------------------------------------------------
Local Remote PeerIpAddr State Type InterfaceName
--------------------------------------------------------------------------------
1 2 10.1.1.2 Up S_IP_IF Vlanif100
--------------------------------------------------------------------------------
Total UP/DOWN Session Number : 1/0
BFD-session state : UP
Create time : 2012-01-12 20:15:46
Last change time : 2012-01-12 20:15:46
PriorityConfig : 120
MasterPriority : 120
Preempt : YES Delay Time : 20 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Create time : 2012-01-12 20:15:46
Last change time : 2012-01-12 20:15:46
[SwitchB] display vrrp
Vlanif100 | Virtual Router 1
State : Backup
Virtual IP : 10.1.1.3
Master IP : 10.1.1.1
PriorityRun : 100
PriorityConfig : 100
MasterPriority : 120
Preempt : YES Delay Time : 0 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Track BFD : 2 Priority increased : 40
BFD-session state : UP
Create time : 2012-01-12 20:15:46
Last change time : 2012-01-12 20:15:46
----Fin
Archivos de configuración
l El archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 100
#
bfd
#
interface Vlanif100
ip address 10.1.1.1 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.1.3
vrrp vrid 1 priority 120
vrrp vrid 1 preempt-mode timer delay 20
#
interface GigabitEthernet1/0/1
port hybrid pvid vlan 100
port hybrid untagged vlan 100
#
bfd atob bind peer-ip 10.1.1.2 interface Vlanif100
discriminator local 1
discriminator remote 2
min-tx-interval 100
min-rx-interval 100
commit
#
ospf 1
area 0.0.0.0
network 10.1.1.0 0.0.0.255
#
return
Cuando el dispositivo Master detecta que la interfaz de enlace ascendente falla, el Master
reduce su prioridad a ser menor que la prioridad del dispositivo Backup y envía
inmediatamente paquetes VRRP. Después de que el dispositivo Backup recibe los paquetes
VRRP, detecta que la prioridad en los paquetes VRRP es menor que su prioridad y cambia al
Master. Esto asegura el reenvío de tráfico correcto.
Notas de configuración
l En V200R003 y versiones anteriores, VRRP se puede configurar solo en la interfaz
VLANIF.
En V200R005 y versiones posteriores, VRRP se puede configurar en la interfaz
VLANIF y en la interfaz Ethernet de capa 3.
Para un switch modular en V200R006 y versiones posteriores, VRRP se puede
configurar en la interfaz VLANIF, interfaz Ethernet de capa 3, subinterfaz de
terminación Dot1q y subinterfaz de terminación QinQ.
Para un switch fijo en V200R009 y versiones posteriores, VRRP se puede configurar en
la interfaz VLANIF, interfaz Ethernet de capa 3 y subinterfaz.
l Asegúrese de que cada dispositivo del mismo grupo VRRP esté configurado con el
mismo VRID.
l Los grupos VRRP deben usar diferentes direcciones IP virtuales. La dirección IP virtual
de un grupo VRRP debe estar en el mismo segmento de red que la dirección IP de la
interfaz donde está configurado el grupo VRRP.
l Un grupo VRRP se puede asociar con un máximo de ocho interfaces. La asociación entre
un grupo VRRP y el estado de interfaz no se puede configurar en el dispositivo como el
propietario de la dirección IP.
l A lo siguiente se describen los Modelos de productos y versiones aplicables.
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra en Figura 10-5, los hosts de usuario tienen doble pertenencia a SwitchA y
SwitchB a través del switch. Los requisitos son los siguientes:
l Los hosts usan SwitchA como gateway predeterminado para conectarse a Internet.
Cuando SwitchA o el enlace descendente/enlace ascendente fallan, SwitchB funciona
como el gateway para implementar gateway de reserva.
l El ancho de banda del enlace entre SwitchA y SwitchB se incrementa para implementar
enlace de reserva y mejorar la confiabilidad del enlace.
l Después de que SwitchA se recupera, se convierte en el gateway dentro de los 20
segundos.
Figura 10-5 Interconexión de una red de asociación entre VRRP y el estado de interfaz
SwitchA
Master
VLAN 101- GE1/0/1
GE1/0/2 192.168.1.1/24
VLAN 116
GE1/0/3 GE1/0/1
GE1/0/1 GE1/0/4 192.168.1.2/24
Eth-Trunk1
GE1/0/3
...
NOTA
Procedimiento
Paso 1 Configure los dispositivos para garantizar la conectividad de la red.
# Asigne una dirección IP a cada interfaz en los dispositivos principales. SwitchA se usa
como un ejemplo. La configuración de SwitchB es similar a la configuración de SwitchA, y
no se menciona aquí. Para más detalles, vea los archivos de configuración.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 11 to 15 101 to 180 301 to 305 400
# Configure OSPF en SwitchA, SwitchB y switch. SwitchA se usa como un ejemplo. Las
configuraciones de SwitchB y SwitchC son similares a la configuración de SwitchA, y no se
mencionan aquí. Para más detalles, vea los archivos de configuración.
[SwitchA] ospf 1
[SwitchA-ospf-1] area 0
[SwitchA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] network 10.1.2.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] network 10.1.3.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] network 10.1.4.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] network 10.1.5.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] quit
[SwitchA-ospf-1] quit
[SwitchA-vlan11] quit
[SwitchA] vlan 12
[SwitchA-vlan12] aggregate-vlan
[SwitchA-vlan12] access-vlan 117 to 132 302
[SwitchA-vlan12] quit
[SwitchA] vlan 13
[SwitchA-vlan13] aggregate-vlan
[SwitchA-vlan13] access-vlan 133 to 148 303
[SwitchA-vlan13] quit
[SwitchA] vlan 14
[SwitchA-vlan14] aggregate-vlan
[SwitchA-vlan14] access-vlan 149 to 164 304
[SwitchA-vlan14] quit
[SwitchA] vlan 15
[SwitchA-vlan15] aggregate-vlan
[SwitchA-vlan15] access-vlan 165 to 180 305
[SwitchA-vlan15] quit
Master IP : 10.1.1.2
Send VRRP packet to subvlan : 301
PriorityRun : 120
PriorityConfig : 120
MasterPriority : 120
Preempt : YES Delay Time : 20 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Track IF : GigabitEthernet1/0/1 Priority reduced : 100
IF state : UP
Track IF : GigabitEthernet1/0/2 Priority reduced : 100
IF state : UP
Create time : 2012-05-11 11:39:18
Last change time : 2012-05-26 11:38:58
# Ejecute el comando display vrrp en SwitchB. Puede ver que SwitchB es el dispositivo
Backup. El grupo 1 de VRRP se usa como un ejemplo.
[SwitchB] display vrrp 1
Vlanif11 | Virtual Router 1
State : Backup
Virtual IP : 10.1.1.1
Master IP : 10.1.1.2
Send VRRP packet to subvlan : 301
PriorityRun : 100
PriorityConfig : 100
MasterPriority : 120
Preempt : YES Delay Time : 0 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Create time : 2012-05-11 11:39:18
Last change time : 2012-05-26 11:38:58
IF state : DOWN
Track IF : GigabitEthernet1/0/2 Priority reduced : 100
IF state : UP
Create time : 2012-05-11 11:39:18
Last change time : 2012-05-26 14:12:38
[SwitchB] display vrrp 1
Vlanif11 | Virtual Router 1
State : Master
Virtual IP : 10.1.1.1
Master IP : 10.1.1.3
Send VRRP packet to subvlan : 301
PriorityRun : 100
PriorityConfig : 100
MasterPriority : 100
Preempt : YES Delay Time : 0 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Create time : 2012-05-11 11:39:18
Last change time : 2012-05-26 14:12:38
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Create time : 2012-05-11 11:39:18
Last change time : 2012-05-26 14:17:36
----Fin
Archivos de configuración
l El archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 11 to 15 101 to 180 301 to 305 400
#
vlan 11
aggregate-vlan
access-vlan 101 to 116 301
vlan 12
aggregate-vlan
access-vlan 117 to 132 302
vlan 13
aggregate-vlan
access-vlan 133 to 148 303
vlan 14
aggregate-vlan
access-vlan 149 to 164 304
vlan 15
aggregate-vlan
access-vlan 165 to 180 305
#
interface Vlanif11
ip address 10.1.1.2 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.1.1
vrrp vrid 1 priority 120
vrrp vrid 1 preempt-mode timer delay 20
vrrp vrid 1 track interface gigabitethernet1/0/1 reduced 100
vrrp vrid 1 track interface gigabitethernet1/0/2 reduced 100
vrrp advertise send-mode 301
#
interface Vlanif12
ip address 10.1.2.2 255.255.255.0
vrrp vrid 2 virtual-ip 10.1.2.1
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 20
vrrp vrid 2 track interface gigabitethernet1/0/1 reduced 100
vrrp vrid 2 track interface gigabitethernet1/0/2 reduced 100
vrrp advertise send-mode 302
#
interface Vlanif13
ip address 10.1.3.2 255.255.255.0
vrrp vrid 3 virtual-ip 10.1.3.1
vrrp vrid 3 priority 120
vrrp vrid 3 preempt-mode timer delay 20
vrrp vrid 3 track interface gigabitethernet1/0/1 reduced 100
vrrp vrid 3 track interface gigabitethernet1/0/2 reduced 100
vrrp advertise send-mode 303
#
interface Vlanif14
ip address 10.1.4.2 255.255.255.0
vrrp vrid 4 virtual-ip 10.1.4.1
vrrp vrid 4 priority 120
vrrp vrid 4 preempt-mode timer delay 20
vrrp vrid 4 track interface gigabitethernet1/0/1 reduced 100
interface Vlanif11
ip address 10.1.1.3 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.1.1
vrrp advertise send-mode 301
#
interface Vlanif12
ip address 10.1.2.3 255.255.255.0
vrrp vrid 2 virtual-ip 10.1.2.1
vrrp advertise send-mode 302
#
interface Vlanif13
ip address 10.1.3.3 255.255.255.0
vrrp vrid 3 virtual-ip 10.1.3.1
vrrp advertise send-mode 303
#
interface Vlanif14
ip address 10.1.4.3 255.255.255.0
vrrp vrid 4 virtual-ip 10.1.4.1
vrrp advertise send-mode 304
#
interface Vlanif15
ip address 10.1.5.3 255.255.255.0
vrrp vrid 5 virtual-ip 10.1.5.1
vrrp advertise send-mode 305
#
interface Vlanif200
ip address 192.168.2.1 255.255.255.0
#
interface Eth-Trunk1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 301 to 305
mode lacp
#
interface GigabitEthernet1/0/1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 200
#
interface GigabitEthernet1/0/2
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 101 to 180
#
interface GigabitEthernet1/0/3
eth-trunk 1
#
interface GigabitEthernet1/0/4
eth-trunk 1
#
ospf 1
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 10.1.2.0 0.0.0.255
network 10.1.3.0 0.0.0.255
network 10.1.4.0 0.0.0.255
network 10.1.5.0 0.0.0.255
network 192.168.2.0 0.0.0.255
#
return
l El archivo de configuración de SwitchC
#
sysname SwitchC
#
vlan batch 200 300 400
#
interface Vlanif200
ip address 192.168.2.2 255.255.255.0
#
interface Vlanif300
ip address 172.16.1.1 255.255.255.0
#
interface Vlanif400
ip address 192.168.1.2 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 400
#
interface GigabitEthernet1/0/2
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 200
#
interface GigabitEthernet1/0/3
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 300
#
ospf 1
area 0.0.0.0
network 172.16.1.0 0.0.0.255
network 192.168.1.0 0.0.0.255
network 192.168.2.0 0.0.0.255
#
return
l Archivo de configuración del switch
#
sysname Switch
#
vlan batch 11 to 15 101 to 180
#
interface GigabitEthernet1/0/1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 11 to 15 101 to 180
#
interface GigabitEthernet1/0/2
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 11 to 15 101 to 180
#
return
VRRP selecciona un gateway para transmitir el tráfico del servicio para garantizar una
comunicación confiable.
Notas de configuración
l Los grupos VRRP deben usar diferentes direcciones IP virtuales. La dirección IP virtual
de un grupo VRRP debe estar en el mismo segmento de red que la dirección IP de la
interfaz donde está configurado el grupo VRRP.
l Asegúrese de que cada dispositivo del mismo grupo VRRP esté configurado con el
mismo VRID.
l En V200R003C00 y versiones anteriores, solo la interfaz VLANIF admite VRRP. En
V200R005C00 y versiones posteriores, las interfaces VLANIF y Layer 3 Ethernet son
compatibles con VRRP.
l A continuación se describen los Modelos de productos y versiones aplicables.
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra en Figura 10-6, SwitchA y SwitchB son gateways de salida de la red del
campus; SwitchC y SwitchD son switches de core. El origen de multidifusión se conecta a la
red del campus a través de un router. Los nodos clave en la red funcionan en modo de
redundancia para mejorar la confiabilidad de la red, y los gateways de salida y los switches de
core están completamente conectados para implementar la redundancia de enlace. Los
gateways de salida y los switches de core deben configurarse para admitir que los datos de
multidifusión se transmitan confiablemente a la red de vínculo descendente.
NOTA
En este escenario, para evitar bucles, asegúrese de que todas las interfaces conectadas tengan STP
deshabilitado y las interfaces conectadas se eliminen de la VLAN 1. Si STP está habilitado y las
interfaces VLANIF de switches se usan para construir una red de anillo de Capa 3, una interfaz en la red
va a ser bloqueado. Como resultado, los servicios de Capa 3 en la red no pueden ejecutarse
normalmente.
Red IP
VRRP VRID1
Dirección IP virtual
10.1.1.253
VRRP VRID2 SwitchB
Dirección IP virtual GE1/0/0 GE1/0/0
10.1.1.254 GE2/0/1 GE2/0/1
Loopback1 Loopback1
10.10.1.1/32 GE2/0/2 GE2/0/2 10.2.2.2/32
GE3/0/1 GE2/0/3 GE2/0/3
Salida del campus GE3/0/1
2
G
0/
E3
/
SwitchA
E3
/
0/
G
2
SwitchC
G
2
E3
Capa de core /0/ GE3/0/1
/
E3
0/
GE3/0/1
2
GE2/0/1 GE2/0/1
G
Capa de acceso
Capa de agregación
HostA HostB
Interfaz Eth-Trunk
2. Cree VLAN en los switches y agregue sus interfaces a las VLAN respectivas. Configure
las direcciones IP para las interfaces VLANIF correspondientes para hacer que los
segmentos de red local sean accesibles.
3. Configure el protocolo Abrir la ruta más corta primero (OSPF) en los switches para
garantizar los enrutamientos accesibles entre ellos. Los enrutamientos de OSPF
equilibran la carga del tráfico de unidifusión entre los gateways de salida y los switches
de core para reducir cargas de enlaces que transmiten datos de multidifusión y
unidifusión simultáneamente.
4. Configure un grupo de VRRP entre SwitchA y SwitchB y un grupo de VRRP entre
SwitchC y SwitchD para asegurar el envío confiable de multidifusión. Los grupos VRRP
implementan el equilibrio de carga para el tráfico de unidifusión para reducir las cargas
de enlaces que transmiten datos de multidifusión y unidifusión simultáneamente.
5. Configure un protocolo de multidifusión en los switches para garantizar el reenvío
normal de datos de multidifusión.
6. Configure BFD para OSPF y BFD para PIM en los switches para admitir que los
switches detecten rápidamente fallas de enlace, realizando una rápida convergencia de
enrutamiento de unidifusión y multidifusión.
Procedimiento
1. Configure grupos de agregación de enlaces en los switches.
# Cree Eth-Trunks y agregar interfaces de miembros a Eth-Trunks en el gateway de
salida del campus y los dispositivos de core.
<SwitchA> system-view
[SwitchA] interface Eth-Trunk1 //Cree Eth-Trunk1 y enlace las interfaces
de miembro GE2/0/1 a GE2/0/3.
[SwitchA-Eth-Trunk1] trunkport gigabitethernet 2/0/1 to 2/0/3
[SwitchA-Eth-Trunk1] quit
<SwitchB> system-view
[SwitchB] interface Eth-Trunk1 //Cree Eth-Trunk1 y enlace las interfaces
de miembro GE2/0/1 a GE2/0/3.
[SwitchB-Eth-Trunk1] trunkport gigabitethernet 2/0/1 to 2/0/3
[SwitchB-Eth-Trunk1] quit
<SwitchC> system-view
[SwitchC] interface Eth-Trunk1 //Cree Eth-Trunk1 y enlace las interfaces
de miembro GE2/0/1 a GE2/0/3.
[SwitchC-Eth-Trunk1] trunkport gigabitethernet 2/0/1 to 2/0/3
[SwitchC-Eth-Trunk1] quit
<SwitchD> system-view
[SwitchD] interface Eth-Trunk1 //Cree Eth-Trunk1 y enlace las interfaces
de miembro GE2/0/1 a GE2/0/3.
[SwitchD-Eth-Trunk1] trunkport gigabitethernet 2/0/1 to 2/0/3
[SwitchD-Eth-Trunk1] quit
Por defecto, un Eth-Trunk funciona en modo de equilibrio de carga manual, y todas las
interfaces activas cargan el tráfico de equilibrio.
2. Cree VLAN, agregue interfaces a las VLAN respectivas y configure las direcciones IP
para las interfaces VLANIF correspondientes.
a. Cree VLAN y agregue interfaces a las VLAN en el gateway de salida y en los
dispositivos de core. Las configuraciones en SwitchB, SwitchC y SwitchD son
similares a la configuración en SwitchA, y no se mencionan aquí.
[SwitchA] vlan batch 100 200 301 302
[SwitchA] interface gigabitethernet 1/0/0
[SwitchA-GigabitEthernet1/0/0] port link-type trunk //Establezca el
tipo de enlace de la interfaz en Trunk, que no es el tipo de enlace
predeterminado.
[SwitchA-GigabitEthernet1/0/0] port trunk allow-pass vlan 100
[SwitchA-GigabitEthernet1/0/0] quit
[SwitchA] interface gigabitethernet 3/0/1
[SwitchA-GigabitEthernet3/0/1] port link-type trunk //Establezca el
tipo de enlace de la interfaz en Trunk, que no es el tipo de enlace
predeterminado.
[SwitchA-GigabitEthernet3/0/1] port trunk allow-pass vlan 301
[SwitchA-GigabitEthernet3/0/1] quit
[SwitchA] interface gigabitethernet 3/0/2
[SwitchA-GigabitEthernet3/0/2] port link-type trunk //Establezca el
tipo de enlace de la interfaz en Trunk, que no es el tipo de enlace
predeterminado.
[SwitchA-GigabitEthernet3/0/2] port trunk allow-pass vlan 302
[SwitchA-GigabitEthernet3/0/2] quit
[SwitchA] interface eth-trunk 1
[SwitchA-Eth-Trunk1] port link-type trunk //Establezca el tipo de
enlace de la interfaz en Trunk, que no es el tipo de enlace
predeterminado.
[SwitchA-Eth-Trunk1] port trunk allow-pass vlan 100 200
[SwitchA-Eth-Trunk1] quit
3. Configure OSPF.
# Habilite OSPF en el gateway de salida del campus y dispositivos de core, agregue los
dispositivos al Area 0 y anuncie segmentos de red locales en el Area 0. Las
configuraciones en SwitchB, SwitchC y SwitchD son similares a la configuración en
SwitchA, y no se mencionan aquí .
[SwitchA] ospf
[SwitchA-ospf-1] area 0
[SwitchA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255 //Especifique
que la interfaz que ejecuta OSPF es la que está conectada al segmento de red
10.1.1.0 y que la interfaz pertenece al Area 0.
[SwitchA-ospf-1-area-0.0.0.0] network 10.1.2.0 0.0.0.255 //Especifique
que la interfaz que ejecuta OSPF es la que está conectada al segmento de red
10.1.2.0 y que la interfaz pertenece al Area 0.
[SwitchA-ospf-1-area-0.0.0.0] network 10.1.3.0 0.0.0.255 //Especifique
que la interfaz que ejecuta OSPF es la que está conectada al segmento de red
10.1.3.0 y que la interfaz pertenece al Area 0.
[SwitchA-ospf-1-area-0.0.0.0] network 10.10.1.1 0.0.0.0 //Especifique que
la interfaz que ejecuta OSPF es la que está conectada al segmento de red
10.10.1.1 y que la interfaz pertenece al Area 0.
[SwitchA-ospf-1-area-0.0.0.0] quit
[SwitchA-ospf-1] quit
# Configure SwitchC.
[SwitchC] multicast routing-enable //Habilite el enrutamiento de
multidifusión globalmente.
[SwitchC] interface vlanif 400
[SwitchC-Vlanif400] pim sm //Habilite PIM-SM en VLANIF400.
[SwitchC-Vlanif400] igmp enable //Habilite PIM-SM en VLANIF400.
[SwitchC-Vlanif400] quit
[SwitchC] interface vlanif 301
[SwitchC-Vlanif301] pim sm //Habilite PIM-SM en VLANIF301.
[SwitchC-Vlanif301] quit
[SwitchC] interface vlanif 304
[SwitchC-Vlanif304] pim sm //Habilite PIM-SM en VLANIF304.
[SwitchC-Vlanif304] quit
[SwitchC] interface loopback 1
[SwitchC-LoopBack1] pim sm //Habilite PIM-SM en LoopBack1.
[SwitchC-LoopBack1] quit
# Configure SwitchD.
[SwitchD] multicast routing-enable //Habilite el enrutamiento de
multidifusión globalmente.
[SwitchD] interface vlanif 400
[SwitchD-Vlanif400] pim sm //Habilite PIM-SM en VLANIF400.
[SwitchD-Vlanif400] igmp enable //Habilite IGMP en VLANIF400.
[SwitchD-Vlanif400] quit
[SwitchD] interface vlanif 302
[SwitchD-Vlanif302] pim sm //Habilite PIM-SM en VLANIF302.
[SwitchD-Vlanif302] quit
[SwitchD] interface vlanif 303
[SwitchD-Vlanif303] pim sm //Habilite PIM-SM en VLANIF303.
[SwitchD-Vlanif303] quit
[SwitchD] interface loopback 1
[SwitchD-LoopBack1] pim sm //Habilite PIM-SM en LoopBack1.
[SwitchD-LoopBack1] quit
6. Configure BFD.
a. Habilite BFD global en el gateway de salida del campus y los dispositivos de core.
BFD global debe estar habilitado antes de configurar BFD para OSPF y BFD para
PIM. Las configuraciones en SwitchB, SwitchC y SwitchD son similares a la
configuración en SwitchA, y no se mencionan aquí.
[SwitchA] bfd //Habilita BFD globalmente.
[SwitchA-bfd] quit
b. Habilite BFD para OSPF en el gateway de salida del campus y los dispositivos de
core. Las configuraciones en SwitchB, SwitchC y SwitchD son similares a la
configuración en SwitchA, y no se mencionan aquí.
[SwitchA] interface vlanif 100
[SwitchA-Vlanif100] ospf bfd enable //Habilite BFD para OSPF en
VLANIF100.
[SwitchA-Vlanif100] quit
[SwitchA] interface vlanif 301
[SwitchA-Vlanif301] ospf bfd enable //Habilite BFD para OSPF en
VLANIF301.
[SwitchA-Vlanif301] quit
[SwitchA] interface vlanif 302
[SwitchA-Vlanif302] ospf bfd enable //Habilite BFD para OSPF en
VLANIF302.
[SwitchA-Vlanif302] quit
c. Habilite BFD para PIM en el gateway de salida del campus y los dispositivos de
core. Las configuraciones en SwitchB, SwitchC y SwitchD son similares a la
configuración en SwitchA, y no se mencionan aquí.
[SwitchA] interface vlanif 100
[SwitchA-Vlanif100] pim bfd enable //Habilite BFD para PIM en
VLANIF100.
[SwitchA-Vlanif100] quit
[SwitchA] interface vlanif 301
[SwitchA-Vlanif301] pim bfd enable //Habilite BFD para PIM en
VLANIF301.
[SwitchA-Vlanif301] quit
[SwitchA] interface vlanif 302
[SwitchA-Vlanif302] pim bfd enable //Habilite BFD para PIM en
VLANIF302.
[SwitchA-Vlanif302] quit
7. Verifique la configuración.
– Verifique la configuración de la agregación de enlaces.
# Ejecute el comando display eth-trunk 1 en SwitchA. La información anterior
muestra que Eth-Trunk 1 contiene tres interfaces de miembros:
GigabitEthernet2/0/1, GigabitEthernet2/0/2, y GigabitEthernet2/0/3. Los estados de
todas las interfaces de miembros son Up.
[SwitchA] display eth-trunk 1
Eth-Trunk1's state information is:
WorkingMode: NORMAL Hash arithmetic: According to SIP-XOR-DIP
Least Active-linknumber: 1 Max Bandwidth-affected-linknumber: 8
Operate status: up Number Of Up Ports In Trunk: 3
-------------------------------------------------------------------------
-------
PortName Status Weight
GigabitEthernet2/0/1 Up 1
GigabitEthernet2/0/2 Up 1
GigabitEthernet2/0/3 Up 1
Las muestras del comando display vrrp en SwitchC y SwitchD son similares a las
muestras de comando en SwitchA y SwitchB.
– Verifique la configuración de OSPF.
# Ejecute el comando display ip routing-table en SwitchA. El resultado del
comando muestra que hay dos enrutamientos de IP a 10.1.6.0/24, que implementan
el equilibrio de carga del tráfico de unidifusión.
[SwitchA] display ip routing-table
Route Flags: R - relay, D - download to fib
-------------------------------------------------------------------------
-----
Routing Tables: Public
Destinations : 15 Routes : 18
(10.100.1.1, 225.0.0.10)
RP: 10.4.4.4
Protocol: pim-sm, Flag: SPT ACT
UpTime: 00:00:42
Upstream interface: Vlanif100
Upstream neighbor: 10.1.1.3
RPF prime neighbor: 10.1.1.3
Downstream interface(s) information:
Total number of downstreams: 1
1: Vlanif303
Protocol: pim-sm, UpTime: 00:00:42, Expires:-
[SwitchD] display pim routing-table
VPN-Instance: public net
Total 0 (*, G) entry; 1 (S, G) entry
(10.100.1.1, 225.0.0.10)
RP: 10.4.4.4
Protocol: pim-sm, Flag: SPT ACT
UpTime: 00:00:42
Upstream interface: Vlanif303
Upstream neighbor: 10.1.4.1
RPF prime neighbor: 10.1.4.1
Downstream interface(s) information:
Total number of downstreams: 1
1: Vlanif400
Protocol: pim-sm, UpTime: 00:00:42, Expires:-
La muestra del comando display ospf bfd session all en SwitchB, SwitchC y
SwitchD son similares a la muestra del comando en SwitchA.
# Ejecute el comando display pim bfd session en SwitchA. El resultado del
comando muestra que las sesiones de PIM BFD se han configurado correctamente.
[SwitchA] display pim bfd session
VPN-Instance: public net
Total 4 BFD session Created
Las muestras del comando display pim bfd session en SwitchB, SwitchC y
SwitchD son similares a la muestra del comando en SwitchA.
Archivos de configuración
l El archivo de configuración del gateway de salida del campus de SwitchA
#
sysname SwitchA
#
vlan batch 100 200 301 to 302
#
multicast routing-enable
#
bfd
#
interface Vlanif100
ip address 10.1.1.1 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.1.253
#
bfd
#
interface Vlanif302
ip address 10.1.3.2 255.255.255.0
pim sm
pim bfd enable
ospf bfd enable
#
interface Vlanif303
ip address 10.1.4.2 255.255.255.0
pim sm
pim bfd enable
ospf bfd enable
#
interface Vlanif400
ip address 10.1.6.2 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.6.253
vrrp vrid 2 virtual-ip 10.1.6.254
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 20
pim sm
pim bfd enable
igmp enable
ospf bfd enable
#
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 400 500
#
interface GigabitEthernet1/0/0
port link-type trunk
port trunk allow-pass vlan 400
stp disable
#
interface GigabitEthernet2/0/1
eth-trunk 1
#
interface GigabitEthernet2/0/2
eth-trunk 1
#
interface GigabitEthernet2/0/3
eth-trunk 1
#
interface GigabitEthernet3/0/1
port link-type trunk
port trunk allow-pass vlan 303
#
interface GigabitEthernet3/0/2
port link-type trunk
port trunk allow-pass vlan 302
#
interface LoopBack1
ip address 10.4.4.4 255.255.255.255
pim sm
#
ospf 1
area 0.0.0.0
network 10.1.3.0 0.0.0.255
network 10.1.4.0 0.0.0.255
network 10.1.6.0 0.0.0.255
network 10.4.4.4 0.0.0.0
#
pim
c-bsr LoopBack1
c-rp LoopBack1
#
return
Si la autenticación NAC está habilitada en una interfaz, los siguientes comandos no se pueden
usar en la misma interfaz.
Comando Función
Notas de configuración
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra en Figura 11-1, el administrador debe administrar el dispositivo de forma
remota de manera simplificada y segura. Los requisitos específicos son los siguientes:
1. El administrador debe introducir el nombre de usuario y la contraseña correcta para
iniciar sesión en el dispositivo a través de Telnet.
2. Después de iniciar sesión en el dispositivo a través de Telnet, el administrador puede
ejecutar los comandos en los niveles 0-3.
Red de
administración GE1/0/1
Administrador VLANIF10 Switch
Nombre de usuario: user1 10.1.2.10/24
Contraseña: Huawei@1234
Procedimiento
Paso 1 Configure las interfaces y asigne direcciones IP.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.1.2.10 24
[Switch-Vlanif10] quit
[Switch] interface gigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access
[Switch-GigabitEthernet1/0/1] port default vlan 10
[Switch-GigabitEthernet1/0/1] quit
NOTA
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10
#
telnet server enable
#
aaa
local-user user1 password irreversible-cipher %^%#.)P`(ahmeXKljES$}IC%OdjjC
$m)cA#}T(8z4*ZK!_Z+GSo<7C*O8WO,!rt;%^%#
local-user user1 privilege level 15
local-user user1 service-type telnet
#
interface Vlanif10
ip address 10.1.2.10 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
#
user-interface maximum-vty 15
user-interface vty 0 14
authentication-mode aaa
protocol inbound telnet
#
return
Notas de configuración
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra en Figura 11-2, un servidor RADIUS es implementado en una red. El
administrador se autentica a través de RADIUS y telnet al dispositivo para administrarlo de
forma remota. Los requisitos específicos son los siguientes:
NOTA
Este ejemplo sólo proporciona las configuraciones del dispositivo. Asegúrese de que los parámetros
requeridos se han configurado en el servidor RADIUS, por ejemplo, la dirección IP del dispositivo, la clave
compartida y el usuario que crea.
Procedimiento
Paso 1 Configure las interfaces y asigne direcciones IP.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 20
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.1.2.10 24
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.1.6.10 24
[Switch-Vlanif20] quit
[Switch] interface gigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access
[Switch-GigabitEthernet1/0/1] port default vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port default vlan 20
[Switch-GigabitEthernet1/0/2] quit
NOTA
Si el servidor RADIUS no acepta los nombres de usuario que contienen nombres de dominio, ejecute el
comando undo radius-server user-name domain-included en el dispositivo para que los paquetes enviados
desde el dispositivo al servidor RADIUS no contengan nombres de dominio.
# Elija Start > Run en su computadora donde se ejecuta el sistema operativo Windows e
introduzca cmd para abrir la ventana cmd. Ejecute el comando telnet e introduzca el nombre
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10 20
#
domain huawei.com admin
#
telnet server enable
#
radius-server template 1
radius-server shared-key cipher %^%#Zh-H!i<+2RUI,E4_q<''+[14Fmj4@>Aa0pM0H}@D%^%#
radius-server authentication 10.1.6.6 1812 weight 80
#
aaa
authentication-scheme sch1
authentication-mode radius
service-scheme sch1
admin-user privilege level 15
domain huawei.com
authentication-scheme sch1
service-scheme sch1
radius-server 1
#
interface Vlanif10
ip address 10.1.2.10 255.255.255.0
#
interface Vlanif20
ip address 10.1.6.10 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 20
#
user-interface maximum-vty 15
user-interface vty 0 14
authentication-mode aaa
protocol inbound telnet
#
return
Contenido relacionado
Herramienta de consulta de atributos de AAA
Esta herramienta muestra detalles sobre los atributos de AAA en los switches. No es necesario
registrar una cuenta de Huawei antes de utilizar esta herramienta.
AAA Attribute Query Tool
Notas de configuración
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra en Figura 11-3, en una red empresarial, un administrador se conecta al
switch a través de una red de administración y un usuario 802.1x se conecta al switch a través
de una red de acceso. La empresa utiliza ACS para crear y mantener la información del
usuario. El administrador puede iniciar sesión en el ACS a través de Web.
Al administrador y al usuario 802.1x se les asignan cuentas y derechos diferentes para mejorar
la seguridad. Los requisitos son los siguientes:
Red de GE1/0/2
administración VLANIF20
GE1/0/1
Administrador 10.1.2.10/24
VLANIF30
10.1.6.10/24
Preparaciones
Ítem Datos
NOTA
Procedimiento
Paso 1 Configure el switch.
1. Configure las interfaces y asigne direcciones IP para que el switch pueda comunicarse
con el ACS.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 20 30
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.1.6.10 24 //Configure la dirección IP
utilizada para comunicarse con el ACS.
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.1.2.10 24
[Switch-Vlanif20] quit
[Switch] interface vlanif 30
[Switch-Vlanif30] ip address 10.1.3.10 24
[Switch-Vlanif30] quit
[Switch] interface gigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access
[Switch-GigabitEthernet1/0/1] port default vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet1/0/1 //Configure la interfaz utilizada
para conectarse a los administradores.
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port default vlan 20
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet1/0/3 //Configure la interfaz utilizada
para conectarse a los usuarios 802.1x.
[Switch-GigabitEthernet1/0/3] port link-type hybrid //Si el servidor AAA
debe enviar VLAN o ACL para acceder a los usuarios, la interfaz de acceso del
usuario (con autenticación habilitada) en el switch debe ser una interfaz
híbrida.
[Switch-GigabitEthernet1/0/3] port hybrid untagged vlan 30
[Switch-GigabitEthernet1/0/3] quit
2. Cree una VLAN y una ACL que el ACS enviará para acceder a los usuarios.
Solo se puede enviar la VLAN o ACL que es la misma que la configurada en el servidor
AAA.
[Switch] vlan 100
[Switch-vlan100] quit
[Switch] acl 3000
[Switch-acl-adv-3000] quit
NOTA
NOTA
Los administradores (los usuarios que accedan al switch a través de Telnet, SSH, FTP, HTTP o
terminal) se autentican en el dominio administrativo predeterminado.
De forma predeterminada, el dominio administrativo es default_admin.
[Switch-aaa] domain default_admin
[Switch-aaa-domain-default_admin] radius-server 1
[Switch-aaa-domain-default_admin] authentication-scheme sch1
[Switch-aaa-domain-default_admin] quit
NOTA
Después de una conmutación entre el modo común y el modo unificado, el dispositivo se reinicia
automáticamente.
NOTA
La dirección URL del ACS está en el formato http://IP/ o https://IP/, por ejemplo, http://10.13.1.1/ o
https://10.13.1.1/.
3. Agregue un usuario.
a. Elija Users and Identity Stores > Internal Identity Stores > Users > Create,
como se muestra en Figura 11-6.
a. Elija Policy Elements > Authorization and Permissions > Network Access >
Authorization Profiles > Create para agregar un perfil de autenticación y
autorización, como se muestra en Figura 11-8.
NOTA
Cuando utilice el protocolo RADIUS, se recomienda que debe elegir Policy Elements >
Authorization and Permissions > Network Access.
Cuando se utiliza el protocolo TACACS +, se recomienda que debe elegir Policy Elements >
Authorization and Permissions > Authorization Profiles.
Los ajustes en la página tab RADIUS Attributes que se muestra en Figura 11-10.
Haga clic en Submit para confirmar la configuración del perfil.
NOTA
Los switches de la serie S son compatibles con los primeros cinco protocolos de acceso de
usuario.
c. Elija Access Policies > Access Services > Service Selection Rules a crear una
regla, como se muestra en Figura 11-16.
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10 20 30 100
#
telnet server enable
#
acl number 3000
#
radius-server template 1
radius-server shared-key cipher %^%#9nP3;sDW-AN0f@H@S*l&\f{V=V_auKe|^YXy7}bU%^%#
radius-server authentication 10.1.6.6 1812 weight 80
#
aaa
authentication-scheme sch1
authentication-mode radius
domain default_admin
authentication-scheme sch1
radius-server 1
domain huawei.com
authentication-scheme sch1
radius-server 1
#
interface Vlanif10
ip address 10.1.6.10 255.255.255.0
#
interface Vlanif20
ip address 10.1.2.10 255.255.255.0
#
interface Vlanif30
ip address 10.1.3.10 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 20
#
interface GigabitEthernet1/0/3
port link-type hybrid
port hybrid untagged vlan 30
authentication dot1x
dot1x authentication-method eap
#
user-interface maximum-vty 15
user-interface vty 0 14
authentication-mode aaa
protocol inbound telnet
#
return
Notas de configuración
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra en Figura 11-22, un servidor HWTACACS se implementa en una red y el
administrador hace Telnet al dispositivo para administrarlo de manera remota. Los requisitos
específicos son los siguientes:
NOTA
Este ejemplo sólo proporciona las configuraciones del dispositivo. Asegúrese de que los parámetros
requeridos se han configurado en el servidor HWTACACS, por ejemplo, la dirección IP del dispositivo, la
clave compartida y la información del usuario.
Procedimiento
Paso 1 Configure las interfaces y asigne direcciones IP.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 20
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.1.2.10 24
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.1.6.10 24
[Switch-Vlanif20] quit
[Switch] interface gigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access
[Switch-GigabitEthernet1/0/1] port default vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port default vlan 20
[Switch-GigabitEthernet1/0/2] quit
# Elija Start > Run en su computadora donde se ejecuta el sistema operativo Windows e
introduzca cmd para abrir la ventana cmd. Ejecute el comando telnet e introduzca el nombre
de usuario user1@huawei.com y la contraseña Huawei@1234 para iniciar sesión en el
dispositivo a través de Telnet.
C:\Documents and Settings\Administrator> telnet 10.1.2.10
Username:user1@huawei.com
Password:***********
<Switch>//El administrador inicia sesión con éxito.
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10 20
#
telnet server enable
#
hwtacacs-server template 1
hwtacacs-server authentication 10.1.6.6
hwtacacs-server shared-key cipher %^%#q(P3<qAXm=Pq).G8bgq@"sbFOf%0k%umgQJ3#MF3%^
%#
#
aaa
authentication-scheme sch1
authentication-mode hwtacacs local
service-scheme sch1
admin-user privilege level 15
domain huawei.com
authentication-scheme sch1
service-scheme sch1
hwtacacs-server 1
local-user user1@huawei.com password irreversible-cipher %^%#+bxGT|w}~J-
FHdDG"R8"($BX%XF/R1uba0UwL0).&r"Z#zbz*2G1$%6)Rd/V%^%#
local-user user1@huawei.com privilege level 15
local-user user1@huawei.com service-type telnet
#
interface Vlanif10
ip address 10.1.2.10 255.255.255.0
#
interface Vlanif20
ip address 10.1.6.10 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 20
#
user-interface maximum-vty 15
user-interface vty 0 14
authentication-mode aaa
No
NOTA
Por defecto, pueden modificar la configuración de los dominios predeterminados, pero no pueden eliminar los
dominios predeterminados de forma predeterminada.
Notas de configuración
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra en Figura 11-24, el administrador hace Telnets al dispositivo y gestiona de
forma remota el dispositivo después de pasar la autenticación local de AAA, y los usuarios de
802.1x inician sesión en el dispositivo a través de los clientes 802.1x después de pasar la
autenticación RADIUS. Por lo tanto, la autenticación local AAA y la autenticación RADIUS
deben configurarse en el dispositivo.
1. El administrador debe introducir el nombre de usuario y la contraseña correcta a hacer
Telnet al dispositivo. Después de iniciar sesión en el dispositivo, el administrador puede
ejecutar todos los comandos en los niveles 0-15.
2. Los usuarios de 802.1x deben introducir nombres de usuario y contraseñas correctas para
iniciar sesión en el dispositivo.
3. El administrador y los usuarios de 802.1x no deben introducir nombres de dominio al
iniciar sesión.
Red de GE1/0/1
administración VLANIF20
GE1/0/2
Administrador 10.1.2.10/24
VLANIF30
Nombre de usuario: user1 10.1.6.10/24
Contraseña: Huawei@1234
Usuario de 802.1x
Nombre de usuario: John
Contraseña: Hello@5678
NOTA
Este ejemplo sólo proporciona las configuraciones del dispositivo. Asegúrese de que los parámetros
requeridos se han configurado en el servidor RADIUS, por ejemplo, la dirección IP del dispositivo, la clave
compartida y el usuario que crea.
Procedimiento
Paso 1 Configure las interfaces y asigne direcciones IP.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 20 30
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.1.3.10 24
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.1.2.10 24
[Switch-Vlanif20] quit
[Switch] interface vlanif 30
[Switch-Vlanif30] ip address 10.1.6.10 24
[Switch-Vlanif30] quit
[Switch] interface gigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access
[Switch-GigabitEthernet1/0/1] port default vlan 20
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port default vlan 30
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet1/0/3
[Switch-GigabitEthernet1/0/3] port link-type access
[Switch-GigabitEthernet1/0/3] port default vlan 10
[Switch-GigabitEthernet1/0/3] quit
Paso 2 Configure la autenticación local de AAA para que el administrador haga Telnet al dispositivo.
NOTA
Paso 3 Configure la autenticación RADIUS para los usuarios de 802.1x para iniciar sesión en el
dispositivo.
# Configure la plantilla de servidor RADIUS para implementar la comunicación entre el
dispositivo y el servidor RADIUS.
[Switch] radius-server template 1
[Switch-radius-1] radius-server authentication 10.1.6.6 1812 //Especifique la
dirección IP y el número de puerto del servidor de autenticación RADIUS.
[Switch-radius-1] radius-server shared-key cipher Hello@1234 //Especifique la
clave compartida del servidor RADIUS, que debe ser la misma que la configurada en
el servidor RADIUS.
[Switch-radius-1] quit
NOTA
Si el servidor RADIUS no acepta los nombres de usuario que contienen nombres de dominio, ejecute el
comando undo radius-server user-name domain-included en el dispositivo para que los paquetes enviados
desde el dispositivo al servidor RADIUS no contengan nombres de dominio.
NOTA
Después de que el modo común se cambia al modo unificado, el dispositivo se reinicia automáticamente. Por
defecto, se utiliza el modo unificado.
# Elija Start > Run en su computadora donde se ejecuta el sistema operativo Windows e
introduzca cmd para abrir la ventana cmd. Ejecute el comando telnet e introduzca el nombre
de usuario user1 y la contraseña Huawei@1234 para iniciar sesión en el dispositivo a través
de Telnet.
C:\Documents and Settings\Administrator> telnet 10.1.2.10
Username:user1
Password:***********
<Switch>//El administrador inicia sesión con éxito.
# Ejecute el comando test-aaa para probar si un usuario 802.1x puede pasar la autenticación.
[Switch] test-aaa liming Hello@5678 radius-template 1
# Después de que el usuario se vaya a la red, puede ejecutar el comando display access-user
access-type dot1x para comprobar la información de usuario 802.1x en línea.
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10 20 30
#
telnet server enable
#
authentication-profile name p1 //Disponible solo en V200R009 y versiones
posteriores
dot1x-access-profile d1
authentication mode multi-authen max-user 100
#
radius-server template 1
radius-server shared-key cipher %^%#9nP3;sDW-AN0f@H@S*l&\f{V=V_auKe|^YXy7}bU%^%#
radius-server authentication 10.1.6.6 1812 weight 80
#
aaa
authentication-scheme sch1
authentication-mode radius
service-scheme sch1
admin-user privilege level 15
domain default
authentication-scheme sch1
service-scheme sch1
radius-server 1
local-user user1 password irreversible-cipher $1a$BKfS8Ml4qP
$1\a5RWc)oTIuB0'wN;p090;>{APtaL8/x/T.$
local-user user1 privilege level 15
local-user user1 service-type telnet
#
interface Vlanif10
ip address 10.1.3.10 255.255.255.0
#
interface Vlanif20
ip address 10.1.2.10 255.255.255.0
#
interface Vlanif30
ip address 10.1.6.10 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 20
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 30
#
interface GigabitEthernet1/0/3
port link-type access
port default vlan 10
authentication dot1x //Disponible solo en las versiones anteriores a V200R009
authentication-profile p1 //Disponible solo en V200R009 y versiones posteriores
#
user-interface maximum-vty 15
user-interface vty 0 14
authentication-mode aaa
protocol inbound telnet
#
dot1x-access-profile name d1 //Disponible solo en V200R009 y versiones
posteriores
#
return
Notas de configuración
Este ejemplo se aplica a todos los switches de la serie S(excepto S2350EI y S5300LI).
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Una empresa debe implementar un sistema de autenticación de identidad para controlar los
derechos de acceso a la red de los empleados y permitir que solo los usuarios autorizados
accedan a la red.
La empresa tiene los siguientes requisitos:
l Las operaciones de autenticación deberían ser simples. El sistema de autenticación solo
realiza la autorización de acceso. El software mínimo del cliente está instalado en los
terminales de usuario.
l Para facilitar la reconstrucción de la red y reducir las inversiones, la empresa requiere
que el punto de autenticación se implemente en el switch de core.
l Se utiliza un mecanismo de autenticación de identidad unificado para autenticar todos los
terminales que acceden a la red del campus y denegar el acceso desde los terminales no
autorizados.
l Los empleados de I+D pueden conectarse solo a servidores públicos (como los
servidores web y DNS) de la empresa antes de la autenticación y pueden conectarse a la
intranet (biblioteca de códigos y sistema de seguimiento de problemas) e Internet
después de ser autenticados.
l Los empleados de marketing pueden conectarse solo a los servidores públicos (como los
servidores web y DNS) de la empresa antes de la autenticación, y solo pueden conectarse
a Internet una vez autenticados.
Agile Controller
Servidor DNS Servidor Web
(incluye servidor Portal
y servidor RADIUS)
Switch de core
SwitchD
GE1/0/2 Dominio de post-
autenticación
GE1/0/1
Switch de
GE1/0/3
agregación
SwitchC Base de Sistema de
configuración de seguimiento de
GE1/0/1 GE1/0/2 código problemas
GE0/0/2 Switch de GE0/0/2
SwitchA acceso SwitchB
GE0/0/1 GE0/0/1
Departamento Departamento
de I+D de marketing
GE0/0/
4
PC Ordenador Punto de autenticación
PC portátil
PC
Plan de datos
Switch de core Número de ACL para el dominio Debe introducir este número de
de post-autenticación de los ACL al configurar las reglas de
empleados de I+D: 3001 autorización y los resultados en
Agile Controller-Campus.
Procedimiento
Paso 1 Configure el switch de acceso para garantizar la conectividad de la red.
A continuación se proporciona la configuración para SwitchA, el switch de acceso que
conecta con el departamento de I+D. La configuración para SwitchB, el switch de acceso que
conecta con el departamento de marketing, es similar a la de SwitchA.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan 101
[SwitchA-vlan101] quit
[SwitchA] interface gigabitethernet 0/0/1 //Interfaz conectada al departamento
de I+D
[SwitchA-GigabitEthernet0/0/1] port link-type access
[SwitchA-GigabitEthernet0/0/1] port default vlan 101
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2 //Interfaz conectada al switch de
agregación
[SwitchA-GigabitEthernet0/0/2] port link-type trunk
[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 101
[SwitchA-GigabitEthernet0/0/2] quit
[SwitchA] quit
<SwitchA> save //Guarde la configuración.
[SwitchD-radius-policy] quit
[SwitchD] aaa //Introduzca la vista AAA.
[SwitchD-aaa] authentication-scheme auth //Configure el esquema de
autenticación auth.
[SwitchD-aaa-authen-auth] authentication-mode radius //Establezca el modo
de autenticación a RADIUS.
[SwitchD-aaa-authen-auth] quit
[SwitchD-aaa] accounting-scheme acco //Configure el esquema de
contabilidad acco.
[SwitchD-aaa-accounting-acco] accounting-mode radius //Establezca el modo
de contabilidad a RADIUS.
[SwitchD-aaa-accounting-acco] accounting realtime 15 //Establezca el
intervalo de contabilidad en tiempo real a 15 minutos.
[SwitchD-aaa-accounting-acco] quit
[SwitchD-aaa] domain portal //Configure un dominio.
[SwitchD-aaa-domain-portal] authentication-scheme auth //Enlace el esquema
de autenticación auth al dominio.
[SwitchD-aaa-domain-portal] accounting-scheme acco //Enlace el esquema de
contabilidad acco al dominio.
[SwitchD-aaa-domain-portal] radius-server policy //Enlace la plantilla del
servidor RADIUS policy al dominio.
[SwitchD-aaa-domain-portal] quit
[SwitchD-aaa] quit
[SwitchD] domain portal //Configure portal como el dominio predeterminado
global.
4. Habilite la autenticación Portal y configure los derechos de acceso a la red para los
usuarios en el dominio de preautenticación y el dominio de post-autenticación.
NOTA
En versiones anteriores a V200R012C00, si la URL del servidor Portal debe analizarse por DNS y el
servidor DNS está en la red de enlace ascendente del dispositivo NAS, también debe crear reglas sin
autenticación y asegurarse de que el servidor DNS esté incluido en las reglas sin autenticación. En
V200R012C00 y versiones posteriores, el dispositivo NAS automáticamente permite el paso de los
paquetes DNS y no se requiere una regla sin autenticación en la autenticación Portal.
[SwitchD] free-rule-template name default_free_rule
[SwitchD-free-rule-default_free_rule] free-rule 1 destination ip 172.16.1.2
mask 255.255.255.255 //Configure reglas libres de autenticación para
usuarios de autenticación Portal, para que estos usuarios puedan acceder al
servidor DNS antes de la autenticación.
[SwitchD-free-rule-default_free_rule] free-rule 2 destination ip 172.16.1.3
mask 255.255.255.255 //Configure reglas libres de autenticación para
usuarios de autenticación Portal, para que estos usuarios puedan acceder al
servidor web antes de la autenticación.
[SwitchD-free-rule-default_free_rule] quit
Name SW -
Allowed IP 192.168.0.1/24; -
Addresses 192.168.1.1/24
b. Elija Policy > Permission Control > Authentication and Authorization >
Authorization Rule, y especifique las condiciones de autorización para los
empleados de I+D.
Parámetro Valor Descripción
Department R&D -
l Los empleados solo pueden acceder a los servidores Agile Controller-Campus, DNS y
web antes de la autenticación.
l La página de autenticación Portal se envía a un empleado cuando el empleado intenta
visitar un sitio web de Internet. Después de que el empleado introduzca la cuenta y la
contraseña correcta, se muestra la página web solicitada.
l El empleado de I+D A puede acceder a Internet, a la biblioteca de códigos y al sistema
de seguimiento de problemas después de la autenticación. El empleado de marketing B
puede acceder a Internet, pero no a la biblioteca de códigos ni al sistema de seguimiento
de problemas después de la autenticación.
Archivos de configuración
# Archivo de configuración del switch de acceso para el departamento de empleados (El
archivo de configuración del switch de acceso para el departamento de marketing es similar.)
#
sysname SwitchA
#
vlan batch 101
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 101
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 101
#
return
#
vlan batch 103 to 104
#
authentication-profile name p1
portal-access-profile web1
#
domain portal
#
radius-server template policy
radius-server shared-key cipher %#%#1*yT+0O\X;V}hP,G^TMN7mTXA^mIz)SoR:86;lNK%#%#
radius-server authentication 172.16.1.1 1812 weight 80
radius-server accounting 172.16.1.1 1813 weight 80
#
acl number 3001
rule 1 permit ip
acl number 3002
rule 1 deny ip destination 172.16.1.4 0
rule 2 deny ip destination 172.16.1.5 0
rule 3 permit ip
#
free-rule-template name default_free_rule
free-rule 1 destination ip 172.16.1.2 mask 255.255.255.255
free-rule 2 destination ip 172.16.1.3 mask 255.255.255.255
#
web-auth-server portal_huawei
server-ip 172.16.1.1
port 50200
shared-key cipher %#%#q9a^<=Ct5'=0n40/1g}/m6Mo,U9u5!s(GYM}Z{<~%#%#
url http://access.example.com:8080/portal
source-ip 172.16.1.254
#
portal-access-profile name web1
web-auth-server portal_huawei layer3
#
aaa
authentication-scheme auth
authentication-mode radius
accounting-scheme acco
accounting-mode radius
accounting realtime 15
domain portal
authentication-scheme auth
accounting-scheme acco
radius-server policy
#
interface Vlanif103
ip address 172.16.2.2 255.255.255.0
authentication-profile p1
#
interface Vlanif104
ip address 172.16.1.254 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 103
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 104
#
ip route-static 192.168.0.0 255.255.255.0 172.16.2.1
ip route-static 192.168.1.0 255.255.255.0 172.16.2.1
#
portal quiet-period
portal timer quiet-period 240
portal quiet-times 5
#
return
Notas de configuración
Este ejemplo se aplica a todos los switches de la serie S(excepto S2350EI y S5300LI).
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Una empresa debe implementar un sistema de autenticación de identidad para controlar los
derechos de acceso a la red de los empleados y permitir que solo los usuarios autorizados
accedan a la red.
La empresa tiene los siguientes requisitos:
l Las operaciones de autenticación deberían ser simples. El sistema de autenticación solo
realiza la autorización de acceso. El software mínimo del cliente está instalado en los
terminales de usuario.
l Se requiere un control de seguridad moderado. Para facilitar el mantenimiento, es
necesario implementar un número moderado de los puntos de autenticación en el switch
de agregación.
Internet
Dominio de
preautenticación
Base de Sistema de
configuración de seguimiento de
GE0/0/2 GE0/0/2 código problemas
Switch de
SwitchA acceso SwitchB
GE0/0/1 GE0/0/1
Departamento Departamento
de I+D de marketing
Plan de datos
Procedimiento
Paso 1 Configure el switch de acceso para garantizar la conectividad de la red.
A continuación se proporciona la configuración para SwitchA, el switch de acceso que
conecta con el departamento de I+D. La configuración para SwitchB, el switch de acceso que
conecta con el departamento de marketing, es similar.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan 101
[SwitchA-vlan101] quit
[SwitchA] interface gigabitethernet 0/0/1 //Interfaz conectada al departamento
de I+D
[SwitchA-GigabitEthernet0/0/1] port link-type access
[SwitchA-GigabitEthernet0/0/1] port default vlan 101
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2 //Interfaz conectada al switch de
agregación
[SwitchA-GigabitEthernet0/0/2] port link-type trunk
[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 101
[SwitchA-GigabitEthernet0/0/2] quit
[SwitchA] quit
<SwitchA> save //Guarde la configuración.
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
de contabilidad a RADIUS.
[SwitchC-aaa-accounting-acco] accounting realtime 15 //Establezca el
intervalo de contabilidad en tiempo real a 15 minutos.
[SwitchC-aaa-accounting-acco] quit
[SwitchC-aaa] domain portal //Configure un dominio.
[SwitchC-aaa-domain-portal] authentication-scheme auth //Enlace el esquema
de autenticación auth al dominio.
[SwitchC-aaa-domain-portal] accounting-scheme acco //Enlace el esquema de
contabilidad acco al dominio.
[SwitchC-aaa-domain-portal] radius-server policy //Enlace la plantilla del
servidor RADIUS policy al dominio.
[SwitchC-aaa-domain-portal] quit
[SwitchC-aaa] quit
[SwitchC] domain portal //Configure portal como dominio predeterminado
global.
4. Habilite la autenticación Portal y configure los derechos de acceso a la red para los
usuarios en el dominio de preautenticación y el dominio de post-autenticación.
NOTA
En versiones anteriores a V200R012C00, si la URL del servidor Portal debe analizarse por DNS y el
servidor DNS está en la red de enlace ascendente del dispositivo NAS, también debe crear reglas sin
autenticación y asegurarse de que el servidor DNS esté incluido en las reglas sin autenticación. En
V200R012C00 y versiones posteriores, el dispositivo NAS automáticamente permite el paso de los
paquetes DNS y no se requiere una regla sin autenticación en la autenticación Portal.
[SwitchC] free-rule-template name default_free_rule
[SwitchC-free-rule-default_free_rule] free-rule 1 destination ip 172.16.1.2
mask 255.255.255.255 //Configure reglas libres de autenticación para
usuarios de autenticación Portal, para que estos usuarios puedan acceder al
servidor DNS antes de la autenticación.
[SwitchC-free-rule-default_free_rule] free-rule 2 destination ip 172.16.1.3
mask 255.255.255.255 //Configure reglas libres de autenticación para
usuarios de autenticación Portal, para que estos usuarios puedan acceder al
servidor web antes de la autenticación.
[SwitchC-free-rule-default_free_rule] quit
Name SW -
Allowed IP 192.168.0.1/24; -
Addresses 192.168.1.1/24
b. Elija Policy > Permission Control > Authentication and Authorization >
Authorization Rule, y especifique las condiciones de autorización para los
empleados de I+D.
Parámetro Valor Descripción
Department R&D -
l Los empleados solo pueden acceder a los servidores Agile Controller-Campus, DNS y
web antes de la autenticación.
l La página de autenticación Portal se envía a un empleado cuando el empleado intenta
visitar un sitio web de Internet. Después de que el empleado introduzca la cuenta y la
contraseña correcta, se muestra la página web solicitada.
l El empleado de I+D A puede acceder a Internet, a la biblioteca de códigos y al sistema
de seguimiento de problemas después de la autenticación. El empleado de marketing B
puede acceder a Internet, pero no a la biblioteca de códigos ni al sistema de seguimiento
de problemas después de la autenticación.
----Fin
Archivos de configuración
# Archivo de configuración del switch de acceso para el departamento de I+D
#
sysname SwitchA
#
vlan batch 101
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 101
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 101
#
return
#
free-rule-template name default_free_rule
free-rule 1 destination ip 172.16.1.2 mask 255.255.255.255
free-rule 2 destination ip 172.16.1.3 mask 255.255.255.255
#
web-auth-server portal_huawei
server-ip 172.16.1.1
port 50200
shared-key cipher %#%#q9a^<=Ct5'=0n40/1g}/m6Mo,U9u5!s(GYM}Z{<~%#%#
url http://access.example.com:8080/portal
source-ip 172.16.1.254
#
portal-access-profile name web1
web-auth-server portal_huawei direct
#
aaa
authentication-scheme auth
authentication-mode radius
accounting-scheme acco
accounting-mode radius
accounting realtime 15
domain portal
authentication-scheme auth
accounting-scheme acco
radius-server policy
#
interface Vlanif101
ip address 192.168.0.1 255.255.255.0
authentication-profile p1
dhcp select interface
dhcp server dns-list 172.16.1.2
#
interface Vlanif102
ip address 192.168.1.1 255.255.255.0
authentication-profile p1
dhcp select interface
dhcp server dns-list 172.16.1.2
#
interface Vlanif103
ip address 172.16.1.254 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk pvid vlan 101
port trunk allow-pass vlan 101
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk pvid vlan 102
port trunk allow-pass vlan 102
#
interface GigabitEthernet1/0/3
port link-type access
port default vlan 103
#
portal quiet-period
portal timer quiet-period 240
portal quiet-times 5
#
return
Notas de configuración
Este ejemplo se aplica a todos los switches de la serie S.
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Las empresas tienen altos requisitos de seguridad de red. Para evitar el acceso no autorizado y
proteger la seguridad de la información, una empresa solicita a los usuarios que pasen la
autenticación de identidad y la verificación de seguridad antes de acceder a la red de la
empresa. Solo los usuarios autorizados pueden acceder a la red de la empresa.
Además, los terminales tontos, como los teléfonos IP y las impresoras, pueden acceder a la
red de la empresa solo después de pasar la autenticación.
La red empresarial tiene las siguientes características:
l Los switches de acceso en la red no son compatibles con la autenticación 802.1X.
l La red de la empresa tiene un tamaño pequeño y no tiene redes de sucursales.
l La empresa no tiene más de 1000 empleados. Un máximo de 2000 usuarios, incluidos los
invitados, acceden a la red todos los días.
l Terminales tontos, como teléfonos IP e impresoras, están conectadas a la red de la
empresa.
Para reducir la inversión en la reconstrucción de red, se recomienda configurar la función de
autenticación 802.1X en el switch de agregación y conectar un solo servidor de autenticación
Plan de datos
Ítem Datos
Ítem Datos
Procedimiento
Paso 1 Configure el switch de agregación.
1. Cree las VLAN y configure las VLAN permitidas por las interfaces para que los
paquetes puedan reenviarse.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 100 200
[SwitchA] interface gigabitethernet 0/0/1 //Configure la interfaz
conectada a SwitchC.
[SwitchA-GigabitEthernet0/0/1] port link-type trunk
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 200
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2 //Configure la interfaz
conectada a SwitchD.
[SwitchA-GigabitEthernet0/0/2] port link-type trunk
[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 200
[SwitchA-GigabitEthernet0/0/2] quit
[SwitchA] interface gigabitethernet 0/0/6 //Configure la interfaz
conectada al servidor.
[SwitchA-GigabitEthernet0/0/6] port link-type trunk
[SwitchA-GigabitEthernet0/0/6] port trunk allow-pass vlan 100
[SwitchA-GigabitEthernet0/0/6] quit
[SwitchA] interface vlanif 100
[SwitchA-Vlanif100] ip address 192.168.10.10 24 //Configure la dirección
IP de administración para SwitchA. Esta dirección IP se usa cuando se agrega
SwitchA a Agile Controller-Campus.
[SwitchA-Vlanif100] quit
[SwitchA] interface vlanif 200
[SwitchA-Vlanif200] ip address 192.168.200.1 24 //Configure la dirección
del gateway para los usuarios de terminal.
[SwitchA-Vlanif200] quit
[SwitchA] ip route-static 192.168.100.0 255.255.255.0 192.168.10.10 //
Configure una ruta al segmento de red donde reside el dominio de
preautenticación.
[SwitchA] ip route-static 192.168.102.0 255.255.255.0 192.168.10.10 //
Configure una ruta al segmento de red donde reside el dominio de post-
autenticación.
NOTA
Por defecto, el modo unificado está habilitado. Después de cambiar el modo NAC, el dispositivo se
reinicia automáticamente.
De forma predeterminada, un perfil de acceso 802.1X utiliza el modo de autenticación EAP. Asegúrese
de que el servidor RADIUS sea compatible con EAP; de lo contrario, el servidor no puede procesar los
paquetes de solicitud de autenticación 802.1X.
[SwitchA] dot1x-access-profile name d1
[SwitchA-dot1x-access-profile-d1] quit
# Configure la interfaz conectada a los usuarios como una interfaz de acceso y agregue la
interfaz a la VLAN 200.
[SwitchC] interface gigabitethernet 0/0/1
[SwitchC-GigabitEthernet0/0/1] port link-type access
[SwitchC-GigabitEthernet0/0/1] port default vlan 200
[SwitchC-GigabitEthernet0/0/1] quit
[SwitchC] interface gigabitethernet 0/0/2
[SwitchC-GigabitEthernet0/0/2] port link-type access
[SwitchC-GigabitEthernet0/0/2] port default vlan 200
[SwitchC-GigabitEthernet0/0/2] quit
# Configure la interfaz conectada a la red de enlace ascendente como una interfaz trunk y
configure la interfaz para permitir la VLAN 200.
[SwitchC] interface gigabitethernet 0/0/3
[SwitchC-GigabitEthernet0/0/3] port link-type trunk
[SwitchC-GigabitEthernet0/0/3] port trunk allow-pass vlan 200
[SwitchC-GigabitEthernet0/0/3] quit
En este ejemplo, SwitchC y SwitchD se implementan entre el switch de autenticación SwitchA y los
usuarios. La transmisión transparente del paquete EAP debe configurarse en SwitchC y SwitchD para
que SwitchA pueda realizar la autenticación 802.1X para los usuarios.
– Método 1:
[SwitchC] l2protocol-tunnel user-defined-protocol 802.1X protocol-mac
0180-c200-0003 group-mac 0100-0000-0002
[SwitchC] interface gigabitethernet 0/0/1
– Método 2: Este método se recomienda cuando existe una gran cantidad de usuarios
o se requiere un alto rendimiento de la red. Solo S5320EI, S5320HI, S6320HI y
S6320EI son compatibles con este método.
[SwitchC] undo bpdu mac-address 0180-c200-0000 ffff-ffff-fff0
[SwitchC] bpdu mac-address 0180-c200-0000 FFFF-FFFF-FFFE
[SwitchC] bpdu mac-address 0180-c200-0002 FFFF-FFFF-FFFF
[SwitchC] bpdu mac-address 0180-c200-0004 FFFF-FFFF-FFFC
[SwitchC] bpdu mac-address 0180-c200-0008 FFFF-FFFF-FFF8
3. Agregue switches a Agile Controller-Campus para que los switches se puedan comunicar
con Agile Controller-Campus.
a. Elija Resource > Device > Device Management.
b. Haga clic en Permission Control Device Group en el árbol de navegación, y haga
clic en y Add SubGroup para crear un grupo de dispositivos Switch.
Name SwitchA -
Device Huawei -
Series Quidway series
switch
Name Access -
authentication
rule
a. Elija Policy > Permission Control > Authentication and Authorization >
Authorization Rule y haga clic en Add para crear una regla de autenticación.
b. Configure la información básica para la regla de autorización.
Authorization Post-authentication -
Result domain
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 100 200
#
authentication-profile name p1
dot1x-access-profile d1
mac-access-profile m1
#
domain isp
#
access-user arp-detect vlan 200 ip-address 192.168.200.1 mac-address
2222-1111-1234
#
radius-server template rd1
radius-server shared-key cipher %#%#FP@&C(&{$F2HTlPxg^NLS~KqA/\^3Fex;T@Q9A]
(%#%#
radius-server authentication 192.168.100.100 1812 weight 80
radius-server accounting 192.168.100.100 1813 weight 80
#
dot1x-access-profile name d1
#
mac-access-profile name m1
mac-authen username fixed A-123 password cipher %#%#'Fxw8E,G-81(A3U<^HH9Sj
\:&hTdd>R>HILQYLtW%#%#
#
acl number 3002
rule 1 permit ip destination 192.168.102.100 0
rule 2 deny ip
#
aaa
authentication-scheme abc
authentication-mode radius
accounting-scheme acco1
accounting-mode radius
accounting realtime 15
domain isp
authentication-scheme abc
accounting-scheme acco1
radius-server rd1
#
interface Vlanif100
ip address 192.168.10.10 255.255.255.0
#
interface Vlanif200
ip address 192.168.200.1 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 200
authentication-profile p1
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 200
authentication-profile p1
#
interface GigabitEthernet0/0/6
port link-type trunk
port trunk allow-pass vlan 100
#
ip route-static 192.168.100.0 255.255.255.0 192.168.10.10
ip route-static 192.168.102.0 255.255.255.0 192.168.10.10
#
return
Descripción general
Después de que un usuario 802.1X se autentica exitosamente en un servidor RADIUS, el
servidor envía información de autorización al dispositivo de acceso del usuario. Cuando Agile
Controller-Campus funciona como el servidor RADIUS, pueden entregar múltiples
parámetros de autorización.
l La autorización basada en ACL se clasifica en:
– Autorización basada en la descripción de ACL: Si la autorización basada en la
descripción de ACL está configurada en el servidor, la información de autorización
incluye la descripción de ACL. El dispositivo coincide con las reglas de ACL
basadas en la descripción de ACL autorizada por el servidor para controlar los
derechos de los usuarios. El número de ACL, la descripción correspondiente y la
regla de ACL se deben configurar en el dispositivo.
Se usa el atributo de RADIUS estándar (011) Filter-Id.
– Autorización basada en ACL dinámica: El servidor autoriza reglas en una ACL para
el dispositivo. Los usuarios pueden acceder a los recursos de red controlados
utilizando esta ACL. La ACL y las reglas de ACL se deben configurar en el
servidor. La ACL no debe configurarse en el dispositivo.
Se utiliza el atributo RADIUS de propiedad de Huawei (26-82) HW-Data-Filter.
l VLAN dinámica: Si la entrega de VLAN dinámica está configurada en el servidor, la
información de autorización incluye el atributo de la VLAN entregada. Una vez que el
dispositivo reciba el atributo de la VLAN entregada, cambie la VLAN del usuario a la
VLAN entregada.
La VLAN enviada no cambia ni afecta la configuración de la interfaz. La VLAN
entregada, sin embargo, tiene prioridad sobre la VLAN configurada en la interfaz. Es
decir, la VLAN entregada tiene efecto después de que la autenticación se realice
correctamente, y la VLAN configurada tiene efecto después de que el usuario esté fuera
de línea.
Los siguientes atributos de RADIUS estándar se utilizan para la entrega de VLAN
dinámica:
– (064) Tunnel-Type (Debe establecerse a VLAN o 13.)
– (065) Tunnel-Medium-Type (Debe establecerse a 802 o 6.)
– (081) Tunnel-Private-Group-ID (Para dispositivos que ejecutan versiones anteriores
a V200R012C00, puede ser el ID de VLAN o la descripción de VLAN. Para
dispositivos que ejecutan V200R012C00 y versiones posteriores, puede ser el ID de
VLAN, la descripción de VLAN, el nombre de VLAN o el grupo de VLAN.
Para garantizar que el servidor RADIUS entregue la información de VLAN
correctamente, se deben usar los tres atributos RADIUS. Además, los atributos Tunnel-
Type y Tunnel-Medium-Type se deben establecer a los valores especificados.
NOTA
A continuación, se usan el número de ACL y la entrega de VLAN dinámica como ejemplo. Las diferencias de
configuración entre la entrega del número de ACL y la entrega de ACL dinámica se describen en notas.
Notas de configuración
Cuando el dispositivo es compatible con grupos UCL, se recomienda el uso de grupos UCL
para configurar las reglas de autorización. Para obtener detalles, consulte la sección "AAA
Configuration" > "Configuring Authorization Rules" en Configuration Guide - User Access
and Authentication.
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Haciendo que la autorización basada en VLAN tenga efecto, tiene los siguientes requisitos
sobre el tipo de enlace y el modo de control de acceso de la interfaz de autenticación:
l Si el tipo de enlace de interfaz es híbrido y la interfaz se ha agregado a una VLAN en
modo sin etiqueta, el modo de control de acceso puede basarse en la dirección MAC o en
la interfaz.
l Si el tipo de enlace de interfaz es de acceso o troncal, el modo de control de acceso solo
puede basarse en la interfaz.
Requisitos de redes
Como se muestra en Figura 11-28, un gran número de los terminales de los empleados en una
empresa se conectan a la intranet a través de GE0/0/1 en SwitchA. Para garantizar la
seguridad de la red, el administrador debe controlar los derechos de acceso a la red de los
terminales. Los requisitos son los siguientes:
l Antes de pasar la autenticación, los terminales pueden acceder al servidor público (con
dirección IP 192.168.40.1), descargar el cliente 802.1X o actualizar la base de datos
antivirus.
l Después de pasar la autenticación, los terminales pueden acceder al servidor de servicio
(con dirección IP 192.168.50.1) y dispositivos en el laboratorio (con ID de VLAN de 20
y segmento de dirección IP de 192.168.20.10-192.168.20.100).
Internet
Agile Controller
Dirección IP: 192.168.30.1
Servidor de servicio
GE0/0/3 Dirección IP: 192.168.50.1
SwitchA
Laboratorio GE0/0/2
VLAN20 GE0/0/1
VLAN10
Terminales de empleados
Plan de datos
Ítem Datos
Procedimiento
Paso 1 Configure el switch de acceso SwitchA.
1. Cree las VLAN y configure las VLAN permitidas en las interfaces para garantizar la
conectividad de la red.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 10 20
[SwitchA] interface gigabitethernet 0/0/1 //Configure la interfaz que se
conecta con los terminales de los empleados.
NOTA
Por defecto, el modo unificado está habilitado. Antes de cambiar el modo NAC, debe guardar la
configuración. Después de cambiar el modo y reiniciar el dispositivo, entran en vigencia las funciones
del modo recién configurado.
5. Configure el parámetro de autorización ACL 3002 para los usuarios que pasen la
autenticación.
NOTA
c. Haga clic en la tab User en el área de operación a la derecha, y luego haga clic en
Add bajo la tab User para agregar un usuario A.
d. Haga clic en que está al lado del usuario A en Operation para acceder a
Account Management. Haga clic en Add. Cree una cuenta común A-123 y
establezca la contraseña a Huawei123.
e. En la tab User, seleccione usuario A. Haga clic en Transfer para agregar el usuario
A al departamento de R&D.
3. Agregue switches a Agile Controller-Campus para que los switches se puedan comunicar
con Agile Controller-Campus.
Elija Resource > Device > Device Management. Haga clic en Add en el área de
operación a la derecha. Establezca los parámetros de conexión en la página Add Device.
a. Elija Policy > Permission Control > Authentication and Authorization >
Authorization Result y haga clic en Add para crear un resultado de autorización.
b. Configure la información básica para el resultado de autorización.
Parámetro Valor Descripción
b. Elija Policy > Permission Control > Authentication and Authorization >
Authorization Result y haga clic en Add para crear un resultado de autorización.
c. Configure la información básica para el resultado de autorización.
Parámetro Valor Descripción
Dynamic 3002 -
ACL
a. Elija Policy > Permission Control > Authentication and Authorization >
Authorization Rule y haga clic en Add para crear una regla de autorización.
b. Configure la información básica para la regla de autorización.
Parámetro Valor Descripción
----Fin
Como resultado, la autenticación 802.1X se aplica a escenarios con redes nuevas, distribución
centralizada de usuarios, y estrictos requisitos de seguridad de la información.
Notas de configuración
Este ejemplo se aplica a todos los switches de la serie S.
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra Figura 11-29, los terminales en una oficina están conectados a la red
interna de la compañía a través del Switch. El acceso no autorizado a la red interna puede
dañar el sistema de servicio de la empresa y provocar la fuga de la información clave. Por lo
tanto, el administrador requiere que el Switch controle los derechos de acceso a la red de los
usuarios para garantizar la seguridad de la red interna.
La autenticación 802.1X está configurada y el servidor RADIUS se utiliza para autenticar las
identidades de los usuarios, para cumplir con los altos requisitos de seguridad de la compañía.
Empleado
Servidor RADIUS
VLANIF10 VLANIF20 192.168.2.30
192.168.1.10/24 192.168.2.10/24
Área de
oficina GE1/0/1 GE1/0/2
Intranet
VLAN 10 VLAN 20
……
Empleado
l Antes de realizar operaciones en este ejemplo, asegúrese de que los terminales de acceso de usuario
y el servidor puedan comunicarse.
l Este ejemplo solo proporciona la configuración del Switch. Las configuraciones del LAN Switch y
el servidor no se proporcionan aquí.
l En este ejemplo, el switch LAN existe entre el switch de acceso Switch y los usuarios. Para
garantizar que los usuarios puedan pasar la autenticación 802.1X, debe configurar la función de
transmisión transparente del paquete EAP en el switch LAN.
l Método 1: El S5300 se usa como un ejemplo del switch LAN. Realice las siguientes
operaciones:
1. Ejecute el comando l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-
c200-0003 group-mac 0100-0000-0002 en la vista del sistema del switch LAN para
configurar el switch LAN para transmitir transparentemente paquetes EAP.
2. Ejecute el comando l2protocol-tunnel user-defined-protocol 802.1x enable en la interfaz
que conecta a los usuarios y la interfaz que se conecta al switch de acceso para habilitar la
función de transmisión transparente del protocolo de Capa 2.
l Método 2: Este método se recomienda cuando existe una gran cantidad de usuarios o se
requiere un alto rendimiento de la red. Solo S5320EI, S5320HI, S6320HI y S6320EI son
compatibles con este método.
1. Ejecute los siguientes comandos en la vista del sistema:
l undo bpdu mac-address 0180-c200-0000 ffff-ffff-fff0
l bpdu mac-address 0180-c200-0000 FFFF-FFFF-FFFE
l bpdu mac-address 0180-c200-0002 FFFF-FFFF-FFFF
l bpdu mac-address 0180-c200-0004 FFFF-FFFF-FFFC
l bpdu mac-address 0180-c200-0008 FFFF-FFFF-FFF8
2. (Este paso es obligatorio cuando cambia del método 1 al método 2.) Ejecute el comando
undo l2protocol-tunnel user-defined-protocol 802.1x enable en la vista de interfaz para
eliminar la configuración de transmisión transparente de los paquetes de protocolo 802.1x.
Procedimiento
Paso 1 Cree las VLAN y configure las VLAN permitidas por las interfaces para que los paquetes
puedan reenviarse.
# Cree VLAN 10 y VLAN 20.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 20
# Configure GE1/0/1 conectando el Switch a los usuarios como una interfaz de acceso y
agregue la interfaz a la VLAN 10.
[Switch] interface gigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access
[Switch-GigabitEthernet1/0/1] port default vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 192.168.1.10 24
[Switch-Vlanif10] quit
# Configure GE1/0/2 conectando el Switch al servidor RADIUS como una interfaz de acceso
y agregue la interfaz a la VLAN 20.
# Compruebe si un usuario puede pasar la autenticación RADIUS. La prueba del usuario test
y la contraseña Huawei2012 se han configurado en el servidor RADIUS.
[Switch] test-aaa test Huawei2012 radius-template rd1
Info: Account test succeed.
NOTA
De forma predeterminada, un perfil de acceso 802.1X utiliza el modo de autenticación EAP. Asegúrese
de que el servidor RADIUS sea compatible con EAP; de lo contrario, el servidor no puede procesar los
paquetes de solicitud de autenticación 802.1X.
[Switch] dot1x-access-profile name d1
[Switch-dot1x-access-profile-d1] quit
# Configure el perfil de autenticación p1, enlace el perfil de acceso 802.1X d1 con el perfil de
autenticación, especifique el dominio huawei.com como el dominio de autenticación forzada
en el perfil de autenticación, establezca el modo de acceso de usuario a multi-authen, y
establezca el número máximo de los usuarios de acceso a 100.
[Switch] authentication-profile name p1
[Switch-authen-profile-p1] dot1x-access-profile d1
----Fin
Archivos de configuración
Archivo de configuración del Switch
#
sysname Switch
#
vlan batch 10 20
#
authentication-profile name p1
dot1x-access-profile d1
authentication mode multi-authen max-user 100
access-domain huawei.com force
#
access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address 2222-1111-1234
#
radius-server template rd1
radius-server shared-key cipher %#%#4*SO-2u,Q.\1C~%[eiB77N/^2wME;6t%6U@qAJ9:%#%#
radius-server authentication 192.168.2.30 1812 weight 80
#
dot1x-access-profile name d1
#
aaa
authentication-scheme abc
authentication-mode radius
domain huawei.com
authentication-scheme abc
radius-server rd1
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
authentication-profile p1
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 20
#
interface Vlanif10
ip address 192.168.1.10 255.255.255.0
#
interface Vlanif20
ip address 192.168.2.10 255.255.255.0
#
return
Notas de configuración
Este ejemplo se aplica a todos los switches de la serie S.
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra Figura 11-30, los terminales en un departamento de control de acceso físico
de una compañía están conectados a la red interna de la compañía a través del Switch. El
acceso no autorizado a la red interna puede dañar el sistema de servicio de la empresa y
provocar la fuga de la información clave. Por lo tanto, el administrador requiere que el Switch
controle los derechos de acceso a la red de los usuarios para garantizar la seguridad de la red
interna.
Impresora
Servidor RADIUS
VLANIF10 VLANIF20 192.168.2.30
Departamento 192.168.1.10/24 192.168.2.10/24
de control de
acceso físico
GE1/0/1 GE1/0/2
Intranet
VLAN 10 VLAN 20
……
Impresora
NOTA
l Antes de realizar operaciones en este ejemplo, asegúrese de que los terminales de acceso de usuario
y el servidor puedan comunicarse.
l Este ejemplo solo proporciona la configuración del Switch. Las configuraciones del LAN Switch y
el servidor no se proporcionan aquí.
Procedimiento
Paso 1 Cree las VLAN y configure las VLAN permitidas por las interfaces para que los paquetes
puedan reenviarse.
# Configure GE1/0/1 conectando el Switch a los usuarios como una interfaz de acceso y
agregue la interfaz a la VLAN 10.
[Switch] interface gigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access
[Switch-GigabitEthernet1/0/1] port default vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 192.168.1.10 24
[Switch-Vlanif10] quit
# Configure GE1/0/2 conectando el Switch al servidor RADIUS como una interfaz de acceso
y agregue la interfaz a la VLAN 20.
[Switch] interface gigabitethernet1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port default vlan 20
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 192.168.2.10 24
[Switch-Vlanif20] quit
# Compruebe si un usuario puede pasar la autenticación RADIUS. La prueba del usuario test
y la contraseña Huawei2012 se han configurado en el servidor RADIUS.
[Switch] test-aaa test Huawei2012 radius-template rd1
Info: Account test succeed.
NOTA
NOTA
En un perfil de acceso MAC, se usa una dirección MAC sin guiones (-) como nombre de usuario y
contraseña para la autenticación de dirección MAC. Asegúrese de que los formatos del nombre de
usuario y la contraseña para la autenticación de dirección MAC configurados en el servidor RADIUS
sean los mismos que los configurados en el dispositivo de acceso.
[Switch] mac-access-profile name m1
[Switch-mac-access-profile-m1] quit
# Configure el perfil de autenticación p1, enlace el perfil de acceso MAC m1 con el perfil de
autenticación, especifique el dominio huawei.com como el dominio de autenticación forzada
en el perfil de autenticación, establezca el modo de acceso de usuario a multi-authen, y
establezca el número máximo de los usuarios de acceso a 100.
[Switch] authentication-profile name p1
[Switch-authen-profile-p1] mac-access-profile m1
[Switch-authen-profile-p1] access-domain huawei.com force
[Switch-authen-profile-p1] authentication mode multi-authen max-user 100
[Switch-authen-profile-p1] quit
----Fin
Archivos de configuración
Archivo de configuración del Switch
#
sysname Switch
#
vlan batch 10 20
#
authentication-profile name p1
mac-access-profile m1
authentication mode multi-authen max-user 100
access-domain huawei.com force
#
access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address 2222-1111-1234
#
La autenticación Portal no puede garantizar una alta seguridad, pero no requiere la instalación
del software del cliente y proporciona una implementación flexible. Otros dos métodos de
autenticación NAC tienen sus ventajas y desventajas: La autenticación 802.1X garantiza una
alta seguridad, pero se requiere que el software del cliente 802.1X se instale en los terminales
del usuario, lo que causa una implementación inflexible de la red. La autenticación de
dirección MAC no requiere la instalación del software del cliente, pero las direcciones MAC
deben estar registradas en un servidor de autenticación, lo que resulta en una administración
compleja.
La autenticación Portal se aplica a escenarios donde una gran cantidad de usuarios dispersos,
como visitantes de la empresa, se mueven con frecuencia.
Notas de configuración
Este ejemplo se aplica a todos los switches de la serie S(excepto S2350EI y S5300LI).
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra Figura 11-31, los terminales en el área de visitantes están conectados a la
red interna de la compañía a través del Switch. El acceso no autorizado a la red interna puede
dañar el sistema de servicio de la empresa y provocar la fuga de la información clave. Por lo
tanto, el administrador requiere que el Switch controle los derechos de acceso a la red de los
usuarios para garantizar la seguridad de la red interna.
Debido a que los visitantes se mueven con frecuencia, la autenticación Portal está configurada
y el servidor RADIUS se utiliza para autenticar las identidades del usuario.
Servidor RADIUS
/Servidor Portal
VLANIF10 VLANIF20 192.168.2.30
Visitante 192.168.1.10/24 192.168.2.10/24
Área del
GE1/0/1 GE1/0/2
visitante Intranet
VLAN 10 VLAN 20
……
Visitante
NOTA
l Antes de realizar operaciones en este ejemplo, asegúrese de que los terminales de acceso de usuario y el
servidor puedan comunicarse.
l Este ejemplo solo proporciona la configuración del Switch. Las configuraciones del LAN Switch y el
servidor no se proporcionan aquí.
Procedimiento
Paso 1 Cree las VLAN y configure las VLAN permitidas por las interfaces para que los paquetes
puedan reenviarse.
# Cree VLAN 10 y VLAN 20.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 20
# Configure GE1/0/1 conectando el Switch a los usuarios como una interfaz de acceso y
agregue la interfaz a la VLAN 10.
[Switch] interface gigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access
[Switch-GigabitEthernet1/0/1] port default vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 192.168.1.10 24
[Switch-Vlanif10] quit
# Configure GE1/0/2 conectando el Switch al servidor RADIUS como una interfaz de acceso
y agregue la interfaz a la VLAN 20.
[Switch] interface gigabitethernet1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port default vlan 20
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 192.168.2.10 24
[Switch-Vlanif20] quit
# Compruebe si un usuario puede pasar la autenticación RADIUS. La prueba del usuario test
y la contraseña Huawei2012 se han configurado en el servidor RADIUS.
[Switch] test-aaa test Huawei2012 radius-template rd1
Info: Account test succeed.
NOTA
NOTA
Asegúrese de que el número de puerto configurado en el dispositivo sea el mismo que el número de puerto
utilizado por el servidor Portal.
# Configure el perfil de autenticación p1, enlace el perfil de acceso Portal web1 con el perfil
de autenticación, especifique el dominio huawei.com como el dominio de autenticación
forzada en el perfil de autenticación, establezca el modo de acceso de usuario a multi-authen,
y establezca el número máximo de los usuarios de acceso a 100.
[Switch] authentication-profile name p1
[Switch-authen-profile-p1] portal-access-profile web1
[Switch-authen-profile-p1] access-domain huawei.com force
[Switch-authen-profile-p1] authentication mode multi-authen max-user 100
[Switch-authen-profile-p1] quit
NOTA
En este ejemplo, a los usuarios se les asignan direcciones IP estáticas. Si los usuarios obtienen direcciones IP
a través de DHCP y el servidor DHCP está en la red de enlace ascendente del dispositivo NAS, utilice el
comando free-rule para crear reglas sin autenticación y asegúrese de que el servidor DHCP esté incluido en
las reglas sin autenticación.
En versiones anteriores a V200R012C00, si la URL del servidor Portal debe analizarse por DNS y el servidor
DNS está en la red de enlace ascendente del dispositivo NAS, también debe crear reglas sin autenticación y
asegurarse de que el servidor DNS esté incluido en las reglas sin autenticación. En V200R012C00 y versiones
posteriores, el dispositivo NAS automáticamente permite el paso de los paquetes DNS y no se requiere una
regla sin autenticación en la autenticación Portal.
----Fin
Archivos de configuración
Archivo de configuración del Switch
#
sysname Switch
#
vlan batch 10 20
#
authentication-profile name p1
portal-access-profile web1
authentication mode multi-authen max-user 100
access-domain huawei.com force
#
access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address 2222-1111-1234
#
radius-server template rd1
radius-server shared-key cipher %#%#4*SO-2u,Q.\1C~%[eiB77N/^2wME;6t%6U@qAJ9:%#%#
radius-server authentication 192.168.2.30 1812 weight 80
#
web-auth-server
abc
server-ip
192.168.2.30
port
50200
#
portal-access-profile name
web1
web-auth-server abc
direct
#
aaa
authentication-scheme abc
authentication-mode radius
domain huawei.com
authentication-scheme abc
radius-server rd1
#
interface Vlanif10
ip address 192.168.1.10 255.255.255.0
#
interface Vlanif20
ip address 192.168.2.10 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
authentication-profile p1
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 20
#
return
La autenticación Portal es insegura, pero permite una red flexible ya que no se requiere
software del cliente en los terminales de los usuarios. La autenticación 802.1X es otro método
de NAC. Es más segura que la autenticación Portal, pero requiere la instalación del software
del cliente en los terminales de los usuarios, lo que resulta en la inflexibilidad de la red. Al
igual que la autenticación Portal, la autenticación de dirección MAC tampoco requiere la
instalación del software del cliente, pero las direcciones MAC de los terminales de usuario
deben estar registradas en el servidor de autenticación. La configuración y administración de
la red es compleja.
Notas de configuración
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Una empresa debe implementar un sistema de autenticación de identidad para controlar los
derechos de acceso a la red de los empleados y permitir que solo los usuarios autorizados
accedan a la red.
La empresa tiene los siguientes requisitos:
l Las operaciones de autenticación deberían ser simples. El sistema de autenticación solo
realiza la autorización de acceso. El software mínimo del cliente está instalado en los
terminales de usuario.
l Para facilitar la reconstrucción de la red y reducir las inversiones, la empresa requiere
que el punto de autenticación se implemente en el switch de core.
l Se utiliza un mecanismo de autenticación de identidad unificado para autenticar todos los
terminales que acceden a la red del campus y denegar el acceso desde los terminales no
autorizados.
l Los empleados de I+D pueden conectarse solo a servidores públicos (como los
servidores web y DNS) de la empresa antes de la autenticación y pueden conectarse a la
intranet (biblioteca de códigos y sistema de seguimiento de problemas) e Internet
después de ser autenticados.
l Los empleados de marketing pueden conectarse solo a los servidores públicos (como los
servidores web y DNS) de la empresa antes de la autenticación, y solo pueden conectarse
a Internet una vez autenticados.
Agile Controller
Servidor DNS Servidor Web
(incluye servidor Portal
y servidor RADIUS)
Switch de core
SwitchD
GE1/0/2 Dominio de post-
autenticación
GE1/0/1
Switch de
GE1/0/3
agregación
SwitchC Base de Sistema de
configuración de seguimiento de
GE1/0/1 GE1/0/2 código problemas
GE0/0/2 Switch de GE0/0/2
SwitchA acceso SwitchB
GE0/0/1 GE0/0/1
Departamento Departamento
de I+D de marketing
GE0/0/
4
PC Ordenador Punto de autenticación
PC portátil
PC
Plan de datos
ID de VLAN Función
Switch de core Número de ACL para el dominio Debe introducir este número de
de post-autenticación de los ACL al configurar las reglas de
empleados de I+D: 3001 autorización y los resultados en
Agile Controller-Campus.
Procedimiento
Paso 1 Configure el switch de acceso para garantizar la conectividad de la red.
A continuación se proporciona la configuración para SwitchA, el switch de acceso que
conecta con el departamento de I+D. La configuración para SwitchB, el switch de acceso que
conecta con el departamento de marketing, es similar a la de SwitchA.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan 101
[SwitchA-vlan101] quit
[SwitchA] interface gigabitethernet 0/0/1 //Interfaz conectada al departamento
de I+D
[SwitchA-GigabitEthernet0/0/1] port link-type access
[SwitchA-GigabitEthernet0/0/1] port default vlan 101
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2 //Interfaz conectada al switch de
agregación
[SwitchA-GigabitEthernet0/0/2] port link-type trunk
[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 101
[SwitchA-GigabitEthernet0/0/2] quit
[SwitchA] quit
<SwitchA> save //Guarde la configuración.
[SwitchD] quit
<SwitchD> save //Guarde la configuración.
Name SW -
Allowed IP 192.168.0.1/24; -
Addresses 192.168.1.1/24
b. Elija Policy > Permission Control > Authentication and Authorization >
Authorization Rule, y especifique las condiciones de autorización para los
empleados de I+D.
Parámetro Valor Descripción
Department R&D -
l Los empleados solo pueden acceder a los servidores Agile Controller-Campus, DNS y
web antes de la autenticación.
l La página de autenticación Portal se envía a un empleado cuando el empleado intenta
visitar un sitio web de Internet. Después de que el empleado introduzca la cuenta y la
contraseña correcta, se muestra la página web solicitada.
l El empleado de I+D A puede acceder a Internet, a la biblioteca de códigos y al sistema
de seguimiento de problemas después de la autenticación. El empleado de marketing B
puede acceder a Internet, pero no a la biblioteca de códigos ni al sistema de seguimiento
de problemas después de la autenticación.
Archivos de configuración
# Archivo de configuración del switch de acceso para el departamento de empleados (El
archivo de configuración del switch de acceso para el departamento de marketing es similar.)
#
sysname SwitchA
#
vlan batch 101
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 101
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 101
#
return
#
vlan batch 103 to 104
#
domain portal
#
radius-server template policy
radius-server shared-key cipher %#%#1*yT+0O\X;V}hP,G^TMN7mTXA^mIz)SoR:86;lNK%#%#
radius-server authentication 172.16.1.1 1812 weight 80
radius-server accounting 172.16.1.1 1813 weight 80
#
acl number 3001
rule 1 permit ip
acl number 3002
rule 1 deny ip destination 172.16.1.4 0
rule 2 deny ip destination 172.16.1.5 0
rule 3 permit ip
#
web-auth-server portal_huawei
server-ip 172.16.1.1
port 50200
shared-key cipher %#%#q9a^<=Ct5'=0n40/1g}/m6Mo,U9u5!s(GYM}Z{<~%#%#
url http://access.example.com:8080/portal
source-ip 172.16.1.254
#
aaa
authentication-scheme auth
authentication-mode radius
accounting-scheme acco
accounting-mode radius
accounting realtime 15
domain portal
authentication-scheme auth
accounting-scheme acco
radius-server policy
#
interface Vlanif103
ip address 172.16.2.2 255.255.255.0
web-auth-server portal_huawei layer3
authentication portal
#
interface Vlanif104
ip address 172.16.1.254 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 103
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 104
#
ip route-static 192.168.0.0 255.255.255.0 172.16.2.1
ip route-static 192.168.1.0 255.255.255.0 172.16.2.1
#
authentication free-rule 1 destination ip 172.16.1.2 mask 255.255.255.255
authentication free-rule 2 destination ip 172.16.1.3 mask 255.255.255.255
portal quiet-period
portal timer quiet-period 240
portal quiet-times 5
#
return
La autenticación Portal es insegura, pero permite una red flexible ya que no se requiere
software del cliente en los terminales de los usuarios. La autenticación 802.1X es otro método
de NAC. Es más segura que la autenticación Portal, pero requiere la instalación del software
del cliente en los terminales de los usuarios, lo que resulta en la inflexibilidad de la red. Al
igual que la autenticación Portal, la autenticación de dirección MAC tampoco requiere la
instalación del software del cliente, pero las direcciones MAC de los terminales de usuario
deben estar registradas en el servidor de autenticación. La configuración y administración de
la red es compleja.
Notas de configuración
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
De forma predeterminada, el switch permite que pasen los paquetes desde los servidores
RADIUS y Portal. No debe configurar reglas libres de autenticación para los dos servidores
en el switch.
Requisitos de redes
Una empresa debe implementar un sistema de autenticación de identidad para controlar los
derechos de acceso a la red de los empleados y permitir que solo los usuarios autorizados
accedan a la red.
La empresa tiene los siguientes requisitos:
l Las operaciones de autenticación deberían ser simples. El sistema de autenticación solo
realiza la autorización de acceso. El software mínimo del cliente está instalado en los
terminales de usuario.
l Se requiere un control de seguridad moderado. Para facilitar el mantenimiento, es
necesario implementar un número moderado de los puntos de autenticación en el switch
de agregación.
l Se utiliza un mecanismo de autenticación de identidad unificado para autenticar todos los
terminales que acceden a la red del campus y denegar el acceso desde los terminales no
autorizados.
l Los empleados de I+D pueden conectarse solo a servidores públicos (como los
servidores web y DNS) de la empresa antes de la autenticación y pueden conectarse a la
intranet (biblioteca de códigos y sistema de seguimiento de problemas) e Internet
después de ser autenticados.
l Los empleados de marketing pueden conectarse solo a los servidores públicos (como los
servidores web y DNS) de la empresa antes de la autenticación, y solo pueden conectarse
a Internet una vez autenticados.
Internet
Dominio de
preautenticación
Base de Sistema de
configuración de seguimiento de
GE0/0/2 GE0/0/2 código problemas
Switch de
SwitchA acceso SwitchB
GE0/0/1 GE0/0/1
Departamento Departamento
de I+D de marketing
Plan de datos
Procedimiento
Paso 1 Configure el switch de acceso para garantizar la conectividad de la red.
A continuación se proporciona la configuración para SwitchA, el switch de acceso que
conecta con el departamento de I+D. La configuración para SwitchB, el switch de acceso que
conecta con el departamento de marketing, es similar.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan 101
[SwitchA-vlan101] quit
[SwitchA] interface gigabitethernet 0/0/1 //Interfaz conectada al departamento
de I+D
[SwitchA-GigabitEthernet0/0/1] port link-type access
[SwitchA-GigabitEthernet0/0/1] port default vlan 101
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2 //Interfaz conectada al switch de
agregación
[SwitchA-GigabitEthernet0/0/2] port link-type trunk
[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 101
[SwitchA-GigabitEthernet0/0/2] quit
[SwitchA] quit
<SwitchA> save //Guarde la configuración.
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Name SW -
Allowed IP 192.168.0.1/24; -
Addresses 192.168.1.1/24
b. Elija Policy > Permission Control > Authentication and Authorization >
Authorization Rule, y especifique las condiciones de autorización para los
empleados de I+D.
Parámetro Valor Descripción
Department R&D -
l Los empleados solo pueden acceder a los servidores Agile Controller-Campus, DNS y
web antes de la autenticación.
l La página de autenticación Portal se envía a un empleado cuando el empleado intenta
visitar un sitio web de Internet. Después de que el empleado introduzca la cuenta y la
contraseña correcta, se muestra la página web solicitada.
l El empleado de I+D A puede acceder a Internet, a la biblioteca de códigos y al sistema
de seguimiento de problemas después de la autenticación. El empleado de marketing B
puede acceder a Internet, pero no a la biblioteca de códigos ni al sistema de seguimiento
de problemas después de la autenticación.
----Fin
port 50200
shared-key cipher %#%#q9a^<=Ct5'=0n40/1g}/m6Mo,U9u5!s(GYM}Z{<~%#%#
url http://access.example.com:8080/portal
source-ip 172.16.1.254
#
aaa
authentication-scheme auth
authentication-mode radius
accounting-scheme acco
accounting-mode radius
accounting realtime 15
domain portal
authentication-scheme auth
accounting-scheme acco
radius-server policy
#
interface Vlanif101
ip address 192.168.0.1 255.255.255.0
web-auth-server portal_huawei direct
authentication portal
dhcp select interface
dhcp server dns-list 172.16.1.2
#
interface Vlanif102
ip address 192.168.1.1 255.255.255.0
web-auth-server portal_huawei direct
authentication portal
dhcp select interface
dhcp server dns-list 172.16.1.2
#
interface Vlanif103
ip address 172.16.1.254 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk pvid vlan 101
port trunk allow-pass vlan 101
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk pvid vlan 102
port trunk allow-pass vlan 102
#
interface GigabitEthernet1/0/3
port link-type access
port default vlan 103
#
authentication free-rule 1 destination ip 172.16.1.2 mask 255.255.255.255
authentication free-rule 2 destination ip 172.16.1.3 mask 255.255.255.255
portal quiet-period
portal timer quiet-period 240
portal quiet-times 5
#
return
Descripción general
La autenticación 802.1X y la autenticación de dirección MAC son dos métodos utilizados
para el Control de admisión de red (NAC). La autenticación 802.1X se implementa en base a
La autenticación 802.1X es más segura que la autenticación de dirección MAC; sin embargo,
se requiere que el software de cliente 802.1X esté instalado en todos los terminales de usuario,
lo que permite una baja flexibilidad de red. La autenticación 802.1X es aplicable a las redes
que requieren alta seguridad de la información.
La autenticación de dirección MAC no requiere el software del cliente 802.1X, pero las
direcciones MAC de los terminales de usuario deben estar registradas en el servidor de
autenticación. La configuración y administración de la red es compleja. La autenticación de
dirección MAC es aplicable a terminales tontos como impresoras y máquinas de fax.
Notas de configuración
Este ejemplo se aplica a todos los switches de la serie S.
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
De forma predeterminada, el switch permite que pasen los paquetes del servidor RADIUS. No
debe configurar reglas libres de autenticación para el servidor en el switch.
Requisitos de redes
Las empresas tienen altos requisitos de seguridad de red. Para evitar el acceso no autorizado y
proteger la seguridad de la información, una empresa solicita a los usuarios que pasen la
autenticación de identidad y la verificación de seguridad antes de acceder a la red de la
empresa. Solo los usuarios autorizados pueden acceder a la red de la empresa.
Además, los terminales tontos, como los teléfonos IP y las impresoras, pueden acceder a la
red de la empresa solo después de pasar la autenticación.
Para proporcionar una alta seguridad para la red, se recomienda configurar la función de
autenticación 802.1X en los switches de acceso y conectar un solo servidor de autenticación
centralizado al switch de agregación en el modo bypass. La autenticación de dirección MAC
debe configurarse para terminales tontos.
Plan de datos
Ítem Datos
Ítem Datos
Procedimiento
Paso 1 Configure los switches de acceso. Este ejemplo utiliza SwitchC para describir la
configuración. La configuración de dominio en SwitchD es la misma que en SwitchC.
1. Cree las VLAN y configure las VLAN permitidas por las interfaces para que los
paquetes puedan reenviarse.
<Quidway> system-view
[Quidway] sysname SwitchC
[SwitchC] vlan batch 10
[SwitchC] interface gigabitethernet 0/0/1 //Configure la interfaz
conectada a terminales fijos.
[SwitchC-GigabitEthernet0/0/1] port link-type access
[SwitchC-GigabitEthernet0/0/1] port default vlan 10
[SwitchC-GigabitEthernet0/0/1] quit
[SwitchC] interface gigabitethernet 0/0/2 //Configure la interfaz
conectada a terminales tontos.
[SwitchC-GigabitEthernet0/0/2] port link-type access
[SwitchC-GigabitEthernet0/0/2] port default vlan 10
[SwitchC-GigabitEthernet0/0/2] quit
[SwitchC] interface gigabitethernet 0/0/3 //Configure la interfaz
conectada a SwitchA.
[SwitchC-GigabitEthernet0/0/3] port link-type trunk
[SwitchC-GigabitEthernet0/0/3] port trunk allow-pass vlan 10
[SwitchC-GigabitEthernet0/0/3] quit
[SwitchC] interface vlanif 10
[SwitchC-Vlanif10] ip address 192.168.30.30 24 //Configure la dirección IP
utilizada para comunicarse con el Controller.
NOTA
Por defecto, el modo unificado está habilitado. Después de cambiar el modo NAC, el dispositivo se
reinicia automáticamente.
3. Agregue switches a Agile Controller-Campus para que los switches se puedan comunicar
con Agile Controller-Campus.
a. Elija Resource > Device > Device Management.
b. Haga clic en Permission Control Device Group en el árbol de navegación, y haga
clic en y Add SubGroup para crear un grupo de dispositivos Switch.
Name SwitchC -
Device Huawei -
Series Quidway series
switch
Name Access -
authentication
rule
a. Elija Policy > Permission Control > Authentication and Authorization >
Authorization Rule y haga clic en Add para crear una regla de autenticación.
b. Configure la información básica para la regla de autorización.
Authorization Post-authentication -
Result domain
----Fin
Descripción general
En una red NAC, los modos de autenticación 802.1X, MAC y Portal se configuran en las
interfaces de acceso de usuario de un dispositivo para cumplir con diversos requisitos de
autenticación. Los usuarios pueden acceder a la red usando cualquier modo de autenticación.
Notas de configuración
Este ejemplo se aplica a todos los switches de la serie S.
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Las empresas tienen altos requisitos de seguridad de red. Para evitar el acceso no autorizado y
proteger la seguridad de la información, una empresa solicita a los usuarios que pasen la
autenticación de identidad y la verificación de seguridad antes de acceder a la red de la
empresa. Solo los usuarios autorizados pueden acceder a la red de la empresa.
Además, los terminales tontos, como los teléfonos IP y las impresoras, pueden acceder a la
red de la empresa solo después de pasar la autenticación.
La red empresarial tiene las siguientes características:
l Los switches de acceso en la red no son compatibles con la autenticación 802.1X.
l La red de la empresa tiene un tamaño pequeño y no tiene redes de sucursales.
l La empresa no tiene más de 1000 empleados. Un máximo de 2000 usuarios, incluidos los
invitados, acceden a la red todos los días.
l Terminales tontos, como teléfonos IP e impresoras, están conectadas a la red de la
empresa.
Para reducir la inversión en la reconstrucción de red, se recomienda configurar la función de
autenticación 802.1X en el switch de agregación y conectar un solo servidor de autenticación
centralizado al switch de agregación en el modo bypass. La autenticación de dirección MAC
debe configurarse para terminales tontos.
Plan de datos
Ítem Datos
Ítem Datos
Procedimiento
Paso 1 Configure el switch de agregación.
1. Cree las VLAN y configure las VLAN permitidas por las interfaces para que los
paquetes puedan reenviarse.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 100 200
[SwitchA] interface gigabitethernet 0/0/1 //Configure la interfaz
conectada a SwitchC.
[SwitchA-GigabitEthernet0/0/1] port link-type trunk
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 200
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2 //Configure la interfaz
conectada a SwitchD.
[SwitchA-GigabitEthernet0/0/2] port link-type trunk
[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 200
[SwitchA-GigabitEthernet0/0/2] quit
[SwitchA] interface gigabitethernet 0/0/6 //Configure la interfaz
conectada al servidor.
[SwitchA-GigabitEthernet0/0/6] port link-type trunk
[SwitchA-GigabitEthernet0/0/6] port trunk allow-pass vlan 100
[SwitchA-GigabitEthernet0/0/6] quit
[SwitchA] interface vlanif 100
[SwitchA-Vlanif100] ip address 192.168.10.10 24 //Configure la dirección
IP de administración para SwitchA. Esta dirección IP se usa cuando se agrega
SwitchA a Agile Controller-Campus.
[SwitchA-Vlanif100] quit
[SwitchA] interface vlanif 200
[SwitchA-Vlanif200] ip address 192.168.200.1 24 //Configure la dirección
del gateway para los usuarios de terminal.
[SwitchA-Vlanif200] quit
[SwitchA] ip route-static 192.168.100.0 255.255.255.0 192.168.10.10 //
Configure una ruta al segmento de red donde reside el dominio de
preautenticación.
[SwitchA] ip route-static 192.168.102.0 255.255.255.0 192.168.10.10 //
Configure una ruta al segmento de red donde reside el dominio de post-
autenticación.
NOTA
Por defecto, el modo unificado está habilitado. Después de cambiar el modo NAC, el dispositivo se
reinicia automáticamente.
<Quidway> system-view
[Quidway] sysname SwitchC
[SwitchC] vlan batch 200
# Configure la interfaz conectada a los usuarios como una interfaz de acceso y agregue la
interfaz a la VLAN 200.
[SwitchC] interface gigabitethernet 0/0/1
[SwitchC-GigabitEthernet0/0/1] port link-type access
[SwitchC-GigabitEthernet0/0/1] port default vlan 200
[SwitchC-GigabitEthernet0/0/1] quit
[SwitchC] interface gigabitethernet 0/0/2
[SwitchC-GigabitEthernet0/0/2] port link-type access
[SwitchC-GigabitEthernet0/0/2] port default vlan 200
[SwitchC-GigabitEthernet0/0/2] quit
# Configure la interfaz conectada a la red de enlace ascendente como una interfaz trunk y
configure la interfaz para permitir la VLAN 200.
[SwitchC] interface gigabitethernet 0/0/3
[SwitchC-GigabitEthernet0/0/3] port link-type trunk
[SwitchC-GigabitEthernet0/0/3] port trunk allow-pass vlan 200
[SwitchC-GigabitEthernet0/0/3] quit
En este ejemplo, SwitchC y SwitchD se implementan entre el switch de autenticación SwitchA y los
usuarios. La transmisión transparente del paquete EAP debe configurarse en SwitchC y SwitchD para
que SwitchA pueda realizar la autenticación 802.1X para los usuarios.
– Método 1:
[SwitchC] l2protocol-tunnel user-defined-protocol 802.1x protocol-mac
0180-c200-0003 group-mac 0100-0000-0002
[SwitchC] interface gigabitethernet 0/0/1
[SwitchC-GigabitEthernet0/0/1] l2protocol-tunnel user-defined-protocol
802.1x enable
[SwitchC-GigabitEthernet0/0/1] bpdu enable
[SwitchC-GigabitEthernet0/0/1] quit
[SwitchC] interface gigabitethernet 0/0/2
[SwitchC-GigabitEthernet0/0/2] l2protocol-tunnel user-defined-protocol
802.1x enable
[SwitchC-GigabitEthernet0/0/2] bpdu enable
[SwitchC-GigabitEthernet0/0/2] quit
[SwitchC] interface gigabitethernet 0/0/3
[SwitchC-GigabitEthernet0/0/3] l2protocol-tunnel user-defined-protocol
802.1x enable
[SwitchC-GigabitEthernet0/0/3] bpdu enable
[SwitchC-GigabitEthernet0/0/3] quit
– Método 2: Este método se recomienda cuando existe una gran cantidad de usuarios
o se requiere un alto rendimiento de la red. Solo S5320EI y S6320EI son
compatibles con este método.
[SwitchC] undo bpdu mac-address 0180-c200-0000 FFFF-FFFF-FFF0
[SwitchC] bpdu mac-address 0180-c200-0000 FFFF-FFFF-FFFE
[SwitchC] bpdu mac-address 0180-c200-0002 FFFF-FFFF-FFFF
[SwitchC] bpdu mac-address 0180-c200-0004 FFFF-FFFF-FFFC
[SwitchC] bpdu mac-address 0180-c200-0008 FFFF-FFFF-FFF8
3. Agregue switches a Agile Controller-Campus para que los switches se puedan comunicar
con Agile Controller-Campus.
a. Elija Resource > Device > Device Management.
b. Haga clic en Permission Control Device Group en el árbol de navegación, y haga
clic en y Add SubGroup para crear un grupo de dispositivos Switch.
Name SwitchA -
Device Huawei -
Series Quidway series
switch
Name Access -
authentication
rule
a. Elija Policy > Permission Control > Authentication and Authorization >
Authorization Rule y haga clic en Add para crear una regla de autenticación.
b. Configure la información básica para la regla de autorización.
Authorization Post-authentication -
Result domain
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 100 200
#
domain isp
#
radius-server template rd1
radius-server shared-key cipher %^%#FP@&C(&{$F2HTlPxg^NLS~KqA/\^3Fex;T@Q9A]
(%^%#
radius-server authentication 192.168.100.100 1812 weight 80
radius-server accounting 192.168.100.100 1813 weight 80
#
acl number 3002
rule 1 permit ip destination 192.168.102.100 0
rule 2 deny ip
#
aaa
authentication-scheme abc
authentication-mode radius
accounting-scheme acco1
accounting-mode radius
accounting realtime 15
domain isp
authentication-scheme abc
accounting-scheme acco1
radius-server rd1
#
interface Vlanif100
ip address 192.168.10.10 255.255.255.0
#
interface Vlanif200
ip address 192.168.200.1 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 200
authentication dot1x mac-authen
mac-authen username fixed A-123 password cipher %^%#7JxKWaX6c0\X4RHfJ$M6|
duQ*k{7uXu{J{S=zx-3%^%#
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 200
authentication dot1x mac-authen
mac-authen username fixed A-123 password cipher %^%#7JxKWaX6c0\X4RHfJ$M6|
duQ*k{7uXu{J{S=zx-3%^%#
#
interface GigabitEthernet0/0/6
port link-type trunk
port trunk allow-pass vlan 100
#
ip route-static 192.168.100.0 255.255.255.0 192.168.10.10
ip route-static 192.168.102.0 255.255.255.0 192.168.10.10
#
return
interface GigabitEthernet0/0/1
port link-type access
port default vlan 200
l2protocol-tunnel user-defined-protocol 802.1x enable
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 200
l2protocol-tunnel user-defined-protocol 802.1x enable
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 200
l2protocol-tunnel user-defined-protocol 802.1x enable
#
return
La autenticación 802.1X garantiza una alta seguridad; sin embargo, se requiere que el
software del cliente 802.1X se instale en los terminales de usuario, lo que da como resultado
una implementación inflexible de la red. Otros dos métodos de autenticación NAC tienen sus
ventajas y desventajas: La autenticación de dirección MAC no requiere la instalación del
software del cliente, pero las direcciones MAC deben estar registradas en un servidor de
autenticación. La autenticación Portal tampoco requiere la instalación del software del cliente
y proporciona una implementación flexible, pero tiene poca seguridad.
Como resultado, la autenticación 802.1X se aplica a escenarios con redes nuevas, distribución
centralizada de usuarios, y estrictos requisitos de seguridad de la información.
Notas de configuración
Este ejemplo se aplica a todos los switches de la serie S.
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra Figura 11-36, los terminales en una oficina están conectados a la red
interna de la compañía a través de Switch. El acceso no autorizado a la red interna puede
dañar el sistema de servicio de la empresa y provocar la fuga de información clave. Por lo
tanto, el administrador requiere que Switch debe controlar los derechos de acceso a la red de
los usuarios para garantizar la seguridad de la red interna.
Figura 11-36 Configuración de la autenticación 802.1X para controlar el acceso del usuario
Empleado
Servidor RADIUS
192.168.2.30
Área de
oficina GE1/0/1 GE1/0/2
Red
VLAN 10 VLAN 20
……
Empleado
NOTA
Antes de configurar este ejemplo, asegúrese de que los dispositivos se puedan comunicar entre ellos en la red.
En este ejemplo, el switch LAN existe entre el switch de acceso Switch y los usuarios. Para garantizar que los
usuarios puedan pasar la autenticación 802.1x, debe configurar la función de transmisión transparente del
paquete EAP en el switch LAN.
l Método 1: El S5300 se usa como un ejemplo del switch LAN. Realice las siguientes operaciones:
1. Ejecute el comando l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-
c200-0003 group-mac 0100-0000-0002 en la vista del sistema del switch LAN para configurar el
switch LAN para transmitir transparentemente paquetes EAP.
2. Ejecute el comando l2protocol-tunnel user-defined-protocol 802.1x enable en la interfaz que
conecta a los usuarios y la interfaz que se conecta al switch de acceso para habilitar la función de
transmisión transparente del protocolo de capa 2.
l Método 2: Este método se recomienda cuando existe una gran cantidad de usuarios o se requiere un alto
rendimiento de la red. Solo S5320EI y S6320EI son compatibles con este método.
1. Ejecute los siguientes comandos en la vista del sistema:
l undo bpdu mac-address 0180-c200-0000 ffff-ffff-fff0
l bpdu mac-address 0180-c200-0000 FFFF-FFFF-FFFE
l bpdu mac-address 0180-c200-0002 FFFF-FFFF-FFFF
l bpdu mac-address 0180-c200-0004 FFFF-FFFF-FFFC
l bpdu mac-address 0180-c200-0008 FFFF-FFFF-FFF8
2. (Este paso es obligatorio cuando cambia del método 1 al método 2.) Ejecute el comando undo
l2protocol-tunnel user-defined-protocol 802.1x enable en la vista de interfaz para eliminar la
configuración de transmisión transparente de los paquetes de protocolo 802.1x.
Procedimiento
Paso 1 Cree las VLAN y configure las VLAN permitidas por la interfaz para garantizar la
comunicación de la red.
# En Switch, configure la interfaz GE1/0/1 conectada a los usuarios como una interfaz de
acceso y agregue la interfaz a la VLAN 10.
[Switch] interface gigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access
[Switch-GigabitEthernet1/0/1] port default vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 192.168.1.10 24
[Switch-Vlanif10] quit
NOTA
Configure el tipo de interfaz y las VLAN según los requisitos del sitio. En este ejemplo, los usuarios se
agregan a la VLAN 10.
# En Switch, configure la interfaz GE1/0/2 conectada al servidor RADIUS como una interfaz
de acceso y agregue la interfaz a la VLAN 20.
[Switch] interface gigabitethernet1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port default vlan 20
[Switch-GigabitEthernet1/0/2] quit
Paso 2 Cree y configure una plantilla de servidor RADIUS, un esquema AAA y un dominio de
autenticación.
NOTA
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10 20
#
domain isp1
#
access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address 2222-1111-1234
#
radius-server template rd1
radius-server shared-key cipher %^%#Q75cNQ6IF(e#L4WMxP~%^7'u17,]D87GO{"[o]`D%^%#
radius-server authentication 192.168.2.30 1812 weight 80
#
aaa
authentication-scheme abc
authentication-mode radius
domain isp1
authentication-scheme abc
radius-server rd1
#
interface Vlanif10
ip address 192.168.1.10 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
authentication dot1x
authentication mode multi-authen max-user 100
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 20
#
return
sus ventajas y desventajas: La autenticación 802.1X garantiza una alta seguridad, pero se
requiere que el software del cliente 802.1X se instale en los terminales del usuario, lo que
causa una implementación inflexible de la red. La autenticación Portal tampoco requiere la
instalación del software del cliente y proporciona una implementación flexible, pero tiene
poca seguridad.
Notas de configuración
Este ejemplo se aplica a todos los switches de la serie S.
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra Figura 11-37, los terminales en el departamento de control de acceso físico
están conectados a la red interna de la compañía a través de Switch. El acceso no autorizado a
la red interna puede dañar el sistema de servicio de la empresa y provocar la fuga de
información clave. Por lo tanto, el administrador requiere que Switch debe controlar los
derechos de acceso a la red de los usuarios para garantizar la seguridad de la red interna.
Impresora
Servidor RADIUS
192.168.2.30
Departamento
de control de
acceso físico GE1/0/1 GE1/0/2 Red
VLAN 10 VLAN 20
……
Impresora
2. Habilite la autenticación de la dirección MAC para que Switch pueda controlar los
derechos de acceso a la red de los terminales tontos en el departamento de control de
acceso físico.
3. Configure el modo de acceso del usuario para multi-autenticar y establezca el número
máximo de usuarios de acceso a 100, por lo que el dispositivo puede controlar los
derechos de acceso a la red de cada usuario de forma independiente.
NOTA
Antes de configurar este ejemplo, asegúrese de que los dispositivos se puedan comunicar entre ellos en la red.
Procedimiento
Paso 1 Cree las VLAN y configure las VLAN permitidas por la interfaz para garantizar la
comunicación de la red.
# En Switch, configure la interfaz GE1/0/1 conectada a los usuarios como una interfaz de
acceso y agregue la interfaz a la VLAN 10.
[Switch] interface gigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access
[Switch-GigabitEthernet1/0/1] port default vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 192.168.1.10 24
[Switch-Vlanif10] quit
NOTA
Configure el tipo de interfaz y las VLAN según los requisitos del sitio. En este ejemplo, los usuarios se
agregan a la VLAN 10.
# En Switch, configure la interfaz GE1/0/2 conectada al servidor RADIUS como una interfaz
de acceso y agregue la interfaz a la VLAN 20.
[Switch] interface gigabitethernet1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port default vlan 20
[Switch-GigabitEthernet1/0/2] quit
Paso 2 Cree y configure una plantilla de servidor RADIUS, un esquema AAA y un dominio de
autenticación.
NOTA
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10 20
#
domain isp1
#
access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address 2222-1111-1234
#
radius-server template rd1
radius-server shared-key cipher %^%#Q75cNQ6IF(e#L4WMxP~%^7'u17,]D87GO{"[o]`D%^%#
radius-server authentication 192.168.2.30 1812 weight 80
#
aaa
authentication-scheme abc
authentication-mode radius
domain isp1
authentication-scheme abc
radius-server rd1
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
authentication mac-authen
authentication mode multi-authen max-user 100
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 20
#
return
Notas de configuración
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra Figura 11-38, los terminales en el área de visitantes están conectados a la
red interna de la compañía a través de Switch. El acceso no autorizado a la red interna puede
dañar el sistema de servicio de la empresa y provocar la fuga de información clave. Por lo
tanto, el administrador requiere que Switch debe controlar los derechos de acceso a la red de
los usuarios para garantizar la seguridad de la red interna.
Figura 11-38 Configuración de la autenticación Portal para controlar el acceso del usuario
Visitante
Servidor RADIU
192.168.2.30
Áreas de
visitantes
GE1/0/1 GE1/0/2 Red
VLAN 10 VLAN 20
……
2. Habilite la autenticación Portal para que Switch pueda controlar los derechos de acceso a
la red de los visitantes en las áreas de visitantes.
3. Configure una plantilla de servidor Portal para que el dispositivo pueda comunicarse con
el servidor Portal.
NOTA
Antes de configurar este ejemplo, asegúrese de que los dispositivos se puedan comunicar entre ellos en la red.
Procedimiento
Paso 1 Cree las VLAN y configure las VLAN permitidas por la interfaz para garantizar la
comunicación de la red.
# En Switch, configure la interfaz GE1/0/1 conectada a los usuarios como una interfaz de
acceso y agregue la interfaz a la VLAN 10.
[Switch] interface gigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access
[Switch-GigabitEthernet1/0/1] port default vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 192.168.1.10 24
[Switch-Vlanif10] quit
NOTA
Configure el tipo de interfaz y las VLAN según los requisitos del sitio. En este ejemplo, los usuarios se
agregan a la VLAN 10.
# En Switch, configure la interfaz GE1/0/2 conectada al servidor RADIUS como una interfaz
de acceso y agregue la interfaz a la VLAN 20.
[Switch] interface gigabitethernet1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port default vlan 20
[Switch-GigabitEthernet1/0/2] quit
Paso 2 Cree y configure una plantilla de servidor RADIUS, un esquema AAA y un dominio de
autenticación.
NOTA
NOTA
Asegúrese de que el número de puerto configurado en el dispositivo sea el mismo que el utilizado por el
servidor Portal.
NOTA
En este ejemplo, a los usuarios se les asignan direcciones IP estáticas. Si los usuarios obtienen direcciones IP
a través de DHCP y el servidor DHCP está conectado a Switch en sentido de enlace ascendente, use el
comando authentication free-rule para crear reglas sin autenticación y asegúrese de que el servidor DHCP
esté incluido en las reglas sin autenticación.
Además, si el URL del servidor Portal debe ser analizado por DNS y el servidor DNS está conectado a
Switch en sentido de enlace ascendente, también debe crear reglas sin autenticación y asegurarse de que el
servidor DNS esté incluido en las reglas sin autenticación.
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10 20
#
domain isp1
#
radius-server template rd1
radius-server shared-key cipher %^%#Q75cNQ6IF(e#L4WMxP~%^7'u17,]D87GO{"[o]`D%^%#
radius-server authentication 192.168.2.30 1812 weight 80
#
web-auth-server abc
server-ip 192.168.2.20
port 50200
shared-key cipher %^%#t:hJ@gD7<+G&,"Y}Y[VP4\foQ&og/Gg(,J4#\!gD%^
%#
url http://192.168.2.20:8080/webagent
#
aaa
authentication-scheme abc
authentication-mode radius
domain isp1
authentication-scheme abc
radius-server rd1
#
interface Vlanif10
ip address 192.168.1.10 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
authentication portal
authentication mode multi-authen max-user 100
web-auth-server abc direct
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 20
#
return
Notas de configuración
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra Figura 11-39, los terminales en una compañía están conectados a la red
interna de la compañía a través de Switch. El acceso no autorizado a la red interna puede
dañar el sistema de servicio de la empresa y provocar la fuga de información clave. Por lo
tanto, el administrador requiere que Switch debe controlar los derechos de acceso a la red de
los usuarios para garantizar la seguridad de la red interna.
Figura 11-39 Configuración de los múltiples modos de autenticación para controlar el acceso
del usuario
Usuario
Servidor RADIUS
192.168.2.30
……
Impresora
NOTA
Antes de configurar este ejemplo, asegúrese de que los dispositivos se puedan comunicar entre ellos en la red.
Procedimiento
Paso 1 Cree las VLAN y configure las VLAN permitidas por la interfaz para garantizar la
comunicación de la red.
# Cree VLAN 10 y VLAN 20.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 20
# En Switch, configure la interfaz GE1/0/1 conectada a los usuarios como una interfaz de
acceso y agregue la interfaz a la VLAN 10.
NOTA
Configure el tipo de interfaz y las VLAN según los requisitos del sitio. En este ejemplo, los usuarios se
agregan a la VLAN 10.
# En Switch, configure la interfaz GE1/0/2 conectada al servidor RADIUS como una interfaz
de acceso y agregue la interfaz a la VLAN 20.
[Switch] interface gigabitethernet1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port default vlan 20
[Switch-GigabitEthernet1/0/2] quit
Paso 2 Cree y configure una plantilla de servidor RADIUS, un esquema AAA y un dominio de
autenticación.
# Cree y configure la plantilla de servidor RADIUS rd1.
[Switch] radius-server template rd1
[Switch-radius-rd1] radius-server authentication 192.168.2.30 1812
[Switch-radius-rd1] radius-server shared-key cipher Huawei@2012
[Switch-radius-rd1] quit
NOTA
NOTA
Asegúrese de que el número de puerto configurado en el dispositivo sea el mismo que el utilizado por el
servidor Portal.
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10 20
#
domain isp1
#
radius-server template rd1
radius-server shared-key cipher %^%#Q75cNQ6IF(e#L4WMxP~%^7'u17,]D87GO{"[o]`D%^%#
radius-server authentication 192.168.2.30 1812 weight 80
#
web-auth-server abc
server-ip 192.168.2.20
port 50200
La autenticación 802.1X garantiza una alta seguridad; sin embargo, se requiere que el
software del cliente 802.1X se instale en los terminales de usuario, lo que da como resultado
una implementación inflexible de la red. Otros dos métodos de autenticación NAC tienen sus
ventajas y desventajas: La autenticación de dirección MAC no requiere la instalación del
software del cliente, pero las direcciones MAC deben estar registradas en un servidor de
autenticación. La autenticación Portal tampoco requiere la instalación del software del cliente
y proporciona una implementación flexible, pero tiene poca seguridad.
Como resultado, la autenticación 802.1X se aplica a escenarios con redes nuevas, distribución
centralizada de usuarios, y estrictos requisitos de seguridad de la información. Además, la
autenticación 802.1X admite la autenticación bypass de dirección MAC para que los
terminales tontos en las redes de autenticación 802.1X se puedan conectar después de pasar la
autenticación.
Notas de configuración
Este ejemplo se aplica a todos los switches de la serie S en V100R006C05, V200R001C00 o
una versión posterior.
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra Figura 11-40, los terminales en una oficina están conectados a la red
interna de la compañía a través de Switch. El acceso no autorizado a la red interna puede
dañar el sistema de servicio de la empresa y provocar la fuga de la información clave. Por lo
tanto, el administrador requiere que Switch debe controlar los derechos de acceso a la red de
los usuarios para garantizar la seguridad de la red interna.
GE1/0/1 GE1/0/2
Intranet
VLAN 10 VLAN 20
Usuario LAN Switch Switch
Impresora
NOTA
Antes de configurar este ejemplo, asegúrese de que los dispositivos se puedan comunicar entre ellos en
la red.
En este ejemplo, el switch LAN existe entre el switch de acceso Switch y los usuarios. Para garantizar
que los usuarios puedan pasar la autenticación 802.1X, debe configurar la función de transmisión
transparente del paquete EAP en el switch LAN.
l Método 1: El S5300 se usa como un ejemplo del switch LAN. Realice las siguientes operaciones:
1. Ejecute el comando l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-
c200-0003 group-mac 0100-0000-0002 en la vista del sistema del switch LAN para
configurar el switch LAN para transmitir transparentemente paquetes EAP.
2. Ejecute el comando l2protocol-tunnel user-defined-protocol 802.1x enable en la interfaz
que conecta a los usuarios y la interfaz que se conecta al switch de acceso para habilitar la
función de transmisión transparente del protocolo de Capa 2.
l Método 2: Este método se recomienda cuando existe una gran cantidad de usuarios o se requiere
un alto rendimiento de la red. Solo S5320EI, S5320HI, S6320HI y S6320EI son compatibles con
este método.
1. Ejecute los siguientes comandos en la vista del sistema:
l undo bpdu mac-address 0180-c200-0000 ffff-ffff-fff0
l bpdu mac-address 0180-c200-0000 FFFF-FFFF-FFFE
l bpdu mac-address 0180-c200-0002 FFFF-FFFF-FFFF
l bpdu mac-address 0180-c200-0004 FFFF-FFFF-FFFC
l bpdu mac-address 0180-c200-0008 FFFF-FFFF-FFF8
2. (Este paso es obligatorio cuando cambia del método 1 al método 2.) Ejecute el comando undo
l2protocol-tunnel user-defined-protocol 802.1x enable en la vista de interfaz para eliminar
la configuración de transmisión transparente de los paquetes de protocolo 802.1x.
Procedimiento
Paso 1 Cree las VLAN y configure la VLAN permitida por la interfaz para garantizar la
comunicación de la red.
# En Switch, establezca GE1/0/1 conectándose a los usuarios como una interfaz de acceso y
agregue GE1/0/1 a la VLAN 10.
[Switch] interface gigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access
[Switch-GigabitEthernet1/0/1] port default vlan 10
[Switch-GigabitEthernet1/0/1] quit
NOTA
Configure el tipo de interfaz y las VLAN según la situación real. En este ejemplo, los usuarios se
agregan a la VLAN 10.
Paso 2 Cree y configure una plantilla de servidor RADIUS, un esquema AAA y un dominio de
autenticación.
# Cambie el modo NAC a modo común. Este paso se aplica solo a los switches en
V200R005C00 y versiones posteriores.
[Switch] undo authentication unified-mode
Warning: Switching the authentication mode will take effect after system restart
. Some configurations are invalid after the mode is switched. For the invalid co
mmands, see the user manual. Save the configuration file and reboot now? [Y/N] y
NOTA
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10 20
#
undo authentication unified-mode
#
domain isp1
#
dot1x enable
#
radius-server template rd1
radius-server shared-key cipher %^%#Q75cNQ6IF(e#L4WMxP~%^7'u17,]D87GO{"[o]`D%^%#
radius-server authentication 192.168.2.30 1812 weight 80
#
aaa
authentication-scheme abc
authentication-mode radius
domain isp1
authentication-scheme abc
radius-server rd1
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
dot1x mac-bypass
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 20
#
return
que resulta en una administración compleja. Otros dos métodos de autenticación NAC tienen
sus ventajas y desventajas: La autenticación 802.1X garantiza una alta seguridad, pero se
requiere que el software del cliente 802.1X se instale en los terminales del usuario, lo que
causa una implementación inflexible de la red. La autenticación Portal tampoco requiere la
instalación del software del cliente y proporciona una implementación flexible, pero tiene
poca seguridad.
Notas de configuración
Este ejemplo se aplica a todos los switches de la serie S en V100R006C05, V200R001C00 o
una versión posterior.
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra Figura 11-41, los terminales en el departamento de control de acceso físico
están conectados a la red interna de la compañía a través de Switch. El acceso no autorizado a
la red interna puede dañar el sistema de servicio de la empresa y provocar la fuga de
información clave. Por lo tanto, el administrador requiere que Switch debe controlar los
derechos de acceso a la red de los usuarios para garantizar la seguridad de la red interna.
Impresora
Servidor RADIUS
192.168.2.30
Departamento
de control de
acceso físico
GE1/0/1 GE1/0/2
Network
……
VLAN 10 VLAN 20
LAN Switch Switch
Impresora
Antes de configurar este ejemplo, asegúrese de que los dispositivos se puedan comunicar entre ellos en la red.
Procedimiento
Paso 1 Cree las VLAN y configure la VLAN permitida por la interfaz para garantizar la
comunicación de la red.
# Cree VLAN 10 y VLAN 20.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 20
# En Switch, establezca GE1/0/1 conectándose a los usuarios como una interfaz de acceso y
agregue GE1/0/1 a la VLAN 10.
[Switch] interface gigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access
[Switch-GigabitEthernet1/0/1] port default vlan 10
[Switch-GigabitEthernet1/0/1] quit
NOTA
Configure el tipo de interfaz y las VLAN según la situación real. En este ejemplo, los usuarios se
agregan a la VLAN 10.
Paso 2 Cree y configure una plantilla de servidor RADIUS, un esquema AAA y un dominio de
autenticación.
# Cree y configure la plantilla de servidor RADIUS rd1.
[Switch] radius-server template rd1
[Switch-radius-rd1] radius-server authentication 192.168.2.30 1812
[Switch-radius-rd1] radius-server shared-key cipher Huawei@2012
[Switch-radius-rd1] quit
NOTA
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10 20
#
La autenticación Portal no puede garantizar una alta seguridad, pero no requiere la instalación
del software del cliente y proporciona una implementación flexible. Otros dos métodos de
autenticación NAC tienen sus ventajas y desventajas: La autenticación 802.1X garantiza una
alta seguridad, pero se requiere que el software del cliente 802.1X se instale en los terminales
del usuario, lo que causa una implementación inflexible de la red. La autenticación de
dirección MAC no requiere la instalación del software del cliente, pero las direcciones MAC
deben estar registradas en un servidor de autenticación, lo que resulta en una administración
compleja.
La autenticación Portal se aplica a escenarios donde una gran cantidad de usuarios dispersos,
como visitantes de la empresa, se mueven con frecuencia.
Notas de configuración
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra Figura 11-42, los terminales en el área de visitantes están conectados a la
red interna de la compañía a través de Switch. El acceso no autorizado a la red interna puede
dañar el sistema de servicio de la empresa y provocar la fuga de información clave. Por lo
tanto, el administrador requiere que Switch debe controlar los derechos de acceso a la red de
los usuarios para garantizar la seguridad de la red interna.
Figura 11-42 Configuración de la autenticación Portal para controlar el acceso del usuario
Visitante
Servidor RADIUS
192.168.2.30
Áreas de
visitantes
GE1/0/1 GE1/0/2
Network
……
VLAN 10 VLAN 20
LAN Switch Switch
Servidor Portal
192.168.2.20
Visitante
NOTA
Antes de configurar este ejemplo, asegúrese de que los dispositivos se puedan comunicar entre ellos en la red.
Procedimiento
Paso 1 Cree las VLAN y configure la VLAN permitida por la interfaz para garantizar la
comunicación de la red.
# Cree VLAN 10 y VLAN 20.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 20
# En Switch, establezca GE1/0/1 conectándose a los usuarios como una interfaz de acceso y
agregue GE1/0/1 a la VLAN 10.
[Switch] interface gigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access
[Switch-GigabitEthernet1/0/1] port default vlan 10
[Switch-GigabitEthernet1/0/1] quit
NOTA
Configure el tipo de interfaz y las VLAN según la situación real. En este ejemplo, los usuarios se
agregan a la VLAN 10.
Paso 2 Cree y configure una plantilla de servidor RADIUS, un esquema AAA y un dominio de
autenticación.
# Cree y configure la plantilla de servidor RADIUS rd1.
[Switch] radius-server template rd1
[Switch-radius-rd1] radius-server authentication 192.168.2.30 1812
[Switch-radius-rd1] radius-server shared-key cipher Huawei@2012
[Switch-radius-rd1] quit
NOTA
NOTA
Asegúrese de que el número de puerto configurado en el dispositivo sea el mismo que el utilizado por el
servidor Portal.
NOTA
En este ejemplo, a los usuarios se les asignan direcciones IP estáticas. Si los usuarios obtienen direcciones IP
a través de DHCP y el servidor DHCP está conectado en sentido de enlace ascendente a Switch, use el
comando portal free-rule para crear reglas sin autenticación y asegúrese de que el servidor DHCP esté
incluido en las reglas sin autenticación.
En versiones anteriores a V200R012C00, si la URL del servidor Portal debe analizarse por DNS y el servidor
DNS está en la red de enlace ascendente del dispositivo NAS, también debe crear reglas sin autenticación y
asegurarse de que el servidor DNS esté incluido en las reglas sin autenticación. En V200R012C00 y versiones
posteriores, el dispositivo NAS automáticamente permite el paso de los paquetes DNS y no se requiere una
regla sin autenticación en la autenticación Portal.
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10 20
#
undo authentication unified-mode
#
domain isp1
#
radius-server template rd1
radius-server shared-key cipher %^%#Q75cNQ6IF(e#L4WMxP~%^7'u17,]D87GO{"[o]`D%^%#
radius-server authentication 192.168.2.30 1812 weight 80
#
web-auth-server abc
server-ip 192.168.2.20
port 50200
shared-key cipher %^%#t:hJ@gD7<+G&,"Y}Y[VP4\foQ&og/Gg(,J4#\!gD%^
%#
url http://192.168.2.20:8080/webagent
#
aaa
authentication-scheme abc
authentication-mode radius
domain isp1
authentication-scheme abc
radius-server rd1
#
interface Vlanif10
web-auth-server abc direct
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 20
#
return
Notas de configuración
l En este ejemplo, la contraseña del usuario local está en modo de irreversible-cipher, lo
que indica que la contraseña se cifra utilizando el algoritmo irreversible. Los usuarios no
autorizados no pueden obtener la contraseña a través del descifrado. Por lo tanto, este
algoritmo es seguro. Este modo de contraseña solo se aplica a V200R003C00 y versiones
posteriores. En versiones anteriores a V200R003C00, las contraseñas de los usuarios
locales solo pueden estar en modo de cipher, lo que indica que las contraseñas se cifran
utilizando el algoritmo reversible. Los usuarios no autorizados pueden obtener las
contraseñas a través del descifrado. Este algoritmo es menos seguro.
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
Requisitos de red
Como se muestra en Figura 12-1, el Switch funciona como un servidor FTP. Los requisitos
son los siguientes:
Las rutas accesibles existen entre los Switch y subredes. Debe configurar el Switch para
limitar el acceso del usuario al servidor FTP.
Figura 12-1 Uso de las ACL básicas para restringir los derechos de acceso FTP
PC1
172.16.105.111/24
Servidor FTP
PC2
Network
172.16.107.111/24
Switch
172.16.104.110/24
PC3
10.10.10.1/24
Procedimiento
Paso 1 Configure un rango de tiempo.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] time-range ftp-access from 0:0 2014/1/1 to 23:59 2014/12/31 //Cree un
rango de tiempo absoluto para una ACL.
[Switch] time-range ftp-access 14:00 to 18:00 off-day //Cree un rango de
tiempo periódico para una ACL. El rango de tiempo es de 14:00-18:00 todos los
fines de semana. El período de validez de ftp-access es la superposición de los
dos rangos de tiempo.
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
FTP server enable
FTP acl 2001
#
time-range ftp-access 14:00 to 18:00 off-day
time-range ftp-access from 00:00 2014/1/1 to 23:59 2014/12/31
#
acl number 2001
rule 5 permit source 172.16.105.0 0.0.0.255
rule 10 permit source 172.16.107.0 0.0.0.255 time-range ftp-access
rule 15 deny
#
aaa
local-user huawei password irreversible-cipher %^%#uM-!TkAaGB5=$$6SQuw$#batog!
R7M_d^!o{*@N9g'e0baw#%^%#
local-user huawei privilege level 15
local-user huawei ftp-directory cfcard:/
local-user huawei service-type ftp
#
return
Notas de configuración
Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
NOTA
Requisitos de red
Como se muestra en Figura 12-2, los departamentos de una empresa están conectados a
través del Switch. Los departamentos de I+D y marketing no pueden acceder al servidor de
consulta salarial en 10.164.9.9 en horas de trabajo (08:00 a 17:30), mientras que la oficina del
presidente puede acceder al servidor en cualquier momento.
Figura 12-2 Usar ACL para controlar el acceso al servidor especificado en el rango de tiempo
especificado
LAN SwitchA
VLAN10
Servidor de consulta salarial
GE1/0/1 10.164.9.9/24
VLANIF 10
Oficina de presidente 10.164.1.1/24 GE2/0/1
10.164.1.0/24 VLANIF 100
LAN SwitchB 10.164.9.1/24
VLAN20 GE1/0/2
Internet
VLANIF 20
10.164.2.1/24 Switch Router
Marketing
10.164.2.0/24 GE1/0/3
VLANIF 30
VLAN30 10.164.3.1/24
LAN SwitchC
I+D
10.164.3.0/24
Procedimiento
Paso 1 Agregue interfaces a VLAN y asigne direcciones IP a las interfaces VLANIF.
# Agregue GE 1/0/1 a través de GE1/0/3 a VLAN 10, 20 y 30 respectivamente, agregue
GE2/0/1 a VLAN 100, y asigne direcciones IP a las interfaces VLANIF. Las configuraciones
en GE 1/0/1 y VLANIF 10 se usan como ejemplo aquí. Las configuraciones en GE1/0/2,
GE1/0/3, y GE2/0/1 son similares a las configuraciones en GE 1/0/1, y las configuraciones en
VLANIF 20, VLANIF 30 y VLANIF 100 son similares a las configuraciones en VLANIF 10.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 20 30 100
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
# Configure una ACL para el departamento de I+D que accede al servidor de consultas
salariales.
[Switch] acl 3003
[Switch-acl-adv-3003] rule deny ip source 10.164.3.0 0.0.0.255 destination
10.164.9.9 0.0.0.0 time-range satime //Evite que el departamento de I+D acceda
al servidor de consultas salariales en el rango de tiempo de satime.
[Switch-acl-adv-3003] quit
# Configure el clasificador de tráfico c_rd para clasificar los paquetes que coinciden con ACL
3003.
[Switch] traffic classifier c_rd //Cree un clasificador de tráfico.
[Switch-classifier-c_rd] if-match acl 3003 //Asocie una ACL con el clasificador
de tráfico.
[Switch-classifier-c_rd] quit
# Los paquetes del departamento de I+D al servidor son recibidos por GE1/0/3; por lo tanto,
aplique la política de tráfico p_rd a la dirección de entrante de GE1/0/3.
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] traffic-policy p_rd inbound //Aplique la política
de tráfico a la dirección de entrada de una interfaz.
[Switch-GigabitEthernet1/0/3] quit
Classifier: c_rd
Precedence: 10
Operator: OR
Rule(s) : if-match acl 3003
Policy: p_rd
Classifier: c_rd
Operator: OR
Behavior: b_rd
Deny
-------------------------------------------------
Policy Name:
p_market
Policy Index:
0
Classifier:c_market
Behavior:b_market
-------------------------------------------------
*interface GigabitEthernet1/0/2
traffic-policy p_market
inbound
slot 1 :
success
-------------------------------------------------
-------------------------------------------------
Policy Name:
p_rd
Policy Index:
1
Classifier:c_rd
Behavior:b_rd
-------------------------------------------------
*interface
GigabitEthernet1/0/3
traffic-policy p_rd
inbound
slot 1 :
success
-------------------------------------------------
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10 20 30 100
#
time-range satime 08:00 to 17:30 working-day
#
acl number 3002
rule 5 deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0 time-range
satime
acl number 3003
rule 5 deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0 time-range
satime
#
traffic classifier c_market operator or precedence 5
if-match acl 3002
traffic classifier c_rd operator or precedence 10
if-match acl 3003
#
traffic behavior b_market
deny
traffic behavior b_rd
deny
#
traffic policy p_market match-order config
classifier c_market behavior b_market
traffic policy p_rd match-order config
classifier c_rd behavior b_rd
#
interface Vlanif10
ip address 10.164.1.1 255.255.255.0
#
interface Vlanif20
ip address 10.164.2.1 255.255.255.0
#
interface Vlanif30
ip address 10.164.3.1 255.255.255.0
#
interface Vlanif100
ip address 10.164.9.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 20
traffic-policy p_market inbound
#
interface GigabitEthernet1/0/3
port link-type trunk
Notas de configuración
Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
NOTA
Los siguientes comandos e información de salida se obtienen de S9306 que ejecuta V200R007C00.
Requisitos de red
Como se muestra en Figura 12-3, el Switch que funciona como gateway está conectada a PC,
y hay rutas accesibles a todas las subredes en Switch. El administrador desea bloquear el
acceso a la red de PC1 después de detectar que PC1 (00e0-f201-0101) es un usuario no
autorizado.
Figura 12-3 Usar ACL de Capa 2 para bloquear el acceso a la red de los usuarios
especificados
GE2/0/1 GE1/0/1
PC1
Internet
00e0-f201-0101
PC2
00e0-f201-0102
Procedimiento
Paso 1 Configure una ACL.
# Configure una ACL de Capa 2 para cumplir con el requisito anterior.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] acl 4000
[Switch-acl-L2-4000] rule deny source-mac 00e0-f201-0101 ffff-ffff-ffff //
Rechace los paquetes de la dirección MAC de origen 00e0-f201-0101.
[Switch-acl-L2-4000] quit
para denegar.
[Switch-behavior-tb1] quit
-------------------------------------------------
Policy Name:
tp1
Policy Index:
0
Classifier:tc1
Behavior:tb1
-------------------------------------------------
*interface
GigabitEthernet2/0/1
traffic-policy tp1
inbound
slot 2 :
success
-------------------------------------------------
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
acl number 4000
rule 5 deny source-mac 00e0-f201-0101
#
traffic classifier tc1 operator or precedence 5
if-match acl 4000
#
traffic behavior tb1
deny
#
traffic policy tp1 match-order config
classifier tc1 behavior tb1
#
interface GigabitEthernet2/0/1
traffic-policy tp1 inbound
#
return
ACL reflexiva implementa control de acceso unidireccional. Un host externo puede acceder a
un host interno solo después de que el host interno acceda al host externo. Por lo tanto, la
ACL reflexiva protege las redes internas de las empresas contra los ataques iniciados por
usuarios externos.
En este ejemplo, se usa una ACL reflexiva y avanzada para evitar que los servidores en
Internet establezcan activamente conexiones UDP con hosts internos antes de que los hosts
internos se conecten a los servidores externos. ACL reflexiva implementa control de acceso
unidireccional entre redes internas y externas.
Notas de configuración
Este ejemplo se aplica a todas las versiones de switches modulares, pero no se aplica a los
switches fijos.
Requisitos de red
Como se muestra en Figura 12-4, Switch funciona como gateway para conectar los PC a La
Internet. Hay rutas accesibles entre los dispositivos. Para garantizar la seguridad de la red
interna, el administrador permite que los servidores en Internet establezcan conexiones UDP
con PC internos solo después de que los PC internos hayan establecido conexiones UDP con
los servidores externos.
Figura 12-4 Uso de ACL reflexiva para implementar control de acceso unidireccional
Servidor
192.168.1.2
PC2
10.1.1.3/24
Procedimiento
Paso 1 Configure una ACL avanzada.
# Cree ACL avanzada 3000 y configure una regla para permitir paquetes UDP.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] acl 3000
[Switch-acl-adv-3000] rule permit udp //Permita que los paquetes de UDP pasen.
[Switch-acl-adv-3000] quit
La información anterior se mostrará solo después de que los hosts internos hayan establecido
conexiones UDP con servidores externos. La información anterior muestra que se ha generado
una ACL reflexiva en GE2/0/1 para los paquetes UDP entre el PC1 y el servidor
(192.168.1.2), y proporciona estadísticas de paquetes.
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
acl number 3000
rule 5 permit udp
#
interface GigabitEthernet2/0/1
traffic-reflect outbound acl 3000
#
return
Puede configurar un rango de tiempo y asociar el rango de tiempo con una regla de ACL para
filtrar los paquetes según el tiempo. Esto especifica diferentes políticas para usuarios en
diferentes rangos de tiempo.
En este ejemplo, se aplica una ACL básica asociada con un rango de tiempo al módulo de
política de tráfico para que el dispositivo pueda filtrar los paquetes enviados desde los
usuarios internos a Internet en el rango de tiempo especificado. Como resultado, los usuarios
pueden acceder a Internet solo en el rango de tiempo especificado.
Notas de configuración
Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
NOTA
Los siguientes comandos e información de salida se obtienen de S9306 ejecutando V200R007C00.
Requisitos de red
Como se muestra en Figura 12-5, los departamentos de una empresa están conectados a
través de Switch. La empresa permite a todos los empleados acceder a Internet en días de
trabajo (de lunes a viernes) y solo a los gerentes para acceder a Internet los fines de semana
(sábados y domingos).
Figura 12-5 Permitir que ciertos usuarios accedan a Internet en el rango de tiempo
especificado
LAN SwitchA
VLAN 10
GE1/0/1
VLANIF 10
10.1.1.1/24
I+D: 10.1.1.0/24
Host de gerente de I+D: GE2/0/1
10.1.1.11 Internet
Switch Router
GE1/0/2
VLAN 20 VLANIF 20
LAN SwitchB 10.1.2.1/24
Marketing: 10.1.2.0/24
Host de gerente de
Marketing: 10.1.2.12
3. Configure y aplique una política de tráfico para que la ACL y el comportamiento del
tráfico entren en vigencia.
Procedimiento
Paso 1 Configure las VLAN y las direcciones IP para las interfaces.
# Cree VLAN 10 y VLAN 20.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 20
# Configure el comportamiento del tráfico tb1 y configure la acción para permitir (valor
predeterminado).
NOTA
Los paquetes que coinciden con la ACL se descartan siempre que exista una acción deny en una regla de
ACL o en el comportamiento del tráfico.
[Switch] traffic behavior tb1 //Cree un comportamiento de tráfico.
[Switch-behavior-tb1] quit
# Los paquetes de los hosts internos se envían a Internet a través de GE2/0/1; por lo tanto,
aplique la política de tráfico tp1 a la dirección de salida deGE2/0/1.
[Switch] interface gigabitethernet 2/0/1
[Switch-GigabitEthernet2/0/1] traffic-policy tp1 outbound //Aplique la política
de tráfico a la dirección de salida de una interfaz.
[Switch-GigabitEthernet2/0/1] quit
Permit
Total policy number is 1
# Todos los empleados pueden acceder a Internet en días laborables. Solo los
gerentes(10.1.1.11 y 10.1.2.12) de los departamentos de I+D y marketing pueden acceder a
Internet los fines de semana.
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10 20
#
time-range rest-time 00:00 to 23:59 off-day
#
acl number 2001
rule 5 permit source 10.1.1.11 0
rule 10 permit source 10.1.2.12 0
rule 15 deny time-range rest-time
#
traffic classifier tc1 operator or precedence 5
if-match acl 2001
#
traffic behavior tb1
permit
#
traffic policy tp1 match-order config
classifier tc1 behavior tb1
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif20
ip address 10.1.2.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 20
#
interface GigabitEthernet2/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
traffic-policy tp1 outbound
#
return
Una ACL filtra paquetes basados en reglas. Un dispositivo con una ACL configura coincidir
con paquetes basados en las reglas para obtener los paquetes de un cierto tipo, y luego decide
reenviar o descartar estos paquetes de acuerdo con las políticas utilizadas por el módulo de
servicio al que se aplica la ACL.
Según los métodos de definición de reglas, las ACL incluyen ACL básica, ACL avanzada y
ACL de Capa 2. Una ACL avanzada define reglas para filtrar paquetes IPv4 basados en
direcciones IP de origen, direcciones de destino, tipos de protocolo IP, números de puerto de
origen/destino de TCP, números de puerto de origen/destino de UDP, información de
fragmento y rangos de tiempo. En comparación con una ACL básica, una ACL avanzada es
más precisa, flexible y ofrece más funciones. Por ejemplo, si desea filtrar paquetes en función
de las direcciones IP de origen y destino, configure una ACL avanzada.
En este ejemplo, las ACL avanzadas se aplican al módulo de política de tráfico para que el
dispositivo pueda filtrar los paquetes entre diferentes segmentos de red y, por lo tanto,
restringir el acceso mutuo entre los segmentos de red.
Notas de configuración
Este ejemplo se aplica a todas las versiones y modelos.
NOTA
Requisitos de red
Como se muestra en Figura 12-6, los departamentos de una empresa están conectados a
través de Switch. Para facilitar la gestión de la red, el administrador asigna las direcciones IP
en dos segmentos de red a los departamentos de I+D y marketing, respectivamente. Los dos
departamentos pertenecen a diferentes VLAN. El acceso mutuo entre dos segmentos de red
debe controlarse para garantizar la seguridad de la información.
Figura 12-6 Uso de ACL avanzadas para restringir el acceso mutuo entre segmentos de red
LAN SwitchA
VLAN10
GE1/0/1
VLANIF 10
10.1.1.1/24
I+D
10.1.1.0/24 GE2/0/1
Internet
Switch Router
VLAN20 GE1/0/2
VLANIF 20
10.1.2.1/24
LAN SwitchB
Marketing
10.1.2.0/24
1. Configure una ACL avanzada y un clasificador de tráfico basado en ACL para filtrar los
paquetes intercambiados entre los departamentos de I+D y de marketing.
2. Configure un comportamiento de tráfico para descartar los paquetes que coincidan con la
ACL.
3. Configure y aplique una política de tráfico para que la ACL y el comportamiento del
tráfico entren en vigencia.
Procedimiento
Paso 1 Configure las VLAN y las direcciones IP para las interfaces.
# Cree ACL avanzada 3001 y configure reglas para que la ACL bloquee los paquetes del
departamento de I+D al departamento de marketing.
[Switch] acl 3001
[Switch-acl-adv-3001] rule deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0
0.0.0.255 //Impida que el departamento de I+D acceda al departamento de
marketing.
[Switch-acl-adv-3001] quit
# Cree ACL avanzada 3002 y configure reglas para que la ACL bloquee los paquetes del
departamento de marketing al departamento de I+D.
[Switch] acl 3002
[Switch-acl-adv-3002] rule deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0
0.0.0.255 //Impida que el departamento de marketing acceda al departamento de I
+D.
[Switch-acl-adv-3002] quit
# Los segmentos de red donde residen los departamentos de I+D y marketing no pueden
accederse entre sí, pero pueden acceder a los segmentos de red de otros departamentos.
----Fin
Archivos de configuración
Archivo de configuración deSwitch
#
sysname Switch
#
vlan batch 10 20
#
acl number 3001
rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
acl number 3002
rule 5 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
traffic classifier tc1 operator or precedence 5
if-match acl 3001
if-match acl 3002
#
traffic behavior tb1
deny
#
traffic policy tp1 match-order config
classifier tc1 behavior tb1
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif20
ip address 10.1.2.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10
traffic-policy tp1 inbound
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 20
traffic-policy tp1 inbound
#
return
12.1.7 Ejemplo de uso de una ACL para evitar que los hosts
internos accedan a Internet
Una ACL filtra paquetes basados en reglas. Un dispositivo con una ACL configura coincidir
con paquetes basados en las reglas para obtener los paquetes de un cierto tipo, y luego decide
reenviar o descartar estos paquetes de acuerdo con las políticas utilizadas por el módulo de
servicio al que se aplica la ACL.
Según los métodos de definición de reglas, las ACL incluyen ACL básica, ACL avanzada y
ACL de Capa 2. Una ACL básica define reglas para filtrar paquetes IPv4 en función de
información como direcciones IP de origen, información de fragmento y rangos de tiempo. Si
solo necesita filtrar paquetes en función de las direcciones IP de origen, puede configurar una
ACL básica.
En este ejemplo, se aplica una ACL básica al módulo de política de tráfico para que el
dispositivo pueda filtrar los paquetes de los hosts internos a Internet y así evitar que los hosts
internos accedan a Internet.
Notas de configuración
Este ejemplo se aplica a todas las versiones y modelos.
NOTA
Requisitos de red
Como se muestra en Figura 12-7, los departamentos de una empresa están conectados a
través de Switch. El Switchdebe evitar que algunos hosts de los departamentos de I+D y
marketing accedan a Internet para proteger la seguridad de la información de la empresa.
Figura 12-7 Usar una ACL para evitar que los hosts internos accedan a Internet
LAN SwitchA
VLAN 10 GE1/0/1
VLANIF 10
I+D: 10.1.1.0/24 10.1.1.1/24
Dirección IP denegada:
10.1.1.11 GE2/0/1
Internet
Switch Router
GE1/0/2
VLAN 20 VLANIF 20
10.1.2.1/24
LAN SwitchB
Marketing: 10.1.2.0/24
Dirección IP denegada: 10.1.2.12
Procedimiento
Paso 1 Configure las VLAN y las direcciones IP para las interfaces.
# Cree VLAN 10 y VLAN 20.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 20
# Los hosts en 10.1.1.11 y 10.1.2.12 no pueden acceder a Internet, y otros hosts pueden
acceder a Internet.
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10 20
#
acl number 2001
rule 5 deny source 10.1.1.11 0
rule 10 deny source 10.1.2.12 0
#
traffic classifier tc1 operator or precedence 5
if-match acl 2001
#
traffic behavior tb1
deny
#
traffic policy tp1 match-order config
classifier tc1 behavior tb1
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif20
ip address 10.1.2.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 20
#
interface GigabitEthernet2/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
traffic-policy tp1 outbound
#
return
12.1.8 Ejemplo de uso de una ACL para evitar que los hosts
externos accedan a los servidores internos
más precisa, flexible y ofrece más funciones. Por ejemplo, si desea filtrar paquetes en función
de las direcciones IP de origen y destino, configure una ACL avanzada.
En este ejemplo, se aplica una ACL avanzada al módulo de política de tráfico para que el
dispositivo pueda filtrar los paquetes enviados desde los hosts externos a los servidores
internos y, por lo tanto, restringir el acceso de los hosts externos a los servidores internos.
Notas de configuración
Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
NOTA
Requisitos de red
Como se muestra en Figura 12-8, los departamentos de una empresa están conectados a
través de Switch. La empresa solo permite que los hosts internos accedan al servidor de
finanzas, evitando que los hosts externos accedan al servidor.
Figura 12-8 Usar una ACL para evitar que los hosts externos accedan a los servidores
internos
LAN SwitchC
I+D:
10.164.3.0/24
2. Configure un comportamiento de tráfico para permitir que los paquetes coincidan con la
regla de permiso de ACL.
3. Configure y aplique una política de tráfico para que la ACL y el comportamiento del
tráfico entren en vigencia.
Procedimiento
Paso 1 Agregue interfaces a VLAN y asigne direcciones IP a las interfaces VLANIF.
# Cree ACL 3002 avanzada y configure reglas para permitir que los paquetes de la oficina del
presidente, del departamento de I+D y el departamento de marketing lleguen al servidor de
finanzas y bloqueen los paquetes enviados desde los servidores externos al servidor de
finanzas.
[Switch] acl 3002
[Switch-acl-adv-3002] rule permit ip source 10.164.1.0 0.0.0.255 destination
10.164.4.4 0.0.0.0 //Permita que la oficina del presidente acceda al servidor de
finanzas.
[Switch-acl-adv-3002] rule permit ip source 10.164.2.0 0.0.0.255 destination
10.164.4.4 0.0.0.0 //Permita que el departamento de marketing acceda al servidor
de finanzas.
[Switch-acl-adv-3002] rule permit ip source 10.164.3.0 0.0.0.255 destination
10.164.4.4 0.0.0.0 //Permita que el departamento de I+D acceda al servidor de
finanzas.
[Switch-acl-adv-3002] rule deny ip destination 10.164.4.4 0.0.0.0 //Evite que
otros usuarios accedan al servidor de finanzas.
[Switch-acl-adv-3002] quit
# Configure el clasificador de tráfico c_network para clasificar los paquetes que coinciden
con ACL 3002.
[Switch] traffic classifier c_network //Cree un clasificador de tráfico.
[Switch-classifier-c_network] if-match acl 3002 //Asocie ACL con el clasificador
de tráfico.
[Switch-classifier-c_network] quit
NOTA
Los paquetes que coinciden con la ACL se descartan siempre que exista una acción deny en una regla de
ACL o en el comportamiento del tráfico.
[Switch] traffic behavior b_network //Cree un comportamiento de tráfico.
[Switch-behavior-b_network] quit
-------------------------------------------------
Policy Name:
p_network
Policy Index:
0
Classifier:c_network
Behavior:b_network
-------------------------------------------------
*interface GigabitEthernet2/0/1
traffic-policy p_network
outbound
slot 2 :
success
-------------------------------------------------
----Fin
Archivos de configuración
Archivo de configuración deSwitch
#
sysname Switch
#
vlan batch 10 20 30 100
#
acl number 3002
rule 5 permit ip source 10.164.1.0 0.0.0.255 destination 10.164.4.4 0
rule 10 permit ip source 10.164.2.0 0.0.0.255 destination 10.164.4.4 0
rule 15 permit ip source 10.164.3.0 0.0.0.255 destination 10.164.4.4 0
rule 20 deny ip destination 10.164.4.4 0
#
traffic classifier c_network operator or precedence 5
if-match acl 3002
#
traffic behavior b_network
permit
#
traffic policy p_network match-order config
classifier c_network behavior b_network
#
interface Vlanif10
ip address 10.164.1.1 255.255.255.0
#
interface Vlanif20
ip address 10.164.2.1 255.255.255.0
#
interface Vlanif30
ip address 10.164.3.1 255.255.255.0
#
interface Vlanif100
ip address 10.164.4.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 20
#
interface GigabitEthernet1/0/3
port link-type trunk
port trunk allow-pass vlan 30
#
interface GigabitEthernet2/0/1
port link-type trunk
port trunk allow-pass vlan 100
traffic-policy p_network outbound
#
return
Una ACL filtra paquetes basados en reglas. Un dispositivo con una ACL configura coincidir
con paquetes basados en las reglas para obtener los paquetes de un cierto tipo, y luego decide
reenviar o descartar estos paquetes de acuerdo con las políticas utilizadas por el módulo de
servicio al que se aplica la ACL.
Según los métodos de definición de reglas, las ACL incluyen ACL básica, ACL avanzada y
ACL de Capa 2. Una ACL básica define reglas para filtrar paquetes IPv4 en función de
información como direcciones IP de origen, información de fragmento y rangos de tiempo. Si
solo necesita filtrar paquetes en función de las direcciones IP de origen, puede configurar una
ACL básica.
En este ejemplo, se aplica una ACL básica al módulo SNMP para que solo el NMS
especificado pueda acceder al switch. Esto mejora la seguridad del switch.
Notas de configuración
Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
NOTA
Requisitos de red
Como se muestra en Figura 12-9, se agrega un nuevo switch en el mismo segmento de red
como NMS a la red de una empresa, y usa SNMPv1 para comunicarse con el NMS. Para
mejorar la seguridad del switch, el switch solo puede ser gestionado por el NMS existente en
la red.
NMS Switch
Procedimiento
Paso 1 Configure SNMPv1 en el switch para que el NMS que ejecuta SNMPv1 pueda administrar el
switch.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] snmp-agent sys-info version v1 //Por defecto, SNMPv3 es compatible.
Paso 2 Configure el control de acceso para que solo el NMS con la dirección IP especificada pueda
realizar operaciones de leer/escribir en los objetos MIB especificados del switch.
# Configure una ACL para permitir que solo el NMS 10.1.1.1 acceda al switch.
[Switch] acl 2001
[Switch-acl-basic-2001] rule permit source 10.1.1.1 0
[Switch-acl-basic-2001] rule deny
[Switch-acl-basic-2001] quit
# Configure la vista de MIB para especificar los objetos MIB a los que puede acceder el
NMS.
[Switch] snmp-agent mib-view included isoview01 system //Configure la vista de
MIB isoview01 para acceder al subárbol del sistema.
[Switch] snmp-agent mib-view included isoview02 interfaces //Configure la vista
de MIB isoview02 para acceder al subárbol de interfaces.
Paso 3 Configure un nombre de comunidad según el cual el switch permite el acceso del NMS,
aplique la ACL para que la función de control de acceso se ponga en vigor.
[Switch] snmp-agent community read adminnms01 mib-view isoview01 acl 2001 //
Otorgue adminnms01 con el permiso de solo leer en el subárbol del sistema.
[Switch] snmp-agent community write adminnms02 mib-view isoview02 acl 2001 //
Otorgue adminnms02 con el permiso de leer/escribir en el subárbol de interfaz.
Paso 4 Configure un host de trap y habilite el switch para enviar traps automáticamente al NMS.
[Switch] snmp-agent trap enable
Warning: All switches of SNMP trap/notification will be open. Continue? [Y/
N]:y //Habilite todas las funciones de trap en el switch. Por defecto, solo
algunas funciones de trap están habilitadas. Puede ejecutar el el comando display
snmp-agent trap all para comprobar el estado del trap.
[Switch] snmp-agent target-host trap address udp-domain 10.1.1.1 params
securityname adminnms01 v1
IP address 10.1.1.2
Version V1
Port 161
NOTA
La configuración de los parámetros en el NMS y el switch debe ser la misma; de lo contrario, el switch
no se puede agregar al NMS.
Si se requiere autenticación para inicios de sesión remotos en el switch, los parámetros de Telnet deben
configurarse para que el NMS pueda administrar el switch. En este ejemplo, los administradores pueden
iniciar sesión remotamente en el switch utilizando Telnet, se usa autenticación de contraseña y la
contraseña es huawei2012.
----Fin
Archivos de configuración
Archivo de configuración del switch
#
sysname Switch
#
acl number 2001
rule 5 permit source 10.1.1.1 0
rule 10 deny
#
snmp-agent
snmp-agent local-engineid 800007DB03360102101100
snmp-agent community read cipher %^%#Pqp'RXi))/y\KgEtwP9A3x2z5_FgxG1v'D/
8>=G,D9<yMC^RAM_YB:F0BZlF="bHXg%lH*L"Jq'lea`S%^%# mib-view isoview acl 2001
snmp-agent community write cipher %^%#.T|&Whvyf$<Gd"I,wXi5SP_6~Nakk6<<+3H:N-
h@aJ6d,l0md%HCeAY8~>X=>xV\JKNAL=124r839v<*%^%# mib-view isoview acl 2001
snmp-agent sys-info version v1 v3
snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname
cipher %^%#uq/!YZfvW4*vf[~C|.:Cl}UqS(vXd#wwqR~5M(rU%%^%#
snmp-agent mib-view included isoview01 system
snmp-agent mib-view included isoview02 interfaces
snmp-agent trap enable
#
return
Se pueden tomar las siguientes medidas de seguridad de ARP para proteger la red contra
ataques de ARP:
l Para evitar el primer ataque (el atacante se presenta como la gateway para interceptar la
información del host), configure la anticolisión del gateway de ARP.
l Para evitar el segundo ataque, configure la limitación de la velocidad de ARP Miss para
reducir la carga de la CPU y ahorrar ancho de banda en la red de destino.
l Para evitar el tercer ataque, configure la limitación de la velocidad de paquetes de ARP
para proteger los recursos de la CPU.
Notas de configuración
l Este ejemplo se aplica a todos los modelos y versiones de switch modulares.
l Que los modelos y versiones de switches fijos a los que se aplica este ejemplo son los
siguientes.
S2300EI V100R006C05
S2352P-EI V100R006C05
S3300HI V200R001C00
S6320HI V200R012C00
S2300EI V100R006C05
S2352P-EI V100R006C05
S3300HI V200R001C00
S6320HI V200R012C00
S6320HI V200R012C00
S2300EI V100R006C05
S2352P-EI V100R006C05
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de red
Como se muestra en Figura 12-10, el switch que funciona como gateway se conecta a un
servidor utilizando GE 1/0/3 y se conecta a cuatro usuarios en VLAN 10 y VLAN 20 usando
GE 1/0/1 y GE 1/0/2, respectivamente. Las siguientes amenazas ARP existen en una red:
l El atacante se presenta como la gateway para enviar un paquete ARP al switch, por lo
que los hosts de los usuarios consideran que el atacante es la gateway. Como resultado,
el atacante recibe el tráfico destinado a la gateway de los hosts de los usuarios y el
atacante intercepta los datos de los hosts de los usuarios.
l Los atacantes envían una gran cantidad de paquetes IP con direcciones IP de destino
irresolubles al switch, lo que provoca una sobrecarga de la CPU.
l El User1 envía una gran cantidad de paquetes ARP con direcciones MAC fijas pero con
direcciones IP de fuente variable al switch. Como resultado, la CPU disponible del
switch es insuficiente para procesar otros servicios.
l El User3 envía una gran cantidad de paquetes ARP con direcciones IP de fuente fija al
switch. Como resultado, la CPU disponible del switch es insuficiente para procesar otros
servicios.
El administrador desea evitar los ataques de ARP anteriores y proporcionar a los usuarios
servicios estables en una red segura.
VLAN10 VLAN20
Procedimiento
Paso 1 Cree VLAN, agregue interfaces a las VLAN y configure las interfaces VLANIF.
# Cree VLAN 10, VLAN 20, VLAN 30 y agregue GE1/0/1 a VLAN 10, GE1/0/2 a VLAN 20
y GE1/0/3 a VLAN 30.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 20 30
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type trunk
[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 20
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] port link-type trunk
[Switch-GigabitEthernet1/0/3] port trunk allow-pass vlan 30
[Switch-GigabitEthernet1/0/3] quit
Paso 4 Configure la limitación de velocidad en los paquetes ARP según la dirección MAC de origen.
# Establezca la velocidad máxima de paquetes ARP del Usuario1 con la dirección MAC de
origen 0001-0001-0001 a 10 pps.
[Switch] arp speed-limit source-mac 0001-0001-0001 maximum 10 //Configure la
limitación de velocidad en los paquetes de ARP según la dirección MAC de origen
Paso 5 Configure la limitación de velocidad en los paquetes ARP según la dirección IP de origen.
-------------------------------------------------------------------------------
The number of configured specified IP address(es) is 1, spec is 1024.
# Ejecute el comando de display arp packet statistics para comprobar las estadísticas en los
paquetes basados en ARP.
[Switch] display arp packet statistics
ARP Pkt Received: sum 8678904
ARP-Miss Msg Received: sum 183
ARP Learnt Count: sum 37
ARP Pkt Discard For Limit: sum 146
ARP Pkt Discard For SpeedLimit: sum
40529
ARP Pkt Discard For Proxy Suppress: sum 0
ARP Pkt Discard For Other: sum 8367601
ARP-Miss Msg Discard For SpeedLimit: sum 20
ARP-Miss Msg Discard For Other: sum 104
En la salida del comando anterior, se muestran los números de paquetes ARP y mensajes de
ARP Miss descartados por el switch, lo que indica que las funciones de seguridad ARP han
surtido efecto.
----Fin
Archivo de configuración
# Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10 20 30
#
arp-miss speed-limit source-ip 10.10.10.2 maximum 40
arp speed-limit source-ip 10.9.9.2 maximum 10
arp speed-limit source-mac 0001-0001-0001 maximum 10
arp anti-attack gateway-duplicate enable
#
arp-miss speed-limit source-ip maximum 20
#
interface Vlanif10
ip address 10.8.8.4 255.255.255.0
#
interface Vlanif20
ip address 10.9.9.4 255.255.255.0
#
interface Vlanif30
ip address 10.10.10.3 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 20
#
interface GigabitEthernet1/0/3
port link-type trunk
port trunk allow-pass vlan 30
#
return
NOTA
El dispositivo habilitado con DHCP snooping genera entradas de vinculación DHCP snooping cuando los
usuarios de DHCP se conectan. Si un usuario usa una dirección IP estática, debe configurar manualmente una
entrada de vinculación estática para el usuario.
Notas de configuración
En V100R006C05, S2300SI no es compatible con la función de espionaje DHCP. Este
ejemplo se aplica a todos los modelos en otras versiones.
Requisitos de red
Como se muestra en Figura 12-11, SwitchA se conecta al servidor DHCP usando GE2/0/1, se
conecta a los clientes UsuarioA y UsuarioB de DHCP usando GE1/0/1 y GE1/0/2, y se
conecta al UsuarioC configurado con una dirección IP estática usando GE1/0/3. GE1/0/1,
GE1/0/2, GE1/0/3, yGE2/0/1 en SwitchA todos pertenecen a la VLAN 10. El administrador
desea evitar los ataques ARP MITM y el robo en la información del usuario autorizado, y
conocer la frecuencia y el rango de los ataques de ARP MITM.
Figura 12-11 Diagrama de redes para defenderse contra ataques ARP MITM
SwitchB
DHCP Server
GE2/0/1
SwitchA
GE1/0/1
GE1/0/2 GE1/0/3
IP:10.0.0.2/24
DHCP Client DHCP Client
MAC:0001-0001-0001
VLAN ID:10
Procedimiento
Paso 1 Cree una VLAN y agregue interfaces a la VLAN.
# Cree VLAN 10 y agregue GE1/0/1, GE1/0/2, GE1/0/3, y GE2/0/1 a VLAN 10.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 10
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type access
[SwitchA-GigabitEthernet1/0/1] port default vlan 10
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type access
[SwitchA-GigabitEthernet1/0/2] port default vlan 10
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface gigabitethernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] port link-type access
[SwitchA-GigabitEthernet1/0/3] port default vlan 10
[SwitchA-GigabitEthernet1/0/3] quit
[SwitchA] interface gigabitethernet 2/0/1
[SwitchA-GigabitEthernet2/0/1] port link-type trunk
# Ejecute el comando de display arp anti-attack statistics check user-bind interface para
comprobar la cantidad de paquetes ARP descartados basada en DAI. GE1/0/1 se usan como
un ejemplo.
[SwitchA] display arp anti-attack statistics check user-bind interface
gigabitethernet 1/0/1
Dropped ARP packet number is 966
Dropped ARP packet number since the latest warning is 605
Cuando ejecuta el comando display arp anti-attack statistics check user-bind interface
para varias veces en cada interfaz, el administrador puede conocer la frecuencia y el rango de
los ataques ARP MITM en función de la cantidad de paquetes ARP descartados.
----Fin
Archivo de configuración
# Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 10
#
dhcp enable
#
dhcp snooping enable
user-bind static ip-address 10.0.0.2 mac-address 0001-0001-0001 interface
GigabitEthernet1/0/3 vlan 10
#
vlan 10
dhcp snooping enable
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
arp anti-attack check user-bind enable
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 10
arp anti-attack check user-bind enable
#
interface GigabitEthernet1/0/3
port link-type access
port default vlan 10
arp anti-attack check user-bind enable
#
interface GigabitEthernet2/0/1
port link-type trunk
port trunk allow-pass vlan 10
dhcp snooping trusted
#
return
Notas de configuración
En V100R006C05, el S2300SI no es compatible con DHCP snooping. Todos los modelos en
otras versiones son aplicables a este ejemplo.
Requisitos de redes
Como se muestra en Figura 12-12, SwitchA es un switch de acceso y su PC conectado
obtiene una dirección IP a través de DHCP. SwitchB como un switch de core se implementa
con la función del servidor DHCP. DHCP snooping debe configurarse para evitar que los
servidores DHCP no autorizados, como los routers inalámbricos incorporados desde el acceso
a la red. Si un servidor DHCP no autorizado está conectado a la red, los usuarios común
obtienen direcciones incorrectas y no pueden acceder a la red o obtienen direcciones
conflictivas.
Figura 12-12 Diagrama de redes para configurar DHCP snooping para evitar ataques al
servidor DHCP falso
Servidor DHCP
Switch de core
SwitchB
GE0/0/1
VLANIF10
10.1.1.1/24
GE0/0/1
Switch de acceso VLANIF10
SwitchA
GE0/0/2 GE0/0/3
VLAN 10 VLAN 10
PC1 Atacador
Procedimiento
Paso 1 Configure la función del servidor DHCP.
# Configure la función del servidor DHCP en SwitchB.
<Quidway> system-view
[Quidway] sysname SwitchB
[SwitchB] vlan batch 10
[SwitchB] interface gigabitethernet 0/0/1
[SwitchB-GigabitEthernet0/0/1] port link-type trunk
[SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[SwitchB-GigabitEthernet0/0/1] quit
[SwitchB] dhcp enable
[SwitchB] interface vlanif 10
[SwitchB-Vlanif10] ip address 10.1.1.1 255.255.255.0
[SwitchB-Vlanif10] dhcp select interface //Habilite el dispositivo que asigne
direcciones IP en función del grupo de direcciones de la interfaz.
[SwitchB-Vlanif10] quit
# Ejecuta el comando display ip pool interface vlanif10 used en SwitchB para verificar las
direcciones IP usadas en el grupo de direcciones.
[SwitchB] display ip pool interface vlanif10 used
Pool-name : Vlanif10
Pool-No : 1
Lease : 1 Days 0 Hours 0 Minutes
Domain-name : -
DNS-server0 : -
NBNS-server0 : -
Netbios-type : -
Position : Interface Status : Unlocked
Gateway-0 : 10.1.1.1
Network : 10.1.1.0
Mask : 255.255.255.0
VPN instance : --
-----------------------------------------------------------------------------
Start End Total Used Idle(Expired) Conflict Disable
-----------------------------------------------------------------------------
10.1.1.1 10.1.1.254 253 1 252(0) 0 0
-----------------------------------------------------------------------------
Network section :
-----------------------------------------------------------------------------
Index IP MAC Lease Status
-----------------------------------------------------------------------------
253 10.1.1.254 0021-cccf-b67f 46 Used
-----------------------------------------------------------------------------
# Ejecute el comando display dhcp snooping user-bind all en SwitchA para verificar la tabla
de enlace de DHCP snooping.
[SwitchA] display dhcp snooping user-bind all
DHCP Dynamic Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address MAC Address VSI/VLAN(O/I/P) Interface Lease
--------------------------------------------------------------------------------
10.1.1.254 0021-cccf-b67f 10 /-- /-- GE0/0/2 2014.09.21-09:33
--------------------------------------------------------------------------------
Print count: 1 Total count: 1
Las direcciones IP obtenidas por todos los PC subsiguientes a través de DHCP solo pueden
ser asignadas por SwitchB.
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 10
#
dhcp enable
#
dhcp snooping enable ipv4
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10
dhcp snooping trusted
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
dhcp snooping enable
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10
dhcp snooping enable
#
return
12.4.1 Ejemplo para configurar IPSG para evitar que los hosts con
direcciones IP estáticas cambien sus propias direcciones IP
Notas de configuración
Este ejemplo se aplica a todas las versiones y modelos, excepto los siguientes:
l S2300SI de V100R006C05 no es compatible con IPSG.
l Después de que el reenvío de Capa 3 basado en hardware para paquetes IPv4 está
habilitado en las siguientes versiones, los switches no son compatibles con IPSG:
– V200R007C00 y V200R008C00: S2350EI y S5300-10P-LI-AC
– V200R008C10: S5300-10P-PWR-LI-AC
– V200R009C00 y versiones posteriores: S2350EI, S5300-10P-LI-AC, y S5300-10P-
PWR-LI-AC
Requisitos de red
Como se muestra en Figura 12-13, el gateway del usuario está configurado en el switch de
core (Core). Una ACL está configurada en el Core para permitir que los hosts fijos puedan
acceder a Internet. Los hosts conectados al switch de acceso (ACC) usan direcciones IP
configuradas estáticamente. El administrador requiere que los hosts solo puedan usar
direcciones IP fijas para acceder a Internet. Los usuarios no pueden cambiar sus propias
direcciones IP para acceder a Internet.
Figura 12-13 Configurar IPSG para evitar que los hosts con direcciones IP estáticas cambien
sus propias direcciones IP
Internet
Router
GE0/0/2
Core
GE0/0/1
GE0/0/3
ACC VLAN 10
GE0/0/1 GE0/0/2
Host_1 Host_2
IP:10.0.0.2/24 IP:10.0.0.5/24
MAC:0002-0002-0002 MAC:0005-0005-0005
Plan de datos
Para realizar la configuración, necesita los siguientes datos.
Procedimiento
Paso 1 Configure una ACL.
<Quidway> system-view
[Quidway] sysname Core
[Core] vlan batch 10
[Core] interface gigabitethernet 0/0/1
[Core-GigabitEthernet0/0/1] port link-type trunk
[Core-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[Core-GigabitEthernet0/0/1] quit
[Core] interface vlanif 10 //Configure la dirección de gateway.
[Core-Vlanif10] ip address 10.0.0.1 255.255.255.0
[Core-Vlanif10] quit
[Core] acl number 3001 //Configure ACL.
[Core-acl-adv-3001] rule permit ip source 10.0.0.2 0
[Core-acl-adv-3001] rule permit ip source 10.0.0.3 0
[Core-acl-adv-3001] rule deny ip source 10.0.0.0 0.0.0.255
[Core-acl-adv-3001] quit
[Core] traffic classifier c1 //Configure un clasificador de tráfico basado en
ACL.
[Core-classifier-c1] if-match acl 3001
[Core-classifier-c1] quit
[Core] traffic behavior b1 //Configure un comportamiento de tráfico.
[Core-behavior-b1] permit
[Core-behavior-b1] quit
Ejecute el comando display dhcp static user-bind all verbose en el ACC para ver el estado
de IPSG. Si el estado es effective, la entrada estática ha tenido efecto.
[ACC] display dhcp static user-bind all verbose
DHCP static Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
--------------------------------------------------------------------------------
IP Address : 10.0.0.2
MAC Address : 0002-0002-0002
VSI : --
VLAN(O/I/P) : -- /-- /--
Interface : GE0/0/1
IPSG Status : effective slot: <0>
--------------------------------------------------------------------------------
IP Address : 10.0.0.5
MAC Address : 0005-0005-0005
VSI : --
VLAN(O/I/P) : -- /-- /--
Interface : GE0/0/2
IPSG Status : effective slot: <0>
--------------------------------------------------------------------------------
Print count: 2 Total count: 2
Host_1 puede acceder a Internet y Host_2 no puede acceder a Internet. Después de que la
dirección IP de Host_2 se cambie a 10.0.0.3, Host_2 no puede acceder a Internet y a la
intranet.
----Fin
Archivos de configuración
l Archivo de configuración del Core
#
sysname Core
#
vlan batch 10
#
acl number 3001
rule 5 permit ip source 10.0.0.2 0
rule 10 permit ip source 10.0.0.3 0
rule 15 deny ip source 10.0.0.0 0.0.0.255
#
traffic classifier c1 operator or precedence 5
if-match acl 3001
#
traffic behavior b1
permit
#
traffic policy p1 match-order config
classifier c1 behavior b1
#
interface Vlanif10
ip address 10.0.0.1 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet0/0/2
traffic-policy p1 outbound
#
return
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
ip source check user-bind enable
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10
#
return
12.4.2 Ejemplo para configurar IPSG para evitar que los hosts con
direcciones IP dinámicas cambien sus propias direcciones IP
Por ejemplo, en una red donde los hosts obtienen direcciones IP de un DHCP server, los hosts
pueden acceder a la red utilizando solo las direcciones IP dinámicas y no pueden usar
direcciones IP estáticas para acceder a la red, a menos que el administrador cree entradas de
vinculación estática para ellos.
Notas de configuración
Este ejemplo se aplica a todas las versiones y modelos, excepto los siguientes:
l S2300SI de V100R006C05 no es compatible con IPSG.
l Después de que el reenvío de Capa 3 basado en hardware para paquetes IPv4 está
habilitado en las siguientes versiones, los switches no son compatibles con IPSG:
– V200R007C00 y V200R008C00: S2350EI y S5300-10P-LI-AC
– V200R008C10: S5300-10P-PWR-LI-AC
– V200R009C00 y versiones posteriores: S2350EI, S5300-10P-LI-AC, y S5300-10P-
PWR-LI-AC
Requisitos de red
Como se muestra en Figura 12-14, los hosts acceden a la intranet a través de ACC y el Core
funciona como un DHCP server para asignar direcciones IP a los hosts. La impresora usa una
dirección IP estática. El gateway es el dispositivo de salida de la intranet. El administrador no
quiere que los hosts accedan a la intranet usando las direcciones IP configuradas
estáticamente por ellos mismos.
Figura 12-14 Configurar IPSG para evitar que los hosts con direcciones IP dinámicas
cambien sus propias direcciones IP
Internet
Gateway
Core
(DHCP Server)
GE0/0/1
GE0/0/4
VLAN 10
ACC
GE0/0/1 GE0/0/3
GE0/0/2
Plan de datos
Para realizar la configuración, necesita los siguientes datos.
Procedimiento
Paso 1 Configure el DHCP server en el Core.
<Quidway> system-view
[Quidway] sysname Core
[Core] vlan batch 10
[Core] interface gigabitethernet 0/0/1
[Core-GigabitEthernet0/0/1] port link-type trunk
[Core-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[Core-GigabitEthernet0/0/1] quit
[Core] dhcp enable
[Core] ip pool 10
[Core-ip-pool-10] network 10.1.1.0 mask 24
[Core-ip-pool-10] gateway-list 10.1.1.1
[Core-ip-pool-10] quit
[Core] interface vlanif 10
[Core-Vlanif10] ip address 10.1.1.1 255.255.255.0
[Core-Vlanif10] dhcp select global
[Core-Vlanif10] quit
# Habilite DHCP snooping y configure GE0/0/4 conectado al DHCP server como una interfaz
de confianza.
[ACC] dhcp enable //Habilite DHCP
[ACC] dhcp snooping enable //Habilite DHCP Snooping globalmente
[ACC] vlan 10
[ACC-vlan10] dhcp snooping enable //Habilite DHCP Snooping en VLAN 10
[ACC-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/4 //Configure
una interfaz de confianza
[ACC-vlan10] quit
Ejecute el comando display dhcp static user-bind all en el ACC para ver la entrada de
vinculación estática de la impresora.
[ACC] display dhcp static user-bind all
DHCP static Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address MAC Address VSI/VLAN(O/I/P) Interface
--------------------------------------------------------------------------------
10.1.1.2 0003-0003-0003 10 /-- /-- GE0/0/3
--------------------------------------------------------------------------------
Print count: 1 Total count: 1
Los hosts pueden acceder a la intranet utilizando las direcciones IP asignadas dinámicamente
por el DHCP server. Después de que las direcciones IP dinámicas de los hosts se cambian a
direcciones IP configuradas estáticamente que son diferentes de las dinámicas, los hosts no
pueden acceder a la intranet.
----Fin
Archivos de configuración
l Archivo de configuración del Core
#
sysname Core
#
vlan batch 10
#
dhcp enable
#
ip pool 10
gateway-list 10.1.1.1
network 10.1.1.0 mask 255.255.255.0
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
dhcp select global
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10
#
return
l Archivo de configuración del ACC
#
sysname ACC
#
vlan batch 10
#
dhcp enable
#
dhcp snooping enable
user-bind static ip-address 10.1.1.2 mac-address 0003-0003-0003 interface
GigabitEthernet0/0/3 vlan 10
#
vlan 10
dhcp snooping enable
dhcp snooping trusted interface GigabitEthernet0/0/4
ip source check user-bind enable
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 10
#
return
snooping DHCP. Cuando los hosts obtienen direcciones IP dinámicas, el switch genera
automáticamente las entradas de vinculación dinámica de acuerdo con los paquetes de
respuesta DHCP. Después de crear una tabla de vinculación, el switch coincide los paquetes
recibidos por las interfaces habilitadas por IPSG con las entradas de vinculación. Si los
paquetes coinciden con las entradas de vinculación, se reenvían; de lo contrario, son
descartados. Las opciones de paquetes coincidentes pueden ser una combinación de dirección
IP, dirección MAC, ID de VLAN e interfaz. Por ejemplo, el switch solo coincide con
direcciones IP, direcciones IP y direcciones MAC, o una combinación de direcciones IP,
direcciones MAC, ID de VLAN e interfaces de los paquetes.
Por lo tanto, IPSG proporciona dos funciones:
l Evite que los hosts maliciosos roben las direcciones IP de los hosts autorizados para
hacerse pasar por los hosts autorizados.
l Evite que los hosts no autorizados cambien sus propias direcciones IP a direcciones IP
estáticas para acceder o atacar la red.
Por ejemplo, cuando todos los hosts en una intranet usan direcciones IP estáticas, deben usar
las direcciones IP fijas asignadas por el administrador de red y acceder a la intranet a través de
interfaces fijas. Para garantizar la seguridad de la intranet, los hosts externos no pueden
acceder a la intranet sin permiso.
Notas de configuración
Este ejemplo se aplica a todas las versiones y modelos, excepto los siguientes:
l S2300SI de V100R006C05 no es compatible con IPSG.
l Después de que el reenvío de Capa 3 basado en hardware para paquetes IPv4 está
habilitado en las siguientes versiones, los switches no son compatibles con IPSG:
– V200R007C00 y V200R008C00: S2350EI y S5300-10P-LI-AC
– V200R008C10: S5300-10P-PWR-LI-AC
– V200R009C00 y versiones posteriores: S2350EI, S5300-10P-LI-AC, y S5300-10P-
PWR-LI-AC
Requisitos de red
Como se muestra en Figura 12-15, los hosts acceden a la intranet de la empresa a través del
switch. El gateway es el dispositivo de salida de la intranet de la empresa. Los hosts usan
direcciones IP estáticas. El administrador ha configurado la limitación de la velocidad de
interfaz en switch y requiere que los hosts usen direcciones IP fijas para acceder a la intranet a
través de puertos fijos. Para garantizar la seguridad de la red, el administrador no permite que
los hosts externos accedan a la intranet sin permiso.
Figura 12-15 Configuración de IPSG basada en la tabla de vinculación estática para evitar
que los hosts no autorizados accedan a la intranet
Internet
Gateway
GE0/0/4
GE0/0/3
Switch
GE0/0/1 GE0/0/2
Host externo Host_3
IP:10.0.0.3/24
MAC:0003-0003-0003
Host_1 Host_2
IP:10.0.0.1/24 IP:10.0.0.2/24
MAC:0001-0001-0001 MAC:0002-0002-0002
VLAN 10
Plan de datos
Para realizar la configuración, necesita los siguientes datos.
2. Configure entradas de vinculación estática para Host_1 y Host_2 para fijar las
vinculaciones entre direcciones IP, direcciones MAC e interfaces.
3. # Configure GE0/0/4 como interfaz de confianza. Switch no realiza una comprobación
de IPSG en los paquetes recibidos por esta interfaz de confianza, por lo que los paquetes
devueltos por la gateway no se descartarán.
4. Habilite IPSG en la VLAN conectada a los hosts de usuario para que Host_1 y Host_2
accedan a la intranet utilizando direcciones IP fijas a través de puertos fijos. Además, el
host externo Host_3 no puede acceder a la intranet.
Procedimiento
Paso 1 Especifique la VLAN a la que pertenecen las interfaces.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 10
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 10
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 10
[Switch-GigabitEthernet0/0/3] quit
[Switch] interface gigabitethernet 0/0/4
[Switch-GigabitEthernet0/0/4] port link-type trunk
[Switch-GigabitEthernet0/0/4] port trunk allow-pass vlan 10
[Switch-GigabitEthernet0/0/4] quit
Paso 3 Configure la interfaz de vínculo ascendente GE0/0/4 como una interfaz de confianza.
[Switch] dhcp enable //Habilite DHCP
[Switch] dhcp snooping enable //Habilite DHCP Snooping globalmente
[Switch] interface gigabitethernet 0/0/4
[Switch-GigabitEthernet0/0/4] dhcp snooping trusted //Configure una interfaz de
confianza
[Switch-GigabitEthernet0/0/4] quit
Host_1 y Host_2 pueden acceder a la intranet. Después de que las direcciones IP de los hosts
se cambian o los hosts se conectan a otras interfaces, no pueden acceder a la intranet.
Cuando Host_3 con la dirección IP 10.0.0.3 se conecta con GE0/0/3, Host_3 no puede
acceder a la intranet, lo que indica que los hosts externos no pueden acceder a la intranet sin
permiso. Si Host_3 necesita acceder a la intranet, agregue la entrada de Host_3 a la tabla de
vinculación estática.
----Fin
Archivos de configuración
Archivo de configuración del switch
#
sysname Switch
#
vlan batch 10
#
dhcp enable
#
dhcp snooping enable
user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface
GigabitEthernet0/0/1
user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 interface
GigabitEthernet0/0/2
#
vlan 10
ip source check user-bind enable
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 10
dhcp snooping trusted
#
return
dispositivos de acceso para vincular a los usuarios a las interfaces y controlar a los usuarios de
acceso en las interfaces.
En comparación con DHCP snooping que también vincula dinámicamente a los usuarios con
la interfaz, la seguridad del puerto es más fácil de configurar. Además, la seguridad del puerto
puede limitar la cantidad de usuarios de acceso.
Notas de configuración
l Después de que la limitación de la dirección MAC está configurada en una interfaz, la
seguridad del puerto no se puede configurar en la interfaz.
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
Requisitos de red
Como se muestra en Figura 12-16, PC1, PC2 y PC3 se conectan a la red de la empresa a
través del switch. Para mejorar la seguridad de acceso de los usuarios, la seguridad del puerto
se habilita en la interfaz del switch para que los usuarios externos no puedan usar sus PC para
acceder a la red de la empresa.
Intranet
SwitchA
Switch
GE1/0/1 GE1/0/3
GE1/0/2
VLAN 10
Procedimiento
Paso 1 Cree una VLAN en el switch y agregue interfaces a la VLAN. Las configuraciones de
GE1/0/2 and GE1/0/3 son similares a la configuración de 1/0/1, y no se mencionan aquí.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan 10 //Cree VLAN 10.
[Switch-vlan10] quit
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access //El tipo de enlace de la
interfaz conectada al PC debe ser acceso. El tipo de enlace predeterminado de una
interfaz no es acceso, por lo que debe configurar manualmente el tipo de enlace
de la interfaz a acceso.
[Switch-GigabitEthernet1/0/1] port default vlan 10
[Switch-GigabitEthernet1/0/1] quit
Paso 2 Configure la seguridad del puerto en GE1/0/1. Las configuraciones de GE1/0/2 and GE1/0/3
son similares a la configuración de GE1/0/1, y no se mencionan aquí.
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port-security enable //Habilite la seguridad del
puerto.
[Switch-GigabitEthernet1/0/1] port-security mac-address sticky //La función
sticky MAC se puede habilitar solo después de que la seguridad del puerto esté
habilitada.
[Switch-GigabitEthernet1/0/1] port-security max-mac-num 1 //Una vez que se
habilita la seguridad del puerto, una interfaz puede aprender solo una entrada de
dirección MAC predeterminadamente. Si un usuario necesita ser limitado, ignore
esta configuración.
NOTA
l Una interfaz puede aprender solo una entrada de dirección MAC segura por defecto. Si varias PC se
conectan a la red de la empresa usando una interfaz, ejecute el comando port-security max-mac-
num para cambiar la cantidad máxima de direcciones MAC seguras.
l Si una PC se conecta al switch utilizando un teléfono IP, establezca la cantidad máximo de
direcciones MAC seguras en 3 porque el teléfono IP ocupa dos entradas de dirección MAC y el PC
ocupa una entrada de dirección MAC. Las ID de VLAN en dos entradas de dirección MAC
utilizadas por el teléfono IP son diferentes. Las dos VLAN se utilizan para transmitir paquetes de
voz y datos, respectivamente.
----Fin
Archivos de configuración
Archivo de configuración del switch
#
sysname Switch
#
vlan batch 10
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
port-security enable
port-security mac-address sticky
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 10
port-security enable
port-security mac-address sticky
#
interface GigabitEthernet1/0/3
port link-type access
port default vlan 10
port-security enable
port-security mac-address sticky
#
return
Notas de configuración
S2350EI V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S3300HI V200R001C00
S5300HI V200R001(C00&C01),
V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de red
En Figura 13-1, una empresa tiene tres servicios: consulta de datos, procesamiento de correo
electrónico y transferencia de archivos. Los tres servicios tienen diferentes prioridades.
Cuando los servidores de acceso de HostA y HostB de los tres servicios, los servicios deben
procesarse en orden de prioridad descendente. El remarcado prioritario y la planificación de
colas pueden lograr esto.
Internet Servidor de
datos
192.168.1.10
SwitchA Servidor de
correo
192.168.1.11
HostB
Servidor FTP
192.168.1.12
Procedimiento
Paso 1 Configure ACL para clasificar paquetes basados en las direcciones IP de los servidores.
# Configure la ACL avanzada 3001 para clasificar paquetes con la dirección IP de destino de
192.168.1.10.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] acl 3001
[SwitchA-acl-adv-3001] rule permit ip destination 192.168.1.10 0.0.0.0
[SwitchA-acl-adv-3001] quit
# Configure la ACL avanzada 3002 para clasificar paquetes con la dirección IP de destino de
192.168.1.11.
[SwitchA] acl 3002
[SwitchA-acl-adv-3002] rule permit ip destination 192.168.1.11 0.0.0.0
[SwitchA-acl-adv-3002] quit
# Configure la ACL avanzada 3003 para clasificar paquetes con la dirección IP de destino de
192.168.1.12.
[SwitchA] acl 3003
[SwitchA-acl-adv-3003] rule permit ip destination 192.168.1.12 0.0.0.0
[SwitchA-acl-adv-3003] quit
Paso 4 Configure una política de tráfico y vincule los clasificadores de tráfico y el comportamiento
del tráfico con la política de tráfico.
[SwitchA] traffic policy policy1
[SwitchA-trafficpolicy-policy1] classifier dbserver behavior dbserver
[SwitchA-trafficpolicy-policy1] classifier mailserver behavior mailserver
[SwitchA-trafficpolicy-policy1] classifier ftpserver behavior ftpserver
[SwitchA-trafficpolicy-policy1] quit
Paso 5 Aplique la política de tráfico a GE1/0/1 para remarcar las prioridades de los paquetes
entrantes.
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] traffic-policy policy1 inbound //Aplique la
política de tráfico en la dirección de entrada.
[SwitchA-GigabitEthernet1/0/1] quit
Policy: policy1
Classifier: dbserver
Operator: AND
Behavior: dbserver
Remark:
Remark local-precedence af4
Classifier: mailserver
Operator: AND
Behavior: mailserver
Remark:
Remark local-precedence af3
Classifier: ftpserver
Operator: AND
Behavior: ftpserver
Remark:
Remark local-precedence af2
----Fin
Archivos de configuración
l Archivo de configuración de Switch (aplicable a S9300, S9300E, S9300X, S2352P-EI,
S3300SI, S3300EI, S3300HI, S5300EI, S5310EI, S5320EI, S5306, S5300HI, S5320HI,
S6300EI, S6320EI, y S6320HI )
#
sysname SwitchA
#
acl number 3001
rule 5 permit ip destination 192.168.1.10 0
acl number 3002
rule 5 permit ip destination 192.168.1.11 0
acl number 3003
rule 5 permit ip destination 192.168.1.12 0
#
traffic classifier dbserver operator and
if-match acl 3001
traffic classifier ftpserver operator and
if-match acl 3003
traffic classifier mailserver operator and
if-match acl 3002
#
traffic behavior dbserver
remark local-precedence af4
traffic behavior ftpserver
remark local-precedence af2
traffic behavior mailserver
remark local-precedence af3
#
traffic policy policy1 match-order config
Descripción general
La limitación de tasa basada en la interfaz es fácil de configurar y limita la tasa de todos los
paquetes enviados o recibidos en una interfaz, independientemente del tipo de paquete. Una
interfaz habilitada con esta función se le puede asignar ancho de banda fijo.
Notas de configuración
S2350EI V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S3300HI V200R001C00
S5300HI V200R001(C00&C01),
V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de red
En Figura 13-2, el Switch conecta al router a través de GE0/0/3, y los departamentos
empresariales 1 y 2 están conectados a Switch a través de GE0/0/1 y GE0/0/2 respectivamente
y acceden Internet a través deSwitch y router.
Los servicios son singulares y, por lo tanto, no es necesario diferenciarlos. Con ancho de
banda de red finito, el ancho de banda de cada departamento de la empresa debe ser limitado.
El departamento de empresa 1 requiere el CIR de 8 Mbit/s en la dirección de salida, y el
departamento de empresa 2 requiere el CIR de 5 Mbit/s en la dirección de salida.
Red
Router
GE0/0/3 Dirección
de tráfico
GE0/0/1 GE0/0/2
Switch
SwitchA SwitchB
Departamento 1 Departamento 2
Procedimiento
Paso 1 Cree VLAN y configure las interfaces de Switch.
# Cree VLAN 100, VLAN 200 y VLAN 300.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 100 200 300
# Configure GE0/0/1, GE0/0/2 y GE0/0/3 como trunk interfaces, y configure GE0/0/1 para
permitir la VLAN 100, GE0/0/2 para permitir la VLAN 200 y GE0/0/3 para permitir VLAN
100, VLAN 200 y VLAN 300.
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type trunk //Establezca el tipo de
enlace de la interfaz en el enlace trunk. El tipo de enlace predeterminado de la
interfaz no es trunk.
[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type trunk
[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 200
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type trunk
[Switch-GigabitEthernet0/0/3] port trunk allow-pass vlan 100 200 300
[Switch-GigabitEthernet0/0/3] quit
NOTA
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 100 200 300
#
interface Vlanif300
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet0/0/1
Notas de configuración
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de red
En Figura 13-3, el Switch conecta al router a través de GE2/0/1, y los departamentos
empresariales 1 y 2 están conectados a Switch a través de GE1/0/1 y GE1/0/2 respectivamente
y acceden a Internet a través de Switch y el router.
Solo los servicios de datos se transmiten por la red, por lo que no es necesario diferenciar los
servicios. Con ancho de banda de red finito, el ancho de banda de cada departamento de la
empresa debe ser limitado. El departamento empresarial 1 requiere el CIR de 8 Mbit/s y el
PIR de 10 Mbit/s, y el departamento empresarial 2 requiere el CIR de 5 Mbit/s y el PIR de 8
Mbit/s.
Red
Router
GE2/0/1 Dirección
de tráfico
GE1/0/1 GE1/0/2
Switch
SwitchA SwitchB
Departamento 1 Departamento 2
Procedimiento
Paso 1 Cree VLAN y configure las interfaces de Switch.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 100 200
# Configure GE1/0/1, GE1/0/2 y GE2/0/1 como trunk interfaces, y agregue GE1/0/1 a VLAN
100, GE1/0/2 a VLAN 200 y GE2/0/1 a VLAN 100 y VLAN 200.
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk //Establezca el tipo de
enlace de la interfaz en el enlace trunk. El tipo de enlace predeterminado de la
interfaz no es trunk.
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 100
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type trunk
[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 200
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 2/0/1
[Switch-GigabitEthernet2/0/1] port link-type trunk
[Switch-GigabitEthernet2/0/1] port trunk allow-pass vlan 100 200
[Switch-GigabitEthernet2/0/1] quit
# Cree perfiles de CAR y car1 y car2 en Switch para limitar la tasa de tráfico de los
departamentos empresariales 1 y 2.
[Switch] qos car car1 cir 8192 pir 10240 //Configure el CIR a 8 Mbit/s y PIR a
10 Mbit/s en el perfil de CAR car1.
[Switch] qos car car2 cir 5120 pir 8192 //Configure el CIR a 5 Mbit/s y PIR a 8
Mbit/s en el perfil de CAR car2.
# Envíe tráfico a tasa de 6000 kbit/s, 9000 kbit/s y 11 000 kbit/s a GE1/0/1 y GE1/0/2, y
ejecute el comando de display qos car statistics para ver las estadísticas de tráfico. Cuando
los paquetes se envían a GE1/0/1 y GE1/0/2 a una tasa de 6000 kbit/s, todos los paquetes se
envían. Cuando los paquetes se envían a GE1/0/1 y GE1/0/2 a una tasa de 9000 kbit/s, todos
los paquetes en GE1/0/1 se envían y algunos paquetes en GE1/0/2 se descartan. Cuando los
paquetes se envían a GE1/0/1 y GE1/0/2 a una tasa de 11 000 kbit/s, algunos paquetes en
GE1/0/1 y GE1/0/2 se descartan.
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 100 200
#
qos car car1 cir 8192 pir 10240 cbs 1024000 pbs 1280000
qos car car2 cir 5120 pir 8192 cbs 640000 pbs 1024000
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 100
qos car inbound car1
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 200
qos car inbound car2
#
interface GigabitEthernet2/0/1
port link-type trunk
port trunk allow-pass vlan 100 200
#
return
Descripción general
En una política de tráfico, las reglas de la Lista de control de acceso (ACL) se pueden usar
para clasificar paquetes. Las ACL se clasifican como ACL básica, avanzada y de Capa 2. Una
ACL básica define reglas basadas en la dirección IP de origen, el indicador de fragmento y el
rango de tiempo. La vigilancia del tráfico se configura en el comportamiento del tráfico para
limitar la tasa de paquetes coincidentes.
Una Lista de control de acceso (ACL) consiste en una o más reglas. Las reglas determinan si
los paquetes coinciden con las condiciones, como las direcciones de origen, las direcciones de
destino y los números de puerto de los paquetes.
Notas de configuración
S2350EI V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S3300HI V200R001C00
S5300HI V200R001(C00&C01),
V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de red
En Figura 13-4, la empresa tiene dos departamentos, que pertenecen a VLAN 10 y VLAN
20, respectivamente. Algunos servidores se despliegan en la VLAN 10 y se requiere un ancho
de banda alto; los empleados solo necesitan acceder a Internet en la VLAN 20 y no existen
grandes requisitos para el ancho de banda. La compañía compra una línea arrendada de 10
Mbit/s. La compañía requiere que el ancho de banda para el acceso a Internet en la VLAN 20
esté entre 2 Mbit/s y 4 Mbit/s, y el tráfico que exceda 4 Mbit/s se descarte.
Figura 13-4 Configurar una política de tráfico para implementar la limitación de tasa
VLAN 10
192.168.1.0/24 GE1/0/1
10.1.20.1/24
GE1/0/3 GE1/0/2
Red
GE0/0/1
SwitchA Switch Router
VLAN 20 GE1/0/2
192.168.2.0/24
GigabitEthernet VLAN 20 - -
1/0/2
GigabitEthernet VLAN 10 y - -
1/0/3 VLAN 20
Procedimiento
Paso 1 Cree VLAN y configure interfaces y un protocolo de enrutamiento.
# Configure el switch.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 20 30 //Cree VLAN 10, VLAN 20 y VLAN 30.
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk //Establezca el tipo de
enlace de la interfaz en el enlace trunk.
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 20 //Agregue la
interfaz a VLAN 10 y VLAN 20.
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access //Establezca el tipo de
enlace de la interfaz a acceso.
[Switch-GigabitEthernet1/0/2] port default vlan 30 //Agregue la interfaz a la
VLAN 30.
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface vlanif 10 //Cree una interfaz VLANIF.
[Switch-Vlanif10] ip address 192.168.1.1 255.255.255.0 //Configure una dirección
IP para la interfaz VLANIF. La dirección IP es la dirección de puerta de enlace
del segmento de red 192.168.1.0/24.
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 192.168.2.1 255.255.255.0
[Switch-Vlanif20] quit
[Switch] interface vlanif 30 //Crea una interfaz VLANIF.
[Switch-Vlanif30] ip address 10.1.20.2 255.255.255.0 //Configure una dirección
IP a la interfaz VLANIF para conectarse con el router.
[Switch-Vlanif30] quit
[Switch] ip route-static 0.0.0.0 0 10.1.20.1 //Configure una ruta estática
apuntanda a la red externa para implementar el interfuncionamiento.
# Configure SwitchA.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 10 20 //Cree VLAN 10 y VLAN 20.
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type access //Establezca el tipo de
enlace de la interfaz a acceso.
[SwitchA-GigabitEthernet1/0/1] port default vlan 10 //Agregue la interfaz a la
VLAN 10.
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type access
[SwitchA-GigabitEthernet1/0/2] port default vlan 20
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface gigabitethernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] port link-type trunk //Establezca el tipo de
enlace de la interfaz en el enlace trunk.
[SwitchA-GigabitEthernet1/0/3] port trunk allow-pass vlan 10 20 //Agregue la
interfaz a VLAN 10 y VLAN 20.
[SwitchA-GigabitEthernet1/0/3] quit
# Configure el router.
# Configure una ACL en el Switch para que coincida con el tráfico del segmento de red
192.168.2.0/24.
Paso 5 Configure una política de tráfico y aplique la política de tráfico a una interfaz.
# Cree una política de tráfico en el Switch, vincule el comportamiento del tráfico y el
clasificador de tráfico a la política de tráfico, y aplique la política de tráfico a la dirección
entrante de GE1/0/1 conectado a SwitchA.
[Switch] traffic policy p1
[Switch-trafficpolicy-p1] classifier c1 behavior b1
[Switch-trafficpolicy-p1] quit
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] traffic-policy p1 inbound
[Switch-GigabitEthernet1/0/1] quit
# Compruebe la política de tráfico que se aplica a la interfaz. Cuando la tasa de paquetes del
segmento de red 192.168.2.0/24 es mayor que 4 Mbit/s, se produce la pérdida de paquetes. La
tasa de paquetes del segmento de red está limitada dentro de 4 Mbit/s.
[Switch] display traffic policy statistics interface gigabitethernet 1/0/1 inbound
Interface: GigabitEthernet1/0/1
Traffic policy inbound: p1
Rule number: 3
Current status: success
Statistics interval: 300
---------------------------------------------------------------------
Board : 1
---------------------------------------------------------------------
Matched | Packets: 82,455
| Bytes: -
| Rate(pps): 0
| Rate(bps): -
---------------------------------------------------------------------
Passed | Packets: 53,385
| Bytes: -
| Rate(pps): 0
| Rate(bps): -
---------------------------------------------------------------------
Dropped | Packets: 29,070
| Bytes: -
| Rate(pps): 0
| Rate(bps): -
---------------------------------------------------------------------
Filter | Packets: 0
| Bytes: -
---------------------------------------------------------------------
Car | Packets: 29,070
| Bytes: -
---------------------------------------------------------------------
----Fin
Archivos de configuración
l Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10 20 30
#
acl number 3000
rule 5 permit ip source 192.168.2.0 0.0.0.255
#
traffic classifier c1 operator and precedence 5
if-match acl 3000
#
traffic behavior b1
permit
car cir 2048 pir 4096 cbs 256000 pbs 512000 mode color-blind green pass
yellow pass red discard
statistic enable
#
traffic policy p1 match-order config
classifier c1 behavior b1
#
interface Vlanif10
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif20
ip address 192.168.2.1 255.255.255.0
#
interface Vlanif30
ip address 10.1.20.2 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
traffic-policy p1 inbound
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 30
#
ip route-static 0.0.0.0 0.0.0.0 10.1.20.1
#
return
Notas de configuración
S2350EI V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S3300HI V200R001C00
S5300HI V200R001(C00&C01),
V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de red
En Figura 13-5, los usuarios empresariales conectan a dispositivos de red externos a través de
GE2/0/1 del switch.
Durante las horas de trabajo de 8:30 a 18:00, la tasa de acceso a Internet de los empleados
debe limitarse a 4 Mbit/s.
IP: 192.168.1.10/24
HostA
IP: 192.168.1.12/24
Procedimiento
Paso 1 Cree una VLAN y configure las interfaces.
# Cree VLAN 10 en el Switch.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan 10
[Switch-vlan10] quit
NOTA
Configure la interfaz del LSW conectado al Switch como trunk interfaz y agréguela a la VLAN 10.
NOTA
Paso 2 Cree un rango de tiempo periódico working_time que defina horas de trabajo de 8:30 a
18:00.
[Switch] time-range working_time 08:30 to 18:00 working-day //Defina las horas
de trabajo.
Paso 3 Configure ACL 2001 y defina tres reglas para limitar el ancho de banda de los paquetes de
192.168.1.10, 192.168.1.11 y 192.168.1.12 durante las horas de trabajo.
[Switch] acl number 2001
[Switch-acl-basic-2001] rule permit source 192.168.1.10 0 time-range
working_time //Limite la tasa de paquetes de 192.168.1.10 en las horas de
trabajo.
[Switch-acl-basic-2001] rule permit source 192.168.1.11 0 time-range
working_time //Limite la tasa de paquetes de 192.168.1.11 en las horas de
trabajo.
[Switch-acl-basic-2001] rule permit source 192.168.1.12 0 time-range
working_time //Limite la tasa de paquetes de 192.168.1.12 en las horas de
trabajo.
[Switch-acl-basic-2001] quit
Paso 6 Configure una política de tráfico y aplique la política de tráfico a GE1/0/1 en la dirección de
entrada.
[Switch] traffic policy p1
[Switch-trafficpolicy-p1] classifier c1 behavior b1
[Switch-trafficpolicy-p1] quit
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] traffic-policy p1 inbound
[Switch-GigabitEthernet1/0/1] quit
# Compruebe la política de tráfico que se aplica a la interfaz. Durante las horas de trabajo,
cuando la tasa de paquetes de cada segmento de red en GE1/0/1 en la dirección de entrada es
mayor que 4 Mbit/s, ocurre la pérdida de paquetes. La tasa de paquetes de cada segmento de
red está limitada dentro de 4 Mbit/s.
[Switch] display traffic policy statistics interface gigabitethernet 1/0/1 inbound
Interface: GigabitEthernet1/0/1
Traffic policy inbound: p1
Rule number: 3
Current status: success
Statistics interval: 300
---------------------------------------------------------------------
Board : 1
---------------------------------------------------------------------
Matched | Packets: 38,761
| Bytes: -
| Rate(pps): 0
| Rate(bps): -
---------------------------------------------------------------------
Passed | Packets: 25,534
| Bytes: -
| Rate(pps): 0
| Rate(bps): -
---------------------------------------------------------------------
Dropped | Packets: 13,227
| Bytes: -
| Rate(pps): 0
| Rate(bps): -
---------------------------------------------------------------------
Filter | Packets: 0
| Bytes: -
---------------------------------------------------------------------
Car | Packets: 13,227
| Bytes: -
---------------------------------------------------------------------
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10
#
time-range working_time 08:30 to 18:00 working-day
#
acl number 2001
rule 5 permit source 192.168.1.10 0 time-range working_time
rule 10 permit source 192.168.1.11 0 time-range working_time
Descripción general
Además de una ACL, un clasificador de tráfico en MQC define muchas reglas de coincidencia
de Capa 2 y Capa 3, como la ID de VLAN, la prioridad 802.1p, la prioridad DSCP, la
dirección MAC de origen y la dirección MAC de destino. Puede configurar diferentes
clasificadores de tráfico en el dispositivo para identificar paquetes y configurar acciones para
ellos, como la limitación de tasa, estadísticas o duplicación.
En este ejemplo, los clasificadores de tráfico se configuran en base a ID de VLAN y se
configuran diferentes valores de CIR para que el dispositivo asigna diferentes anchos de
banda a los flujos de servicio.
Notas de configuración
S2350EI V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S3300HI V200R001C00
S5300HI V200R001(C00&C01),
V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de red
En Figura 13-6, el Switch conecta al router mediante GE 2/0/1 , y la empresa se conecta a
Internet a través de Switch y router.
Los servicios de voz, video y datos se transmiten en VLAN 120, VLAN 110 y VLAN 100,
respectivamente.
La vigilancia del tráfico debe configurarse en Switcha los paquetes policiales de diferentes
servicios para que el tráfico esté limitado dentro de un rango adecuado, garantizando el ancho
de banda de cada servicio.
Los servicios de voz, video y datos tienen requisitos de QoS en orden de prioridad
descendente. El Switch necesita de volver a marcar las prioridades de DSCP en diferentes
paquetes de servicio para que el router de vínculo descendente procese en función de las
prioridades, asegurando la QoS de diferentes servicios.
Tabla 13-7 Garantía QoS para el tráfico del enlace ascendente en Switch
Tipo de tráfico CIR (kbit/s) PIR (kbit/s) Prioridad DSCP
Teléfono
VLAN 120
PC GE1/0/1 GE2/0/1
Red
VLAN 100 LSW Switch Router
TV
Red de campus
empresarial Dirección de tráfico
VLAN 110
Procedimiento
Paso 1 Cree VLAN y configure interfaces.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 100 110 120
Configure GE1/0/1 y GE2/0/1 como trunk interfaces y agréguelos a la VLAN 100, VLAN
110, y VLAN 120.
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 110 120
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 2/0/1
[Switch-GigabitEthernet2/0/1] port link-type trunk
[Switch-GigabitEthernet2/0/1] port trunk allow-pass vlan 100 110 120
[Switch-GigabitEthernet2/0/1] quit
Paso 4 Configure una política de tráfico y aplique la política de tráfico a una interfaz.
# Cree una política de tráfico p1 en Switch, vincule los clasificadores de tráfico y los
comportamientos de tráfico a la política de tráfico, y aplique el tráfico política a GE1/0/1 en la
dirección de entrada para proteger los paquetes de la empresa y volver a marcar las
prioridades del paquete.
[Switch] traffic policy p1
[Switch-trafficpolicy-p1] classifier c1 behavior b1
Classifier: c3
Precedence: 15
Operator: AND
Rule(s) : if-match vlan-id 100
Classifier: c1
Precedence: 5
Operator: AND
Rule(s) : if-match vlan-id 120
Interface: GigabitEthernet1/0/1
Traffic policy inbound: p1
Rule number: 3
Current status: success
Statistics interval: 300
---------------------------------------------------------------------
Board : 1
---------------------------------------------------------------------
Matched | Packets: 49,491
| Bytes: -
| Rate(pps): 0
| Rate(bps): -
---------------------------------------------------------------------
Passed | Packets: 40,971
| Bytes: -
| Rate(pps): 0
| Rate(bps): -
---------------------------------------------------------------------
Dropped | Packets: 8,520
| Bytes: -
| Rate(pps): 0
| Rate(bps): -
---------------------------------------------------------------------
Filter | Packets: 0
| Bytes: -
---------------------------------------------------------------------
Car | Packets: 8,520
| Bytes: -
---------------------------------------------------------------------
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 100 110 120
#
traffic classifier c1 operator and precedence 5
if-match vlan-id 120
traffic classifier c2 operator and precedence 10
if-match vlan-id 110
traffic classifier c3 operator and precedence 15
if-match vlan-id 100
#
traffic behavior b1
permit
car cir 2000 pir 10000 cbs 250000 pbs 1250000 mode color-blind green pass yellow
pass red discard
remark dscp ef
statistic enable
traffic behavior b2
permit
car cir 4000 pir 10000 cbs 500000 pbs 1250000 mode color-blind green pass yellow
pass red discard
remark dscp af33
statistic enable
traffic behavior b3
permit
car cir 4000 pir 10000 cbs 500000 pbs 1250000 mode color-blind green pass yellow
pass red discard
remark dscp af13
statistic enable
#
traffic policy p1 match-order config
classifier c1 behavior b1
classifier c2 behavior b2
classifier c3 behavior b3
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 100 110 120
traffic-policy p1 inbound
#
interface GigabitEthernet2/0/1
port link-type trunk
port trunk allow-pass vlan 100 110 120
#
return
Descripción general
El modelado del tráfico ajusta la tasa del tráfico saliente para garantizar una transmisión
pareja. El modelado del tráfico utiliza el búfer y token bucket para controlar el tráfico.
Cuando los paquetes se envían a una tasa alta, el modelado del tráfico guarda en caché los
paquetes en el búfer y luego envía uniformemente estos paquetes almacenados en caché según
token bucket.
Notas de configuración
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de red
En Figura 13-7, el Switch está conectado al router a través de GE2/0/1. Las prioridades
802.1p de los servicios de voz, video y datos son 6, 5 y 2, respectivamente, y estos servicios
pueden llegar a los usuarios residenciales a través del router y Switch. La tasa de transmisión
del tráfico desde la red del campus empresarial es superior que la tasa de transmisión del
tráfico del router; por lo tanto, puede haber trepidación en GE2/0/1. Para evitar la trepidación
y garantizar el ancho de banda de los servicios, asegúrese de que:
Teléfono
802.1p=6
PC GE1/0/1 GE2/0/1
Red
TV
Red de campus
empresarial Dirección del tráfico
802.1p=5
Procedimiento
Paso 1 Cree una VLAN y configure las interfaces.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10
NOTA
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10
#
diffserv domain ds1
8021p-inbound 6 phb cs7 green
#
interface Vlanif10
ip address 10.10.10.2 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10
trust upstream ds1
#
interface GigabitEthernet2/0/1
port link-type trunk
port trunk allow-pass vlan 10
qos lr cir 10000 cbs 1250000 outbound
qos queue 2 shaping cir 2000 pir 3000
qos queue 5 shaping cir 5000 pir 8000
qos queue 7 shaping cir 3000 pir 5000
#
return
Descripción general
El modelado del tráfico ajusta la tasa del tráfico saliente para garantizar una transmisión
pareja. El modelado del tráfico utiliza el búfer y token bucket para controlar el tráfico.
Cuando los paquetes se envían a una tasa alta, el modelado del tráfico guarda en caché los
paquetes en el búfer y luego envía uniformemente estos paquetes almacenados en caché según
token bucket.
Notas de configuración
S2350EI V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S3300HI V200R001C00
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de red
En Figura 13-8, la Switch está conectada al router a través de GE0/0/2. Las prioridades
802.1p de los servicios de voz, video y datos son 6, 5 y 2, respectivamente, y estos servicios
pueden llegar a los usuarios residenciales a través del router y Switch. La tasa de transmisión
del tráfico desde la red del campus empresarial es superior que la tasa de transmisión del
tráfico del router; por lo tanto, puede haber trepidación en GE0/0/2. Para evitar la trepidación
y garantizar el ancho de banda de los servicios, asegúrese de que:
Teléfono
8021p=6
PC GE0/0/1 GE0/0/2
Red
TV
Red de campus
empresarial Dirección del
8021p=5 tráfico
Procedimiento
Paso 1 Cree una VLAN y configure las interfaces.
NOTA
Paso 2 Configure una interfaz para confiar en las prioridades de los paquetes.
# Configure una interfaz para confiar en las prioridades 802.1p de los paquetes.
# Configure el modelado del tráfico en una interfaz de Switch para limitar el CIR de la
interfaz a 10 000 kbit/s.
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] qos lr outbound cir 10000 //Configure la
limitación de tasa basada en la interfaz en la dirección de salida para limitar
el ancho de banda total.
# Configure el modelado del tráfico en las colas de la interfaz en Switch para establecer los
valores de CIR de voz, video y servicios de datos a 3000 kbit/s, 5000 kbit/s y 2000 kbit/s
respectivamente y sus valores PIR a 5000 kbit/s, 8000 kbit/s y 3000 kbit/s respectivamente.
[Switch-GigabitEthernet0/0/2] qos queue 6 shaping cir 3000 pir 5000 //Establezca
el CIR de paquetes de voz en la cola 6 a 3000 kbit/s.
[Switch-GigabitEthernet0/0/2] qos queue 5 shaping cir 5000 pir 8000
[Switch-GigabitEthernet0/0/2] qos queue 2 shaping cir 2000 pir 3000
[Switch-GigabitEthernet0/0/2] quit
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10
#
interface Vlanif10
ip address 10.10.10.2 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10
trust 8021p
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10
qos lr outbound cir 10000 cbs 1250000
qos queue 2 shaping cir 2000 pir 3000
qos queue 5 shaping cir 5000 pir 8000
qos queue 6 shaping cir 3000 pir 5000
#
return
Descripción general
La gestión de la congestión implementa las colas y la planificación cuando se envían flujos de
paquetes. El dispositivo proporciona las siguientes tecnologías de gestión de congestión:
Colas prioritarias (PQ), Round robin de déficit ponderado (WDRR), Round robin redondeado
(WRR), PQ+WDRR y PQ+WRR. El dispositivo tiene ocho colas en cada interfaz en la
dirección de salida, cual se identifican mediante los números de índice de 0 a 7. Basado en los
mapeos entre las prioridades locales y las colas, el dispositivo envía los paquetes clasificados
a las colas y luego planifica los paquetes mediante la planificación en cola mecanismos.
Este ejemplo usa PQ+WRR para implementar la gestión de la congestión. En la planificación
de WRR, el dispositivo realiza la planificación en una votación de acuerdo con la ponderación
de cada cola. El número de veces que los paquetes están planificados en cada cola es
directamente proporcional a la ponderación de la cola. Una ponderación mayor indica más
tiempos de planificación de paquetes.
Notas de configuración
S2350EI V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de red
En Figura 13-9, el Switch está conectado al router a través de GE0/0/3. Las prioridades
802.1p de los servicios de voz, video y datos son 7, 5 y 2, respectivamente, y estos servicios
pueden llegar a los usuarios residenciales a través del router y Switch. Para reducir el impacto
de la congestión de la red y asegurar el ancho de banda para los servicios de alta prioridad y
sensibles a la demora, establezca los parámetros de acuerdo con la siguiente tabla.
Voz CS7 0
Video EF 20
Datos AF2 10
Red
Router
GE0/0/3
GE0/0/1 GE0/0/2
Switch
PC TV
TV Teléfono PC Teléfono
Procedimiento
Paso 1 Configure una VLAN para cada interfaz para que los dispositivos puedan comunicarse entre
sí en la capa de enlace.
<Quidway> system-view
[Quidway] sysname Switch
Paso 2 Configure una interfaz para confiar en las prioridades 802.1p de los paquetes.
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] trust 8021p //Configure la interfaz para confiar
en las prioridades de 802.1p. Es decir, los paquetes entran en las colas
diferentes de acuerdo con el mapeo predeterminads entre las prioridades 802.1p y
las prioridades locales.
[Switch-GigabitEthernet0/0/3] quit
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10 20 30
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30
qos schedule-profile p1
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30
qos schedule-profile p1
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20 30
trust 8021p
#
qos schedule-profile p1
qos queue 2 wrr weight 10
qos queue 5 wrr weight 20
qos queue 7 wrr weight 0
#
return
Descripción general
La gestión de la congestión implementa las colas y la planificación cuando se envían flujos de
paquetes. El dispositivo proporciona las siguientes tecnologías de gestión de congestión:
Priority Queuing (PQ), Weighted Deficit Round Robin (WDRR), Weighted Round Robin
(WRR), PQ+WDRR y PQ+WRR.. El dispositivo tiene ocho colas en cada interfaz en la
dirección de salida, cual se identifican mediante los números de índice de 0 a 7. Basado en los
mapeos entre las prioridades locales y las colas, el dispositivo envía los paquetes clasificados
a las colas y luego planifica los paquetes mediante la planificación en cola mecanismos.
La evitación de la congestión es un mecanismo de control de flujo. Un sistema configurado
con evitación de la congestión monitorea el uso de los recursos de la red, como las colas y los
búferes de memoria. Cuando la congestión ocurre o se agrava, el sistema descarta los
paquetes. La evitación de la congestión utiliza políticas de caída de cola y caída aleatoria para
descartar paquetes. Las políticas de caída aleatoria incluyen Simple Random Early Detection
(SRED) y Weighted Random Early Detection (WRED).
Este ejemplo utiliza la planificación de WRR para implementar la gestión de congestión. En
la planificación de WRR, el dispositivo realiza la planificación en una votación de acuerdo
con la ponderación de cada cola. El número de veces que se planifican los paquetes en cada
cola es directamente proporcional a la ponderación de esta cola. Una ponderación mayor
indica más veces que los paquetes están planificados. SRED está configurado para
implementar la prevención de la congestión. El dispositivo descarta el exceso de tráfico según
la probabilidad de caída máxima.
Notas de configuración
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de red
En Figura 13-10, el Switch está conectado al router a través de GE0/0/3. Las prioridades
802.1p de los servicios de voz, video y datos son 7, 5 y 2, respectivamente, y estos servicios
pueden llegar a los usuarios residenciales a través del router y Switch. Para reducir el impacto
de la congestión de la red y asegurar el ancho de banda para los servicios de alta prioridad y
sensibles a la demora, establezca los parámetros de acuerdo con la siguiente tabla.
Voz CS7 0
Video EF 20
Datos AF2 10
Red
Router
GE0/0/3
GE0/0/1 GE0/0/2
Switch
PC TV
TV Teléfono PC Teléfono
Procedimiento
Paso 1 Configure una VLAN para cada interfaz para que los dispositivos puedan comunicarse entre
sí en la capa de enlace.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 20 30
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type trunk
[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20 30
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type trunk
[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 10 20 30
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type trunk
Paso 2 Configure una interfaz para confiar en las prioridades 802.1p de los paquetes.
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] trust 8021p //Configure la interfaz para confiar
en las prioridades 802.1p. Es decir, los paquetes entran en las colas diferentes
de acuerdo con el mapeo predeterminado entre las prioridades 802.1p y las
prioridades locales.
[Switch-GigabitEthernet0/0/3] quit
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10 20 30
#
qos sred queue 2 red 500 discard-probability 1 yellow 1000 discard-probability 4
qos sred queue 5 red 500 discard-probability 1 yellow 1000 discard-probability 4
qos sred queue 7 red 500 discard-probability 1 yellow 1000 discard-probability 4
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30
qos queue 2 wrr weight 10
qos queue 5 wrr weight 20
qos queue 7 wrr weight 0
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30
qos queue 2 wrr weight 10
qos queue 5 wrr weight 20
qos queue 7 wrr weight 0
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20 30
trust 8021p
#
return
Descripción general
La gestión de la congestión implementa las colas y la planificación cuando se envían flujos de
paquetes. En función de las políticas de colas y planificación, el dispositivo proporciona las
siguientes tecnologías de gestión de la congestión: Priority Queuing (PQ), Weighted Deficit
Round Robin (WDRR), Weighted Round Robin (WRR), PQ+WDRR y PQ+WRR. El
dispositivo tiene ocho colas en cada interfaz en la dirección de salida, cual se identifican
mediante los números de índice de 0 a 7. Basado en los mapeos entre las prioridades locales y
las colas, el dispositivo envía los paquetes clasificados a las colas y luego planifica los
paquetes mediante los mecanismos de planificación de cola.
La evitación de la congestión es un mecanismo de control de flujo. Un sistema configurado
con evitación de la congestión monitorea el uso de los recursos de la red, como las colas y los
búferes de memoria. Cuando la congestión ocurre o se agrava, el sistema descarta los
paquetes. La evitación de la congestión utiliza políticas de caída de cola y caída aleatoria para
descartar paquetes. Las políticas de caída aleatoria incluyen la Simple Random Early
Detection (SRED) y Weighted Random Early Detection (WRED).
Este ejemplo utiliza la planificación PQ+WDRR para implementar la gestión de la
congestión. En la planificación de WRR, el número de veces que se planifican los paquetes en
cada cola es directamente proporcional a la ponderación de esta cola. Una ponderación mayor
indica más veces que los paquetes están planificados. WRR planifica paquetes basados en la
cantidad de paquetes. Es decir, es más probable que los paquetes de gran tamaño se planifican
y obtengan más ancho de banda. WDRR planifica paquetes teniendo en cuenta la longitud del
paquete, asegurando que los paquetes se planifican con la misma probabilidad. WRED está
Notas de configuración
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de red
En Figura 13-11, Switch está conectado al router a través de GE2/0/1. Las prioridades 802.1p
de los servicios de voz, video y datos son 6, 5 y 2, respectivamente, y estos servicios pueden
llegar a los usuarios residenciales a través del router y Switch. En el Switch, la tasa de
GE2/0/1 (interfaz de entrada) es superior que las tasas de GE1/0/1 y GE1/0/2 (interfaces de
salida), por lo que la congestión puede ocurrir en las dos interfaces de salida.
Para reducir el impacto de la congestión de la red y asegurar el ancho de banda para los
servicios de alta prioridad y sensibles a la demora, establezca los parámetros de acuerdo con
Tabla 13-16 y Tabla 13-17.
Video Amarillo 60 80 20
Datos Rojo 40 60 40
Voz EF 0
Datos AF1 50
Internet
Router
GE2/0/1
GE1/0/1 GE1/0/2
Switch
PC TV
TV Teléfono PC Teléfono
Procedimiento
Paso 1 Configure una VLAN para cada interfaz para que los dispositivos puedan comunicarse entre
sí en la capa de enlace.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 2 5 6
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 2 5 6
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type trunk
[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 2 5 6
[Switch-GigabitEthernet1/0/2] quit
----Fin
Archivos de configuración
l Archivo de configuración de Switch (switch modular)
#
sysname Switch
#
vlan batch 2 5 to 6
#
diffserv domain ds1
8021p-inbound 2 phb af1 red
8021p-inbound 5 phb af3 yellow
8021p-inbound 6 phb ef green
#
drop-profile wred1
color green low-limit 80 high-limit 100 discard-percentage 10
color yellow low-limit 60 high-limit 80 discard-percentage 20
color red low-limit 40 high-limit 60 discard-percentage 40
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 2 5 to 6
qos wred wred1
qos pq 5 to 7 drr 0 to 4
qos queue 1 drr weight 50
qos queue 3 drr weight 100
qos queue 1 wred wred1
qos queue 3 wred wred1
qos queue 5 wred wred1
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 2 5 to 6
qos wred wred1
qos pq 5 to 7 drr 0 to 4
qos queue 1 drr weight 50
qos queue 3 drr weight 100
qos queue 1 wred wred1
qos queue 3 wred wred1
qos queue 5 wred wred1
#
interface GigabitEthernet2/0/1
port link-type trunk
port trunk allow-pass vlan 2 5 to 6
trust upstream ds1
trust 8021p inner
#
return
Cuando los paquetes de un tipo se consideran no confiables, MQC se puede usar para
diferenciar los paquetes de otros tipos de paquetes y descartarlos. Cuando los paquetes de un
tipo se consideran confiables, MQC se puede usar para diferenciar los paquetes de otros tipos
de paquetes y permitir que pasen.
En comparación con la lista negra, el filtrado de paquetes basado en MQC clasifica los
paquetes de una manera más precisa y es más flexible de deslegar.
Notas de configuración
S2350EI V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S3300HI V200R001C00
S5300HI V200R001(C00&C01),
V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de red
En Figura 13-12, la empresa tiene dos departamentos, que pertenecen a VLAN 10 y VLAN
20, respectivamente. Los servidores se implementan en la VLAN 10 para proporcionar
servicios a usuarios internos y externos, y los servicios de oficina de los empleados se
transmiten en la VLAN 20. La compañía requiere que los empleados de la VLAN 20 solo
accedan a servidores en la VLAN 10 durante el horario de trabajo (8:00 a 18:00).
Figura 13-12 Evitar que los empleados accedan a Internet en el momento especificado
RouterA
10.1.20.1/24
VLAN 10
192.168.1.0/24 GE1/0/1 GE1/0/2
GE0/0/3 Red
GE1/0/1
VLAN 20 SwitchA Switch GE1/0/3
192.168.2.0/24 GE1/0/2
RouterB
10.1.30.1/24
Procedimiento
Paso 1 Cree VLAN y configure interfaces.
# Configure el switch.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 20 30 40 //Cree VLAN 10 a VLAN 40.
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk //Establezca el tipo de
enlace de la interfaz a trunk.
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 20 //Agregue la
interfaz a VLAN 10 y VLAN 20.
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access //Establezca el tipo de
enlace de la interfaz a acceso.
[Switch-GigabitEthernet1/0/2] port default vlan 30 //Agregue la interfaz a la
VLAN 30.
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] port link-type access
[Switch-GigabitEthernet1/0/3] port default vlan 40
[Switch-GigabitEthernet1/0/3] quit
[Switch] interface vlanif 10 //Cree una interfaz VLANIF.
[Switch-Vlanif10] ip address 192.168.1.1 255.255.255.0 //Configure una dirección
IP para la interfaz VLANIF. La dirección IP es la dirección de gateway del
segmento de red 192.168.1.0/24.
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 192.168.2.1 255.255.255.0
[Switch-Vlanif20] quit
[Switch] interface vlanif 30 //Cree una interfaz VLANIF.
[Switch-Vlanif30] ip address 10.1.20.2 255.255.255.0 //Configure una dirección
IP a la interfaz VLANIF para conectarse con RouterA.
[Switch-Vlanif30] quit
[Switch] interface vlanif 40
[Switch-Vlanif40] ip address 10.1.30.2 255.255.255.0
[Switch-Vlanif40] quit
[Switch] ip route-static 0.0.0.0 0 10.1.20.1 //Configure una ruta estática
apuntando a la red externa para implementar el interfuncionamiento y configure el
balanceo de carga.
[Switch] ip route-static 0.0.0.0 0 10.1.30.1
# Configure SwitchA.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 10 20 //Cree VLAN 10 y VLAN 20.
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type access //Establezca el tipo de
enlace de la interfaz a acceso.
[SwitchA-GigabitEthernet1/0/1] port default vlan 10 //Agregue la interfaz a la
VLAN 10.
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type access
[SwitchA-GigabitEthernet1/0/2] port default vlan 20
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface gigabitethernet 1/0/3
# Configure el router.
Configure la dirección IP de 10.1.20.1/24 para la interfaz del RouterA conectada al switch.
Configure la dirección IP de 10.1.30.1/24 para la interfaz del RouterB conectada al switch.
Paso 2 Configure un rango de tiempo.
# Configure un rango de tiempo de 8:00-18:00 de lunes a viernes en Switch.
[Switch] time-range worktime 8:00 to 18:00 working-day
Paso 6 Configure una política de tráfico y aplique la política de tráfico a una interfaz.
# Cree una política de tráfico en Switch, vincule el comportamiento del tráfico y el
clasificador de tráfico a la política de tráfico, y aplique la política de tráfico a la dirección
entrante de GE1/0/1 conectado a SwitchA.
[Switch] traffic policy p1
[Switch-trafficpolicy-p1] classifier c1 behavior b1
[Switch-trafficpolicy-p1] quit
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] traffic-policy p1 inbound
[Switch-GigabitEthernet1/0/1] quit
NOTA
Si la hora del dispositivo está dentro del rango de tiempo definido, el rango de tiempo en la regla de
ACL se muestra como Active; de lo contrario, el rango de tiempo en la regla de ACL se muestra como
Inactive.
----Fin
Archivos de configuración
l Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10 20 30 40
#
time-range worktime 08:00 to 18:00 working-day
#
acl number 3000
rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0
0.0.0.255 time-range worktime
rule 10 deny ip source 192.168.2.0 0.0.0.255 time-range worktime
#
traffic classifier c1 operator and precedence 5
if-match acl 3000
#
traffic behavior b1
permit
#
traffic policy p1 match-order config
classifier c1 behavior b1
#
interface Vlanif10
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif20
ip address 192.168.2.1 255.255.255.0
#
interface Vlanif30
ip address 10.1.20.2 255.255.255.0
#
interface Vlanif40
ip address 10.1.30.2 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
traffic-policy p1 inbound
#
interface GigabitEthernet1/0/2
Notas de configuración
S2350EI V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S3300HI V200R001C00
S5300HI V200R001(C00&C01),
V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de red
En Figura 13-13, el PC no puede acceder al servidor. El dispositivo donde pasan los flujos de
datos debe configurarse para recopilar estadísticas sobre los paquetes de ping para que se
pueda ubicar el punto de fallo.
Figura 13-13 Configurar una política de tráfico para recopilar estadísticas sobre paquetes
ping
GE1/0/1 GE1/0/2
VLAN 10 VLAN 10
Procedimiento
Paso 1 Cree VLAN y configure interfaces.
# Configurar elSwitch.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan 10 //Cree VLAN 10.
[Switch-vlan10] quit
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access //Establezca el tipo de
enlace de la interfaz a acceso.
[Switch-GigabitEthernet1/0/1] port default vlan 10 //Agregue la interfaz a la
VLAN 10.
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port default vlan 10
[Switch-GigabitEthernet1/0/2] quit
# Configure la dirección de gateway del PC 10.1.1.2/24 para la interfaz del router conectado a
Switch, y configure la dirección IP 10.1.2.1/24 para la interfaz del router conectado al
servidor.
Paso 2 Configure ACL.
# Configure las reglas de ACL en Switch para que coincida con los paquetes ICMP
intercambiados entre el PC y el servidor.
[Switch] acl 3001
[Switch-acl-adv-3001] rule permit icmp source 10.1.1.1 0 destination 10.1.2.10
0 //Configure una regla de ACL para permitir los paquetes desde el PC al
servidor.
[Switch-acl-adv-3001] quit
[Switch] acl 3002
[Switch-acl-adv-3002] rule permit icmp source 10.1.2.10 0 destination 10.1.1.1
0 //Configure una regla de ACL para permitir los paquetes desde el servidor al
PC.
[Switch-acl-adv-3002] quit
Paso 5 Configure las políticas de tráfico y aplique las políticas de tráfico a las interfaces.
# Cree las políticas de tráfico p1 y p2 en Switch, enlace los comportamientos de tráfico y los
clasificadores de tráfico a las políticas de tráfico, aplique la política de tráfico p1 a la
dirección de entrada de GE1/0/1 y la dirección saliente de GE1/0/2, y aplique la política de
tráfico p2 a la dirección de salida de GE1/0/1 y la dirección de entrada de GE1/0/2.
[Switch] traffic policy p1
[Switch-trafficpolicy-p1] classifier c1 behavior b1
[Switch-trafficpolicy-p1] quit
[Switch] traffic policy p2
[Switch-trafficpolicy-p2] classifier c2 behavior b2
[Switch-trafficpolicy-p2] quit
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] traffic-policy p1 inbound
[Switch-GigabitEthernet1/0/1] traffic-policy p2 outbound
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] traffic-policy p1 outbound
[Switch-GigabitEthernet1/0/2] traffic-policy p2 inbound
[Switch-GigabitEthernet1/0/2] quit
Policy: p1
Classifier: c1
Operator: AND
Behavior: b1
Permit
Statistic: enable
# Haga ping al servidor desde el PC y compruebe las estadísticas de tráfico en las direcciones
entrantes y salientes deGE1/0/1 y GE1/0/2 en el Switch. Aquí, compruebe las estadísticas de
tráfico en la dirección entrante de GE1/0/1.
[Switch] display traffic policy statistics interface gigabitethernet 1/0/1 inbound
Interface: GigabitEthernet1/0/1
Traffic policy inbound: p1
Rule number: 1
Current status: success
Statistics interval: 300
---------------------------------------------------------------------
Board : 1
---------------------------------------------------------------------
Matched | Packets: 0
| Bytes: 0
| Rate(pps): 0
| Rate(bps): 0
---------------------------------------------------------------------
Passed | Packets: 0
| Bytes: 0
| Rate(pps): 0
| Rate(bps): 0
---------------------------------------------------------------------
Dropped | Packets: 0
| Bytes: 0
| Rate(pps): 0
| Rate(bps): 0
---------------------------------------------------------------------
Filter | Packets: 0
| Bytes: 0
---------------------------------------------------------------------
Car | Packets: 0
| Bytes: 0
---------------------------------------------------------------------
Matched indica el número de paquetes y bytes que coinciden con el clasificador de tráfico, y
Passed indica el número de paquetes reenviados y bytes que coinciden con el clasificador de
tráfico. La siguiente tabla describe las estadísticas de tráfico.
----Fin
Archivos de configuración
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10
#
acl number 3001
rule 5 permit icmp source 10.1.1.1 0 destination 10.1.2.10 0
acl number 3002
rule 5 permit icmp source 10.1.2.10 0 destination 10.1.1.1 0
#
traffic classifier c1 operator and precedence 5
if-match acl 3001
traffic classifier c2 operator and precedence 10
if-match acl 3002
#
traffic behavior b1
permit
statistic enable
traffic behavior b2
permit
statistic enable
#
traffic policy p1 match-order config
classifier c1 behavior b1
traffic policy p2 match-order config
classifier c2 behavior b2
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
traffic-policy p1 inbound
traffic-policy p2 outbound
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 10
traffic-policy p2 inbound
traffic-policy p1 outbound
#
return
Notas de configuración
S2350EI V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S3300HI V200R001C00
S5300HI V200R001(C00&C01),
V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de red
En Figura 13-14, la empresa tiene dos departamentos, que pertenecen a VLAN 10 y VLAN
20, respectivamente. El administrador de la red desea determinar si el host de
192.168.2.200/24 en la VLAN 20 puede acceder al servidor de 192.168.1.100/24 en la VLAN
10.
Figura 13-14 Configurar una política de tráfico para implementar estadísticas de tráfico
VLAN 10
192.168.1.0/24 GE1/0/1 10.1.20.1/24
GE0/0/3 GE1/0/2
Red
GE1/0/1
SwitchA Switch Router
VLAN 20 GE1/0/2
192.168.2.0/24
GigabitEthernet VLAN 20 - -
1/0/2
GigabitEthernet VLAN 10 y - -
1/0/3 VLAN 20
Procedimiento
Paso 1 Cree VLAN y configure interfaces.
# Configure el switch.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 20 30 //Cree VLAN 10, VLAN 20 y VLAN 30.
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk //Establezca el tipo de
enlace de la interfaz a trunk.
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 20 //Agregue la
interfaz a VLAN 10 y VLAN 20.
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access //Establezca el tipo de
enlace de la interfaz a acceso.
[Switch-GigabitEthernet1/0/2] port default vlan 30 //Agregue la interfaz a la
VLAN 30.
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface vlanif 10 //Cree una interfaz VLANIF.
[Switch-Vlanif10] ip address 192.168.1.1 255.255.255.0 //Configure una dirección
IP para la interfaz VLANIF. La dirección IP es la dirección de gateway del
segmento de red 192.168.1.0/24.
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 192.168.2.1 255.255.255.0
[Switch-Vlanif20] quit
[Switch] interface vlanif 30 //Cree una interfaz VLANIF.
[Switch-Vlanif30] ip address 10.1.20.2 255.255.255.0 //Configure una dirección
IP a la interfaz VLANIF para conectarse con el router.
[Switch-Vlanif30] quit
[Switch] ip route-static 0.0.0.0 0 10.1.20.1 //Configure una ruta estática
apuntando a la red externa para implementar el interfuncionamiento.
# Configure SwitchA.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 10 20 //Cree VLAN 10 y VLAN 20.
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type access //Establezca el tipo de
enlace de la interfaz a acceso.
[SwitchA-GigabitEthernet1/0/1] port default vlan 10 //Agregue la interfaz a la
VLAN 10.
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type access
[SwitchA-GigabitEthernet1/0/2] port default vlan 20
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface gigabitethernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] port link-type trunk //Establezca el tipo de
enlace de la interfaz a trunk.
[SwitchA-GigabitEthernet1/0/3] port trunk allow-pass vlan 10 20 //Agregue la
interfaz a VLAN 10 y VLAN 20.
[SwitchA-GigabitEthernet1/0/3] quit
# Configure el router.
# Configure una regla de ACL en la Switchpara hacer coincidir el tráfico con la dirección IP
de origen de 192.168.2.200 y la dirección IP de destino de 192.168.1.100.
[Switch] acl 3000
[Switch-acl-adv-3000] rule permit ip source 192.168.2.200 0.0.0.0 destination
192.168.1.100 0.0.0.0
[Switch-acl-adv-3000] quit
Paso 5 Configure una política de tráfico y aplique la política de tráfico a una interfaz.
# Cree una política de tráfico en Switch, vincule el comportamiento del tráfico y el
clasificador de tráfico a la política de tráfico, y aplique la política de tráfico a la dirección
entrante de GE1/0/1 conectado a SwitchA.
[Switch] traffic policy p1
[Switch-trafficpolicy-p1] classifier c1 behavior b1
[Switch-trafficpolicy-p1] quit
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] traffic-policy p1 inbound
[Switch-GigabitEthernet1/0/1] quit
Interface:
GigabitEthernet1/0/1
Traffic policy inbound: p1
Rule number: 1
Current status:
success
Statistics interval: 300
---------------------------------------------------------------------
Board : 1
---------------------------------------------------------------------
Matched | Packets: 0
| Bytes: 0
| Rate(pps): 0
| Rate(bps): 0
---------------------------------------------------------------------
Passed | Packets: 0
| Bytes: 0
| Rate(pps): 0
| Rate(bps): 0
---------------------------------------------------------------------
Dropped | Packets: 0
| Bytes: 0
| Rate(pps): 0
| Rate(bps): 0
---------------------------------------------------------------------
Filter | Packets: 0
| Bytes: 0
---------------------------------------------------------------------
Car | Packets: 0
| Bytes: 0
---------------------------------------------------------------------
Matched indica el número de paquetes y bytes que coinciden con el clasificador de tráfico, y
Passed indica el número de paquetes reenviados y bytes que coinciden con el clasificador de
tráfico. Si los valores de Matched y Passed no son 0, el host de 192.168.2.200 en la VLAN
20 ha accedido al servidor de 192.168.1.100 en la VLAN 10.
----Fin
Archivos de configuración
l Archivo de configuración deSwitch
#
sysname Switch
#
vlan batch 10 20 30
#
acl number 3000
rule 5 permit ip source 192.168.2.200 0 destination 192.168.1.100 0
#
traffic classifier c1 operator and precedence 5
if-match acl 3000
#
traffic behavior b1
permit
statistic enable
#
traffic policy p1 match-order config
classifier c1 behavior b1
#
interface Vlanif10
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif20
ip address 192.168.2.1 255.255.255.0
#
interface Vlanif30
ip address 10.1.20.2 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
traffic-policy p1 inbound
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 30
#
ip route-static 0.0.0.0 0.0.0.0 10.1.20.1
#
return
Descripción general
Cuando se deben configurar las mismas reglas de clasificación de tráfico y se deben tomar las
mismas medidas para los paquetes que coinciden con las reglas de clasificación de tráfico en
diferentes interfaces o en diferentes VLAN, para guardar los recursos de ACL, configure el
dispositivo para clasificar paquetes según las reglas de ACL, para volver a marcar el ID de
flujo de cada tipo de paquetes, y luego para clasificar paquetes basados en el ID de flujo y
para procesar paquetes que coincidan con el mismo ID de flujo de la misma manera.
Supongamos que M ACL están configuradas en el dispositivo para distinguir los servicios, y
cada ACL contiene N reglas de ACL. Los clasificadores de tráfico clasifican los paquetes
según las reglas de ACL y la política de tráfico que contiene las reglas de ACL se aplica a las
X interfaces. Si la acción de volver a marcar las ID de flujo y las reglas de coincidencia
basadas en las ID de flujo no están configuradas, la aplicación de la política de tráfico ocupa
los M*N*X recursos de ACL. Si se configura la acción de volver a marcar las ID de flujo y las
reglas de coincidencia basadas en ID de flujo, la aplicación de la política de tráfico ocupa solo
M*(N+X) recursos de ACL.
En este ejemplo, el dispositivo está configurado para volver a marcar las ID de flujo de
paquetes que coinciden con las reglas de ACL, para clasificar paquetes basados en ID de flujo
y para permitir o denegar paquetes que coincidan con reglas para limitar el acceso.
Notas de configuración
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de red
En Figura 13-15, Switchconecta a SwitchA, y SwitchA se conecta al router. Los invitados
pueden conectarse a la red de la empresa en las áreas de invitados de los edificios de oficinas
1, 2 y 3. Los invitados pueden acceder al servidor de archivos externos e Internet, pero no
pueden acceder al servidor de archivos confidenciales y al servidor del departamento
financiero.
Servidor del
departamento financiero
Red de campus 10.1.7.0/24
empresarial Dirección
del tráfico
Procedimiento
Paso 1 Cree VLAN y configure interfaces y un protocolo de enrutamiento (la ruta estática se usa
aquí).
# Configurar elSwitch.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 20 30 40 //Cree VLAN 10 a VLAN 40.
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access //Configure la interfaz como
una interfaz de acceso.
[Switch-GigabitEthernet1/0/1] port default vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port default vlan 20
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] port link-type access
[Switch-GigabitEthernet1/0/3] port default vlan 30
[Switch-GigabitEthernet1/0/3] quit
[Switch] interface gigabitethernet 1/0/4
[Switch-GigabitEthernet1/0/4] port link-type trunk //Configure la interfaz como
una interfaz trunk.
# Configure SwitchA.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 40 50 60 70 80 //Cree VLAN 40 a VLAN 80.
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type trunk //Configure la interfaz como
una interfaz trunk.
[SwitchA-GigabitEthernet1/0/1] port trunk allow-pass vlan 40 50 60 70 80
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type access //Configure la interfaz
como una interfaz de acceso.
[SwitchA-GigabitEthernet1/0/2] port default vlan 50
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface gigabitethernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] port link-type access
[SwitchA-GigabitEthernet1/0/3] port default vlan 60
[SwitchA-GigabitEthernet1/0/3] quit
[SwitchA] interface gigabitethernet 1/0/4
[SwitchA-GigabitEthernet1/0/4] port link-type access
[SwitchA-GigabitEthernet1/0/4] port default vlan 70
[SwitchA-GigabitEthernet1/0/4] quit
[SwitchA] interface gigabitethernet 1/0/5
[SwitchA-GigabitEthernet1/0/5] port link-type access
[SwitchA-GigabitEthernet1/0/5] port default vlan 80
[SwitchA-GigabitEthernet1/0/5] quit
[SwitchA] interface vlanif 40 //Cree una interfaz VLANIF.
[SwitchA-Vlanif40] ip address 10.1.4.2 255.255.255.0 //Configure una dirección
IP para la interfaz VLANIF.
[SwitchA-Vlanif40] quit
[SwitchA] interface vlanif 50
[SwitchA-Vlanif50] ip address 10.1.5.1 255.255.255.0
[SwitchA-Vlanif50] quit
[SwitchA] interface vlanif 60
[SwitchA-Vlanif60] ip address 10.1.6.1 255.255.255.0
[SwitchA-Vlanif60] quit
[SwitchA] interface vlanif 70
[SwitchA-Vlanif70] ip address 10.1.7.1 255.255.255.0
[SwitchA-Vlanif70] quit
[SwitchA] interface vlanif 80
[SwitchA-Vlanif80] ip address 10.1.8.1 255.255.255.0
[SwitchA-Vlanif80] quit
[SwitchA] ip route-static 10.1.1.0 255.255.255.0 10.1.4.1 //Configure una ruta
estática.
[SwitchA] ip route-static 10.1.2.0 255.255.255.0 10.1.4.1
[SwitchA] ip route-static 10.1.3.0 255.255.255.0 10.1.4.1
# Configure una regla de ACL para coincidir los paquetes enviados desde el área de invitados
al servidor de archivos confidenciales.
[Switch] acl name non-access-file
[Switch-acl-adv-non-access-file] rule permit tcp destination 10.1.5.0 0.0.0.255
destination-port eq 20 //Configure una regla para permitir que los paquetes de
datos FTP se envíen desde el área de invitados al servidor de archivos
confidencial.
[Switch-acl-adv-non-access-file] rule permit tcp destination 10.1.5.0 0.0.0.255
destination-port eq 21 //Configure una regla para permitir que los paquetes del
protocolo FTP se envíen desde el área de invitados al servidor de archivos
confidencial.
[Switch-acl-adv-non-access-file] quit
# Configure una regla de ACL para coincidir los paquetes enviados desde el área de invitados
al servidor del departamento financiero.
[Switch] acl name non-access-finance
[Switch-acl-adv-non-access-finance] rule permit tcp destination 10.1.7.0
0.0.0.255 destination-port eq 20 //Configure una regla para permitir que los
paquetes de datos FTP se envíen desde el área de invitados al servidor del
departamento financiero.
[Switch-acl-adv-non-access-finance] rule permit tcp destination 10.1.7.0
0.0.0.255 destination-port eq 21 //Configure una regla para permitir que los
paquetes del protocolo FTP se envíen desde el área de invitados al servidor del
departamento financiero.
[Switch-acl-adv-non-access-finance] quit
# Configure una regla de ACL para coincidir los paquetes enviados desde el área de invitados
al servidor de archivos público.
[Switch] acl name access-file
[Switch-acl-adv-access-file] rule permit tcp destination 10.1.6.0 0.0.0.255
destination-port eq 20 //Configure una regla para permitir que los paquetes de
datos FTP se envíen desde el área de invitados al servidor de archivos públicos.
[Switch-acl-adv-access-file] rule permit tcp destination 10.1.6.0 0.0.0.255
destination-port eq 21 //Configure una regla para permitir que los paquetes del
protocolo FTP se envíen desde el área de invitados al servidor de archivos
públicos.
[Switch-acl-adv-access-file] quit
# Configure una regla de ACL para coincidir los paquetes enviados desde el área de invitados
a la red externa.
[Switch] acl name access-internet
[Switch-acl-adv-access-internet] rule permit tcp destination-port eq 80
[Switch-acl-adv-access-internet] quit
Paso 5 Configure una política de tráfico que contenga remarcado de ID de flujo y aplique la política
de tráfico globalmente en la dirección entrante.
# Cree la flow-id de la política de tráfico en el Switch, vincule los clasificadores de tráfico y
los comportamientos de tráfico a la política de tráfico, y aplique la política de tráfico
globalmente en la dirección entrante.
[Switch] traffic policy flow-id
[Switch-trafficpolicy-flow-id] classifier non-access-file behavior non-access-file
[Switch-trafficpolicy-flow-id] classifier non-access-finance behavior non-access-
finance
[Switch-trafficpolicy-flow-id] classifier access-file behavior access-file
[Switch-trafficpolicy-flow-id] classifier access-internet behavior access-internet
[Switch-trafficpolicy-flow-id] quit
[Switch] traffic-policy flow-id global inbound
Paso 8 Configure una política de tráfico para control de acceso y aplique la política de tráfico a una
interfaz.
# Cree la política de tráfico access_policy en elSwitch, vincule los comportamientos de
tráfico y los clasificadores de tráfico a la política de tráfico, y aplique la política de tráfico a
GE1/0/1, GE1/0/2 y GE1/0/3 en la dirección entrante para limitar el acceso de las áreas de
invitados.
[Switch] traffic policy access_policy
[Switch-trafficpolicy-access_policy] classifier flow-id1 behavior flow-id1
[Switch-trafficpolicy-access_policy] classifier flow-id2 behavior flow-id2
[Switch-trafficpolicy-access_policy] classifier flow-id3 behavior flow-id3
[Switch-trafficpolicy-access_policy] classifier flow-id4 behavior flow-id4
[Switch-trafficpolicy-access_policy] quit
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] traffic-policy access_policy inbound
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] traffic-policy access_policy inbound
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] traffic-policy access_policy inbound
[Switch-GigabitEthernet1/0/3] quit
Classifier: flow-id2
Precedence: 30
Operator: AND
Rule(s) : if-match flow-id 2
Classifier: flow-id3
Precedence: 35
Operator: AND
Rule(s) : if-match flow-id 3
Classifier: flow-id4
Precedence: 40
Operator: AND
Rule(s) : if-match flow-id 4
Classifier: non-access-file
Precedence: 5
Operator: AND
Rule(s) : if-match acl non-access-file
Classifier: non-access-finance
Precedence: 10
Operator: AND
Rule(s) : if-match acl non-access-finance
Classifier: access-file
Precedence: 15
Operator: AND
Rule(s) : if-match acl access-file
Classifier: access-internet
Precedence: 20
Operator: AND
Rule(s) : if-match acl access-internet
Remark flow-id 1
Classifier: non-access-finance
Operator: AND
Behavior: non-access-finance
Permit
Remark:
Remark flow-id 2
Classifier: access-file
Operator: AND
Behavior: access-file
Permit
Remark:
Remark flow-id 3
Classifier: access-internet
Operator: AND
Behavior: access-internet
Permit
Remark:
Remark flow-id 4
Policy: access_policy
Classifier: flow-id1
Operator: AND
Behavior: flow-id1
Deny
Classifier: flow-id2
Operator: AND
Behavior: flow-id2
Deny
Classifier: flow-id3
Operator: AND
Behavior: flow-id3
Permit
Classifier: flow-id4
Operator: AND
Behavior: flow-id4
Permit
----Fin
Archivos de configuración
l Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10 20 30 40
#
acl name access-internet 3996
rule 5 permit tcp destination-port eq www
acl name access-file 3997
rule 5 permit tcp destination 10.1.6.0 0.0.0.255 destination-port eq ftp-data
rule 10 permit tcp destination 10.1.6.0 0.0.0.255 destination-port eq ftp
acl name non-access-finance 3998
rule 5 permit tcp destination 10.1.7.0 0.0.0.255 destination-port eq ftp-data
rule 10 permit tcp destination 10.1.7.0 0.0.0.255 destination-port eq ftp
acl name non-access-file 3999
rule 5 permit tcp destination 10.1.5.0 0.0.0.255 destination-port eq ftp-data
rule 10 permit tcp destination 10.1.5.0 0.0.0.255 destination-port eq ftp
#
traffic classifier access-file operator and precedence 15
if-match acl access-file
traffic classifier access-internet operator and precedence 20
if-match acl access-internet
traffic classifier flow-id1 operator and precedence 25
if-match flow-id 1
#
interface GigabitEthernet1/0/4
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
ip route-static 10.1.5.0 255.255.255.0 10.1.4.2
ip route-static 10.1.6.0 255.255.255.0 10.1.4.2
ip route-static 10.1.7.0 255.255.255.0 10.1.4.2
ip route-static 10.1.8.0 255.255.255.0 10.1.4.2
#
traffic-policy flow-id global inbound
#
return
Notas de configuración
S2350EI V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S3300HI V200R001C00
S5300HI V200R001(C00&C01),
V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Una ACL a menudo se usa con una política de tráfico. Una política de tráfico está vinculada
al clasificador de tráfico que coincide con una ACL y el comportamiento del tráfico, como
permitir o denegar, asociado con el clasificador de tráfico.
Las acciones de permiso y denegación en una ACL y un comportamiento de tráfico en la
política de tráfico se utilizan de la siguiente manera.
ACL Behavior del tráfico en la Acción final tomada para
política de tráfico paquetes combinados
Por defecto, el switch permite todos los paquetes. Para rechazar paquetes entre segmentos de
red, defina los paquetes que se rechazarán en la ACL. Si se usa el comando de rule permit,
todos los paquetes coinciden con esta regla. Si el comportamiento del tráfico define la acción
de denegación, el switch filtra todos los paquetes y provoca interrupciones del servicio.
Requisitos de red
En Figura 13-16, la empresa tiene tres departamentos, que pertenecen a VLAN 10, VLAN 20
y VLAN 30, respectivamente. Para garantizar la seguridad, los usuarios de la VLAN 10 solo
accedan a la VLAN 20 pero no a la VLAN 30. Los tres departamentos necesitan acceder a
Internet y no existen otras limitaciones.
GE1/0/1 10.1.20.1/24
VLAN 20 GE1/0/2 GE1/0/4 GE1/0/2
192.168.2.0/24 Red
GE1/0/1
GE1/0/3 SwitchA Switch Router
VLAN 30
192.168.3.0/24
GigabitEthernet VLAN 20 - -
1/0/2
GigabitEthernet VLAN 30 - -
1/0/3
Procedimiento
Paso 1 Cree VLAN y configure interfaces y un protocolo de enrutamiento.
# Configure el switch.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 20 30 40 //Cree VLAN 10 a VLAN 40.
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk //Establezca el tipo de
enlace de la interfaz a trunk.
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 20 30 //Agregue la
interfaz a VLAN 10, VLAN 20 y VLAN 30.
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access //Establezca el tipo de
enlace de la interfaz a acceso.
[Switch-GigabitEthernet1/0/2] port default vlan 40 //Agregue la interfaz a la
VLAN 40.
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface vlanif 10 //Cree una interfaz VLANIF.
[Switch-Vlanif10] ip address 192.168.1.1 255.255.255.0 //Configure una dirección
IP para la interfaz VLANIF. La dirección IP es la dirección de gateway del
segmento de red 192.168.1.0/24.
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 192.168.2.1 255.255.255.0
[Switch-Vlanif20] quit
[Switch] interface vlanif 30
[Switch-Vlanif30] ip address 192.168.3.1 255.255.255.0
[Switch-Vlanif30] quit
[Switch] interface vlanif 40 //Cree una interfaz VLANIF.
[Switch-Vlanif40] ip address 10.1.20.2 255.255.255.0 //Configure una dirección
IP a la interfaz VLANIF para conectarse con el router.
[Switch-Vlanif40] quit
[Switch] ip route-static 0.0.0.0 0 10.1.20.1 //Configure una ruta estática
apuntando a la red externa para implementar el interfuncionamiento.
# Configure SwitchA.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 10 20 30 //Cree VLAN 10 a VLAN 30.
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type access //Establezca el tipo de
enlace de la interfaz a acceso.
[SwitchA-GigabitEthernet1/0/1] port default vlan 10 //Agregue la interfaz a la
VLAN 10.
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type access
[SwitchA-GigabitEthernet1/0/2] port default vlan 20
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface gigabitethernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] port link-type access
[SwitchA-GigabitEthernet1/0/3] port default vlan 30
[SwitchA-GigabitEthernet1/0/3] quit
[SwitchA] interface gigabitethernet 1/0/4
# Configure el router.
# Configure las reglas de ACL en Switch para definir los flujos de datos que están permitidos
o rechazados.
[Switch] acl 3000
[Switch-acl-adv-3000] rule deny ip source 192.168.1.0 0.0.0.255 destination
192.168.3.0 0.0.0.255 //Configure una regla de ACL para rechazar los flujos de
datos de la VLAN 10 a la VLAN 30.
[Switch-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination
192.168.2.0 0.0.0.255 //Configure una regla de ACL para permitir el flujo de
datos desde la VLAN 10 y la VLAN 20.
[Switch-acl-adv-3000] rule permit ip source any //Si hay muchos segmentos de red
internos, configure una ACL para permitir cualquier flujo de datos.
[Switch-acl-adv-3000] quit
Paso 5 Configure una política de tráfico y aplique la política de tráfico a una interfaz.
# Los dispositivos de usuario en el segmento de red 192.168.1.0/24 pueden hacer ping a los
dispositivos del usuario en el segmento de red 192.168.2.0/24, es decir, los usuarios de la
VLAN 10 pueden acceder a los usuarios en la VLAN 20.
# Los dispositivos de usuario en el segmento de red 192.168.1.0/24 pueden hacer ping a los
dispositivos del usuario en el segmento de red 192.168.3.0/24, es decir, los usuarios de la
VLAN 10 pueden acceder a los usuarios en la VLAN 30.
# Los dispositivos de los usuarios en los segmentos de red 192.168.1.0/24, 192.168.2.0/24 y
192.168.3.0/24 pueden hacer ping a la dirección IP 10.1.20.1/24 de la interfaz en el router, lo
que indica que los usuarios de los tres departamentos pueden acceder Internet.
----Fin
Archivos de configuración
l Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10 20 30 40
#
acl number 3000
rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0
0.0.0.255
rule 15 permit ip
#
traffic classifier c1 operator and precedence 5
if-match acl 3000
#
traffic behavior b1
permit
#
traffic policy p1 match-order config
classifier c1 behavior b1
#
interface Vlanif10
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif20
ip address 192.168.2.1 255.255.255.0
#
interface Vlanif30
ip address 192.168.3.1 255.255.255.0
#
interface Vlanif40
ip address 10.1.20.2 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30
traffic-policy p1 inbound
#
interface GigabitEthernet1/0/2
port link-type access
Descripción general
HQoS utiliza múltiples niveles de colas para diferenciar en mayor grado el tráfico del
servicio, y proporciona una gestión unificada y una planificación jerárquica para los objetos
de transmisión, como usuarios y servicios. HQoS permite que los dispositivos de red
controlen los recursos internos con el hardware existente, proporcionando garantía de QoS
para usuarios avanzados a la vez que se reduce el costo de construcción de la red.
Notas de configuración
. Solo la tarjeta LE1D2S04SEC0, las tarjetas de la serie X1C, las tarjetas de la serie X1L y las
tarjetas de la serie X1E del switch del chasis admiten esta configuración.
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de red
Los servicios de voz, video y datos de múltiples usuarios se transmiten en una red de campus
empresarial, y las prioridades 802.1p de servicios de voz, video y datos son 6, 5 y 2,
respectivamente. Se debe garantizar el ancho de banda para los servicios de voz, video y datos
en orden descendente de prioridad. Tabla 13-24 y Tabla 13-25 describen los requisitos de
configuración.
Debido a que el ancho de banda es finito, el dispositivo necesita diferenciar las prioridades del
servicio y modelar al tráfico de diferentes usuarios para proporcionar un ancho de banda
diferente. Tabla 13-26 describe el requisito de configuración.
Voz (Voice) EF
User 4
5. Configure las colas de suscriptores y los parámetros de modelado del tráfico en Switch, y
haga referencia al perfil de cola de flujo de WRED y el perfil de cola de flujo para
implementar HQoS.
Procedimiento
Paso 1 Cree VLAN y configure interfaces.
# Cree VLAN 10 y VLAN 20 en SwitchC, configure GE1/0/1 como una trunk interfaz y
agréguela a VLAN 10 y VLAN 20, y configure GE2/0/1 como una trunk interfaz y agréguela
a VLAN 10 y VLAN 20 .
<Quidway> system-view
[Quidway] sysname SwitchC
[SwitchC] vlan batch 10 20
[SwitchC] interface gigabitethernet 1/0/1
[SwitchC-GigabitEthernet1/0/1] port link-type trunk
[SwitchC-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 20
[SwitchC-GigabitEthernet1/0/1] quit
[SwitchC] interface gigabitethernet 2/0/1
[SwitchC-GigabitEthernet2/0/1] port link-type trunk
[SwitchC-GigabitEthernet2/0/1] port trunk allow-pass vlan 10 20
[SwitchC-GigabitEthernet2/0/1] quit
# Cree VLAN 10 y VLAN 20 en Switch, configure GE1/0/1, GE1/0/2 y GE2/0/1 como trunk
interfaces, y agregue GE1/0/1 a VLAN 10, GE1/0/2 a VLAN 20, y GE2/0/1 a VLAN 10 y
VLAN 20.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 20
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type trunk
[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 20
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 2/0/1
[Switch-GigabitEthernet2/0/1] port link-type trunk
[Switch-GigabitEthernet2/0/1] port trunk allow-pass vlan 10 20
[Switch-GigabitEthernet2/0/1] quit
# Cree un dominio DiffServ ds1 para mapear las prioridades 802.1p de 6, 5, 2 a EF, AF3 y
AF1, respectivamente, y los paquetes de color verde, amarillo y rojo, respectivamente.
[Switch] diffserv domain ds1
[Switch-dsdomain-ds1] 8021p-inbound 6 phb ef green //Cree un dominio DiffServ
para mapear las prioridades 802.1p de diferentes paquetes de servicio a PHB para
que los paquetes ingresen en diferentes colas.
[Switch-dsdomain-ds1] 8021p-inbound 5 phb af3 yellow
[Switch-dsdomain-ds1] 8021p-inbound 2 phb af1 red
[Switch-dsdomain-ds1] quit
# Cree un perfil de la cola de flujo de WRED llamado wred1 en Switch y establezca los
parámetros de los paquetes verde, amarillo y rojo en lun perfil de la cola de flujo de WRED.
[Switch] flow-wred-profile wred1 //Configure un perfil de caída WRED.
[Switch-flow-wred-wred1] color green low-limit 80 high-limit 100 discard-
percentage 10 //Configure un perfil de caída WRED y establezca el umbral de
caída superior e inferior y la probabilidad de caída máxima para los paquetes
verdes.
[Switch-flow-wred-wred1] color yellow low-limit 60 high-limit 80 discard-
percentage 20 //Cuando el porcentaje de la longitud del paquete amarillo
alcanza el 60 % de la longitud de la cola, el dispositivo comienza a descartar
los paquetes con una probabilidad de caída máxima del 20 %. Cuando el porcentaje
de la longitud del paquete amarillo alcanza el 80 % de la longitud de la cola, el
dispositivo descarta todos los paquetes nuevos.
[Switch-flow-wred-wred1] color red low-limit 40 high-limit 60 discard-percentage
40
[Switch-flow-wred-wred1] quit
# Compruebe la configuración del perfil de la cola de flujo, incluido el nombre del perfil y las
ponderaciones WFQ.
<Switch> display flow-queue-profile name flow1
Flow-queue-profile[1]: flow1
Queue Schedule(Weight) Shaping flow-wred-profile
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
0 PQ None default
1 WFQ(10) None wred1
2 PQ None default
3 WFQ(20) None wred1
4 PQ None default
5 PQ None wred1
6 PQ None default
7 PQ None default
-----------------------------------------------------------------------
Queue ID | Statistics
information
--------------------------------------------------------------------------------
0 | packets: pass:
4,127
| drop:
2,798,787,076
| bytes: pass:
610,796
| drop:
414,220,487,248
--------------------------------------------------------------------------------
Queue ID | Statistics
information
--------------------------------------------------------------------------------
1 | packets: pass:
4,127
| drop:
5,597,436,717
| bytes: pass:
610,796
| drop:
828,420,634,116
--------------------------------------------------------------------------------
Queue ID | Statistics
information
--------------------------------------------------------------------------------
2 | packets: pass:
0
| drop:
0
| bytes: pass:
0
| drop:
0
--------------------------------------------------------------------------------
Queue ID | Statistics
information
--------------------------------------------------------------------------------
3 | packets: pass:
4,127
| drop:
5,597,436,713
| bytes: pass:
610,796
| drop:
828,420,633,524
--------------------------------------------------------------------------------
Queue ID | Statistics
information
--------------------------------------------------------------------------------
4 | packets: pass:
4,127
| drop:
2,798,716,293
| bytes: pass:
610,796
| drop:
414,210,011,364
--------------------------------------------------------------------------------
Queue ID | Statistics
information
--------------------------------------------------------------------------------
5 | packets: pass:
4,127
| drop:
2,798,716,294
| bytes: pass:
610,796
| drop:
414,210,011,512
--------------------------------------------------------------------------------
Queue ID | Statistics
information
--------------------------------------------------------------------------------
6 | packets: pass:
0
| drop:
0
| bytes: pass:
0
| drop:
0
--------------------------------------------------------------------------------
Queue ID | Statistics
information
--------------------------------------------------------------------------------
7 | packets: pass:
1,119,509,460
| drop:
1,679,210,961
| bytes: pass:
165,687,400,080
| drop:
248,523,222,228
--------------------------------------------------------------------------------
Queue ID | Statistics
information
--------------------------------------------------------------------------------
0 | packets: pass:
4,125
| drop:
5,218,026
| bytes: pass:
610,500
| drop:
772,267,848
--------------------------------------------------------------------------------
Queue ID | Statistics
information
--------------------------------------------------------------------------------
1 | packets: pass:
4,125
| drop:
10,440,178
| bytes: pass:
610,500
| drop:
1,545,146,344
--------------------------------------------------------------------------------
Queue ID | Statistics
information
--------------------------------------------------------------------------------
2 | packets: pass:
0
| drop:
0
| bytes: pass:
0
| drop:
0
--------------------------------------------------------------------------------
Queue ID | Statistics
information
--------------------------------------------------------------------------------
3 | packets: pass:
4,125
| drop:
10,440,178
| bytes: pass:
610,500
| drop:
1,545,146,344
--------------------------------------------------------------------------------
Queue ID | Statistics
information
--------------------------------------------------------------------------------
4 | packets: pass:
4,125
| drop:
5,218,027
| bytes: pass:
610,500
| drop:
772,267,996
--------------------------------------------------------------------------------
Queue ID | Statistics
information
--------------------------------------------------------------------------------
5 | packets: pass:
4,125
| drop:
5,218,027
| bytes: pass:
610,500
| drop:
772,267,996
--------------------------------------------------------------------------------
Queue ID | Statistics
information
--------------------------------------------------------------------------------
6 | packets: pass:
0
| drop:
0
| bytes: pass:
0
| drop:
0
--------------------------------------------------------------------------------
Queue ID | Statistics
information
--------------------------------------------------------------------------------
7 | packets: pass:
2,092,988
| drop:
3,129,165
| bytes: pass:
309,762,224
| drop:
463,116,420
--------------------------------------------------------------------------------
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch
10
#
interface
GigabitEthernet1/0/1
port link-type
access
port default vlan
10
#
interface
GigabitEthernet1/0/2
port link-type
access
port default vlan
10
interface
GigabitEthernet2/0/1
port link-type
trunk
port trunk allow-pass vlan
10
#
return
l Archivo de configuración de SwitchB
#
sysname SwitchB
#
vlan batch
20
#
interface
GigabitEthernet1/0/1
port link-type
access
port default vlan
20
#
interface
GigabitEthernet1/0/2
port link-type
access
port default vlan
20
#
interface
GigabitEthernet2/0/1
port link-type
trunk
port trunk allow-pass vlan
20
#
return
l Archivo de configuración de SwitchC
#
sysname SwitchC
#
vlan batch 10
20
#
interface
GigabitEthernet1/0/1
port link-type
trunk
port trunk allow-pass vlan 10
20
#
interface
GigabitEthernet2/0/1
port link-type
trunk
port trunk allow-pass vlan 10
20
#
return
interface
GigabitEthernet2/0/1
port link-type
trunk
port trunk allow-pass vlan 10
20
traffic-user-queue outbound acl 4001 pir 8000 flow-queue-profile flow1
traffic-user-queue outbound acl 4002 pir 5000 flow-queue-profile flow1
#
return
capa inferior. Por lo tanto, SNMP puede administrar de manera uniforme dispositivos de
múltiples proveedores simultáneamente.
SNMP está disponible en tres versiones. SNMPv1 es la versión inicial de SNMP. Proporciona
autenticación basada en nombres de comunidad. SNMPv1 tiene mala seguridad y solo puede
devolver unos pocos códigos de error. SNMPv2c emitido por IETF es la segunda versión de
SNMP. SNMPv2c tiene mejor capacidad de soportar los códigos de error estándar, tipos de
datos (Contador 64 y Contador 32) y operaciones que incluyen GetBulk e Inform. SNMPv2c
no mejora la seguridad, por lo que IETF emitió SNMPv3 que proporciona autenticación y
cifrado basados en el Modelo de seguridad de usuario (USM) y el control de acceso basado en
el Modelo de control de acceso basado en la vista (VACM).
SNMPv1 es aplicable a redes pequeñas con redes simples y requisitos de baja seguridad o
redes pequeñas con buena seguridad y estabilidad, como redes de campus y redes de pequeñas
empresas.
Notas de configuración
Este ejemplo de configuración se aplica a todos los switches de todas las versiones.
En este ejemplo, eSight que ejecuta V300R007C00 se usa como NMS. eSight solo puede
gestionar switches modulares, pero no switches fijos.
Requisitos de redes
Como se muestra en Figura 14-1, el servidor NMS administra todos los dispositivos en la
red. La red es pequeña y no es probable que sea atacada, por lo que SNMPv1 está configurado
en switches para comunicarse con el servidor NMS. Se agrega un nuevo switch a la red. El
administrador de red desea utilizar los recursos de red existentes para administrar el nuevo
switch y localizar y eliminar rápidamente las fallas de la red.
Figura 14-1 Configurar un dispositivo para comunicarse con el NMS mediante SNMPv1
GE1/0/1
10.1.1.1/24 VLAN10
10.1.1.2/24
NMS Switch
1. Configure SNMPv1 en el switch para que el NMS que ejecuta SNMPv1 pueda
administrar el switch.
2. Configure el control de acceso para que solo el NMS con la dirección IP especificada
pueda realizar operaciones de leer/escribir en los objetos MIB especificados del switch.
3. Configure un nombre de comunidad según el cual el switch permite el acceso del NMS.
4. Configure un host de trap y habilite el switch para enviar traps automáticamente al NMS.
5. Agregue el switch al NMS. El nombre de la comunidad configurado en el switch debe
ser el mismo que el utilizado por el NMS; de lo contrario, el NMS no puede gestionar el
cambio.
Procedimiento
Paso 1 Configure SNMPv1 en el switch para que el NMS que ejecuta SNMPv1 pueda administrar el
switch.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] snmp-agent sys-info version v1 //Por defecto, SNMPv3 es compatible.
Paso 2 Configure el control de acceso para que solo el NMS con la dirección IP especificada pueda
realizar operaciones de leer/escribir en los objetos MIB especificados del switch.
# Configure una ACL para permitir que solo el NMS 10.1.1.1 acceda al switch.
[Switch] acl 2001
[Switch-acl-basic-2001] rule permit source 10.1.1.1 0
[Switch-acl-basic-2001] rule deny
[Switch-acl-basic-2001] quit
# Configure la vista de MIB para especificar los objetos MIB a los que puede acceder el
NMS.
[Switch] snmp-agent mib-view included isoview01 system //Configure la vista de
MIB isoview01 para acceder al subárbol del sistema.
[Switch] snmp-agent mib-view included isoview02 interfaces //Configure la vista
de MIB isoview02 para acceder al subárbol de interfaces.
Paso 3 Configure un nombre de comunidad según el cual el switch permite el acceso del NMS,
aplique la ACL para que la función de control de acceso se ponga en vigor.
[Switch] snmp-agent community read adminnms01 mib-view isoview01 acl 2001 //
Otorgue adminnms01 con el permiso de solo leer en el subárbol del sistema.
[Switch] snmp-agent community write adminnms02 mib-view isoview02 acl 2001 //
Otorgue adminnms02 con el permiso de leer/escribir en el subárbol de interfaz.
Paso 4 Configure un host de trap y habilite el switch para enviar traps automáticamente al NMS.
[Switch] snmp-agent trap enable
Warning: All switches of SNMP trap/notification will be open. Continue? [Y/
N]:y //Habilite todas las funciones de trap en el switch. Por defecto, solo
algunas funciones de trap están habilitadas. Puede ejecutar el el comando display
snmp-agent trap all para comprobar el estado del trap.
[Switch] snmp-agent target-host trap address udp-domain 10.1.1.1 params
securityname adminnms01 v1
IP address 10.1.1.2
Version V1
Parámetro Configuración
Port 161
NOTA
La configuración de los parámetros en el NMS y el switch debe ser la misma; de lo contrario, el switch
no se puede agregar al NMS.
Si se requiere autenticación para inicios de sesión remotos en el switch, los parámetros de Telnet deben
configurarse para que el NMS pueda administrar el switch. En este ejemplo, los administradores pueden
iniciar sesión remotamente en el switch utilizando Telnet, se usa autenticación de contraseña y la
contraseña es huawei2012.
----Fin
Archivos de configuración
Archivo de configuración del switch
#
sysname Switch
#
acl number 2001
rule 5 permit source 10.1.1.1 0
rule 10 deny
#
snmp-agent
snmp-agent local-engineid 800007DB03360102101100
snmp-agent community read cipher %^%#Pqp'RXi))/y\KgEtwP9A3x2z5_FgxG1v'D/
8>=G,D9<yMC^RAM_YB:F0BZlF="bHXg%lH*L"Jq'lea`S%^%# mib-view isoview acl 2001
snmp-agent community write cipher %^%#.T|&Whvyf$<Gd"I,wXi5SP_6~Nakk6<<+3H:N-
h@aJ6d,l0md%HCeAY8~>X=>xV\JKNAL=124r839v<*%^%# mib-view isoview acl 2001
snmp-agent sys-info version v1 v3
snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname
cipher %^%#uq/!YZfvW4*vf[~C|.:Cl}UqS(vXd#wwqR~5M(rU%%^%#
snmp-agent mib-view included isoview01 system
snmp-agent mib-view included isoview02 interfaces
snmp-agent trap enable
#
return
SNMP está disponible en tres versiones. SNMPv1 es la versión inicial de SNMP. Proporciona
autenticación basada en nombres de comunidad. SNMPv1 tiene mala seguridad y solo puede
devolver unos pocos códigos de error. SNMPv2c emitido por IETF es la segunda versión de
SNMP. SNMPv2c tiene mejor capacidad de soportar los códigos de error estándar, tipos de
datos (Contador 64 y Contador 32) y operaciones que incluyen GetBulk e Inform. SNMPv2c
no mejora la seguridad, por lo que IETF emitió SNMPv3 que proporciona autenticación y
cifrado basados en el Modelo de seguridad de usuario (USM) y el control de acceso basado en
el Modelo de control de acceso basado en la vista (VACM).
SNMPv2c es aplicable a redes medianas y grandes con requisitos de baja seguridad o con alta
seguridad (por ejemplo, VPN) pero en los servicios que están tan ocupados que la congestión
del tráfico puede ocurrir.
Notas de configuración
Este ejemplo de configuración se aplica a todos los switches de todas las versiones.
En este ejemplo, eSight que ejecuta V300R007C00 se usa como NMS. eSight solo puede
gestionar switches modulares, pero no switches fijos.
Requisitos de redes
Como se muestra en Figura 14-2, el servidor NMS administra todos los dispositivos en la
red. La red es grande y segura, pero el volumen de tráfico de servicio en la red es alto. Por lo
tanto, los dispositivos en la red usan SNMPv2c para comunicarse con el servidor NMS. Para
la expansión de la capacidad, se agrega un nuevo switch a la red. El administrador de red
desea utilizar los recursos de red existentes para administrar el nuevo switch y localizar y
eliminar rápidamente las fallas de la red.
Figura 14-2 Configurar un dispositivo para comunicarse con el NMS mediante SNMPv2c
GE1/0/1
10.1.1.1/24 VLAN10
10.1.1.2/24
NMS Switch
Procedimiento
Paso 1 Configure SNMPv2c en el switch para que el NMS que ejecuta SNMPv2c pueda administrar
el switch.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] snmp-agent sys-info version v2c //Por defecto, SNMPv3 es compatible.
Paso 2 Configure el control de acceso para que solo el NMS con la dirección IP especificada pueda
realizar operaciones de leer/escribir en los objetos MIB especificados del switch.
# Configure una ACL para permitir que solo el NMS 10.1.1.1 acceda al switch.
[Switch] acl 2001
[Switch-acl-basic-2001] rule permit source 10.1.1.1 0
[Switch-acl-basic-2001] rule deny
[Switch-acl-basic-2001] quit
# Configure la vista de MIB para especificar los objetos MIB a los que puede acceder el
NMS.
[Switch] snmp-agent mib-view included isoview01 system //Configure la vista de
MIB isoview01 para acceder al subárbol del sistema.
[Switch] snmp-agent mib-view included isoview02 interfaces //Configure la vista
de MIB isoview02 para acceder al subárbol de interfaces.
Paso 3 Configure un nombre de comunidad según el cual el switch permite el acceso del NMS,
aplique la ACL para que la función de control de acceso se ponga en vigor.
[Switch] snmp-agent community read adminnms01 mib-view isoview01 acl 2001 //
Otorgue adminnms01 con el permiso de solo leer en el subárbol del sistema.
[Switch] snmp-agent community write adminnms02 mib-view isoview02 acl 2001 //
Otorgue adminnms02 con el permiso de leer/escribir en el subárbol de interfaz.
Paso 4 Configure un host de trap y habilite el switch para enviar traps automáticamente al NMS.
[Switch] snmp-agent trap enable
Warning: All switches of SNMP trap/notification will be open. Continue? [Y/N]:y //
Habilite todas las funciones de trap en el switch. Por defecto, solo algunas
funciones de trap están habilitadas. Puede ejecutar el el comando display snmp-
agent trap all para comprobar el estado del trap.
[Switch] snmp-agent target-host trap address udp-domain 10.1.1.1 params
securityname adminnms01 v2c //Configure un host de trap. Por defecto, los traps
son enviados por el puerto UDP 162.
IP address 10.1.1.2
Version V2c
Port 161
NOTA
La configuración de los parámetros en el NMS y el switch debe ser la misma; de lo contrario, el switch
no se puede agregar al NMS.
Si se requiere autenticación para inicios de sesión remotos en el switch, los parámetros de Telnet deben
configurarse para que el NMS pueda administrar el switch. En este ejemplo, los administradores pueden
iniciar sesión remotamente en el switch utilizando Telnet, se usa autenticación de contraseña y la
contraseña es huawei2012.
----Fin
Archivos de configuración
Archivo de configuración del switch
#
sysname Switch
#
acl number 2001
rule 5 permit source 10.1.1.1 0
rule 10 deny
#
snmp-agent
snmp-agent local-engineid 800007DB03360102101100
snmp-agent community read cipher %^%#Pqp'RXi))/y\KgEtwP9A3x2z5_FgxG1v'D/
8>=G,D9<yMC^RAM_YB:F0BZlF="bHXg%lH*L"Jq'lea`S%^%# mib-view isoview acl 2001
snmp-agent community write cipher %^%#.T|&Whvyf$<Gd"I,wXi5SP_6~Nakk6<<+3H:N-
h@aJ6d,l0md%HCeAY8~>X=>xV\JKNAL=124r839v<*%^%# mib-view isoview acl 2001
snmp-agent sys-info version v2c v3
snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname
cipher %^%#uq/!YZfvW4*vf[~C|.:Cl}UqS(vXd#wwqR~5M(rU%%^%# v2c
snmp-agent mib-view included isoview01 system
snmp-agent mib-view included isoview02 interfaces
snmp-agent trap enable
#
return
SNMP está disponible en tres versiones. SNMPv1 es la versión inicial de SNMP. Proporciona
autenticación basada en nombres de comunidad. SNMPv1 tiene mala seguridad y solo puede
devolver unos pocos códigos de error. SNMPv2c emitido por IETF es la segunda versión de
SNMP. SNMPv2c tiene mejor capacidad de soportar los códigos de error estándar, tipos de
datos (Contador 64 y Contador 32) y operaciones que incluyen GetBulk e Inform. SNMPv2c
no mejora la seguridad, por lo que IETF emitió SNMPv3 que proporciona autenticación y
cifrado basados en el Modelo de seguridad de usuario (USM) y el control de acceso basado en
el Modelo de control de acceso basado en la vista (VACM).
SNMPv3 es aplicable a redes de varias escalas, especialmente redes que tienen estrictos
requisitos de seguridad y que solo pueden ser administradas por administradores de red
autorizados. Por ejemplo, SNMPv3 se puede usar si los datos entre el NMS y el dispositivo
administrado deben ser transmitidos a través de una red pública.
Notas de configuración
Este ejemplo de configuración se aplica a todos los switches de todas las versiones.
En este ejemplo, eSight que ejecuta V300R007C00 se usa como NMS. eSight solo puede
gestionar switches modulares, pero no switches fijos.
Requisitos de redes
Como se muestra en Figura 14-3, el servidor NMS administra todos los dispositivos en la
red. La red es grande y es propensa al ataque. Por lo tanto, los dispositivos en la red usan
SNMPv3 para comunicarse con el servidor NMS. Se agrega un nuevo switch a la red. El
administrador de red desea utilizar los recursos de red existentes para administrar el nuevo
switch y localizar y eliminar rápidamente las fallas de la red.
Figura 14-3 Configurar un dispositivo para comunicarse con el NMS mediante SNMPv3
GE1/0/1
10.1.1.1/24 VLAN10
10.1.10.2/24
Red IP
NMS Switch
Procedimiento
Paso 1 Configure SNMPv3 en el switch para que el NMS que ejecuta SNMPv3 pueda administrar el
switch.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] snmp-agent sys-info version v3 //Por defecto, SNMPv3 es compatible. Si
SNMPv3 no está deshabilitado, omita este comando.
Paso 2 Configure el control de acceso para que solo el NMS con la dirección IP especificada pueda
realizar operaciones de leer/escribir en los objetos MIB especificados del switch.
# Configure una ACL para permitir que solo el NMS 10.1.1.1 acceda al switch.
[Switch] acl 2001
[Switch-acl-basic-2001] rule permit source 10.1.1.1 0
[Switch-acl-basic-2001] rule deny
[Switch-acl-basic-2001] quit
# Configure la vista de MIB para especificar los objetos MIB a los que puede acceder el
NMS.
[Switch] snmp-agent mib-view included isoview iso //Configure la vista de MIB
isoview para acceder al subárbol iso.
Paso 3 Configure un grupo de usuarios y un usuario según el cual el switch permite el acceso del
NMS.
# Configure el grupo de usuarios group001, establezca el nivel de seguridad en privacy y
configure el control de acceso para restringir el acceso de NMS al switch.
[Switch] snmp-agent group v3 group001 privacy write-view isoview acl 2001 //
Configure un grupo de usuarios y aplique una ACL para que la función de control
de acceso entre en vigencia.
NOTA
En versiones anteriores que V200R003C00, el nombre de usuario se configura usando snmp-agent usm-user
v3 user001 group001 authentication-mode sha Authe@1234 privacy-mode des56 Priva@1234.
Paso 4 Configure un host de trap y habilite el switch para enviar traps automáticamente al NMS.
[Switch] snmp-agent trap enable
Warning: All switches of SNMP trap/notification will be open. Continue? [Y/N]:y //
Habilite todas las funciones de trap en el switch. Por defecto, solo algunas
funciones de trap están habilitadas. Puede ejecutar el el comando display snmp-
agent trap all para comprobar el estado del trap.
[Switch] snmp-agent target-host trap address udp-domain 10.1.1.1 params
securityname user001 v3 privacy //Configure un host de trap. Por defecto, los
traps son enviados por el puerto UDP 162. El nombre de seguridad debe ser el
mismo que el nombre de usuario; de lo contrario, el NMS no puede administrar el
dispositivo.
IP address 10.1.1.2
Version V3
Port 161
NOTA
La configuración de los parámetros en el NMS y el switch debe ser la misma; de lo contrario, el switch
no se puede agregar al NMS.
Si se requiere autenticación para inicios de sesión remotos en el switch, los parámetros de Telnet deben
configurarse para que el NMS pueda administrar el switch. En este ejemplo, los administradores pueden
iniciar sesión remotamente en el switch utilizando Telnet, se usa autenticación de contraseña y la
contraseña es huawei2012.
----Fin
Archivos de configuración
Archivo de configuración del switch
#
sysname Switch
#
acl number 2001
rule 5 permit source 10.1.1.1 0
rule 10 deny
#
snmp-agent
snmp-agent local-engineid 800007DB03360102101100
snmp-agent sys-info version v3
snmp-agent group v3 group001 privacy write-view isoview acl 2001
snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname
user001 v3 privacy
snmp-agent mib-view included isoview iso
snmp-agent usm-user v3 user001
snmp-agent usm-user v3 user001 group group001
snmp-agent usm-user v3 user001 authentication-mode sha cipher %^%#*2C
%=4LZn1L>ni9xaybHdbXFW&[c_Wv0m!0MpTj!%^%#
snmp-agent usm-user v3 user001 privacy-mode aes128 cipher %^%#i\Fv-cC(u)
+x26S2'rEX<.;V+e~nP)*.J$Ulr($/%^%#
snmp-agent trap enable
#
return
Notas de configuración
Para los switches modulares, NetStream solo es compatible con las tarjetas de la serie B, las
tarjetas de la serie E (excepto la tarjeta LE2D2X48SEC0), la tarjeta LE1D2S04SEC0, la
tarjeta LE1D2X32SEC0, la tarjeta LE1D2H02QEC0 y las tarjetas de la serie X.
NetStream entra en conflicto con IP Source Trail en switches modulares, por lo que no debe
configurarlos simultáneamente.
Requisitos de redes
Como se muestra en Figura 14-4, El Departamento 1 y el Departamento 2 se conectan a
Internet a través de SwitchA. Los administradores de red desean vigilar la comunicación entre
los dos departamentos e Internet, y hacer la cuenta para cada departamento.
Figura 14-4 Diagrama de redes para configurar la exportación de estadísticas de flujo original
Internet
GE1/0/4
GE1/0/3
VLANIF400
SwitchA VLANIF300
10.1.4.1/24
10.1.3.1/24
Departamento 1 Departamento 2
Procedimiento
Paso 1 Configure las direcciones IP para las interfaces en SwitchA según Figura 14-4.
# Configure las direcciones IP para las interfaces en SwitchA.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 100 200 300 400
[SwitchA] interface vlanif 100
[SwitchA-Vlanif100] ip address 10.1.1.1 24
[SwitchA-Vlanif100] quit
[SwitchA] interface vlanif 200
[SwitchA-Vlanif200] ip address 10.1.2.1 24
[SwitchA-Vlanif200] quit
[SwitchA] interface vlanif 300
----Fin
Archivos de configuración
El archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 100 200 300 400
#
ip netstream timeout inactive 100
ip netstream export version 9
ip netstream export source 10.1.2.1
ip netstream export host 10.1.2.2 6000
#
ip netstream tcp-flag enable
#
interface Vlanif100
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif200
ip address 10.1.2.1 255.255.255.0
#
interface Vlanif300
ip address 10.1.3.1 255.255.255.0
#
interface Vlanif400
ip address 10.1.4.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port hybrid pvid vlan 100
port hybrid untagged vlan 100
ip netstream inbound
ip netstream outbound
ip netstream sampler fix-packets 1200 inbound
ip netstream sampler fix-packets 1200 outbound
#
interface GigabitEthernet1/0/2
port hybrid pvid vlan 200
port hybrid untagged vlan 200
#
interface GigabitEthernet1/0/3
port hybrid pvid vlan 300
port hybrid untagged vlan 300
#
interface GigabitEthernet1/0/4
port hybrid pvid vlan 400
port hybrid untagged vlan 400
#
return
En las estadísticas de flujo de agregación que se exportan, el dispositivo resume los flujos con
las mismas palabras claves de agregación y obtiene estadísticas sobre el flujo de agregación.
Las estadísticas de flujo de agregación obviamente reducen la ocupación del ancho de banda.
Notas de configuración
Para los switches modulares, NetStream solo es compatible con las tarjetas de la serie B, las
tarjetas de la serie E (excepto la tarjeta LE2D2X48SEC0), la tarjeta LE1D2S04SEC0, la
tarjeta LE1D2X32SEC0, la tarjeta LE1D2H02QEC0 y las tarjetas de la serie X.
NetStream entra en conflicto con IP Source Trail en switches modulares, por lo que no debe
configurarlos simultáneamente.
Requisitos de redes
Como se muestra en Figura 14-5, El Departamento 1 y el Departamento 2 se conectan a
Internet a través de SwitchA. Los administradores de red desean vigilar la comunicación entre
los dos departamentos e Internet.
Internet
GE1/0/4
GE1/0/3
VLANIF400
SwitchA VLANIF300
10.1.4.1/24
10.1.3.1/24
Departamento 1 Departamento 2
Procedimiento
Paso 1 Configure las direcciones IP para las interfaces en SwitchA según Figura 14-5.
# Configure las direcciones IP para las interfaces en SwitchA.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 100 200 300 400
[SwitchA] interface vlanif 100
[SwitchA-Vlanif100] ip address 10.1.1.1 24
[SwitchA-Vlanif100] quit
[SwitchA] interface vlanif 200
[SwitchA-Vlanif200] ip address 10.1.2.1 24
[SwitchA-Vlanif200] quit
[SwitchA] interface vlanif 300
[SwitchA-Vlanif300] ip address 10.1.3.1 24
[SwitchA-Vlanif300] quit
[SwitchA] interface vlanif 400
[SwitchA-Vlanif400] ip address 10.1.4.1 24
[SwitchA-Vlanif400] quit
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type hybrid
[SwitchA-GigabitEthernet1/0/1] port hybrid pvid vlan 100
[SwitchA-GigabitEthernet1/0/1] port hybrid untagged vlan 100
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type hybrid
[SwitchA-GigabitEthernet1/0/2] port hybrid pvid vlan 200
[SwitchA-GigabitEthernet1/0/2] port hybrid untagged vlan 200
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface gigabitethernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] port link-type hybrid
[SwitchA-GigabitEthernet1/0/3] port hybrid pvid vlan 300
[SwitchA-GigabitEthernet1/0/3] port hybrid untagged vlan 300
[SwitchA-GigabitEthernet1/0/3] quit
[SwitchA] interface gigabitethernet 1/0/4
[SwitchA-GigabitEthernet1/0/4] port link-type hybrid
[SwitchA-GigabitEthernet1/0/4] port hybrid pvid vlan 400
[SwitchA-GigabitEthernet1/0/4] port hybrid untagged vlan 400
[SwitchA-GigabitEthernet1/0/4] quit
----Fin
Archivos de configuración
El archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 100 200 300 400
#
interface Vlanif100
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif200
ip address 10.1.2.1 255.255.255.0
#
interface Vlanif300
ip address 10.1.3.1 255.255.255.0
#
interface Vlanif400
ip address 10.1.4.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port hybrid pvid vlan 100
port hybrid untagged vlan 100
ip netstream inbound
ip netstream outbound
#
interface GigabitEthernet1/0/2
port hybrid pvid vlan 200
Notas de configuración
Para los switches modulares, NetStream solo es compatible con las tarjetas de la serie B, las
tarjetas de la serie E (excepto la tarjeta LE2D2X48SEC0), la tarjeta LE1D2S04SEC0, la
tarjeta LE1D2X32SEC0, la tarjeta LE1D2H02QEC0 y las tarjetas de la serie X.
NetStream entra en conflicto con IP Source Trail en switches modulares, por lo que no debe
configurarlos simultáneamente.
Requisitos de redes
Como se muestra en Figura 14-6, El Departamento 1 y el Departamento 2 se conectan a
Internet a través de SwitchA. Los administradores de red desean vigilar la comunicación entre
los dos departamentos e Internet.
Figura 14-6 Diagrama de redes para configurar exportaciones de estadísticas de flujo flexible
Internet
GE1/0/4
GE1/0/3
VLANIF400
SwitchA VLANIF300
10.1.4.1/24
10.1.3.1/24
Departamento 1 Departamento 2
Procedimiento
Paso 1 Configure las direcciones IP para las interfaces en SwitchA según Figura 14-6.
# Configure las direcciones IP para las interfaces en SwitchA.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 100 200 300 400
[SwitchA] interface vlanif 100
[SwitchA-Vlanif100] ip address 10.1.1.1 24
[SwitchA-Vlanif100] quit
[SwitchA] interface vlanif 200
[SwitchA-Vlanif200] ip address 10.1.2.1 24
[SwitchA-Vlanif200] quit
[SwitchA] interface vlanif 300
[SwitchA-Vlanif300] ip address 10.1.3.1 24
[SwitchA-Vlanif300] quit
[SwitchA] interface vlanif 400
[SwitchA-Vlanif400] ip address 10.1.4.1 24
[SwitchA-Vlanif400] quit
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type hybrid
[SwitchA-GigabitEthernet1/0/1] port hybrid pvid vlan 100
[SwitchA-GigabitEthernet1/0/1] port hybrid untagged vlan 100
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type hybrid
[SwitchA-GigabitEthernet1/0/2] port hybrid pvid vlan 200
[SwitchA-GigabitEthernet1/0/2] port hybrid untagged vlan 200
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface gigabitethernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] port link-type hybrid
[SwitchA-GigabitEthernet1/0/3] port hybrid pvid vlan 300
[SwitchA-GigabitEthernet1/0/3] port hybrid untagged vlan 300
[SwitchA-GigabitEthernet1/0/3] quit
[SwitchA] interface gigabitethernet 1/0/4
[SwitchA-GigabitEthernet1/0/4] port link-type hybrid
[SwitchA-GigabitEthernet1/0/4] port hybrid pvid vlan 400
[SwitchA-GigabitEthernet1/0/4] port hybrid untagged vlan 400
[SwitchA-GigabitEthernet1/0/4] quit
----Fin
Archivos de configuración
El archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 100 200 300 400
#
Notas de configuración
l Un puerto de observación está dedicado a reenviar tráfico espejado. No configure otros
servicios en un puerto de observación; de lo contrario, el tráfico espejado y el tráfico de
otros servicios interfieren entre sí.
Requisitos de redes
Como se muestra en Figura 14-7, el departamento administrativo de una compañía accede a
Internet a través del Switch, y el Server del dispositivo de vigilancia está directamente
conectado al Switch.
El tráfico de acceso a Internet del departamento administrativo debe ser vigilado a través del
Server.
Internet
Switch Servidor
GE1/0/2
GE1/0/1
Departamento
administrativo
Puerto espejado
Puerto de observación local
Paquetes originales
Paquetes espejados
Procedimiento
Paso 1 Configure un puerto de observación.
# Configure GE1/0/1 del Switch como un puerto espejado para copiar los paquetes recibidos
por el puerto espejado al puerto de observación local.
----Fin
Archivos de configuración
l Archivo de configuración del Switch
#
sysname Switch
#
observe-port 1 interface GigabitEthernet1/0/2
#
interface GigabitEthernet1/0/1
port-mirroring to observe-port 1 inbound
#
return
Notas de configuración
l Un puerto de observación está dedicado a reenviar tráfico espejado. No configure otros
servicios en un puerto de observación; de lo contrario, el tráfico espejado y el tráfico de
otros servicios interfieren entre sí.
l Si la función de espejado se despliega en muchos puertos de un dispositivo, se ocupará
una gran cantidad de ancho de banda de reenvío interno, lo que afecta el reenvío de otros
servicios. Además, si el ancho de banda del puerto espejado es mayor que el ancho de
banda del puerto de observación, por ejemplo, 1000 Mbit/s en un puerto espejado y 100
Mbit/s en un puerto de observación, el puerto de observación no podrá reenviar todos los
paquetes espejados a tiempo debido a la insuficiencia de ancho de banda, lo que ocurre la
pérdida de paquetes.
l En todos los modelos de switch modular de la serie S de Huawei, Eth-Trunks se pueden
configurar como puertos de observación. En los siguientes modelos de switch fijo de la
serie S de Huawei, Eth-Trunks se pueden configurar como puertos de observación en
V200R005 y versiones posteriores: S5300EI, S5300HI, S5306, S5310EI, S5320EI,
S5320HI, S6300EI, S6320EI, y S6320HI.
l Ambas interfaces físicas y Eth-Trunks se pueden configurar como puertos espejados. Si
un Eth-Trunk está configurado como un puerto espejado, sus puertos de miembros no se
pueden configurar como puertos de observación.
l La siguiente tabla enumera los productos y las versiones aplicables de este ejemplo de
configuración.
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra en Figura 14-8, el departamento de I+D de una compañía accede a Internet
a través del Switch, y los dispositivos de vigilancia Server1, Server2 y Server3 están
conectados directamente al Switch.
El tráfico de acceso a Internet del departamento de I+D debe ser espejado en diferentes
Servers para diferentes propósitos de vigilancia y análisis.
Internet
Server 1
4
1 /0/
GE Server2
Switch
GE1/0/3
GE1/0/1 GE
1/0
/2 Server3
Departamento
I+D
Puerto espejado
Puerto de observación local
Paquetes originales
Paquetes espejados
Procedimiento
Paso 1 Configure los puertos de observación.
# Configure GE1/0/2 a través de GE1/0/4 del Switch como puertos de observación local uno
por uno.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] observe-port 1 interface gigabitethernet 1/0/2 //Configure GE1/0/2
como un puerto de observación local con el índice 1.
[Switch] observe-port 2 interface gigabitethernet 1/0/3 //Configure GE1/0/3
como un puerto de observación local con el índice 2.
[Switch] observe-port 3 interface gigabitethernet 1/0/4 //Configure GE1/0/4
como un puerto de observación local 3.
# Configure GE1/0/1 del Switch como un puerto espejado para copiar los paquetes recibidos
por el puerto espejado a los puertos de observación locales.
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port-mirroring to observe-port 1 inbound //
Espeje el tráfico entrante en GE1/0/1 al puerto de observación 1.
[Switch-GigabitEthernet1/0/1] port-mirroring to observe-port 2 inbound //
Espeje el tráfico entrante en GE1/0/1 al puerto de observación 2.
[Switch-GigabitEthernet1/0/1] port-mirroring to observe-port 3 inbound
[Switch-GigabitEthernet1/0/1] return //Espeje el tráfico entrante en GE1/0/1
al puerto de observación 3.
----Fin
Archivos de configuración
l Archivo de configuración del Switch
#
sysname Switch
#
observe-port 1 interface GigabitEthernet1/0/2
observe-port 2 interface GigabitEthernet1/0/3
observe-port 3 interface GigabitEthernet1/0/4
#
interface GigabitEthernet1/0/1
port-mirroring to observe-port 1 inbound
port-mirroring to observe-port 2 inbound
port-mirroring to observe-port 3 inbound
#
return
Notas de configuración
l Un puerto de observación está dedicado a reenviar tráfico espejado. No configure otros
servicios en un puerto de observación; de lo contrario, el tráfico espejado y el tráfico de
otros servicios interfieren entre sí.
l Si la función de espejado se despliega en muchos puertos de un dispositivo, se ocupará
una gran cantidad de ancho de banda de reenvío interno, lo que afecta el reenvío de otros
servicios. Además, si el ancho de banda del puerto espejado es mayor que el ancho de
banda del puerto de observación, por ejemplo, 1000 Mbit/s en un puerto espejado y 100
Mbit/s en un puerto de observación, el puerto de observación no podrá reenviar todos los
paquetes espejados a tiempo debido a la insuficiencia de ancho de banda, lo que ocurre la
pérdida de paquetes.
l En todos los modelos de switch modular de la serie S de Huawei, Eth-Trunks se pueden
configurar como puertos de observación. En los siguientes modelos de switch fijo de la
serie S de Huawei, Eth-Trunks se pueden configurar como puertos de observación en
V200R005 y versiones posteriores: S5300EI, S5300HI, S5306, S5310EI, S5320EI,
S5320HI, S6300EI, S6320EI, y S6320HI.
l Ambas interfaces físicas y Eth-Trunks se pueden configurar como puertos espejados. Si
un Eth-Trunk está configurado como un puerto espejado, sus puertos de miembros no se
pueden configurar como puertos de observación.
l En el espejado 1:N, si se configura que los paquetes entrantes o salientes se copien desde
un puerto espejado en múltiples puertos de observación por lotes, los paquetes no pueden
copiarse en otros puertos de observación.
l La siguiente tabla enumera los productos y las versiones aplicables de este ejemplo de
configuración.
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como se muestra en Figura 14-9, el departamento de I+D de una compañía accede a Internet
a través del Switch, y los dispositivos de vigilancia Server1, Server2 y Server3 están
conectados directamente al Switch.
El tráfico de acceso a Internet del departamento de I+D debe ser espejado en diferentes
servidores para diferentes propósitos de vigilancia y análisis.
Internet
Server 1
4
1 /0/
GE Server2
Switch
GE1/0/3
GE1/0/1 GE
1/0
/2 Server3
Departamento
I+D
Puerto espejado
Puerto de observación local
Paquetes originales
Paquetes espejados
Procedimiento
Paso 1 Configure los puertos de observación.
# Configure GE1/0/2 a través de GE1/0/4 del Switch como puertos de observación local en un
lote.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] observe-port 1 interface-range gigabitethernet 1/0/2 to gigabitethernet
1/0/4 //Configure GE1/0/2 a través de GE1 0/4 como puertos de observación
locales por lote y comparta el mismo puerto de observación 1.
# Configure GE1/0/1 del Switch como un puerto espejado para copiar los paquetes recibidos
por el puerto espejado a los puertos de observación locales.
----Fin
Archivos de configuración
l Archivo de configuración del switch
#
sysname Switch
#
observe-port 1 interface-range GigabitEthernet1/0/2 to GigabitEthernet1/0/4
#
interface GigabitEthernet1/0/1
port-mirroring to observe-port 1 inbound
#
return
Notas de configuración
l Un puerto de observación está dedicado a reenviar tráfico espejado. No configure otros
servicios en un puerto de observación; de lo contrario, el tráfico espejado y el tráfico de
otros servicios interfieren entre sí.
l Si la función de espejado se despliega en muchos puertos de un dispositivo, se ocupará
una gran cantidad de ancho de banda de reenvío interno, lo que afecta el reenvío de otros
servicios. Además, si el ancho de banda del puerto espejado es mayor que el ancho de
banda del puerto de observación, por ejemplo, 1000 Mbit/s en un puerto espejado y 100
Mbit/s en un puerto de observación, el puerto de observación no podrá reenviar todos los
paquetes espejados a tiempo debido a la insuficiencia de ancho de banda, lo que ocurre la
pérdida de paquetes.
l En todos los modelos de switch modular de la serie S de Huawei, Eth-Trunks se pueden
configurar como puertos de observación. En los siguientes modelos de switch fijo de la
serie S de Huawei, Eth-Trunks se pueden configurar como puertos de observación en
V200R005 y versiones posteriores: S5300EI, S5300HI, S5306, S5310EI, S5320EI,
S5320HI, S6300EI, S6320EI, y S6320HI.
l Ambas interfaces físicas y Eth-Trunks se pueden configurar como puertos espejados. Si
un Eth-Trunk está configurado como un puerto espejado, sus puertos de miembros no se
pueden configurar como puertos de observación.
l Este ejemplo se aplica a todas las versiones de los switches de la serie S.
Requisitos de redes
Como se muestra en Figura 14-10, tres departamentos (departamento 1 de ciencia y
tecnología, departamento 2 de ciencia y tecnología y departamento administrativo) de una
compañía accede a Internet a través del Switch y el Server del dispositivo de vigilancia está
directamente conectado al Switch.
El tráfico de acceso a Internet de los tres departamentos debe ser vigilado a través del Server.
Internet
Servidor
GE1/0/4
Switch
/1
G
/0
GE1/0/2
E1
E1
/0
G
/3
Puerto espejado
Puerto de observación local
Paquetes originales
Paquetes espejados
Procedimiento
Paso 1 Configure un puerto de observación.
Configure GE1/0/1 a través de GE1/0/3 del Switch como puertos espejados para copiar los
paquetes recibidos por los puertos espejados en el puerto de observación local.
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port-mirroring to observe-port 1 inbound //
Espeje el tráfico entrante en GE1/0/1 al puerto de observación 1.
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port-mirroring to observe-port 1 inbound //
Espeje el tráfico entrante en GE1/0/2 al puerto de observación 1.
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] port-mirroring to observe-port 1 inbound //
Espeje el tráfico entrante en GE1/0/3 al puerto de observación 1.
[Switch-GigabitEthernet1/0/3] return
----Fin
Archivos de configuración
l Archivo de configuración del switch
#
sysname Switch
#
observe-port 1 interface GigabitEthernet1/0/4
#
interface GigabitEthernet1/0/1
port-mirroring to observe-port 1 inbound
#
interface GigabitEthernet1/0/2
port-mirroring to observe-port 1 inbound
#
interface GigabitEthernet1/0/3
port-mirroring to observe-port 1 inbound
#
return
Una regla espejada M:N es equivalente a múltiples reglas espejadas 1:N y también requiere
múltiples puertos de observación para ser configurados y conectados a diferentes dispositivos
de vigilancia. Los puertos de observación se pueden configurar uno por uno o en un lote. Los
modos de configuración individual y por lotes se pueden usar simultáneamente. La
observación de puertos configurados en un lote puede vincularse al mismo puerto espejado
para simplificar la configuración del espejado M:N. Por lo tanto, se recomienda la
configuración por lotes en espejado M:N.
Notas de configuración
l Un puerto de observación está dedicado a reenviar tráfico espejado. No configure otros
servicios en un puerto de observación; de lo contrario, el tráfico espejado y el tráfico de
otros servicios interfieren entre sí.
l Si la función de espejado se despliega en muchos puertos de un dispositivo, se ocupará
una gran cantidad de ancho de banda de reenvío interno, lo que afecta el reenvío de otros
servicios. Además, si el ancho de banda del puerto espejado es mayor que el ancho de
banda del puerto de observación, por ejemplo, 1000 Mbit/s en un puerto espejado y 100
Mbit/s en un puerto de observación, el puerto de observación no podrá reenviar todos los
paquetes espejados a tiempo debido a la insuficiencia de ancho de banda, lo que ocurre la
pérdida de paquetes.
l En todos los modelos de switch modular de la serie S de Huawei, Eth-Trunks se pueden
configurar como puertos de observación. En los siguientes modelos de switch fijo de la
serie S de Huawei, Eth-Trunks se pueden configurar como puertos de observación en
V200R005 y versiones posteriores: S5300EI, S5300HI, S5306, S5310EI, S5320EI,
S5320HI, S6300EI, S6320EI, y S6320HI.
Requisitos de redes
Como se muestra en Figura 14-11, tres departamentos (departamento 1 de I+D, departamento
2 de I+D y departamento de Marketing) de una compañía acceden a Internet a través del
Switch y los dispositivos de vigilancia Server1 y Server2 están directamente conectados al
Switch.
El tráfico de acceso a Internet de los tres departamentos debe ser espejado en diferentes
servidores para diferentes propósitos de vigilancia y análisis.
Internet
G
/0
GE1/0/2
E1
E1
/0
G
/3
Puerto espejado
Puerto de observación local
Paquetes originales
Paquetes espejados
Procedimiento
Paso 1 Configure los puertos de observación.
# Configure GE1/0/4 y GE1/0/5 del Switch como puertos de observación locales en un lote.
<Quidway> system-view
[Quidway] sysname Switch
[Switch] observe-port 1 interface-range gigabitethernet 1/0/4 gigabitethernet
1/0/5 //Configure GE1/0/4 y GE1/0/5 como puertos de observación locales en un
lote y comparten el puerto de observación 1
# Configure GE1/0/1 a través de GE1/0/3 del Switch como puertos espejados para copiar los
paquetes recibidos por los puertos espejados a diferentes puertos de observación locales.
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port-mirroring to observe-port 1 inbound //
Espeje el tráfico entrante en GE GE1/0/1 al puerto de observación 1.
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port-mirroring to observe-port 1 inbound //
Espeje el tráfico entrante en GE1/0/2 al puerto de observación 1.
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] port-mirroring to observe-port 1 inbound //
Espeje el tráfico entrante en GE1/0/3 al puerto de observación 1.
[Switch-GigabitEthernet1/0/3] return
----Fin
Archivos de configuración
l Archivo de configuración del switch
#
sysname Switch
#
observe-port 1 interface-range GigabitEthernet1/0/4 to GigabitEthernet1/0/5
#
interface GigabitEthernet1/0/1
port-mirroring to observe-port 1 inbound
#
interface GigabitEthernet1/0/2
port-mirroring to observe-port 1 inbound
#
interface GigabitEthernet1/0/3
port-mirroring to observe-port 1 inbound
#
return
Notas de configuración
l Un puerto de observación está dedicado a reenviar tráfico espejado. No configure otros
servicios en un puerto de observación; de lo contrario, el tráfico espejado y el tráfico de
otros servicios interfieren entre sí.
l Si la función de espejado se despliega en muchos puertos de un dispositivo, se ocupará
una gran cantidad de ancho de banda de reenvío interno, lo que afecta el reenvío de otros
servicios. Además, si el ancho de banda del puerto espejado es mayor que el ancho de
banda del puerto de observación, por ejemplo, 1000 Mbit/s en un puerto espejado y 100
Mbit/s en un puerto de observación, el puerto de observación no podrá reenviar todos los
paquetes espejados a tiempo debido a la insuficiencia de ancho de banda, lo que ocurre la
pérdida de paquetes.
l En todos los modelos de switch modular de la serie S de Huawei, Eth-Trunks se pueden
configurar como puertos de observación. En los siguientes modelos de switch fijo de la
serie S de Huawei, Eth-Trunks se pueden configurar como puertos de observación en
V200R005 y versiones posteriores: S5300EI, S5300HI, S5306, S5310EI, S5320EI,
S5320HI, S6300EI, S6320EI, y S6320HI.
l Ambas interfaces físicas y Eth-Trunks se pueden configurar como puertos espejados. Si
un Eth-Trunk está configurado como un puerto espejado, sus puertos de miembros no se
pueden configurar como puertos de observación.
Requisitos de redes
Como se muestra en Figura 14-12, el departamento administrativo de una compañía accede a
Internet a través del SwitchA, y el Server del dispositivo de vigilancia está directamente
conectado al SwitchA por SwitchB.
El tráfico de acceso a Internet del departamento administrativo debe ser vigilado a través del
Server.
Internet
SwitchA SwitchB
GE1/0/2 GE1/0/2
VLAN10
GE1/0/1 GE1/0/1
Departamento
administrativo
Servidor
Puerto común
Puerto espejado
Puerto de observación remoto
Paquetes originales
Paquetes espejados
2. Configure GE1/0/1 del SwitchA como un puerto espejado para copiar el tráfico de
acceso a Internet del departamento administrativo al puerto de observación remoto de
Capa 2.
3. Cree una VLAN en SwitchB, desactive el aprendizaje de direcciones MAC en esta
VLAN y agregue puertos a la VLAN para reenviar los paquetes espejados que se envían
desde el puerto de observación al Server.
Procedimiento
Paso 1 Configure un puerto de observación en SwitchA.
Configure GE1/0/2 del SwitchA como un puerto de observación remoto de Capa 2 y vincule
el puerto de observación a la VLAN 10.
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] observe-port 1 interface gigabitethernet 1/0/2 vlan 10 //Configure
GE1/0/2 como el puerto de observación remoto 1 de Capa 2 y añádalo a la VLAN 10.
Una vez completada la configuración, el puerto de observación reenvía los paquetes espejados
a la VLAN 10, no se debe agregar el puerto de observación a la VLAN.
Paso 2 Configure un puerto espejado en SwitchA.
# Configure GE1/0/1 del SwitchA como un puerto espejado para copiar los paquetes recibidos
por el puerto espejado al puerto de observación remoto de Capa 2 .
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port-mirroring to observe-port 1 inbound //
Espeje el tráfico entrante en GE1/0/1 al puerto de observación 1.
[SwitchA-GigabitEthernet1/0/1] return
NOTA
Aquí, la VLAN 10 se usa para reenviar solo paquetes espejados. Si la VLAN 10 ya existe y ha
aprendido las entradas de la dirección MAC, ejecute el comando undo mac-address vlan vlan-id en la
vista del sistema para eliminar todas las entradas de la dirección MAC en la VLAN 10.
<Quidway> system-view
[Quidway] sysname SwitchB
[SwitchB] vlan 10
[SwitchB-vlan10] mac-address learning disable //Deshabilite el aprendizaje de
direcciones MAC en esta VLAN.
[SwitchB-vlan10] quit
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] port link-type access //Establezca el tipo de
enlace de la interfaz en el dispositivo de vigilancia a access. El tipo de enlace
predeterminado de las interfaces no es access.
[SwitchB-GigabitEthernet1/0/1] port default vlan 10
[SwitchB-GigabitEthernet1/0/1] quit
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] port link-type trunk //Establezca el tipo de
enlace de la interfaz en el lado de la red a Trunk. El tipo de enlace
predeterminado de las interfaces no es Trunk.
[SwitchB-GigabitEthernet1/0/2] port trunk allow-pass vlan 10
[SwitchB-GigabitEthernet1/0/2] return
----Fin
Archivos de configuración
l El archivo de configuración de SwitchA
#
sysname SwitchA
#
observe-port 1 interface GigabitEthernet1/0/2 vlan 10
#
interface GigabitEthernet1/0/1
port-mirroring to observe-port 1 inbound
#
return
Notas de configuración
l Un puerto de observación está dedicado a reenviar tráfico espejado. No configure otros
servicios en un puerto de observación; de lo contrario, el tráfico espejado y el tráfico de
otros servicios interfieren entre sí.
l Si la función de espejado se despliega en muchos puertos de un dispositivo, se ocupará
una gran cantidad de ancho de banda de reenvío interno, lo que afecta el reenvío de otros
servicios. Además, si el ancho de banda del puerto espejado es mayor que el ancho de
banda del puerto de observación, por ejemplo, 1000 Mbit/s en un puerto espejado y 100
Mbit/s en un puerto de observación, el puerto de observación no podrá reenviar todos los
paquetes espejados a tiempo debido a la insuficiencia de ancho de banda, lo que ocurre la
pérdida de paquetes.
l En todos los modelos de switch modular de la serie S de Huawei, Eth-Trunks se pueden
configurar como puertos de observación. En los siguientes modelos de switch fijo de la
serie S de Huawei, Eth-Trunks se pueden configurar como puertos de observación en
V200R005 y versiones posteriores: S5300EI, S5300HI, S5306, S5310EI, S5320EI,
S5320HI, S6300EI, S6320EI, y S6320HI.
l Ambas interfaces físicas y Eth-Trunks se pueden configurar como puertos espejados. Si
un Eth-Trunk está configurado como un puerto espejado, sus puertos de miembros no se
pueden configurar como puertos de observación.
l La siguiente tabla enumera los productos y las versiones aplicables de este ejemplo de
configuración.
S2352P-EI V100R006C05
S3300SI V100R006C05
S3300EI V100R006C05
S3300HI V200R001C00
S6320HI V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Como