Sx300 Switches de La Serie Ejemplos Tipi

Sx300 Switches de la serie
Ejemplos típicos de configuración
Versión 02
Fecha 2018-08-13
HUAWEI TECHNOLOGIES CO., LTD.

Copyright © Huawei Technologies Co., Ltd. 2018. Todos los derechos reservados.
Se prohibe la reproducción y/o divulgación total o parcial del presente documento de cualquier forma y
mediante cualquier medio sin contar con la autorización previa y escrita de Huawei Technologies Co., Ltd.
Marcas y licencias
y toda otra marca registrada de Huawei pertenecen a Huawei Technologies Co., Ltd.
Toda otra marca y nombre comercial mencionado en este documento pertenece a sus respectivos titulares.
Aviso
Los productos, servicios y características adquiridos están estipulados en el contrato celebrado entre
Huawei y el cliente. Es posible que una parte o todos los productos, servicios y funciones descritos en este
documento no se encuentren dentro del ámbito de la compra o del ámbito de uso. Salvo especificación en
contrario del contrato, todas las declaraciones, información y recomendaciones contenidas en este
documento no están sujetas a garantía de ningún tipo, ni expresa ni implícita.
La información contenida en este documento está sujeta a cambios sin previo aviso. Se han arbitrado todos
los medios necesarios para garantizar la precisión de los contenidos. Sin embargo, las declaraciones,
información y recomendaciones incluidas en el presente no constituyen garantía de ningún tipo, ni expresa
ni implícita.
Huawei Technologies Co., Ltd.

Dirección: Huawei Industrial Base
Bantian, Longgang
Shenzhen 518129
República Popular China
Página web: http://www.huawei.com

Email: support@huawei.com
Versión 02 (2018-08-13) Material confidencial de Huawei i

Copyright © Huawei Technologies Co., Ltd.
Ejemplos típicos de configuración Acerca de este documento
Acerca de este documento
Público objetivo
Este documento está destinado a los ingenieros de redes responsables de la configuración y
gestión de los switches. Debe estar familiarizado con los conocimientos básicos de Ethernet y
tener una amplia experiencia en el despliegue y la gestión de redes.
Convenciones de símbolos
Los símbolos que se pueden encontrar en este documento se definen de la siguiente manera.
Símbolo Descripción
Indica una situación potencialmente

peligrosa que, si no se evita, podría
ocasionar daños al equipo, pérdida de datos,
deterioro del rendimiento o resultados no
previstos.
AVISO se utiliza para abordar prácticas no
relacionadas con las lesiones personales.
NOTE Llama la atención sobre la información

importante, prácticas y consejos mejores.
NOTA se utiliza para abordar información
no relacionada con lesiones personales,
daños al equipo y deterioro del entorno.
Convenciones de comando
Las convenciones de comando que se pueden encontrar en este documento se definen de la
siguiente manera.
Convención Descripción
Boldface Las palabras clave de una línea de comando están en

boldface.
Versión 02 (2018-08-13) Material confidencial de Huawei ii

Convención Descripción
Italic Los argumentos del comando están en italics.
[] Los ítems (palabras clave o argumentos) entre corchetes [ ]

son opcionales.
{ x | y | ... } Los ítems opcionales se agrupan entre llaves y separados

por las barras verticales. Un ítem es seleccionado.
[ x | y | ... ] Los ítems opcionales se agrupan entre paréntesis y

separados por barras verticales. Se selecciona un ítem o no
se selecciona ningún ítem.
{ x | y | ... }* Los ítems opcionales se agrupan entre llaves y separados

por barras verticales. Se puede seleccionar un mínimo de
un ítem o un máximo de todos los ítems.
[ x | y | ... ]* Los ítems opcionales se agrupan entre paréntesis y

separados por barras verticales. Se pueden seleccionar
varios ítems o ningún ítem.
&<1-n> El parámetro antes del signo & se puede repetir por 1 a n

veces.
# Una línea que comienza con el signo # es comentarios.
Convenios de numeración de interfaz

Los números de interfaz utilizados en este manual son ejemplos. En la configuración del
dispositivo, use los números de interfaz existentes en los dispositivos.
Convenciones de seguridad
l Configuración de contraseña
– Para garantizar la seguridad del dispositivo, utilice texto cifrado al configurar una
contraseña y cambie la contraseña periódicamente.
– El switch considera todas las contraseñas que comienzan y finaliza con %^%#, %#
%#, %@%@ or @%@% como texto cifrado e intenta descifrarlas. Si configura una
contraseña de texto simple que comienza y finaliza con %^%#, %#%#, %@%@ or
@%@%, el switch lo descifra y lo registra en el archivo de configuración (las
contraseñas de texto plano no se graban por razones de seguridad). Por lo tanto, no
configure una contraseña que comienza y finaliza con %^%#, %#%#, %@%@ or
@%@%.
– Cuando configura las contraseñas en texto cifrado, las diferentes funciones deben
usar contraseñas de texto cifrado diferentes. Por ejemplo, la contraseña de texto
cifrado establecida para la función AAA no se puede usar para otras funciones.
l Algoritmos de cifrado
Versión 02 (2018-08-13) Material confidencial de Huawei iii

El switch actualmente es compatible con 3DES, AES, RSA, SHA1, SHA2 y MD5.
3DES, RSA y AES son reversibles, mientras que SHA1, SHA2 y MD5 son irreversibles.
El uso de los algoritmos de cifrado DES, 3DES, RSA (RSA-1024 o inferior), MD5 (en
escenarios de firmas digitales y encriptación de contraseñas) o SHA1 (en escenarios de
firmas digitales) es un riesgo de seguridad. Si los protocolos lo permiten, utilice
algoritmos de cifrado más seguros, como AES, RSA (RSA-2048 o superior), SHA2 o
HMAC-SHA2.
Se debe usar un algoritmo de encriptación irreversible para la contraseña del
administrador. SHA2 se recomienda para este propósito.
l Información personal
Algunos datos personales (como las direcciones MAC o IP de los terminales) pueden
obtenerse o utilizarse durante la operación o localización de fallas de los productos,
servicios o funciones adquiridos, por lo que tiene la obligación de realizar políticas de
privacidad y tomar medidas de acuerdo con la ley aplicable de el país para proteger los
datos personales.
l Espejado
Los términos como puerto espejado, espejado de puertos, espejado de tráfico y espejado
en este documento se mencionan solo para describir la función del producto del error de
comunicación o la detección de fallas, y no involucran la recopilación o el procesamiento
de información personal o los datos de comunicación de los usuarios.
Aviso legal
Este documento está diseñado como una referencia para que usted configure sus dispositivos.
Sus contenidos, incluidas las páginas web, la entrada y salida de línea de comandos, se basan
en las condiciones del laboratorio. Proporciona instrucciones para los escenarios generales,
pero no cubre todos los casos de uso de todos los modelos de productos. Los ejemplos
brindados pueden diferir de su caso de uso debido a diferencias en las versiones de software,
modelos y archivos de configuración. Al configurar su dispositivo, modifique la
configuración según su caso de uso.
Las especificaciones proporcionadas en este documento se prueban en el entorno de
laboratorio (por ejemplo, el dispositivo probado se ha instalado con un cierto tipo de placas o
solo se ejecuta un protocolo en el dispositivo). Los resultados pueden diferir de las
especificaciones enumeradas cuando intenta obtener los valores máximos con múltiples
funciones habilitadas en el dispositivo.
Versión 02 (2018-08-13) Material confidencial de Huawei iv

Ejemplos típicos de configuración Contenidos
Contenidos
Acerca de este documento.............................................................................................................. ii

1 Ejemplo de configuración integral.............................................................................................1
1.1 Configuración típica del módulo de NGFW...................................................................................................................1
1.1.1 Espera en caliente del balanceo de carga de Capa 2 en los módulos de NGFW instalados en un Switch de clúster
donde se implementa el desvío de tráfico basado en la redirección..................................................................................... 1
1.1.2 Espera en caliente activo/standby de Capa 3 en los módulos de NGFW instalados en un Switch de clúster donde se
implementa el desvío de tráfico basado en enrutamiento estático......................................................................................14
implementa el desvío de tráfico basado en PBR................................................................................................................ 30
implementa el desvío de tráfico basado en VLAN.............................................................................................................45
2 Ejemplos de interconexión........................................................................................................ 58
2.1 Configuración típica para la interconexión entre switches y teléfonos IP....................................................................58
2.1.1 Descripción general................................................................................................................................................... 58
2.1.2 Conceptos básicos......................................................................................................................................................59
2.1.3 Conexión física de un teléfono IP para el interfuncionamiento................................................................................ 61
2.1.4 Modos de interconexión compatibles con diferentes modelos de teléfonos IP......................................................... 62
2.1.5 Ejemplo para conectar teléfonos IP a switches a través de LLDP............................................................................ 75
2.1.6 Ejemplo para conectar teléfonos IP a switches a través de LLDP-MED.................................................................. 91
2.1.7 Ejemplo para conectar teléfonos IP de Cisco a switches a través del HDP.............................................................. 98
2.1.8 Ejemplo para conectar un teléfonos IP a switches a través del servidor DHCP......................................................110
2.1.9 Ejemplo para conectar teléfonos IP a switches a través de la asignación de VLAN basada en direcciones MAC.114
2.1.10 Ejemplo para conectar teléfonos IP a switches a través de VLAN de voz basada en OUI................................... 119
2.1.11 Ejemplo para conectar teléfonos IP a switches a través del PVID del ID de VLAN de voz.................................134
2.1.12 Ejemplo para conectar teléfonos IP a switches a través de una ACL....................................................................146
2.1.13 Ejemplo para conectar teléfonos IP a switches a través de una política de tráfico simplificado basada en ACL.160
2.1.14 Ejemplo para conectar teléfonos IP a switches a través de autenticación NAC y VLAN de voz......................... 172
2.1.15 Causas comunes para las fallas del inicio de sesión de los teléfonos IP y sus soluciones.................................... 177
2.2 Configuración típica para la interconexión entre switches y cortafuegos.................................................................. 182
2.2.1 Ejemplo para configurar un switch de Capa 2 para trabajar con cortafuegos para acceso de Internet................... 182
2.2.2 Ejemplo para configurar un switch de Capa 3 para trabajar con cortafuegos para acceso de Internet................... 189
2.3 Configuración típica para la interconexión entre switches y routers..........................................................................195
2.3.1 Ejemplo para configurar un switch de Capa 2 a trabajar con un router para acceso a Internet...............................195
Versión 02 (2018-08-13) Material confidencial de Huawei v

2.3.2 Ejemplo para configurar un switch de Capa 3 a trabajar con un router para acceso a Internet...............................200
2.4 Configuración típica para la interconexión entre switches y servidores.................................................................... 205
2.4.1 Configuración típica para la interconexión entre switches y servidores NLB........................................................ 205
2.4.1.1 Ejemplo para conectar un dispositivo a un Clúster NLB (utilizando ARP de interfaz múltiple).........................205
2.4.1.2 Ejemplo de conexión de un dispositivo único a un clúster NLB (usando bucle de retorno de enlace físico)......210
2.4.1.3 Ejemplo para conectar un grupo VRRP a un clúster NLB (usando bucle de retorno de enlace físico)............... 213
2.4.1.4 Ejemplo para conectar una pila a un clúster NLB (usando bucle de retorno de enlace físico)............................ 220
2.5 Interconexión entre un switch de PoE y los PD......................................................................................................... 226
2.5.1 Principios................................................................................................................................................................. 226
2.5.2 Fuente de alimentación para diferentes tipos de los PD conectados a switches PoE.............................................. 226
3 Configuración básica típica..................................................................................................... 232

3.1 Configuración típica de inicio de sesión.....................................................................................................................232
3.1.1 Ejemplo para configurar el inicio de sesión en el switch a través de un puerto de consola.................................... 232
3.1.2 Ejemplo para configurar el inicio de sesión de Telnet (según las reglas de ACL y la autenticación RADIUS).....239
3.1.3 Ejemplo para configurar el inicio de sesión de STelnet (En función de la autenticación RADIUS)...................... 243
3.1.4 Ejemplo para configurar el inicio de sesión de conmutación a través del sistema web.......................................... 247
3.1.4.1 Configuración de fábrica de archivos de la página web para los switches de la serie S...................................... 247
3.1.4.2 Ejemplo para configurar el inicio de sesión de conmutación a través del sistema web (V200R001)..................249
3.1.4.3 Ejemplo para configurar el inicio de sesión de conmutación a través del sistema web (V100R006C05,
V200R002 y V200R003)..................................................................................................................................................255
3.1.4.4 Ejemplo para configurar el inicio de sesión de conmutación a través del sistema web (V200R005)..................260
3.1.4.5 Ejemplo para configurar el inicio de sesión del switch a través del sistema web (V200R006 y las versiones
posteriores)....................................................................................................................................................................... 265
3.2 Configuración típica de gestión de archivos...............................................................................................................269
3.2.1 Ejemplo para iniciar sesión en el switch para administrar los archivos.................................................................. 269
3.2.2 Ejemplo para administrar los archivos mediante FTP.............................................................................................271
3.2.3 Ejemplo para administrar los archivos mediante SFTP...........................................................................................274
3.2.4 Ejemplo para acceder a los archivos de otros dispositivos mediante TFTP............................................................277
3.2.5 Ejemplo para acceder a los archivos de otros dispositivos mediante FTP.............................................................. 279
3.2.6 Ejemplo para acceder a los archivos de otros dispositivos mediante SFTP............................................................ 281
4 Configuración típica para gestión de dispositivos............................................................. 294

4.1 Configuración típica de pila de switches fijos............................................................................................................294
4.1.1 Descripción general de la pila..................................................................................................................................294
4.1.2 Método y recomendaciones del despliegue de pila................................................................................................. 294
4.1.2.1 Recomendaciones del despliegue de ubicación de pila........................................................................................ 294
4.1.2.2 Determine la topología de la pila..........................................................................................................................298
4.1.2.3 Recomendaciones de configuración del servicio..................................................................................................300
4.1.3 Determinación de la compatibilidad y el modo de conexión de pila.......................................................................301
4.1.3.1 Compatibilidad de la versión de Stack................................................................................................................. 301
4.1.3.2 Compatibilidad con el apilamiento de puertos de servicio del S2300..................................................................304
4.1.3.3 Compatibilidad con el apilamiento de puertos de servicio del S3300..................................................................308
4.1.3.4 Compatibilidad con el apilamiento de tarjetas del S5300EI/S5300SI..................................................................309
Versión 02 (2018-08-13) Material confidencial de Huawei vi

4.1.3.5 Soporte de apilamiento del puerto de servicio de S5300HI................................................................................. 310

4.1.3.6 Soporte de apilamiento de puertos de servicio S5320HI......................................................................................311
4.1.3.7 Compatibilidad con el apilamiento de puertos de servicio del S5300LI.............................................................. 313
4.1.3.8 Compatibilidad con el apilamiento de puertos de servicio del S5310EI.............................................................. 319
4.1.3.9 Compatibilidad con el apilamiento de tarjetas del S5320EI.................................................................................321
4.1.3.10 Compatibilidad con el apilamiento de puertos de servicio del S5320LI............................................................ 322
4.1.3.11 Compatibilidad con el apilamiento de puertos de servicio del S5320SI............................................................ 328
4.1.3.12 Soporte del apilamiento de las tarjetas de pila S5330SI.....................................................................................332
4.1.3.14 Compatibilidad con el apilamiento de puertos de servicio del S6300EI............................................................ 335
4.1.3.15 Compatibilidad con el apilamiento de puertos de servicio del S6320HI............................................................337
4.1.3.16 Compatibilidad con el apilamiento de puertos de servicio del S6320EI............................................................ 340
4.1.4 Ejemplo para configurar una pila mediante tarjetas de pila (V200R001 a V200R012)..........................................345
4.1.5 Ejemplo para configurar una pila mediante puertos de servicio (V100R006C05)..................................................350
4.1.6 Ejemplo para configurar una pila mediante puertos de servicio (V200R001 a V200R002)................................... 353
4.1.7 Ejemplo para configurar una pila mediante puertos de servicio (V200R003 a V200R012)................................... 359
4.1.8 Ejemplo para establecer una pila a través de conexiones de puertos de servicio mediante cables de pila dedicados
(V200R011C10 y versiones posteriores)..........................................................................................................................365
4.1.9 Guía de reemplazo del switch de pila...................................................................................................................... 371
4.2 Configuración típica de CSS de los switches modulares........................................................................................... 373
4.2.1 Compatibilidad de CSS........................................................................................................................................... 373
4.2.1.1 Compatibilidad de la versión de CSS................................................................................................................... 373
4.2.1.2 Compatibilidad de software y hardware para la clusterización de tarjetas de CSS del S9300.............................374
4.2.1.3 Compatibilidad de software y hardware para la clusterización de tarjetas de CSS del S9300E.......................... 376
4.2.1.4 Compatibilidad de software y hardware para la clusterización de tarjetas de CSS del S9310X..........................377
4.2.1.5 Compatibilidad de software y hardware para la clusterización de puertos de servicio del S9300 y del S9310X
.......................................................................................................................................................................................... 378
4.2.1.6 Compatibilidad de software y hardware para la clusterización de puertos de servicio del S9300E.................... 381
4.2.2 Ejemplo para configurar un CSS de dos switches de miembro mediante tarjetas de CSS......................................383
4.2.3 Ejemplo para configurar un CSS mediante puertos de servicio.............................................................................. 394
4.3 Configuración típica de SVF ..................................................................................................................................... 404
4.3.1 Información antes del despliegue de SVF............................................................................................................... 404
4.3.1.1 Características técnicas de SVF............................................................................................................................404
4.3.1.2 Escenarios de aplicación de SVF..........................................................................................................................405
4.3.1.3 Limitaciones del despliegue del servicio de SVF.................................................................................................408
4.3.2 Planificación del sistema de SVF............................................................................................................................ 421
4.3.2.1 Planificación de redes del sistema SVF................................................................................................................422
4.3.2.2 Planificación de dispositivos de miembro de un sistema SVF............................................................................. 425
4.3.3 Configuración de servicio de AS.............................................................................................................................427
4.3.3.1 Configuración de partición de red de usuario de acceso...................................................................................... 429
4.3.3.2 Configuración de autenticación para usuario de acceso....................................................................................... 429
4.3.3.3 Configuración de seguridad..................................................................................................................................434
Versión 02 (2018-08-13) Material confidencial de Huawei vii

4.3.4 Ejemplo para configurar SVF (S9300 como el parent)........................................................................................... 437

4.3.5 Ejemplo para configurar SVF (S12700 como el parent)......................................................................................... 449
4.3.6 Ejemplo para configurar SVF (S6320-EI como el Parent)......................................................................................464
4.4 Configuración típica de PoE.......................................................................................................................................475
4.4.1 Ejemplo para configurar PoE (modo automático)................................................................................................... 475
4.4.2 Ejemplo para configurar PoE (modo manual)......................................................................................................... 480
5 Configuración típica de interfaz Ethernet............................................................................ 484

5.1 Ejemplo para configurar una interfaz Combo............................................................................................................ 484
5.2 Ejemplo para configurar la tasa y el modo dúplex de una interfaz Ethernet..............................................................486
5.3 Ejemplo para cambiar una interfaz entre los modos de Capa 2 y Capa 3.................................................................. 494
5.4 Ejemplo para configurar el aislamiento del puerto.....................................................................................................498
6 Configuración típica de conmutación Ethernet................................................................... 501

6.1 Configuración típica de MAC.................................................................................................................................... 501
6.1.1 Ejemplo para configurar entradas de direcciones MAC estáticas........................................................................... 501
6.1.2 Ejemplo para configurar entradas de direcciones MAC de Blackhole....................................................................503
6.1.3 Ejemplo para configurar la limitación de la dirección MAC en una VLAN...........................................................505
6.1.4 Ejemplo para configurar la limitación de la dirección MAC en una interfaz..........................................................507
6.2 Configuración de agregación de enlaces.................................................................................................................... 509
6.2.1 Ejemplo para configurar agregación de enlaces en modo manual cuando los switches están conectados
directamente......................................................................................................................................................................509
6.2.2 Ejemplo para configurar agregación de enlace en modo LACP cuando los switches están conectados directamente
.......................................................................................................................................................................................... 513
6.2.3 Ejemplo para conectar un E-Trunk a una red de VPLS...........................................................................................517
6.2.4 Ejemplo para configurar un Eth-Trunk para preferencialmente reenviar tráfico local en un CSS o una pila......... 531
6.2.5 Ejemplo para configurar un Eth-Trunk y una asociación entre VRRP y el estado de interfaz............................... 536
6.3 Configuración típica de VLAN.................................................................................................................................. 548
6.3.1 Ejemplo para configurar la asignación de VLAN basada en la interfaz..................................................................548
6.3.2 Ejemplo para configurar la asignación de VLAN basada en la interfaz (Dispositivo de acceso utilizado como
gateway)............................................................................................................................................................................554
6.3.3 Ejemplo para configurar la asignación de VLAN basada en la interfaz (dispositivo de agregación utilizado como
gateway)............................................................................................................................................................................559
6.3.4 Ejemplo para configurar la asignación de VLAN basada en direcciones MAC..................................................... 562
6.3.5 Ejemplo para configurar la asignación de VLAN basada en subredes IP............................................................... 569
6.3.6 Ejemplo para conectar directamente un terminal a un gateway de Capa 3 para implementar la comunicación entre
VLAN............................................................................................................................................................................... 576
6.3.7 Ejemplo para conectar un terminal a un gateway de Capa 3 a través de un switch de Capa 2............................... 578
6.3.8 Ejemplo para configurar la comunicación entre diferentes segmentos de red a través de rutas estáticas...............582
6.3.9 Ejemplo para configurar la Super-VLAN................................................................................................................587
6.3.10 Ejemplo para configurar MUX VLAN para aislar usuarios en la misma VLAN................................................. 593
6.4 Configuración típica de QinQ.....................................................................................................................................598
6.4.1 Ejemplo para configurar QinQ básico..................................................................................................................... 598
6.4.2 Ejemplo para configurar el QinQ selectivo basado en VLAN ID........................................................................... 601
6.4.3 Ejemplo para configurar QinQ selectivo basado en flujo........................................................................................604
Versión 02 (2018-08-13) Material confidencial de Huawei viii

6.5 Ejemplos típicos de MSTP/RRPP/SEP/VBST........................................................................................................... 609

6.5.1 Ejemplo para configurar STP.................................................................................................................................. 609
6.5.2 Ejemplo para configurar RSTP................................................................................................................................614
6.5.3 Ejemplo para configurar MSTP...............................................................................................................................620
6.5.4 Ejemplo para configurar MSTP y VRRP................................................................................................................ 630
6.5.5 Ejemplo para configurar un solo anillo RRPP con una instancia única.................................................................. 642
6.5.6 Ejemplo para configurar anillos RRPP tangentes....................................................................................................647
6.5.7 Ejemplo para configurar RRPP Snooping en una red VPLS...................................................................................655
6.5.8 Ejemplo para configurar SEP y MSTP en una red.................................................................................................. 662
6.5.9 Ejemplo para configurar SEP y RRPP en una red...................................................................................................676
6.5.10 Ejemplo para configurar VBST............................................................................................................................. 695
6.6 Configuración típica de detección de loopback..........................................................................................................706
6.6.1 Ejemplo para configurar LDT para detectar bucles en la red de enlace descendente............................................. 706
6.6.2 Ejemplo para configurar LDT para detectar bucles en la red local......................................................................... 709
6.6.3 Ejemplo para configurar LBDT para detectar loopbacks en una interfaz............................................................... 714
6.6.4 Ejemplo para configurar LBDT para detectar bucles en la red de enlace descendente...........................................718
6.6.5 Ejemplo para configurar LBDT para detectar bucles en la red local...................................................................... 722
7 Configuración típica del servicio de IP................................................................................. 727

7.1 Configurar ARP.......................................................................................................................................................... 727
7.1.1 Ejemplo para configurar ARP estático.................................................................................................................... 727
7.1.2 Ejemplo para configurar el Proxy ARP enrutado.................................................................................................... 731
7.2 Configuración típica de DHCP...................................................................................................................................736
7.2.1 Ejemplo para configurar el dispositivo como un servidor DHCP (Basado en el grupo de direcciones de la interfaz)
.......................................................................................................................................................................................... 736
7.2.2 Ejemplo para configurar un dispositivo como servidor DHCP (Basado en el grupo global de direcciones)..........742
7.2.3 Ejemplo para configurar un servidor DHCP para asignar diferentes parámetros de red desde el grupo global de
direcciones a clientes dinámicos y estáticos.....................................................................................................................748
7.2.4 Ejemplo para configurar el dispositivo como una retransmisión DHCP (en la misma red)....................................753
7.2.5 Ejemplo para configurar el dispositivo como una retransmisión DHCP (a través de un túnel GRE).....................758
7.2.6 Ejemplo para configurar un cliente DHCP..............................................................................................................766
7.2.7 Ejemplo para configurar servidores DHCP basados en el grupo de direcciones global en el mismo segmento de red
en redes VRRP..................................................................................................................................................................769
8 Configuración típica de enrutamiento.................................................................................. 779

8.1 Configuración típica de ruta estática.......................................................................................................................... 779
8.1.1 Ejemplo para configurar rutas estáticas para el interfuncionamiento entre diferentes segmentos de red............... 779
8.1.2 Ejemplo para configurar rutas estáticas para equilibrio de carga............................................................................ 783
8.1.3 Ejemplo para configurar rutas estáticas para la copia de seguridad del enlace....................................................... 789
8.1.4 Ejemplo para configurar NQA para rutas estáticas IPv4.........................................................................................794
8.1.5 Ejemplo para configurar EFM para rutas estáticas IPv4......................................................................................... 803
8.2 Configuración típica de OSPF.................................................................................................................................... 807
8.2.1 Ejemplo para configurar funciones básicas de OSPF..............................................................................................807
8.2.2 Ejemplo para configurar una área de stub de OSPF................................................................................................ 813
Versión 02 (2018-08-13) Material confidencial de Huawei ix

8.2.3 Ejemplo para configurar una NSSA de OSPF.........................................................................................................819

8.2.4 Ejemplo para configurar el equilibrio de carga OSPF.............................................................................................825
8.2.5 Ejemplo para configurar BFD para OSPF............................................................................................................... 832
8.3 Configuración típica de PBR...................................................................................................................................... 839
8.3.1 Ejemplo para configurar las políticas de tráfico para desplegar el enrutamiento basado en políticas (redirección a
diferentes saltos siguientes).............................................................................................................................................. 839
9 Configuración típica de MPLS y VPN...................................................................................847

9.1 Configuración típica de BGP/MPLS IP VPN.............................................................................................................847
9.1.1 Ejemplo para configurar BGP/MPLS IP VPN........................................................................................................ 847
9.1.2 Ejemplo para configurar un MCE........................................................................................................................... 862
9.1.3 Ejemplo para configurar el acceso a la VPN de multicast a través de dispositivos MCE.......................................875
9.1.4 Ejemplo para configurar L3VPN y VRRP.............................................................................................................. 898
9.1.5 Ejemplo para configurar las políticas de enrutamiento para controlar el acceso mutuo entre usuarios de L3VPN
.......................................................................................................................................................................................... 913
9.2 Ejemplo para conectar las subinterfaces de terminación QinQ a una red VLL..........................................................923
9.3 Ejemplo para desplegar BGP/MPLS IP VPN y VPLS en una red ISP...................................................................... 934
10 Configuración de confiabilidad típica................................................................................ 953

10.1 Configuración típica de BFD....................................................................................................................................953
10.1.1 Ejemplo para asociar el estado de la sesión BFD con el estado de la interfaz...................................................... 953
10.2 Configuración típica de VRRP................................................................................................................................. 959
10.2.1 Ejemplo para configurar un grupo de VRRP en modo activo/standby................................................................. 959
10.2.2 Ejemplo para configurar un grupo de VRRP en el modo de equilibrio de carga.................................................. 967
10.2.3 Ejemplo para configurar la asociación entre VRRP y BFD para implementar una conmutación rápida activa/
standby..............................................................................................................................................................................974
10.2.4 Ejemplo para configurar un Eth-Trunk y una asociación entre VRRP y el estado de interfaz............................. 982
10.2.5 Ejemplo para configurar VRRP para garantizar la transmisión de datos de multidifusión confiable...................994
11 Configuración típica de acceso y autenticación de usuarios.........................................1012

11.1 Configuración típica de AAA................................................................................................................................. 1013
11.1.1 Aviso a ser tomado cuando el dispositivo se conecta a servidores RADIUS que no sean de Huawei ............... 1013
11.1.2 Ejemplo para configurar la autenticación para usuarios de inicio de sesión de telnet (autenticación local de AAA)
........................................................................................................................................................................................ 1014
11.1.3 Ejemplo para configurar la autenticación para usuarios de inicio de sesión de telnet (autenticación RADIUS)1017
11.1.4 Ejemplo para configurar la autenticación para usuarios de inicio de sesión de telnet (utilizando el ACS seguro
como servidor de autenticación RADIUS)..................................................................................................................... 1021
11.1.5 Ejemplo para configurar la autenticación para usuarios de inicio de sesión de telnet (autenticación HWTACACS
y local)............................................................................................................................................................................ 1041
11.1.6 Ejemplo para configurar la administración predeterminada de usuarios basada en dominios............................ 1045
11.2 Configuración típica de NAC (modo unificado) (Agile Controller-Campus como el servidor de autenticación)
(V200R009C00 y versiones posteriores)........................................................................................................................1051
11.2.1 Ejemplo para configurar la autenticación Portal para controlar el acceso del usuario a la red empresarial (punto
de autenticación en el switch de core)............................................................................................................................ 1051
de autenticación en el switch de agregación)................................................................................................................. 1071
Versión 02 (2018-08-13) Material confidencial de Huawei x

11.2.3 Ejemplo para configurar la autenticación 802.1X y la autenticación de dirección MAC para controlar el acceso
del usuario a la red empresarial (punto de autenticación en el switch de agregación)...................................................1091
11.2.4 Ejemplo para configurar la autorización de usuario basada en ACL o VLAN dinámica....................................1109
11.3 Configuración típica de NAC (modo unificado) (V200R009C00 y versiones posteriores)................................... 1124
11.3.1 Ejemplo para configurar la autenticación 802.1X para controlar el acceso del usuario......................................1124
11.3.2 Ejemplo para configurar la autenticación de dirección MAC para controlar el acceso del usuario.................... 1129
11.3.3 Ejemplo para configurar la autenticación Portal para controlar el acceso del usuario........................................ 1133
11.4 Configuración típica de NAC (modo unificado) (el Agile Controller-Campus como el servidor de autenticación)
(V200R005C00 a V200R008C00)..................................................................................................................................1138
de autenticación en el switch de core)............................................................................................................................ 1138
de autenticación en el switch de agregación)..................................................................................................................1159
11.4.3 Ejemplo para configurar autenticación 802.1X y autenticación de dirección MAC para controlar el acceso de
usuario a la red empresarial (punto de autenticación en el switch de acceso)................................................................1178
11.4.4 Ejemplo para configurar la autenticación 802.1X y la autenticación de dirección MAC para controlar el acceso
del usuario a la red empresarial (punto de autenticación en el switch de agregación)................................................... 1194
11.5 Configuración típica de NAC (modo unificado) (V200R005C00 a V200R008C00)............................................ 1212
11.5.2 Ejemplo para configurar la autenticación de dirección MAC para controlar el acceso del usuario....................1216
11.5.4 Ejemplo para configurar múltiples modos de autenticación para controlar el acceso del usuario...................... 1225
11.6 Configuración típica de NAC (modo común).........................................................................................................1229
11.6.2 Ejemplo para configurar la autenticación de dirección MAC para controlar el acceso del usuario....................1233
12 Configuración de seguridad típica.....................................................................................1243

12.1 Configuración típica de ACL................................................................................................................................. 1243
12.1.1 Ejemplo de uso de una ACL para restringir los derechos de acceso FTP........................................................... 1243
12.1.2 Ejemplo de uso de ACL para controlar el acceso al servidor especificado en el rango de tiempo especificado 1246
12.1.3 Ejemplo de uso de una ACL para bloquear el acceso a la red de los usuarios especificados............................. 1252
12.1.4 Ejemplo de uso de ACL reflexiva para implementar control de acceso unidireccional......................................1255
12.1.5 Ejemplo para permitir que ciertos usuarios accedan a Internet en el rango de tiempo especificado.................. 1257
12.1.6 Ejemplo de uso de ACL para restringir el acceso mutuo entre segmentos de red...............................................1261
12.1.7 Ejemplo de uso de una ACL para evitar que los hosts internos accedan a Internet............................................ 1265
12.1.8 Ejemplo de uso de una ACL para evitar que los hosts externos accedan a los servidores internos.................... 1269
12.1.9 Ejemplo para aplicar ACL a SNMP para filtrar NMS.........................................................................................1274
12.2 Configuración típica de seguridad ARP................................................................................................................. 1277
12.2.1 Ejemplo para configurar funciones de seguridad ARP........................................................................................1277
12.2.2 Ejemplo para configurar defensa contra ataques ARP MITM............................................................................ 1286
12.3 Configuración típica de DHCP Snooping.............................................................................................................. 1289
12.3.1 Ejemplo para configurar DHCP Snooping para evitar ataques al servidor DHCP falso.....................................1289
12.4 Configuración típica de IPSG.................................................................................................................................1293
Versión 02 (2018-08-13) Material confidencial de Huawei xi

12.4.1 Ejemplo para configurar IPSG para evitar que los hosts con direcciones IP estáticas cambien sus propias
direcciones IP................................................................................................................................................................. 1293
12.4.2 Ejemplo para configurar IPSG para evitar que los hosts con direcciones IP dinámicas cambien sus propias
direcciones IP................................................................................................................................................................. 1298
12.4.3 Ejemplo para configurar IPSG basado en la tabla de vinculación estática para evitar que los hosts no autorizados
accedan a la intranet........................................................................................................................................................1302
12.5 Ejemplo para configurar la seguridad del puerto....................................................................................................1306
13 Configuración típica de QoS............................................................................................... 1310

13.1 Ejemplo para configurar el remarcado prioritario y la planificación de colas........................................................1311
13.2 Ejemplo para configurar la limitación de tasa basada en interfaz en un Switch fijo..............................................1317
13.3 Ejemplo para configurar la limitación de tasa basada en la interfaz en un switch modular...................................1322
13.4 Ejemplo para configurar una política de tráfico para implementar la limitación de tasa....................................... 1325
13.5 Ejemplo para configurar la limitación de velocidad en un rango de tiempo especificado..................................... 1332
13.6 Ejemplo para configurar la limitación de tasa basados en ID de VLAN................................................................1338
13.7 Ejemplo para configurar el modelado del tráfico (Uso del mapeo de prioridades basado en el dominio DiffServ)
........................................................................................................................................................................................ 1345
13.8 Ejemplo para configurar el modelado de tráfico (Basado en 802.1p Priority Trust)..............................................1349
13.9 Ejemplo para configurar la gestión de la congestión (modo de plantilla de planificación)................................... 1353
13.10 Ejemplo para configurar la evitación de congestión y la gestión de congestión (mediante la planificación de WRR
y una política de SRED)................................................................................................................................................. 1357
13.11 Ejemplo para configurar la evitación de congestión y la gestión de congestión (mediante la planificación PQ
+WDRR y un perfil WERD).......................................................................................................................................... 1361
13.12 Ejemplo para configurar una política de tráfico para evitar que algunos usuarios accedan a Internet en el tiempo
especificado.................................................................................................................................................................... 1368
13.13 Ejemplo para configurar una política de tráfico para recopilar estadísticas en paquetes ping............................. 1375
13.14 Ejemplo para configurar una política de tráfico para implementar estadísticas de tráfico...................................1382
13.15 Ejemplo para limitar el acceso basado en el ID de flujo...................................................................................... 1389
13.16 Ejemplo para configurar una política de tráfico para limitar el acceso entre segmentos de red.......................... 1401
13.17 Ejemplo para configurar HQoS............................................................................................................................ 1408
14 Configuración típica de gestión y vigilancia de red....................................................... 1420

14.1 Configuración típica de SNMP...............................................................................................................................1420
14.1.1 Ejemplo para configurar un dispositivo para comunicarse con el NMS mediante SNMPv1..............................1420
14.1.2 Ejemplo para configurar un dispositivo para comunicarse con el NMS mediante SNMPv2c............................1424
14.1.3 Ejemplo para configurar un dispositivo para comunicarse con el NMS mediante SNMPv3..............................1427
14.2 Configuración típica de NetStream........................................................................................................................ 1431
14.2.1 Ejemplo para configurar la exportación de estadísticas de flujo original............................................................1431
14.2.2 Ejemplo para configurar la exportación de estadísticas de flujo de agregación..................................................1436
14.2.3 Ejemplo para configurar la exportación de estadísticas de flujo flexible............................................................1440
14.3 Configuración típica de espejado........................................................................................................................... 1444
14.3.1 Ejemplo para configurar el espejado de puerto local (espejado 1:1)...................................................................1444
14.3.2 Ejemplo para configurar el espejado de puerto local (espejado 1:N en la que los puertos de observación se
configuran uno por uno)................................................................................................................................................. 1447
14.3.3 Ejemplo para configurar el espejado de puerto local (espejado 1:N en la que los puertos de observación se
configuran en un lote).....................................................................................................................................................1453
Versión 02 (2018-08-13) Material confidencial de Huawei xii

14.3.4 Ejemplo para configurar el espejado de puerto local (Espejado N:1)................................................................. 1456
14.3.5 Ejemplo para configurar el espejado de puerto local (espejado M:N)................................................................ 1459
14.3.6 Ejemplo para configurar el espejado de puerto remoto de Capa 2...................................................................... 1462
14.3.7 Ejemplo para configurar el espejado de tráfico local basado en MQC............................................................... 1465
14.3.8 Ejemplo para configurar el espejado de tráfico local basada en ACL.................................................................1472
14.3.9 Ejemplo para configurar el espejado de tráfico remoto basado en MQC............................................................1475
14.3.10 Ejemplo para configurar el espejado de tráfico remoto basado en ACL...........................................................1481
14.3.11 Ejemplo para configurar el espejado de VLAN local........................................................................................1486
14.3.12 Ejemplo para configurar el espejado de VLAN remota.................................................................................... 1491
14.3.13 Ejemplo para configurar el espejado de direcciones MAC locales................................................................... 1496
14.3.14 Ejemplo para configurar el espejado de direcciones MAC remotas..................................................................1500
14.4 Configuración típica de iPCA.................................................................................................................................1505
14.4.1 Ejemplo para configurar iPCA para implementar la medición de pérdidas de paquetes de extremo a extremo.1505
14.4.2 Ejemplo para configurar iPCA para implementar la medición regional de pérdida de paquetes de red.............1510
14.4.3 Ejemplo para configurar iPCA para implementar la medición de pérdida de paquetes Hop-by-Hop................ 1516
14.4.4 Ejemplo para configurar iPCA para implementar la medición de pérdida de paquetes en un enlace directo.....1521
14.4.5 Ejemplo para configurar iPCA para implementar la medición de pérdida de paquetes en un dispositivo..........1524
15 Configuración típica de Free Mobility y servicio de encadenamiento....................... 1528

15.1 Ejemplo para configurar la Free Mobility cuando cambian las ubicaciones físicas de los usuarios......................1528
Versión 02 (2018-08-13) Material confidencial de Huawei xiii

Ejemplos típicos de configuración 1 Ejemplo de configuración integral
1 Ejemplo de configuración integral
Acerca de este capítulo
1.1 Configuración típica del módulo de NGFW
1.1 Configuración típica del módulo de NGFW

Los módulos de NGFW son tarjetas de servicio utilizadas en los switches. Un módulo de
NGFW se conecta con un switch a través de dos enlaces de Ethernet de 20GE. En los dos
enlaces de Ethernet, los puertos en un extremo se encuentran en el switch y los puertos en el
otro extremo están ubicados en el módulo de NGFW. Los servicios deben configurarse tanto
en el lado del switch como en el lado del módulo de NGFW, de lo contrario, el módulo de
NGFW no puede funcionar normalmente.
La versión mínima de la tarjeta del módulo de NGFW que coincide con el switch es
V100R001C10. Estas tarjetas de módulo de NGFW se admiten el switch que ejecuta
V200R005C00 o la versión posterior.
1.1.1 Espera en caliente del balanceo de carga de Capa 2 en los

módulos de NGFW instalados en un Switch de clúster donde se
implementa el desvío de tráfico basado en la redirección
Requisitos de servicio
Como se muestra en Figura 1-1, dos switches forman un CSS, y dos módulos de NGFW
están instalados en la ranura 1 de los switches respectivos e implementan Espera en caliente.
Los módulos de NGFW funcionan en la Capa 2 y están conectados transparentemente a la
red. Los módulos de NGFW implementan la verificación de seguridad en el tráfico enviado
por usuarios de intranet a Internet. El tráfico intercambiado entre las diferentes VLAN no pasa
los módulos de NGFW. En cambio, el tráfico es reenviado directamente por los switches.
Este ejemplo utiliza los módulos de NGFW que ejecutan V100R001C30 y switches que
ejecutan V200R008C00. Para los ejemplos de configuración de los módulos de NGFW que
ejecutan otras versiones, consulteDeployment Guide.
Versión 02 (2018-08-13) Material confidencial de Huawei 1

Figura 1-1 Red para el despliegue del Módulo de dual NGFW de Capa 2 y CSS de switch
Internet/WAN
10.3.0.5/24
Eth-Trunk0 Eth-Trunk5 Eth-Trunk0

10.10.0.1/24 Enlace de latido 10.10.0.2/24
VLAN 200
GE1/0/0 XGE1/1/0/0 XGE2/1/0/0 GE1/0/0
CSS
GE1/0/1 XGE1/1/0/1 SwitchB XGE2/1/0/1 GE1/0/1

SwitchA
NGFW Modue_A NGFW Module_B
Eth-Trunk 2 Eth-Trunk 3
Usuarios de Intranet Área de servidor

10.1.0.0/24 10.2.0.0/24
VLAN 301 VLAN 302
NOTA
El módulo de NGFW tiene dos interfaces fijas de Ethernet internas: GE1/0/0 a GE1/0/1. La numeración de
las interfaces de Ethernet internas en el switch está determinada por la ranura en la que está instalado el
Módulo de NGFW. Por ejemplo, cuando el Módulo de NGFW está instalado en la ranura 1 del switch, las
interfaces de Ethernet internas utilizadas por el switch son XGE1/1/0/0 a XGE1/1/0/1.
Eth-Trunk2 y Eth-Trunk3 son interfaces de los switches en CSS.
Solución del despliegue

Las cuatro interfaces que conectan los switches a los módulos de NGFW están agrupadas en
una interfaz Eth-Trunk, y el tráfico se distribuye entre los dos módulos de NGFW. Los dos
módulos de NGFW implementan Espera en caliente en el modo de balanceo de carga de Capa
2.
1. Agregue las cuatro interfaces en los switches a Eth-Trunk 10 y las cuatro interfaces en
los módulos de NGFW a Eth-Trunk 1.
2. La redirección se configura en los switches para dirigir el tráfico intercambiado entre los
usuarios de la intranet e Internet a los módulos de NGFW. Eth-Trunk 1 se configura
como un par de interfaz (los paquetes que ingresan a la interfaz se reenvían fuera de la
misma interfaz después de ser procesados) en los módulos de NGFW para enviar tráfico
de regreso a los switches.
NOTA
Cuando el módulo de NGFW funciona en modo de par de interfaz, el switch no puede tener habilitada
la función de detección de bucle. Si el switch tiene habilitada la función de detección de bucle, los
paquetes de difusión se envían a la interfaz. Debido a que el Módulo de NGFW funciona en modo de
par de interfaz, todos los paquetes recibidos por la interfaz se envían desde esta interfaz. Esto hace que
el switch detecte los bucles de tráfico y deshabilite la interfaz.

3. Los módulos de NGFW implementan Espera en caliente en el modo de balanceo de

carga de Capa 2. Por lo tanto, configure las VLAN a ser rastreadas de las interfaces de
vínculo ascendentes y descendentes.
Figura 1-2 proporciona una red lógica para entender fácilmente.
Figura 1-2 Configuración de Espera en caliente en los módulos de NGFW
Internet
VLANIF 200
10.3.0.1
Eth-Trunk10 Eth-Trunk10
Eth-Trunk0
10.10.0.1/24
Eth-Trunk0
10.10.0.2/24
VLANIF 301 VLANIF 302

10.1.0.1 10.2.0.1
Usuarios de Intranet Server Area

10.1.0.0/24 10.2.0.0/24
VLAN 301 VLAN 302
NOTA
Figura 1-2 solo proporciona información de las interfaces relacionadas con los switches y los módulos
de NGFW.
4. Agrupe las interfaces GE0/0/1 y GE0/0/2 en el panel de cada módulo de NGFW en una
interfaz Eth-Trunk0, que funciona como la interfaz de latido y el canal de reserva y
habilite Espera en caliente.
5. Configure las funciones de seguridad, como políticas de seguridad, e IPS en NGFW
Module_A. Module_A de NGFW sincronizará automáticamente sus configuraciones a
NGFW Module_B.

Procedimiento
Paso 1 Complete las configuraciones de la interfaz y de red básica en los módulos de NGFW.
# Configure el nombre del dispositivo en NGFW Module_A.
<sysname> system-view
[sysname] sysname Module_A
# Cree las VLAN en NGFW Module_A.

[Module_A] vlan batch 200 301 to 302
[Module_A-vlan-302] quit
# Cree Eth-Trunk 1 de Capa 2 en NGFW Module_A y permita los paquetes desde las VLAN
de vínculo ascendentes y descendentes.
[Module_A] interface Eth-Trunk 1
[Module_A-Eth-Trunk1] description To_SwitchA_trunk10
[Module_A-Eth-Trunk1] portswitch
[Module_A-Eth-Trunk1] port link-type trunk
[Module_A-Eth-Trunk1] port trunk permit vlan 200 301 to 302
[Module_A-Eth-Trunk1] quit
# Agregue las interfaces que conectan NGFW Module_A con su switch conectado a Eth-
Trunk 1.
[Module_A] interface GigabitEthernet 1/0/0
[Module_A-GigabitEthernet1/0/0] portswitch
[Module_A-GigabitEthernet1/0/0] Eth-Trunk 1
[Module_A-GigabitEthernet1/0/0] quit
[Module_A-GigabitEthernet1/0/1] portswitch
# Configure Eth-Trunk 1 como un par de interfaz en NGFW Module_A.

[Module_A] pair-interface Eth-Trunk 1 Eth-Trunk 1
# Agregue las dos interfaces en el panel de NGFW Module_A a Eth-Trunk 0.

[Module_A-Eth-Trunk0] description hrp_interface
[Module_A-Eth-Trunk0] ip address 10.10.0.1 24
# Asigne las interfaces de NGFW Module_A a las zonas de seguridad.

[Module_A] firewall zone trust
[Module_A-zone-trust] add interface Eth-Trunk 1
[Module_A-zone-trust] quit
[Module_A] firewall zone name hrp
[Module_A-zone-hrp] set priority 75
[Module_A-zone-hrp] add interface Eth-Trunk 0
[Module_A-zone-hrp] quit
# Configure el nombre del dispositivo en NGFW Module_B.

[sysname] sysname Module_B
# Cree las VLAN en NGFW Module_B.

[Module_B] vlan batch 200 301 to 302

[Module_B-vlan-302] quit
# Cree Eth-Trunk 1 de Capa 2 en NGFW Module_B y permita los paquetes de las VLAN d
vínculo ascendentes y descendentes.
[Module_B] interface Eth-Trunk 1
[Module_B-Eth-Trunk1] description To_SwitchB_trunk10
[Module_B-Eth-Trunk1] portswitch
[Module_B-Eth-Trunk1] port link-type trunk
[Module_B-Eth-Trunk1] port trunk permit vlan 200 301 to 302
[Module_B-Eth-Trunk1] quit
# Agregue las interfaces que conectan NGFW Module_B con su switch conectado a Eth-
Trunk 1.
[Module_B] interface GigabitEthernet 1/0/0
[Module_B-GigabitEthernet1/0/0] portswitch
[Module_B-GigabitEthernet1/0/0] Eth-Trunk 1
[Module_B-GigabitEthernet1/0/0] quit
[Module_B-GigabitEthernet1/0/1] portswitch
# Configure Eth-Trunk 1 como un par de interfaz en NGFW Module_B.

[Module_B] pair-interface Eth-Trunk 1 Eth-Trunk 1
# Agregue las dos interfaces en el panel de NGFW Module_B a Eth-Trunk 0.

[Module_B-Eth-Trunk0] description hrp_interface
[Module_B-Eth-Trunk0] ip address 10.10.0.2 24
# Asigne las interfaces de NGFW Module_B a las zonas de seguridad.

[Module_B] firewall zone trust
[Module_B-zone-trust] add interface Eth-Trunk 1
[Module_B-zone-trust] quit
[Module_B] firewall zone name hrp
[Module_B-zone-hrp] set priority 75
[Module_B-zone-hrp] add interface Eth-Trunk 0
[Module_B-zone-hrp] quit
Paso 2 Configure Espera en caliente en los módulos de NGFW.

# Habilite la copia de seguridad de sesión rápida en NGFW Module_A.
[Module_A] hrp mirror session enable
# Especifique la interfaz de latido y habilite Espera en caliente en NGFW Module_A.

[Module_A] hrp interface Eth-Trunk 0
[Module_A] hrp enable
[Module_A] hrp loadbalance-device //Este comando solo se requiere en las
versiones anteriores a V100R001C30SPC300.
# Habilite la copia de seguridad de sesión rápida en NGFW Module_B.

[Module_B] hrp mirror session enable
# Especifique la interfaz de latido y habilite Espera en caliente en NGFW Module_B.

[Module_B] hrp interface Eth-Trunk 0

[Module_B] hrp enable
[Module_B] hrp loadbalance-device //Este comando solo se requiere en las
versiones anteriores a V100R001C30SPC300.
NOTA
Después de configurar Espera en caliente, las configuraciones y sesiones en el dispositivo activo se

sincronizan al dispositivo standby; por lo tanto, solo necesita realizar las siguientes configuraciones en
el NGFW Module_A activo.
Antes de configurar la prevención de intrusiones, asegúrese de que se cargue la licencia requerida y la
base de datos de firmas de prevención intrusas sea la última versión.
Al configurar la prevención de intrusiones, utilice el perfil de prevención de intrusiones predeterminada
default.
Paso 3 Configure los servicios de seguridad en los módulos de NGFW.

# En NGFW Module_A, configure una política de seguridad para permitir que los usuarios de
la intranet accedan a Internet y configuren la prevención de intrusiones.
HRP_A[Module_A] security-policy
HRP_A[Module_A-policy-security] rule name policy_to_wan
HRP_A[Module_A-policy-security-rule-policy_to_wan] source-address 10.1.0.0 24
HRP_A[Module_A-policy-security-rule-policy_to_wan] profile ips default
HRP_A[Module_A-policy-security-rule-policy_to_wan] action permit
HRP_A[Module_A-policy-security-rule-policy_to_wan] quit
HRP_A[Module_A-policy-security] quit
NOTA
En este ejemplo, la política de seguridad configurada permite a los usuarios de la intranet acceder a
Internet. Para permitir que Internet acceda a la intranet, configure una regla cuya dirección de destino
sea una dirección de intranet.
# Configure ASPF en NGFW Module_A. FTP se usa como un ejemplo.

HRP_A[Module_A] firewall zone trust
HRP_A[Module_A-zone-trust] detect ftp
HRP_A[Module_A-zone-trust] quit
# Guarde las configuraciones en NGFW Module_A y NGFW Module_B.

HRP_A<Module_A> save
The current configurations will be written to the device.
Are you sure?[Y/N] y
Now saving the current configuration to the device......
Info:The Current Configuration was saved to the device successfully
HRP_S<Module_B> save
Paso 4 Configure los switches de core para formar un CSS.

1. Instale el hardware y conecte los cables. Para más detalles, consulte CSS Installation
Guide.
2. Establezca el modo de conexión de CSS (como el modo de conexión de la tarjeta de
CSS), ID de CSS y prioridad de CSS.
# Configure el CSS en SwitchA. En el ejemplo, el modo de conexión de CSS es el modo
de conexión de tarjeta de CSS, el ID de CSS es 1 y la prioridad de CSS es 100.
<Huawei> system-view
[Huawei] sysname SwitchA
[SwitchA] set css mode css-card //Establezca el modo de

conexión CSS. El modo predeterminado es el modo de conexión de la tarjeta CSS.

[SwitchA] set css id 1 //Establezca la ID de CSS. El
valor predeterminado es 1.
[SwitchA] set css priority 100 //Establece la prioridad de
CSS. El valor predeterminado es 1.
# Configure el CSS en SwitchB. En el ejemplo, el modo de conexión de CSS es el modo

[Huawei] sysname SwitchB
[SwitchB] set css mode css-card
[SwitchB] set css id 2
[SwitchB] set css priority 10
3. Habilite la función de CSS.

# Para usar SwitchA como el switch activo, habilite CSS en SwitchA y luego reinicie
SwitchA.
[SwitchA] css enable
Warning: The CSS configuration will take effect only after the system is
rebooted. T
he next CSS mode is CSS card. Reboot now? [Y/N]:y
# Habilite CSS en SwitchB y luego reinicie SwitchB.

[SwitchB] css enable
rebooted. T
4. Compruebe si el CSS está establecido.

# Inicie sesión en el CSS desde el puerto de la consola de cualquier MPU y ejecute el
siguiente comando para ver el estado de CSS.
<SwitchA> display css status
CSS Enable switch
On
Chassis Id CSS Enable CSS Status CSS Mode Priority Master

Force
------------------------------------------------------------------------------
1 On Master CSS card 100

Off
2 On Standby CSS card 10
Off
Si se muestran los ID de CSS, las prioridades de CSS, el estado de habilitación de CSS y

el estado de CSS de los dos switches de miembro, como se muestra en la información
anterior, se ha establecido el CSS.
Se recomienda configurar MAD para minimizar el impacto de una división de CSS en
los servicios. Las configuraciones detalladas no se describirán aquí.
5. Cambie el nombre del sistema de clúster a CSS.
<SwitchA> system-view
[SwitchA] sysname CSS
[CSS]
Paso 5 Configure las interfaces de switch y las VLAN. Este ejemplo describe cómo configurar la
interconexión entre el switch y los módulos de NGFW.
1. Cree las VLAN.
[CSS] vlan batch 200 301 to 302

2. Configure las interfaces de vínculo ascendentes y descendentes, aisle las interfaces de

vínculo ascendentes y descendentes de Eth-Trunk10 unidireccionalmente. No se
menciona aquí agregar las interfaces a las interfaces Eth-Trunk.
[CSS] interface eth-trunk 2
[CSS-Eth-Trunk2] port link-type trunk
[CSS-Eth-Trunk2] undo port trunk allow-pass vlan 1
[CSS-Eth-Trunk2] port trunk allow-pass vlan 301
[CSS-Eth-Trunk2] am isolate Eth-Trunk 10
[CSS-Eth-Trunk2] quit
[CSS-Eth-Trunk5] port link-type access
[CSS-Eth-Trunk5] port default vlan 200
3. Configure las interfaces VLANIF como gateways de vínculo ascendentes y

descendentes.
[CSS] interface vlanif301
[CSS-Vlanif301] ip address 10.1.0.1 24
[CSS-Vlanif301] quit
4. Agregue las interfaces de switch conectadas con el Módulo de NGFW a Eth-Trunk 10.
[CSS-Eth-Trunk10] description To_Module
[CSS-Eth-Trunk10] trunkport xgigabitethernet 1/1/0/0 to 1/1/0/1
[CSS-Eth-Trunk10] port trunk allow-pass vlan 200 301 to 302
[CSS-Eth-Trunk10] mac-address learning disable
[CSS-Eth-Trunk10] undo local-preference enable
[CSS-Eth-Trunk10] stp disable
5. Establezca el modo de balanceo de carga de la interfaz Eth-Trunk.

NOTA
Cuando el tráfico se envía desde los switches a los módulos de NGFW, el Eth-Trunk de table cruzado
distribuye el tráfico. Para garantizar que los paquetes de ida y vuelta sean enviados por el mismo
Módulo de NGFW, establezca el modo mejorado del balanceo de carga. En el ejemplo, las direcciones
IP de origen y destino se utilizan para ilustración.
[CSS] load-balance-profile module
[CSS-load-balance-profile-module] ipv4 field sip dip
[CSS-load-balance-profile-module] quit
[CSS] interface Eth-Trunk 10
[CSS-Eth-Trunk10] load-balance enhanced profile module
6. Configure las políticas de tráfico para redirigir el tráfico a los módulos de NGFW.
# Cree las ACL.
[CSS] acl 3001 //Coincida el tráfico intercambiado entre los usuarios
de intranet de diferentes VLAN.
[CSS-acl-adv-3001] rule permit ip source 10.1.0.0 0.0.0.255 destination
10.2.0.0 0.0.0.255

[CSS-acl-adv-3001] rule permit ip source 10.2.0.0 0.0.0.255 destination

10.1.0.0 0.0.0.255
[CSS-acl-adv-3001] quit
[CSS] acl 3002 //Coincida el tráfico enviado por los usuarios de la intranet
para acceder a Internet.
[CSS-acl-adv-3002] rule permit ip source 10.1.0.0 0.0.0.255
[CSS-acl-adv-3002] rule permit ip source 10.2.0.0 0.0.0.255
[CSS] acl 3004 //Coincida el tráfico de Internet a la intranet.
[CSS-acl-adv-3004] rule permit ip destination 10.1.0.0 0.0.0.255
[CSS-acl-adv-3004] rule permit ip destination 10.2.0.0 0.0.0.255
# Configure el switch para que no dirija el tráfico intercambiado entre los usuarios de la
intranet, sino para dirigir el tráfico enviado por la intranet a acceder a Internet a los
módulos de NGFW.
[CSS] traffic classifier classifier1 precedence 5
[CSS-classifier-classifier1] if-match acl 3001
[CSS-classifier-classifier1] quit
[CSS] traffic behavior behavior1 //Permita el tráfico intercambiado
entre los usuarios de intranet.
[CSS-behavior-behavior1] permit
[CSS-behavior-behavior1] quit
[CSS] traffic classifier classifier2 precedence 10
[CSS] traffic behavior behavior2 //Redirija el tráfico de la intranet a
Internet a la interfaz que conecta el switch al módulo de NGFW.
[CSS-behavior-behavior2] redirect interface Eth-Trunk 10
[CSS] traffic policy policy1 //Configure una política de tráfico.
[CSS-trafficpolicy-policy1] classifier classifier1 behavior behavior1
[CSS-trafficpolicy-policy1] quit
[CSS-Eth-Trunk2] traffic-policy policy1 inbound
# Configure el switch para redirigir el tráfico de Internet a la intranet al Módulo de

NGFW.
[CSS] traffic classifier classifier4
[CSS] traffic behavior behavior4 //Redirija el tráfico de Internet a la
intranet a la interfaz que conecta el switch al Módulo de NGFW.
[CSS-behavior-behavior4] redirect interface Eth-Trunk 10
[CSS] traffic policy policy2 //Configure una política de tráfico.
[CSS-trafficpolicy-policy2] quit
7. Configure una ruta estática.

NOTA
Después de recibir los paquetes, el switch busca la tabla de enrutamiento para completar el reenvío de
Capa 3, aunque las políticas de redireccionamiento están configuradas. Sin embargo, las interfaces de
salida de los paquetes todavía están determinadas por las políticas de redirección.
En el ejemplo, cuando se recibe un paquete de la intranet a Internet, el switch primero busca la tabla de
enrutamiento, cambia la etiqueta VLAN de 301 o 302 a 200 según la ruta predeterminada y luego
reenvía el paquete al Módulo de NGFW. Después de recibir un paquete de Internet a la intranet, el
switch cambia la etiqueta VLAN de 200 a 301 o 302 según la ruta directa y luego reenvía el paquete al
Módulo de NGFW.
Si no se coincide ninguna entrada de enrutamiento, el switch reenvía el paquete según la política de
redireccionamiento sin cambiar la etiqueta VLAN.
# Configure una ruta predeterminada a Internet.

[CSS] ip route-static 0.0.0.0 0.0.0.0 10.3.0.5
----Fin
Verificación
1. Ejecute el comando display hrp state en NGFW Module_A para comprobar el estado
actual de HRP. Si se muestra el siguiente resultado, se establece exitosamente una
relación de HRP.
HRP_A[Module_A] display hrp state
The firewall's config state is:
ACTIVE
Backup channel usage:

0.01%
Time elapsed after the last switchover: 0 days, 0 hours, 36 minutes

Current state of interfaces tracked by active:
Eth-trunk1 (VLAN 200) : up
Current state of interfaces tracked by standby:
2. Compruebe si el acceso desde la intranet a Internet es exitoso y compruebe la tabla de

sesiones de cada Módulo de NGFW.
HRP_A[Module_A] display firewall session table
Current Total Sessions : 1
http VPN: public --> public 10.1.0.10:22048 --> 3.3.3.3:80
HRP_S[Module_B] display firewall session table
http VPN: public --> public Remote 10.1.0.10:22048 --> 3.3.3.3:80
De acuerdo con el resultado anterior, NGFW Module_A ha creado una entrada de sesión
para el acceso desde la intranet a Internet. Existe una entrada de sesión con la etiqueta de
Remota en NGFW Module_B, que indica que la copia de seguridad de la sesión es
exitosa después de configurar Espera en caliente.
3. Configure un PC en la zona Trust para hacer ping constantemente a la dirección pública
y ejecute el comando shutdown en Eth-trunk1 del NGFW Module_A. Luego,
compruebe la conmutación de estado del Módulo de NGFW y los paquetes de ping
descartados. Si la conmutación de estado es normal, NGFW Module_B se convierte en el
activo y carga los servicios. No se descartan o se descartan varios paquetes ping (de 1 a 3
paquetes, dependiendo de los entornos de red reales).

Ejecute el comando undo shutdown en Eth-trunk1 del NGFW Module_A y compruebe

la conmutación de estado del Módulo de NGFW y los paquetes de ping descartados. Si la
conmutación de estado es normal, NGFW Module_A se convierte en el activo y
comienza a cargar los servicios después de que expire el retraso de preempción (60
segundos por defecto). No se descartan o se descartan varios paquetes ping (de 1 a 3
Scripts de configuración
Los scripts de configuración de los módulos de NGFW:

NGFW Module_A NGFW Module_B

# #
sysname Module_A sysname Module_B
# #
hrp mirror session enable hrp mirror session enable
hrp enable hrp enable
hrp interface Eth-Trunk0 hrp interface Eth-Trunk0
hrp loadbalance-device //Este comando hrp loadbalance-device //Este comando
solo se requiere en las versiones solo se requiere en las versiones
anteriores a V100R001C30SPC300. anteriores a V100R001C30SPC300.
# #
vlan batch 200 301 to 302 vlan batch 200 301 to 302
# #
pair-interface Eth-Trunk1 Eth-Trunk1 pair-interface Eth-Trunk1 Eth-Trunk1
# #
vlan 200 vlan 200
hrp track active hrp track active
hrp track standby hrp track standby
# #
vlan 301 vlan 301
# #
vlan 302 vlan 302
# #
interface Eth-Trunk0 interface Eth-Trunk0
description hrp_interface description hrp_interface
ip address 10.10.0.1 255.255.255.0 ip address 10.10.0.2 255.255.255.0
# #
description To_SwitchA_trunk10 description To_SwitchB_trunk10
portswitch portswitch
port link-type trunk port link-type trunk
port trunk permit vlan 200 301 to port trunk permit vlan 200 301 to 302
302 #
# interface GigabitEthernet0/0/1
interface GigabitEthernet0/0/1 eth-trunk 0
eth-trunk 0 #
interface GigabitEthernet0/0/2 eth-trunk 0
eth-trunk 0 #
interface GigabitEthernet1/0/0 portswitch
portswitch eth-trunk 1
eth-trunk 1 #
interface GigabitEthernet1/0/1 portswitch
eth-trunk 1 #
# firewall zone trust
firewall zone trust set priority 85
set priority 85 detect ftp
detect ftp add interface Eth-Trunk1
add interface Eth-Trunk1 #
# firewall zone name hrp
firewall zone name hrp set priority 75
set priority 75 add interface Eth-Trunk0
add interface Eth-Trunk0 #
# security-policy
security-policy rule name policy_to_wan
rule name policy_to_wan source-address 10.1.0.0 mask
source-address 10.1.0.0 mask 255.255.255.0


255.255.255.0 source-address 10.2.0.0 mask
source-address 10.2.0.0 mask 255.255.255.0
255.255.255.0 profile ips default
profile ips default action permit
action permit #
# return
return
Script de configuración de CSS:

# ----Traffic diversion configuration----
load-balance-profile module
#
vlan batch 200 301 to 302
#
acl number 3001
rule 5 permit ip source 10.1.0.0 0.0.0.255 destination 10.2.0.0 0.0.0.255
acl number 3002
rule 5 permit ip source 10.1.0.0 0.0.0.255
acl number 3004
rule 5 permit ip destination 10.1.0.0 0.0.0.255
rule 10 permit ip destination 10.2.0.0 0.0.0.255
#
traffic classifier classifier1 operator or precedence 5
if-match acl 3001
if-match acl 3002
if-match acl 3004
#
traffic behavior behavior1
permit
permit
redirect interface Eth-Trunk10
permit
redirect interface Eth-Trunk10
#
traffic policy policy1 match-order config
classifier classifier1 behavior behavior1
#
interface Vlanif200
ip address 10.3.0.1 255.255.255.0
#
interface Vlanif301
ip address 10.1.0.1 255.255.255.0
#
interface Vlanif302
ip address 10.2.0.1 255.255.255.0
#
interface Eth-Trunk2
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 301
am isolate Eth-Trunk 10
traffic-policy policy1 inbound
#


#
port default vlan 200
#
description To_Module
port trunk allow-pass vlan 200 301 to 302
mac-address learning disable
stp disable
load-balance enhanced profile module
undo local-preference enable
#
interface XGigabitEthernet1/1/0/0
eth-trunk 10
#
eth-trunk 10
#
interface xgigabitethernet1/1/0/2
eth-trunk 2
#
eth-trunk 3
#
eth-trunk 5
#
eth-trunk 10
#
eth-trunk 10
#
eth-trunk 2
#
eth-trunk 3
#
eth-trunk 5
#
ip route-static 0.0.0.0 0.0.0.0 10.3.0.5
#
return
1.1.2 Espera en caliente activo/standby de Capa 3 en los módulos

de NGFW instalados en un Switch de clúster donde se
implementa el desvío de tráfico basado en enrutamiento estático
Como se muestra en Figura 1-3, dos switches se despliegan en un CSS y dos módulos de
NGFW se instalan en la ranura 1 en los dos switches. Los dos módulos de NGFW son
necesarios para implementar espera en caliente y realizar la detección de seguridad en el

tráfico que pasa a través de los switches. Dos módulos de NGFW funcionan en modo activo/
standby.
Internet/WAN
10.10.0.1/24 Eth-Trunk 4 Enlace de latido 10.10.0.2/24
Eth-Trunk1.1(untrust) Eth-Trunk1.1(untrust)
CSS
Eth-Trunk1.2(trust) Eth-Trunk1.2(trust)
Eth-Trunk1.3(dmz) SwitchB Eth-Trunk1.3(dmz)
SwitchA
NGFW Module_A Eth-Trunk 5 NGFW Module_B
Eth-Trunk 6
192.168.1.0/24 192.168.2.0/24
trust dmz
NOTA
Planificación de datos
ítem Datos Descripción
Espera en caliente NGFW Module_A: active -

NGFW Module_B: standby
NAT NAT de Tipo de NAT: PAT La dirección de origen se traslada

origen Grupo de direcciones: automáticamente para el acceso a
1.1.1.1 to 1.1.1.2 Internet desde una subred privada
especificada.

Servidor de Dirección global: 1.1.1.3 Una dirección de servidor

NAT Dirección interna: específica se traslada de una
192.168.2.8 dirección privada a una dirección
pública para que accedan los
usuarios de Internet.
Política Política 1: Zona de seguridad de Los usuarios en la zona Trust (que

de policy_sec1 origen: Trust residen en 192.168.1.0/24) pueden
segurid Zona de seguridad de acceder a Internet.
ad destino: Untrust
Dirección IP de origen:
192.168.1.0
Acción: permit
Política 2: Zona de seguridad de Los usuarios de extranet pueden

policy_sec2 origen: Untrust acceder a DMZ (que reside en
Zona de seguridad de 192.168.2.0/24) y se implementa
destino: DMZ la prevención de intrusiones.
Dirección IP de destino:
192.168.2.0
Acción: permit

1. Dos módulos de NGFW forman una red en espera en caliente. El switch desvía el tráfico
que pasa al Módulo de NGFW a través de una ruta estática. Después de realizar un
verificación de seguridad en el tráfico, el Módulo de NGFW rechaza el tráfico al switch
a través de una ruta estática.
Configure VRF en los switches para virtualizar los switches como switch virtual Public
que se conecta a la red pública (no debe configurar la instancia de VPN) y switches
virtuales trust y dmz, respectivamente conectando a la zona Trust y DMZ. Figura 1-4
muestra la red. Los switches virtuales están separados. Por lo tanto, el tráfico se enviará a
los módulos de NGFW.

Figura 1-4 Configurando VRF en los switches
Public
trust dmz

SwitchA SwitchB
2. Figura 1-4 puede ser abstraído como Figura 1-5. Los módulos de NGFW ejecutan las
rutas estáticas con dispositivos de vínculo ascendentes y descendentes. Por lo tanto, debe
configurar los grupos de VRRP en los módulos de NGFW, de modo que los switches se
comuniquen con las direcciones IP virtuales de los grupos de VRRP en los módulos de
NGFW.
Configure una ruta predeterminada a Internet en el Módulo de NGFW y configure la
dirección del siguiente salto en la dirección IP de VLANIF201. Configure una ruta
específica a la intranet en el Módulo de NGFW, y configure la dirección del siguiente
salto a la dirección IP de VLANIF202. Figura 1-5 muestra la red. En el switch virtual
Public, configure las rutas estáticas a la zona Trust y DMZ y configure la dirección del
siguiente salto en la dirección IP del grupo de VRRP 1. En el switch virtual trust,
configure una ruta predeterminada a Internet y configure la dirección del siguiente salto
a la dirección IP del grupo 2 de VRRP. En el switch virtual dmz, configure una ruta
predeterminada a Internet y configure el siguiente salto dirección a la dirección IP del
grupo de VRRP 3.

Figura 1-5 Configuración de grupos de VRRP en los módulos de NGFW y las rutas
estáticas en los switches
Public Public
VLANIF 201 Eth-Trunk5 Eth-Trunk6 Eth-Trunk5 Eth-Trunk6 VLANIF 201

10.3.1.4/24 VLAN 201 VLAN 201 VLAN 201 VLAN 201 10.3.1.4/24
Activo Standby Activo Eth-Trunk1.1 Eth-Trunk1.1 Standby
Eth-Trunk1.1 Eth-Trunk1.1
VRRP Group 1 VRRP Group 1
10.3.1.2/24 10.3.1.3/24 10.3.1.2/24 10.3.1.3/24
10.3.1.1/24 10.3.1.1/24
10.10.0.1/24 10.10.0.1/24
VRRP Group 2 10.10.0.2/24 10.10.0.2/24 VRRP Group 3
10.3.2.1/24 Eth-Trunk1.2 Eth-Trunk1.2 Eth-Trunk1.3 Eth-Trunk1.3 10.3.3.1/24
10.3.2.2/24 10.3.2.3/24 Standby Activo 10.3.3.2/24 10.3.3.3/24
Activo Standby
trust dmz
Ruta estática
Tráfico de la zona
de trust
Tráfico de la zona
de dmz
NOTA
Figura 1-5 enumera solo las interfaces de switch involucradas en la conexión con los módulos de
NGFW.
3. Agrupe las interfaces GE0/0/1 y GE0/0/2 en el panel de cada módulo de NGFW a una
interfaz Eth-Trunk0, que funciona como la interfaz de latido del corazón y el canal de
reserva y habilite espera en caliente.
4. Configure las funciones de seguridad, como políticas de seguridad, políticas de NAT e
IPS en NGFW Module_A. NGFW Module_A sincronizará automáticamente sus
configuraciones a NGFW Module_B.
Procedimiento
# Configure las direcciones IP para las interfaces en NGFW Module_A.

[Module_A] interface Eth-trunk 1
[Module_A] interface Eth-trunk 1.1
[Module_A-Eth-Trunk1.1] ip address 10.3.1.2 24
[Module_A-Eth-Trunk1.1] vlan-type dot1q 201
[Module_A-Eth-Trunk1.1] quit



[Module_A] firewall zone untrust
[Module_A-zone-untrust] add interface Eth-trunk 1.1
[Module_A-zone-untrust] quit
[Module_A-zone-trust] add interface Eth-trunk 1.2
[Module_A] firewall zone dmz
[Module_A-zone-dmz] add interface Eth-trunk 1.3
[Module_A-zone-dmz] quit
[Module_A] firewall zone name hrpzone
[Module_A-zone-hrpzone] set priority 65
[Module_A-zone-hrpzone] add interface Eth-Trunk 0
[Module_A-zone-hrpzone] quit

# Configure las direcciones IP para las interfaces en NGFW Module_B.

[Module_B] interface Eth-trunk 1.1
[Module_B-Eth-Trunk1.1] ip address 10.3.1.3 24
[Module_B-Eth-Trunk1.1] vlan-type dot1q 201
[Module_B-Eth-Trunk1.1] quit


[Module_B] firewall zone untrust
[Module_B-zone-untrust] add interface Eth-trunk 1.1
[Module_B-zone-untrust] quit
[Module_B-zone-trust] add interface Eth-trunk 1.2
[Module_B] firewall zone dmz
[Module_B-zone-dmz] add interface Eth-trunk 1.3
[Module_B-zone-dmz] quit
[Module_B] firewall zone name hrpzone
[Module_B-zone-hrpzone] set priority 65
[Module_B-zone-hrpzone] add interface Eth-Trunk 0
[Module_B-zone-hrpzone] quit
Paso 2 Cree las rutas estáticas en los módulos de NGFW.

# En NGFW Module_A, configure una ruta estática de vínculo ascendente (ruta
predeterminada) con la dirección del siguiente salto configurada en la dirección IP de
VLANIF201.
[Module_A] ip route-static 0.0.0.0 0.0.0.0 10.3.1.4
# En NGFW Module_A, configure una ruta estática de vínculo descendente a la zona Trust,
con la dirección de destino que es la dirección de la zona Trust y la dirección del siguiente
salto que es la dirección de VLANIF202 en el switch conectado.
# En NGFW Module_A, configure una ruta estática de vínculo descendente a la DMZ, con la
dirección de destino que es la dirección de la DMZ y la dirección de siguiente salto que es la
dirección de VLANIF203 en el switch conectado.
# En Módulo_A de NGFW, configure una ruta de agujero negro en una dirección en el grupo
de direcciones de NAT de origen para evitar bucles de enrutamiento. En este ejemplo, el rango
de direcciones es 1.1.1.1-1.1.1.2 en el grupo de direcciones de NAT de origen.
[Module_A] ip route-static 1.1.1.1 255.255.255.255 null 0
# En NGFW Module_A, configure una ruta de agujero negro en la dirección global del
servidor de NAT para evitar los bucles de enrutamiento. En este ejemplo, la dirección global
del servidor de NAT es 1.1.1.3.
# En NGFW Module_B, configure una ruta estática de vínculo ascendente (ruta

VLANIF201 en el switch conectado.
[Module_B] ip route-static 0.0.0.0 0.0.0.0 10.3.1.4
# En Módulo_B de NGFW, configure una ruta estática de vínculo descendente a la zona Trust,
# En NGFW Module_B, configure una ruta estática de vínculo descendente a la DMZ, con la

# En NGFW Module_B, configure una ruta de agujero negro en una dirección en el grupo de
direcciones NAT de origen para evitar bucles de enrutamiento. En este ejemplo, el rango de
direcciones es 1.1.1.1-1.1.1.2 en el grupo de direcciones de NAT de origen.
[Module_B] ip route-static 1.1.1.1 255.255.255.255 null 0
# En NGFW Module_B, configure una ruta de agujero negro en la dirección global del
Paso 3 Configure espera en caliente en los módulos de NGFW.

# Configure los grupos VRRP en NGFW Module_A.
[Module_A] interface Eth-trunk1.1
[Module_A-Eth-Trunk1.1] vrrp vrid 1 virtual-ip 10.3.1.1 active
# Especifique la interfaz de latido y habilite espera en caliente en NGFW Module_A.

# Configure los grupos VRRP en NGFW Module_B.

[Module_B] interface Eth-trunk1.1
[Module_B-Eth-Trunk1.1] vrrp vrid 1 virtual-ip 10.3.1.1 standby
# Especifique la interfaz de latido y habilite espera en caliente en NGFW Module_B.

[Module_B] hrp standby-device //Este comando solo se requiere en versiones
anteriores a V100R001C30SPC300.
NOTA
Después de configurar espera en caliente, las configuraciones y sesiones en el dispositivo activo se

sincronizan al dispositivo standby; por lo tanto, solo necesita realizar las siguientes configuraciones en el
NGFW Module_A.
Antes de configurar la prevención de intrusiones, asegúrese de que se cargue la licencia requerida y la base de
datos de firmas de prevención intrusas sea la última versión.
default.

# En NGFW Module_A, configure una política de seguridad para permitir que los usuarios en
la zona Trust (segmento de red 192.168.1.0/24) accedan al Internet.

HRP_A[Module_A-policy-security] rule name policy_sec1
HRP_A[Module_A-policy-security-rule-policy_sec1] source-zone trust
HRP_A[Module_A-policy-security-rule-policy_sec1] destination-zone untrust
HRP_A[Module_A-policy-security-rule-policy-sec1] source-address 192.168.1.0 24
HRP_A[Module_A-policy-security-rule-policy_sec1] action permit
HRP_A[Module_A-policy-security-rule-policy_sec1] quit
extranet accedan a la DMZ (segmento de red 192.168.2.0/24) y configure la prevención de
intrusiones.
HRP_A[Module_A-policy-security-rule-policy_sec2] source-zone untrust
HRP_A[Module_A-policy-security-rule-policy_sec2] destination-zone dmz
HRP_A[Module_A-policy-security-rule-policy-sec2] destination-address 192.168.2.0
24
HRP_A[Module_A-policy-security-rule-policy_sec2] service http ftp
HRP_A[Module_A-policy-security-rule-policy_sec2] profile ips default

HRP_A[Module_A] firewall interzone untrust dmz
HRP_A[Module_A-interzone-dmz-untrust] detect ftp
HRP_A[Module_A-interzone-dmz-untrust] quit
# Configure un grupo de direcciones de NAT.

HRP_A[Module_A] nat address-group addressgroup1
HRP_A[Module_A-address-group-addressgroup1] section 0 1.1.1.1 1.1.1.2
HRP_A[Module_A-address-group-addressgroup1] quit
# Configure una política de NAT de origen para el acceso a Internet desde la subred privada
especificada.
HRP_A[Module_A] nat-policy
HRP_A[Module_A-policy-nat] rule name policy_nat1
HRP_A[Module_A-policy-nat-rule-policy_nat1] source-zone trust
HRP_A[Module_A-policy-nat-rule-policy_nat1] destination-zone untrust
HRP_A[Module_A-policy-nat-rule-policy_nat1] source-address 192.168.1.0 24
HRP_A[Module_A-policy-nat-rule-policy_nat1] action nat address-group
addressgroup1
HRP_A[Module_A-policy-nat-rule-policy_nat1] quit
HRP_A[Module_A-policy-nat] quit
# Configure la función del servidor de NAT para trasladar la dirección privada de un servidor
específico en la DMZ a una dirección pública para el acceso del usuario. En este ejemplo, la
dirección privada 192.168.2.8:80 del servidor web en la DMZ se traslada a la dirección
pública 1.1.1.3:8000.
HRP_A[Module_A] nat server policy_web protocol tcp global 1.1.1.3 8000 inside
192.168.2.8 80



Guide.


SwitchA.
rebooted. T

rebooted. T

CSS Enable switch
On

Force
------------------------------------------------------------------------------

Off
Off



[CSS]
Paso 6 Configure las interfaces y las VLAN para los switches de core. Este ejemplo describe cómo
configurar la interconexión entre el switch y los módulos de NGFW.
[CSS] vlan batch 201 to 205 //Cree las VLAN.
[CSS-Eth-Trunk5] description To_NGFW_Module_A
[CSS-Eth-Trunk5] trunkport xgigabitethernet 1/1/0/0 to 1/1/0/1 //Cree Eth-
Trunk5 en el CSS y agregue interfaces de Ethernet interna a Eth-Trunk5.
[CSS-Eth-Trunk5] port trunk allow-pass vlan 201 to 205 //Configure Eth-Trunk5
para permitir el tráfico desde las VLAN 201, 202, 203, 204 y 205.
[CSS-Eth-Trunk6] description To_NGFW_Module_B
[CSS-Eth-Trunk6] trunkport xgigabitethernet 2/1/0/0 to 2/1/0/1 //Cree Eth-
Trunk6 en el CSS y agregue interfaces de Ethernet interna a Eth-Trunk6.
para permitir el tráfico desde las VLAN 201, 202, 203, 204 y 205.
[CSS] interface eth-trunk 2 //Configure la interfaz del switch
Eth-Trunk2 que se conecta a la zona Trust, agregar las interfaces a Eth-Trunk2 no
se menciona aquí.
[CSS-Eth-Trunk2] description To_TRUST
[CSS-Eth-Trunk2] port trunk allow-pass vlan 204 //Habilite Eth-Trunk2 para
permitir el tráfico desde la VLAN204.
[CSS] interface eth-trunk 3 //Configure la interfaz del switch
Eth-Trunk3 que se conecta a la DMZ, agregar las interfaces a Eth-Trunk3 no se
menciona aquí.
[CSS-Eth-Trunk3] description To_DMZ
[CSS-Eth-Trunk3] port trunk allow-pass vlan 205 //Habilite Eth-Trunk3 para
permitir el tráfico desde VLAN205.
[CSS] ip vpn-instance trust //Cree el ejemplo de VPN trust.
[CSS-vpn-instance-trust] ipv4-family
[CSS-vpn-instance-trust-af-ipv4] route-distinguisher 100:1
[CSS-vpn-instance-trust-af-ipv4] vpn-target 111:1 both
[CSS-vpn-instance-trust-af-ipv4] quit
[CSS-vpn-instance-trust] quit
[CSS] ip vpn-instance dmz //Cree el ejemplo de VPN dmz.
[CSS-vpn-instance-dmz] ipv4-family
[CSS-vpn-instance-dmz-af-ipv4] route-distinguisher 200:1
[CSS-vpn-instance-dmz-af-ipv4] vpn-target 211:1 both
[CSS-vpn-instance-dmz-af-ipv4] quit
[CSS-vpn-instance-dmz] quit
[CSS] interface vlanif 201
[CSS-Vlanif201] quit //Configure una dirección IP para
VLANIF201.
[CSS-Vlanif202] ip binding vpn-instance trust
[CSS-Vlanif202] ip address 10.3.2.4 24 //Vincule VLANIF202 a trust.
VLANIF202.

[CSS-Vlanif203] ip binding vpn-instance dmz //Vincule VLANIF203 a dmz.

[CSS-Vlanif203] ip address 10.3.3.4 24 //Configure una dirección IP para
VLANIF203.
[CSS-Vlanif204] ip binding vpn-instance trust //Vincule VLANIF204 a trust.
VLANIF204.
[CSS-Vlanif205] ip binding vpn-instance dmz //Vincule VLANIF205 a dmz.
VLANIF205.
Paso 7 Configure el desvío de tráfico en el switch de core.

[CSS] ip route-static 1.1.1.1 32 10.3.1.1 //Configure una ruta estática a una
dirección en el grupo de direcciones NAT del NGFW y configure la dirección del
siguiente salto de la ruta a la dirección IP del grupo 1 de VRRP de vínculo
ascendente en el Módulo NGFW.
siguiente salto de la ruta a la dirección IP del grupo 1 de VRRP de vínculo
ascendente en el Módulo NGFW.
[CSS] ip route-static 1.1.1.3 32 10.3.1.1 //Configure una ruta estática a la
dirección global del servidor NAT configurado en el Módulo NGFW y configure la
dirección del siguiente salto de la ruta a la dirección IP del grupo 1 de VRRP de
vínculo ascendente en el Módulo NGFW.
[CSS] ip route-static vpn-instance trust 0.0.0.0 0.0.0.0 10.3.2.1 //Configure
una ruta predeterminada en el switch virtual de trust y configure el siguiente
salto a la dirección IP virtual del grupo VRRP 2.
[CSS] ip route-static vpn-instance dmz 0.0.0.0 0.0.0.0 10.3.3.1 //Configure
una ruta predeterminada en el switch virtual de dmz y configure el siguiente
salto a la dirección IP virtual del grupo VRRP 3.
[CSS] ip route-static vpn-instance trust 192.168.2.0 255.255.255.0 vpn-instance
dmz 10.1.2.1 //Ruta desde la zona Trust hasta la DMZ. 10.1.2.1 es la dirección
IP de la interfaz VLANIF 205 del switch de acceso.
[CSS] ip route-static vpn-instance dmz 192.168.1.0 255.255.255.0 vpn-instance
trust 10.1.1.1 //Ruta desde la zona DMZ hasta la Trust. 10.1.1.1 es la
dirección IP de la interfaz VLANIF 204 del switch de acceso.
NOTA
En el ejemplo, NAT está configurado en los módulos de NGFW. Por lo tanto, configure las rutas estáticas
desde el switch virtual Public a la zona Trust y DMZ, y las direcciones IP de destino en las rutas deben ser
direcciones IP públicas posteriores a NAT. Si NAT no está configurado en los módulos de NGFW, las
direcciones IP de destino en los enrutamiento deben ser direcciones IP privadas respectivamente en la zona de
Trust y DMZ cuando configure las rutas estáticas desde el switch virtual público a las dos zonas.
En el ejemplo, los paquetes de NGFW no procesan los paquetes de comunicación entre la zona Trust y DMZ.
Si la empresa requiere que los módulos de NGFW procesen los paquetes de comunicación entre la zona Trust
y DMZ, establezca el siguiente salto a la dirección IP del grupo de VRRP de enlace descendente en los
módulos de NGFW cuando configure el enrutamiento para las comunicaciones entre la zona Trust y DMZ .
----Fin
Verificación
relación de HRP.
ACTIVE

0.01%
Time elapsed after the last switchover: 0 days, 0 hours, 1
minutes
Current state of virtual routers configured as
active:
Eth-Trunk1.3 vrid 3 : active
(GigabitEthernet1/0/0) : up
(GigabitEthernet1/0/1) :
up

http VPN: public --> public 192.168.1.8:22048[1.1.1.2:2106] --> 3.3.3.3:80
http VPN: public --> public Remote 192.168.1.8:22048[1.1.1.2:2106] -->
3.3.3.3:80
exitosa después de configurar espera en caliente.
3. Compruebe si el acceso de Internet a los servidores en la DMZ es exitoso y compruebe la
tabla de sesiones de cada Módulo de NGFW.
http VPN: public --> public 2.2.2.2:11447 --> 1.1.1.3:8000[192.168.2.8:80]
HRP_S[Module_A] display firewall session table
http VPN: public --> public Remote 2.2.2.2:11447 -->
1.1.1.3:8000[192.168.2.8:80]

activo y carga los servicios. El símbolo del sistema de NGFW Module_B se cambia de
HRP_S a HRP_A, y el símbolo del sistema de NGFW Module_A se cambia de HRP_A
a HRP_S. No se descartan o se descartan varios paquetes de ping (1 a 3 paquetes,
dependiendo de los entornos de red reales).
Ejecute el comando undo shutdown en Eth-trunk1 del Módulo_A de NGFW y
compruebe la conmutación de estado del módulo de NGFW y los paquetes de ping
descartados. Si la conmutación de estado es normal, Módulo_A de NGFW se convierte
en el activo y comienza a cargar los servicios después de que expire el retraso de
preempción (60 segundos por defecto). El símbolo del sistema de Módulo_A de NGFW
se cambia de HRP_S a HRP_A, y el símbolo del sistema de Módulo_B de NGFW se
cambia de HRP_A a HRP_S. No se descartan o se descartan varios paquetes de ping (1 a
3 paquetes, dependiendo de los entornos de red reales).


# #
# #
hrp interface Eth-Trunk0 hrp standby-device //Este comando
# solo se requiere en las versiones
nat server policy_web protocol tcp anteriores a V100R001C30SPC300.
global 1.1.1.3 8000 inside 192.168.2.8 hrp interface Eth-Trunk0
www #
# nat server policy_web protocol tcp
interface Eth-Trunk0 global 1.1.1.3 8000 inside 192.168.2.8
ip address 10.10.0.1 255.255.255.0 www
# #
portswitch ip address 10.10.0.2 255.255.255.0
port link-type access #
# interface Eth-Trunk1
interface Eth-Trunk1.1 portswitch
vlan-type dot1q 201 port link-type access
ip address 10.3.1.2 255.255.255.0 #
vrrp vrid 1 virtual-ip 10.3.1.1 active interface Eth-Trunk1.1
# vlan-type dot1q 201
interface Eth-Trunk1.2 ip address 10.3.1.3 255.255.255.0
vlan-type dot1q 202 vrrp vrid 1 virtual-ip 10.3.1.1
ip address 10.3.2.2 255.255.255.0 standby
vrrp vrid 2 virtual-ip 10.3.2.1 active #
# interface Eth-Trunk1.2
interface Eth-Trunk1.3 vlan-type dot1q 202
vlan-type dot1q 203 ip address 10.3.2.3 255.255.255.0
ip address 10.3.3.2 255.255.255.0 vrrp vrid 2 virtual-ip 10.3.2.1
vrrp vrid 3 virtual-ip 10.3.3.1 active standby
# #
interface GigabitEthernet0/0/1 interface Eth-Trunk1.3
eth-trunk 0 vlan-type dot1q 203
# ip address 10.3.3.3 255.255.255.0
interface GigabitEthernet0/0/2 vrrp vrid 3 virtual-ip 10.3.3.1
eth-trunk 0 standby
# #
interface GigabitEthernet1/0/0 interface GigabitEthernet0/0/1
eth-trunk 1 interface GigabitEthernet0/0/2
# eth-trunk 0
interface GigabitEthernet1/0/1 #
portswitch interface GigabitEthernet1/0/0
port link-type access portswitch
eth-trunk 1 port link-type access
# eth-trunk 1
firewall zone trust #
set priority 85 interface GigabitEthernet1/0/1
add interface Eth-Trunk1.2 portswitch
# port link-type access
firewall zone untrust eth-trunk 1
set priority 5 #
add interface Eth-Trunk1.1 firewall zone trust
# set priority 85
firewall zone dmz add interface Eth-Trunk1.2
set priority 50 #
add interface Eth-Trunk1.3 firewall zone untrust
# set priority 5
firewall zone hrpzone add interface Eth-Trunk1.1
set priority 65 #
add interface Eth-Trunk0 firewall zone dmz
# set priority 50
firewall interzone dmz untrust add interface Eth-Trunk1.3
detect ftp #


# firewall zone hrpzone
ip route-static 0.0.0.0 0.0.0.0 set priority 65
10.3.1.4 add interface Eth-Trunk0
ip route-static 1.1.1.1 #
255.255.255.255 NULL0 firewall interzone dmz untrust
ip route-static 1.1.1.2 detect ftp
255.255.255.255 NULL0 #
ip route-static 1.1.1.3 ip route-static 0.0.0.0 0.0.0.0
255.255.255.255 NULL0 10.3.1.4
ip route-static 192.168.1.0 ip route-static 1.1.1.1
255.255.255.0 10.3.2.4 255.255.255.255 NULL0
255.255.255.0 10.3.3.4 255.255.255.255 NULL0
# ip route-static 1.1.1.3
nat address-group addressgroup1 0 255.255.255.255 NULL0
section 0 1.1.1.1 1.1.1.2 ip route-static 192.168.1.0
# 255.255.255.0 10.3.2.4
security-policy ip route-static 192.168.2.0
rule name policy_sec1 255.255.255.0 10.3.3.4
source-zone trust #
destination-zone untrust nat address-group addressgroup1 0
source-address 192.168.1.0 mask section 0 1.1.1.1 1.1.1.2
255.255.255.0 #
action permit security-policy
rule name policy_sec2 rule name policy_sec1
source-zone untrust source-zone trust
destination-zone dmz destination-zone untrust
destination-address 192.168.2.0 mask source-address 192.168.1.0 mask
255.255.255.0 255.255.255.0
service http action permit
service ftp rule name policy_sec2
profile ips default source-zone untrust
action permit destination-zone dmz
# destination-address 192.168.2.0 mask
nat-policy 255.255.255.0
rule name policy_nat1 service http
source-zone trust service ftp
destination-zone untrust profile ips default
source-address 192.168.1.0 mask action permit
255.255.255.0 #
action nat address-group nat-policy
addressgroup1 rule name policy_nat1
# source-zone trust
return destination-zone untrust
source-address 192.168.1.0 mask
255.255.255.0
action nat address-group
addressgroup1
#
return

vlan batch 201 to 205
#
ip vpn-instance dmz
ipv4-family
route-distinguisher 200:1
vpn-target 211:1 export-extcommunity
vpn-target 211:1 import-extcommunity
#
ip vpn-instance trust
ipv4-family

#
interface Vlanif201
ip address 10.3.1.4 255.255.255.0
#
interface Vlanif202
ip binding vpn-instance trust
ip address 10.3.2.4 255.255.255.0
#
interface Vlanif203
ip binding vpn-instance dmz
ip address 10.3.3.4 255.255.255.0
#
interface Vlanif204
ip binding vpn-instance trust
ip address 10.1.1.2 255.255.255.0
#
interface Vlanif205
ip binding vpn-instance dmz
ip address 10.1.2.2 255.255.255.0
#
description To_TRUST
#
description To_DMZ
#
description To_NGFW_Module_A
port trunk allow-pass vlan 201 to 205
#
description To_NGFW_Module_B
#
eth-trunk 5
#
eth-trunk 5
#
eth-trunk 6
#
eth-trunk 6
#
ip route-static 1.1.1.1 255.255.255.255 10.3.1.1
ip route-static 1.1.1.2 255.255.255.255 10.3.1.1
ip route-static 1.1.1.3 255.255.255.255 10.3.1.1
ip route-static vpn-instance trust 0.0.0.0 0.0.0.0 10.3.2.1
ip route-static vpn-instance trust 192.168.2.0 255.255.255.0 vpn-instance dmz
10.1.2.1
ip route-static vpn-instance dmz 0.0.0.0 0.0.0.0 10.3.3.1
ip route-static vpn-instance dmz 192.168.1.0 255.255.255.0 vpn-instance trust
10.1.1.1

#
return

implementa el desvío de tráfico basado en PBR
Como se muestra en Figura 1-6, dos switches se despliegan en un CSS y dos módulos de
NGFW se instalan en la ranura 1 en los dos switches. Los dos módulos de NGFW son
necesarios para implementar Espera en caliente y realizar la detección de seguridad en el
tráfico que pasa a través de los switches. Dos módulos de NGFW funcionan en modo activo/
standby.
Internet/WAN
10.10.0.1/24 Eth-Trunk 4 Enlace de latido 10.10.0.2/24
Eth-Trunk1.1(untrust) Eth-Trunk1.1(untrust)
CSS
Eth-Trunk1.2(trust) Eth-Trunk1.2(trust)
Eth-Trunk1.3(dmz) SwitchB Eth-Trunk1.3(dmz)
SwitchA
NGFW Module_A Eth-Trunk 5 NGFW Module_B
Eth-Trunk 6
192.168.1.0/24 192.168.2.0/24
trust dmz
NOTA

Planificación de datos
Espera en caliente NGFW Module_A: active -

NGFW Module_B: standby
NAT NAT de Tipo de NAT: PAT La dirección de origen se traslada

origen Grupo de direcciones: automáticamente para el acceso a
1.1.1.1 a 1.1.1.2 Internet desde una subred privada
especificada.
Servidor de Dirección global: 1.1.1.3 Una dirección de servidor

NAT Dirección interna: específica se traslada de una
192.168.2.8 dirección privada a una dirección
pública para que accedan los
usuarios de Internet.
Política Política 1: Zona de seguridad de Los usuarios en la zona Trust (que

de policy_sec1 origen: Trust residen en 192.168.1.0/24) pueden
segurid Zona de seguridad de acceder a Internet.
ad destino: Untrust
Dirección IP de origen:
192.168.1.0
Acción: permit
Política 2: Zona de seguridad de Los usuarios de extranet pueden

policy_sec2 origen: Untrust acceder a DMZ (que reside en
Zona de seguridad de 192.168.2.0/24) y se implementa
destino: DMZ la prevención de intrusiones.
Dirección IP de destino:
192.168.2.0
Acción: permit

1. Figura 1-6 puede ser abstraído como Figura 1-7. Puede entender el mapeo entre las dos
figuras en función de los números de interfaz y las direcciones reales del tráfico.
Como se muestra en Figura 1-7, una ruta predeterminada (siguiente salto: VLANIF201)
a la red pública, una ruta específica (siguiente salto: VLANIF202) a la zona Trust, y una
ruta específica (siguiente salto: VLANIF203) a la DMZ debe configurarse en los
módulos de NGFW. PBR debe configurarse en los switches para dirigir el tráfico a los
firewalls.

Figura 1-7 Configuración de VRRP en los módulos de NGFW y PBR en los switches

Activo Standby Activo Eth-Trunk1.1 Eth-Trunk1.1 Standby
Eth-Trunk1.1 Eth-Trunk1.1
10.3.1.2/24 10.3.1.3/24 10.3.1.2/24 10.3.1.3/24
10.3.1.1/24 10.3.1.1/24
10.10.0.1/24 10.10.0.1/24
VRRP Group 2 10.10.0.2/24 10.10.0.2/24 VRRP Group 3
10.3.2.1/24 Eth-Trunk1.2 Eth-Trunk1.2 Eth-Trunk1.3 Eth-Trunk1.3 10.3.3.1/24
10.3.2.2/24 10.3.2.3/24 Standby Activo 10.3.3.2/24 10.3.3.3/24
Activo Standby
Ruta estática
Tráfico de la zona
de trust
Tráfico de la zona
de dmz
NOTA
Figura 1-7 enumera solo las interfaces de switch involucradas en la conexión con los módulos de
NGFW.
2. Especifique Eth-trunk0 como la interfaz de latido y habilite Espera en caliente en cada
módulo de NGFW.
3. Configure las funciones de seguridad, como políticas de seguridad, políticas de NAT e
IPS en NGFW Module_A. Module_A de NGFW sincronizará automáticamente sus
configuraciones a NGFW Module_B.
Procedimiento

# Configure las direcciones IP para las interfaces en NGFW Module_A.

[Module_A] interface Eth-trunk 1


[Module_A-zone-untrust] add interface Eth-trunk 1.1
[Module_A-zone-trust] add interface Eth-trunk 1.2
[Module_A-zone-dmz] add interface Eth-trunk 1.3
[Module_A] firewall zone name hrpzone
[Module_A-zone-hrpzone] set priority 65
[Module_A-zone-hrpzone] add interface Eth-Trunk 0
[Module_A-zone-hrpzone] quit

# Configure las direcciones IP para las interfaces en NGFW Module_B.

[Module_B] interface Eth-trunk 1


[Module_B-zone-untrust] add interface Eth-trunk 1.1
[Module_B-zone-trust] add interface Eth-trunk 1.2
[Module_B-zone-dmz] add interface Eth-trunk 1.3
[Module_B] firewall zone name hrpzone
[Module_B-zone-hrpzone] set priority 65
[Module_B-zone-hrpzone] add interface Eth-Trunk 0
[Module_B-zone-hrpzone] quit
Paso 2 Cree las rutas estáticas en los módulos de NGFW.
# En NGFW Module_A, configure una ruta estática de vínculo ascendente (ruta

VLANIF201.
# En NGFW Module_A, configure una ruta estática de vínculo descendente a la zona Trust,
# En NGFW Module_A, configure una ruta estática de vínculo descendente a la DMZ, con la
# En NGFW Module_A, configure una ruta de agujero negro en una dirección en el grupo de
direcciones de NAT de origen para evitar bucles de enrutamiento. En este ejemplo, el rango de
# En NGFW Module_A, configure una ruta de agujero negro en la dirección global del
# En NGFW Module_B, configure una ruta estática de vínculo ascendente (ruta

VLANIF201 en el switch conectado.
# En NGFW Module_B, configure una ruta estática de vínculo descendente a la zona Trust,
# En NGFW Module_B, configure una ruta estática de vínculo descendente a la DMZ, con la

# En NGFW Module_B, configure una ruta de agujero negro en una dirección en el grupo de
direcciones NAT de origen para evitar bucles de enrutamiento. En este ejemplo, el rango de
# En NGFW Module_B, configure una ruta de agujero negro en la dirección global del




[Module_B] hrp standby-device //Este comando solo se requiere en las versiones
NOTA

sincronizan al dispositivo standby; por lo tanto, solo necesita realizar las siguientes configuraciones en el
NGFW Module_A activo.
Antes de configurar la prevención de intrusiones, asegúrese de que se cargue la licencia requerida y la base de
datos de firmas de prevención intrusas sea la última versión.
default.

# En NGFW Module_A, configure una política de seguridad para permitir que los usuarios en
la zona Trust (segmento de red 192.168.1.0/24) accedan al Internet.

HRP_A[Module_A-policy-security-rule-policy_sec1] source-zone trust

HRP_A[Module_A-policy-security-rule-policy_sec1] destination-zone untrust
HRP_A[Module_A-policy-security-rule-policy-sec1] source-address 192.168.1.0 24
extranet accedan a la DMZ (segmento de red 192.168.2.0/24) y configure la prevención de
intrusiones.
HRP_A[Module_A-policy-security-rule-policy_sec2] source-zone untrust
HRP_A[Module_A-policy-security-rule-policy_sec2] destination-zone dmz
HRP_A[Module_A-policy-security-rule-policy-sec2] destination-address 192.168.2.0
24
HRP_A[Module_A-policy-security-rule-policy_sec2] service http ftp
HRP_A[Module_A-policy-security-rule-policy_sec2] profile ips default

HRP_A[Module_A] firewall interzone untrust dmz
HRP_A[Module_A-interzone-dmz-untrust] detect ftp
HRP_A[Module_A-interzone-dmz-untrust] quit
# Configure un grupo de direcciones de NAT.

HRP_A[Module_A] nat address-group addressgroup1
HRP_A[Module_A-address-group-addressgroup1] section 0 1.1.1.1 1.1.1.2
HRP_A[Module_A-address-group-addressgroup1] quit
# Configure una política de NAT de origen para el acceso a Internet desde la subred privada
especificada.
HRP_A[Module_A] nat-policy
HRP_A[Module_A-policy-nat] rule name policy_nat1
HRP_A[Module_A-policy-nat-rule-policy_nat1] source-zone trust
HRP_A[Module_A-policy-nat-rule-policy_nat1] destination-zone untrust
HRP_A[Module_A-policy-nat-rule-policy_nat1] source-address 192.168.1.0 24
HRP_A[Module_A-policy-nat-rule-policy_nat1] action nat address-group
addressgroup1
HRP_A[Module_A-policy-nat-rule-policy_nat1] quit
HRP_A[Module_A-policy-nat] quit
# Configure la función del servidor de NAT para trasladar la dirección privada de un servidor
específico en la DMZ a una dirección pública para el acceso del usuario. En este ejemplo, la
dirección privada 192.168.2.8:80 del servidor web en la DMZ se traslada a la dirección
pública 1.1.1.3:8000.
HRP_A[Module_A] nat server policy_web protocol tcp global 1.1.1.3 8000 inside
192.168.2.8 80


Guide.


SwitchA.
rebooted. T

rebooted. T

CSS Enable switch
On

Force
------------------------------------------------------------------------------

Off
Off



[CSS]
Paso 6 Configure las interfaces y las VLAN para switches. Este ejemplo describe cómo configurar la
[CSS] vlan batch 201 to 203 //Cree las VLAN.
[CSS-Eth-Trunk5] description To_NGFW_Module_A
[CSS-Eth-Trunk5] trunkport xgigabitethernet 1/1/0/0 to 1/1/0/1 //Cree Eth-Trunk5
en el CSS y agregue las interfaces de Ethernet interna a Eth-Trunk5.
para permitir el tráfico desde las VLAN 201, 202 y 203.
[CSS-Eth-Trunk6] description To_NGFW_Module_B
[CSS-Eth-Trunk6] trunkport xgigabitethernet 2/1/0/0 to 2/1/0/1 //Cree Eth-Trunk6
en el CSS y agregue las interfaces de Ethernet interna a Eth-Trunk6.
para permitir el tráfico desde las VLAN 201, 202 y 203.
VLANIF201.
VLANIF202.
VLANIF203.
Paso 7 Configure el desvío de tráfico en el switch. Este ejemplo describe cómo configurar la
[CSS] acl 3001 //Cree ACL3001.
[CSS-acl-adv-3001] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination
192.168.2.0 0.0.0.255 //Configure una regla para ACL3001: segmento de red de
origen 192.168.1.0 y segmento de red de destino 192.168.2.0.
[CSS-acl-adv-3001] rule 10 permit ip source 192.168.2.0 0.0.0.255 destination
192.168.1.0 0.0.0.255 //Configure una regla para ACL3001: segmento de red de
origen 192.168.2.0 y segmento de red de destino 192.168.1.0.
[CSS] traffic classifier c1 precedence 5 //Cree el clasificador de tráfico c1.
[CSS-classifier-c1] if-match acl 3001 //Coincida los paquetes intercambiados
entre la zona Trust y DMZ con la regla ACL3001.
[CSS-classifier-c1] quit
[CSS] traffic behavior b1 //Cree el comportamiento de tráfico b1.
[CSS-behavior-b1] permit //Permita los paquetes coincidentes.
[CSS-behavior-b1] quit
[CSS-acl-adv-3002] rule 5 permit ip source 192.168.1.0 0.0.0.255 //Configure una
regla para ACL3002: segmento de red de origen 192.168.1.0.
[CSS-classifier-c2] if-match acl 3002 //Coincida los paquetes del segmento de
red 192.168.1.0, es decir, los paquetes de la zona Trust a Internet, con ACL3002.

[CSS-behavior-b2] redirect ip-nexthop 10.3.2.1 //Redirija los paquetes

coincidentes a la dirección 10.3.2.1, es decir, al módulo de NGFW conectado.
[CSS] traffic policy p1 //Cree una política de tráfico p1.
[CSS-trafficpolicy-p1] classifier c1 behavior b1 //Vincule el clasificador de
tráfico c1 y el comportamiento de tráfico b1 con la política de tráfico p1. Todos
los paquetes intercambiados entre la zona Trust y DMZ son reenviados directamente
por el switch, sin ser enviados al Módulo de NGFW.
los paquetes de la zona de Trust a Internet se redirigen al Módulo de NGFW.
[CSS-trafficpolicy-p1] quit
[CSS] interface eth-trunk 2 //Acceda a la vista de interfaz que conecta el
switch a la zona Trust.
[CSS-Eth-Trunk2] traffic-policy p1 inbound //Aplique la política de tráfico P1
en la dirección de entrada de la interfaz que conecta el switch a la zona Trust.
[CSS-acl-adv-3003] rule 5 permit ip source 192.168.2.0 0.0.0.255 //Configure una
regla para ACL3003: segmento de red de origen 192.168.2.0.
[CSS-classifier-c3] if-match acl 3003 //Coincida todos los paquetes del segmento
de red 192.168.2.0, es decir, todos los paquetes de la DMZ a Internet, con la
regla ACL3003.
coincidentes a la dirección 10.3.3.1, es decir, al módulo de NGFW.
los paquetes intercambiados entre la zona Trust y DMZ son reenviados directamente
por el switch, sin ser enviados al Módulo de NGFW.
tráfico c3 y el comportamiento de tráfico b3 con la política de tráfico p3. Todo
el tráfico desde la DMZ a Internet se dirige al Módulo de NGFW.
[CSS] interface eth-trunk 3 //Acceda a la vista de la interfaz que conecta el
switch a la zona Trust.
[CSS-Eth-Trunk3] traffic-policy p3 inbound //Aplique la política de tráfico p3
en la dirección de entrada de la interfaz que conecta el switch a la DMZ.
siguiente salto de la ruta a la dirección IP del grupo VRRP de vínculo ascendente
en el Módulo de NGFW.
siguiente salto de la ruta a la dirección IP del grupo VRRP de vínculo ascendente
en el Módulo de NGFW.
[CSS] ip route-static 1.1.1.3 32 10.3.1.1 //Configure una ruta estática a la
dirección global del servidor NAT configurado en el Módulo de NGFW y configure la
dirección del siguiente salto de la ruta a la dirección IP del grupo VRRP de
vínculo ascendente en el Módulo de NGFW.

NOTA
En este ejemplo, las funciones del servidor NAT y NAT de origen se configuran en el Módulo de NGFW. Para
el switch, la dirección de destino del tráfico enviado desde la red pública a la red privada es una dirección
posterior a NAT. Por lo tanto, puede configurar una ruta estática en el switch para dirigir el tráfico enviado
desde la dirección pública a la red privada hacia el Módulo de NGFW.
Si no se configura ninguna función NAT de origen o servidor NAT en el Módulo de NGFW, para el switch, la
dirección de destino del tráfico enviado desde la red pública a la red privada sigue siendo una red privada. En
este caso, debe configurar una política de tráfico en la interfaz de vínculo ascendente del switch para dirigir el
tráfico al Módulo de NGFW.
[CSS-acl-adv-3004] rule 5 permit ip destination 192.168.1.0 0.0.0.255 //
Configure una regla para ACL3004: segmento de red de destino 192.168.1.0.
[CSS-acl-adv-3004] rule 10 permit ip destination 192.168.2.0 0.0.0.255 //
Configure una regla para ACL3004: segmento de red de destino 192.168.2.0.
[CSS-classifier-c4] if-match acl 3004 //Coincida los paquetes cuyos segmentos
de red de destino sean 192.168.1.0 y 192.168.2.0, es decir, todos los paquetes de
Internet a la intranet, con la regla ACL3004.
coincidentes a la dirección 10.3.1.1, es decir, al Módulo de NGFW.
[CSS-trafficpolicy-p4] classifier c4 behavior b4 precedence 20 //Vincule el
clasificador de tráfico c4 y el comportamiento de tráfico b4 con la política de
tráfico p4. Todo el tráfico de Internet a la intranet se dirige al Módulo de NGFW.
[CSS] interface eth-trunk 4 //Acceda a la vista de la interfaz que conecta el
switch a Internet.
[CSS-Eth-Trunk4] traffic-policy p4 inbound //Aplique la política de tráfico p4
en la dirección de entrada de la interfaz que conecta el switch a Internet.
----Fin
Verificación
relación de HRP.
ACTIVE

0.01%
minutes
active:
(GigabitEthernet1/0/1) :
up


http VPN: public --> public 192.168.1.8:22048[1.1.1.1:2106] --> 3.3.3.3:80
http VPN: public --> public Remote 192.168.1.8:22048[1.1.1.1:2106] -->
3.3.3.3:80
3. Compruebe si el acceso de Internet a los servidores en la DMZ es exitoso y compruebe la
tabla de sesiones de cada Módulo de NGFW.
http VPN: public --> public 2.2.2.2:11447 --> 1.1.1.3:8000[192.168.2.8:80]
http VPN: public --> public Remote 2.2.2.2:11447 -->
1.1.1.3:8000[192.168.2.8:80]

activo y carga los servicios. El símbolo del sistema de NGFW Module_B se cambia de
HRP_S a HRP_A, y el símbolo del sistema de NGFW Module_A se cambia de HRP_A
a HRP_S. No se descartan o se descartan varios paquetes de ping (1 a 3 paquetes,
conmutación de estado es normal, NGFW Module_A se convierte en el activo y
comienza a cargar los servicios después de que expire el retraso de preempción (60
segundos por defecto). El símbolo del sistema de NGFW Module_A se cambia de
HRP_S a HRP_A, y el símbolo del sistema de NGFW Module_B se cambia de HRP_A a
HRP_S. No se descartan o se descartan varios paquetes de ping (1 a 3 paquetes,


# #
# #
# hrp standby-device //Este comando
nat server policy_web protocol tcp solo se requiere en las versiones
global 1.1.1.3 8000 inside 192.168.2.8 anteriores a V100R001C30SPC300.
www #
# nat server policy_web protocol tcp
interface Eth-Trunk0 global 1.1.1.3 8000 inside 192.168.2.8
ip address 10.10.0.1 255.255.255.0 www
# #
portswitch ip address 10.10.0.2 255.255.255.0
interface Eth-Trunk1.1 portswitch
vlan-type dot1q 201 port link-type access
ip address 10.3.1.2 255.255.255.0 #
# #
# ip address 10.3.3.3 255.255.255.0
eth-trunk 0 standby
# #
eth-trunk 1 interface GigabitEthernet0/0/2
# eth-trunk 0
interface GigabitEthernet1/0/1 #
portswitch interface GigabitEthernet1/0/0
port link-type access portswitch
eth-trunk 1 port link-type access
# eth-trunk 1
firewall zone trust #
set priority 85 interface GigabitEthernet1/0/1
add interface Eth-Trunk1.2 portswitch
# port link-type access
set priority 5 #
# set priority 85
set priority 50 #
# set priority 5
firewall zone hrpzone add interface Eth-Trunk1.1
set priority 65 #
# set priority 50
firewall interzone dmz untrust add interface Eth-Trunk1.3
detect ftp #


# firewall zone hrpzone
ip route-static 0.0.0.0 0.0.0.0 set priority 65
10.3.1.4 add interface Eth-Trunk0
ip route-static 1.1.1.1 #
255.255.255.255 NULL0 firewall interzone dmz untrust
ip route-static 1.1.1.2 detect ftp
255.255.255.255 NULL0 #
ip route-static 1.1.1.3 ip route-static 0.0.0.0 0.0.0.0
255.255.255.255 NULL0 10.3.1.4
255.255.255.0 10.3.2.4 255.255.255.255 NULL0
255.255.255.0 10.3.3.4 255.255.255.255 NULL0
# ip route-static 1.1.1.3
nat address-group addressgroup1 0 255.255.255.255 NULL0
section 0 1.1.1.1 1.1.1.2 ip route-static 192.168.1.0
# 255.255.255.0 10.3.2.4
security-policy ip route-static 192.168.2.0
rule name policy_sec1 255.255.255.0 10.3.3.4
source-zone trust #
destination-zone untrust nat address-group addressgroup1 0
source-address 192.168.1.0 mask section 0 1.1.1.1 1.1.1.2
255.255.255.0 #
action permit security-policy
rule name policy_sec2 rule name policy_sec1
source-zone untrust source-zone trust
destination-zone dmz destination-zone untrust
destination-address 192.168.2.0 mask source-address 192.168.1.0 mask
255.255.255.0 255.255.255.0
service ftp rule name policy_sec2
profile ips default source-zone untrust
action permit destination-zone dmz
# destination-address 192.168.2.0 mask
nat-policy 255.255.255.0
rule name policy_nat1 service http
source-zone trust service ftp
destination-zone untrust profile ips default
source-address 192.168.1.0 mask action permit
255.255.255.0 #
action nat address-group nat-policy
addressgroup1 rule name policy_nat1
# source-zone trust
return destination-zone untrust
255.255.255.0
action nat address-group
addressgroup1
#
return

#
acl number 3001
acl number 3002
acl number 3003
acl number 3004

rule 5 permit destination 192.168.1.0 0.0.0.255

rule 10 permit destination 192.168.2.0 0.0.0.255
#
traffic classifier c1 operator or precedence 5
if-match acl 3001
if-match acl 3002
if-match acl 3003
if-match acl 3004
#
traffic behavior b1
permit
traffic behavior b2
permit
redirect ip-nexthop 10.3.2.1
traffic behavior b3
permit
traffic behavior b4
permit
#
traffic policy p1 match-order config
classifier c1 behavior b1
#
interface Vlanif201
ip address 10.3.1.4 255.255.255.0
#
interface Vlanif202
ip address 10.3.2.4 255.255.255.0
#
interface Vlanif203
ip address 10.3.3.4 255.255.255.0
#
traffic-policy p1 inbound
#
#
#
description To_NGFW_Module_A
#
description To_NGFW_Module_B
#
eth-trunk 5
#
eth-trunk 5
#

eth-trunk 6
#
eth-trunk 6
#
ip route-static 1.1.1.1 255.255.255.255 10.3.1.1
ip route-static 1.1.1.2 255.255.255.255 10.3.1.1
ip route-static 1.1.1.3 255.255.255.255 10.3.1.1
#
return

implementa el desvío de tráfico basado en VLAN
Como se muestra en Figura 1-8, dos switches forman un CSS, y dos módulos de NGFW
están instalados en la ranura 1 de los switches respectivos e implementan Espera en caliente.
Los módulos de NGFW implementan la verificación de seguridad en el tráfico enviado por
los usuarios de la intranet para acceder al área del servidor o a Internet.
Figura 1-8 Red de CSS de switch y módulo de NGFW Espera en caliente
Internet/WAN
10.3.0.5/24
Eth-Trunk0 Eth-Trunk5 Eth-Trunk0

10.10.0.1/24 Enlace de latido 10.10.0.2/24
VLAN 200
GE1/0/0 XGE1/1/0/0 XGE2/1/0/0 GE1/0/0
CSS
GE1/0/1 XGE1/1/0/1 SwitchB XGE2/1/0/1 GE1/0/1

SwitchA
NGFW Modue_A NGFW Module_B
Usuarios de Intranet Área de servidor

10.1.0.0/24 10.2.0.0/24
VLAN 301 VLAN 302

NOTA

Los módulos de NGFW funcionan en la capa 3, y los gateways de red de vínculo ascendentes
y descendentes apuntan a los módulos de NGFW. Los switches funcionan en la Capa 2.
1. Las interfaces que conectan cada módulo de NGFW e switch se atan en una interfaz Eth-
Trunk. La interfaz Eth-Trunk es Eth-Trunk 1 en cada módulo de NGFW, Eth-Trunk 10
en el SwitchA y Eth-Trunk 11 en el SwitchB.
2. Eth-Trunk en el lado del switch está configurado para funcionar en modo de Trunk y
permite el paso de los paquetes de las VLAN 301, 302 y 200. Configure tres
subinterfaces de Eth-Trunk en el lado del Módulo de NGFW para realizar la terminación
de dot1q a los paquetes de las VLAN 301, 302 y 200, respectivamente, y realice el
reenvío de Capa 3.
3. Dos módulos de NGFW forman Espera en caliente en modo activo/standby. Por lo tanto,
un grupo VRRP debe configurarse en las subinterfaces de vínculo ascendentes y
descendentes de cada Módulo de NGFW. Un módulo de NGFW se agrega a un grupo
VGMP activo, y el otro módulo de NGFW se agrega a un grupo VGMP standby.
Las direcciones IP de gateway virtual del grupo VRRP son las direcciones de gateway de
las redes de vínculo descendentes y ascendentes.
Figura 1-9 proporciona una red lógica.

Figura 1-9 Configuración de subinterfaces de Eth-Trunk y VRRP en los módulos de

NGFW
Server area
Internet
10.2.0.0/24
VLAN 302
VLAN 200
Eth-Trunk10 Eth-Trunk11 Eth-Trunk10 Eth-Trunk11

Activo Standby Activo Standby
10.2.0.3/24 10.3.0.3/24
Eth-Trunk1.302 Eth-Trunk1.302 Eth-Trunk1.200 Eth-Trunk1.200

10.2.0.1/24 10.2.0.2/24 10.3.0.1/24 10.3.0.2/24
10.10.0.1/24 10.10.0.1/24
10.10.0.2/24 10.10.0.2/24
Eth-Trunk1.301 Eth-Trunk1.301 Eth-Trunk1.301 Eth-Trunk1.301
10.1.0.1/24 10.1.0.2/24 10.1.0.1/24 10.1.0.2/24

10.1.0.3/24 10.1.0.3/24
Activo Standby Activo Standby
Eth-Trunk10 Eth-Trunk11 Eth-Trunk10 Eth-Trunk11
Usuarios de Intranet Usuarios de Intranet

10.1.0.0/24 10.1.0.0/24
VLAN 301 VLAN 301
NOTA
Figura 1-9 solo proporciona información de las interfaces relacionadas con los switches y los módulos
de NGFW.
4. Agrupe las interfaces GE0/0/1 y GE0/0/2 en el panel de cada módulo de NGFW en una
interfaz Eth-Trunk0, que funciona como la interfaz de latido y el canal de reserva y
habilita Espera en caliente.
5. Configure las funciones de seguridad, como políticas de seguridad, e IPS en NGFW
Module_A. Module_A de NGFW sincronizará automáticamente sus configuraciones a
NGFW Module_B.
Procedimiento


# Agregue las interfaces que conectan NGFW Module_A con su switch conectado a Eth-
Trunk 1.
[Module_A-Eth-Trunk1] description To_SWITCHA_trunk10
# Configure las subinterfaces de Eth-Trunk 1 en NGFW Module_A y asígnelas a las VLAN

301, 302 y 200, respectivamente.
NOTA
En las redes reales, la cantidad de subinterfaces requeridas depende de la cantidad de VLAN a partir de
los paquetes que se deben finalizar.
[Module_A] interface Eth-Trunk 1.301
# Agregue las dos interfaces en el panel de NGFW Module_A a Eth-Trunk 0.

[Module_A-Eth-Trunk0] description hrp_interface

[Module_A-zone-untrust] add interface Eth-Trunk 1.200
[Module_A-zone-dmz] add interface Eth-Trunk 1.302
[Module_A-zone-trust] add interface Eth-Trunk 1.301
[Module_A] firewall zone name hrp
[Module_A-zone-hrp] set priority 75
[Module_A-zone-hrp] add interface Eth-Trunk 0
[Module_A-zone-hrp] quit

# Agregue las interfaces que conectan NGFW Module_B con su switch conectado a Eth-
Trunk 1.
[Module_B-Eth-Trunk1] description To_SWITCHB_trunk11
# Configure las subinterfaces de Eth-Trunk 1 en NGFW Module_B y asígnelas a las VLAN

301, 302 y 200, respectivamente.
[Module_B] interface Eth-Trunk 1.301
# Agregue las dos interfaces en el panel de NGFW Module_B a Eth-Trunk 0.

[Module_B-Eth-Trunk0] description hrp_interface

[Module_B-zone-untrust] add interface Eth-Trunk 1.200
[Module_B-zone-dmz] add interface Eth-Trunk 1.302
[Module_B-zone-trust] add interface Eth-Trunk 1.301
[Module_B] firewall zone name hrp
[Module_B-zone-hrp] set priority 75
[Module_B-zone-hrp] add interface Eth-Trunk 0
[Module_B-zone-hrp] quit
Paso 2 En el Módulo de NGFW, configure una ruta predeterminada a Internet.

# Ruta predeterminada de NGFW Module_A a Internet
# La ruta predeterminada de NGFW Module_B a Internet






[Module_B] hrp standby-device //Este comando solo se requiere en las versiones
NOTA

sincronizan al dispositivo standby; por lo tanto, solo necesita realizar las siguientes configuraciones en
el NGFW Module_A activo.
Antes de configurar la prevención de intrusiones, asegúrese de que se cargue la licencia requerida y la
base de datos de firmas de prevención intrusas sea la última versión.
default.

la intranet accedan a la zona del servidor (segmento de red 10.2.0.0/24).
HRP_A[Module_A-policy-security] rule name policy_to_server
HRP_A[Module_A-policy-security-rule-policy_to_server] source-zone trust
HRP_A[Module_A-policy-security-rule-policy_to_server] destination-zone dmz
HRP_A[Module_A-policy-security-rule-policy_to_server] destination-address
10.2.0.0 24
HRP_A[Module_A-policy-security-rule-policy_to_server] service http ftp
HRP_A[Module_A-policy-security-rule-policy_to_server] action permit
HRP_A[Module_A-policy-security-rule-policy_to_server] quit
la intranet accedan a Internet y configuren la prevención de intrusiones.
HRP_A[Module_A-policy-security] rule name policy_to_wan

HRP_A[Module_A-policy-security-rule-policy_to_wan] source-zone trust

HRP_A[Module_A-policy-security-rule-policy_to_wan] destination-zone untrust
HRP_A[Module_A-policy-security-rule-policy_to_wan] service http ftp
HRP_A[Module_A-policy-security-rule-policy_to_wan] profile ips default
HRP_A[Module_A-policy-security-rule-policy_to_wan] action permit
HRP_A[Module_A-policy-security-rule-policy_to_wan] quit

HRP_A[Module_A] firewall interzone trust dmz
HRP_A[Module_A-interzone-trust-dmz] detect ftp
HRP_A[Module_A-interzone-trust-dmz] quit
HRP_A[Module_A] firewall interzone trust untrust
HRP_A[Module_A-interzone-trust-untrust] detect ftp
HRP_A[Module_A-interzone-trust-untrust] quit


Guide.


SwitchA.
rebooted. T


rebooted. T

CSS Enable switch
On

Force
------------------------------------------------------------------------------

Off
Off

[CSS]
Paso 6 Configure las interfaces del switch.

1. Cree las VLAN.
[CSS] vlan batch 200 301 to 302
2. Agregue las interfaces de switch conectadas con NGFW Module_A a Eth-Trunk 10.
[CSS-Eth-Trunk10] description To_Module_A
[CSS-Eth-Trunk10] port trunk allow-pass vlan 200 301 to 302 //Dirija el
tráfico desde diferentes VLAN al Módulo NGFW.
3. Agregue las interfaces de switch conectadas con NGFW Module_B a Eth-Trunk 11.
[CSS-Eth-Trunk11] description To_Module_B
[CSS-Eth-Trunk11] port trunk allow-pass vlan 200 301 to 302 //Dirija el
tráfico desde diferentes VLAN al Módulo NGFW.
4. Configure Eth-Trunk 2 conectado a los usuarios de intranet. Agregar las interfaces a Eth-
Trunk 2 no se menciona aquí.


5. Configure Eth-Trunk 3 conectado a los usuarios de intranet. Agregar las interfaces a Eth-
Trunk 3 no se menciona aquí.
6. Configure Eth-Trunk 5 conectado al router de egreso. Agregar las interfaces a Eth-Trunk

5 no se menciona aquí.
[CSS-Eth-Trunk5] port link-type access
[CSS-Eth-Trunk5] port default vlan 200
Paso 7 Configure los dispositivos de vínculo ascendentes y descendentes.

1. Configure la interfaz de vínculo ascendente Eth-Trunk 2 en el switch de intranet para que
funcione en modo trunk y permita el paso del tráfico de la VLAN 301.
2. Configure la interfaz de vínculo ascendente Eth-Trunk 3 en el switch del servidor para
que funcione en modo trunk y permita el paso del tráfico desde la VLAN 302.
3. Establezca la dirección de gateway de los PC de Intranet en la dirección IP virtual
(10.1.0.3) del grupo VRRP al grupo que pertenece Eth-Trunk 1.301.
4. Establezca la dirección de gateway de los servidores en la dirección IP virtual (10.2.0.3)
del grupo VRRP al grupo que pertenece Eth-Trunk 1.302.
5. La dirección del siguiente salto de la ruta desde el router de egreso a la intranet es la
dirección IP virtual (10.3.0.3) del grupo VRRP al grupo que pertenece Eth-Trunk 1.200.
----Fin
Verificación
relación de HRP.
ACTIVE

0.01%
minutes
active:



3. Compruebe si el acceso de los usuarios en la intranet a los servidores es exitoso y
compruebe la tabla de sesiones de cada Módulo de NGFW.

dispositivo activo y carga los servicios. El símbolo del sistema de NGFW Module_B se
cambia de HRP_S a HRP_A, y el símbolo del sistema de NGFW Module_A se cambia
de HRP_A a HRP_S. No se descartan o se descartan varios paquetes de ping (1 a 3
conmutación de estado es normal, NGFW Module_A se convierte en el dispositivo
activo y comienza a cargar los servicios después de que expire el retraso de preempción
(60 segundos por defecto). El símbolo del sistema de NGFW Module_A se cambia de
HRP_S a HRP_A, y el símbolo del sistema de NGFW Module_B se cambia de HRP_A a
HRP_S. No se descartan o se descartan varios paquetes de ping (1 a 3 paquetes,
Los Scripts de configuración de los Módulos de NGFW:


# #
# #
# hrp standby-device //Este comando
interface Eth-Trunk0 solo se requiere en las versiones
description hrp_interface anteriores a V100R001C30SPC300.
ip address 10.10.0.1 255.255.255.0 #
interface Eth-Trunk1 description hrp_interface
description To_SWITCHA_trunk10 ip address 10.10.0.2 255.255.255.0
# #
interface Eth-Trunk1.200 interface Eth-Trunk1
vlan-type dot1q 200 description To_SWITCHB_trunk11
ip address 10.3.0.1 255.255.255.0 #
# #
# ip address 10.2.0.2 255.255.255.0
eth-trunk 0 standby
# #
eth-trunk 1 eth-trunk 0
# #
eth-trunk 1 eth-trunk 0
# #
firewall zone trust interface GigabitEthernet1/0/0
set priority 85 eth-trunk 1
add interface Eth-Trunk1.301 #
set priority 5 #
# set priority 85
set priority 50 #
# set priority 5
firewall zone name hrp add Eth-Trunk1.200
set priority 75 #
# set priority 50
firewall interzone trust untrust add interface Eth-Trunk1.302
detect ftp #
# firewall zone name hrp
firewall interzone trust dmz set priority 75
detect ftp add interface Eth-Trunk0
# #
ip route-static 0.0.0.0 0.0.0.0 firewall interzone trust untrust
10.3.0.5 detect ftp
# #
security-policy firewall interzone trust dmz


rule name policy_to_server detect ftp
source-zone trust #
destination-zone dmz ip route-static 0.0.0.0 0.0.0.0
destination-address 10.2.0.0 mask 10.3.0.5
255.255.255.0 #
service http security-policy
service ftp rule name policy_to_server
action permit source-zone trust
rule name policy_to_wan destination-zone dmz
source-zone trust destination-address 10.2.0.0 mask
destination-zone untrust 255.255.255.0
source-address 10.1.0.0 mask service http
255.255.255.0 service ftp
service ftp rule name policy_to_wan
profile ips default source-zone trust
action permit destination-zone untrust
# source-address 10.1.0.0 mask
return 255.255.255.0
service http
service ftp
profile ips default
action permit
#
return

# ----CSS configuration----
#
#
#
port link-type access
#
description To_Module_A
#
description To_Module_B
#
eth-Trunk 10
#
eth-Trunk 10
#

eth-Trunk 11
#
eth-Trunk 11
#
return

Ejemplos típicos de configuración 2 Ejemplos de interconexión
2 Ejemplos de interconexión
2.1 Configuración típica para la interconexión entre switches y teléfonos IP

2.2 Configuración típica para la interconexión entre switches y cortafuegos
2.3 Configuración típica para la interconexión entre switches y routers
2.4 Configuración típica para la interconexión entre switches y servidores
2.5 Interconexión entre un switch de PoE y los PD
2.1 Configuración típica para la interconexión entre

switches y teléfonos IP
2.1.1 Descripción general

En una red VoIP, un teléfono IP necesita conectarse a un switch para transmitir el tráfico de
voz. En esta situación, tanto los flujos de voz como los de datos se transmiten en la red VoIP.
Cómo transmitir el tráfico de voz de forma preferencial para garantizar la calidad de la
comunicación es la clave para el interfuncionamiento entre el teléfono IP y el switch.
Un switch identifica paquetes de voz basados en direcciones MAC de teléfonos IP o ID de
VLAN de voz, y aumenta la prioridad de los paquetes de voz para que se transmitan de
manera preferente. Los siguientes métodos están disponibles para configurar el
interfuncionamiento entre switches y teléfonos IP según el modo en que los switches
identifiquen los paquetes de voz.

Tabla 2-1 Métodos para configurar el interfuncionamiento entre switches y teléfonos IP

Método de configuración Escenario de uso
Ejemplo para conectar teléfonos IP a Un teléfono IP puede obtener el ID de

switches a través de LLDP VLAN de voz a través de LLDP, y un
switch puede identificar paquetes de voz
basados en ID de VLAN de voz.
Ejemplo para conectar teléfonos IP a Un teléfono IP puede obtener el ID de

switches a través de LLDP-MED VLAN de voz en función del campo
network-policy TLV de LLDP, y un switch
puede identificar paquetes de voz basados
en ID de VLAN de voz.
Ejemplo para conectar teléfonos IP de Un teléfono IP puede obtener el ID de

Cisco a switches a través del HDP VLAN de voz a través de CDP, y un switch
puede identificar paquetes de voz basados
en ID de VLAN de voz.
Ejemplo para conectar un teléfono IP a Un teléfono IP puede obtener el ID de

un switch a través del servidor DHCP VLAN de voz a través de DHCP, y un
switch puede identificar paquetes de voz
basados en ID de VLAN de voz.
Ejemplo para conectar teléfonos IP a Un teléfono IP no puede usar ningún

switches a través de la asignación de protocolo para obtener el ID de VLAN de
VLAN basada en direcciones MAC voz, y un switch puede identificar paquetes
de voz basados en direcciones MAC.

switches a través de VLAN de voz basada protocolo para obtener el ID de VLAN de
en OUI voz, y un switch puede identificar paquetes

switches a través del PVID del ID de protocolo para obtener el ID de VLAN de
VLAN de voz voz, y un switch puede identificar paquetes

switches a través de una ACL protocolo para obtener el ID de VLAN de
voz, y un switch puede identificar paquetes

switches a través de una política de protocolo para obtener el ID de VLAN de
tráfico simplificado basada en ACL voz, y un switch puede identificar paquetes
2.1.2 Conceptos básicos

l OUI

Un Identificador Organizacionalmente Único (OUI) consiste en los primeros 24 bits de

una dirección MAC, y es un identificador único asignado por el Instituto de Ingenieros
Eléctricos y Electrónicos (IEEE) a un proveedor de dispositivos.
Cada proveedor de dispositivos necesita solicitar una dirección MAC del IEEE. En
general, el IEEE asigna un segmento de dirección de 24 bits, desde el cual el proveedor
de dispositivos asigna direcciones. Durante el reenvío de paquetes, un switch puede
identificar dispositivos de voz basados en OUI y luego puede determinar los paquetes de
voz.
l Voice VLAN
Una VLAN de voz se usa para reenviar paquetes de voz. Un switch de Huawei solo
permite que una VLAN se especifique como una VLAN de voz, pero no puede asignar el
ID de VLAN de voz a los dispositivos de voz. Los protocolos como LLDP y DHCP
deben ser utilizados para asignar el ID de una VLAN de voz específica a los dispositivos
de voz.
l VLAN Tag
802.1Q define el formato de una etiqueta VLAN.
PRI (3 bits) CFI (1 bit) VLAN ID (12 bits)
Una VLAN tag consta de 16 bits. PRI (también llamado como prioridad de CoS o
802.1p) ocupa 3 bits, CFI ocupa 1 bit y VID ocupa 12 bits.
Los tipos de paquetes se definen según las etiquetas VLAN de la siguiente manera:
a. Paquetes sin etiqueta: Los paquetes no llevan etiquetas VLAN.
b. Paquetes etiquetados con VLAN 0: Paquetes llevan etiquetas con VLAN 0:
c. Paquetes etiquetados: Paquetes etiquetados con etiquetas que no sean 0:
Según lo definido por 802.1Q, los paquetes de voz enviados por teléfonos IP pueden
llevar sin etiquetas, etiquetas con VLAN 0 o etiquetas que no sean 0.
Se debe especificar una alta prioridad especificada por el valor de CoS (normalmente 5)
para los paquetes de voz, de modo que se puedan reenviar de manera preferente. En
general, los teléfonos IP de los proveedores principales (por ejemplo, la serie Cisco
7960) envían paquetes de voz etiquetados en los que el valor de CoS por defecto es de 5.
Existen muchos tipos de teléfonos IP y los valores de CoS de algunos teléfonos IP no se
pueden ajustar a 5.
Tabla 2-2 Describa los paquetes enviados por teléfonos IP.
Tabla 2-2 Cinco tipos de paquetes enviados por teléfonos IP

No. Características del Descripción
paquete
1 Los paquetes llevan Después de que los teléfonos IP se conecten a

etiquetas VLAN en un switch, no es necesario aumentar la
las que el valor de prioridad de los paquetes.
CoS es de 5.

etiquetas VLAN en un switch, el switch debe identificar la
las que el valor de prioridad de los paquetes y aumentar la
CoS es de 0. prioridad del paquete.

No. Características del Descripción

paquete

etiquetas VLAN en un switch, el switch necesita identificar
las que el ID de paquetes de voz basados en el OUI, agregar el
VLAN es de 0 y el ID de VLAN de voz y ajustar una prioridad
valor de CoS es de 5. alta.

etiquetas VLAN en un switch, el switch necesita identificar
las que el ID de paquetes de voz basados en el OUI, agregar el
VLAN es de 0 y el ID de VLAN de voz y ajustar una prioridad
valor de CoS es de 0. alta.
5 Los paquetes no Después de que los teléfonos IP se conecten a

llevan etiquetas un switch, el switch necesita identificar
VLAN. paquetes de voz basados en el OUI, agregar el
ID de VLAN de voz y ajustar una prioridad
alta.
NOTA
Un switch de Huawei procesa los paquetes etiquetados con VLAN 0 de la misma manera que los
paquetes sin etiquetas; es decir, una interfaz agrega la VLAN tag especificada por el PVID a los
paquetes. Para los paquetes de voz, el switch necesita identificarlos en función del OUI y agregar el ID
de VLAN de voz a los paquetes de voz para que los paquetes de voz puedan reenviarse en la VLAN de
voz.
2.1.3 Conexión física de un teléfono IP para el

interfuncionamiento
Descripción general
Cisco 7960 se usa como un ejemplo. Figura 2-1 muestra la estructura interna del teléfono IP.
El teléfono IP integra un chip de conmutación de tres puertos:
l El puerto P1 se conecta a un switch de enlace ascendente u otro dispositivo de
comunicación de datos.
l P2 se conecta al ASIC interno para transmitir el tráfico de voz.
l P3 se conecta a una PC u otro dispositivo de comunicación de datos.

Figura 2-1 Estructura interna del teléfono IP
Teléfono IP 7960 de Cisco
Teléfono
ASIC
P2
P1 Switch P3
3-puerto
Conexión física de un teléfono IP para el interfuncionamiento

En Figura 2-1, el teléfono IP provee dos interfaces para conectarse a un switch de enlace
ascendente y a una PC, respectivamente. Cuando el teléfono IP y el PC se implementan
simultáneamente, existen dos métodos:
l el PC de enlace descendente se conecta al teléfono IP, como se muestra en Figura 2-2.
Solo una interfaz en un switch está ocupada. Es decir, una interfaz de red proporciona
servicios de voz y datos.
Figura 2-2 Conexión de una PC de enlace descendente a un teléfono IP
l el PC y el teléfono IP se conectan al switch por separado, como se muestra en Figura

2-3. Los flujos de voz y datos se implementan por separado, lo que facilita la
administración y el mantenimiento.
Figura 2-3 Conexión del PC y teléfono IP al switch por separado
2.1.4 Modos de interconexión compatibles con diferentes modelos

de teléfonos IP
Los diferentes modelos de teléfonos IP admiten diferentes modos de interconexión. Los
teléfonos IP enumerados en Tabla 2-3 han sido probados y pueden conectarse a switches. La
información se actualizará en función de los resultados de las pruebas. Para descargar la
información, haga clic en List of IP Phone Models That Can Be Connected to Switches.

NOTA
l Los teléfonos de Cisco 7912, Cisco 7940G y Cisco 7960G son los PD no estándar. Si se requiere un
switch para proporcionar PoE, ejecute el comando poe legacy enable en las interfaces del switch
conectado a teléfonos IP para habilitar la detección de compatibilidad para los PD en el PSE.
l Los teléfonos de Cisco SPA 303 y Linksys SPA 921 no son compatibles con PoE, por lo que debe
conectarlos a una fuente de alimentación externa y antes del switch.
Tabla 2-3 Modos de interconexión compatibles con diferentes modelos de teléfonos IP (para
switches de V200R009 y versiones posteriores)
Model LLDP LLDP_ HDP MAC Voice- PVID ACL y Modo
o de MED VLAN VLAN =Voic polític de
teléfo includ e a de acceso
no IP e- VLAN tráfico recom
untagg endad
ed o
Cisco se se se se se se se LLDP
CP-796 admite admite admite admite admite admite admite
2G
5G
5G
2G
1G
1G
1G-GE
5
1G


untagg endad
ed o
1G-GE
1G
1G
1G
5G
1G
1
6G
7G
5
5
1


untagg endad
ed o
1
1
1
5
1
1
1
6
3905 admite admite admite admite admite admite admite
1
1
SPA50 admite admite admite admite admite admite admite
2G


untagg endad
ed o
4G
8G
2G
4G
5G
CISCO se se se se se se se LLDP
7931G admite admite admite admite admite admite admite
Cisco No se No se se se se se se HDP
0G
0G
0


untagg endad
ed o
1
2
1
5
9G
2G
2G
3
Avaya se se No se se se se se Voice-
1608-I admite admite admite admite admite admite admite VLAN
include
-
untagge
d
9650 admite admite admite admite admite admite admite VLAN
include
-
untagge
d


untagg endad
ed o
9611G admite admite admite admite admite admite admite VLAN
include
-
untagge
d
include
-
untagge
d
1616-I admite admite admite admite admite admite admite VLAN
include
-
untagge
d
include
-
untagge
d
include
-
untagge
d
include
-
untagge
d


untagg endad
ed o
include
-
untagge
d
include
-
untagge
d
include
-
untagge
d
include
-
untagge
d
include
-
untagge
d
include
-
untagge
d


untagg endad
ed o
include
-
untagge
d
include
-
untagge
d
include
-
untagge
d
include
-
untagge
d
4610sw admite admite admite admite admite admite admite VLAN
include
-
untagge
d
E129 admite admite admite admite admite admite admite VLAN
include
-
untagge
d


untagg endad
ed o
Avaya No se No se No se se se se se Voice-
1120E admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Polyco se se No se se se se se LLDP
m 330 admite admite admite admite admite admite admite
m admite admite admite admite admite admite admite
CX300
0
vvx500
m 550 admite admite admite admite admite admite admite
CX700
CX600
Polyco No se No se No se se se se se Voice-
m admite admite admite admite admite admite admite VLAN
650sip include
-
untagge
d
601sip include
-
untagge
d


untagg endad
ed o
m 320 admite admite admite admite admite admite admite VLAN
include
-
untagge
d
m 450 admite admite admite admite admite admite admite VLAN
include
-
untagge
d
301SIP include
-
untagge
d
Snom se se No se se se se se LLDP
Snom se se No se se No se se No se LLDP
Snom No se No se No se se se se se Voice-
include
-
untagge
d
Mitel se se No se se se se se LLDP
Mitel se se No se se se se se LLDP
Nortel se se No se se se se se LLDP
1140E admite admite admite admite admite admite admite


untagg endad
ed o
H3C No se No se No se se se se se Voice-
include
-
untagge
d
Linksys No se No se No se se se se se Voice-
SPA admite admite admite admite admite admite admite VLAN
921 include
-
untagge
d
GXP se se No se se se se se Voice-
include
-
untagge
d
GXP se se No se se se se se Voice-
include
-
untagge
d
GXP se se No se se se se se LLDP
Atcom No se No se No se se se se se Voice-
A11 admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Escene se se No se se se se se Voice-
ES290- admite admite admite admite admite admite admite VLAN
PN include
-
untagge
d


untagg endad
ed o
Escene se se No se se se se se Voice-
WS290 admite admite admite admite admite admite admite VLAN
-PN include
-
untagge
d
Fanvil No se No se No se se se se se Voice-
F52HP admite admite admite admite admite admite admite VLAN
include
-
untagge
d
Yealink se se No se se se se se Voice-
SIP admite admite admite admite admite admite admite VLAN
T23P include
-
untagge
d
Yealink se se No se se se se se LLDP
SIP admite admite admite admite admite admite admite
T22P
Yealink se se No se se se se se LLDP
SIP admite admite admite admite admite admite admite
T28P
HP se se No se se se se se LLDP
Huawei se se No se se se se se LLDP
Espace- admite admite admite admite admite admite admite
7910
7950
8950

2.1.5 Ejemplo para conectar teléfonos IP a switches a través de

LLDP
Si un dispositivo de voz admite LLDP, puede habilitar LLDP y VLAN de voz en el switch
para proporcionar acceso de VoIP. Luego, el switch usa LLDP para enviar el ID de VLAN de
voz al dispositivo de voz y aumenta la prioridad del paquete a través de VLAN de voz.
Notas de configuración
l A excepción de S2300SI, todos los modelos de todas las versiones admiten esta
configuración.
l El teléfono Avaya no puede obtener una dirección IP a través de DHCP dentro de 60s
debido a la demora de la red u otras causas. Una vez que el temporizador expire, el
teléfono Avaya envía paquetes etiquetados con VLAN 0 repetidamente. El switch
procesa los paquetes etiquetados con VLAN 0 de la misma manera que los paquetes sin
etiquetas, es decir, en la VLAN especificada por el PVID de una interfaz. Dichos
paquetes no se procesan en la VLAN de voz. Como resultado, el teléfono Avaya no
puede autenticarse y no se puede conectar al switch.
Puede usar uno de los siguientes métodos para resolver el problema:
– Método 1: En V200R003C00 y versiones posteriores, recomendamos que configure
la VLAN de voz basada en OUI. Luego, el switch agrega el ID de VLAN de voz a
los paquetes sin etiquetas, de modo que los paquetes se pueden reenviar en la
VLAN de voz. Para obtener más detalles, consulte 2.1.10 Ejemplo para conectar
teléfonos IP a switches a través de VLAN de voz basada en OUI. Para los
switches fijos (S5320EI, S6320EI) y switches modulares (excepto
LE1D2S04SEC0, LE1D2X32SEC0, LE1D2H02QEC0, y tarjetas de la serie X),
usted también puede usar el comando voice-vlan vlan-id enable include-tag0 para
habilitar la VLAN de voz para paquetes etiquetados con VLAN 0 en V200R010 y
versiones posteriores.
– Método 2: Modifique el valor del temporizador de VLAN TEST del teléfono IP:
Presione la tecla asterisco (*) e introduzca la contraseña para acceder al menú.
Seleccione VLAN TEST y cambie el valor por defecto a 0 (sin tiempo de espera).
Después de reiniciar el teléfono Avaya, la configuración del temporizador ya no
está efectiva y debe reconfigurarse.
l Para los teléfonos Mitel 5212, Option 128, Option 129, Option 130, y Option 131 se
deben configurar en el grupo de direcciones de servidor DHCP; de lo contrario, estos
teléfonos no pueden identificar los paquetes de DHCP Offer enviados por DHCP Server
o conectarse en línea. La configuración en el switch es la siguiente:
<Quidway> system-view
[Quidway] ip pool ip-phone
[Quidway-ip-pool-ip-phone] option 128 ip-address 10.20.20.1 //No hay ningún
requisito para el valor configurado. Asegúrese de que los paquetes salientes
lleven los campos.
[Quidway-ip-pool-ip-phone] option 129 ip-address 11.20.20.1
[Quidway-ip-pool-ip-phone] option 130 ascii MITEL IP PHONE
Teléfonos IP aplicables
Consulte 2.1.4 Modos de interconexión compatibles con diferentes modelos de teléfonos
IP.

Requisitos de redes
En Figura 2-4, para ahorrar costos de inversión, el cliente requiere que los teléfonos IP y los
PC se conecten a la red a través de VoIP. Los teléfonos IP son compatibles con LLDP y
pueden obtener ID de VLAN de voz a través de LLDP. Para garantizar que los teléfonos IP y
los PC puedan conectarse a la red, el plan de la red debe cumplir con los siguientes requisitos:
l La prioridad de los paquetes de voz enviados por teléfonos IP es baja y debe aumentarse
para garantizar la calidad de la comunicación.
l Los paquetes de voz se transmiten en VLAN 100 y los flujos de datos desde los PC se
transmiten en VLAN 101.
l Las direcciones IP de los teléfonos IP se asignan dinámicamente por servidor DHCP, y
se encuentran en un segmento de red diferente al de servidor DHCP.
l Los teléfonos IP necesitan conectarse a los switches a través de la autenticación de la
dirección MAC.
Figura 2-4 Redes para conectar switches a teléfonos IP a través de LLDP

Servidor de
autenticación
Intranet
Servidor DHCP Switch B

GE1/0/3
GE1/0/3
Relé DHCP Switch A
GE1/0/1 GE1/0/2
IP Phone A
IP Phone B
PC
Hoja de ruta de configuración

é
La hoja de ruta de configuración es la siguiente:
1. Habilite LLDP globalmente y en una interfaz para que el ID de VLAN de voz se asigne a
teléfonos IP.

2. Agregue interfaces a VLAN para que los paquetes de voz y datos se puedan reenviar
normalmente.
3. Configure la función de VLAN de voz para mejorar la prioridad de los paquetes de voz
desde teléfonos IP.
4. Configure las funciones de relé DHCP y de servidor DHCP para que las direcciones IP
se asignen a teléfonos IP.
5. Configure la autenticación para que los teléfonos IP se conecten a la red a través de la
autenticación de la dirección MAC.
Procedimiento
Paso 1 Habilite LLDP en SwitchA.
[Quidway] sysname SwitchA
[SwitchA] lldp enable //Habilite LLDP globalmente. Por defecto, LLDP está
habilitado en una interfaz.
Paso 2 Configure SwitchA para reenviar flujos de datos.
# Cree VLAN 101.

[SwitchA] vlan batch 101 //Los flujos de datos se transmiten en la VLAN 101.
# Ajuste el PVID de la interfaz a VLAN 101.

[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port hybrid pvid vlan 101
# Agregue la interfaz a VLAN 101 en modo sin etiqueta.

[SwitchA-GigabitEthernet1/0/1] port hybrid untagged vlan 101
[SwitchA-GigabitEthernet1/0/1] quit
Paso 3 Habilite la función de VLAN de voz en SwitchA.
# Cree VLAN 100.

[SwitchA] vlan batch 100 //Configure la VLAN 100 en la que se transmite el
tráfico de voz.
# Agregue interfaces a VLAN de voz.

[SwitchA-GigabitEthernet1/0/1] port hybrid tagged vlan 100 //Agregue la interfaz
a la voz de la VLAN 100 en modo etiquetado.
[SwitchA-GigabitEthernet1/0/2] port hybrid tagged vlan 100
# Habilite la función de VLAN de voz en la interfaz.

[SwitchA-GigabitEthernet1/0/1] voice-vlan 100 enable
[SwitchA] voice-vlan mac-address 001b-d4c7-0000 mask ffff-ffff-0000 //En
versiones anteriores a V200R003, la OUI debe configurarse. La OUI corresponde a
la dirección MAC del teléfono IP. En V200R003 y versiones posteriores, no es
necesario configurar la OUI.
[SwitchA] voice-vlan mac-address 0021-a08f-0000 mask ffff-ffff-0000

Paso 4 Configure la función de relé DHCP y de servidor DHCP.

1. Configure la función de relé DHCP en SwitchA.
# Configurar la función de relé DHCP en una interfaz.
[SwitchA] dhcp enable //Habilite DHCP globalmente. Por defecto, DHCP está
deshabilitado.
[SwitchA] interface Vlanif 100 //Cree VLANIF 100.
[SwitchA-Vlanif100] ip address 10.20.20.1 255.255.255.0 //Asigne una
dirección IP a VLANIF 100.
[SwitchA-Vlanif100] dhcp select relay //Habilite la función de relé de DHCP
en VLANIF 100.
[SwitchA-Vlanif100] dhcp relay server-ip 10.10.20.2 //Configure la dirección
del servidor DHCP en el agente de relé de DHCP.
[SwitchA-Vlanif100] quit
# Cree VLANIF 200.

[SwitchA] vlan batch 200
[SwitchA] interface Vlanif 200
[SwitchA-Vlanif200] ip address 10.10.20.1 255.255.255.0 //Configure una
dirección IP para VLANIF 200 para la comunicación con SwitchB.
# Agregue la interfaz de enlace ascendente a VLAN 200.

# Configure un route estático por defecto.

[SwitchA] ip route-static 0.0.0.0 0.0.0.0 10.10.20.2 //La dirección del
siguiente salto de la ruta corresponde a la dirección IP de VLANIF 200 en
SwitchB.
2. Configure SwitchB como servidor DHCP para asignar direcciones IP a teléfonos IP.
# Configure un grupo de direcciones.
[Quidway] sysname SwitchB
[SwitchB] ip pool ip-phone //Cree un grupo de direcciones.
[SwitchB-ip-pool-ip-phone] gateway-list 10.20.20.1 //Configure la dirección
del gateway en el servidor DHCP.
[SwitchB-ip-pool-ip-phone] network 10.20.20.0 mask 255.255.255.0 //Configure
las direcciones IP asignables en el grupo de direcciones IP.
[SwitchB-ip-pool-ip-phone] quit
# Configure la función de servidor DHCP.

[SwitchB] dhcp enable //Habilite DHCP globalmente. Por defecto, DHCP está
deshabilitado.
[SwitchB] vlan batch 200
[SwitchB] interface Vlanif 200 //Cree VLANIF 200.
[SwitchB-Vlanif200] ip address 10.10.20.2 255.255.255.0 //Asigne una
[SwitchB-Vlanif200] dhcp select global //Configure SwitchB para asignar
direcciones IP desde el grupo de direcciones IP global al teléfono IP.
[SwitchB-Vlanif200] quit
# Agregue la interfaz de enlace descendente a VLAN 200.

[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] port hybrid pvid vlan 200
[SwitchB-GigabitEthernet1/0/3] port hybrid untagged vlan 200
[SwitchB-GigabitEthernet1/0/3] quit
# Configurar un route de retorno.

[SwitchB] ip route-static 10.20.20.0 255.255.255.0 10.10.20.1
Paso 5 Configure un dominio AAA y la autenticación de la dirección MAC para teléfonos IP.
1. Configure un dominio AAA.
# Cree y configure una plantilla del servidor RADIUS.
[SwitchA] radius-server template cisco //Cree una plantilla de servidor
RADIUS llamada cisco.
[SwitchA-radius-cisco] radius-server authentication 192.168.6.182 1812 //
Configure la dirección IP y el número de puertos del servidor de
autenticación RADIUS.
[SwitchA-radius-cisco] radius-server accounting 192.168.6.182 1813 //
Configure la dirección IP y el número de puertos del servidor de contabilidad
RADIUS.
[SwitchA-radius-cisco] quit
# Configure un esquema de autenticación.

[SwitchA] aaa
[SwitchA-aaa] authentication-scheme radius //Cree un esquema de
autenticación llamado radius.
[SwitchA-aaa-authen-radius] authentication-mode radius //Establezca el modo
de autenticación a RADIUS.
[SwitchA-aaa-authen-radius] quit
# Cree un dominio AAA y vincule la plantilla del servidor RADIUS y el esquema de

autenticación al dominio AAA.
[SwitchA-aaa] domain default //Configure un dominio llamado default.
[SwitchA-aaa-domain-default] authentication-scheme radius //Enlace el
esquema de autenticación radius al dominio.
[SwitchA-aaa-domain-default] radius-server cisco //Enlace la plantilla del
servidor RADIUS cisco al dominio.
[SwitchA-aaa-domain-default] quit
[SwitchA-aaa] quit
2. Configure la autenticación de la dirección MAC para teléfonos IP y PC.

– V200R007C00 y versiones anteriores, y V200R008C00
# Ajuste el modo NAC a unificado.
[SwitchA] authentication unified-mode //Por defecto, el switch usa el
modo unificado. Cuando se cambian los modos tradicional y unificado, el
administrador debe guardar la configuración y reiniciar el switch para
que la configuración tenga efecto.
# Habilite la autenticación de la dirección MAC en una interfaz.

[SwitchA-GigabitEthernet1/0/1] authentication mac-authen //Habilite la
[SwitchA-GigabitEthernet1/0/2] authentication mac-authen
– V200R009C00 y versiones posteriores

# Configure un perfil de acceso MAC.

[SwitchA] mac-access-profile name cisco //Cree un perfil de acceso MAC
llamado cisco.
[SwitchA-mac-access-profile-cisco] quit
# Configure un perfil de autenticación.

[SwitchA] authentication-profile name cisco //Configure un perfil de

autenticación.
[SwitchA-authen-profile-cisco] mac-access-profile cisco //Enlace el
perfil de acceso MAC cisco al perfil de autenticación.
[SwitchA-authen-profile-cisco] quit
# Aplique el perfil de autenticación a las interfaces.

[SwitchA-GigabitEthernet1/0/1] authentication-profile cisco //Enlace el
perfil de autenticación y habilite la autenticación de la dirección MAC.
[SwitchA-GigabitEthernet1/0/2] authentication-profile cisco
3. Configure Agile Controller. La visualización de Agile Controller varía según la versión.

V100R002C10SPC401 se usa como ejemplo.
a. Inicie sesión en Agile Controller.
Abra Internet Explorer, introduzca la dirección de acceso de Agile Controller en la
barra de direcciones y presione Enter.
Ingrese el nombre de usuario y la contraseña del administrador. Cuando inicie
sesión en el Agile Controller por primera vez, use el nombre de usuario del super
administrador admin y la contraseña Changeme123. Cambie la contraseña
inmediatamente después de iniciar sesión. De lo contrario, el Agile Controller no se
puede usar.
Se pueden usar los siguientes modos de acceso de Agile Controller.
Modo de acceso Descripción
https://Agile Controller-IP: Agile Controller-IP especifica la dirección IP

8443 de Agile Controller.
Dirección IP de Agile Si el puerto 80 está habilitado durante la

Controller instalación, puede acceder al Agile Controller
ingresando su dirección IP sin el número de
puerto. La URL de Agile Controller cambiará
automáticamente a https://Agile Controller-IP:
8443.
b. Agregue una dirección MAC.

i. Elija Resource > User > User Management.
ii. Seleccione All Accounts.
iii. Haga clic en Add para crear dos cuentas MAC. El valor del primer parámetro
de MAC Account es la dirección MAC del teléfono IP, y el valor del segundo
parámetro de MAC Account es la dirección MAC del PC.

c. Agregue SwitchA a Agile Controller.

i. Elija Resource > Device > Device Management.
ii. Haga clic en Add. En la página Add Device, agregue SwitchA, que se usa
para autenticar teléfonos IP.

d. Agregue un teléfono IP a Agile Controller.

i. Elija Resource > Terminal > Terminal List.
ii. Haga clic en Add para acceder a la página Add Device Group.
iii. En la página Add Device Group, agregue un grupo de teléfonos IP.

iv. Haga clic en un grupo de dispositivos, seleccione cisco_ipphone, seleccione

Device List, y haga clic en Add para agregar un teléfono IP.
e. Agregue un PC a Agile Controller.

iii. En la página Add Device Group, agregue un grupo de PC.
iv. Haga clic en el grupo de dispositivos en el árbol de navegación, seleccione pc,

seleccione Device List y haga clic en Add para agregar una PC.

f. Agregue una regla de autenticación.

Elija Policy > Permission Control > Authentication & Authorization >
Authentication Rule y haga clic en Add para crear reglas de autenticación para el
teléfono IP y el PC respectivamente.


g. Agregue un resultado de autorización.

Authorization Rule y haga clic en Add para crear reglas de autorización (con
Authorization result que es ajustado a Permit Access) para el teléfono IP y el PC
respectivamente.


Paso 6 Verifique la configuración

l Puede ver que el teléfono IP puede obtener correctamente el ID de VLAN de voz y la
dirección IP a través del menú del teléfono IP.
l La salida del comando display access-user en SwitchA muestra información de
conexión sobre teléfonos IP.
[SwitchA] display access-user
------------------------------------------------------------------------------
UserID Username IP address MAC Status
------------------------------------------------------------------------------
564 001bd4c71fa9 10.20.20.198 001b-d4c7-1fa9 Success

565 0021a08f2fa8 10.20.20.199 0021-a08f-2fa8 Success
------------------------------------------------------------------------------
Total: 2, printed: 2
----Fin
Archivos de configuración
l Archivo de configuración de SwitchA (V200R007C00 y versiones anteriores, y
V200R008C00)

#
sysname SwitchA
#
voice-vlan mac-address 001b-d4c7-0000 mask ffff-ffff-0000
voice-vlan mac-address 0021-a08f-0000 mask ffff-ffff-0000
#
vlan batch 100 to 101 200
#
lldp enable
#
dhcp enable
#
radius-server template cisco
radius-server authentication 192.168.6.182 1812 weight 80
radius-server accounting 192.168.6.182 1813 weight 80
#
aaa
authentication-scheme radius
authentication-mode radius
domain default
radius-server cisco
#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
dhcp relay server-ip 10.10.20.2
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#
interface GigabitEthernet1/0/1
voice-vlan 100 enable
port hybrid pvid vlan
101
port hybrid tagged vlan

100
port hybrid untagged vlan 101

authentication mac-authen
#
port hybrid tagged vlan 100
#
port hybrid pvid vlan 200
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
return
l Archivo de configuración de SwitchA (V200R009C00 y versiones posteriores)

#
sysname SwitchA
#
#
authentication-profile name cisco
mac-access-profile cisco
#
lldp enable
#
dhcp enable
#


#
aaa
domain default
radius-server cisco
#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#
101

100

authentication-profile cisco
#
#
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
mac-access-profile name cisco
#
return
l Archivo de configuración de SwitchB

#
sysname SwitchB
#
vlan batch 200
#
dhcp enable
#
ip pool ip-phone
gateway-list 10.20.20.1
network 10.20.20.0 mask 255.255.255.0
#
interface Vlanif200
ip address 10.10.20.2 255.255.255.0
dhcp select global
#
#
ip route-static 10.20.20.0 255.255.255.0 10.10.20.1
#
return


LLDP-MED
Si un dispositivo de voz admite LLDP y el campo network-policy TLV puede usarse para
obtener el ID de VLAN de voz, configure el comando lldp tlv-enable med-tlv network-
policy voice-vlan en el switch para asignar un ID de VLAN de voz al dispositivo de voz. El
switch luego aumenta la prioridad del paquete a través de VLAN de voz.
l Este ejemplo se aplica a todos los modelos de V200R002 y versiones posteriores.
l Solo V200R0007 y versiones posteriores permiten que los dispositivos de voz se
conecten sin autenticación.
lleven los campos.

IP.
Requisitos de redes
En Figura 2-5, para ahorrar costos de inversión, el cliente requiere que los teléfonos IP se
conecten a la red a través de VoIP. Los teléfonos IP son compatibles con LLDP y pueden
obtener ID de VLAN de voz y prioridades de paquete desde el campo network-policy TLV.
Para garantizar que los teléfonos IP se puedan conectar a la red, el plan de la red debe cumplir
los siguientes requisitos:
l Los paquetes de voz enviados por teléfonos IP pueden llevar etiquetas de VLAN. La
prioridad de los paquetes de voz es alta, por lo que no es necesario que el switch aumente
la prioridad de los paquetes de voz.
l Los paquetes de voz se transmiten en VLAN 100.
l Las direcciones IP de los teléfonos IP se asignan dinámicamente por el servidor DHCP, y
se encuentran en un segmento de red diferente al del servidor DHCP.
l Los teléfonos IP pueden conectarse sin autenticación porque el entorno de red está
seguro.
Figura 2-5 Conexión de teléfonos IP a switches a través de LLDP-MED

Servidor de
autenticación
intranet
Servidor
Switch B
DHCP
GE1/0/3
GE1/0/3
Relé DHCP Switch A
GE1/0/1 GE1/0/2
IP Phone A IP Phone B


1. Habilite LLDP globalmente y en interfaces, y configure el campo network-policy TLV

que lleva el ID de VLAN de voz y la prioridad para una interfaz.
2. Agregue una interfaz a una VLAN para que los paquetes de voz se reenvíen en la
VLAN.
3. Configure interfaces para confiar en la prioridad del paquete porque la prioridad de los
paquetes de voz enviados por teléfonos IP es alta.
5. Configure un dominio AAA para la administración de teléfonos IP, y configure el switch
para asignar una política de acceso a la red a los terminales de voz a través de un
esquema de servicio. La política de acceso a la red define que los terminales de voz
pueden conectarse en línea sin autenticación.
Procedimiento
Paso 1 Habilite LLDP en SwitchA y configure el campo network-policy TLV en las interfaces.
# Habilite LLDP globalmente.
[SwitchA] lldp enable //Después de que LLDP esté habilitado globalmente, LLDP
está habilitado en todas las interfaces por defecto.
# Configure el campo network-policy TLV en las interfaces.

[SwitchA-GigabitEthernet1/0/1] lldp tlv-enable med-tlv network-policy voice-vlan
vlan 100 cos 6 dscp 60 //Configure el switch para usar el campo TLV de la
network-policy para asignar un ID de VLAN de voz y prioridad a teléfonos IP.
[SwitchA-GigabitEthernet1/0/2] lldp tlv-enable med-tlv network-policy voice-vlan
vlan 100 cos 6 dscp 60 //Configure el switch para usar el campo TLV de la
network-policy para asignar un ID de VLAN de voz y prioridad a teléfonos IP.
Paso 2 Agregue interfaces en SwitchA a una VLAN.

# Cree VLAN 100.
tráfico de voz.
# Agregue interfaces a VLAN 100.

Paso 3 Configure la interfaz para confiar en la prioridad del paquete.

[SwitchA-GigabitEthernet1/0/1] trust 8021p inner //El comando Trust 8021p
(interno) varía según el modelo del dispositivo.
[SwitchA-GigabitEthernet1/0/2] trust 8021p inner //El comando Trust 8021p
(interno) varía según el modelo del dispositivo.


deshabilitado.
en VLANIF 100.
# Cree VLANIF 200.



SwitchB.

deshabilitado.


Paso 5 Configure un dominio AAA y configure el switch para asignar una política de acceso a la red
a los terminales de voz a través de un esquema de servicio. La política de acceso a la red
define que los terminales de voz pueden conectarse en línea sin autenticación.
# Cree y configure una plantilla de servidor RADIUS.
RADIUS.
# Configure un esquema de servicio y un esquema de autenticación.

[SwitchA] aaa
[SwitchA-aaa] service-scheme cisco //Cree un esquema de servicio llamado
cisco.
[SwitchA-aaa-service-cisco] quit
[SwitchA-aaa] authentication-scheme radius //Establezca el modo de
autenticación a RADIUS.

[SwitchA-aaa-domain-default] service-scheme cisco //Enlace la plantilla de
servicio cisco al dominio.
[SwitchA-aaa] quit
2. Configure el switch para asignar una política de acceso a la red a los terminales de voz a
través de un esquema de servicio. La política de acceso a la red define que los terminales
de voz pueden conectarse en línea sin autenticación.
– V200R007C00 y V200R008C00
# Establezca el modo NAC a unificado.
# Configure el switch para asignar una política de acceso a la red a terminales de

voz a través de un esquema de servicio. La política de acceso a la red define que los
terminales de voz pueden conectarse en línea sin autenticación.
[SwitchA] authentication device-type voice authorize service-scheme cisco

# Establezca el modo NAC a unificado.


[SwitchA] authentication-profile name cisco //Cree un perfil de
autenticación llamado cisco.
[SwitchA-authen-profile-cisco] authentication device-type voice
authorize service-scheme cisco //Configure el switch para asignar una
política de acceso a la red a los terminales de voz a través de un
esquema de servicio. La política de acceso a la red define que los
terminales de voz pueden conectarse en línea sin autenticación.

perfil de autenticación a la interfaz.

l La salida del comando display mac-address vlan 100 en SwitchA muestra información
de conexión sobre teléfonos IP.
[SwitchA] display mac-address vlan 100
------------------------------------------------------------------------------
-
MAC Address VLAN/VSI Learned-From
Type
------------------------------------------------------------------------------
-
001b-d4c7-1fa9 100/- GE1/0/1
dynamic
0021-a08f-2fa8 100/- GE1/0/2
dynamic
------------------------------------------------------------------------------
-
----Fin
l Archivo de configuración de SwitchA (V200R007C00 y V200R008C00)
#
sysname SwitchA
#
vlan batch 100 200
#
lldp enable
#
dhcp enable
#
authentication device-type voice authorize service-scheme cisco
#
#
aaa
service-scheme cisco
domain default

radius-server cisco
#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#
100
trust 8021p
inner
lldp tlv-enable med-tlv network-policy voice-vlan vlan 100 cos 6 dscp 60

#
trust 8021p
inner

#
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
return

#
sysname SwitchA
#
vlan batch 100 200
#
authentication device-type voice authorize service-scheme cisco
#
lldp enable
#
dhcp enable
#
#
aaa
domain default
radius-server cisco
#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#

trust 8021p
inner

#
trust 8021p
inner

#
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
return

#
sysname SwitchB
#
vlan batch 200
#
dhcp enable
#
ip pool ip-phone
network 10.20.20.0 mask 255.255.255.0
#
interface Vlanif200
ip address 10.10.20.2 255.255.255.0
dhcp select global
#
#
ip route-static 10.20.20.0 255.255.255.0 10.10.20.1
#
return
2.1.7 Ejemplo para conectar teléfonos IP de Cisco a switches a

través del HDP
Un teléfono IP de Cisco puede obtener un ID de VLAN de voz a través del Protocolo de
descubrimiento de Cisco (CDP) solamente, pero no de LLDP o DHCP. Un switch de Huawei
proporciona el Protocolo de descubrimiento de Huawei (HDP) para asignar un ID de VLAN
de voz al teléfono de Cisco. Para proporcionar la función HDP, habilite LLDP compatible con
CDP en la interfaz.
l Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.

IP.
Requisitos de redes
conecten a la red a través de VoIP. Los teléfonos IP de Cisco se implementan y pueden
obtener los ID de VLAN de voz solo a través de CDP. Para garantizar que los teléfonos IP se
puedan conectar a la red, el plan de la red debe cumplir los siguientes requisitos:
l La prioridad de los paquetes de voz enviados por teléfonos IP es baja y debe aumentarse
para garantizar la calidad de la comunicación.
l Las direcciones IP de los teléfonos IP se encuentran en un segmento de red diferente al
del servidor DHCP.
l Los teléfonos IP deben conectarse a los switches a través de la autenticación 802.1x y la
Figura 2-6 Conexión de teléfonos IP de Cisco a switches con HDP

Servidor de
autenticación
intranet
Servidor
Switch B
DHCP
GE1/0/3
GE1/0/3
Relé DHCP Switch A
GE1/0/1 GE1/0/2

1. Configure la función de VLAN de voz para mejorar la prioridad de los paquetes de voz
desde teléfonos IP.

2. Habilite LLDP compatible con CDP para que el switch asigne un ID de VLAN de voz a
los teléfonos IP de Cisco.
autenticación 802.1x y la autenticación de la dirección MAC.
Procedimiento
Paso 1 Habilite la función de VLAN de voz en SwitchA.
# Cree VLAN 100.
tráfico de voz.
# Agregue interfaces a la VLAN de voz.

# Habilite la función de VLAN de voz en la interfaz.

[SwitchA] voice-vlan mac-address 001b-d4c7-0000 mask ffff-ffff-0000 //En
versiones anteriores a V200R003, la OUI debe configurarse. La OUI corresponde a
la dirección MAC del teléfono IP. En V200R003 y versiones posteriores, no es
necesario configurar OUI.
Paso 2 Habilite LLDP compatible con CDP en SwitchA.

[SwitchA-GigabitEthernet1/0/1] voice-vlan legacy enable
[SwitchA-GigabitEthernet1/0/2] voice-vlan legacy enable

deshabilitado.
en VLANIF 100.

# Cree VLANIF 200.



SwitchB.

deshabilitado.


Paso 4 Configure la autenticación 802.1x y la autenticación de la dirección MAC para teléfonos IP.

RADIUS.

[SwitchA] aaa

[SwitchA-aaa] quit
2. Configure la autenticación 802.1x y la autenticación de la dirección MAC para teléfonos

IP.
# Ajuste el modo NAC a tradicional.
[SwitchA] undo authentication unified-mode //Por defecto, el switch usa
el modo unificado. Cuando se cambian los modos tradicional y unificado,
el administrador debe guardar la configuración y reiniciar el switch
para que la configuración tenga efecto.
# Habilite la autenticación 802.1x y la autenticación de la dirección MAC en las

interfaces.
[SwitchA-GigabitEthernet1/0/1] dot1x mac-bypass //Habilite la
autenticación de bypass de la dirección MAC. La autenticación de
dirección MAC se usa cuando falla la autenticación 802.1x.
[SwitchA-GigabitEthernet1/0/2] dot1x mac-bypass

# Configure los perfiles de acceso.

[SwitchA] dot1x-access-profile name cisco //Cree un perfil de acceso
802.1x llamado cisco.
[SwitchA-dot1x-access-profile-cisco] quit
llamado cisco.

autenticación.
[SwitchA-authen-profile-cisco] dot1x-access-profile cisco //Enlace el
perfil de acceso 802.1x cisco al perfil de autenticación.


perfil de autenticación.
3. Configure el Agile Controller. La visualización del Agile Controller varía según la

versión. V100R002C10SPC401 se usa como ejemplo.
puede usar.


8443.
b. Agrega una cuenta común.

ii. Haga clic en Add en el área de operaciones a la derecha para crear una cuenta
común.



d. Agregue una regla de autenticación.

Authentication Rule y haga clic en Add para crear reglas de autenticación.

e. Agregue un resultado de autorización.

Authorization Result y haga clic en Add para crear un resultado de autorización.

f. Agregue una regla de autorización.

Después de que se pase la verificación en la fase de autenticación, comienza la fase
de autorización. Durante esta fase, el Agile Controller asigna derechos a los
usuarios en función de las reglas de autorización.
Authorization Rule y haga clic en Add para crear una regla de autorización.

Seleccione Service type como Access, seleccione voice-vlan 100 que es creado en
el paso anterior.

------------------------------------------------------------------------------
------------------------------------------------------------------------------

------------------------------------------------------------------------------
----Fin

V200R008C00)
#
sysname SwitchA
#
#
vlan batch 100 200
#
undo authentication unified-mode
#
dhcp enable
#
#
aaa
domain default
radius-server cisco
#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#
voice-vlan legacy enable
dot1x mac-bypass
#
dot1x mac-bypass
#
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
return

#
sysname SwitchA
#
vlan batch 100 200
#
dot1x-access-profile cisco
#
dhcp enable
#


#
aaa
domain default
radius-server cisco
#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#
#
#
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
dot1x-access-profile name cisco
#
#
return

#
sysname SwitchB
#
vlan batch 200
#
dhcp enable
#
ip pool ip-phone
network 10.20.20.0 mask 255.255.255.0
#
interface Vlanif200
ip address 10.10.20.2 255.255.255.0
dhcp select global
#
#
ip route-static 10.20.20.0 255.255.255.0 10.10.20.1
#
return
2.1.8 Ejemplo para conectar un teléfonos IP a switches a través del

servidor DHCP

Si un dispositivo de voz es compatible con DHCP, se puede habilitar DHCP en el switch y se
puede asignar un ID de VLAN de voz a un dispositivo de voz a través de DHCP.
A continuación se describen los modelos y versiones de productos aplicables.
Tabla 2-4 Modelos de productos y versiones aplicables
Serie Modelo del Versión del software

producto
S2300 S2320EI V200R011C10, V200R012C00
S2350EI V200R005C00SPC300, V200R006C00, V200R007C00,

V200R008C00, V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S3300 S3300SI, V100R006C05

S3300EI
S3300HI V200R001C00
S5300 S5300LI V200R005C00SPC300, V200R006C00, V200R007C00,

V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5300SI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C02)
S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5300HI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00, V200R005(C00&C02)
S5320LI V200R010C00, V200R011C10, V200R012C00
S5320SI V200R008(C00&C10), V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S6320SI V200R011C10, V200R012C00


producto
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320HI V200R012C00
S9300 S9303, V200R001C00, V200R002C00, V200R003C00,

S9306, V200R005C00SPC300, V200R006C00, V200R007C00,
S9312 V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10, V200R012C00
S9300X S9310X V200R010C00, V200R011C10, V200R012C00
S9300E S9303E, V200R001C00, V200R002C00, V200R003C00,

S9306E, V200R005C00SPC300, V200R006C00, V200R007C00,
S9312E V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Para obtener más información sobre los mapeos de software, consulte Version Mapping Search for Huawei
Campus Switches.
Requisitos de redes
En Figura 2-7, el teléfono IP puede obtener un ID de VLAN de voz a través de DHCP, y la
prioridad de los paquetes de voz enviados por el teléfono IP es alta (por ejemplo, la prioridad
802.1p es de 5). El campo de opción está configurado en el servidor DHCP para que el
servidor DHCP proporcione el ID de VLAN al dispositivo de voz.
Figura 2-7 Conexión de un teléfono IP a un switch a través del servidor DHCP
Internet
Servidor de
Switch
DHCP
GE1/0/1
HG
HSI VoIP IPTV


1. Cree las VLAN.
2. Configure el tipo de enlace y la VLAN por defecto de la interfaz conectada al dispositivo
de voz.
3. Configure la interfaz para confiar en la prioridad 802.1p de los paquetes.
4. Configure un grupo de direcciones IP.
5. Configure el campo de opción en el grupo de direcciones.
6. Habilite DHCP globalmente y configure el servidor DHCP en la interfaz VLANIF para
asignar direcciones IP utilizando el grupo de direcciones IP global.
Procedimiento
Paso 1 Configure las VLAN y una interfaz en el Switch.
# Cree VLAN 2 y VLAN 6.
[Quidway] sysname Switch
[Switch] vlan batch 2 6
# Configure el tipo de enlace y la VLAN por defecto de la interfaz conectada al teléfono IP.
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port hybrid pvid vlan 2 //El tipo de enlace
predeterminado de una interfaz es híbrido y no debe ser configurado manualmente.
[Switch-GigabitEthernet1/0/1] port hybrid untagged vlan 2 //Agregue la interfaz
a la VLAN 2 donde se reenvían los paquetes de datos.
[Switch-GigabitEthernet1/0/1] port hybrid tagged vlan 6 //Agregue la interfaz a
la VLAN 2 donde se reenvían los paquetes de datos.
[Switch-GigabitEthernet1/0/1] quit
Paso 2 Configure un grupo de direcciones IP en el switch.

# Cree un grupo de direcciones IP.
[Switch] ip pool ip_access
# Configure el rango de direcciones en el grupo de direcciones IP.

[Switch-ip-pool-ip_access] network 192.168.10.0 mask 24
[Switch-ip-pool-ip_access] gateway-list 192.168.10.1 //Configure la dirección
del gateway de salida del servidor DHCP. La dirección es la dirección IP de la
interfaz VLANIF correspondiente al PVID.
[Switch-ip-pool-ip_access] option184 voice-vlan 6 //Configure la VLAN de voz 6
correspondiente a Option 184 del grupo de direcciones DHCP.
[Switch-ip-pool-ip_access] quit
NOTA
El campo de opción está configurado en el servidor DHCP para que el servidor DHCP proporcione un
ID de VLAN a un dispositivo de voz. Este ejemplo usa opción 184. Los teléfonos IP de diferentes
proveedores pueden usar diferentes campos de option. Vea la documentación del teléfono IP. Para
obtener detalles sobre cómo configurar una opción, consulte el comando option en the IP Service
Commands - DHCP Configuration Commands.
Paso 3 Configure la interfaz para confiar en la prioridad 802.1p de los paquetes.

# El comando trust 8021p (inner) varía según el modelo del dispositivo.


[Switch-GigabitEthernet1/0/1] trust 8021p inner
Paso 4 Habilite DHCP globalmente

[Switch] dhcp enable
Paso 5 Configure un grupo de direcciones IP en el switch.
# Cree la interfaz VLANIF correspondiente a la VLAN por defecto de la interfaz. Configure

el servidor DHCP en la interfaz VLANIF para asignar direcciones IP utilizando el grupo de
direcciones IP global.
[Switch] interface Vlanif2
[Switch-Vlanif2] ip address 192.168.10.1 255.255.255.0
[Switch-Vlanif2] dhcp select global //Configure el switch para asignar
direcciones IP desde el grupo de direcciones global a clientes DHCP.
----Fin
Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 2 6
#
dhcp enable
#
ip pool ip_access
network 192.168.10.0 mask 255.255.255.0
option184 voice-vlan 6
#
interface Vlanif2
ip address 192.168.10.1 255.255.255.0
dhcp select global
#
trust 8021p inner
#
return
2.1.9 Ejemplo para conectar teléfonos IP a switches a través de la

asignación de VLAN basada en direcciones MAC
Si un dispositivo de voz no es compatible con LLDP o DHCP, un switch no puede asignarle
un ID de VLAN de voz. Puede configurar la asignación de VLAN basada en direcciones
MAC en el switch. Luego, el switch identifica los paquetes de voz según la dirección MAC
del dispositivo de voz y aumenta la prioridad de los paquetes de voz.

lleven los campos.
IP.
Requisitos de redes
conecten a la red a través de VoIP. Los teléfonos IP no pueden obtener ID de VLAN de voz y
solo pueden enviar paquetes de voz sin etiquetas. Para garantizar que los teléfonos IP se
l La prioridad de los paquetes de voz debe aumentarse para garantizar la calidad de la
comunicación.

l Los teléfonos IP pueden conectarse sin autenticación porque el entorno de red está
seguro.
Figura 2-8 Conexión de teléfonos IP a switches a través de la asignación de VLAN basada en

direcciones MAC
Servidor de
autenticación
intranet
Servidor
Switch B
DHCP
GE1/0/3
GE1/0/3
Relé DHCP Switch A
GE1/0/1 GE1/0/2

1. Agregue una interfaz a una VLAN en modo sin etiqueta para que los paquetes de voz se
reenvíen en la VLAN.
2. Configure la asignación de VLAN basada en direcciones MAC para que el switch
agregue un ID de VLAN a los paquetes de voz y aumente la prioridad de los paquetes de
voz.
Procedimiento
Paso 1 Agregue una interfaz en SwitchA a una VLAN.
# Cree VLAN 100.
tráfico de voz.
# Agregue una interfaz a la VLAN 100 en modo sin etiqueta.


[SwitchA-GigabitEthernet1/0/1] port hybrid untagged vlan 100 //Los paquetes
enviados por teléfonos IP no llevan etiquetas, por lo que la interfaz debe unirse
a la VLAN 100 en modo sin etiqueta.
Paso 2 Habilite la asignación de VLAN basada en direcciones MAC.

[SwitchA] vlan 100
[SwitchA-vlan100] mac-vlan mac-address 001b-d4c7-1fa9 ffff-ffff-0000 priority
6 //La dirección MAC corresponde a la dirección MAC del teléfono IP. La máscara
puede ser utilizada. Este comando agrega la VLAN 100 a los paquetes sin etiquetas
con la dirección MAC de origen que comienza desde 001b-d4c7 y cambia la prioridad
de 802.1p a 6.
[SwitchA-vlan100] mac-vlan mac-address 0021-a08f-0000 ffff-ffff-0000 priority 6
[SwitchA-vlan100] quit
[SwitchA-GigabitEthernet1/0/1] mac-vlan enable //Habilite la asignación de VLAN
basada en direcciones MAC en una interfaz. Cuando la interfaz recibe paquetes
etiquetados, los paquetes se procesan según el enlace entre las direcciones MAC y
las VLAN.
[SwitchA-GigabitEthernet1/0/2] mac-vlan enable


deshabilitado.
en VLANIF 100.
# Cree VLANIF 200.



SwitchB.


deshabilitado.



l La salida del comando display mac-address vlan 100 en SwitchA muestra información
de conexión sobre teléfonos IP.
[SwitchA] display mac-address vlan 100
------------------------------------------------------------------------------
-
MAC Address VLAN/VSI Learned-From
Type
------------------------------------------------------------------------------
-
001b-d4c7-1fa9 100/- GE1/0/1
dynamic
0021-a08f-2fa8 100/- GE1/0/2
dynamic
------------------------------------------------------------------------------
-
----Fin
l Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 100 200
#
dhcp enable
#
vlan 100
mac-vlan mac-address 001b-d4c7-1fa9 ffff-ffff-0000 priority 6

mac-vlan mac-address 0021-a08f-0000 ffff-ffff-0000 priority 6

#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#
mac-vlan enable
#
mac-vlan enable
#
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
return

#
sysname SwitchB
#
vlan batch 200
#
dhcp enable
#
ip pool ip-phone
network 10.20.20.0 mask 255.255.255.0
#
interface Vlanif200
ip address 10.10.20.2 255.255.255.0
dhcp select global
#
#
ip route-static 10.20.20.0 255.255.255.0 10.10.20.1
#
return

VLAN de voz basada en OUI
Si un dispositivo de voz envía paquetes sin etiquetas, el switch puede identificar el OUI del
paquete sin etiqueta del dispositivo. Luego, el switch agrega el ID de VLAN de voz al
paquete y aumenta la prioridad del paquete en función del ID de VLAN de voz.
l Este ejemplo se aplica a todos los modelos de V200R003C00 y versiones posteriores.
l Después de configurar una VLAN de voz en una interfaz, el mapeo de VLAN, el
apilamiento de VLAN o las políticas de tráfico no se pueden configurar en la interfaz.

l Para el dispositivo fijo (S5320EI, S6320EI) y el dispositivo modular (excluyendo el

LE1D2S04SEC0, LE1D2X32SEC0, LE1D2H02QEC0 y tarjetas de la serie X), en
V200R010 y versiones posteriores, ejecute el comando voice-vlan vlan-id enable
include-tag0 para habilitar el switch para identificar paquetes con la etiqueta 0 como
paquetes de voz y agregue el ID de VLAN de voz a los paquetes.
l Cuando los teléfonos IP están conectados en modo Voice-VLAN include-untagged,
deshabilite LLDP en la interfaz o ejecute el comando undo lldp tlv-enable med-tlv
network-policy para deshabilitar el switch y los teléfonos IP desde el anuncio de la
configuración de VLAN. De lo contrario, el switch asigna el ID de VLAN de voz a los
teléfonos IP a través de LLDP. Luego, los teléfonos IP envían paquetes etiquetados al
switch, mientras que el switch reenvía los paquetes sin etiquetas a los teléfonos IP. Como
resultado, los teléfonos IP no pueden conectarse.
lleven los campos.
IP.
Requisitos de redes
En Figura 2-9, para ahorrar costos de inversión, el cliente requiere que los teléfonos IP y se
conecten a la red a través de VoIP. Los teléfonos IP no pueden obtener los ID de VLAN de
voz y solo pueden enviar paquetes de voz sin etiquetas. Para garantizar que los teléfonos IP se
l La prioridad de los paquetes de voz aumenta para garantizar la calidad de comunicación
de los teléfonos IP.
l Las direcciones IP de los teléfonos IP se encuentran en un segmento de red diferente al
del servidor DHCP, y la función DHCP snooping está configurada para mejorar la
seguridad de la red.
l Los teléfonos IP deben conectarse a los switches a través de la autenticación 802.1x y la

Figura 2-9 Conexión de teléfonos IP a switches a través de VLAN de voz basada en OUI
Servidor de
autenticación
intranet
Servidor
Switch B
DHCP
GE1/0/3
GE1/0/3
Relé DHCP Switch A
GE1/0/1 GE1/0/2

2. Habilite VLAN de voz basada en OUI en la interfaz para aumentar la prioridad de los
paquetes de voz.
4. Configure DHCP snooping para mejorar la seguridad del usuario.
autenticación 802.1x y la autenticación de la dirección MAC.
Procedimiento
# Cree VLAN 100.

tráfico de voz.


Paso 2 En SwitchA, configure la interfaz para agregar el ID de VLAN de voz a los paquetes sin
etiquetas y configure el OUI.
[SwitchA-GigabitEthernet1/0/1] voice-vlan 100 enable include-untagged //Habilite
la función Voice VLAN include-untagged de la interfaz,para S5320EI, S6320EI y
dispositivos de marco(excepto LE1D2S04SEC0, LE1D2X32SEC0, LE1D2H02QEC0 y las
placas de serie X), en V200R010 y versiones posteriores, debe usar el comando
voice-vlan vlan-id enable include-tag0 para habilitar la función de que Voice
VLAN tiene efecto para paquetes de Tag0.
[SwitchA-GigabitEthernet1/0/1] undo lldp enable //En V200R011C10 y versiones
posteriores, debe deshabilitar LLDP manualmente.
[SwitchA-GigabitEthernet1/0/2] voice-vlan 100 enable include-untagged
[SwitchA-GigabitEthernet1/0/2] undo lldp enable
[SwitchA] voice-vlan mac-address 001b-d4c7-0000 mask ffff-ffff-0000 //Cuando la
interfaz está configurada para agregar el ID de VLAN de voz a los paquetes sin
etiquetas, este comando debe configurarse. La dirección MAC es la dirección MAC
del teléfono IP.


deshabilitado.
en VLANIF 100.
# Cree VLANIF 200.



SwitchB.



deshabilitado.


Paso 4 Configure DHCP snooping en SwitchA.

[SwitchA] dhcp snooping enable //Habilite la detección de DHCP de forma global.
DHCP snooping está deshabilitado por defecto.
[SwitchA-GigabitEthernet1/0/1] dhcp snooping enable //Habilite el espionaje DHCP
en la interfaz.
[SwitchA-GigabitEthernet1/0/2] dhcp snooping enable
[SwitchA-GigabitEthernet1/0/3] dhcp snooping trusted //Configure la interfaz de
enlace ascendente como la interfaz de confianza.
Paso 5 Configure la autenticación 802.1x y la autenticación de la dirección MAC para teléfonos IP.

RADIUS.

[SwitchA] aaa

[SwitchA-aaa] quit
2. Configure la autenticación 802.1x y la autenticación de la dirección MAC para teléfonos

IP.
# Ajuste el modo NAC a tradicional.
[SwitchA] undo authentication unified-mode //Por defecto, el switch usa
el modo unificado. Cuando se cambian los modos tradicional y unificado,
el administrador debe guardar la configuración y reiniciar el switch
para que la configuración tenga efecto.
# Habilite la autenticación 802.1x y la autenticación de la dirección MAC en las

interfaces.
[SwitchA-GigabitEthernet1/0/1] dot1x mac-bypass //Habilite la
autenticación de bypass de la dirección MAC. La autenticación de
dirección MAC se usa cuando falla la autenticación 802.1x.
[SwitchA-GigabitEthernet1/0/2] dot1x mac-bypass


llamado cisco.

autenticación.

perfil de autenticación.


puede usar.


8443.

común.









el paso anterior.

------------------------------------------------------------------------------
------------------------------------------------------------------------------

------------------------------------------------------------------------------
----Fin

V200R008C00)
#
sysname SwitchA
#
#
vlan batch 100 200
#
#
dhcp enable
#
dhcp snooping enable
#
#
aaa
domain default
radius-server cisco
#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#
voice-vlan 100 enable include-untagged
dot1x mac-bypass
#
dot1x mac-bypass
#
dhcp snooping trusted
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
return
l Archivo de configuración de SwitchA (V200R009C00, V200R010C00, y

V200R011C00)
#
sysname SwitchA
#
voice-vlan mac-address 001b-d4c7-0000 mask ffff-
ffff-0000
#
vlan batch 100 200
#


#
dhcp enable
#
#
#
aaa
domain default
radius-server cisco
#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#
#
#
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
#
#
return

#
sysname SwitchA
#
voice-vlan mac-address 001b-d4c7-0000 mask ffff-
ffff-0000
#
vlan batch 100 200
#
#
dhcp enable
#
#


#
aaa
domain default
radius-server cisco
#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#
undo lldp enable
#
undo lldp enable
#
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
#
#
return

#
sysname SwitchB
#
vlan batch 200
#
dhcp enable
#
ip pool ip-phone
network 10.20.20.0 mask 255.255.255.0
#
interface Vlanif200
ip address 10.10.20.2 255.255.255.0
dhcp select global
#
#
ip route-static 10.20.20.0 255.255.255.0 10.10.20.1
#
return

2.1.11 Ejemplo para conectar teléfonos IP a switches a través del

PVID del ID de VLAN de voz
Si un dispositivo de voz envía paquetes con la etiqueta 0 o paquetes sin etiquetas, el PVID de
una interfaz se puede agregar a los paquetes de voz. Entonces, la prioridad de los paquetes de
voz aumenta en función del ID de VLAN.
lleven los campos.
IP.
Requisitos de redes
En Figura 2-10, para ahorrar costos de inversión, el cliente requiere que los teléfonos IP y se
conecten a la red a través de VoIP. Los teléfonos IP no pueden obtener ID de VLAN de voz y
solo pueden enviar paquetes de voz sin etiquetas. Para garantizar que los teléfonos IP se
l Los teléfonos IP necesitan conectarse a los switches a través de la autenticación de la
dirección MAC.

Figura 2-10 Conexión de teléfonos IP a switches a través del PVID del ID de VLAN de voz
Servidor de
autenticación
intranet
Servidor
Switch B
DHCP
GE1/0/3
GE1/0/3
Relé DHCP Switch A
GE1/0/1 GE1/0/2

2. Habilite la función de VLAN de voz en una interfaz y configure el PVID de la interfaz
con el ID de VLAN de voz.
Procedimiento
# Cree VLAN 100.
tráfico de voz.


Paso 2 Habilite la función de VLAN de voz en una interfaz de SwitchA y configure el PVID de la
interfaz con el ID de VLAN de voz.
[SwitchA-GigabitEthernet1/0/1] voice-vlan 100 enable //Habilite la función de
VLAN de voz en la interfaz.
[SwitchA-GigabitEthernet1/0/1] voice-vlan remark-mode mac-address //En V200R003
y versiones posteriores, la interfaz debe configurarse para identificar paquetes
de voz basados en direcciones MAC. Esta configuración no es necesaria en
versiones anteriores de V200R003.
[SwitchA-GigabitEthernet1/0/1] port hybrid pvid vlan 100 //Configure el PVID.
[SwitchA] interface gigabitethernet 1/0/2 //La configuración de GE1/0/2 es
similar a la configuración de GE1/0/1.
[SwitchA-GigabitEthernet1/0/2] voice-vlan remark-mode mac-address
[SwitchA] voice-vlan mac-address 001b-d4c7-0000 mask ffff-ffff-0000

deshabilitado.
en VLANIF 100.
# Cree VLANIF 200.



SwitchB.



deshabilitado.


Paso 4 Configure un dominio AAA y autenticación de dirección MAC para teléfonos IP.
RADIUS.

[SwitchA] aaa

[SwitchA-aaa] quit
2. Configure la autenticación de la dirección MAC para teléfonos IP y PC.




[SwitchA-GigabitEthernet1/0/1] authentication mac-authen //Habilite la
[SwitchA-GigabitEthernet1/0/2] authentication mac-authen


llamado cisco.

autenticación.

perfil de autenticación y habilite la autenticación de la dirección MAC.

puede usar.



8443.
b. Agregue una dirección MAC.

ii. Seleccione All Accounts.
iii. Haga clic en Add para crear dos cuentas MAC. El valor de MAC Account es
la dirección MAC del teléfono IP.
c. Agregue SwitchA al Agile Controller.


d. Agregue un teléfono IP al Agile Controller.

iii. En la página Add Device Group, agregue un grupo de teléfonos IP.

iv. Haga clic en un grupo de dispositivos, seleccione cisco_ipphone, seleccione

Device List, y haga clic en Add para agregar un teléfono IP.
e. Agregue una regla de autenticación.


f. Agregue un resultado de autorización.

Authorization Rule y haga clic en Add para crear un resultado de autorización.


------------------------------------------------------------------------------
------------------------------------------------------------------------------

------------------------------------------------------------------------------
----Fin
V200R008C00)

#
sysname SwitchA
#
#
vlan batch 100 200
#
dhcp enable
#
#
aaa
domain default
radius-server cisco
#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#
voice-vlan remark-mode mac-address
#
#
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
return

#
sysname SwitchA
#
#
vlan batch 100 200
#
#
dhcp enable
#
#
aaa

domain default
radius-server cisco
#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#
#
#
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
#
return

#
sysname SwitchB
#
vlan batch 200
#
dhcp enable
#
ip pool ip-phone
network 10.20.20.0 mask 255.255.255.0
#
interface Vlanif200
ip address 10.10.20.2 255.255.255.0
dhcp select global
#
#
ip route-static 10.20.20.0 255.255.255.0 10.10.20.1
#
return


una ACL
un ID de VLAN de voz. Puede configurar una política de tráfico en el switch para identificar
paquetes de voz y aumentar su prioridad. La implementación de la política de tráfico en los
modelos de switches es diferente. Dos métodos están disponibles:
l ACL: Ejecuta el comando port add-tag acl en una interfaz.
l Política de tráfico simplificada basada en ACL Ejecuta el comando traffic-remark
inbound acl en una interfaz.
l Si un teléfono IP envía paquetes etiquetados y el ID de VLAN en las etiquetas es de 0, el
switch no agrega el ID de VLAN de voz a los paquetes etiquetados. Como resultado, el
teléfono IP no se puede conectar al switch. Puede cambiar la configuración del teléfono
IP o configurar una política de tráfico o re-marcar para conectar el teléfono IP al switch.
lleven los campos.


l A continuación se describen los modelos y versiones de productos aplicables.

Producto Modelo del Versión del software
producto
S2300 S2352P-EI V100R006C05
S3300 S3300SI y V100R006C05

S3300EI
S3300HI V200R001C00
S5300 S5300EI V200R001C00, V200R002C00,

V200R003C00, V200R005(C00&C01&C02)
S5300HI V200R001(C00&C01), V200R002C00,

V200R003C00, V200R005(C00&C01&C02)
S5306 V200R001C00, V200R002C00,

V200R003C00, V200R005C00
S5310EI V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320EI V200R007C00, V200R008C00,

V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00,

V200R003C00, V200R005(C00&C01&C02)
S6320EI V200R008C00, V200R009C00,

V200R010C00, V200R011C10,
V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306 y V200R001C00, V200R002C00,

S9312 V200R003C00, V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10), V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S9300 S9310 V200R010C00, V200R011C10,

V200R012C00
S9300X S9310X V200R010C00, V200R011C10,

V200R012C00


producto
S9300E S9300E V200R001C00, V200R002C00,

V200R003C00, V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10), V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
NOTA
Para obtener más información sobre los mapeos de software, consulte Version Mapping Search for
Huawei Campus Switches.
IP.
Requisitos de redes
l Los teléfonos IP deben conectarse a los switches a través de la autenticación 802.1x.

Figura 2-11 Conexión de teléfonos IP a switches a través de una ACL

Servidor de
autenticación
intranet
Servidor
Switch B
DHCP
GE1/0/3
GE1/0/3
Relé DHCP Switch A
GE1/0/1 GE1/0/2

2. Ejecute el comando port add-tag acl para agregar el ID de VLAN de voz a los paquetes
y aumenta la prioridad de 802.1p de los paquetes a 6.
autenticación 802.1x.
Procedimiento
# Cree VLAN 100.
tráfico de voz.


Paso 2 Configure una ACL para identificar paquetes de voz y agregue el ID de VLAN de voz a los
paquetes de voz y aumente la prioridad.
[SwitchA] acl 4000
[SwitchA-acl-L2-4000] rule permit source-mac 001d-a21a-0000 ffff-ffff-0000 //La
dirección MAC del teléfono IP usa la máscara de 24 bits.
[SwitchA-acl-L2-4000] rule permit source-mac 0021-a08f-0000 ffff-ffff-0000 //
Esta es la dirección MAC de otro teléfono IP.
[SwitchA-acl-L2-4000] quit
[SwitchA-GigabitEthernet1/0/1] port add-tag acl 4000 vlan 100 remark-8021p 6 //
Configure ACL 4000. El switch etiqueta VLAN 100 a los paquetes que coinciden con
ACL 4000 y cambia la prioridad 802.1p a 6.
[SwitchA-GigabitEthernet1/0/2] port add-tag acl 4000 vlan 100 remark-8021p 6

deshabilitado.
en VLANIF 100.
# Cree VLANIF 200.



SwitchB.



deshabilitado.


Paso 4 Configure la autenticación 802.1x para teléfonos IP.


RADIUS.

[SwitchA] aaa

[SwitchA-aaa] quit
2. Configure la autenticación 802.1x para teléfonos IP.




[SwitchA-GigabitEthernet1/0/1] authentication dot1x //Habilite
[SwitchA-GigabitEthernet1/0/2] authentication dot1x



autenticación.

perfil de autenticación y habilite autenticación 802.1x.

puede usar.



8443.

común.








el paso anterior.

------------------------------------------------------------------------------
------------------------------------------------------------------------------

------------------------------------------------------------------------------
----Fin

V200R008C00)
#
sysname SwitchA
#
vlan batch 100 200
#
dhcp enable
#
#
acl number
4000
rule 5 permit source-mac 001d-a21a-0000 ffff-ffff-0000
rule 10 permit source-mac 0021-a08f-0000 ffff-ffff-0000
#
aaa
domain default
radius-server cisco
#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#
port hybrid untagged vlan
100
port add-tag acl 4000 vlan 100 remark-8021p 6
authentication dot1x
#
100
#
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
return

#
sysname SwitchA
#
vlan batch 100 200
#
#
dhcp enable
#


#
acl number
4000
#
aaa
domain default
radius-server cisco
#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#
100
#
100
#
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
#
return

#
sysname SwitchB
#
vlan batch 200
#
dhcp enable
#
ip pool ip-phone
network 10.20.20.0 mask 255.255.255.0
#
interface Vlanif200
ip address 10.10.20.2 255.255.255.0
dhcp select global
#
#
ip route-static 10.20.20.0 255.255.255.0 10.10.20.1
#
return


una política de tráfico simplificado basada en ACL
un ID de VLAN de voz. Puede configurar una política de tráfico en el switch para identificar
paquetes de voz y aumentar su prioridad. La implementación de la política de tráfico en los
modelos de switches es diferente. Dos métodos están disponibles:
l ACL: Ejecuta el comando port add-tag acl en una interfaz.
l Política de tráfico simplificada basada en ACL Ejecuta el comando traffic-remark
inbound acl en una interfaz.
l Este ejemplo se aplica a todas las versiones y modelos de los switches fijos.
l Este ejemplo se aplica a todos los modelos de switches modulares de V200R005C00 y
lleven los campos.
IP.
Requisitos de redes
l La prioridad de los paquetes de voz debe aumentarse para garantizar la calidad de la
comunicación.
l Los teléfonos IP deben conectarse a los switches a través de la autenticación 802.1x.

Figura 2-12 Conexión de teléfonos IP a switches a través de una política de tráfico

simplificada basada en ACL
Servidor de
autenticación
intranet
Servidor
Switch B
DHCP
GE1/0/3
GE1/0/3
Relé DHCP Switch A
GE1/0/1 GE1/0/2

2. Ejecute el comando traffic-remark inbound acl para agregar el ID de VLAN de voz a
los paquetes de voz y aumentar la prioridad de los paquetes de voz.
Procedimiento
# Cree VLAN 100.
tráfico de voz.


Paso 2 Configure una ACL para identificar paquetes de voz, y agregue el ID de VLAN de voz a los
paquetes de voz y aumente la prioridad.
[SwitchA] acl 4000
[SwitchA-acl-L2-4000] rule permit source-mac 001d-a21a-0000 ffff-ffff-0000 //La
dirección MAC del teléfono IP usa la máscara de 24 bits.
[SwitchA-acl-L2-4000] rule permit source-mac 0021-a08f-0000 ffff-ffff-0000 //
Esta es la dirección MAC de otro teléfono IP.
[SwitchA-acl-L2-4000] quit
[SwitchA-GigabitEthernet1/0/1] port hybrid pvid vlan 100 //La interfaz etiqueta
el PVID de 100 a los paquetes sin etiquetas recibidos.
[SwitchA-GigabitEthernet1/0/1] traffic-remark inbound acl 4000 8021p 6 //
Configure la re-marcación basada en ACL en la interfaz, y cambie la prioridad
802.1p de los paquetes que coincidan con ACL 4000 a 6.
[SwitchA-GigabitEthernet1/0/1] traffic-remark inbound acl 4000 dscp 46 //Cambie
la prioridad DSCP de los paquetes que coincidan con ACL 4000 a 46.
[SwitchA-GigabitEthernet1/0/2] traffic-remark inbound acl 4000 8021p 6
[SwitchA-GigabitEthernet1/0/2] traffic-remark inbound acl 4000 dscp 46


deshabilitado.
en VLANIF 100.
# Cree VLANIF 200.



SwitchB.


deshabilitado.


Paso 4 Configure la autenticación 802.1x para teléfonos IP.

RADIUS.

[SwitchA] aaa


[SwitchA-aaa] quit
2. Configure la autenticación 802.1x para teléfonos IP.


[SwitchA-GigabitEthernet1/0/1] authentication dot1x //Habilite
[SwitchA-GigabitEthernet1/0/2] authentication dot1x



autenticación.

perfil de autenticación y habilite autenticación 802.1x.

puede usar.



8443.

común.








el paso anterior.

------------------------------------------------------------------------------
------------------------------------------------------------------------------

------------------------------------------------------------------------------
----Fin

V200R008C00)
#
sysname SwitchA
#
vlan batch 100 200
#
dhcp enable
#
#
acl number
4000
#
aaa
domain default
radius-server cisco
#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#
100
100
traffic-remark inbound acl 4000 8021p
6
traffic-remark inbound acl 4000 dscp ef
#
100
100
6
#
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
return

#
sysname SwitchA
#
vlan batch 100 200

#
#
dhcp enable
#
#
acl number
4000
#
aaa
domain default
radius-server cisco
#
interface Vlanif100
ip address 10.20.20.1 255.255.255.0
dhcp select relay
#
interface Vlanif200
ip address 10.10.20.1 255.255.255.0
#
100
100
6
#
100
100
6
#
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
#
return

#
sysname SwitchB
#
vlan batch 200
#
dhcp enable
#
ip pool ip-phone

network 10.20.20.0 mask 255.255.255.0
#
interface Vlanif200
ip address 10.10.20.2 255.255.255.0
dhcp select global
#
#
ip route-static 10.20.20.0 255.255.255.0 10.10.20.1
#
return

autenticación NAC y VLAN de voz
Los servicios de datos, voz y video a menudo se transmiten simultáneamente a través de una
red. La pérdida y demora de paquetes afecta seriamente la calidad de la comunicación de voz
en particular, lo que requiere una prioridad de reenvío más alta que los servicios de datos o
video. Los datos de voz deben tener preferencia de transmisión cuando el ancho de banda es
limitado. Una VLAN de voz se usa para transmitir flujos de datos de voz. Puede configurar
una VLAN de voz en el switch para que los flujos de voz se transmitan en la VLAN de voz.
QoS se puede configurar en la VLAN de voz para que los flujos de voz se transmitan
preferentemente cuando se produzca congestión.
Los controles de autenticación de NAC acceden a los usuarios y proporcionan una garantía de
seguridad de extremo a extremo.
Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
Requisitos de redes
En Figura 2-13, el switch se conecta a teléfonos IP y una PC, y transmite paquetes de voz y
datos en VLAN 200 y VLAN 100, respectivamente. El teléfono IP A y el PC A se conectan al
switch en modo en línea, y el teléfono IP B se conecta al switch. Los teléfonos IP son
compatibles con 802.1x y obtienen información de VLAN de voz en el switch a través de
LLDP. Los flujos de datos de voz se deben transmitir con alta prioridad para garantizar la
calidad de las llamadas VoIP que exigen los usuarios.

Figura 2-13 Conexión de teléfonos IP a switches a través de autenticación NAC y VLAN de

voz
Servidor de RADIUS
Switch Switch1
Internet
GE1/0/1 GE1/0/2 GE1/0/1

IP Phone A
MAC: 0004-0D00-0001
Servidor de DHCP
Máscara: ffff-ff00-0000
IP Phone C
IP Phone B
PC A PC C

1. Cree VLAN en el switch y agregue interfaces a las VLAN para implementar la
conectividad de Capa 2. Configure VLAN 200 como VLAN de voz, y VLAN 100 como
VLAN de datos y VLAN por defecto de GE1/0/1.
2. Configure la función de VLAN de voz.
3. Habilite LLDP para que los teléfonos IP puedan obtener información de VLAN de voz a
través de LLDP.
4. Configure la autenticación 802.1x y AAA.
5. Configure el servidor RADIUS, por ejemplo, nombres de usuario y contraseñas de los
PC y teléfonos IP. (Si no se requiere autenticación, ignore este paso.)
NOTA
l Este ejemplo utiliza Avaya 9620 como teléfono IP y Cisco Secure ACS como servidor RADIUS.
l Cuando el temporizador del teléfono Avaya IP expire, el teléfono IP puede no estar conectado. El
valor de VLAN TEST en el teléfono IP debe ser ajustado a 0, lo que indica que el temporizador no
se agotará. Modifique el valor del temporizador de VLAN TEST del teléfono IP: Presione la tecla
asterisco (*) e introduzca la contraseña para acceder al menú. Seleccione VLAN TEST y cambie el
valor por defecto a 0.
l Asegúrese de que la dirección del servidor RADIUS y la clave compartida en la plantilla del
servidor RADIUS sean las mismas que los ajustes en el servidor RADIUS.
l La configuración de Switch1 es similar a la configuración del switch.
Procedimiento
Paso 1 Configure las VLAN y las interfaces en el switch.

# Cree las VLAN.

# Ajuste el PVID y la VLAN permitida por GE1/0/1.

[Switch-GigabitEthernet1/0/1] port hybrid pvid vlan 100 //El tipo de enlace por
defecto de una interfaz es híbrido y no se debe configurar manualmente.
[Switch-GigabitEthernet1/0/1] port hybrid untagged vlan 100
Paso 2 Configure VLAN de voz y OUI. La configuración de GE1/0/2 es similar a la configuración de

GE1/0/1.
[Switch] voice-vlan mac-address 0004-0D00-0000 mask ffff-ff00-0000 //Se refiere
a la dirección MAC del teléfono IP correspondiente a la OUI.
[Switch-GigabitEthernet1/0/1] voice-vlan 200 enable //Configure VLAN 200 de voz.
[Switch-GigabitEthernet1/0/1] port hybrid tagged vlan 200
[Switch-GigabitEthernet1/0/1] voice-vlan remark-mode mac-address //Configure el
switch para identificar paquetes de voz en la VLAN de voz en base a las
direcciones MAC de los teléfonos IP.
[Switch-GigabitEthernet1/0/1] voice-vlan security enable //Configure el modo
seguro. La interfaz descarta paquetes cuyas direcciones MAC no coinciden con las
OUI.
Paso 3 Habilite LLDP.

[Switch] lldp enable
Paso 4 Configure la autenticación 802.1x y AAA.

# Cambie el modo NAC al modo tradicional.
[Switch] undo authentication unified-mode
[Switch] quit
<Switch> save
El sistema le pide que guarde la configuración en el dispositivo y si continuará la operación.

Ingrese y.
# Reinicie el dispositivo.
<Switch> reboot
El sistema muestra un mensaje que indica que el sistema se reiniciará y le preguntará si desea
continuar la operación. Ingrese y.
NOTA
Esta configuración es obligatoria para V200R005C00 y versiones posteriores. Después de que el modo
unificado se cambie al modo tradicional, reinicie el dispositivo para que la configuración tenga efecto.
# Habilite la autenticación 802.1x.

<Switch> system-view
[Switch] dot1x enable
[Switch-GigabitEthernet1/0/1] dot1x enable
# Configure la plantilla de servidor RADIUS.

[Switch] radius-server template cmn //Cree una plantilla de servidor RADIUS

llamada cmn.
[Switch-radius-cmn] radius-server authentication 10.136.6.132 1812 //Configure
la dirección IP y el número de puertos del servidor de autenticación RADIUS.
[Switch-radius-cmn] radius-server accounting 10.136.6.132 1813 //Configure la
dirección IP y el número de puertos del servidor de contabilidad RADIUS.
[Switch-radius-cmn] quit
# Configure AAA.
[Switch] aaa
[Switch-aaa] authentication-scheme cmn //Cree un esquema de autenticación
llamado cmn.
[Switch-aaa-authen-cmn] authentication-mode radius //Establezca el modo de
[Switch-aaa-authen-cmn] quit
[Switch-aaa] accounting-scheme cmn //Cree un esquema contable llamado cmn.
[Switch-aaa-accounting-cmn] accounting-mode radius //Cree el modo de
contabilidad a RADIUS.
[Switch-aaa-accounting-cmn] quit
[Switch-aaa] domain default //Configure los esquemas de autenticación y
contabilidad del dominio por defecto y del servidor RADIUS.
[Switch-aaa-domain-default] authentication-scheme cmn
[Switch-aaa-domain-default] accounting-scheme cmn
[Switch-aaa-domain-default] radius-server cmn
[Switch-aaa-domain-default] quit
[Switch-aaa] quit
Paso 5 Configure el servidor RADIUS. Cuando los hosts están conectados a teléfonos IP en modo en
línea, enlace los nombres de usuario y las contraseñas de los teléfonos IP a la VLAN de voz
en el servidor RADIUS, como se muestra en Figura 2-14.
Figura 2-14 Redes del servidor RADIUS
V200R006 proporciona la siguiente optimización:

l En versiones anteriores de V200R006, el atributo de VLAN de voz (device-traffic-
class=voice) se configura en el servidor RADIUS para identificar la VLAN de voz y
autenticar los servicios de voz, como se muestra en Figura 2-15.
En V200R006 y versiones posteriores, no es necesario configurar el atributo de la VLAN
de voz (device-traffic-class=voice). El comando voice-vlan X enable se configura en el
switch para identificar la VLAN de voz y autenticar los servicios de voz.

Figura 2-15 Configuración del atributo de VLAN de voz (device-traffic-class=voice) en

el servidor RADIUS
l En versiones anteriores de V200R006, los servicios de voz y datos para una VLAN en
una interfaz se pueden autenticar simultáneamente. En V200R006 y versiones
posteriores, la autenticación se realiza de una sola vez.
Los teléfonos IP pueden conectarse e implementar comunicación de voz.
los PC pueden ir en línea.
----Fin
#
sysname Switch
#
voice-vlan mac-address 0004-0d00-0000 mask ffff-ff00-0000
#
vlan batch 100 200
#
#
dot1x enable
#
lldp enable
#
radius-server template cmn
#
aaa
authentication-scheme cmn
accounting-scheme cmn
accounting-mode radius
domain default
authentication-scheme cmn
accounting-scheme cmn
radius-server cmn
#
voice-vlan security enable
dot1x enable
#

voice-vlan security enable
dot1x enable
#
return
2.1.15 Causas comunes para las fallas del inicio de sesión de los
teléfonos IP y sus soluciones
Entre las siguientes causas para las fallas del inicio de sesión de los teléfonos IP, causa 1 y
causa 2 están dirigidas a teléfonos Avaya, y causa 3 y causa 4 están dirigidas a todos los
teléfonos, incluidos los de Avaya.
Causa 1: Un teléfono Avaya no puede conectarse porque no puede obtener una

dirección IP dentro de 60s
El teléfono Avaya no puede obtener una dirección IP a través de DHCP dentro de 60s debido
a la demora de la red u otras causas. Una vez que el temporizador expire, el teléfono Avaya
envía paquetes etiquetados con VLAN 0 repetidamente. El switch procesa los paquetes
etiquetados con VLAN 0 de la misma manera que los paquetes sin etiquetas, es decir, en la
VLAN especificada por el PVID de una interfaz. Dichos paquetes no se procesan en la VLAN
de voz. Como resultado, el teléfono Avaya no puede autenticarse y no se puede conectar al
switch.
Soluciones
l Método 1: En V200R003C00 y versiones posteriores, recomendamos que configure la
VLAN de voz basada en OUI. Luego, el switch agrega el ID de VLAN de voz a los
paquetes sin etiquetas, de modo que los paquetes se pueden reenviar en la VLAN de voz.
Para obtener más detalles, consulte 2.1.10 Ejemplo para conectar teléfonos IP a
switches a través de VLAN de voz basada en OUI. Para los switches fijos (S5320EI,
S6320EI) y switches modulares (excepto LE1D2S04SEC0, LE1D2X32SEC0,
LE1D2H02QEC0, y tarjetas de la serie X), usted también puede usar el comando voice-
vlan vlan-id enable include-tag0 para habilitar la VLAN de voz para paquetes
etiquetados con VLAN 0 en V200R010 y versiones posteriores.
l Método 2: Modifique el valor del temporizador de VLAN TEST del teléfono IP:
Después de reiniciar el teléfono Avaya, la configuración del temporizador ya no está
efectiva y debe reconfigurarse.
Causa 2: Un teléfono de Avaya no puede conectarse cuando utilice la

autenticación de dirección MAC y el switch de una versión anterior de
V200R003C00 está habilitado con autenticación de Bypass de dirección MAC
El switch habilitado con autenticación de Bypass de dirección MAC realiza la autenticación
de dirección MAC solo cuando se exceda el intervalo de tiempo de espera del cliente 802.1x.
En versiones anteriores de V200R003C00, el intervalo de tiempo de espera del cliente 802.1x
es de 30 segundos. Es decir, la autenticación de la dirección MAC se realiza después de 30
segundos. El valor del temporizador del teléfono Avaya es de 60s. Si el teléfono no puede ser
autenticado dentro de 30s, solo enviará los paquetes etiquetados con VLAN 0. Como
resultado, el teléfono Avaya no puede conectarse.

Soluciones
[Quidway] dot1x timer client-timeout 5 //Cambie el intervalo de tiempo de espera
de autenticación del cliente a 5 segundos para aumentar el tiempo de
Causa 3: Un teléfono IP no puede conectarse porque las VLAN para la

autenticación y el reenvío de flujos de voz son diferentes
Un teléfono IP no puede conectarse porque las VLAN para autenticación y reenvío de flujos
de voz son diferentes. La causa principal es que el switch reenvía solo los paquetes de la
VLAN autenticada, pero descarta los paquetes de la VLAN no autenticada.
Figura 2-16 muestra el escenario donde el teléfono IP no puede conectarse.
Figura 2-16 El teléfono IP no puede conectarse en línea
Escenario 2: El teléfono IP
Escenario 1: Un teléfono que envía paquetes
IP no puede conectarse en etiquetados con VLAN 0 o
Teléfono línea con la autenticación Teléfono paquetes no etiquetados no
Switch Switch
IP 802.1x. IP puede conectarse en línea.
1. Envie mensajes de DHCP

1. Envie paquetes EAP no Discover etiquetados con VLAN
2. Reenvie 2. Los paquetes
etiquetados. 0 o no etiquetados.
paquetes de etiquetados con
autenticación VLAN 0 o
en VLAN paquetes no
3. Use el PVID para autenticación. especificados 3. Use el PVID para autenticación. etiquetados se
por PVID. reenvían en la
VLAN especificada
por el PVID.
4. Obtenga ID de VLAN de voz a 4. Obtenga ID de VLAN de voz a
través de LLDP. El ID de VLAN través de LLDP. El ID de VLAN
de voz es diferente del PVID. de voz es diferente del PVID.
5. Use la VLAN de voz para la 5. Use la VLAN de voz para la
comunicación. El inicio de sesión comunicación. El inicio de sesión
falla. falla.
Soluciones
l Método 1: En V200R003C00 y versiones posteriores, se recomienda configurar la
VLAN de voz basada en OUI. Para obtener más detalles, consulte 2.1.10 Ejemplo para
conectar teléfonos IP a switches a través de VLAN de voz basada en OUI.
l Método 2: En V200R010 y versiones posteriores, la migración de la dirección MAC se
puede habilitar para que los teléfonos IP se puedan autenticar en función del PVID y del
ID de la VLAN de voz.
[Quidway] authentication mac-move enable vlan 10 100 //Supongan que el PVID
de la interfaz es VLAN 10 y el ID de VLAN de voz es VLAN 100.
l Método 3: Configure la lista negra para que el switch descarte los paquetes que
provienen del teléfono IP y se reenvían en función del PVID. En este caso, la VLAN
autenticada y la VLAN de voz del teléfono IP son las mismas.
a. Configure una regla ACL para que coincida con la dirección MAC del teléfono IP y
el PVID de la interfaz.
[Quidway] acl number 4000

[Quidway-acl-L2-4000] rule 5 permit source-mac ac44-f211-df8e vlan-id

1 //Supongan que la dirección MAC del teléfono IP es ac44-f211-df8e y
que el PVID es VLAN 1.
[Quidway-acl-L2-4000] quit
b. Configure una política de defensa de ataque.

[Quidway] cpu-defend policy p1
[Quidway-cpu-defend-policy-p1] blacklist 1 acl 4000 //Configure la
lista negra.
[Quidway-cpu-defend-policy-p1] quit
c. Aplique la política de defensa de ataque globalmente.

[Quidway] cpu-defend-policy p1 global
l Método 4: Configure la autorización de VLAN dinámica. Si las diferentes interfaces

utilizan diferentes ID de VLAN de voz, la configuración de la autorización de VLAN
dinámica no puede evitar el problema. Puede configurar solo el modo unificado.
a. Configure el mismo ID de VLAN de usuario que el ID de VLAN de voz en el
esquema de servicio.
[Quidway] aaa
[Quidway-aaa] service-scheme test //Cree un esquema de servicio llamado
test.
[Quidway-aaa-service-test] user-vlan 100 //Configure una VLAN de
usuario. El ID de VLAN del usuario es el ID de VLAN de voz.
[Quidway-aaa-service-test] voice-vlan //Habilite la función de VLAN de
voz.
[Quidway-aaa-service-test] quit
b. Aplique el esquema de servicio al dominio por defecto.

[Quidway-aaa] domain default
[Quidway-aaa-domain-default] service-scheme test
[Quidway-aaa-domain-default] quit
[Quidway-aaa] quit
c. Autorice la VLAN de voz a través del servidor. Ajuste el ID de VLAN de

autorización en el ID de VLAN de voz y ajuste Attribute ID/name a HW-Voice-
vlan(33). El Agile Controller se usa como ejemplo.


Causa 4: Un teléfono IP está habilitado con autenticación 802.1x y el switch está

configurado con autenticación de Bypass de dirección MAC. Cuando la
autenticación 802.1x del teléfono IP tenga falla, el switch no realiza la
autenticación de la dirección MAC. En consecuencia, el teléfono IP no puede
conectarse en línea
Soluciones
l Método 1: Deshabilite la autenticación 802.1x en el teléfono IP:
a. Deshabilite la autenticación 802.1x en el teléfono Avaya:
i. Presione la tecla asterisco (*), introduzca la contraseña (27238 por defecto), y
presione la tecla numeral (#) para ingresar al menú.
ii. Seleccione 802.1x y ajuste los valores de Supplicant y Pass-thru a disable.
b. Deshabilite la autenticación 802.1x en el teléfono de Cisco:
Elija Security Configuration > 8021X Authentication y ajuste Device
Authentication a Disable.
l Método 2: Configure la autenticación del Portal priorizada por la dirección MAC en la
interfaz del switch. Solo el modo tradicional admite esta configuración.
[Quidway] interface gigabitethernet 1/0/1
[Quidway-GigabitEthernet1/0/1] dot1x mac-bypass mac-auth-first
Causa 5: El teléfono IP se conecta en línea y fuera de línea con frecuencia porque

no responde a los paquetes de sonda fuera de línea de ARP enviados por el
switch
Para garantizar el estado normal en línea del teléfono IP, el switch envía paquetes de sonda de
ARP fuera de línea con la dirección IP de origen de 255.255.255.255. Si el teléfono IP no
admite la respuesta a los paquetes de sonda fuera de línea de ARP con la dirección IP de
origen de 255.255.255.255, el switch considera que el teléfono IP está desconectado y
desconecta el teléfono IP. En este caso, el teléfono IP puede conectarse y desconectarse
frecuentemente. Verifique ARP detect fail.
Ejecute el comendo display aaa offline-record all para verificar la causa de la desconexión
del teléfono IP.
<Quidway> display aaa offline-record all
-------------------------------------------------------------------
User name : test@rds
Domain name : default
User MAC : 0021-9746-b67c
User access type : MAC
User access interface : GigabitEthernet1/0/2
Qinq vlan/User vlan : 0/1
User IP address : 192.168.2.2
User IPV6 address : -
User ID : 19
User login time : 2016/10/01 04:49:39
User offline time : 2016/10/01 04:59:43
User offline reason : ARP detect fail
-------------------------------------------------------------------
Are you sure to display some information?(y/n)[y]:
Soluciones
l Método 1: Configure la dirección IP de origen por defecto de los paquetes de detección
fuera de línea de ARP.

[Quidway] access-user arp-detect default ip-address 0.0.0.0 //Configure la
dirección de origen por defecto de los paquetes de sonda fuera de línea ARP
como 0.0.0.0.
l Método 2: Configure la dirección IP de origen y la dirección MAC de origen de los

paquetes de detección fuera de línea ARP en la VLAN especificada.
[Quidway] access-user arp-detect vlan 10 ip-address 192.168.1.1 mac-address
2222-1111-1234 //Configure la dirección IP de origen de los paquetes de
sonda fuera de línea ARP como 192.168.1.1 y la dirección MAC de origen como
2222-1111-1234.

switches y cortafuegos
2.2.1 Ejemplo para configurar un switch de Capa 2 para trabajar

con cortafuegos para acceso de Internet
Switch de Capa 2
Los switches de Capa 2 solo realizan el reenvío de la Capa 2 en lugar del reenvío de la Capa
3. Es decir, los switches de Capa 2 solo admiten switches de Capa 2 en lugar de funciones de
Capa 3, como el enrutamiento.
Los switches de Capa 2 normalmente se despliegan en la capa de acceso y no pueden
funcionar como gateways de los usuarios.
Las configuraciones de switch utilizadas en este ejemplo se aplican a todas las versiones de
todos los switches de la serie S.
Este ejemplo usa configuraciones de cortafuegos de USG6650 V500R001C60. Para otras
configuraciones de cortafuegos, vea la documentación correspondiente.
Requisitos de redes
En Figura 2-17, una compañía tiene múltiples departamentos que pertenecen a diferentes
segmentos de red, y cada departamento necesita acceder a Internet. Se requiere que los
usuarios accedan a Internet a través del switch de Capa 2 y cortafuegos y que los cortafuegos
funcione como el gateway de los usuarios.

Figura 2-17 Configuración de un switch de Capa 2 para trabajar con cortafuegos para acceso
de Internet
Internet
IP pública: 200.0.0.1/24
IP: 200.0.0.2/24
GE1/0/2
Los cortafuegos
funcionan como el
gateway de las PC
GE1/0/1
GE0/0/1
Switch
GE0/0/2 GE0/0/3
VLAN 2 VLAN 3
PC1 PC2
IP: 192.168.1.2/24 IP: 192.168.2.2/24

La hoja de ruta de la configuración es la siguiente:
1. Configure la asignación de VLAN basada en la interfaz en el switch para el reenvío de
Capa 2.
2. Configure los cortafuegos como el gateway de los usuarios para implementar el reenvío
de Capa 3 a través de segmentos de red por subinterfaces o interfaces VLANIF.
3. Configure los cortafuegos como el servidor DHCP para asignar direcciones IP a los
usuarios.
4. Configure una política de interconexión de seguridad para los cortafuegos de modo que
se puedan reenviar paquetes de diferentes zonas.
5. Configure la función PAT en los cortafuegos para admitir que los usuarios de la intranet
tengan acceso a Internet.
Procedimiento
Paso 1 Configure el switch.
# Configure las interfaces conectadas a los usuarios.
[Switch-GigabitEthernet0/0/2] port link-type access //Establezca el tipo de

enlace de la interfaz a access.

[Switch-GigabitEthernet0/0/2] port default vlan 2 //Agregue la interfaz a VLAN
2.
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 3
# Configure la interfaz conectada a los cortafuegos.

[Switch-GigabitEthernet0/0/1] port link-type trunk
[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 3 //Configure la
interfaz como una interfaz Trunk para transmitir paquetes de manera transparente
de la VLAN 2 y la VLAN 3.
Paso 2 Configure los cortafuegos.

Hay dos métodos disponibles para configurar cortafuegos: uno es para configurar las
subinterfaces y el otro es para configurar las interfaces VLANIF.
l Configure los cortafuegos para terminar las etiquetas de VLAN a través de subinterfaces
para implementar el reenvío de Capa 3 por segmentos de red.
# Configure las subinterfaces para la terminación de la etiqueta de VLAN.
<USG6600> system-view
[USG6600] interface gigabitethernet 1/0/1.1
[USG6600-GigabitEthernet1/0/1.1] vlan-type dot1q 2
[USG6600-GigabitEthernet1/0/1.1] ip address 192.168.1.1 24
[USG6600-GigabitEthernet1/0/1.1] quit
[USG6600-GigabitEthernet1/0/1.2] vlan-type dot1q 3
[USG6600-GigabitEthernet1/0/1.2] ip address 192.168.2.1 24
# Configure la función DHCP para asignar direcciones IP a usuarios de la intranet y

especifique la dirección del servidor DNS.
[USG6600] dhcp enable
[USG6600-GigabitEthernet1/0/1.1] dhcp select interface //Habilite la
función del servidor DHCP en la interfaz y configúrela para usar un grupo de
direcciones de interfaz.
[USG6600-GigabitEthernet1/0/1.1] dhcp server dns-list 114.114.114.114
223.5.5.5 //La lista DNS configurada 114.114.114.114 es una dirección
pública del servidor DNS, que es la misma para los operadores. En la
práctica, la dirección de la lista DNS debe configurarse según el DNS
asignado a un operador.[USG6600-GigabitEthernet1/0/1.1] quit
[USG6600-GigabitEthernet1/0/1.2] dhcp select interface
[USG6600-GigabitEthernet1/0/1.2] dhcp server dns-list 114.114.114.114
223.5.5.5
# Configure una dirección IP de interfaz de red pública y una ruta estática.

[USG6600] interface gigabitethernet 1/0/2
[USG6600-GigabitEthernet1/0/2] ip address 200.0.0.2 255.255.255.0 //
Configure una dirección IP 200.0.0.2 para GE0/0/2 conectado a la red pública.
[USG6600-GigabitEthernet1/0/2] quit
[USG6600] ip route-static 0.0.0.0 0.0.0.0 200.0.0.1 //Configure una ruta
predeterminada estática con el siguiente salto apuntando a la dirección IP
pública 200.0.0.1.
# Configure zonas de seguridad.

[USG6600] firewall zone trust //Configura una zona de trust.
[USG6600-zone-trust] add interface gigabitethernet 1/0/1
[USG6600-zone-trust] add interface gigabitethernet 1/0/1.1

[USG6600-zone-trust] add interface gigabitethernet 1/0/1.2

[USG6600-zone-trust] quit
[USG6600] firewall zone untrust //Configure unazona de untrust.
[USG6600-zone-untrust] add interface gigabitethernet 1/0/2
[USG6600-zone-untrust] quit
# Configure una política de seguridad para admitir el acceso entre zonas.
[USG6600] security-policy
[USG6600-policy-security] rule name policy1
[USG6600-policy-security-rule-policy1] source-zone trust
[USG6600-policy-security-rule-policy1] destination-zone untrust
[USG6600-policy-security-rule-policy1] source-address 192.168.0.0 mask
255.255.0.0
[USG6600-policy-security-rule-policy1] action permit
[USG6600-policy-security-rule-policy1] quit
[USG6600-policy-security] quit
# Configure un grupo de direcciones PAT para admitir el cambio de la dirección de la
interfaz.
[USG6600] nat address-group addressgroup1
[USG6600-address-group-addressgroup1] mode pat
[USG6600-address-group-addressgroup1] route enable
[USG6600-address-group-addressgroup1] section 0 200.0.0.2 200.0.0.2 //
Dirección IP pública traducida
[USG6600-address-group-addressgroup1] quit
# Configure una política PAT para que las direcciones IP originales se cambian
automáticamente cuando los dispositivos en un segmento de red específico de una red
interna accedan a Internet.
[USG6600] nat-policy
[USG6600-policy-nat] rule name policy_nat1
[USG6600-policy-nat-rule-policy_nat1] source-zone trust
[USG6600-policy-nat-rule-policy_nat1] destination-zone untrust
[USG6600-policy-nat-rule-policy_nat1] source-address 192.168.0.0 mask
255.255.0.0 //Dirección IP de origen que se puede traducir usando PAT
[USG6600-policy-nat-rule-policy_nat1] action nat address-group addressgroup1
[USG6600-policy-nat-rule-policy_nat1] quit
[USG6600-policy-nat] quit
[USG6600] quit
l Configure las interfaces VLANIF en los cortafuegos para implementar el reenvío de
Capa 3 a través de segmentos de red.
# Configure las interfaces VLANIF.
<USG6600> system-view
[USG6600] vlan batch 2 3
[USG6600-GigabitEthernet1/0/1] portswitch //Cambie la interfaz Ethernet del
modo de Capa 3 al modo de Capa 2. Si ha funcionado en el modo de Capa 2,
omita este paso.
[USG6600-GigabitEthernet1/0/1] port link-type hybrid
[USG6600-GigabitEthernet1/0/1] port hybrid tagged vlan 2 to 3
[USG6600] interface vlanif 2
[USG6600-Vlanif2] ip address 192.168.1.1 24 //Configure la dirección IP de
VLANIF2 como la dirección del gateway de PC1.
[USG6600-Vlanif2] quit
[USG6600-Vlanif3] ip address 192.168.2.1 24 //Configure la dirección IP de
# Configure las funciones DHCP y DNS.
[USG6600] dhcp enable
[USG6600-Vlanif2] dhcp select interface
[USG6600-Vlanif2] dhcp server dns-list 114.114.114.114 223.5.5.5 //La lista
DNS configurada 114.114.114.114 es una dirección pública del servidor DNS,
que es la misma para los operadores. En la práctica, la dirección de la lista
DNS debe configurarse según el DNS asignado a un operador.[USG6600-Vlanif2]

quit
[USG6600-Vlanif3] dhcp select interface
[USG6600-Vlanif3] dhcp server dns-list 114.114.114.114 223.5.5.5

[USG6600-GigabitEthernet1/0/2] ip address 200.0.0.2 255.255.255.0
[USG6600] ip route-static 0.0.0.0 0.0.0.0 200.0.0.1 //Configure una ruta
pública 200.0.0.1.

[USG6600] firewall zone trust
[USG6600-zone-trust] add interface gigabitethernet 1/0/1
[USG6600-zone-trust] add interface vlanif 2
[USG6600-zone-trust] add interface vlanif 3
[USG6600-zone-trust] quit
[USG6600] firewall zone untrust
[USG6600-zone-untrust] add interface gigabitethernet 1/0/2
[USG6600-zone-untrust] quit

[USG6600-policy-security-rule-policy1] source-address 192.168.0.0 mask
255.255.0.0
# Configure un grupo de direcciones PAT para admitir el cambio de la dirección de la

interfaz.
automáticamente cuando los dispositivos en un segmento de red específico de una red
interna accedan a Internet.
[USG6600] quit
Configure una dirección IP como 192.168.1.2/24 y una dirección de gateway como

192.168.1.1 para PC1, y configure una dirección IP como 192.168.2.2/24 y una dirección de
gateway como 192.168.2.1 para PC2.
Configure una dirección IP como 200.0.0.1/24 y una dirección de gateway como 200.0.0.2
para la red externa.

Una vez completadas las configuraciones, PC1 y PC2 pueden hacer ping a la dirección IP
200.0.0.1/24 de la red externa y acceder a Internet.
----Fin
l Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 2 to 3
#
#
port default vlan 2
#
port default vlan 3
#
return
l El archivo de configuración de USG (utilizado cuando los cortafuegos realizan el reenvío

de Capa 3 a través de subinterfaces)
#
#
interface GigabitEthernet1/0/1.1
vlan-type dot1q 2
ip address 192.168.1.1 255.255.255.0
dhcp select interface
dhcp server dns-list 114.114.114.114 223.5.5.5
#
vlan-type dot1q 3
ip address 192.168.2.1 255.255.255.0
#
ip address 200.0.0.2 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/1
add interface GigabitEthernet1/0/1.1
add interface GigabitEthernet1/0/1.2
#
firewall zone untrust
set priority 5
#
ip route-static 0.0.0.0 0.0.0.0 200.0.0.1
#
nat address-group addressgroup1 0
mode
pat
route
enable
section 0 200.0.0.2 200.0.0.2
#
security-
policy

rule name
policy1
source-zone
trust
destination-zone
untrust
255.255.0.0
action permit
#
nat-
policy
rule name
policy_nat1
source-zone
trust
destination-zone
untrust
255.255.0.0
action nat address-group addressgroup1
#
return
l El archivo de configuración USG (utilizado cuando los cortafuegos realizan el reenvío de
Capa 3 a través de las interfaces VLANIF)
#
vlan batch 2 to 3
#
interface Vlanif2
ip address 192.168.1.1
255.255.255.0
#
interface Vlanif3
ip address 192.168.2.1
255.255.255.0
dhcp select
interface
#
portswitch
port hybrid tagged vlan 2 to 3
#
ip address 200.0.0.2 255.255.255.0
#
firewall zone trust
set priority 85
add interface Vlanif2
add interface Vlanif3
#
set priority 5
#
ip route-static 0.0.0.0 0.0.0.0 200.0.0.1
#
mode
pat
route
enable
section 0 200.0.0.2 200.0.0.2
#
security-
policy
rule name

policy1
source-zone
trust
destination-zone
untrust
255.255.0.0
action permit
#
nat-
policy
rule name
policy_nat1
source-zone
trust
destination-zone
untrust
255.255.0.0
#
return
2.2.2 Ejemplo para configurar un switch de Capa 3 para trabajar

con cortafuegos para acceso de Internet
Switch de Capa 3
Los switches de Capa 3 proporcionan la función de enrutamiento, que indica una función de
capa de red en el modelo OSI.
Los switches de Capa 3 pueden funcionar en la Capa 2 y en la Capa 3 y desplegarse en la capa

de acceso o en la capa de agregación como gateways de usuario.
l Este ejemplo usa configuraciones de cortafuegos de USG6650 V500R001C60. Para otras
configuraciones de cortafuegos, vea la documentación correspondiente.
l Las configuraciones del servidor de switch DHCP utilizadas en este ejemplo se aplican a
los siguientes switches y versiones.
Serie Modelo Versión del software

del
producto
S2300 S2320EI V200R011C10, V200R012C00

V200R008C00, V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S3300 S3300SI, V100R006C05

S3300EI
S3300HI V200R001C00


del
producto

V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5300SI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C02)
S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5300HI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00, V200R005(C00&C02)
S5320LI V200R010C00, V200R011C10, V200R012C00
S5320SI V200R008(C00&C10), V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S6320SI V200R011C10, V200R012C00
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320HI V200R012C00
S9300 S9303, V200R001C00, V200R002C00, V200R003C00,

S9306, V200R005C00SPC300, V200R006C00, V200R007C00,
S9312 V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10, V200R012C00
S9300X S9310X V200R010C00, V200R011C10, V200R012C00
S9300E S9303E, V200R001C00, V200R002C00, V200R003C00,

S9306E, V200R005C00SPC300, V200R006C00, V200R007C00,
S9312E V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00

Requisitos de redes
usuarios accedan a Internet a través del switch de Capa 3 y cortafuegos y que el switch de
Capa 3 funcione como el gateway de los usuarios.
Figura 2-18 Configuración de un switch de Capa 3 para trabajar con cortafuegos para acceso
de Internet
Internet
IP pública: 200.0.0.1/24
IP: 200.0.0.2/24
GE1/0/2
Cortafuegos
GE1/0/1
IP: 192.168.100.1/24 VLANIF 100
GE0/0/1 IP: 192.168.100.2/24
El switch funciona como

el gateway de las PC
GE0/0/2 GE0/0/3
VLAN 2 VLAN 3
IP: 192.168.1.1/24 IP: 192.168.2.1/24
PC1 PC2
IP: 192.168.1.2/24 IP: 192.168.2.2/24

1. Configure el switch como el gateway de los usuarios para admitir que los usuarios se
comuniquen por segmentos de red a través de las interfaces VLANIF.
2. Configure el switch como el servidor DHCP para asignar direcciones IP a los usuarios.
3. Configure una política de interconexión de seguridad para los cortafuegos de modo que
se puedan reenviar paquetes de diferentes zonas.
4. Configure la función PAT en los cortafuegos para admitir que los usuarios de la intranet
tengan acceso a Internet.
Procedimiento
# Configure las interfaces conectadas a los usuarios y las interfaces VLANIF
correspondientes.

2.
[Switch] interface vlanif 2
[Switch-Vlanif2] ip address 192.168.1.1 24
[Switch-Vlanif2] quit
# Configure la interfaz conectada a los cortafuegos y la interfaz VLANIF correspondiente.

[Switch] vlan batch 100
# Configure la ruta predeterminada.

[Switch] ip route-static 0.0.0.0 0.0.0.0 192.168.100.1 //El siguiente salto de
la ruta predeterminada es la dirección IP 192.168.100.1 de la interfaz de
cortafuegos.
# Configure el servidor DHCP.

[Switch-Vlanif2] dhcp select interface //DHCP usa un grupo de direcciones de
interfaz para asignar direcciones IP a usuarios de la intranet.
[Switch-Vlanif2] dhcp server dns-list 114.114.114.114 223.5.5.5 //La lista DNS
configurada 114.114.114.114 es una dirección pública del servidor DNS, que es la
misma para los operadores. En la práctica, la dirección de la lista DNS debe
configurarse según el DNS asignado a un operador.
[Switch-Vlanif3] dhcp select interface
[Switch-Vlanif3] dhcp server dns-list 114.114.114.114 223.5.5.5
Paso 2 Configure los cortafuegos.
# Configure una dirección IP para la interfaz conectada al switch.

<USG> system-view
[USG] interface gigabitethernet 1/0/1
[USG-GigabitEthernet1/0/1] ip address 192.168.100.1 255.255.255.0
[USG-GigabitEthernet1/0/1] quit
# Configure una dirección IP para la interfaz conectada a Internet.

[USG] interface gigabitethernet 1/0/2
[USG-GigabitEthernet1/0/2] ip address 200.0.0.2 255.255.255.0 //La dirección IP
de la interfaz conectada a Internet está en el mismo segmento de red que la
dirección IP pública.
[USG-GigabitEthernet1/0/2] quit

# Configure una ruta predeterminada y una ruta de retorno.

[USG] ip route-static 0.0.0.0 0.0.0.0 200.0.0.1 //Configure una ruta
pública 200.0.0.1.
[USG] ip route-static 192.168.0.0 255.255.0.0 192.168.100.2 //Configure una
ruta de retorno con el siguiente salto apuntando a la dirección IP 192.168.100.2
de la interfaz de enlace ascendente del switch.

[USG] firewall zone trust //Configure una zona de trust.
[USG-zone-trust] add interface gigabitethernet 1/0/1
[USG-zone-trust] quit
[USG] firewall zone untrust //Configure una zona de untrust.
[USG-zone-untrust] add interface gigabitethernet 1/0/2
[USG-zone-untrust] quit

[USG6600-policy-security-rule-policy1] source-address 192.168.0.0 mask 255.255.0.0
# Configure un grupo de direcciones PAT para admitir el cambio de la dirección de la interfaz.

automáticamente cuando los dispositivos en un segmento de red específico de una red interna
accedan a Internet.
[USG6600] quit

----Fin

#
sysname Switch
#
#
dhcp enable
#
interface Vlanif2
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif3
ip address 192.168.2.1 255.255.255.0
#
interface Vlanif100
ip address 192.168.100.2 255.255.255.0
#
#
port default vlan 2
#
port default vlan 3
#
ip route-static 0.0.0.0 0.0.0.0 192.168.100.1
#
return
l El archivo de configuraciones de USG
#
ip address 192.168.100.1 255.255.255.0
#
ip address 200.0.0.2 255.255.255.0
#
firewall zone trust
set priority 85
#
set priority 5
#
ip route-static 0.0.0.0 0.0.0.0 200.0.0.1
ip route-static 192.168.0.0 255.255.0.0 192.168.100.2
#
mode
pat
route
enable
section 0 200.0.0.2 200.0.0.2
#
security-
policy
rule name
policy1
source-zone

trust
destination-zone
untrust
255.255.0.0
action permit
#
nat-
policy
rule name
policy_nat1
source-zone
trust
destination-zone
untrust
255.255.0.0
#
return

switches y routers
2.3.1 Ejemplo para configurar un switch de Capa 2 a trabajar con

un router para acceso a Internet
Switch de Capa 2
Los switches de Capa 2 solo realizan el reenvío de la Capa 2 en lugar del reenvío de la Capa
3. Es decir, los switches de Capa 2 solo admiten switches de Capa 2 en lugar de funciones de
Capa 3, como el enrutamiento.
Los switches de Capa 2 normalmente se despliegan en la capa de acceso y no pueden
funcionar como gateways de los usuarios.
Las configuraciones de switch utilizadas en este ejemplo se aplican a todas las versiones de
todos los switches de la serie S.
Este ejemplo usa configuraciones de router de AR3600 V200R007C00SPCc00. Para otras
configuraciones de router, consulte la documentación correspondiente.
Requisitos de redes
usuarios accedan a Internet a través del switch de Capa 2 y router y que el router funcione
como el gateway de los usuarios.

Figura 2-19 Configuración de un switch de Capa 2 para trabajar con un router para acceso de
Internet
Internet
IP pública: 200.0.0.1/24
IP: 200.0.0.2/24
GE0/0/2
El router funciona
como el gateway de
las PC
GE0/0/1
GE0/0/1
Switch
GE0/0/2 GE0/0/3
VLAN 2 VLAN 3
PC1 PC2
IP: 192.168.1.2/24 IP: 192.168.2.2/24

1. Configure la asignación de VLAN basada en la interfaz en el switch para el reenvío de
Capa 2.
2. Configure el router como el gateway de los usuarios para implementar el reenvío de
Capa 3 a través de segmentos de red por subinterfaces o interfaces VLANIF.
3. Configure el router como el servidor DHCP para asignar direcciones IP a los usuarios.
4. Configure la función NAT en el router para admitir que los usuarios de la intranet tengan
acceso a Internet.
Procedimiento
# Configure las interfaces conectadas a los usuarios.
2.


# Configure la interfaz conectada al router.

[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 3 //Configure la
interfaz como una interfaz Trunk para transmitir paquetes de manera transparente
de la VLAN 2 y la VLAN 3.
Paso 2 Configure el router.

Hay dos métodos disponibles para configurar un router: uno es para configurar las
subinterfaces y el otro es para configurar las interfaces VLANIF.
l Configure el router para terminar las etiquetas de VLAN a través de subinterfaces para
implementar el reenvío de Capa 3 por segmentos de red.
# Configure las subinterfaces para la terminación de la etiqueta de VLAN.
[Huawei] sysname Router
[Router] vlan batch 2 3
[Router] interface gigabitethernet 0/0/1.1
[Router-GigabitEthernet0/0/1.1] dot1q termination vid 2
[Router-GigabitEthernet0/0/1.1] ip address 192.168.1.1 24
[Router-GigabitEthernet0/0/1.1] arp broadcast enable //Por defecto, la
difusión ARP en una subinterfaz de terminación de etiqueta VLAN está
deshabilitada en routers AR en una versión anterior a V200R003C01 y
habilitada en V200R003C01 y versiones posteriores.
[Router-GigabitEthernet0/0/1.1] quit
[Router-GigabitEthernet0/0/1.2] dot1q termination vid 3
[Router-GigabitEthernet0/0/1.2] ip address 192.168.2.1 24
[Router-GigabitEthernet0/0/1.2] arp broadcast enable
[Router] dhcp enable
[Router-GigabitEthernet0/0/1.1] dhcp select interface //DHCP usa un grupo
de direcciones de interfaz para asignar direcciones IP a usuarios de la
intranet.
[Router-GigabitEthernet0/0/1.1] dhcp server dns-list 114.114.114.114
223.5.5.5 //La lista DNS configurada 114.114.114.114 es una dirección
pública del servidor DNS, que es la misma para los operadores. En la
práctica, la dirección de la lista DNS debe configurarse según el DNS
asignado a un operador.
[Router-GigabitEthernet0/0/1.2] dhcp select interface
[Router-GigabitEthernet0/0/1.2] dhcp server dns-list 114.114.114.114
223.5.5.5
[Router] interface gigabitethernet 0/0/2
[Router-GigabitEthernet0/0/2] ip address 200.0.0.2 255.255.255.0 //
Configure una dirección IP 200.0.0.2 para GE0/0/2 conectado a la red pública.
[Router-GigabitEthernet0/0/2] quit
[Router] ip route-static 0.0.0.0 0.0.0.0 200.0.0.1 //Configure una ruta
pública 200.0.0.1.
# Configure la función NAT para admitir que los usuarios de la intranet tengan acceso a
Internet.

[Router] acl number 2001

[Router-acl-basic-2001] rule 5 permit source 192.168.0.0 0.0.255.255 //NAT
tiene efecto solo para las direcciones IP de origen en el segmento de red
192.168.0.0/16 y traduce solo las direcciones IP de origen de los paquetes
salientes en GE0/0/2.
[Router-acl-basic-2001] quit
[Router-GigabitEthernet0/0/2] nat outbound 2001
l Configure las interfaces VLANIF en el router para implementar el reenvío de Capa 3 a

través de segmentos de red.
# Configure las interfaces VLANIF.
[Router] vlan batch 2 3
[Router-GigabitEthernet0/0/1] portswitch //Cambie la interfaz Ethernet del
modo de Capa 3 al modo de Capa 2. Si ha funcionado en el modo de Capa 2,
omita este paso.
[Router-GigabitEthernet0/0/1] port link-type trunk
[Router-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 3
[Router] interface vlanif 2
[Router-vlanif2] ip address 192.168.1.1 24 //Configure la dirección IP de
[Router-vlanif2] quit
[Router-vlanif3] ip address 192.168.2.1 24 //Configure la dirección IP de
[Router-vlanif3] quit

[Router] dhcp enable
[Router-Vlanif2] dhcp select interface
[Router-Vlanif2] dhcp server dns-list 114.114.114.114 223.5.5.5 //La lista
DNS configurada 114.114.114.114 es una dirección pública del servidor DNS,
que es la misma para los operadores. En la práctica, la dirección de la lista
DNS debe configurarse según el DNS asignado a un operador.
[Router-Vlanif2] quit
[Router-Vlanif3] dhcp select interface
[Router-Vlanif3] dhcp server dns-list 114.114.114.114 223.5.5.5
[Router-Vlanif3] quit

[Router-GigabitEthernet0/0/2] ip address 200.0.0.2 255.255.255.0
pública 200.0.0.1.
Internet.
[Router-acl-basic-2001] rule 5 permit source 192.168.0.0 0.0.255.255 //NAT
sólo tiene efecto para las direcciones IP de origen en el segmento de red
192.168.0.0/16 y traduce sólo direcciones IP de origen de paquetes salientes
en GE0/0/2.


----Fin
#
sysname Switch
#
vlan batch 2 to 3
#
#
port default vlan 2
#
port default vlan 3
#
return
l Archivo de configuración de Router (utilizado cuando el router realizan el reenvío de

Capa 3 a través de subinterfaces)
#
sysname Router
#
vlan batch 2 to 3
#
dhcp enable
#
acl number 2001
rule 5 permit source 192.168.0.0 0.0.255.255
#
#
dot1q termination vid 2
ip address 192.168.1.1 255.255.255.0
arp broadcast enable
#
ip address 192.168.2.1 255.255.255.0
#
ip address 200.0.0.2 255.255.255.0

nat outbound 2001

#
ip route-static 0.0.0.0 0.0.0.0 200.0.0.1
#
return
l El archivo de configuración del Router (se usa cuando el router realiza el reenvío de
Capa 3 a través de las interfaces VLANIF)
#
sysname Router
#
vlan batch 2 to 3
#
dhcp enable
#
acl number 2001
#
interface Vlanif2
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif3
ip address 192.168.2.1 255.255.255.0
#
portswitch
#
ip address 200.0.0.2 255.255.255.0
nat outbound 2001
#
ip route-static 0.0.0.0 0.0.0.0 200.0.0.1
#
return
2.3.2 Ejemplo para configurar un switch de Capa 3 a trabajar con

un router para acceso a Internet
Switch de Capa 3
Los switches de Capa 3 proporcionan la función de enrutamiento, que indica una función de
capa de red en el modelo OSI.
Los switches de Capa 3 pueden funcionar en la Capa 2 y en la Capa 3 y desplegarse en la capa
de acceso o en la capa de agregación como gateways de usuario.
l Este ejemplo usa configuraciones de router de AR3600 V200R007C00SPCc00. Para
otras configuraciones de router, vea la documentación correspondiente.
l Las configuraciones del servidor de switch DHCP utilizadas en este ejemplo se aplican a
los siguientes switches y versiones.


del
producto
S2300 S2320EI V200R011C10, V200R012C00

V200R008C00, V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S3300 S3300SI, V100R006C05

S3300EI
S3300HI V200R001C00

V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5300SI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C02)
S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5300HI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00, V200R005(C00&C02)
S5320LI V200R010C00, V200R011C10, V200R012C00
S5320SI V200R008(C00&C10), V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S6320SI V200R011C10, V200R012C00
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320HI V200R012C00
S9300 S9303, V200R001C00, V200R002C00, V200R003C00,

S9306, V200R005C00SPC300, V200R006C00, V200R007C00,
S9312 V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00


del
producto
S9300 S9310 V200R010C00, V200R011C10, V200R012C00
S9300X S9310X V200R010C00, V200R011C10, V200R012C00
S9300E S9303E, V200R001C00, V200R002C00, V200R003C00,

S9306E, V200R005C00SPC300, V200R006C00, V200R007C00,
S9312E V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
Requisitos de redes
usuarios accedan a Internet a través del switch y router de Capa 3 y que el switch de Capa 3
funcione como el gateway de los usuarios.
Figura 2-20 Configuración de un switch de Capa 3 a trabajar con un router para acceso de
Internet
Internet
IP pública: 200.0.0.1/24
IP: 200.0.0.2/24
GE0/0/2
Router
GE0/0/1
IP: 192.168.100.1/24 VLANIF 100
GE0/0/1 IP: 192.168.100.2/24
El switch funciona como

el gateway de las PC
GE0/0/2 GE0/0/3
VLAN 2 VLAN 3
IP: 192.168.1.1/24 IP: 192.168.2.1/24
PC1 PC2
IP: 192.168.1.2/24 IP: 192.168.2.2/24


1. Configure el switch como el gateway de los usuarios para admitir que los usuarios se
comuniquen por segmentos de red a través de las interfaces VLANIF.
2. Configure el switch como el servidor DHCP para asignar direcciones IP a los usuarios.
3. Configure la función NAT en el router para admitir que los usuarios de la intranet tengan
acceso a Internet.
Procedimiento
Paso 1 Configure el Switch.
# Configure las interfaces conectadas a los usuarios y las interfaces VLANIF

correspondientes.
2.
# Configure la interfaz conectada al router y la interfaz VLANIF correspondiente.

# Configure la ruta predeterminada.

[Switch] ip route-static 0.0.0.0 0.0.0.0 192.168.100.1 //El siguiente salto de
la ruta predeterminada es la dirección IP 192.168.100.1 de la interfaz del router.
# Configure el Servidor DHCP.

[Switch-Vlanif2] dhcp select interface //DHCP usa un grupo de direcciones de
interfaz para asignar direcciones IP a usuarios de la intranet.
[Switch-Vlanif2] dhcp server dns-list 114.114.114.114 223.5.5.5 //La lista DNS
configurada 114.114.114.114 es una dirección pública del servidor DNS, que es la
misma para los operadores. En la práctica, la dirección de la lista DNS debe
configurarse según el DNS asignado a un operador.
[Switch-Vlanif3] dhcp select interface
[Switch-Vlanif3] dhcp server dns-list 114.114.114.114 223.5.5.5

Paso 2 Configure el Router.

# Configure una dirección IP para la interfaz conectada al switch.
[Router-GigabitEthernet0/0/1] ip address 192.168.100.1 255.255.255.0 //
Configure la dirección IP 192.168.100.1 como la dirección IP del siguiente salto
de la ruta predeterminada del switch.
# Configure una dirección IP para la interfaz conectada a Internet.

[Router-GigabitEthernet0/0/2] ip address 200.0.0.2 255.255.255.0 //La dirección
IP de la interfaz conectada a Internet está en el mismo segmento de red que la
dirección IP pública.
# Configure una ruta predeterminada y una ruta de retorno.

pública 200.0.0.1.
[Router] ip route-static 192.168.0.0 255.255.0.0 192.168.100.2 //Configure un
enrutamiento de retorno con el siguiente salto apuntando a la dirección IP
192.168.100.2 de la interfaz de enlace ascendente del switch.
Internet.
[Router-acl-basic-2001] rule 5 permit source 192.168.0.0 0.0.255.255 //NAT sólo
tiene efecto para las direcciones IP de origen en el segmento de red
192.168.0.0/16 y traduce sólo direcciones IP de origen de paquetes salientes en
GE0/0/2.

----Fin
#
sysname Switch
#
#
dhcp enable
#

interface Vlanif2
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif3
ip address 192.168.2.1 255.255.255.0
#
interface Vlanif100
ip address 192.168.100.2 255.255.255.0
#
#
port default vlan 2
#
port default vlan 3
#
ip route-static 0.0.0.0 0.0.0.0 192.168.100.1
#
return
l Archivo de configuración del Router

#
sysname Router
#
acl number 2001
#
ip address 192.168.100.1 255.255.255.0
#
ip address 200.0.0.2 255.255.255.0
nat outbound 2001
#
ip route-static 0.0.0.0 0.0.0.0 200.0.0.1
ip route-static 192.168.0.0 255.255.0.0 192.168.100.2
#
return

switches y servidores
2.4.1 Configuración típica para la interconexión entre switches y
servidores NLB
2.4.1.1 Ejemplo para conectar un dispositivo a un Clúster NLB (utilizando ARP

de interfaz múltiple)
NLB está desarrollado por Microsoft para un clúster configurado por múltiples servidores de
Windows. Cuando un switch está conectado a un clúster NLB, el switch debe enviar los

paquetes destinados a la dirección IP del clúster a cada servidor NLB del clúster. Un servidor
NLB puede funcionar en modo de unidifusión, multidifusión o IGMP multidifusión.
Actualmente, se puede conectar un switch al servidor NLB que funciona en modo de

unidifusión o multidifusión. Después de configurar el ARP de múltiples interfaces en el
switch, el switch se puede conectar a los servidores NLB.
En un modelo de dispositivo o en una versión que no admite ARP de múltiples interfaces, los
siguientes métodos están disponibles para implementar la conexión:
l Agregue un switch de Capa 2 entre el switch y los servidores NLB. (Cuando los
servidores NLB funcionan en modo de multidifusión, habilite el aprendizaje dinámico de
entradas ARP con direcciones MAC de multidifusión o configure entradas ARP estáticas
en el switch.) Este método se puede usar cuando hay suficientes recursos de dispositivo.
l Use bucle de retorno de enlace físico. Este método resulta una configuración compleja.
l La VLAN a la que se agrega una interfaz no puede ser una MAC VLAN, una súper
VLAN, una línea arrendada VLAN, MUX VLAN en las tarjetas LE1D2S04SEC0,
LE1D2X32SEC0 y LE1D2H02QEC0 y las tarjetas de la serie X y VLAN de control de
Protección de Ethernet inteligente (SEP) y Protocolo de protección de anillo rápido
(RRPP).
l Las tarjetas de la serie SA (excepto la placa LE0DX12XSA00) no admiten ARP
múltiples interfaces.
l En el S5320SI, S5330SI y S6320SI, cuando las interfaces de salida son interfaces Eth-
Trunk, debe ejecutar el comando load-balance para configurar el balanceo de carga en
función de las direcciones IP. De lo contrario, la configuración no se ponen en vigor.
l En los switches excepto el S5320SI, S5330SI y S6320SI, cuando las interfaces de salida
son interfaces Eth-Trunk, debe ejecutar el comando unknown-unicast load-balance
enhanced para configurar el modo del balanceo de carga a tráfico de unidifusión
desconocido en las interfaces. De lo contrario, la configuración no se ponen en vigor.
l Tabla 2-8 enumera productos y versiones aplicables.
Tabla 2-8 Modelos y versiones de los productos aplicables

Producto
S5300 S5300HI V200R003C00, V200R005 (C00

y C01)
S5310EI V200R003C00, V200R005 (C00

y C01)
S5320SI V200R011C10, V200R012C00
S5320EI V200R007C00, V200R008C00,

V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00,

V200R011C10, V200R012C00


Producto
S5330SI V200R011C10, V200R012C00
S6300 S6300EI V200R003C00, V200R005 (C00

y C01)
S6320SI V200R011C10, V200R012C00
S6320EI V200R008C00, V200R009C00,

V200R010C00, V200R011C10,
V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306 y S9312 V200R003C00,

V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008 (C00 y C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10,

V200R012C00
S9300X S9310X V200R010C00, V200R011C10,

V200R012C00
S9300E S9303E, S9306E y V200R003C00,

S9312E V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008 (C00 y C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Para obtener más información sobre los mapeos de software, consulte Version Mapping Search
for Huawei Campus Switches.
l En un escenario de VPN, los switches que admiten VPN y ejecutan V200R010C00 y las
versiones posteriores se pueden conectar a un clúster NLB. Un cliente y el servidor al
que accede el cliente deben estar en la misma VPN.
Requisitos de red
Como se muestra en Figura 2-21, el Switch se conecta a tres servidores NLB respectivamente
a través de GE1/0/1, GE1/0/2 y GE1/0/3 en VLAN 10. El clúster NLB funciona en modo de
multidifusión. Cada servidor en el clúster NLB tiene una dirección IP y una dirección MAC.
Todos los servidores del clúster comparten la dirección IP del clúster (10.128.246.252/24) y la
dirección MAC del clúster (03bf-0a80-f6fc). Hay enrutamientos accesibles entre el Switch y
el Cliente.
El cliente requiere que el Switch pueda enviar el paquete del Cliente destinado a la dirección
IP del clúster a cada servidor en el clúster NLB.

Figura 2-21 Diagrama de red para configurar ARP de múltiples interfaces
Cliente
Internet Switch
VLANIF 10
10.128.246.251/24
GE1/0/1 GE1/0/3
GE1/0/2
Server_1 Server_2 Server_3
Clúster NLB
Dirección IP del clúster: 10.128.246.252/24
Dirección MAC del clúster: 03bf-0a80-f6fc

1. Configure las direcciones IP para las interfaces y agregue las interfaces a las VLAN.
2. Configure una entrada de dirección MAC mapeando múltiples interfaces de salida y
configure una entrada ARP estática para que el Switch pueda enviar los paquetes
destinados a la dirección IP del clúster a los tres servidores en el clúster NLB.
Procedimiento
Paso 1 Cree VLAN y agregue interfaces a las VLAN.
# Cree una VLAN en el Switch y agregue las interfaces a la VLAN.

[Switch] vlan 10
[Switch-vlan10] port gigabitethernet 1/0/1 to 1/0/3
[Switch-vlan10] quit
Paso 2 # Cree una interfaz VLANIF en el Switch y asigne una dirección IP a la interfaz VLANIF.


Paso 3 Configure una entrada de dirección MAC mapeando múltiples interfaces de salida en el
Switch.
[Switch] mac-address multiport 03bf-0a80-f6fc interface gigabitethernet 1/0/1 to
gigabitethernet 1/0/3 vlan 10 //Configure una entrada de dirección MAC mapeando
múltiples interfaces de salida
Paso 4 Configure entradas ARP estáticas en el Switch.

[Switch] arp static 10.128.246.252 03bf-0a80-f6fc //Las entradas ARP estáticas
cortas se deben configurar aquí.
[Switch] quit

# Ejecute el comando display mac-address multiport vlan 10 en el Switch para comprobar
la entrada de la dirección MAC configurada mapeando múltiples interfaces de salida.
<Switch> display mac-address multiport vlan 10
--------------------------------------------------------------------------------
MAC Address VLANID Out-Interface Status
--------------------------------------------------------------------------------
03bf-0a80-f6fc 10 GigabitEthernet1/0/1
Active
GigabitEthernet1/0/2
Active
Active
3 port(s)
--------------------------------------------------------------------------------
Total Group(s) : 1
# Ejecute el comando display arp static en el Switch para comprobar entradas ARP estáticas.
<Switch> display arp static
IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE
VLAN/CEVLAN
------------------------------------------------------------------------------
10.128.246.252 03bf-0a80-f6fc S-- Multi-port:3
------------------------------------------------------------------------------
Total:1 Dynamic:0 Static:1 Interface:0
----Fin
#
sysname Switch
#
vlan batch 10
#
interface Vlanif10
ip address 10.128.246.251 255.255.255.0
#
mac-address multiport 03bf-0a80-f6fc vlan 10
#

#
#
arp static 10.128.246.252 03bf-0a80-f6fc
#
return
2.4.1.2 Ejemplo de conexión de un dispositivo único a un clúster NLB (usando

bucle de retorno de enlace físico)
unidifusión o multidifusión. Si el switch admite ARP de múltiples interfaces, se recomienda
esta función para implementar la conexión entre el switch y el clúster NLB. Cuando el switch
o la versión no admite ARP de múltiples interfaces y no hay recursos suficientes en el
dispositivo, puede usar el bucle de retorno del enlace físico para conectar el switch al clúster
NLB.
l Cuando el clúster NLB funciona en modo de unidifusión, las entradas ARP estáticas no
necesitan configurarse en el switch; cuando el clúster funciona en modo de
multidifusión, las entradas ARP estáticas deben configurarse en el switch.
NOTA
Requisitos de red
Como se muestra en Figura 2-22, el Switch se conecta a tres servidores NLB a través de
GE0/0/1, GE0/0/2, y GE0/0/3. El clúster NLB funciona en modo de unidifusión, la dirección
IP del clúster es 10.128.246.252/24 y la dirección MAC del clúster es 02bf-0a80-f6fc. Hay
enrutamientos accesibles entre el Switch y el Cliente.
El cliente requiere que el Switch pueda enviar los paquetes del Cliente destinados a la
dirección IP del clúster NLB a todos los servidores NLB.

Figura 2-22 Conexión de un dispositivo único a un clúster NLB en modo de unidifusión
Cliente
Internet
Router
VLANIF200
10.128.246.250/24
GE0/0/5 VLAN 200
Switch
GE0/0/1~GE0/0/3 GE0/0/4 VLAN 100
VLAN 100
Server_1 Server_2 Server_3
Clúster NLB

1. Agregue GE0/0/1 a través de GE0/0/3 que están conectados directamente a los
servidores NLB a la VLAN 100.
2. Inhabilite STP, RSTP, VBST o MSTP en GE0/0/4 y GE0/0/5, y agregue las interfaces a
la VLAN 100 y la VLAN 200 respectivamente en el modo de acceso.
3. Configure una dirección IP para VLANIF 200 que funcione como el gateway del clúster
NLB.
4. Conecte GE0/0/4 y GE0/0/5.
Procedimiento
Paso 1 Agregue GE0/0/1 a través de GE0/0/3 que están conectados directamente a los servidores
NLB a la VLAN 100.


[Switch] vlan 100
[Switch-vlan100] port gigabitethernet 0/0/1 to 0/0/3
Paso 2 Configure GE0/0/4 y GE0/0/5.

# Inhabilitar STP, RSTP, VBST o MSTP en GE0/0/4 y GE0/0/5.
[Switch-GigabitEthernet0/0/4] undo stp enable //Deshablite STP, RSTP, VBST, o
MSTP
[Switch-GigabitEthernet0/0/5] undo stp enable //Deshablite STP, RSTP, VBST, o
MSTP
# Agregue GE0/0/4 y GE0/0/5 a VLAN 100 y VLAN 200 respectivamente en modo de

acceso.
Paso 3 Configure una dirección IP para el gateway del clúster NLB.

Paso 4 Conecte GE0/0/4 y GE0/0/5.

Después de las configuraciones anteriores, conecte los enlaces físicos.
Verifique que Server_1 a través de Server_3 pueda recibir los paquetes destinados al clúster
NLB.
----Fin
#
sysname Switch
#
vlan batch 100 200
#
interface Vlanif200
ip address 10.128.246.250 255.255.255.0
#
#
#

#
stp disable
#
stp disable
#
return
2.4.1.3 Ejemplo para conectar un grupo VRRP a un clúster NLB (usando bucle de
retorno de enlace físico)

o la versión no admite ARP de múltiples interfaces y no hay recursos suficientes en el
dispositivo, puede usar el bucle de retorno del enlace físico para conectar el switch al clúster
NLB.

Producto
S2300 S2320EI V200R011C10, V200R012C00
S3300 S3300EI V100R006C05
S3300HI V200R001C00
S5300 S5300EI V200R001C00, V200R002C00,

V200R003C00,
V200R005(C00&C01&C02)


Producto
S5300HI V200R001(C00&C01),
V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320LI V200R010C00, V200R011C10,

V200R012C00
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320EI V200R007C00, V200R008C00,

V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01),

V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S6320SI V200R011C10, V200R012C00
S6320EI V200R008C00, V200R009C00,

V200R010C00, V200R011C10,
V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306 y S9312 V200R001C00, V200R002C00,

V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10,

V200R012C00
S9300X S9310X V200R010C00, V200R011C10,

V200R012C00


Producto
S9300E S9303E, S9306E y V200R001C00, V200R002C00,

S9312E V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Requisitos de red
Como se muestra en Figura 2-23, Switch_1 y Switch_2 se conectan entre sí usando GE0/0/2
y forman un grupo VRRP a través el enlace de latido. Switch_1 es el principal y Switch_2 es
la copia de seguridad. Las interfaces GE0/0/1 en Switch_1 y Switch_2 están conectadas
directamente a dos servidores NLB, respectivamente. El clúster NLB funciona en modo de
unidifusión, la dirección IP del clúster es 10.128.246.252/24 y la dirección MAC del clúster
es 03bf-0a80-f6fc. Hay enrutamientos accesibles entre el Switch y el Cliente.
El cliente requiere que el grupo VRRP pueda enviar los paquetes del Cliente destinados a la
dirección IP del clúster NLB a todos los servidores NLB.
Figura 2-23 Conexión de un grupo VRRP a un clúster NLB en modo de multidifusión
Cliente
Internet
Router
Switch_1 Switch_2
GE0/0/5 VLAN 200 GE0/0/2 GE0/0/2 GE0/0/5 VLAN 200
VLAN 100 VLAN 100
GE0/0/4 VLAN 100 GE0/0/1 GE0/0/4 VLAN 100

GE0/0/1
VLAN 100 VLAN 100
Server_1 Server_2
Clúster NLB

Plan de datos
Antes de la configuración, necesita los siguientes datos.

Dirección IP l La VLANIF 200 de -
Switch_1:
10.128.246.10/24
l La VLANIF 200 de
Switch_2:
10.128.246.11/24
l Dirección IP virtual:
10.128.246.250

1. Agregue GE0/0/1 a la VLAN 100.
2. Agregue GE0/0/2 a la VLAN 100.
3. Inhabilite STP, RSTP, VBST o MSTP en GE0/0/4 y GE0/0/5, y agregue las interfaces a
la VLAN 100 y la VLAN 200 respectivamente en el modo de acceso.
4. Configure una dirección IP virtual VRRP para VLANIF 200 que funcione como el
gateway del clúster NLB.
5. Configure una entrada ARP estática. En la entrada ARP estática, la dirección IP es la
dirección IP del clúster, la dirección MAC es la dirección MAC de multidifusión del
clúster y la interfaz de salida es la interfaz donde está configurada la VLAN a la que
pertenece el gateway del clúster NLB.
6. Conecte GE0/0/4 y GE0/0/5.
Procedimiento
Paso 1 # Configure GE0/0/1.
# Agregue GE0/0/1 en Switch_1 a VLAN 100.
[Quidway] sysname Switch_1
[Switch_1] vlan batch 100 200
[Switch_1] interface gigabitethernet 0/0/1
[Switch_1-GigabitEthernet0/0/1] port link-type access
[Switch_1-GigabitEthernet0/0/1] port default vlan 100
[Switch_1-GigabitEthernet0/0/1] quit


Paso 2 Agregue GE0/0/2 a la VLAN 100.

[Switch_1-GigabitEthernet0/0/2] port link-type trunk
[Switch_1-GigabitEthernet0/0/2] port trunk allow-pass vlan 100

NOTA
Las interfaces de latido y el gateway no pueden pertenecer a la misma VLAN para evitar un bucle de
tráfico dentro del grupo VRRP. Por ejemplo, GE 0/0/2 en este ejemplo no se puede agregar a la VLAN
200.
Paso 3 Configure GE0/0/4 y GE0/0/5.

# Inhabilitar STP, RSTP, VBST o MSTP de GE0/0/4 y GE0/0/5 en Switch_1.
[Switch_1-GigabitEthernet0/0/4] undo stp enable //Deshablite STP, RSTP, VBST, o
MSTP
MSTP
# Agregue GE0/0/4 y GE0/0/5 en Switch_1 a VLAN 100 y VLAN 200 respectivamente en

modo de acceso.
# Inhabilitar STP, RSTP, VBST o MSTP de GE0/0/4 y GE0/0/5 en Switch_2.

MSTP
MSTP
# Agregue GE0/0/4 y GE0/0/5 en Switch_2 a VLAN 100 y VLAN 200 respectivamente en

modo de acceso.


# Cree el grupo 1 de VRRP en Switch_1 y establezca la prioridad de VRRP en 120.
[Switch_1] interface vlanif 200
[Switch_1-Vlanif200] ip address 10.128.246.10 24
[Switch_1-Vlanif200] vrrp vrid 1 virtual-ip 10.128.246.250 //Cree grupo 1 de VRRP
[Switch_1-Vlanif200] vrrp vrid 1 priority 120 //Establezca la prioridad de VRRP
a 120
[Switch_1-Vlanif200] quit
# Cree el grupo 1 de VRRP en Switch_2 y use la prioridad 100 predeterminada de VRRP.

[Switch_2-Vlanif200] vrrp vrid 1 virtual-ip 10.128.246.250 //Cree grupo 1 de VRRP
NOTA
l Configure una dirección IP virtual de VRRP 10.128.246.250 para VLANIF 200 que funcione como
el gateway del clúster NLB.
l Para reducir la carga de trabajo de red, se recomienda separar el gateway del clúster NLB de otros
gateways.
En esta red, el tráfico de un switch al clúster NLB pasa a lo largo del enlace de latido al switch del
otro extremo y luego pasa a lo largo de la línea de autobucle en el switch del otro extremo. En este
caso, si otros servidores usan el mismo gateway que los servidores NLB, otros servidores recibirán
tráfico destinado al clúster NLB, lo que provocará un aumento de la carga de trabajo de la red. Por
ejemplo, los paquetes destinados al clúster NLB desde Switch_1 pasan a lo largo del enlace de latido
a Switch_2. En Switch_2, los paquetes se envían desde GE0/0/4 a 0/0/5. Si VLANIF 200 en
Switch_2 también es el gateway de servidores que no son NLB, los paquetes se envían a servidores
que no son NLB a través de GE0/0/5.
Paso 5 Configure las entradas ARP estáticas.

# En Switch_1, configure una entrada ARP estática. En la entrada ARP, la dirección IP es
10.128.246.252, la dirección MAC es 03bf-0a80-f6fc, la interfaz de salida es GE 0/0/5 donde
se encuentra la VLAN 200.
[Switch_1] arp static 10.128.246.252 03bf-0a80-f6fc vid 200 interface
gigabitethernet 0/0/5
# En Switch_2, configure una entrada ARP estática. En la entrada ARP, la dirección IP es

10.128.246.252, la dirección MAC es 03bf-0a80-f6fc, la interfaz de salida es GE 0/0/5 donde
se encuentra la VLAN 200.
[Switch_2] arp static 10.128.246.252 03bf-0a80-f6fc vid 200 interface
Paso 6 Conecte GE0/0/4 y GE0/0/5.

Después de las configuraciones anteriores, conecte los enlaces físicos en Switch_1 y Switch_2
respectivamente.
Verifique que Server_1 y Server_2 puedan recibir los paquetes destinados al clúster NLB.
----Fin
l Archivo de configuración de Switch_1
#
sysname Switch_1

#
vlan batch 100 200
#
interface Vlanif200
ip address 10.128.246.10 255.255.255.0
vrrp vrid 1 virtual-ip 10.128.246.250
vrrp vrid 1 priority 120
#
interface
port link-type
access
#
interface
port link-type
trunk
port trunk allow-pass vlan
100
#
port link-type
access
port default vlan
100
stp
disable
#
port link-type
access
port default vlan
200
stp
disable
#
arp static 10.128.246.252 03bf-0a80-f6fc vid 200 interface
#
return
#
sysname Switch_2
#
vlan batch 100 200
#
interface Vlanif200
ip address 10.128.246.11 255.255.255.0
#
interface
port link-type
access
#
interface
port link-type
trunk
100
#

port link-type
access
port default vlan
100
stp
disable
#
port link-type
access
port default vlan
200
stp
disable
#
arp static 10.128.246.252 03bf-0a80-f6fc vid 200 interface
#
return
2.4.1.4 Ejemplo para conectar una pila a un clúster NLB (usando bucle de retorno
de enlace físico)

o la versión no admite ARP múltiples interfaces y no hay suficientes recursos del dispositivo,
puede usar el bucle de entorno de enlace físico para conectar el switch al clúster NLB.
l Un gateway virtual de VRRP no se puede configurar en un switch en una pila para los
Clientes.
l Tabla 2-10 enumera los productos y las versiones aplicables.
Producto Modelo del Producto Versión del software
S2300 S2300EI V100R006C05
S2320EI V200R011C10,
V200R012C00

S2350EI V200R003C00,
V200R005C00SPC300,
V200R006C00,
V200R007C00,
V200R008C00,
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S3300 S3300SI V100R006C05
S3300EI V100R006C05
S5300 S5300LI V200R001C00,

V200R002C00,
V200R003(C00&C02),
V200R005C00SPC300,
V200R006C00,
V200R007C00,
V200R008(C00&C10),
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S5300SI V200R001C00,
V200R002C00,
V200R003C00,
V200R005(C00&C02)
S5300EI V200R001C00,
V200R002C00,
V200R003C00,
V200R005(C00&C01&C0
2)
S5300HI V200R001(C00&C01),
V200R002C00,
V200R003C00,
V200R005(C00&C01&C0
2)
S5310EI V200R002C00,
V200R003C00,
V200R005(C00&C02)
S5320LI V200R010C00,
V200R011C10,
V200R012C00

S5320SI V200R008(C00&C10),
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S5320EI V200R007C00,
V200R008C00,
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S5320HI V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S5330SI V200R011C10,
V200R012C00
S6300 S6300EI V200R001(C00&C01),

V200R002C00,
V200R003C00,
V200R005(C00&C01&C0
2)
S6320SI V200R011C10,
V200R012C00
S6320EI V200R008C00,
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S6320HI V200R012C00
NOTA
Para obtener más información acerca de las asignaciones de software, consulte Version Mapping
Search for Huawei Campus Switches.
Requisitos de red
Como se muestra en Figura 2-24, Switch_1 y Switch_2 forman una pila y se conectan
directamente a dos servidores NLB respectivamente a través de GE0/0/1 y GE1/0/1. El clúster
NLB funciona en modo de multidifusión, la dirección IP del clúster es 10.128.246.252/24 y la
dirección MAC del clúster es 03bf-0a80-f6fc. Hay enrutamientos accesibles entre el Switch y
el Cliente.
El cliente requiere que la pila pueda enviar los paquetes del Cliente destinados a la dirección
IP del clúster NLB a todos los servidores NLB.

Figura 2-24 Conectar una pila a un clúster NLB en modo de multidifusión
Cliente
Internet
Router
Switch_1 Switch_2
GE0/0/5 Eth-Trunk5 Pila GE1/0/5 Eth-Trunk5
VLAN 200 VLAN 200
GE0/0/4 Eth-Trunk4 GE1/0/4 Eth-Trunk4

VLAN 100 VLAN 100
GE0/0/1 GE1/0/1
VLAN 100 VLAN 100
Server_1 Server_2
Clúster NLB
Plan de datos
Antes de la configuración, necesita los siguientes datos.
Ítem Datos Descripción

Dirección IP VLANIF200: -
10.128.246.250/24

1. Agregue GE0/0/1 y GE1/0/1 que están conectados directamente con los servidores NLB
a la VLAN 100.
2. Agregue GE0/0/4 y GE1/0/4 a Eth-Trunk 4, GE0/0/5 y GE1/0/5 a Eth-Trunk 5.
3. Deshabilite STP, RSTP, VBST o MSTP en Eth-Trunk 4 y Eth-Trunk 5, y agregue Eth-
Trunk 4 y Eth-Trunk 5 a VLAN 100 y VLAN 200 respectivamente en modo de acceso.
4. Configure una dirección IP para VLANIF 200 que funcione como el gateway del clúster
NLB.
5. Configure una entrada ARP estática. En la entrada ARP estática, la dirección IP es la
dirección IP del clúster, la dirección MAC es la dirección MAC de multidifusión del
clúster y la interfaz de salida es la interfaz donde está configurada la VLAN a la que
pertenece el gateway del clúster NLB.

6. Conecte GE0/0/4 y GE0/0/5 así como GE1/0/4 y GE1/0/5.
Procedimiento
Paso 1 Agregue las interfaces conectadas directamente a los servidores NLB a la VLAN 100.
# Agregue GE0/0/1 a la VLAN 100.

[Quidway] sysname Stack
[Stack] vlan batch 100 200
[Stack] interface gigabitethernet 0/0/1
[Stack-GigabitEthernet0/0/1] port link-type access
[Stack-GigabitEthernet0/0/1] port default vlan 100
[Stack-GigabitEthernet0/0/1] quit
# Agregue GE1/0/1 a la VLAN 100.

[Stack-GigabitEthernet1/0/1] port link-type access
[Stack-GigabitEthernet1/0/1] port default vlan 100
Paso 2 Agregue las interfaces a Eth-Trunks.
# Agregue GE0/0/4 y GE1/0/4 a Eth-Trunk 4.

[Stack] interface eth-trunk 4
[Stack-Eth-Trunk4] quit
[Stack-GigabitEthernet0/0/4] eth-trunk 4
# Agregue GE0/0/5 y GE1/0/5 a Eth-Trunk 5.

Paso 3 Configure Eth-Trunk 4 y Eth-Trunk 5.
# Deshabilite STP, RSTP, VBST o MSTP en Eth-Trunk 4 y Eth-Trunk 5.

[Stack-Eth-Trunk4] undo stp enable //Deshabilite STP, RSTP, VBST o MSTP
[Stack-Eth-Trunk5] undo stp enable //Deshabilite STP, RSTP, VBST o MSTP
# Agregue Eth-Trunk 4 y Eth-Trunk 5 a VLAN 100 y VLAN 200 respectivamente en modo

de acceso.
[Stack-Eth-Trunk4] port link-type access
[Stack-Eth-Trunk4] port default vlan 100
[Stack-Eth-Trunk5] port link-type access

[Stack-Eth-Trunk5] port default vlan 200


[Stack] interface vlanif 200
[Stack-Vlanif200] ip address 10.128.246.250 24
[Stack-Vlanif200] quit
Paso 5 Configure una entrada ARP estática. En la entrada ARP estática, la dirección IP es la
dirección IP del clúster 10.128.246.252, la dirección MAC es la dirección MAC de
multidifusión del clúster 03bf-0a80-f6fc, y la interfaz de salida es Eth-Trunk 5 en la VLAN
200.
[Stack] arp static 10.128.246.252 03bf-0a80-f6fc vid 200 interface eth-trunk
5 //Configure una entrada ARP estática
Paso 6 Conecte GE0/0/4 y GE0/0/5 en Switch_1, y GE1/0/4 y GE1/0/5 en Switch_2.

Después de las configuraciones anteriores, conecte los enlaces físicos.
Verifique que Server_1 y Server_2 puedan recibir los paquetes destinados a la dirección IP del
clúster NLB.
----Fin
Archivo de configuración de pila
#
sysname Stack
#
vlan batch 100 200
#
interface Vlanif200
ip address 10.128.246.250 255.255.255.0
#
stp disable
#
stp disable
#
#
eth-trunk 4
#
eth-trunk 5
#
#
eth-trunk 4
#

eth-trunk 5
#
arp static 10.128.246.252 03bf-0a80-f6fc vid 200 interface Eth-Trunk5
#
return
2.5 Interconexión entre un switch de PoE y los PD

2.5.1 Principios
Los switches PoE de Huawei se ajustan a IEEE 802.3af e IEEE 802.3at, usan fuentes de
alimentación uniformes y pueden proporcionar energía a todos los dispositivos con
alimentación estándar (PD) por defecto. Para habilitar los switches PoE de Huawei a fin de
proporcionar energía a algunos PDs no estándar, debe realizar algunas configuraciones en los
switches, Tabla 2-11 describe las causas comunes de las fallas para proporcionar energía a los
PD no estándar.
Tabla 2-11 Causas comunes de fallas para proporcionar energía a los PDs no estándar
Causa Configuración que se realizará en un switch PoE
La capacitancia de la firma Ejecute el comando poe legacy enable en las interfaces

de detección de PD es mayor que conectan el switch a los PD para habilitar la
que 0,15 uF. verificación de compatibilidad de PD.
La corriente de los PD no Ejecute el comando poe power-on delay delay-time en las

puede exceder 10 mA durante interfaces que conectan el switch a los PD para configurar
más de 75 ms en cada 325 ms el retardo de encendido. Por defecto, el retardo de
después de encender los PD. encendido de las interfaces es 0. Es decir, el encendido no
se retrasa.
La corriente para una clase de Ejecute el comando poe force-power en las interfaces que
PD específica es mayor que conectan el switch a los PD para proporcionar energía a los
51 mA. PD de forma forzada.
2.5.2 Fuente de alimentación para diferentes tipos de los PD

conectados a switches PoE
Los PD descritos en Tabla 2-12 se han probado y se actualizarán en base a los resultados de la
prueba.

Tabla 2-12 Fuente de alimentación para diferentes tipos de los PD conectados a switches PoE
(esta tabla se aplica a los switches que ejecutan V200R009 o posterior)
Tipo Modelo de PD Si Si Causa y
de los los solución de
PD PD PD fallas de la
son pued fuente de
PD en alimentació
está ser n
ndar alim
enta
dos
teléfo Cisco CP-7962G, Cisco CP-7965G, Cisco PD Sí Ninguna

no IP CP-7975G, Cisco CP-7942G, Cisco CP-9951G, están
Cisco CP-7941G, Cisco CP-7941G-GE, Cisco dar
CP-3905, Cisco CP-7961G, Cisco CP-7961G-GE,
Cisco CP-7971G, Cisco CP-7911G, Cisco
CP-8961G, Cisco CP-7945G, Cisco CP-7821G,
Cisco CP-9971, Cisco CP-7906G, Cisco
CP-7937G, Cisco CP-8945, Cisco CP-6945,
Cisco CP-8841, Cisco CP-6941, Cisco CP-8831,
Cisco CP-8961, Cisco CP-8941, CiscoCP-7906,
Cisco 3905, Cisco CP-6961, Cisco CP-7811,
Cisco SPA502G, CiscoSPA504G, Cisco
SPA508G, Cisco SPA512G, Cisco SPA524G,
Cisco SPA525G, CiscoCP-7970, Cisco CP-7911,
Cisco6961, Cisco SPA509G, Cisco SPA942G,
Cisco SPA962G, Cisco CP-7861, Cisco
CP-7931G, Cisco CP-8811, Cisco CP-8851, Cisco
CP-8851, Avaya 1608-I, Avaya 9650, Avaya
9611G, Avaya 4621, Avaya 1616-I, Avaya9630G,
Avaya 1692, Avaya 9620, Avaya 9621, Avaya
9608, Avaya 1608, Avaya9641, Avaya 1230,
Avaya 1210, Avaya 9610, Avaya 1220,
Avaya9640G, Avaya 9670G, Avaya 4610sw,
Avaya E129, Avaya 1120E, Polycom330,
Polycom CX3000, Polycom vvx500, Polycom
550, Polycom CX700, PolycomCX600, Polycom
650sip, Polycom 601sip, Polycom 320, Polycom
450, Polycom301SIP, Snom 820, Snom 821,
Snom 300, Mitel 5340, Mitel 5212, Nortel1140E,
H3C 3120, GXP 1450, GXP 1630, GXP 2160,
Atcom A11, EsceneES290-PN, Escene WS290-
PN, Fanvil F52HP, Yealink SIP T23P, YealinkSIP
T22P, Yealink SIP T28P, HP 4120, Alcatel Lacent
4068, NORTEL1140E, Huawei eSpace 8950,
Huawei eSpace 7950


son pued fuente de
PD en alimentació
está ser n
ndar alim
enta
dos
teléfo Cisco CP-7960G, Cisco CP-7940G, Cisco PD No Causa: La

no IP CP-7912 no capacitancia
están de la firma
dar de detección
de PD es
mayor que
0,15 uF.
Solución:
Ejecute el
comando
poe legacy
enable en las
interfaces
que conectan
el switch a
los PD para
habilitar la
verificación
de
compatibilid
ad de PD.
teléfo Huawei eSpace 7910 PD Sí Ninguna

no IP no
están
dar


son pued fuente de
PD en alimentació
está ser n
ndar alim
enta
dos
AP Cisco AIR-CAP1602I-A-K9, Cisco AIR- PD Sí Ninguna

CAP3702I-H-K9, Cisco AIR-CAP2602I-A-K9, están
CiscoAIR-CAP1131AG-C-K9, Cisco AIR- dar
CAP3602I-A-K9, Cisco AIR-CAP1702I-C-K9,
Cisco AIR-AP1852I-H-K9, Cisco AIR-AP3802E-
H-K9, Aruba AP205, Merika MR34, Ruijie RG-
AP130, Huawei R230D, Huawei R240D,
HuaweiAP2030DN, Huawei WA603, Huawei
AP6050DN, Huawei AP7050DN-E,
HuaweiAP7050DE, Huawei AP4030DN, Huawei
BTS3911B, Huawei AP5030DN,
HuaweiAP9430DN-12, Huawei AP5130DN,
Huawei AP7050DN-E, Huawei AP7110DN,
Huawei AP8130DN, TP-link TL-AP300C-POE,
TP-Link TL-AP452C-POE, TP-Link TL-
AP1750C-POE, Ruckus ZoneFlex R710, Ruckus
ZoneFlexR610, Ruckus ZoneFlex R510
AP Aruba AP 325, Mikro Tik PD No No hay

no solución
están disponible.
dar
AP Netgear WG102-500 PD No Use switches

no PoE
están desarrollados
dar en versiones
posteriores a
V200R008.


son pued fuente de
PD en alimentació
está ser n
ndar alim
enta
dos
AP Aastra 6725, Ruijie RG-AP520 PD No Causa: La

no corriente de
están los PD no
dar puede
exceder 10
mA durante
más de 75
ms en cada
325 ms
después de
encender los
PD.
Solución:
Ejecute el
comando
poe power-
on delay
delay-time
en las
interfaces
que conectan
el switch a
los PD para
configurar el
retardo de
encendido.
Por defecto,
el retardo de
encendido de
las interfaces
es 0. Es
decir, el
encendido
no se retrasa.
Pico Huawei BTS3911B PD Sí Ninguna

están
dar


son pued fuente de
PD en alimentació
está ser n
ndar alim
enta
dos
Cáma Dahua DH-IPC-HFW4300D-V2-1200B, Dahua PD Sí Ninguna

ra IP DH-IPC-HF8239E, Dahua DH-SD-50D230T-HN, están
Dahua DH-SD59430U-HNI, Dahua DH-IPC- dar
HDP5121E, Dahua DH-IPC-HDBW3120R-AS,
Dahua DH-IPC-HFW4233M, Dahua DH-IPC-
EW5431-S, Dahua DH-IPC-EBW81230, Dahua
DH-SD-42D212S-HN, Dahua DH-SDZ2030U-N,
Huawei IPC6525-Z30, HuaweiIPC6625-Z30-P,
Huawei IPC6225-URZ-SP, Huawei IPC6224-
VRZ, Huawei IPC6324-MIR, Huawei IPC6125-
WDL-P
Cáma Dahua DH-SD6AE530U-HNI PD No Causa: La

ra IP no corriente
están para una
dar clase de PD
específica es
mayor que
51 mA.
Solución:
Ejecute el
comando
poe force-
power en las
interfaces
que conectan
el switch a
los PD para
proporcionar
energía a los
PD de forma
forzada.

Ejemplos típicos de configuración 3 Configuración básica típica
3 Configuración básica típica
3.1 Configuración típica de inicio de sesión

3.2 Configuración típica de gestión de archivos
3.1 Configuración típica de inicio de sesión
3.1.1 Ejemplo para configurar el inicio de sesión en el switch a

través de un puerto de consola
Después de que un ordenador esté conectado a un switch a través de un cable de consola
dedicado, puede realizar configuraciones de inicio de sesión y usar el ordenador para
administrar el switch.
Iniciar sesión a través de un puerto de consola es un modo de inicio de sesión básico y forma
la base de otros modos de inicio de sesión como Telnet y STelnet. Cuando inicia sesión en un
switch por primera vez o si no puede iniciar sesión remotamente en un switch, puede iniciar
sesión en el switch a través de un puerto de consola.
l Prepare un cable de consola. Si usa un ordenador portátil o un ordenador sin un puerto
serie, prepare un cable de USB a serie e instale el controlador almacenado en el CD-
ROM (entregado con el cable) según las instrucciones.
l Instale el software de emulación de terminal en el ordenador. Puede usar el
HyperTerminal integrado de Windows 2000 en el ordenador. Si no hay ningún software
de emulación de terminal integrado, prepare el software de emulación de terminal. Para
obtener detalles sobre cómo usar el software de emulación de terminal, consulte la guía
de uso o la ayuda en línea relacionados. Aquí se utiliza el software de terceros
SecureCRT como ejemplo.

l Este ejemplo se aplica a todas las versiones y modelos de switches de la serie S.

NOTA
A continuación, se utilizan las líneas de comando y las salidas del S9300 que ejecuta V200R006C00 como
ejemplo.
Requisitos de red
El departamento de mantenimiento de IT de una empresa adquiere los switches de la serie S,
configurados por los administradores de red. Un administrador de red generalmente inicia
sesión en un nuevo switch a través de un puerto de consola y luego realiza configuraciones
iniciales.
Como se muestra en Figura 3-1, el puerto serie de un ordenador es conectado al puerto de
consola del Switch por medio del cable de consola. El usuario desea iniciar sesión en el
Switch a través del puerto de la consola y requiere la autenticación local en el siguiente inicio
de sesión. Para facilitar el mantenimiento remoto en el Switch, el usuario desea configurar la
función de Telnet.
Figura 3-1 Diagrama de redes para configurar el inicio de sesión del switch a través de un
puerto de consola
Puerto serie Puerto de consola
Cable de consola
Ordenador Switch
10.1.1.1/24

1. Configure el software de emulación de terminal, configure el puerto conectado y los
parámetros de comunicación, e inicie sesión en el Switch.
2. Configure la información básica para el Switch, incluyendo la fecha, hora, zona horaria y
nombre, para facilitar la administración.
3. Configure un modo de autenticación para la interfaz de usuario de la consola para que el
usuario se autentique en el siguiente inicio de sesión a través del puerto de la consola.
4. Configure la dirección IP de administración y Telnet para facilitar el mantenimiento
remoto en el Switch.
Procedimiento
Paso 1 Conecte el conector femenino DB9 del cable de la consola al puerto serie (COM) del
ordenador, y conecte el conector RJ45 al puerto de la consola en el switch, como se muestra
en Figura 3-2.

Figura 3-2 Conexión al switch a través del puerto de la consola
NOTA
l Si usa un ordenador portátil o un ordenador sin puerto serie, prepare un cable USB a serie. Instale el
controlador almacenado en el CD-ROM (entregado con el cable) según las instrucciones, conecte el
conector femenino USB-DB9 del cable al puerto USB en el ordenador, y conecte el conector RJ-45
al puerto de la consola en el switch.
l Si el switch tiene dos MPU, puede iniciar sesión en el switch a través del puerto de consola en
cualquiera de las dos MPU.
Paso 2 Configure el software de emulación de terminal e inicie sesión en el Switch.

Inicie el software de emulación de terminal (SecureCRT se utiliza como ejemplo) en el
ordenador. Establezca una conexión, y configure el puerto conectado y los parámetros de
comunicación. Tabla 3-1 enumera la configuración de atributo predeterminada de un puerto
de consola.

Tabla 3-1 Configuración de atributos predeterminados de un puerto de consola

Parámetro Configuración predeterminada
Baud rate 9600 bit/s
Flow Control Ninguna
En V200R009 y las versiones anteriores, no

se realiza la autenticación de manera
predeterminada. En V200R010 y las
versiones posteriores, se usa la
Parity
autenticación AAA de forma
predeterminada, el nombre de usuario
predeterminado es admin y la contraseña
predeterminada es admin@huawei.com.
Stop bits 1
Data bits 8
1. Haga click en para establecer una conexión, como se muestra en Figura 3-3.
Figura 3-3 Establecimiento de una conexión
2. Configure el puerto conectado y los parámetros de comunicación, como se muestra en

Figura 3-4.
Seleccione el puerto conectado según las situaciones reales. Por ejemplo, puede ver la
información del puerto en el Device Manager en el sistema operativo Windows y
seleccionar el puerto conectado.
Los parámetros de comunicación del software de emulación de terminal deben ser
coherentes con los ajustes de atributo predeterminados del puerto de consola en el

Switch, que son 9600 bit/s de velocidad de transmisión, 8 bits de datos, 1 bit de parada,
sin verificación de paridad y sin control de flujo.
NOTA
Por defecto, no se configura ningún modo de control de flujo en el switch. Como RTS/CTS se
selecciona en el software de forma predeterminada, debe anular la selección de RTS/CTS; de lo
contrario, no puede introducir comandos.
Figura 3-4 Configuración del puerto conectado y los parámetros de comunicación
3. Haga clic en Connect. En V200R009 y las versiones anteriores, se mostrará la siguiente

información, que le pedirá que configure una contraseña de inicio de sesión. No hay una
contraseña predeterminada para el primer inicio de sesión. Necesita configurar una
contraseña de inicio de sesión. (La siguiente salida es solo para referencia.)
An initial password is required for the first login via the console.
Continue to set it? [Y/N]: y //Configure la contraseña del inicio de sesión.
Set a password and keep it safe. Otherwise you will not be able to login via
the console.
Please configure the login password

(8-16)
Enter Password:
Confirm Password:
<Quidway>
En V200R010 y las versiones posteriores, el sistema le solicita que introduzca el nombre

de usuario y la contraseña. El nombre de usuario predeterminado para el primer inicio de
sesión es admin y la contraseña es admin@huawei.com. Debe reconfigurar la
contraseña durante el primer inicio de sesión. Si ha configurado una contraseña, úselo
para los inicios de sesión posteriores. (La siguiente salida es solo para referencia.)
Login authentication
Username:admin
Password: //Introduzca la contraseña por defecto admin@huawei.com.

Warning: The default password poses security risks.

The password needs to be changed. Change now? [Y/N]: y //Cambie la
contraseña del inicio de sesión.
Please enter old password: //Introduzca la contraseña por defecto
admin@huawei.com.
Please enter new password: //Introduzca la contraseña nueva.
Please confirm new password: //Introduzca la contraseña nueva otra vez.
The password has been changed successfully
<Quidway>
– El valor es una cadena de 8 a 16 caracteres sensibles a mayúsculas y minúsculas sin

espacios. La contraseña debe contener al menos dos tipos de los siguientes: letras
mayúsculas y minúsculas, dígitos y caracteres especiales excepto el signo de
interrogación (?).
– La contraseña introducida en modo interactivo no se muestra en la pantalla.
– Cuando vuelva a iniciar sesión en el switch en el modo de autenticación de
contraseña, introduzca la contraseña establecida durante el inicio de sesión inicial si
no ha modificado el modo de autenticación y la contraseña.
Puede ejecutar comandos para configurar el Switch. Introduzca un signo de interrogación
(?) cada vez que necesite ayuda.
Paso 3 Configure la información básica para el Switch.
# Configure la fecha, la hora, la zona horaria y el nombre.
NOTA
La zona horaria varía según la ubicación de un switch. Establezca la zona horaria según los requisitos del
sitio. La siguiente información es solo para referencia.
<Quidway> clock timezone BJ add 08:00:00 //BJ es el nombre del huso horario, y
08:00:00 indica que la hora local es 8 más el uso horario UTC por defecto del
sistema.
<Quidway> clock datetime 10:10:00 2014-07-26 //Establezca la fecha y hora
actual. Antes de establecer la hora actual, verifique el huso horario y
establezca un desplazamiento de huso horario correcto para garantizar la hora
local correcta.
[Quidway] sysname Switch //Establezca el nombre del switch a Switch.
Paso 4 Configure un modo de autenticación para la interfaz de usuario de la consola. (En V200R010
y las versiones posteriores, el modo de autenticación predeterminado para la interfaz de
usuario de la consola es la autenticación AAA. El método para cambiar el modo de
autenticación es similar y no se proporciona aquí.)
# Establezca el modo de autenticación de la interfaz de la consola en AAA y cree un usuario
local.
[Switch] user-interface console 0
[Switch-ui-console0] authentication-mode aaa //Establezca el modo de
autenticación del usuario a AAA.
[Switch-ui-console0] quit
[Switch] aaa
[Switch-aaa] local-user admin1234 password irreversible-cipher
Helloworld@6789 //Cree un usuario local llamado admin1234 y establezca su
contraseña a Helloworld@6789. Las versiones anteriores a V200R003 admiten solo la
contraseña de palabra clave pero no son compatibles con irreversible-cipher.
[Switch-aaa] local-user admin1234 privilege level 15 //Establezca el nivel de
usuario a 15.
[Switch-aaa] local-user admin1234 service-type terminal //Establezca el tipo
de acceso al terminal, es decir, usuario de la consola.
[Switch-aaa] quit
Paso 5 Configure la dirección IP de administración y Telnet.

# Configurar la dirección IP de administración.

[Switch] vlan 10
[Switch-vlan10] interface vlanif 10 //Configure VLANIF 10 como la interfaz de
administración.
[Switch] interface gigabitethernet 0/0/10 //GE0/0/10 es la interfaz física
utilizada para iniciar sesión en el switch a través del sistema web en un PC.
Seleccione una interfaz basada en los requisitos reales de red.
interfaz para acceder.
[Switch-GigabitEthernet0/0/10] port default vlan 10 //Agregue GE0/0/10 a VLAN
10.
# Configure la función Telnet.

[Switch] telnet server enable //Habilite Telnet.
[Switch] user-interface vty 0 4 //Introduzca las vistas de la interfaz de
usuario de VTY 0 a VTY 4.
[Switch-ui-vty0-4] user privilege level 15 //Establezca el nivel de usuarios
en VTY 0 a VTY 4 a 15.
[Switch-ui-vty0-4] authentication-mode aaa //Establezca el modo de
autenticación de los usuarios en VTY 0 a VTY 4 a AAA.
[Switch-ui-vty0-4] quit
[Switch] aaa
[Switch-aaa] local-user admin123 password irreversible-cipher Huawei@6789 //
Cree un usuario local llamado admin1234 y establezca su contraseña a Huawei@6789.
Las versiones anteriores a V200R003 solo admiten la la contraseña de palabra
clave pero no son compatibles con irreversible-cipher.
[Switch-aaa] local-user admin123 privilege level 15 //Establezca el nivel de
usuario a 15.
[Switch-aaa] local-user admin123 service-type telnet //Establezca el tipo de
acceso a telnet, es decir, usuario de Telnet.
[Switch-aaa] quit
Paso 6 Verifique la configuración.

Cuando vuelva a iniciar sesión en el switch a través del puerto de la consola después de
completar la configuración, debe introducir el nombre de usuario y la contraseña de
autenticación configurados en los pasos anteriores para pasar la autenticación de identidad e
iniciar sesión en el switch con éxito. También puede iniciar sesión en el switch mediante
Telnet.
----Fin
Archivo de configuración de switch
#
sysname Switch
#
vlan batch 10
#
telnet server enable
#
clock timezone BJ add 08:00:00
#
aaa
local-user admin123 password irreversible-cipher %^%#}+ysUO*B&+p'NRQR0{ZW7[GA*Z*!
X@o:Va15dxQAj+,$>NP>63de|G~ws,9G%^%#
local-user admin123 privilege level 15
local-user admin123 service-type telnet
local-user admin1234 password irreversible-cipher %^%#}+ysUO*B&
+p'NRQR0{ZW7[GA*Z*!X@o:Va15dxQAj+,$>NP>63de|G~ws,9G%^%#


local-user admin1234 service-type terminal
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
#
user-interface con 0
authentication-mode aaa
user-interface vty 0 4
user privilege level 15
#
return
Contenido relacionado
3.1.2 Ejemplo para configurar el inicio de sesión de Telnet (según

las reglas de ACL y la autenticación RADIUS)
El inicio de sesión de Telnet a un switch facilita la gestión y el mantenimiento remotos del
switch, de modo que no es necesario conectar un terminal a cada switch. Por defecto, no
puede iniciar sesión en un switch mediante Telnet. Debe iniciar sesión en un switch a través
de un puerto de consola y configurar primero la función Telnet. Para obtener más detalles,
consulte 3.1.1 Ejemplo para configurar el inicio de sesión en el switch a través de un
puerto de consola.
Una Lista de control de acceso (ACL) es un filtro de paquetes que filtra paquetes basados en
reglas. Una o más reglas describen las condiciones de coincidencia de paquetes, como la
dirección de origen, la dirección de destino y el número de puerto de los paquetes. Para los
paquetes que coinciden con las reglas de ACL configurados en un dispositivo, el dispositivo
reenvía o descarta estos paquetes de acuerdo con las políticas utilizadas por el módulo de
servicio al que se aplica la ACL.
RADIUS utiliza el modelo de cliente / servidor en modo distribuido y protege una red contra
el acceso no autorizado. A menudo se usa en las redes que requieren alta seguridad y control
remoto de acceso de usuarios. Después de configurar el inicio de sesión de Telnet basado en
autenticación RADIUS, un switch envía el nombre de usuario y la contraseña de un usuario
de inicio de sesión al servidor RADIUS. El servidor RADIUS luego autentica al usuario y
registra las operaciones del usuario, asegurando la seguridad de la red.
Si las ACL y la autenticación RADIUS están configuradas, los paquetes que coinciden con las
reglas de ACL alcanzan un módulo de capa superior y luego se autentican en modo RADIUS
según el nombre de usuario y la contraseña. El modo de inicio de sesión de Telnet basado en
las reglas de ACL y la autenticación RADIUS asegura la seguridad de la red.
l Telnet es un protocolo inseguro. Se recomienda usar STelnet V2.
l Asegúrese de que el terminal de usuario tenga rutas alcanzables para el switch y el
servidor RADIUS.

l Asegúrese de que la dirección IP, el número de puerto y la clave compartida del servidor
RADIUS estén configurados correctamente en el switch y sean iguales que los del
servidor RADIUS.
l Asegúrese de que se haya configurado un usuario en el servidor RADIUS. En este
ejemplo, el usuario admin@huawei.com (en el formato de user name@domain name) y
la contraseña Huawei@1234 han sido configurados.
NOTA
A continuación, se utilizan las líneas de comando y las salidas del S9300 que ejecuta el V200R006C00 como
ejemplo.
Requisitos de red
El administrador de red requiere gestión y mantenimiento remotos en un switch y una alta
seguridad de red para proteger la red contra el acceso no autorizado. Para cumplir con los
requisitos, configure el inicio de sesión de Telnet según las reglas de ACL y la autenticación
RADIUS.
Como se muestra en Figura 3-5, el Switch tiene rutas alcanzables para el administrador y el
servidor RADIUS La dirección IP y el número de puerto del servidor RADIUS son
10.2.1.1/24 y 1812 respectivamente.
Figura 3-5 Diagrama de redes para configurar el inicio de sesión de Telnet basado en reglas
ACL y autenticación RADIUS
Servidor de RADIUS
10.2.1.1/24
Red
Administrador Switch
de red 10.1.1.1/24
10.137.217.177/24

1. Configure el protocolo Telnet para que los usuarios puedan iniciar sesión en Switch
utilizando Telnet.
2. Configure una regla de ACL para garantizar que solo los usuarios que coincidan con la
regla de ACL puedan iniciar sesión en el Switch.
3. Configure el protocolo RADIUS para implementar la autenticación RADIUS. Una vez
completada la configuración, puede usar el nombre de usuario y la contraseña
configurados en el servidor RADIUS para iniciar sesión en Switch utilizando Telnet, lo
que garantiza la seguridad de inicio de sesión del usuario.

Procedimiento
Paso 1 Configure el inicio de sesión de Telnet.
[Switch] telnet server enable
[Switch-ui-vty0-14] protocol inbound telnet //Configure la interfaz de usuario
de VTY para admitir Telnet. De forma predeterminada, los switches en V200R006 y
versiones anteriores admite Telnet, y los switches en V200R007 y versiones
posteriores admiten SSH.
Paso 2 Configure una regla de ACL básica.

[Switch] acl 2008
[Switch-acl-basic-2008] rule permit source 10.137.217.177 0
[Switch-acl-basic-2008] quit
[Switch] user-interface vty 0 14
[Switch-ui-vty0-14] acl 2008 inbound //Permita que solo los usuarios que
coincidan con ACL 2008 en VTY 0 a VTY 14 inicien sesión en el switch.
Paso 3 Configurar la autenticación RADIUS.
# Configure una plantilla de servidor RADIUS en el Switch para implementar la

comunicación con el servidor RADIUS.
[Switch] radius-server template 1 //Introduzca la vista de la plantilla del
servidor RADIUS.
[Switch-radius-1] radius-server authentication 10.2.1.1 1812 //Configure el
servidor RADIUS.
[Switch-radius-1] radius-server shared-key cipher Huawei@6789 //Establezca la
clave compartida del servidor RADIUS para Huawei@6789.
[Switch-radius-1] quit
NOTA
Si el servidor RADIUS no es compatible con un nombre de usuario que contenga el nombre de dominio,
ejecute el comando undo radius-server user-name domain-included para configurar el Switch para
enviar paquetes con un nombre de usuario sin el nombre de dominio al servidor RADIUS.
# Configure un esquema de autenticación AAA, con el modo de autenticación siendo

RADIUS.
[Switch] aaa
[Switch-aaa] authentication-scheme sch1 //Cree un esquema de autenticación
llamado sch1.
[Switch-aaa-authen-sch1] authentication-mode radius //Establezca el modo de
[Switch-aaa-authen-sch1] quit
# Crea un dominio y aplica el esquema de autenticación AAA y la plantilla del servidor

RADIUS en el dominio.
[Switch-aaa] domain huawei.com //Cree un dominio llamado huawei.com y
introduzca la vista del dominio.
[Switch-aaa-domain-huawei.com] authentication-scheme sch1 //Configure el
esquema de autenticación sch1 para el dominio.
[Switch-aaa-domain-huawei.com] radius-server 1 //Aplique la plantilla de
servidor RADIUS 1 al dominio.
[Switch-aaa-domain-huawei.com] quit
[Switch-aaa] quit

# Configure el dominio huawei.com como el dominio de gestión global predeterminado para

que un administrador no necesite introducir el nombre de dominio para iniciar sesión en el
Switch.
[Switch] domain huawei.com admin

Elije Start > Run como un administrador. Introduzca cmd para abrir la ventana Windows
Command Prompt. Teclee telnet 10.1.1.1 y presione Enter.
C:\Documents and Settings\Administrator> telnet 10.1.1.1
En la interfaz de inicio de sesión, Teclee el nombre de usuario admin y la contraseña

Huawei@1234 cuando se le solicite y presione Enter. La autenticación se realiza
correctamente y puede iniciar sesión correctamente en Switch utilizando Telnet. (La siguiente
información es solo para referencia.)
Login authentication
Username:admin
Password:
Info: The max number of VTY users is 8, and the number
of current VTY users on line is 2.
The current login time is 2014-07-30 09:54:02+08:00.
<Switch>
----Fin
Archivo de configuración del switch
#
sysname Switch
#
domain huawei.com admin
#
#
radius-server template 1
radius-server shared-key cipher %^%#}+ysUO*B&+p'NRQR0{ZW7[GA*Z*!X@o:Va15dxQAj+,
$>NP>63de|G~ws,9G%^%#
#
acl number 2008
rule 5 permit source 10.137.217.177 0
#
aaa
authentication-scheme sch1
domain huawei.com
radius-server 1
#
acl 2008 inbound
protocol inbound telnet
#
return

3.1.3 Ejemplo para configurar el inicio de sesión de STelnet (En

función de la autenticación RADIUS)
El protocolo Secure Shell (SSH) implementa el inicio de sesión remoto seguro en las redes
inseguras, lo que garantiza la integridad y fiabilidad de los datos y garantiza la transmisión
segura de los datos. STelnet, en función del protocolo SSH, garantiza la seguridad de la
información y proporciona una poderosa función de autenticación. STelnet protege un switch
contra los ataques tal como IP spoofing (suplantación de IP). De forma predeterminada, no
puede iniciar sesión en un switch mediante STelnet. Debe iniciar sesión en un switch
mediante un puerto de consola o Telnet, y configurar primero la función de STelnet y los
parámetros de la interfaz del usuario.
RADIUS utiliza el modelo de cliente / servidor en modo distribuido y protege una red contra
el acceso no autorizado. A menudo se usa en redes que requieren alta seguridad y control
remoto de acceso de usuarios. Después de configurar el inicio de sesión de STelnet en función
de la autenticación de RADIUS, un switch envía el nombre de usuario y la contraseña de un
usuario de inicio de sesión al servidor RADIUS. El servidor RADIUS luego autentica al
usuario y registra las operaciones del usuario, lo que asegura la seguridad de la red.
l STelnet V1 es un protocolo inseguro. Se recomienda el uso de STelnet V2.
l Asegúrese de que el terminal del usuario tenga instalado el software de inicio de sesión
del servidor SSH antes de configurar el inicio de sesión de STelnet. En este ejemplo, el
software de terceros PuTTY se utiliza como el software de inicio de sesión del servidor
SSH.
l Asegúrese de que el terminal de usuario tenga rutas alcanzables para el switch y el
servidor RADIUS.
l Asegúrese de que la dirección IP, el número de puerto y la clave compartida del servidor
RADIUS estén configurados correctamente en el switch y sean iguales a los del servidor
RADIUS.
l Asegúrese de que se haya configurado un usuario en el servidor RADIUS. En este
ejemplo, el usuario admin@huawei.com (en el formato de user name@domain name) y
la contraseña Huawei@1234 han sido configurados.
NOTA
A continuación, se utilizan las líneas de comando y las salidas del S9300 que ejecuta V200R006C00 como
ejemplo.
Requisitos de red
El administrador de red requiere un inicio de sesión remoto a un switch y una alta seguridad
de red para proteger la red contra el acceso no autorizado. Para cumplir con los requisitos,
configure el inicio de sesión de STelnet en función de la autenticación RADIUS.

Como se muestra en Figura 3-6, el Switch funciona como el servidor SSH y tiene una ruta
alcanzable al servidor RADIUS. La dirección IP y el número de puerto del servidor RADIUS
son 10.2.1.1/24 y 1812 respectivamente.
Figura 3-6 Diagrama de redes para configurar el inicio de sesión STelnet en función de la
autenticación RADIUS
Servidor de RADIUS
10.2.1.1/24
Red
Administrador Switch
de red 10.1.1.1/24
10.137.217.177/24

1. Genere un par de claves locales en el servidor SSH para implementar un intercambio
seguro de datos entre el servidor y el cliente.
2. Configure el protocolo STelnet para que los usuarios puedan iniciar sesión en el Switch
mediante STelnet.
3. Configure el protocolo RADIUS para implementar la autenticación RADIUS. Una vez
completada la configuración, puede usar el nombre de usuario y la contraseña
configurados en el servidor RADIUS para iniciar sesión en el Switch mediante STelnet,
lo que garantiza la seguridad de inicio de sesión del usuario.
Procedimiento
Paso 1 Configure el inicio de sesión de STelnet.
# Genera un par de claves locales en el servidor.
[Quidway] dsa local-key-pair create //Genere un par de claves DSA locales.
Info: The key name will be: HUAWEI_Host_DSA.
Info: The key modulus can be any one of the following : 1024, 2048.
Info: If the key modulus is greater than 512, it may take a few minutes.
Please input the modulus [default=2048]:
Info: Generating keys...
Info: Succeeded in creating the DSA host keys.
# Configure la interfaz de usuario de VTY.

[Switch] stelnet server enable //Habilite la función del servidor STelnet.
[Switch-ui-vty0-14] authentication-mode aaa //Set the authentication mode of
users in VTY 0 to VTY 14 to AAA.
[Switch-ui-vty0-14] protocol inbound ssh //Configure las vistas de la interfaz
de usuario en VTY 0 a VTY 14 para admitir SSH.

# Configure el modo de autenticación del usuario SSH admin para la autenticación de

contraseña y configure el tipo de servicio a STelnet.
[Switch] ssh user admin authentication-type password //Establezca la
autenticación del usuario SSH admin para la autenticación con contraseña.
[Switch] ssh user admin service-type stelnet //Establezca el tipo de servicio
del usuario SSH admin para STelnet.
NOTA
Para configurar la autenticación de contraseña para múltiples usuarios de SSH, ejecute el comando de
ssh authentication-type default password para especificar la autenticación de contraseña como el
modo de autenticación predeterminado de los usuarios de SSH. Una vez completada esta configuración,
no es necesario configurar el modo de autenticación y el tipo de servicio para cada usuario de SSH, lo
que simplifica la configuración y mejora la eficiencia.
Paso 2 Configurar la autenticación RADIUS.
# Configure una plantilla de servidor RADIUS en el Switch para implementar la

comunicación con el servidor RADIUS.
[Switch] radius-server template 1 //Introduzca la vista de la plantilla del
servidor RADIUS.
[Switch-radius-1] radius-server authentication 10.2.1.1 1812 //Configure el
servidor RADIUS.
[Switch-radius-1] radius-server shared-key cipher Huawei@6789 //Establezca la
clave compartida del servidor RADIUS para Huawei@6789.
NOTA
Si el servidor RADIUS no es compatible con un nombre de usuario que contenga el nombre de dominio,
ejecute el comando undo radius-server user-name domain-included para configurar el Switch para
enviar paquetes con un nombre de usuario sin el nombre de dominio al servidor RADIUS.
# Configure un esquema de autenticación AAA, con el modo de autenticación siendo

RADIUS.
[Switch] aaa
[Switch-aaa] authentication-scheme sch1 //Cree un esquema de autenticación
llamado sch1.
[Switch-aaa-authen-sch1] authentication-mode radius //Establezca el modo de
# Crea un dominio y aplica el esquema de autenticación AAA y la plantilla del servidor

RADIUS en el dominio.
[Switch-aaa] domain huawei.com //Cree un dominio llamado huawei.com y
introduzca la vista del dominio.
[Switch-aaa-domain-huawei.com] authentication-scheme sch1 //Configure el
esquema de autenticación sch1 para el dominio.
[Switch-aaa-domain-huawei.com] radius-server 1 //Aplique la plantilla de
servidor RADIUS 1 al dominio.
[Switch-aaa] quit
# Configure el dominio huawei.com como el dominio de gestión global predeterminado para

que un administrador no necesite introducir el nombre de dominio para iniciar sesión en el
Switch.
# Inicie sesión en el Switch mediante PuTTY en el ordenador. Introduzca la dirección IP del

Switch y configure el tipo de protocolo a SSH, como se muestra en Figura 3-7.

Figura 3-7 Conexión al servidor SSH mediante PuTTY
# Haga clic en Open. En la interfaz de inicio de sesión, escriba el nombre de usuario admin y
la contraseña Huawei@1234 cuando se le solicite y presione Enter. Se realiza la
autenticación correctamente y puede iniciar sesión correctamente en Switch mediante STelnet.
(La siguiente información es solo para referencia.)
login as: admin
password:

of current VTY users online is 2.
<Switch>
----Fin
#
sysname Switch
#
#
radius-server shared-key cipher %^%#}+ysUO*B&+p'NRQR0{ZW7[GA*Z*!X@o:Va15dxQAj+,
$>NP>63de|G~ws,9G%^%#


#
aaa
domain huawei.com
radius-server 1
#
#
stelnet server enable
ssh user admin
ssh user admin authentication-type password
ssh user admin service-type stelnet
#
return
3.1.4 Ejemplo para configurar el inicio de sesión de conmutación a

través del sistema web
3.1.4.1 Configuración de fábrica de archivos de la página web para los switches
de la serie S
En V200R006 y las versiones posteriores, el archivo de la página web se ha integrado en el
software del sistema y se ha cargado. Para las configuraciones de fábrica de archivos de
páginas web en las versiones anteriores a V200R006, consulte las siguientes tablas.
Tabla 3-2 Configuración de fábrica de archivos de páginas web para los switches fijos
Modelo del V100R006C V200R001 V200R002 V200R003 V200R005
Producto 05
S2300SI/ El medio de - - - -
S2300EI almacenami
ento no
contiene un
archivo de
página web.
S2350EI - - - El medio de El software

almacenamie del sistema
nto no contiene un
contiene un archivo de
archivo de página web
página web. que está
cargado para
el sistema
web de
Classics.


Producto 05
S3300SI/ El medio de - - - -
S3300EI almacenami
ento no
contiene un
archivo de
página web.
S3300HI - El medio de - - -
almacenamie
nto no
contiene un
archivo de
página web.
S5300LI - El medio de El medio de El medio de El software

almacenamie almacenamie almacenamie del sistema
nto no nto no nto no contiene un
contiene un contiene un contiene un archivo de
archivo de archivo de archivo de página web
página web. página web. página web. que está
cargado.
S5300SI/ - El medio de El medio de El medio de El medio de

S5300EI almacenamie almacenamie almacenamie almacenamie
nto no nto no nto no nto no
contiene un contiene un contiene un contiene un
archivo de archivo de archivo de archivo de
página web. página web. página web. página web.
S5310EI - - El medio de El medio de El medio de

almacenamie almacenamie almacenamie
nto no nto no nto no
contiene un contiene un contiene un
archivo de archivo de archivo de
página web. página web. página web.
S5300HI - El medio de El medio de El medio de El medio de

almacenamie almacenamie almacenamie almacenamie
S5306LI - El medio de El medio de El medio de El software

almacenamie almacenamie almacenamie del sistema
nto no nto no nto no contiene un
contiene un contiene un contiene un archivo de
archivo de archivo de archivo de página web
página web. página web. página web. que está
cargado.


Producto 05
S6300EI - El medio de El medio de El medio de El medio de

almacenamie almacenamie almacenamie almacenamie
Tabla 3-3 Configuración de fábrica de archivos de páginas web para los switches modulares
Modelo del V200R001 V200R002 V200R003 V200R005
Producto
S9300 El medio de El medio de El medio de El software del

almacenamient almacenamient almacenamient sistema
o no contiene o no contiene o no contiene contiene un
un archivo de un archivo de un archivo de archivo de
página web. página web. página web. página web que
está cargado.
S9300E El S9300E no es compatible con el inicio de sesión del sistema web.
NOTA
Un guión (-) indica que la versión no está disponible para el modelo.
3.1.4.2 Ejemplo para configurar el inicio de sesión de conmutación a través del

sistema web (V200R001)
El sistema web utiliza el servidor web incorporado en un switch para proporcionar una GUI a
través de la cual los usuarios pueden realizar la gestión y el mantenimiento de los switches.
Los usuarios pueden iniciar sesión en el sistema web desde los terminales mediante HTTPS.
Este ejemplo se aplica a V200R001 de todos los switches de la serie S.
NOTA
A continuación, se utilizan las líneas de comando y las salidas del S5300EI que ejecuta V200R001C00
como ejemplo.
Requisitos de red
Como se muestra en Figura 3-8, un switch funciona como el servidor HTTPS. El usuario
desea iniciar sesión en el sistema web mediante HTTPS para administrar y mantener el

switch. El usuario ha obtenido el certificado digital del servidor 1_servercert_pem_dsa.pem

y el archivo de clave privada 1_serverkey_pem_dsa.pem del CA.
Figura 3-8 Diagrama de redes para configurar el inicio de sesión del switch a través del
sistema web
192.168.0.1/24
Red
PC HTTPS_Server

1. Configure una dirección IP de gestión para transferir archivos de forma remota e iniciar
sesión en el switch a través del sistema web.
2. Suba los archivos necesarios al servidor HTTPS a través de FTP, incluido el archivo de
la página web, el certificado digital del servidor y el archivo de clave privada.
3. Cargue el archivo de la página web y el certificado digital.
4. Vincule una política SSL y habilite el servicio de HTTPS.
5. Configure un usuario web y entre en la página de inicio de sesión del sistema web.
AVISO
FTP es un protocolo inseguro. Se recomienda el uso de SFTP V2, SCP o FTPS.
Procedimiento
Paso 1 Obtenga el archivo de la página web.
Los siguientes métodos están disponibles:
l Obtenga el archivo de la página web de un agente de Huawei.
l Descargue el archivo de la página web del Sitio web de asistencia técnica de Huawei
(http://support.huawei.com/carrier). En V200R001, el archivo de la página web se
nombra en el formato de product name-software version.web page file version.web.zip.
NOTA
Verifique si el tamaño del archivo de la página web obtenido es igual que el tamaño del archivo que se
muestra en el sitio web. Si no, puede ocurrir una excepción durante la descarga del archivo. Descargue el
archivo de nuevo.
Paso 2 Configure una dirección IP de gestión.

[Quidway] sysname HTTPS_Server
[HTTPS_Server] vlan 10
[HTTPS_Server-vlan10] interface vlanif 10 //Configure VLANIF 10 como la

interfaz de administración.
[HTTPS_Server-Vlanif10] ip address 192.168.0.1 24 //Configure la dirección IP y
despliegue la ruta según el plan de la red para garantizar la accesibilidad entre
el PC y el switch.
[HTTPS_Server-Vlanif10] quit
[HTTPS_Server] interface gigabitethernet 0/0/10 //En este ejemplo, GE0/0/10 es
la interfaz física utilizada para iniciar sesión en el switch a través del
sistema web en un PC. Seleccione una interfaz basada en los requisitos reales de
red.
[HTTPS_Server-GigabitEthernet0/0/10] port link-type access //Establezca el tipo
de interfaz para acceder.
[HTTPS_Server-GigabitEthernet0/0/10] port default vlan 10 //Agregue la interfaz
a VLAN 10.
[HTTPS_Server-GigabitEthernet0/0/10] quit
Paso 3 Suba el archivo de la página web y el certificado digital al servidor HTTPS a través de FTP.
# Configure las interfaces de usuario VTY en el servidor HTTPS.
[HTTPS_Server] user-interface vty 0 14 //Introduzca las interfaces de usuario
VTY 0 a 14.
[HTTPS_Server-ui-vty0-14] authentication-mode aaa //Establezca el modo de
autenticación de los usuarios en las interfaces de usuario VTY de 0 a 14 a AAA.
[HTTPS_Server-ui-vty0-14] quit
# Configure la función de FTP para el switch y la información sobre un usuario de FTP,

incluida la contraseña, el nivel de usuario, el tipo de servicio y el directorio autorizado.
[HTTPS_Server] ftp server enable //Habilite la función del servidor FTP.
[HTTPS_Server] aaa
[HTTPS_Server-aaa] local-user client001 password cipher Helloworld@6789 //
Establezca la contraseña del inicio de sesión para Helloworld@6789.
[HTTPS_Server-aaa] local-user client001 privilege level 15 //Establezca el
nivel de usuario a 15.
[HTTPS_Server-aaa] local-user client001 service-type ftp //Establezca el tipo
de servicio del usuario a FTP.
[HTTPS_Server-aaa] local-user client001 ftp-directory flash:/ //Establezca el
directorio FTP autorizado para flash:/.
[HTTPS_Server-aaa] quit
[HTTPS_Server] quit
# Inicie sesión en el servidor HTTPS desde el ordenador a través de FTP y cargue el archivo
de la página web y el certificado digital en el servidor HTTPS.
Conecte el ordenador al switch mediante FTP. Introduzca el nombre de usuario client001 y la
contraseña Helloworld@6789 y configure el modo de transferencia de archivos como
binary.
El siguiente ejemplo asume que el ordenador ejecuta el sistema operativo Windows XP.
C:\Documents and Settings\Administrator> ftp 192.168.0.1
Connected to 192.168.0.1.
220 FTP service ready.
User (192.168.0.1:(none)): client001
331 Password required for client001.
Password:
230 User logged in.
ftp> binary //Establezca el modo de transferencia de archivos al binario. Por
defecto, los archivos se transfieren en modo ASCII.
200 Type set to I.
ftp>
Suba el archivo de la página web y el certificado digital al servidor HTTPS desde el

ordenador.
ftp> put web.zip //Cargue el archivo de la página web. El archivo web.zip es
usado como un ejemplo aquí.
200 Port command okay.

150 Opening BINARY mode data connection for web.zip

226 Transfer complete.
ftp: 1308478 bytes sent in 11 Seconds 4.6Kbytes/sec.
ftp> put 1_servercert_pem_dsa.pem
150 Opening BINARY mode data connection for 1_servercert_pem_dsa.pem
ftp> put 1_serverkey_pem_dsa.pem
150 Opening BINARY mode data connection for 1_serverkey_pem_dsa.pem
ftp: 951 bytes sent in 1 Second 4.6Kbytes/sec.
# Ejecute el comando dir en el Switch para verificar si el archivo de la página web y el

certificado digital existen en el directorio de almacenamiento actual.
NOTA
Si los tamaños del archivo de la página web y el certificado digital en el directorio de almacenamiento
actual en el switch son diferentes a los del ordenador, puede ocurrir una excepción durante la
transferencia de archivos. Sube los archivos de nuevo.
# Cree el subdirectorio security en el servidor HTTPS y copie el certificado digital y el

archivo de clave privada en el subdirectorio.
<HTTPS_Server> mkdir security
<HTTPS_Server> copy 1_servercert_pem_dsa.pem security
Copy flash:/1_servercert_pem_dsa.pem to flash:/security/1_servercert_pem_dsa.pem?
[Y/N]:y
100% complete
Info: Copied file flash:/1_servercert_pem_dsa.pem to flash:/security/
1_servercert_pem_dsa.pem...Done.
<HTTPS_Server> copy 1_serverkey_pem_dsa.pem security
Copy flash:/1_serverkey_pem_dsa.pem to flash:/security/1_serverkey_pem_dsa.pem?
[Y/N]:y
100% complete
Info: Copied file flash:/1_serverkey_pem_dsa.pem to flash:/security/
1_serverkey_pem_dsa.pem...Done.
# Ejecute el comando dir en el subdirectorio de security para verificar el certificado digital.

<HTTPS_Server> cd security
<HTTPS_Server> dir
Directory of flash:/security/
Idx Attr Size(Byte) Date Time FileName

0 -rw- 1,200 Sep 26 2013 22:35:37 1_servercert_pem_dsa.pem
1 -rw- 736 Sep 26 2013 22:36:11 1_serverkey_pem_dsa.pem
30,008 KB total (348 KB free)
Paso 4 Cargue el archivo de la página web y el certificado digital.
# Cargue el archivo de la página web.

<HTTPS_Server> system-view
[HTTPS_Server] http server load web.zip
# Cree una política SSL y cargue el certificado digital PEM.

[HTTPS_Server] ssl policy http_server
[HTTPS_Server-ssl-policy-http_server] certificate load pem-cert
1_servercert_pem_dsa.pem key-pair dsa key-file 1_serverkey_pem_dsa.pem auth-code
123456
[HTTPS_Server-ssl-policy-http_server] quit

# Una vez completadas las configuraciones anteriores, ejecute el comando display ssl policy
en el servidor HTTPS para verificar la información detallada sobre el certificado digital
cargado.
[HTTPS_Server] display ssl policy
SSL Policy Name: http_server

Policy Applicants:
Key-pair Type: DSA
Certificate File Type: PEM
Certificate Type: certificate
Certificate Filename: 1_servercert_pem_dsa.pem
Key-file Filename: 1_serverkey_pem_dsa.pem
Auth-code: 123456
MAC:
CRL File:
Trusted-CA File:
Paso 5 Vincule una política SSL y habilite el servicio de HTTPS.

NOTA
Deshabilite el servicio HTTP antes de habilitar el servicio HTTPS.

[HTTPS_Server] undo http server enable //Deshabilite el servicio HTTP.
[HTTPS_Server] http secure-server ssl-policy http_server //Enlace una política
SSL llamada http_server al servidor HTTP.
[HTTPS_Server] http secure-server enable //Habilite el servicio HTTP.
Paso 6 Configure un usuario web y entre en la página de inicio de sesión del sistema web.
# Configure un usuario web.
[HTTPS_Server] aaa
[HTTPS_Server-aaa] local-user admin password cipher Helloworld@6789 //Crea un
usuario local llamado admin a establezca su contraseña a Helloworld@6789.
[HTTPS_Server-aaa] local-user admin privilege level 15 //Establezca el nivel de
usuario a 15.
[HTTPS_Server-aaa] local-user admin service-type http //Establezca el tipo de
acceso a http, es decir, usuario de web.
# Entre en la página de inicio de sesión del sistema web.

Abra el navegador web en el ordenador, escriba https://192.168.0.1 en el cuadro de dirección
y presione Enter. Se muestra la página de inicio de sesión del sistema web, como se muestra
en Figura 3-9.
Puede iniciar sesión en el sistema web mediante los navegadores Internet Explorer (6.0 o 8.0)
o Firefox (3.5). Si la versión del navegador o la versión del parche del navegador no se
encuentra dentro de los rangos anteriores, la página web puede mostrarse incorrectamente.
Además, el navegador web utilizado para iniciar sesión en el sistema web debe ser compatible
con JavaScript.
Introduzca el nombre de usuario, la contraseña y el código de verificación. Haga clic en
Login. Se muestra la página de inicio del sistema web.

Figura 3-9 Página de inicio de sesión del sistema web

Inicie sesión en el switch a través del sistema web. El inicio de sesión es exitoso.
Ejecute el comando de display http server para ver el nombre de la política SSL y el estado
del servidor HTTPS.
[HTTPS_Server] display http server
HTTP Server Status : disabled
HTTP Server Port : 80(80)
HTTP Timeout Interval : 20
Current Online Users : 0
Maximum Users Allowed : 5
HTTP Secure-server Status : enabled
HTTP Secure-server Port : 443(443)
HTTP SSL Policy : http_server
----Fin
Archivo de configuración de HTTPS_Server
#
sysname HTTPS_Server
#
FTP server enable
#
vlan batch 10
#
undo http server enable
http server load web.zip
http secure-server ssl-policy http_server
http secure-server enable
#
aaa
local-user admin password cipher %$%$_h,hW_!nJ!2gXkH9v$X)+,#w%$%$
local-user admin privilege level 15
local-user admin service-type http
local-user client001 password cipher %$%$jD,QKAhe{Yd9kD9Fqi#I+QH~%$%$

local-user client001 privilege level 15

local-user client001 ftp-directory flash:/
local-user client001 service-type ftp
#
interface Vlanif10
ip address 192.168.0.1 255.255.255.0
#
#
#
ssl policy http_server
certificate load pem-cert 1_servercert_pem_dsa.pem key-pair dsa key-file
1_serverkey_pem_dsa.pem auth-code 123456
#
return

sistema web (V100R006C05, V200R002 y V200R003)
Este ejemplo se aplica a V100R006C05, V200R002 y V200R003 de todos los switches de la
serie S.
NOTA
A continuación, se utilizan las líneas de comando y las salidas del S5300EI que ejecuta V200R002C00
como ejemplo.
Requisitos de red
switch.
sistema web
192.168.0.1/24
Red
PC HTTPS_Server


NOTA
Un switch proporciona una política SSL predeterminada y tiene un certificado digital autofirmado
generado aleatoriamente en el archivo de la página web. Si la política SSL predeterminada y el
certificado digital autofirmado pueden cumplir con los requisitos de seguridad, no es necesario cargar un
certificado digital ni configurar manualmente una política SSL, lo que simplifica la configuración. La
siguiente configuración usa la política SSL predeterminada proporcionada por el switch como ejemplo.
1. Configure una dirección IP de gestión para transferir los archivos de forma remota e
iniciar sesión en el switch a través del sistema web.
2. Suba el archivo de la página web al servidor HTTPS a través de FTP.
3. Cargue el archivo de la página web.
4. Configure un usuario web y entre en la página de inicio de sesión del sistema web.
AVISO
Procedimiento
l Obtenga el archivo de la página web de http://support.huawei.com/carrier.
– Para un switch fijo, descargue el software del sistema que contiene el archivo de la
página web.
– Para un switch modular, descargue el archivo de la página web.
– En V100R006C05, el archivo de la página web se nombra en el formato de product
name-software version.web page file version.web.zip. En V200R002 y V200R003,
el archivo de la página web se nombra en el formato de product name-software
version.web page file version.web.7z.
NOTA
archivo de nuevo.

el PC y el switch.


red.
a VLAN 10.
Paso 3 Suba el archivo de la página web al servidor HTTPS a través de FTP.

VTY 0 a 14.

[HTTPS_Server] aaa
[HTTPS_Server-aaa] local-user client001 password cipher Helloworld@6789 //
Establezca la contraseña del inicio de sesión para Helloworld@6789.
[HTTPS_Server] quit
# Inicie sesión en el servidor HTTPS desde el ordenador a través de FTP y suba el archivo de
la página web al servidor HTTPS.

binary.
User (192.168.0.1:(none)): client001
Password:
230 User logged in.
200 Type set to I.
ftp>
Suba el archivo de la página web al servidor HTTPS desde el ordenador.

ftp> put web.7z //Cargue el archivo de la página web. El archivo web.7z es
150 Opening BINARY mode data connection for web.7z

NOTA
Si el tamaño del archivo de la página web en el directorio actual del switch es diferente al del ordenador,
puede ocurrir una excepción durante la transferencia de archivos. Suba el archivo de la página web de
nuevo.
Paso 4 Cargue el archivo de la página web.

<HTTPS_Server> system-view
[HTTPS_Server] http server load web.7z //Cargue el archivo de la página web.
Paso 5 Habilite el servicio de HTTPS.

[HTTPS_Server] http secure-server enable //El servicio HTTPS está habilitado
por defecto y no requiere configuración manual. Si el servicio HTTPS se
deshabilita manualmente, ejecute este comando para habilitarlo.
[HTTPS_Server] aaa
[HTTPS_Server-aaa] local-user admin password cipher Helloworld@6789 //Crea un
usuario local llamado admin y establezca su contraseña a Helloworld@6789.
[HTTPS_Server-aaa] local-user admin privilege level 15 //Esteblezca el nivel de
usuario a 15.
[HTTPS_Server-aaa] local-user admin service-type http //Esteblezca el tipo de
acceso a http, es decir, usuario web.

en Figura 3-11.
Puede utilizar los navegadores Internet Explorer (6.0 – 9.0), Firefox (3.5 – 17.0) para iniciar
sesión en el sistema web para V100R006C05, usar los navegadores Internet Explorer (8.0),
Firefox (3.6) para iniciar sesión en el sistema web para V200R001C00, use los navegadores
Internet Explorer (6.0 – 9.0), Firefox (3.5 – 17.0) para iniciar sesión en el sistema web para
V2100R003C00. Si la versión del navegador o la versión del parche del navegador no se
encuentra dentro de los rangos anteriores, la página web puede mostrarse incorrectamente.
Además, el navegador web utilizado para iniciar sesión en el sistema web debe ser compatible
con JavaScript.
Introduzca el nombre de usuario, la contraseña y el código de verificación. Haga clic en
Login. Se muestra la página de inicio del sistema web.


Ejecute el comando de display http server para ver el estado del servidor HTTPS.
HTTP Server Status : enabled
HTTP SSL Policy : Default
----Fin
Archivo de configuración del servidor HTTPS
#
#
FTP server enable
#
vlan batch 10
#
http server load web.7z
#
aaa
local-user admin password cipher %$%$llCb"D|46>hV2w2=%&nOT/_K%$%$
local-user client001 password cipher %$%$aL$_U%#$W^1T-\}Fqpe$E<#HN%$%$
#

interface Vlanif10
ip address 192.168.0.1 255.255.255.0
#
#
#
return

sistema web (V200R005)
El sistema web está disponible en las versiones de EasyOperation y Classics.

l La versión EasyOperation proporciona muchos gráficos y una UI más fácil de usar en la
que los usuarios pueden realizar tareas de monitoreo, configuración, mantenimiento y
otras operaciones de red.
l La versión de Classics hereda el estilo de la página web de los switches de Huawei y
proporciona las funciones integrales de configuración y gestión.
Este ejemplo se aplica a V200R005 de todos los switches de la serie S.
NOTA
A continuación, se utilizan las líneas de comando y las salidas del S5300HI que ejecuta V200R005
como ejemplo.
Requisitos de red
switch.
sistema web
192.168.0.1/24
Red
PC HTTPS_Server


NOTA
Un switch proporciona una política SSL predeterminada y tiene un certificado digital autofirmado
generado aleatoriamente en el archivo de la página web. Si la política SSL predeterminada y el
certificado digital autofirmado pueden cumplir con los requisitos de seguridad, no es necesario cargar un
certificado digital ni configurar manualmente una política SSL, lo que simplifica la configuración. La
siguiente configuración usa la política SSL predeterminada proporcionada por el switch como ejemplo.
1. Configure una dirección IP de gestión para transferir los archivos de forma remota e
iniciar sesión en el switch a través del sistema web.
2. Suba el archivo de la página web al servidor HTTPS a través de FTP.
3. Cargue el archivo de la página web.
4. Configure un usuario web e introduzca a la página de inicio de sesión del sistema web.
NOTA

En los siguientes modelos de switches, el software del sistema ha integrado y cargado el archivo de la
página web. Solo necesita configurar un usuario web y entrar en la página de inicio de sesión del sistema
web.
l Switch modular: todos los modelos
l Switch fijo: S2350, S5300LI, S5306LI
Procedimiento
l Descargue el archivo de la página web del Sitio web de asistencia técnica de Huawei
(http://support.huawei.com/carrier).
– Para un switch fijo, descargue el software del sistema que contiene el archivo de la
página web.
– Para un switch modular, descargue el archivo de la página web.
– En V200R005, el archivo de la página web se nombra en el formato de product
name-software version.web page file version.web.7z.
NOTA
archivo de nuevo.

el PC y el switch.


red.
a VLAN 10.
Paso 3 Suba el archivo de la página web al servidor HTTPS a través de FTP.

VTY 0 a 14.

[HTTPS_Server] aaa
[HTTPS_Server-aaa] local-user client001 password irreversible-cipher
Helloworld@6789 //Establezca la contraseña del inicio de sesión para
Helloworld@6789.
# Inicie sesión en el servidor HTTPS desde el ordenador a través de FTP y suba el archivo de
la página web al servidor HTTPS.

binary.
User (192.168.0.1:(none)): client001
Password:
230 User logged in.
200 Type set to I.
ftp>
Suba el archivo de la página web al servidor HTTPS desde el ordenador.

ftp> put web.7z //Descargue el archivo de la página web. El archivo web.7z es
150 Opening BINARY mode data connection for web.zip

NOTA
Si el tamaño del archivo de la página web en el directorio actual del switch es diferente al del ordenador,
puede ocurrir una excepción durante la transferencia de archivos. Suba el archivo de la página web de
nuevo.
Paso 4 Cargue el archivo de la página web.

# Cargue el archivo de la página web.
[HTTPS_Server] http server load web.7z //Cargue el archivo de la página web.

[HTTPS_Server] aaa
[HTTPS_Server-aaa] local-user admin password irreversible-cipher
Helloworld@6789.
[HTTPS_Server-aaa] local-user admin privilege level 15 //Establezca el nivel
de usuario a 15.
servicio del usuario a HTTP.

en Figura 3-13.
Enter the web user name admin and password Helloworld@6789, and click GO or press
Enter. Se muestra la página de inicio del sistema web. El sistema web EasyOperation está
conectado de manera predeterminada.


HTTP IPv6 Server Status : disabled
HTTP IPv6 Server Port : 80(80)
HTTP IPv6 Secure-server Status : disabled
HTTP IPv6 Secure-server Port : 443(443)
----Fin
#

#
FTP server enable
#
vlan batch 10
#
http server load web.7z
#
aaa
local-user admin password irreversible-cipher %@%@wU:(2j8~r8Htyu3.]',NwU`Td[-
A9~9"%4Kvhm'0RV[/U`Ww%@%@
local-user client001 password irreversible-cipher %@%@5d~9:M^ipCfL
\iB)EQd>,,ajwsi[\ad,saejin[qndi83Uwe%@%@
#
interface Vlanif10
ip address 192.168.0.1 255.255.255.0
#
#
#
return
3.1.4.5 Ejemplo para configurar el inicio de sesión del switch a través del sistema
web (V200R006 y las versiones posteriores)
El sistema web está disponible en las versiones de EasyOperation y Classics.

l La versión EasyOperation proporciona muchos gráficos y una UI más fácil de usar en la
que los usuarios pueden realizar las tareas de monitoreo, configuración, mantenimiento y
otras operaciones de red.
l La versión de Classics hereda el estilo de la página web de los switches de Huawei y
proporciona las funciones integrales de configuración y gestión.
NOTA
En V200R011C10 y las versiones posteriores, la versión de Classics no es compatible.
Este ejemplo se aplica a V200R006 y las versiones posteriores de todos los switches de la
serie S.
NOTA
A continuación, se utilizan las líneas de comando y las salidas del S5300LI que ejecuta V200R006C00
como ejemplo.

Requisitos de red
switch.
sistema web
192.168.0.1/24
Red
PC HTTPS_Server

l El software del sistema del switch ha integrado y cargado el archivo de la página web.
No se requiere configuración manual.
l Un switch proporciona una política SSL predeterminada y tiene un certificado digital
autofirmado generado aleatoriamente en el archivo de la página web. Si la política SSL
predeterminada y el certificado digital autofirmado pueden cumplir con los requisitos de
seguridad, no es necesario cargar un certificado digital ni configurar manualmente una
política SSL, lo que simplifica la configuración. La siguiente configuración usa la
política SSL predeterminada proporcionada por el switch como ejemplo.
l Configure una dirección IP de gestión para iniciar sesión en el switch a través del
sistema web.
l Configure un usuario web y entre en la página de inicio de sesión del sistema web.
Procedimiento
<HUAWEI> system-view
[HUAWEI] sysname HTTPS_Server
[HTTPS_Server-Vlanif10] ip address 192.168.0.1 24 //Configure la dirección IP
y despliegue la ruta según el plan de la red para garantizar la accesibilidad
entre el PC y el switch.
red.
[HTTPS_Server-GigabitEthernet1/0/10] port link-type access //Esteblezca el
tipo de interfaz para acceder.
[HTTPS_Server-GigabitEthernet1/0/10] port default vlan 10 //Agregue la
interfaz a VLAN 10.



[HTTPS_Server] aaa
[HTTPS_Server-aaa] local-user admin password irreversible-cipher
Helloworld@6789.
[HTTPS_Server-aaa] local-user admin privilege level 15 //Establezca el nivel
de usuario a 15.
servicio del usuario a HTTP.

en Figura 3-15.
Tabla 3-4 enumera las versiones de navegador requeridas para iniciar sesión en un switch a
través del sistema web. Si la versión del navegador o la versión del parche del navegador no
se encuentra dentro de los rangos anteriores, es posible que la página web no se muestre
correctamente. Actualice el navegador y el parche del navegador. Además, el navegador debe
ser compatible con JavaScript.
Introduzca el nombre de usuario de la web admin y la contraseña Helloworld@6789, y haga

clic en GO o presione Enter. Se muestra la página de inicio del sistema web. El sistema web
EasyOperation está conectado de manera predeterminada.
Tabla 3-4 Mapeo entre la versión del producto y la versión del navegador
Versión del Versión del navegador para el Versión del navegador para el
producto sistema web EasyOperation sistema web Classic
V200R006 Internet Explorer 8.0 a 11.0, Firefox Internet Explorer 8.0 a 11.0, o
12.0 a 28.0 o Google Chrome 23.0 a Firefox 12.0 a 28.0
34.0
V200R007 Internet Explorer 8.0 a 11.0, Firefox Internet Explorer 8.0 a 11.0, o
12.0 a 32.0 o Google Chrome 23.0 a Firefox 12.0 a 32.0
37.0
V200R008 Internet Explorer 10.0, Internet Internet Explorer 10.0, Internet

Explorer 11.0, Firefox 31.0 a 35.0 o Explorer 11.0 o Firefox 31.0 a 35.0
Google Chrome 30.0 a 39.0
V200R009 Internet Explorer 10.0, Internet Internet Explorer 10.0, Internet

Explorer 11.0, Firefox 35.0 a 45.0 o Explorer 11.0 o Firefox 35.0 a 45.0
Google Chrome 34.0 a 49.0
V200R010 Microsoft Edge, Internet Explorer Internet Explorer 10.0, Internet

10.0, Internet Explorer 11.0, Firefox Explorer 11.0, o Firefox 39.0 a 49.0
39.0 a 49.0 o Google Chrome 39.0 a
54.0

Versión del Versión del navegador para el Versión del navegador para el
producto sistema web EasyOperation sistema web Classic
V200R011C Microsoft Edge, Internet Explorer –

10 10.0, Internet Explorer 11.0, Firefox
50.0 a 54.0, o Google Chrome 50.0
a 59.0

HTTP IPv6 Server Status : disabled

HTTP IPv6 Server Port : 80(80)

HTTP IPv6 Secure-server Status : disabled
HTTP IPv6 Secure-server Port : 443(443)
HTTP server source address : 0.0.0.0
----Fin
#
#
vlan batch 10
#
aaa
local-user admin password irreversible-cipher %#%#wU:(2j8~r8Htyu3.]',NwU`Td[-
A9~9"%4Kvhm'0RV[/U`Ww%#%#
#
interface Vlanif10
ip address 192.168.0.1 255.255.255.0
#
interface GigabitEthernet 1/0/10
#
return
3.2 Configuración típica de gestión de archivos
3.2.1 Ejemplo para iniciar sesión en el switch para administrar los

archivos
Puede iniciar sesión en el switch mediante el puerto de la consola, Telnet o STelnet para
administrar el almacenamiento, los directorios y los archivos locales. Solo los usuarios que
inician sesión pueden administrar el almacenamiento. Para transferir los archivos, puede usar
FTP, TFTP, Secure Copy Protocol (SCP) o FTPS.
l Antes de iniciar sesión en el switch para administrar los archivos, complete la siguiente
tarea:
– Inicie sesión en el switch desde un terminal.
NOTA
A continuación, se utilizan las líneas de comando y las salidas del S5300LI que ejecuta V200R006C00 como
ejemplo.

Requisitos de red
Un usuario inicia sesión en el Switch mediante el puerto de consola, Telnet o STelnet desde el
ordenador, y necesita realizar las siguientes operaciones en los archivos en el Switch:
l Vea los archivos y subdirectorios en el directorio actual.
l Cree el directorio test. Copie el archivo vrpcfg.zip a test y renombre el archivo como
backup.zip.
l Vea los archivos en test.
Figura 3-16 Diagrama de redes para iniciar sesión en el switch para administrar los archivos
Ordenador Switch
Procedimiento
Paso 1 Vea los archivos y subdirectorios en el directorio actual.
[Switch] quit
<Switch> dir
Directory of flash:/

0 -rw- 889 Mar 01 2012 14:41:56 private-data.txt
1 -rw- 6,311 Feb 17 2012 14:05:04 backup.cfg
2 -rw- 2,393 Mar 06 2012 17:20:10 vrpcfg.zip
3 -rw- 812 Dec 12 2011 15:43:10 hostkey
4 drw- - Mar 01 2012 14:41:46 compatible
5 -rw- 540 Dec 12 2011 15:43:12 serverkey
...
509,256 KB total (52,752 KB free)
Paso 2 Cree el directorio test. Copie el archivo vrpcfg.zip a test y renombre el archivo como
backup.zip.
# Cree el directorio test.
<Switch> mkdir test
Info: Create directory flash:/test......Done.
# Copie el archivo vrpcfg.zip a test y renombre el archivo como backup.zip.

<Switch> copy vrpcfg.zip flash:/test/backup.zip //Establezca el nombre del
archivo de destino a backup.zip. Si no se especifica, el nombre del archivo de
destino es el mismo que el nombre del archivo de origen.
Copy flash:/vrpcfg.zip to flash:/test/backup.zip?[Y/N]:y
100% complete/
Info: Copied file flash:/vrpcfg.zip to flash:/test/backup.zip...Done.
Paso 3 Vea los archivos en test.

# Acceda a test.
<Switch> cd test
# Vea el directorio actual.

<Switch> pwd
flash:/test
# Vea los archivos en test.

<Switch> dir
Directory of flash:/test/

0 -rw- 2,399 Mar 12 2012 11:16:44 backup.zip
509,256 KB total (52,748 KB free)
----Fin
#
sysname Switch
#
return
3.2.2 Ejemplo para administrar los archivos mediante FTP
Después de configurar un switch como servidor FTP, los usuarios pueden acceder al switch
mediante el software cliente FTP en los terminales locales. Los usuarios pueden administrar
los archivos entre el switch y los terminales locales. La configuración para administrar los
archivos mediante FTP es simple, y el FTP admite la transferencia de archivos y la gestión de
directorios de archivos.
FTP proporciona las funciones de autorización y autenticación para administrar los archivos.
Sin embargo, los datos se transfieren en texto sin formato, lo que trae riesgos de seguridad.
El FTP es aplicable a la gestión de archivos cuando no se requiere una alta seguridad de red, a
menudo se usa en las actualizaciones de la versión.
l Antes de administrar los archivos mediante FTP, complete las siguientes tareas:
– Asegúrese de que las rutas sean accesibles entre el terminal y el switch.
– Asegúrese de que el software de cliente FTP esté instalado en el terminal.
l FTP es un protocolo inseguro. Se recomienda el uso de SFTP V2, Secure Copy Protocol
(SCP) o FTPS.
l Si el número de los usuarios de FTP en el switch alcanza el valor máximo (5), los nuevos
usuarios autorizados no pueden iniciar sesión. Para garantizar que los nuevos usuarios de
FTP inicien sesión con éxito en el switch, los usuarios FTP que hayan completado las
operaciones de archivos deben desconectarse.
NOTA
ejemplo.

Requisitos de red
Como se muestra en Figura 3-17, el ordenador se conecta al switch, y la dirección IP de la
interfaz de red de gestión en el switch es 10.136.23.5. El switch debe ser actualizado. El
switch debe funcionar como el servidor FTP, de modo que pueda subir el software del sistema
desde el ordenador al switch y hacer una copia de seguridad del archivo de configuración en
el ordenador.
Figura 3-17 Diagrama de redes para administrar los archivos mediante FTP
10.136.23.5/24
Internet
Ordenador FTP_Servidor

1. Configure la función de FTP para el switch y la información sobre un usuario de FTP,

incluido el nombre de usuario y la contraseña, el nivel de usuario, el tipo de servicio y el
directorio autorizado.
2. Guarde el archivo de configuración actual en el switch.
3. Establezca una conexión FTP entre el ordenador y el switch.
4. Suba el software del sistema al switch y haga una copia de seguridad del archivo de
configuración del switch al ordenador.
Procedimiento
Paso 1 Configure la función de FTP para el switch y la información sobre un usuario de FTP.
[Quidway] sysname FTP_Server
[FTP_Server] ftp server enable //Habilite la función del servidor FTP.
[FTP_Server] aaa
[FTP_Server-aaa] local-user admin1234 password irreversible-cipher
Helloworld@6789 //Establezca la contraseña del inicio de sesión a
Helloworld@6789.
[FTP_Server-aaa] local-user admin1234 privilege level 15 //Esteblezca el nivel
de usuario a 15.
[FTP_Server-aaa] local-user admin1234 service-type ftp //Esteblezca el tipo de
servicio del usuario a SFTP.
[FTP_Server-aaa] local-user admin1234 ftp-directory flash:/ //Establezca el
directorio autorizado del servicio SFTP para flash:/.
[FTP_Server-aaa] quit
[FTP_Server] quit
Paso 2 Guarde el archivo de configuración actual en el switch.

<FTP_Server> save
Paso 3 Establezca una conexión FTP entre el ordenador y el switch. Introduzca el nombre de usuario
admin1234 y la contraseña Helloworld@6789 y configure el modo de transferencia de
archivos como binary.


User (10.136.23.5:(none)): admin1234
331 Password required for admin1234.
Password:
230 User logged in.
ftp> binary//Establezca el modo de transferencia de archivos a binary. El modo
por defecto es ASCII.
200 Type set to I.
ftp>
El modo ASCII se usa para transferir los archivos de texto, y el modo binary se usa para
transferir los programas, incluido el software del sistema (con la extensión de nombre de
archivo de .cc, .bin, o .pat), imágenes, voces, vídeos, paquetes comprimidos y archivos de
bases de datos.
Paso 4 Suba el software del sistema al switch y haga una copia de seguridad del archivo de
configuración del switch al ordenador.
# Suba el software del sistema al switch.
ftp> put devicesoft.cc
150 Opening BINARY mode data connection for devicesoft.cc
ftp: 106616955 bytes sent in 151.05 Seconds 560.79Kbytes/sec.
# Haga copia de seguridad del archivo de configuración del switch al ordenador.

ftp> get vrpcfg.zip
150 Opening BINARY mode data connection for vrpcfg.zip.
ftp: 1257 bytes received in 0.03Seconds 40.55Kbytes/sec.
NOTA
Antes de subir y descargar los archivos en el servidor FTP, determine el directorio de trabajo FTP en el
cliente FTP. Por ejemplo, el directorio de trabajo FTP predeterminado en el sistema operativo Windows
XP es el directorio de trabajo del usuario de inicio de sesión (como C:\Documents and Settings
\Administrator). Este directorio también almacena el software del sistema que se subirá y el archivo de
configuración de la copia de seguridad.

# Ejecute el comando dir en el switch para verificar si el software del sistema está subido al
switch.
<FTP_Server> dir

0 -rw- 14 Mar 13 2012 14:13:38 back_time_a
1 drw- - Mar 11 2012 00:58:54 logfile
2 -rw- 4 Nov 17 2011 09:33:58 snmpnotilog.txt
3 -rw- 11,238 Mar 12 2012 21:15:56 private-data.txt
4 -rw- 1,257 Mar 12 2012 21:15:54 vrpcfg.zip
5 -rw- 14 Mar 13 2012 14:13:38 back_time_b
6 -rw- 106,616,955 Mar 13 2012 14:24:24 devicesoft.cc
7 drw- - Oct 31 2011 10:20:28 sysdrv
8 drw- - Feb 21 2012 17:16:36 compatible
9 drw- - Feb 09 2012 14:20:10 selftest
10 -rw- 19,174 Feb 20 2012 18:55:32 backup.cfg
11 -rw- 23,496 Dec 15 2011 20:59:36 20111215.zip
12 -rw- 588 Nov 04 2011 13:54:04 servercert.der
13 -rw- 320 Nov 04 2011 13:54:26 serverkey.der
14 drw- - Nov 04 2011 13:58:36 security
...
509,256 KB total (52,752 KB free)

# Verifique si el archivo vrpcfg.zip se almacena en el directorio de trabajo de FTP en el

ordenador.
----Fin
Archivo de configuración de FTP_Server
#
sysname FTP_Server
#
FTP server enable
#
aaa
local-user admin1234 password irreversible-cipher %^%#-=9Z)M,-aL$_U%#$W^1T-\}Fqpe
$E<#H$J<6@KTSL/J'\}I-%^%#
local-user admin1234 ftp-directory flash:/
local-user admin1234 service-type ftp
#
return
3.2.3 Ejemplo para administrar los archivos mediante SFTP

Después de configurar un switch como un servidor SFTP, los usuarios pueden comunicarse
con el switch mediante SFTP. El protocolo SSH se puede usar para garantizar la seguridad de
la conexión. El SFTP implementa el cifrado de datos y protege la integridad de los datos, lo
que garantiza una gran seguridad. Tanto SFTP como FTP están configurados para el switch.
SFTP es aplicable a la gestión de archivos cuando se requiere una alta seguridad de red y se
usa a menudo para descargar los registros y realizar copias de seguridad del archivo de
configuración.
l Antes de administrar los archivos mediante SFTP, complete las siguientes tareas:
– Asegúrese de que las rutas sean accesibles entre el terminal y el switch.
– Asegúrese de que el software de cliente SSH esté instalado en la terminal.
l SFTP V1 es un protocolo inseguro. Se recomienda el uso de SFTP V2 o FTPS.
NOTA
ejemplo.
Requisitos de red
Como se muestra en Figura 3-18, el ordenador se conecta al switch, y la dirección IP de la
interfaz de red de gestión en el switch es 10.136.23.4. Los archivos deben transferirse de
forma segura entre el ordenador y el switch para evitar los ataques man-in-the-middle y
algunos ataques de red (como DNS spoofing y IP spoofing). Configure el switch como el
servidor SSH para proporcionar el servicio de SFTP para que el servidor SSH pueda
autenticar al cliente y cifrar los datos en modo bidireccional para garantizar la transferencia
segura de archivos.

Figura 3-18 Diagrama de redes para administrar los archivos mediante SFTP
10.136.23.4/24
Internet
Ordenador SSH_Servidor

1. Genere un par de claves local en el servidor SSH y habilite la función del servidor SFTP
para implementar un intercambio seguro de datos entre el servidor y el cliente.
2. Configure las interfaces de usuario VTY en el servidor SSH.
3. Configure un usuario de SSH, incluido el modo de autenticación, el tipo de servicio, el
directorio autorizado de SFTP, el nombre de usuario y la contraseña.
4. Use el software de terceros OpenSSH para acceder al servidor SSH.
Procedimiento
Paso 1 Genere un par de claves locales en el servidor SSH y active la función del servidor SFTP.
[Quidway] sysname SSH_Server
[SSH_Server] dsa local-key-pair create //Genere un par de claves DSA locales.
Info: The key name will be:
SSH_Server_Host_DSA.
Info: The key modulus can be any one of the following : 1024,
2048.
Info: If the key modulus is greater than 512, it may take a few
minutes.
Please input the modulus [default=2048]: //Presione Enter. Se utiliza la
longitud de clave por defecto (2048
bits).
Info: Generating
keys...

[SSH_Server] sftp server enable //Habilite la función del servidor SFTP.
Paso 2 # Configure las interfaces de usuario de VTY en el SSH_Server.

[SSH_Server] user-interface vty 0 14 //Introduzca las vistas de la interfaz de
[SSH_Server-ui-vty0-14] authentication-mode aaa //Esteblezca el modo de
[SSH_Server-ui-vty0-14] protocol inbound ssh //Configure las vistas de la
interfaz de usuario de VTY 0 a VTY 14 para admitir SSH.
[SSH_Server-ui-vty0-14] quit
Paso 3 Configure un usuario de SSH, incluido el modo de autenticación, el tipo de servicio, el

directorio autorizado de SFTP, el nombre de usuario y la contraseña.
[SSH_Server] ssh user client001 authentication-type password //Esteblezca el
modo de autenticación para la autenticación con contraseña.
[SSH_Server] ssh user client001 service-type sftp //Esteblezca el tipo de
[SSH_Server] ssh user client001 sftp-directory flash: //Establezca el
directorio autorizado del servicio SFTP para flash:.
[SSH_Server] aaa

[SSH_Server-aaa] local-user client001 password irreversible-cipher

Helloworld@6789 //Esteblezca la contraseña de inicio de sesión para
Helloworld@6789.
[SSH_Server-aaa] local-user client001 privilege level 15 //Esteblezca el nivel
de usuario a 15.
[SSH_Server-aaa] local-user client001 service-type SSH //Esteblezca el tipo de
servicio de usuario a SSH.
[SSH_Server-aaa] quit
Paso 4 Acceda al servidor SFTP mediante OpenSSH.

Los comandos de OpenSSH se pueden usar en la ventana de Windows Command Prompt solo
después de instalar el software OpenSSH.
NOTA
Asegúrese de que la versión de OpenSSH está coincida con el sistema operativo del ordenador. De lo
contrario, es posible que no pueda acceder al switch con SFTP.
Figura 3-19 Ventana de símbolo del sistema de Windows
Después de que el ordenador se conecta al switch mediante el software de terceros, ingrese la

vista de SFTP para realizar las operaciones de archivos.
----Fin
Archivo de configuración de SSH_Server
#
sysname SSH_Server
#
aaa
local-user client001 password irreversible-cipher %^%#-=9Z)M,-aL$_U%#$W^1T-\}Fqpe
$E<#H$J<6@KTSL/J'\}I-%^%#
local-user client001 service-type ssh
#
sftp server enable
ssh user client001
ssh user client001 authentication-type password
ssh user client001 service-type sftp
ssh user client001 sftp-directory flash:
#
#
return

3.2.4 Ejemplo para acceder a los archivos de otros dispositivos

mediante TFTP
Después de configurar un switch como un cliente TFTP, puede acceder al servidor TFTP
remoto para subir y descargar los archivos en el servidor TFTP. Cuando accede a otros
dispositivos mediante TFTP, no necesita introducir el nombre de usuario o la contraseña, lo
que simplifica el intercambio de información. El TFTP no tiene mecanismo de autorización o
autenticación y transfiere los datos en texto sin formato, lo que genera los riesgos de
seguridad, es vulnerable a los virus y ataques de red. Tenga cuidado al usar TFTP.
En una LAN de buen rendimiento en un laboratorio, TFTP se puede utilizar para cargar y
actualizar el software del sistema.
l Antes de acceder a los archivos en el servidor TFTP, asegúrese de que las rutas sean
accesibles entre el switch y el servidor TFTP.
l El switch solo puede funcionar como un cliente TFTP.
l El modo TFTP solo admite la transferencia de archivos, pero no admite la interacción.
l El TFTP no tiene mecanismo de autorización o autenticación y transfiere los datos en
texto sin formato, lo que genera los riesgos de seguridad, es vulnerable a los virus y
ataques de red.
NOTA
ejemplo.
Requisitos de red
Como se muestra en Figura 3-20, el servidor remoto en la dirección IP 10.1.1.1/24 funciona
como el servidor TFTP. El switch en la dirección IP 10.2.1.1/24 funciona como el cliente
TFTP y tiene rutas accesibles al servidor TFTP.
El switch debe ser actualizado. Debe descargar el software del sistema desde el servidor TFTP
al switch y realizar una copia de seguridad del archivo de configuración actual del switch al
servidor TFTP.
Figura 3-20 Diagrama de redes para acceder a los archivos en otro dispositivo mediante
TFTP
10.2.1.1/24 10.1.1.1/24
Internet
Cliente TFTP Servidor TFTP


1. Ejecute el software TFTP en el servidor TFTP y configure el directorio de trabajo TFTP.

2. Suba y descargue los archivos en el switch mediante comandos TFTP.
Procedimiento
Paso 1 Ejecute el software TFTP en el servidor TFTP y configure el directorio de trabajo TFTP. Para
las operaciones detalladas, consulte el documento de asistencia del software TFTP de
terceros.
Paso 2 Suba y descargue los archivos en el switch mediante comandos TFTP.

<Quidway> tftp 10.1.1.1 get devicesoft.cc //Descargue devicesoft.cc.
Info: Transfer file in binary
mode.
Downloading the file from the remote TFTP server. Please

wait...
|
TFTP: Downloading the file

successfully.
106616955 byte(s) received in 722 second(s).

<Quidway> tftp 10.1.1.1 put vrpcfg.zip //Cargue vrpcfg.zip.
Info: Transfer file in binary
mode.
Uploading the file to the remote TFTP server. Please

wait...
100%
TFTP: Uploading the file

successfully.
7717 byte(s) sent in 1 second(s).

# Ejecute el comando dir en el switch para verificar si el software del sistema se descarga al
switch.
<Quidway> dir

0 -rw- 14 Mar 13 2012 14:13:38 back_time_a
1 drw- - Mar 11 2012 00:58:54 logfile
4 -rw- 7,717 Mar 12 2012 21:15:54 vrpcfg.zip
5 -rw- 14 Mar 13 2012 14:13:38 back_time_b
7 drw- - Oct 31 2011 10:20:28 sysdrv
9 drw- - Feb 09 2012 14:20:10 selftest
10 -rw- 19,174 Feb 20 2012 18:55:32 backup.cfg
11 -rw- 43,496 Dec 15 2011 20:59:36 20111215.zip
14 drw- - Nov 04 2011 13:58:36 security
...
509,256 KB total (52,752 KB free)

# Verifique si el archivo vrpcfg.zip se almacena en el directorio de trabajo en el servidor

TFTP.
----Fin
Ninguna

mediante FTP
Después de configurar un switch como cliente FTP, puede iniciar sesión en el servidor FTP
para transferir los archivos y administrar los archivos y directorios en el servidor FTP. La
configuración para acceder a otros dispositivos mediante FTP es simple, FTP admite la
transferencia de archivos y la gestión de directorios de archivos. FTP proporciona las
funciones de autorización y autenticación para administrar los archivos. Sin embargo, los
datos se transfieren en texto sin formato, lo que trae riesgos de seguridad.
FTP es aplicable a la transferencia de archivos cuando no se requiere una alta seguridad de
red y se usa a menudo para descargar el software del sistema desde el servidor FTP y hacer
una copia de seguridad del archivo de configuración.
l Antes de acceder a los archivos en el servidor FTP, asegúrese de que las rutas sean
accesibles entre el switch y el servidor FTP.
l FTP es un protocolo inseguro. Se recomienda el uso de SFTP V2, Secure Copy Protocol
(SCP) o FTPS.
NOTA
ejemplo.
Requisitos de red
Como se muestra en Figura 3-21, el servidor remoto en la dirección IP 10.1.1.1/24 funciona
como el servidor FTP. El switch en la dirección IP 10.2.1.1/24 funciona como el cliente FTP y
tiene rutas accesibles al servidor FTP.
El switch debe ser actualizado. Debe descargar el software del sistema desde el servidor FTP
al switch y realizar una copia de seguridad del archivo de configuración actual del switch al
servidor FTP.
Figura 3-21 Diagrama de redes para acceder a los archivos en otro dispositivo mediante FTP
10.2.1.1/24 10.1.1.1/24
Internet
Cliente de FTP Servidor de FTP


1. Ejecute el software FTP en el servidor FTP y configure un usuario FTP.
2. Establezca una conexión FTP entre el switch y el servidor FTP.
3. Suba y descargue los archivos en el switch mediante comandos FTP.
Procedimiento
Paso 1 Ejecute el software FTP en el servidor FTP y configure un usuario FTP. Para las operaciones
detalladas, consulte el documento de asistencia del software FTP de terceros.
Paso 2 Establezca una conexión FTP entre el switch y el servidor FTP.
<Quidway> ftp 10.1.1.1
Trying 10.1.1.1 ...
Press CTRL+K to abort
User(10.1.1.1:(none)):admin
331 Password required for admin.
Enter password:
230 User logged in.
Paso 3 Suba y descargue archivos en el switch mediante comandos FTP.

[ftp] binary//Establezca el modo de transferencia de archivos a binary. El modo
por defecto es ASCII.
[ftp] get devicesoft.cc//Descargue el software del sistema en el servidor FTP al
switch.
[ftp] put vrpcfg.zip//Cargue el archivo de configuración de la copia de seguridad
en el switch al servidor FTP..
[ftp] quit
El modo ASCII se usa para transferir los archivos de texto, y el modo binary se usa para
transferir los programas, incluido el software del sistema (con la extensión de nombre de
archivo de .cc, .bin, o .pat), imágenes, voces, vídeos, paquetes comprimidos y archivos de
bases de datos.
# Ejecute el comando dir en el switch para verificar si el software del sistema se descarga al
switch.
<Quidway> dir

0 -rw- 14 Mar 13 2012 14:13:38 back_time_a
1 drw- - Mar 11 2012 00:58:54 logfile
4 -rw- 7,717 Mar 12 2012 21:15:54 vrpcfg.zip
5 -rw- 14 Mar 13 2012 14:13:38 back_time_b
7 drw- - Oct 31 2011 10:20:28 sysdrv
9 drw- - Feb 09 2012 14:20:10 selftest
10 -rw- 19,174 Feb 20 2012 18:55:32 backup.cfg
11 -rw- 43,496 Dec 15 2011 20:59:36 20111215.zip

14 drw- - Nov 04 2011 13:58:36 security

...
509,256 KB total (52,752 KB free)
# Verifique si el archivo vrpcfg.zip se almacena en el directorio de trabajo del servidor FTP.
----Fin
Ninguna

mediante SFTP
SFTP es un protocolo seguro de transferencia de archivos basado en SSH, que utiliza las
conexiones seguras para la transmisión de datos. Después de configurar un switch como un
cliente SFTP, el servidor SFTP remoto puede autenticar el cliente y cifrar los datos en modo
bidireccional para garantizar la transferencia segura de archivos y la gestión de directorios.
SFTP es aplicable para acceder a los archivos de otros dispositivos cuando se requiere una
alta seguridad de red, y se usa para subir y descargar los registros.
l Antes de acceder a los archivos en el servidor SSH mediante SFTP, asegúrese de que las
rutas sean accesibles entre el switch y el servidor SSH.
l SFTP V1 es un protocolo inseguro. Se recomienda el uso de SFTP V2 o FTPS.
NOTA
ejemplo.
Requisitos de red
Como se muestra en Figura 3-22, las rutas entre el servidor SSH y los clientes client001 y
client002 son alcanzables. En este ejemplo, se utiliza un switch de Huawei como servidor
SSH.
Los clientes client001 y client002 deben conectarse al servidor SSH en los modos de
autenticación de contraseña y DSA respectivamente, para garantizar el acceso seguro a los
archivos en el servidor SSH.

Figura 3-22 Diagrama de redes para acceder a los archivos de otro dispositivo mediante
SFTP
10.2.1.1/24
client001 10.1.1.1/24
Internet
SSH Servidor
10.3.1.1/24
client002

1. Genere un par de claves local en el servidor SSH y habilite la función del servidor SFTP
para implementar un intercambio seguro de datos entre el servidor y el cliente.
2. Configure los clientes client001 y client002 en el servidor SSH para iniciar sesión en el
servidor SSH en los modos de autenticación de contraseña y DSA respectivamente.
3. Genere un par de claves locales en client002 y configure la clave pública DSA generada
en el servidor SSH, que implementa la autenticación para el cliente cuando un usuario
inicia sesión en el servidor desde el cliente.
4. En el servidor SSH, habilite client001 y client002 para iniciar sesión en el servidor SSH
mediante SFTP y acceder a los archivos.
Procedimiento
Paso 1 En el servidor SSH, genere un par de claves locales y habilite la función del servidor SFTP.
[Quidway] sysname SSH Server
[SSH Server] dsa local-key-pair create //Genere un par de claves DSA locales.
Info: The key name will be: SSH
Server_Host_DSA.
2048.
minutes.
longitud de clave por defecto (2048 bits).
Info: Generating
keys........

[SSH Server] sftp server enable //Habilite la función del servidor SFTP.
Info: Succeeded in starting the SFTP server.
Paso 2 Cree usuarios SSH en el servidor SSH.

# Configure las interfaces de usuario VTY en el servidor SSH.
[SSH Server] user-interface vty 0 4 //Introduzca las vistas de la interfaz de
[SSH Server-ui-vty0-4] authentication-mode aaa //Esteblezca el modo de

autenticación de los usuarios en VTY 0 a VTY 4 en AAA.

[SSH Server-ui-vty0-4] protocol inbound ssh //Configure las vistas de la
interfaz de usuario de VTY 0 a VTY 4 para admitir SSH.
[SSH Server-ui-vty0-4] user privilege level 3 //Esteblezca el nivel de usuario
a 3.
[SSH Server-ui-vty0-4] quit
# Cree un usuario SSH nombrado client001 y configure el modo de autenticación de

contraseña para el usuario.
[SSH Server] ssh user client001 //Cree un usuario SSH.
[SSH Server] ssh user client001 authentication-type password //Esteblezca el
modo de autenticación para la autenticación con contraseña.
[SSH Server] ssh user client001 service-type sftp //Esteblezca el tipo de
[SSH Server] ssh user client001 sftp-directory flash: //Configure el directorio
autorizado del servicio SFTP para flash:.
[SSH Server] aaa
[SSH Server-aaa] local-user client001 password irreversible-cipher
Helloworld@6789 //Esteblezca la contraseña de inicio de sesión para
Helloworld@6789.
[SSH Server-aaa] local-user client001 service-type ssh //Esteblezca el tipo de
servicio de usuario a SSH.
[SSH Server-aaa] local-user client001 privilege level 3 //Esteblezca el nivel
de usuario a 3.
[SSH Server-aaa] quit
# Cree un usuario SSH nombrado client002 y configure el modo de autenticación DSA para
el usuario.
[SSH Server] ssh user client002 //Cree un usuario SSH.
[SSH Server] ssh user client002 authentication-type dsa //Esteblezca el modo de
autenticación para la autenticación DSA.
[SSH Server] ssh user client002 service-type sftp //Esteblezca el tipo de
[SSH Server] ssh user client002 sftp-directory flash: //Establezca el
directorio autorizado del servicio SFTP para flash:.
Paso 3 Genere un par de claves locales en client002 y configure la clave pública DSA generada en el
servidor SSH.
# Genera un par de claves locales en client002.
[Quidway] sysname client002
[client002] dsa local-key-pair create //Genere un par de claves DSA locales.
Info: The key name will be: SSH
Server_Host_DSA.
2048.
minutes.
longitud de clave por defecto (2048 bits).
Info: Generating
keys........
# Verifique la clave pública de DSA generada en client002.

[client002] display dsa local-key-pair public
=====================================================
Time of Key pair created:2014-08-27

06:35:16+08:00

Key name :
client002_Host_DSA
Key modulus :
2048
Key type : DSA encryption

Key
Key fingerprint:
b7:68:86:90:d8:19:f3:e6:4a:f2:e9:fd:e4:24:ef:a5
=====================================================
Key code:
30820322
02820100
DEDEBA5C 8244DCB8 E696917C EFEBC0B3

E6FB60BE
8B9E36D3 E4EB9CD6 EB7FD210 219AC0F4

1AD47BF1
EACD435D 39AFA8FA CB6A7819 305EE147

E428912E
60452B37 CA17D611 C2EE4C46 B4BC7726

54C26856
A99ECFA5 D800367B 31A90522 F139496F

4182DBFD
AAB59973 9AB02185 856A881F 9197368B

92DBF684
9D1C746B A27E12F9 8A28E4B6 D0587D65

5979A750
5413E91E FC961C3F 79209625 CFA8D7D4

69FA35A3
9E37B614 047D535D CD63AF30 58B3A25B

79C714B6
326B7DB6 067EBF15 3CC1A720 B0E1A7E3

9C13FEB3
BA26E6B0 52DC5BFF EE7C5C52 148FE6C2

40738FBB
8F05D416 B2B5DD72 E3629BB5 9244BF9F

A29C4FCD
4EA0EE50 1FC6695D 03D68D51

9324E493
0214
C6C484E1 F0076B8A FCAD302B 98B50A3A

542ABEBB
02820100
3AC11746 EE959CBD 30F669C5 7E290BC4

7CB5BBFD
96AE9215 7A29C723 72FE8A02 EBED3B76

BE810B42
21AD8D32 F7723F83 59F46B66 FF7805CC

3F86D5D6
5BD424BD 70677EFF 1ACF9B3C CE02CD40

46560DA4
2036205C 6EFAB148 66E6A106 0DF6258B

EE31CFE7
4B6C59B4 6FE59A9F BE64F982 EC36A669

FF597FB7
9A56E32E C15A0659 3D17C407 29F587C7

74959017
62B08070 24564B2E E79C6E1D 86793548

76CC662A
1D3DE1D1 2C79E102 C0B10E5C 9C4428B3

AEB93278
26D4CDE5 189A93EA 531E0FF8 2199EF35

DF038976
4538434F F39924F0 5BF17AC8 8E340991

B5EA0A62
A915EE63 F660C092 360C5D2D 796AF230

DB7461F7
C15B6DBA 65C9EFAB 247DB13D

4942E2FF
02820100
D7C6399A 86F7B38C 85168EF8 692BD9B4

01AA7BCD
98559075 98039259 0C54818C 650A95C7

0A5250EB
12124E5B C4123350 C190CC8B 4FFFD418

7E8F113F
6C36AB4B A56D2D1D 2C874C75 8400DAFE

4BABF957
4EDC8E7C DF5934DB 3AD717E5 50B1096B

C0B46DE5
3FB508FA CB76FF1C 42CF7082 7DDEEB47

5C5C4F64
B1C8815C 496AC1E0 04C10EDD FE849B76

6DA15B48
0C9CF0B1 10BDDC08 41A65C28 8E21ADC6

48A93DF6
14552C1F 76A401AE E06E482D 6582052E

5B11A678
A467B38A B77C1C55 D367E253 FFA44841

FC38A462
B9AC24E6 DAD01628 F09ED629 58F666C1

1DEF7BD0
634C3D13 D75F2614 8CB49AFC 498A5195

F443CA4D
C02FF228 A90D7593 AE46C5D0 4B224FEE
Host public key for PEM format

code:
---- BEGIN SSH2 PUBLIC KEY

----
AAAAB3NzaC1kc3MAAAEBAN7eulyCRNy45paRfO/rwLPm+2C
+i5420+TrnNbrf9IQ
IZrA9BrUe/HqzUNdOa+o
+stqeBkwXuFH5CiRLmBFKzfKF9YRwu5MRrS8dyZUwmhW
qZ7PpdgANnsxqQUi8TlJb0GC2/2qtZlzmrAhhYVqiB
+RlzaLktv2hJ0cdGuifhL5
iijkttBYfWVZeadQVBPpHvyWHD95IJYlz6jX1Gn6NaOeN7YUBH1TXc1jrzBYs6Jb
eccUtjJrfbYGfr8VPMGnILDhp+OcE/6zuibmsFLcW//ufFxSFI/
mwkBzj7uPBdQW
srXdcuNim7WSRL+fopxPzU6g7lAfxmldA9aNUZMk5JMAAAAVAMbEhOHwB2uK/
K0w
K5i1CjpUKr67AAABADrBF0bulZy9MPZpxX4pC8R8tbv9lq6SFXopxyNy/
ooC6+07
dr6BC0IhrY0y93I/g1n0a2b/eAXMP4bV1lvUJL1wZ37/Gs
+bPM4CzUBGVg2kIDYg
XG76sUhm5qEGDfYli+4xz+dLbFm0b+Wan75k+YLsNqZp/1l/
t5pW4y7BWgZZPRfE
Byn1h8d0lZAXYrCAcCRWSy7nnG4dhnk1SHbMZiodPeHRLHnhAsCxDlycRCizrrky
eCbUzeUYmpPqUx4P+CGZ7zXfA4l2RThDT/
OZJPBb8XrIjjQJkbXqCmKpFe5j9mDA
kjYMXS15avIw23Rh98Fbbbplye
+rJH2xPUlC4v8AAAEAVkz2m0fokxPL5DekN8U4
2SkvxBhh7W+pMLesuDOBY9PIqfwcZqY23Oi7/eJGojmX0wYTOWi8t09Qn/
LmeFNt
AEaxHc4nLmvjxDuyjoTSA/AAYJDYJ6HWZoScy3mzDCUtEMGuaL/
6SRUuH5wf9hMf
LZzmb6ETrf8S5RZWVyZv3TKm3/
FEAH7PNQYe8BYYG3SCfvgtqYQzRTZrDL6wLbCo
otdHydlhfz9CtIYH3gfhnjXoq/
X6HLQAFTexhBuoJ7nCtjC9c1HhJFicadQK2iY/
AOOu8jCp0l6vOUH4cniOONh6Mts9UiJNYnvZsjVJFzdkRsNpvcMBhK4/
NneGPPMN
+A==
---- END SSH2 PUBLIC KEY

----
Public key code for pasting into OpenSSH authorized_keys

file :

ssh-dss AAAAB3NzaC1kc3MAAAEBAN7eulyCRNy45paRfO/rwLPm+2C+i5420+TrnNbrf9IQIZrA9BrUe/
HqzUNdOa+o+stqeBkwXuFH5CiRLmBFKzfKF9YRwu5MRrS8dyZU
wmhWqZ7PpdgANnsxqQUi8TlJb0GC2/2qtZlzmrAhhYVqiB
+RlzaLktv2hJ0cdGuifhL5iijkttBYfWVZeadQVBPpHvyWHD95IJYlz6jX1Gn6NaOeN7YUBH1TXc1jrzBY
s6Jb
eccUtjJrfbYGfr8VPMGnILDhp+OcE/6zuibmsFLcW//ufFxSFI/mwkBzj7uPBdQWsrXdcuNim7WSRL
+fopxPzU6g7lAfxmldA9aNUZMk5JMAAAAVAMbEhOHwB2uK/K0wK5i1
CjpUKr67AAABADrBF0bulZy9MPZpxX4pC8R8tbv9lq6SFXopxyNy/ooC6+07dr6BC0IhrY0y93I/
g1n0a2b/eAXMP4bV1lvUJL1wZ37/Gs+bPM4CzUBGVg2kIDYgXG76sUhm
5qEGDfYli+4xz+dLbFm0b+Wan75k+YLsNqZp/1l/
t5pW4y7BWgZZPRfEByn1h8d0lZAXYrCAcCRWSy7nnG4dhnk1SHbMZiodPeHRLHnhAsCxDlycRCizrrkyeC
bUzeUYmpPq
Ux4P+CGZ7zXfA4l2RThDT/OZJPBb8XrIjjQJkbXqCmKpFe5j9mDAkjYMXS15avIw23Rh98Fbbbplye
+rJH2xPUlC4v8AAAEAVkz2m0fokxPL5DekN8U42SkvxBhh7W+pMLes
uDOBY9PIqfwcZqY23Oi7/eJGojmX0wYTOWi8t09Qn/LmeFNtAEaxHc4nLmvjxDuyjoTSA/
AAYJDYJ6HWZoScy3mzDCUtEMGuaL/6SRUuH5wf9hMfLZzmb6ETrf8S5RZWVyZv
3TKm3/FEAH7PNQYe8BYYG3SCfvgtqYQzRTZrDL6wLbCootdHydlhfz9CtIYH3gfhnjXoq/
X6HLQAFTexhBuoJ7nCtjC9c1HhJFicadQK2iY/AOOu8jCp0l6vOUH4cniOONh6
Mts9UiJNYnvZsjVJFzdkRsNpvcMBhK4/NneGPPMN+A== dsa-key
# Configure la clave pública DSA generada en el servidor SSH. La parte en negrita de la
salida del comando display indica la clave pública DSA generada. Copie la clave al servidor
SSH.
[SSH Server] dsa peer-public-key dsakey001 encoding-type der
[SSH Server-dsa-public-key] public-key-code begin
[SSH Server-dsa-key-
code]30820322
code]02820100
[SSH Server-dsa-key-code]DEDEBA5C 8244DCB8 E696917C EFEBC0B3

E6FB60BE
[SSH Server-dsa-key-code]8B9E36D3 E4EB9CD6 EB7FD210 219AC0F4
1AD47BF1
[SSH Server-dsa-key-code]EACD435D 39AFA8FA CB6A7819 305EE147
E428912E
[SSH Server-dsa-key-code]60452B37 CA17D611 C2EE4C46 B4BC7726
54C26856
[SSH Server-dsa-key-code]A99ECFA5 D800367B 31A90522 F139496F
4182DBFD
[SSH Server-dsa-key-code]AAB59973 9AB02185 856A881F 9197368B
92DBF684
[SSH Server-dsa-key-code]9D1C746B A27E12F9 8A28E4B6 D0587D65
5979A750
[SSH Server-dsa-key-code]5413E91E FC961C3F 79209625 CFA8D7D4
69FA35A3
[SSH Server-dsa-key-code]9E37B614 047D535D CD63AF30 58B3A25B
79C714B6
[SSH Server-dsa-key-code]326B7DB6 067EBF15 3CC1A720 B0E1A7E3
9C13FEB3
[SSH Server-dsa-key-code]BA26E6B0 52DC5BFF EE7C5C52 148FE6C2
40738FBB
[SSH Server-dsa-key-code]8F05D416 B2B5DD72 E3629BB5 9244BF9F
A29C4FCD
[SSH Server-dsa-key-code]4EA0EE50 1FC6695D 03D68D51
9324E493
code]0214
[SSH Server-dsa-key-code]C6C484E1 F0076B8A FCAD302B 98B50A3A

542ABEBB
code]02820100
[SSH Server-dsa-key-code]3AC11746 EE959CBD 30F669C5 7E290BC4

7CB5BBFD
[SSH Server-dsa-key-code]96AE9215 7A29C723 72FE8A02 EBED3B76
BE810B42
[SSH Server-dsa-key-code]21AD8D32 F7723F83 59F46B66 FF7805CC

3F86D5D6
[SSH Server-dsa-key-code]5BD424BD 70677EFF 1ACF9B3C CE02CD40
46560DA4
[SSH Server-dsa-key-code]2036205C 6EFAB148 66E6A106 0DF6258B
EE31CFE7
[SSH Server-dsa-key-code]4B6C59B4 6FE59A9F BE64F982 EC36A669
FF597FB7
[SSH Server-dsa-key-code]9A56E32E C15A0659 3D17C407 29F587C7
74959017
[SSH Server-dsa-key-code]62B08070 24564B2E E79C6E1D 86793548
76CC662A
[SSH Server-dsa-key-code]1D3DE1D1 2C79E102 C0B10E5C 9C4428B3
AEB93278
[SSH Server-dsa-key-code]26D4CDE5 189A93EA 531E0FF8 2199EF35
DF038976
[SSH Server-dsa-key-code]4538434F F39924F0 5BF17AC8 8E340991
B5EA0A62
[SSH Server-dsa-key-code]A915EE63 F660C092 360C5D2D 796AF230
DB7461F7
[SSH Server-dsa-key-code]C15B6DBA 65C9EFAB 247DB13D
4942E2FF
code]02820100
[SSH Server-dsa-key-code]D7C6399A 86F7B38C 85168EF8 692BD9B4

01AA7BCD
[SSH Server-dsa-key-code]98559075 98039259 0C54818C 650A95C7
0A5250EB
[SSH Server-dsa-key-code]12124E5B C4123350 C190CC8B 4FFFD418
7E8F113F
[SSH Server-dsa-key-code]6C36AB4B A56D2D1D 2C874C75 8400DAFE
4BABF957
[SSH Server-dsa-key-code]4EDC8E7C DF5934DB 3AD717E5 50B1096B
C0B46DE5
[SSH Server-dsa-key-code]3FB508FA CB76FF1C 42CF7082 7DDEEB47
5C5C4F64
[SSH Server-dsa-key-code]B1C8815C 496AC1E0 04C10EDD FE849B76
6DA15B48
[SSH Server-dsa-key-code]0C9CF0B1 10BDDC08 41A65C28 8E21ADC6
48A93DF6
[SSH Server-dsa-key-code]14552C1F 76A401AE E06E482D 6582052E
5B11A678
[SSH Server-dsa-key-code]A467B38A B77C1C55 D367E253 FFA44841
FC38A462
[SSH Server-dsa-key-code]B9AC24E6 DAD01628 F09ED629 58F666C1
1DEF7BD0
[SSH Server-dsa-key-code]634C3D13 D75F2614 8CB49AFC 498A5195
F443CA4D
[SSH Server-dsa-key-code]C02FF228 A90D7593 AE46C5D0 4B224FEE
[SSH Server-dsa-key-code] public-key-code end
[SSH Server-dsa-public-key] peer-public-key end
# En el servidor SSH, vincule la clave pública DSA a client002.

[SSH Server] ssh user client002 assign dsa-key dsakey001
Paso 4 Conecte clientes de SFTP al servidor SSH.
# Habilite la primera función de autenticación en los clientes de SSH en el primer inicio de

sesión.
[Quidway] sysname client001
[client001] ssh client first-time enable //Habilite la primera función de
autenticación en client001.
[client002] ssh client first-time enable //Habilite la primera función de
autenticación en client002.
# Inicie sesión en el servidor SSH desde client001 en el modo de autenticación de contraseña.

[client001] sftp 10.1.1.1

Please input the
username:client001
Trying
10.1.1.1 ...
Press CTRL+K to
abort
Connected to
10.1.1.1 ...
password:SSH_SERVER_CODE
Please select public key type for user authentication [R for RSA; D for DSA;
Enter for Skip publickey authentication; Ctrl_C for Cancel], Please select [R, D,
Enter or
Ctrl_C]:D
Enter
password:
sftp-client>
# Inicie sesión en el servidor SSH desde client002 en modo de autenticación DSA.

[client002] sftp 10.1.1.1
Please input the
username:client002
Trying
10.1.1.1 ...
Press CTRL+K to
abort
Connected to
10.1.1.1 ...
password:SSH_SERVER_CODE
Please select public key type for user authentication [R for RSA; D for DSA;
Enter for Skip publickey authentication; Ctrl_C for Cancel], Please select [R, D,
Enter or
Ctrl_C]:D
sftp-client>

Ejecute el comando display ssh server status en el servidor SSH para verificar si el servicio
SFTP está habilitado. Ejecute el comando display ssh user-information para verificar la
información sobre los usuarios de SSH en el servidor.
# Verifique el estado del servidor SSH.
[SSH Server] display ssh server status
SSH version :1.99
SSH connection timeout :60 seconds
SSH server key generating interval :0 hours

SSH authentication retries :3 times

SFTP server :Enable
Stelnet server :Disable
Scp server :Disable
SSH server source :0.0.0.0
ACL4 number :0
ACL6 number :0
# Verifique la información sobre los usuarios de SSH.

[SSH Server] display ssh user-information
User 1:
User Name : client001
Authentication-type : password
User-public-key-name : -
User-public-key-type : -
Sftp-directory : flash:
Service-type : sftp
Authorization-cmd : No
User 2:
User Name : client002
Authentication-type : dsa
User-public-key-name : dsakey001
User-public-key-type : dsa
Sftp-directory : flash:
Service-type : sftp
Authorization-cmd : No
----Fin
l Archivo de configuración del servidor SSH
#
sysname SSH Server
#
dsa peer-public-key dsakey001 encoding-type der
public-key-code begin
30820322
02820100
DEDEBA5C 8244DCB8 E696917C EFEBC0B3

E6FB60BE
8B9E36D3 E4EB9CD6 EB7FD210 219AC0F4

1AD47BF1
EACD435D 39AFA8FA CB6A7819 305EE147

E428912E
60452B37 CA17D611 C2EE4C46 B4BC7726

54C26856
A99ECFA5 D800367B 31A90522 F139496F

4182DBFD
AAB59973 9AB02185 856A881F 9197368B

92DBF684
9D1C746B A27E12F9 8A28E4B6 D0587D65

5979A750
5413E91E FC961C3F 79209625 CFA8D7D4

69FA35A3

9E37B614 047D535D CD63AF30 58B3A25B

79C714B6
326B7DB6 067EBF15 3CC1A720 B0E1A7E3

9C13FEB3
BA26E6B0 52DC5BFF EE7C5C52 148FE6C2

40738FBB
8F05D416 B2B5DD72 E3629BB5 9244BF9F

A29C4FCD
4EA0EE50 1FC6695D 03D68D51

9324E493
0214
C6C484E1 F0076B8A FCAD302B 98B50A3A

542ABEBB
02820100
3AC11746 EE959CBD 30F669C5 7E290BC4

7CB5BBFD
96AE9215 7A29C723 72FE8A02 EBED3B76

BE810B42
21AD8D32 F7723F83 59F46B66 FF7805CC

3F86D5D6
5BD424BD 70677EFF 1ACF9B3C CE02CD40

46560DA4
2036205C 6EFAB148 66E6A106 0DF6258B

EE31CFE7
4B6C59B4 6FE59A9F BE64F982 EC36A669

FF597FB7
9A56E32E C15A0659 3D17C407 29F587C7

74959017
62B08070 24564B2E E79C6E1D 86793548

76CC662A
1D3DE1D1 2C79E102 C0B10E5C 9C4428B3

AEB93278
26D4CDE5 189A93EA 531E0FF8 2199EF35

DF038976
4538434F F39924F0 5BF17AC8 8E340991

B5EA0A62
A915EE63 F660C092 360C5D2D 796AF230

DB7461F7
C15B6DBA 65C9EFAB 247DB13D

4942E2FF
02820100
D7C6399A 86F7B38C 85168EF8 692BD9B4

01AA7BCD

98559075 98039259 0C54818C 650A95C7

0A5250EB
12124E5B C4123350 C190CC8B 4FFFD418

7E8F113F
6C36AB4B A56D2D1D 2C874C75 8400DAFE

4BABF957
4EDC8E7C DF5934DB 3AD717E5 50B1096B

C0B46DE5
3FB508FA CB76FF1C 42CF7082 7DDEEB47

5C5C4F64
B1C8815C 496AC1E0 04C10EDD FE849B76

6DA15B48
0C9CF0B1 10BDDC08 41A65C28 8E21ADC6

48A93DF6
14552C1F 76A401AE E06E482D 6582052E

5B11A678
A467B38A B77C1C55 D367E253 FFA44841

FC38A462
B9AC24E6 DAD01628 F09ED629 58F666C1

1DEF7BD0
634C3D13 D75F2614 8CB49AFC 498A5195

F443CA4D
C02FF228 A90D7593 AE46C5D0 4B224FEE

public-key-code end
peer-public-key end
#
aaa
local-user client001 password irreversible-cipher %^%#-=9Z)M,-aL$_U%#$W^1T-
\}Fqpe$E<#H$J<6@KTSL/J'\}I-%^%#
local-user client001 service-type ssh
#
sftp server enable
ssh user client001
ssh user client001 authentication-type password
ssh user client002
ssh user client002 authentication-type dsa
ssh user client002 assign dsa-key dsakey001
#
#
return
l Archivo de configuración de client001

#
sysname client001
#
ssh client first-time enable
#
return
l Archivo de configuración de client002

#
sysname client002
#
ssh client first-time enable
#
return

Ejemplos típicos de configuración 4 Configuración típica para gestión de dispositivos
4 Configuración típica para gestión de

dispositivos
4.1 Configuración típica de pila de switches fijos

4.2 Configuración típica de CSS de los switches modulares
4.3 Configuración típica de SVF
4.4 Configuración típica de PoE
4.1 Configuración típica de pila de switches fijos
4.1.1 Descripción general de la pila

Los switches fijos a menudo se despliegan en la capa de agregación y la capa de acceso. A
diferencia de los switches modulares, los switches fijos tienen un número fijo de puertos y no
pueden agregar LPU para expandir la cantidad de puertos. Cuando la red se expande
continuamente, es posible que la cantidad de puertos proporcionados por un único switch fijo
sea insuficiente para cumplir con los requisitos de la red. La tecnología de pila utiliza los
puertos de miembro físicos y los cables de pila para combinar múltiples switches con
capacidad de apilamiento en un solo switch lógico. Puede configurar una pila para mejorar la
escalabilidad de la red y la confiabilidad del dispositivo.
4.1.2 Método y recomendaciones del despliegue de pila
4.1.2.1 Recomendaciones del despliegue de ubicación de pila
Escenario 1: El sistema de pila funciona con los switches de agregación

Este es el escenario más común cuando los switches de agregación configuran un sistema de
pila, como se muestra en Figura 4-1.

Los siguientes modelos de switches pueden configurar un sistema de pila en este escenario:
S6300EI, S6320HI, S5300HI, S5310EI, S5300EI, S5300SI, S5320EI, S5320HI y S6320EI.
En este escenario, cada switch en una pila se conecta a un dispositivo de core a través de Eth-
Trunk. El sistema de pila simplifica la gestión de los dispositivos de agregación y mejora la
confiabilidad del enlace ascendente de los dispositivos de acceso.
Figura 4-1 Sistema de pila que opera en los switches de agregación

CSS
Core
AC
Agregación Stack
Acceso
AP
Usuario
Escenario 2: El sistema de pila funciona con los switches de acceso

Este es el escenario más común cuando los switches de acceso de Capa 2 configuran un
sistema de pila, como se muestra en Figura 4-2.
S2320EI, S2350EI, S5300LI, S5320LI, S5300EI, S5300SI, S5320SI, S5330SI y S6320SI.
En este escenario, cada switch en una pila se conecta a un dispositivo de agregación a través
de Eth-Trunk. El sistema de pila simplifica la gestión y mejora la confiabilidad del enlace
ascendente de los dispositivos de acceso.

Figura 4-2 Sistema de pila que opera en los switches de acceso
Core CSS
AC
Agregación
Stack
Acceso
AP
Usuario
Escenario 3: El sistema de pila funciona con los anillos de acceso

Este escenario rara vez ocurre. Figura 4-3 muestra la red de este escenario.
S2320EI, S2350EI, S5300LI, S5320LI, S5300EI, S5300SI, S5320SI, S5330SI y S6320SI.
En este escenario, múltiples sistemas de pila forman un anillo a través de Eth-Trunk, y un
sistema de pila se conecta a los switches de agregación a través de Eth-Trunk. Este escenario
reduce la cantidad de direcciones IP de gestión de los dispositivos de acceso.

Figura 4-3 Sistema de pila que funciona en un anillo de acceso

Core CSS
AC
Agregación
Acceso
Stack Stack
1 2
Stack
3
Usuario AP
Recomendaciones
NOTA
Las siguientes recomendaciones se proporcionan en función del posicionamiento de los modelos de switch
fijo. Si los clientes tienen requisitos especiales, se recomienda desplegar los dispositivos de gama alta en una
capa de red inferior; no se recomienda desplegar los dispositivos de gama baja en una capa de red superior.
Por ejemplo, se recomienda desplegar los switches de agregación en la capa de acceso en lugar de desplegar
los switches de acceso en la capa de agregación.
Para garantizar la confiabilidad de la pila y el ancho de banda, se recomienda hacer lo siguiente:
l Asegúrese de que cada dispositivo de miembro se conecte al dispositivo de core a través de un puerto
de enlace ascendente. Esta conexión evita que el reenvío de tráfico ascendente se vea afectado cuando
falla cualquier dispositivo de miembro.
l Cuando use varios dispositivos para configurar una pila, asegúrese de que haya el mismo ancho de
banda entre dos dispositivos. De lo contrario, el ancho de banda del sistema de pila es el ancho de
banda de pila mínimo.
Tabla 4-1 Recomendaciones de escenarios

Modelo Escenario 1 Escenario 2 Escenario 3
S5300HI, S5310EI, Primero preferido Segundo preferido No recomendado

S6300EI

Modelo Escenario 1 Escenario 2 Escenario 3
S5320EI, S5320HI, Primero preferido Segundo preferido Segundo preferido

S6320EI
S5300EI, S5300SI Primero preferido Primero preferido Segundo preferido
S5320SI Segundo preferido Primero preferido Primero preferido
S2320EI, S2350EI, No recomendado Primero preferido Segundo preferido

S5300LI, S5320LI,
S5330SI, S6320SI
4.1.2.2 Determine la topología de la pila
Redes para una pila de más de dos dispositivos de miembro

Se puede conectar una pila en una topología de cadena o anillo dependiendo del modo de
conexión de la pila, como se muestra en Figura 4-4. Tabla 4-2 comparan las dos topologías
de pila en términos de la confiabilidad, el uso de ancho de banda de enlace y la conveniencia
de las conexiones de cable.
Figura 4-4 Topologías de pila
Master
iStack
iStack
Master Standby Slave

Standby Slave
Topología de Topología de
cadena anillo

Tabla 4-2 Comparación entre topologías de pila

Topología de pila Ventajas Desventajas Escenario
aplicable
Topología de cadena Aplicable al l Baja Los dispositivos de

apilamiento a larga confiabilidad: Si miembro están lejos
distancia porque el falla cualquier el uno del otro y es
primer y último enlace de pila, la difícil de desplegar
switch de miembro pila se divide. una topología de
no necesitan ser l Uso de enlaces anillo.
conectado por un de baja pila:
enlace físico. Toda la pila se
basa en una sola
ruta.
Topología de anillo l Alta El primer y último Los switches de

confiabilidad: Si switch de miembro miembro se
falla un enlace de deben estar encuentran cerca
pila, la topología conectados por un uno del otro.
cambia de anillo enlace físico, por lo
a cadena, y la que esta topología
pila aún puede no es aplicable al
funcionar apilamiento a larga
normalmente. distancia.
l Alta eficiencia de
ancho de banda
de enlace: Los
datos pueden ser
enviados a lo
largo de la ruta
más corta.
Redes para una pila de dos dispositivos de miembro

l Dos dispositivos pueden configurar una pila en una topología de cadena, como se
muestra en Figura 4-5. En esta topología, solo existe un puerto de pila lógico entre los
dos dispositivos y no existe ningún bucle en la pila.
Figura 4-5 Solo un puerto de pila lógico entre dos dispositivos de miembro
Enlace del puerto de pila
lógico
l Dos dispositivos pueden configurar una pila en una red back-to-back, como se muestra
en Figura 4-6. En esta red, existen dos puertos lógicos de pila entre los dos dispositivos,
y existe un bucle en la pila, que será eliminado automáticamente por el sistema.

Figura 4-6 Dos puertos de pila lógicos entre dos dispositivos de miembro
Enlace del puerto de pila lógico
Enlace del puerto de pila lógico
Cuando se usan dos dispositivos para configurar una pila, se recomienda hacer lo siguiente:
l Si los dispositivos brindan no más que 28 puertos, use la red con solo un puerto de pila
lógico. De lo contrario, use la red back-to-back.
l Si es necesario agregar más dispositivos de miembro a la pila en el futuro, use la red
back-to-back, que requerirá una modificación mínima en el sistema existente.
l Conecte al menos dos cables de pila entre los dos dispositivos para garantizar la
confiabilidad.
4.1.2.3 Recomendaciones de configuración del servicio
Dependencias y limitaciones de la función

Restricciones de versión:
l Cuando múltiples switches configuran una pila, los switches de miembro sincronizarán
la versión en ejecución del switch principal. Si un switch de miembro no admite esta
versión en ejecución, se reiniciará repetidamente.
l En V200R009C00, si existen los S5320EI incapaces de MPLS en una pila, esta pila no
puede tener MPLS habilitado. Si los dispositivos de miembro en una pila están
ejecutando los servicios de MPLS, no se permite agregar los S5320EI incapaces de
MPLS a la pila.
Especificaciones de MAD:
l Puede configurar un máximo de ocho enlaces de detección directos para cada switch de
miembro en una pila.
l Puede configurar el modo de retransmisión en un máximo de cuatro Eth-Trunks en una
pila.
l En V200R008C00 y versiones anteriores, puede configurar un máximo de 64 Eth-Trunks
en un agente de retransmisión para proporcionar la función de retransmisión para
múltiples pilas. Esta restricción no se aplica a versiones posteriores a V200R008C00.
Después de que múltiples switches forman una pila, las siguientes características no se
pueden configurar en la pila:
l Y.1731
l N:1 Mapeo de VLAN
l Túnel IPv6 sobre IPv4
l Túnel IPv4 sobre IPv6
l E-Trunk
Recomendaciones del despliegue

l Conecte una pila a otros dispositivos de red usando un Eth-Trunk y agregue un puerto de
cada switch de miembro al Eth-Trunk.

l Cuando una pila se conecta a los dispositivos de acceso, configure los puertos
directamente conectados a los terminales como puertos de borde STP para evitar el
recálculo de STP cuando los puertos se alternen entre los estados de Up y Down. Esta
configuración asegura el reenvío de tráfico normal.
l Si se necesita configurar el control de tormentas en muchos puertos, reemplace el control
de tormentas con supresión de tráfico para ahorrar los recursos de CPU.
l Si la seguridad del puerto necesita configurarse en muchos puertos, reemplace la
seguridad del puerto con la limitación de aprendizaje de la dirección MAC para ahorrar
los recursos de la CPU.
l Pueden ocurrir bucles en una red a la que se conecta una pila. Ejecute el comando mac-
address flapping action error-down para establecer una interfaz al estado de error-
down cuando se detecta cambio del direccionamiento MAC en la interfaz. Esto mejora el
rendimiento del procesamiento del sistema y permite que el dispositivo del otro extremo
detecte que la interfaz está Down. Además, si el dispositivo del otro extremo tiene
enlaces redundantes, el tráfico puede cambiar rápidamente a un enlace normal.
4.1.3 Determinación de la compatibilidad y el modo de conexión

de pila
4.1.3.1 Compatibilidad de la versión de Stack
NOTA
Los switches pueden conformar una pila a través de la conexión de tarjetas de apilamiento y la conexión
de puertos de servicio según los tipos de puerto de apilamiento. Las conexiones de puertos de servicio se
clasifican en comunes y dedicadas según los tipos de cable.
l Conexión de cable común: Los switches usan cables ópticos, cables de red y cables de alta
velocidad para conformar una pila.
l Conexión de cable dedicada: Los switches usan cables de apilamiento dedicados para conformar
una pila. Este modo de conexión también se denomina "apilamiento con configuración cero".
Tabla 4-3 Modelos y versiones aplicables del producto

Producto Versión del software Modo de conexión
de apilamiento
S2300SI No se admite -
S2300EI V100R005C01, Conexión de puertos

V100R006(C00&C01&C03&C05) de servicio usando
cables comunes
S2320EI Versiones compatibles con la conexión de Conexiones de

puertos de servicio utilizando cables comunes: puertos de servicio
V200R011C10, V200R012C00 utilizando cables
Versiones compatibles con la conexión de comunes y dedicados
puertos de servicio usando cables dedicados:
V200R011C10 y V200R012C00


de apilamiento

V200R003C00, V200R005C00SPC300, utilizando cables
V200R006C00, V200R007C00, comunes y dedicados
V200R008C00, V200R009C00,
V200R010C00, V200R011C10, V200R012C00
Versiones compatibles con la conexión de
V200R011C10 y V200R012C00
S3300SI V100R005C01, Conexión de puertos

cables comunes
S3300EI V100R005C01, Conexión de puertos

cables comunes
S3300HI No se admite -
S5300EI V100R005C01, V100R006(C00&C01), Conexión de tarjetas

V200R001C00, V200R002C00, de apilamiento
V200R003C00, V200R005(C00&C01&C02)
S5300SI V100R005C01, V100R006(C00&C01), Conexión de tarjetas

V200R003C00, V200R005(C00&C02)
S5300HI V200R003C00, V200R005C00 Conexión de puertos

de servicio usando
cables comunes
S5300LI Versiones compatibles con la conexión de Conexiones de

V200R001C00, V200R002C00, utilizando cables
V200R003(C00&C02), comunes y dedicados
V200R005C00SPC300, V200R006C00,
V200R007C00, V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
V200R011C10 y V200R012C00
S5306LI No se admite -
S5310EI V200R002C00, V200R003C00, Conexión de puertos

V200R005(C00&C02) de servicio usando
cables comunes


de apilamiento
S5320LI Versiones compatibles con la conexión de Conexiones de

V200R010C00, V200R011C10, V200R012C00 utilizando cables
Versiones compatibles con la conexión de comunes y dedicados
V200R011C10 y V200R012C00
S5320SI Versiones compatibles con la conexión de Conexiones de

V200R008(C00&C10), V200R009C00, utilizando cables
V200R010C00, V200R011C10, V200R012C00 comunes y dedicados
V200R011C10 y V200R012C00
S5320EI V200R007C00, V200R008C00, Conexión de tarjetas

V200R011C10, V200R012C00 Cuando utilice el
modo de conexión de
tarjetas de
apilamiento, tenga en
cuenta lo siguiente:
l Los switches de
las series S5320-
C-EI y S5320-PC-
EI utilizan tarjetas
de apilamiento
dedicadas para
conformar pilas.
l Los switches de
las series S5320-
X-EI y S5320-P-
EI usan puertos de
apilamiento fijos
de las tarjetas para
conformar pilas.
S5320HI Versiones compatibles con la conexión de Conexiones de

V200R011C10, V200R012C00 comunes y dedicados
V200R011C10 y V200R012C00
S5330SI V200R011C10, V200R012C00 Conexiones de

puertos de servicio
utilizando cables
comunes y dedicados


de apilamiento
S6300EI V100R006C00, V200R001(C00&C01), Conexión de puertos

V200R002C00, V200R003C00, de servicio usando
V200R005(C00&C01&C02) cables comunes

V200R010C00, V200R011C10, V200R012C00 comunes y dedicados
V200R011C10 y V200R012C00
S6320HI V200R012C00 Conexiones de

puertos de servicio
utilizando cables
comunes y dedicados
S6320SI V200R011C10, V200R012C00 Conexiones de

puertos de servicio
utilizando cables
comunes y dedicados
4.1.3.2 Compatibilidad con el apilamiento de puertos de servicio del S2300

NOTA
l Para los cables que se pueden usar como cables de apilamiento, consulte la sección "Cables" de la
Descripción del hardware. El uso de otros cables puede causar excepciones en el sistema de apilamiento;
por ejemplo, eventos frecuentes de error o desconexión en los puertos de apilamiento.
l Los puertos combinados no pueden funcionar como subpuertos de apilamiento.
l Desde la versión V200R011C10, los switches de las series S2320EI y S2350EI pueden conformar pilas en
modo de apilamiento de puertos de servicio utilizando cables de apilamiento dedicados.
l Se recomienda que la cantidad de S2300EI o S2350EI utilizados para establecer una pila sea de 2 a 5, y se
recomienda que la cantidad de S2320EI utilizados para establecer una pila sea de 2 a 9.

Tabla 4-4 Compatibilidad con el apilamiento de puertos de servicio

Serie Puerto que Cable de Velo Observaciones
de admite el apilamiento cida
disp apilamiento d de
ositi un
vos solo
puert
o
S230 Primeros dos Cable de pila 2,5 l Entre los switches S2300EI, solo el
0EI puertos GE SFP de 1,5 m Gbit/s S2352P-EI-AC y el S2352P-EI-DCI
del panel admiten la función de apilamiento. Se
frontal puede establecer una pila entre el
S2352P-EI-AC y el S2352P-EI-DC.
l Un switch admite un máximo de dos
puertos lógicos de apilamiento, y
cada puerto lógico de apilamiento
contiene un subpuerto de
apilamiento. Un switch admite un
máximo de dos subpuertos de
apilamiento.


ositi un
vos solo
puert
o
S232 Dos o cuatro l Cables de 2,5 l Cualquier modelo de la serie

0EI puertos cobre de Gbit/s S2320EI puede conformar una pila.
ópticos SFP alta l Un switch admite un máximo de dos
velocidad puertos lógicos de apilamiento, y
SFP+ cada puerto lógico de apilamiento
pasivos de contiene uno o dos subpuertos de
1 m, 3 m apilamiento. Un switch admite un
y5m máximo de cuatro subpuertos de
l Cables de apilamiento.
cobre de
alta
velocidad
SFP+
activos de
10 m
l Cables
AOC de 3
m y 10 m
l Módulo
óptico de
apilamien
to 6GE
(SFP-6GE
-LR) y
fibra
óptica
l Cable de
apilamien
to
dedicado
SFP+ de
0,5 m y
1,5 m
(admitido
en
V200R01
1C10 y
versiones
posteriore
s)


ositi un
vos solo
puert
o
S235 Dos puertos l Cables de 2,5 l Cualquier modelo de la serie

0EI ópticos SFP cobre de Gbit/s S2350EI puede conformar una pila.
alta l En un switch S2350EI, solo los
velocidad puertos de servicio tercero y cuarto
pasivos contando desde la derecha se pueden
SFP+ de 1 configurar como subpuertos de
m apilamiento de un puerto lógico de
l Cables de apilamiento.
cobre de l Un switch admite un máximo de dos
alta puertos lógicos de apilamiento, y
velocidad cada puerto lógico de apilamiento
SFP+ contiene uno o dos subpuertos de
activos de apilamiento. Cada switch puede usar
10 m un máximo de dos puertos de servicio
l Cables como subpuertos de apilamiento.
AOC de 3
m y 10 m
l Módulo
óptico de
apilamien
to 6GE
(SFP-6GE
-LR) y
fibra
óptica
l Cable de
apilamien
to
dedicado
SFP+ de
0,5 m y
1,5 m
(admitido
en
V200R01
1C10 y
versiones
posteriore
s)

4.1.3.3 Compatibilidad con el apilamiento de puertos de servicio del S3300

NOTA
l Algunos puertos de servicio compatibles con el apilamiento se pueden usar como puertos de apilamiento,
mientras que otros se pueden usar como puertos de servicio comunes.
l Se recomienda que la cantidad de switches apilados sea de 2 a 5.

ositi un
vos solo
puert
o
S330 Primeros dos Cable de pila 2,5 l Todos los modelos admiten la
0EI puertos GE SFP de 1,5 m Gbit/s función de apilamiento, excepto que
del panel no se puede configurar una pila entre
frontal el S3352EI y el S3328EI.
apilamiento.
S330 Primeros dos Cable de pila 2,5 l Todos los modelos admiten la
0SI puertos GE SFP de 1,5 m Gbit/s función de apilamiento, excepto que
del panel no se puede configurar una pila entre
frontal el S3352SI y el S3328SI.
apilamiento.

4.1.3.4 Compatibilidad con el apilamiento de tarjetas del S5300EI/S5300SI

NOTA
Tabla 4-6 Compatibilidad con el apilamiento de tarjetas de servicio

Serie de Puerto que Cable de Velocidad Observaciones
dispositivo admite el apilamiento de un solo
s apilamient puerto
o
S5300SI Dos puertos l Cable PCIe de 1 12 Gbit/s Cualquier modelo de

de cada m la serie S5300SI
tarjeta de l Cable PCIe de 3 puede conformar
apilamiento m (admitido en una pila.
V200R003 y
versiones
posteriores)
S5300EI Dos puertos l Cable PCIe de 1 12 Gbit/s Cualquier modelo de

de cada m la serie S5300EI
tarjeta de l Cable PCIe de 3 puede conformar
apilamiento m (se admite en una pila.
V200R002 y
versiones
posteriores. En
V200R002, solo
el S5352C-EI y
el S5328C-
EI-24S admiten
el cable PCIe de
3 m. En
V200R003 y
versiones
posteriores, toda
la serie S5300EI
admite el cable
PCIe de 3 m.

4.1.3.5 Soporte de apilamiento del puerto de servicio de S5300HI

NOTA
Descripción del hardware. El uso de otros cables puede causar excepciones en el sistema de
apilamiento; por ejemplo, eventos frecuentes de error o desconexión en los puertos de apilamiento.
l Algunos puertos de servicio compatibles con el apilamiento se pueden usar como puertos de
apilamiento, mientras que otros se pueden usar como puertos de servicio comunes.
Tabla 4-7 Soporte de apilamiento de puertos de servicio

Serie Puerto de Cable de Tasa Observaciones
de soporte de pila de
disp apilamiento un
ositi solo
vos puert
o
S530 Puertos l Cables de 10 l Cualquier modelo de la serie

0HI 10GE en cobre Gbit/s S5300HI puede configurar una pila.
tarjetas pasivos de l Un switch admite un máximo de dos
frontales: El alta puertos de pila lógica, y cada puerto
S5300HI velocidad de pila lógica admite al menos un
admite SFP+ de 1 puerto de miembro de pila y, como
tarjetas my3m máximo, cuatro puertos de miembro
frontales l Cables de de pila. Un switch admite un máximo
LS5D00X2S cobre de de cuatro puertos de miembro de pila.
A00 y alta
LS5D00X4S l Después de que una tarjeta frontal se
velocidad reemplaza por una tarjeta de un tipo
A00, que SFP+
admiten dos diferente, las configuraciones de la
activos de pila se vuelven ineficaces y deben
y cuatro 10 m
puertos volver a realizarse.
ópticos SFP l Cables
+ 10GE, AOC de 3
respectivame m y 10 m
nte. l Módulo
óptico
10GE
SFP+ y
fibra
óptica

4.1.3.6 Soporte de apilamiento de puertos de servicio S5320HI

NOTA
l Desde V200R011C10, los switches de la serie S5320HI pueden configurar pilas en el modo de
apilamiento del puerto de servicio mediante cables de apilamiento dedicados.

Tabla 4-8 Soporte de apilamiento de puertos de servicio

disp apilamiento un
ositi solo
vos puert
o
S532 Cuatro l Cables de 10 l Cualquier modelo de la serie

0HI puertos cobre de Gbit/s S5320HI puede configurar una pila.
ópticos SFP+ alta l Un switch admite un máximo de dos
velocidad puertos de pila lógica, y cada puerto
SFP+ de pila lógica admite un máximo de
pasivos de ocho puertos de miembro de pila.
1 m, 3 m Cada switch puede usar un máximo
y5m de ocho puertos de servicio como
l Cables de puertos de miembro de la pila.
cobre de
alta
velocidad
SFP+
activos de
10 m
l Cables
AOC de 3
m y 10 m
l Módulo
óptico
10GE
SFP+ y
fibra
óptica
l Cable de
apilamien
to
dedicado
SFP+ de
0,5 m y
1,5 m
(admitido
en
V200R01
1C10 y
versiones
posteriore
s)


disp apilamiento un
ositi solo
vos puert
o
Puertos en l Cables de 10
una tarjeta de cobre de Gbit/s
interfaz alta
10GE de 4 velocidad
puertos SFP+
pasivos de
1 m, 3 m
y5m
l Cables de
cobre de
alta
velocidad
SFP+
activos de
10 m
l Cables
AOC de 3
m y 10 m
l Módulo
óptico
10GE
SFP+ y
fibra
óptica
4.1.3.7 Compatibilidad con el apilamiento de puertos de servicio del S5300LI

NOTA
l Los switches de la serie S5300LI se clasifican en S5300-P-LI, S5300-TP-LI y S5300-X-LI según sus
tipos de interfaces de enlace ascendente. No se puede conformar una pila entre S5300-P-LI, S5300-
TP-LI y S5300-X-LI.
l Desde la versión V200R011C10, los switches S5300LI pueden conformar pilas en el modo de
apilamiento de puertos de servicio utilizando cables de apilamiento dedicados.


Serie Puert Cable de Velocidad Observaciones
de o apilamiento de un solo
disp que puerto
ositi admi
vos te el
apila
mien
to
S530 l V l Cable de l Usando l Entre los switches de la serie S5300-

0-P- 20 cobre un cable P-LI, el S5300-10P-LI-AC, el
LI 0 pasivo de de cobre S5300-10P-PWR-LI-AC, el
R alta SFP+ S5300-28P-LI-BAT y el S5300-28P-
01 velocidad pasivo de LI-24S-BAT no admiten la función
0 SFP+ de 1 alta de apilamiento.
y m velocidad l Cualquier modelo de la serie S5300-
ve l Cable de de 1 m: P-LI puede conformar una pila.
rsi cobre 2,5 Gbit/s
on l V200R010 y versiones anteriores: Un
activo de l Usando switch admite un máximo de dos
es alta un cable
an puertos lógicos de apilamiento, y
velocidad de cobre cada puerto lógico de apilamiento
ter SFP+ de SFP+
ior contiene un subpuerto de
10 m activo de apilamiento. Un switch admite un
es: alta
lo l Cables máximo de dos subpuertos de
velocidad apilamiento.
s AOC de 3
de 10 m:
do m y 10 m l V200R011 y versiones posteriores:
5 Gbit/s
s (admitido Un switch admite un máximo de dos
últ s en l Usando puertos lógicos de apilamiento, y
im V200R00 un cable cada puerto lógico de apilamiento
os 3y AOC de 3 contiene uno o dos subpuertos de
pu versiones m o 10 m: apilamiento. Un switch admite un
ert posteriore 2,5 Gbit/s máximo de cuatro subpuertos de
os s) l Usando apilamiento. Cuando un puerto lógico
óp l Módulo un de apilamiento contiene dos
tic óptico de módulo subpuertos de apilamiento, el puerto
os apilamien óptico de lógico de apilamiento puede contener
SF to 6GE apilamien solo los subpuertos de apilamiento 1
P (SFP-6GE to 6GE: y 2, o 3 y 4.
l V -LR) y 2,5 Gbit/s
20 fibra l Usando
0 óptica un cable
R (compatib de
01 le con apilamien
1 V200R00 to
y 7y dedicado
ve versiones SFP+ de
rsi posteriore 0,5 m y
on s) 1,5 m: 2,5
es l Cable de Gbit/s
apilamien


disp que puerto
ositi admi
vos te el
apila
mien
to
po to
ste dedicado
rio SFP+ de
re 0,5 m y
s: 1,5 m
lo (admitido
s en
cu V200R01
atr 1C10 y
o versiones
últ posteriore
im s)
os
pu
ert
os
óp
tic
os
SF
P


disp que puerto
ositi admi
vos te el
apila
mien
to
S530 Dos l Cable de l Usando l Cualquier modelo de la serie S5300-

0-TP- puert cobre un cable TP-LI puede conformar una pila.
LI os pasivo de de cobre l Un switch admite un máximo de dos
óptic alta SFP+ puertos lógicos de apilamiento, y
os velocidad pasivo de cada puerto lógico de apilamiento
SFP SFP+ de 1 alta contiene uno o dos subpuertos de
m velocidad apilamiento. Cada switch puede usar
l Cable de de 1 m: un máximo de dos puertos de servicio
cobre 2,5 Gbit/s como subpuertos de apilamiento.
activo de l Usando
alta un cable
velocidad de cobre
SFP+ de SFP+
10 m activo de
l Cables alta
AOC de 3 velocidad
m y 10 m de 10 m:
5 Gbit/s
l Módulo
óptico de l Usando
apilamien un cable
to 6GE AOC de 3
(SFP-6GE m o 10 m:
-LR) y 2,5 Gbit/s
fibra l Usando
óptica un
(compatib módulo
le con óptico de
V200R00 apilamien
7y to 6GE:
versiones 2,5 Gbit/s
posteriore l Usando
s) un cable
l Cable de de
apilamien apilamien
to to
dedicado dedicado
SFP+ de SFP+ de
0,5 m y 0,5 m y
1,5 m 1,5 m: 2,5
(admitido Gbit/s
en
V200R01


disp que puerto
ositi admi
vos te el
apila
mien
to
1C10 y
versiones
posteriore
s)


disp que puerto
ositi admi
vos te el
apila
mien
to
S530 Cuatr l Cable de 10 Gbit/s l Cualquier modelo de la serie S5300-

0-X- o cobre X-LI puede conformar una pila.
LI puert pasivo de l Un switch admite un máximo de dos
os alta puertos lógicos de apilamiento, y
óptic velocidad cada puerto lógico de apilamiento
os SFP+ de 1 contiene uno o dos subpuertos de
SFP+ m apilamiento. Cada switch puede usar
l Cable de un máximo de cuatro puertos de
cobre servicio como subpuertos de
pasivo de apilamiento. Cuando un puerto lógico
alta de apilamiento contiene dos
velocidad subpuertos de apilamiento, el puerto
SFP+ de 3 lógico de apilamiento puede contener
m solo los subpuertos de apilamiento 1
l Cable de y 2, o 3 y 4.
cobre
pasivo de
alta
velocidad
SFP+ de 5
m
(admitido
en
V200R00
9y
versiones
posteriore
s)
l Cable de
cobre
activo de
alta
velocidad
SFP+ de
10 m
l Cables
AOC de 3
m y 10 m
(admitido
s en
V200R00
3y


disp que puerto
ositi admi
vos te el
apila
mien
to
versiones
posteriore
s)
l Módulo
óptico
10GE
SFP+ y
fibra
óptica
l Cable de
apilamien
to
dedicado
SFP+ de
0,5 m y
1,5 m
(admitido
en
V200R01
1C10 y
versiones
posteriore
s)
4.1.3.8 Compatibilidad con el apilamiento de puertos de servicio del S5310EI

NOTA
l Algunos puertos de servicio compatibles con el apilamiento se pueden usar como puertos de apilamiento,
mientras que otros se pueden usar como puertos de servicio comunes.


ositi un
vos solo
puert
o
S531 Cualquier los l Cable de 10 l Cualquier modelo de la serie

0EI puertos cobre Gbit/s S5310EI puede conformar una pila.
10GE, pasivo de l Un switch admite un máximo de dos
incluidos los alta puertos lógicos de apilamiento, y
cuatro velocidad cada puerto lógico de apilamiento
puertos SFP+ de 1 admite al menos un subpuerto de
ópticos fijos m apilamiento y, como máximo, cuatro
10GE SFP+ l Cable de subpuertos de apilamiento. Un switch
del panel cobre admite un máximo de ocho
frontal y los pasivo de subpuertos de apilamiento.
puertos de la alta
tarjeta l Los puertos de tarjetas posteriores
velocidad diferentes se pueden añadir al mismo
posterior SFP+ de 3
LS5D00X2S puerto lógico de apilamiento, pero los
m puertos de una tarjeta posterior y los
A00 (un
switch l Cable de puertos fijos del panel frontal no se
admite un cobre pueden añadir al mismo puerto lógico
máximo de activo de de apilamiento.
dos tarjetas alta
traseras, y velocidad
cada tarjeta SFP+ de
proporciona 10 m
dos puertos l Cables
ópticos 10GE AOC de 3
SFP+). m y 10 m
(admitido
s en
V200R00
3y
versiones
posteriore
s)
l Módulo
óptico
10GE
SFP+ y
fibra
óptica

4.1.3.9 Compatibilidad con el apilamiento de tarjetas del S5320EI

NOTA
l Los switches de la serie S5320EI se clasifican en S5320-C-EI, S5320-PC-EI, S5320-X-EI y S5320-
P-EI en función de sus tipos de interfaces de enlace ascendente.
l En V200R009C00 y versiones posteriores, si hay switches S5320EI sin capacidad de MPLS en una
pila, esta pila no puede tener habilitada la función MPLS. Si los dispositivos que forman parte de
una pila están ejecutando servicios MPLS, no se permite añadir switches S5320EI sin capacidad de
MPLS a la pila. Para comprobar si los S5320EI son compatibles con MPLS, ejecute el comando
display device capability.
Tabla 4-11 Compatibilidad con el apilamiento de tarjetas de servicio

Serie Puerto que Cable de Observaciones
de admite el apilamiento
dispos apilamiento
itivos
S5320- Dos puertos de l Cables pasivos Cualquier modelo de la serie S5320EI

C-EI y cada tarjeta de de alta puede conformar una pila.
S5320- apilamiento velocidad
PC-EI QSFP+ de 1
m, 3 m y 5 m
l Módulo óptico
QSFP+ (solo
se admiten
QSFP-40G-
SR4 y
QSFP-40G-
iSR4) y fibra
óptica acorde
S5320- Dos puertos fijos l Cables pasivos

X-EI y del panel trasero de alta
S5320- velocidad
P-EI QSFP+ de 1
m, 3 m y 5 m
l Módulo óptico
QSFP+ (solo
se admiten
QSFP-40G-
SR4 y
QSFP-40G-
iSR4) y fibra
óptica acorde

4.1.3.10 Compatibilidad con el apilamiento de puertos de servicio del S5320LI

NOTA
l Los switches de la serie S5320LI se clasifican en S5320-P-LI, S5320-TP-LI y S5320-X-LI según sus
tipos de interfaces de enlace ascendente. Se puede configurar una pila entre el S5320-P-LI, el
S5320-TP-LI y el S5320-X-LI si estos switches utilizan los mismos tipos de puerto de apilamiento.
Es decir, todos usan puertos eléctricos del panel frontal o usan puertos ópticos SFP o SFP+.
l Desde la versión V200R011C10, los switches S5320LI pueden conformar pilas en el modo de


ositi un
vos solo
puert
o
S532 Cuatro l Cables de 2,5 l Entre los switches de la serie S5320-

0-P- puertos cobre de Gbit/s P-LI, el S5320-12P-LI-BAT no
LI ópticos SFP alta admite la función de apilamiento.
NOT (antes de que velocidad l Cuando los puertos ópticos SFP se
A el dispositivo SFP+ usan como puertos de apilamiento,
Se tenga cargada pasivos de Un switch admite un máximo de dos
adm la licencia) 1 m, 3 m
ite
y5m cada puerto lógico de apilamiento
solo
en l Cables de contiene uno o dos subpuertos de
la cobre de apilamiento. Cada switch puede usar
vers alta un máximo de cuatro puertos de
ión servicio como subpuertos de
velocidad
V20
0R0 SFP+ apilamiento. Cuando un puerto lógico
11. activos de de apilamiento contiene dos
10 m subpuertos de apilamiento, el puerto
l Cables lógico de apilamiento puede contener
AOC de 3 solo los subpuertos de apilamiento 1
m y 10 m y 2, o 3 y 4.
l Cuando los puertos eléctricos del
l Módulo
panel frontal se usan como puertos de
óptico de
apilamiento, un switch admite un
apilamien
máximo de dos puertos lógicos de
to 6GE
apilamiento, y cada puerto lógico de
(SFP-6GE
apilamiento admite al menos un
-LR) y
subpuerto de apilamiento y como
fibra
máximo ocho subpuertos de
óptica
l Cable de máximo de 16 subpuertos de
apilamien apilamiento.
to
l Antes de que el dispositivo tenga
dedicado
cargada la licencia, cuatro puertos
SFP+ de
ópticos son puertos GE, y cada puerto
0,5 m y
funciona a 2,5 Gbit/s en escenarios de
1,5 m
apilamiento. Después de que el
(admitido
dispositivo tenga cargada la licencia
en
y se reinicie, cuatro puertos ópticos
V200R01
son puertos XGE, y cada puerto
1C10 y
funciona a 10 Gbit/s en escenarios de
versiones
apilamiento.
posteriore
s) l Después de que el dispositivo tenga
cargada la licencia y se reinicie, si los
subpuertos de apilamiento se


ositi un
vos solo
puert
o
Cuatro l Cables de 10 conectan usando cables de cobre

puertos cobre de Gbit/s pasivos SFP+ de alta velocidad de 1
ópticos SFP+ alta m o 3 m, su velocidad operativa
(después de velocidad puede aumentarse a 12 Gbit/s
que el SFP+ utilizando el comando stack port
dispositivo pasivos de speed. Después de este aumento de la
tenga cargada 1 m, 3 m velocidad operativa a 12 Gbit/s, los
la licencia y y5m switches que utilizan estos puertos no
se reinicie) l Cables de pueden conformar una pila con
cobre de switches que usen puertos con una
alta velocidad operativa de 10 Gbit/s.
velocidad
SFP+
activos de
10 m
l Cables
AOC de 3
m y 10 m
l Módulo
óptico
10GE
SFP+ y
fibra
óptica
l Cable de
apilamien
to
dedicado
SFP+ de
0,5 m y
1,5 m
(admitido
en
V200R01
1C10 y
versiones
posteriore
s)
Puertos Cable de red 1

eléctricos del de categoría Gbit/s
panel frontal 5 o superior


ositi un
vos solo
puert
o
S532 Dos puertos l Cables de 2,5 l Cuando los puertos ópticos SFP se
0-TP- ópticos SFP cobre de Gbit/s usan como puertos de apilamiento,
LI alta Un switch admite un máximo de dos
pasivos de admite un máximo de dos subpuertos
1 m, 3 m de apilamiento. Cada switch puede
y5m usar un máximo de dos puertos de
l Cables de servicio como subpuertos de
cobre de apilamiento.
alta l Cuando los puertos eléctricos del
velocidad panel frontal se usan como puertos de
SFP+ apilamiento, un switch admite un
activos de máximo de dos puertos lógicos de
10 m apilamiento, y cada puerto lógico de
l Cables apilamiento admite al menos un
AOC de 3 subpuerto de apilamiento y como
m y 10 m máximo ocho subpuertos de
l Módulo máximo de ocho subpuertos de
óptico de apilamiento.
apilamien
to 6GE
(SFP-6GE
-LR) y
fibra
óptica
l Cable de
apilamien
to
dedicado
SFP+ de
0,5 m y
1,5 m
(admitido
en
V200R01
1C10 y
versiones
posteriore
s)


ositi un
vos solo
puert
o

S532 Cuatro l Cables de 10 l Cuando los puertos ópticos SFP+ se

0-X- puertos cobre de Gbit/s usan como puertos de apilamiento,
LI ópticos SFP+ alta Un switch admite un máximo de dos
pasivos de contiene uno o dos subpuertos de
1 m, 3 m apilamiento. Cada switch puede usar
y5m un máximo de cuatro puertos de
l Cables de servicio como subpuertos de
cobre de apilamiento. Cuando un puerto lógico
SFP+ lógico de apilamiento puede contener
activos de solo los subpuertos de apilamiento 1
10 m y 2, o 3 y 4.
l Cables l Cuando los puertos eléctricos o los
AOC de 3 puertos ópticos SFP de enlace
m y 10 m descendente del panel frontal se usan
como puertos de apilamiento, un
l Módulo switch admite un máximo de dos
óptico puertos lógicos de apilamiento, y
10GE cada puerto lógico de apilamiento
SFP+ y admite al menos un subpuerto de
fibra apilamiento y como máximo ocho
óptica subpuertos de apilamiento. Un switch
l Cable de admite un máximo de 16 subpuertos
apilamien de apilamiento.
to l Desde la versión V200R010, están
dedicado disponibles dos modelos de S5320-
SFP+ de X-LI (S5320-28X-LI-24S-AC y
0,5 m y S5320-28X-LI-24S-DC) con puertos
1,5 m ópticos SFP de enlace descendente.
(admitido Estos switches permiten usar puertos
en ópticos SFP de enlace descendente
V200R01 del panel frontal como subpuertos de
1C10 y apilamiento. Si un switch utiliza
versiones puertos ópticos SFP de enlace
posteriore descendente como subpuertos de
s) apilamiento, todos los demás
switches de la pila también deben


ositi un
vos solo
puert
o
Puertos Cable de red 1 usar puertos ópticos SFP de enlace

eléctricos del de categoría Gbit/s descendente como subpuertos de
panel frontal 5 o superior apilamiento.
l Si los subpuertos de apilamiento se
Puertos Módulo 1
conectan usando cables de cobre
ópticos SFP óptico SFP Gbit/s
pasivos SFP+ de alta velocidad de 1
de enlace GE y fibra
m o 3 m, su velocidad operativa
descendente óptica
puede aumentarse a 12 Gbit/s
del panel
utilizando el comando stack port
frontal
speed. Después de este aumento de la
velocidad operativa a 12 Gbit/s, los
switches que utilizan estos puertos no
pueden conformar una pila con
switches que usen puertos con una
velocidad operativa de 10 Gbit/s.
l Si los switches S5320-X-LI están
apilados con switches S5320-P-LI
que no tienen la licencia cargada y
con switches S5320-TP-LI que
utilizan puertos ópticos, ejecute el
comando stack port speed en los
switches S5320-X-LI para disminuir
la velocidad operativa de los
subpuertos de apilamiento a 2,5
Gbit/s.
l El S5320-28X-LI-24S-AC y el
S5320-28X-LI-24S-DC no admiten
puertos eléctricos. Por lo tanto, no
pueden conformar pilas utilizando
puertos eléctricos.

4.1.3.11 Compatibilidad con el apilamiento de puertos de servicio del S5320SI

NOTA
l Los switches de la serie S5320SI se clasifican en S5320-P-SI y S5320-X-SI en función de sus tipos
de interfaces de enlace ascendente.
l Cualquier modelo de la serie S5320SI puede conformar una pila. Cuando se debe conformar una pila
usando diferentes modelos, se deben usar puertos de apilamiento del mismo tipo. Es decir, todos
usan puertos eléctricos de los paneles frontales, sean puertos ópticos SFP+ o SFP.
l Desde la versión V200R011C10, los switches S5320SI pueden conformar pilas en el modo de


ositi un
vos solo
puert
o
S532 Cuatro l Cables de 10 l Cuando los puertos ópticos SFP se

0-P- puertos cobre Gbit/s usan como puertos de apilamiento,
SI ópticos SFP pasivos de Un switch admite un máximo de dos
SFP+ de 1 contiene uno o dos subpuertos de
my3m apilamiento. Cada switch puede usar
l Cables de un máximo de cuatro puertos de
pasivos de apilamiento. Cuando un puerto lógico
(admitido y 2, o 3 y 4.
s en l Cuando los puertos eléctricos del
V200R00 panel frontal se usan como puertos de
9y apilamiento, un switch admite un
versiones máximo de dos puertos lógicos de
posteriore apilamiento, y cada puerto lógico de
s) apilamiento admite al menos un
l Cables de subpuerto de apilamiento y como
cobre de máximo ocho subpuertos de
alta apilamiento. Un switch admite un
velocidad máximo de 16 subpuertos de
SFP+ apilamiento.
activos de l Desde la versión V200R010, si los
10 m subpuertos de apilamiento se
l Cables conectan usando cables de cobre
AOC de 3 pasivos SFP+ de alta velocidad de 1
m y 10 m m o 3 m, su velocidad operativa
l Módulo utilizando el comando stack port
óptico speed. Después de este aumento de la
10GE velocidad operativa a 12 Gbit/s, los
SFP+ y switches que utilizan estos puertos no
fibra pueden conformar una pila con
óptica switches que usen puertos con una
l Cable de velocidad operativa de 10 Gbit/s.
apilamien
to
dedicado


ositi un
vos solo
puert
o
SFP+ de
0,5 m y
1,5 m
(admitido
en
V200R01
1C10 y
versiones
posteriore
s)



ositi un
vos solo
puert
o
S532 Cuatro l Cables de 10 l Cuando los puertos ópticos SFP+ se

0-X- puertos cobre Gbit/s usan como puertos de apilamiento,
SI ópticos SFP+ pasivos de Un switch admite un máximo de dos
SFP+ de 1 contiene uno o dos subpuertos de
my3m apilamiento. Cada switch puede usar
l Cables de un máximo de cuatro puertos de
pasivos de apilamiento. Cuando un puerto lógico
(admitido y 2, o 3 y 4.
s en l Cuando los puertos eléctricos del
V200R00 panel frontal se usan como puertos de
9y apilamiento, un switch admite un
versiones máximo de dos puertos lógicos de
posteriore apilamiento, y cada puerto lógico de
s) apilamiento admite al menos un
subpuerto de apilamiento y como
l Cables de
máximo ocho subpuertos de
cobre de
alta
máximo de 16 subpuertos de
velocidad
apilamiento.
SFP+
activos de l Desde la versión V200R010, varios
10 m nuevos modelos del S5320-X-SI con
puertos ópticos SFP de enlace
l Cables
descendente están disponibles. Estos
AOC de 3
switches permiten usar puertos
m y 10 m
ópticos SFP de enlace descendente
l Módulo del panel frontal como subpuertos de
óptico apilamiento. Preste atención a lo
10GE siguiente al usar estos puertos ópticos
SFP+ y SFP de enlace descendente:
fibra
– Si un switch utiliza puertos
óptica
ópticos SFP de enlace
l Cable de descendente como subpuertos de
apilamien apilamiento, todos los demás
to switches de la pila también deben
dedicado usar puertos ópticos SFP de
SFP+ de
0,5 m y


ositi un
vos solo
puert
o
1,5 m enlace descendente como

(admitido subpuertos de apilamiento.
en – Cuando los puertos ópticos SFP
V200R01 de enlace descendente se usan
1C10 y como subpuertos de apilamiento,
versiones un switch admite un máximo de
posteriore dos puertos lógicos de
s) apilamiento, y cada puerto lógico
de apilamiento admite al menos
un subpuerto de apilamiento y
como máximo ocho subpuertos de
Puertos Módulo 1 máximo de 16 subpuertos de
ópticos SFP óptico SFP Gbit/s apilamiento.
de enlace GE y fibra l Si los subpuertos de apilamiento se
descendente óptica conectan usando cables de cobre
del panel pasivos SFP+ de alta velocidad de 1
frontal m o 3 m, su velocidad operativa
utilizando el comando stack port
speed. Después de este aumento de la
velocidad operativa a 12 Gbit/s, los
switches que utilizan estos puertos no
pueden conformar una pila con
switches que usen puertos con una
velocidad operativa de 10 Gbit/s.
4.1.3.12 Soporte del apilamiento de las tarjetas de pila S5330SI

NOTA
l El apilamiento de las tarjetas de pila y el apilamiento de los puertos de servicio (incluido el
apilamiento de cables ordinario y el apilamiento de cables de pila dedicado) no se pueden usar
juntos. Si las configuraciones de los puertos de servicio son correctas, se prefiere el apilamiento de
los puertos de servicio sobre la pila y el apilamiento. Si se ha utilizado el apilamiento de las tarjetas
de pila para establecer una pila, para utilizar el apilamiento de los puertos de servicio para establecer
la pila, debe reiniciar la pila para que el apilamiento de los puertos de servicio surta efecto después
de configurar el apilamiento de los puertos de servicio.
l Puertos 40GE en la tarjeta de pila LS5D21VST000 no se pueden usar juntos con puertos 40GE en la
tarjeta ES5D21Q04Q01 para establecer una pila.

Tabla 4-14 Soporte de apilamiento de tarjetas de pila

Series Apilamiento de Cable de pila Observaciones
del soporte del
dispos puerto
itivo
S5330S Dos puertos de l cables de alta Cualquier modelo del S5330SI puede
I pila en la tarjeta velocidad establecer una pila.
de pila dedicada pasivos 1 m, 3
LS5D21VST000 m, 5 m QSFP+
l Módulo óptico
QSFP+ (solo
QSFP-40G-
SR4 y
QSFP-40G-
iSR4) y fibra
óptica
l Cable AOC
QSFP+ 10 m

NOTA


ositi un
vos solo
puert
o
S533 Puertos l Cables de 10 l Cualquier modelo de la serie S5330SI

0SI ópticos 10GE cobre de Gbit/s puede conformar una pila.
del panel alta l Cuando los puertos ópticos 40GE se
frontal velocidad usan como puertos de apilamiento, un
SFP+ switch admite un máximo de dos
pasivos de puertos lógicos de apilamiento, y
1 m, 3 m cada puerto lógico de apilamiento
y5m admite al menos un subpuerto de
l Cables de apilamiento y como máximo cuatro
cobre de subpuertos de apilamiento. Un switch
alta admite un máximo de cuatro
velocidad subpuertos de apilamiento.
SFP+ l Cuando los puertos 10GE se usan
activos de como puertos de apilamiento, un
10 m switch admite un máximo de dos
l Cables puertos lógicos de apilamiento, y
AOC de 3 cada puerto lógico de apilamiento
m y 10 m admite al menos un subpuerto de
apilamiento y como máximo ocho
l Módulo
subpuertos de apilamiento. Un switch
óptico
admite un máximo de ocho
10GE
subpuertos de apilamiento.
SFP+ y
fibra l Dos tipos de puertos de un S5330SI
óptica se pueden configurar como
subpuertos de apilamiento, pero cada
l Cable de
puerto lógico de apilamiento contiene
apilamien
solo el mismo tipo de subpuertos de
to
apilamiento.
dedicado
SFP+ de l Los puertos 40GE no son
0,5 m y compatibles con la función de
1,5 m apilamiento después de que se
dividen en puertos 10GE.
l Si los subpuertos de apilamiento del
panel frontal se conectan usando
cables de cobre pasivos QSFP+ de
alta velocidad de 1 m, 3 m o 5 m, su
velocidad operativa puede
aumentarse a 48 Gbit/s utilizando el
comando stack port speed. Después
de este aumento de la velocidad
operativa a 48 Gbit/s, los switches


ositi un
vos solo
puert
o
Puertos l Cables de 40 que utilizan estos puertos no pueden

40GE de la cobre de Gbit/s conformar una pila con switches que
tarjeta de alta usen puertos con una velocidad
interfaces velocidad operativa de 40 Gbit/s.
QSFP+
pasivos de
1 m, 3 m
y5m
l Módulo
óptico
QSFP+
(QSFP-40
G-SR-BD
no
compatibl
e) y fibra
óptica

NOTA


ositi un
vos solo
puert
o
S630 Todos los l Cable de 10 l Cualquier modelo de la serie

0EI puertos 10GE cobre Gbit/s S6300EI puede conformar una pila.
del switch pasivo de Los puertos 10GE no admiten la
alta función de apilamiento cuando
velocidad funcionan como puertos GE.
SFP+ de 1 l Un switch admite un máximo de dos
m puertos lógicos de apilamiento, y
l Cable de cada puerto lógico de apilamiento
cobre admite un máximo de ocho
pasivo de subpuertos de apilamiento. Un switch
alta admite un máximo de ocho
velocidad subpuertos de apilamiento.
SFP+ de 3 l En un switch S6300EI, se pueden
m configurar un máximo de ocho
l Cable de puertos de servicio como subpuertos
cobre de de apilamiento. Cuatro puertos de
alta servicio con identificadores
velocidad consecutivos se deben configurar
SFP+ juntos, y el último identificador de
pasivo de los puertos de servicio debe ser un
5m múltiplo de 4. Por ejemplo, los
(compatib puertos 1 a 4 o 5 a 8 se pueden
le con la configurar juntos como subpuertos de
versión apilamiento, pero los puertos 2 a 5,
V200R00 no. Cuando uno de los cuatro puertos
5C02) de servicio se configura como un
subpuerto de apilamiento, los otros
l Cable de
tres puertos del servicio se configuran
cobre de
automáticamente como subpuertos de
alta
apilamiento.
velocidad
SFP+
activo de
10 m
(compatib
le con
V200R00
1y
versiones
posteriore
s)
l Cables
AOC de 3


ositi un
vos solo
puert
o
m y 10 m
(admitido
s en
V200R00
3y
versiones
posteriore
s)
l Módulo
óptico
10GE
SFP+ y
fibra
óptica
4.1.3.15 Compatibilidad con el apilamiento de puertos de servicio del S6320HI

NOTA


ositi un
vos solo
puert
o
S632 Puertos l Cables de 10 l Dos tipos de puertos de un S6320HI

0HI 10GE del cobre de Gbit/s se pueden configurar como
panel frontal alta subpuertos de apilamiento, pero cada
velocidad puerto lógico de apilamiento contiene
SFP+ solo el mismo tipo de subpuertos de
pasivos de apilamiento.
1 m, 3 m l Cuando los puertos 10GE del panel
y5m frontal se usan como puertos de
l Cables de apilamiento, un switch admite un
cobre de máximo de dos puertos lógicos de
alta apilamiento, y cada puerto lógico de
velocidad apilamiento admite al menos un
SFP+ subpuerto de apilamiento y como
activos de máximo ocho subpuertos de
10 m apilamiento. Un switch admite un
l Cables máximo de 16 subpuertos de
AOC de 3 apilamiento.
m y 10 m l Cuando los puertos 40GE del panel
frontal se usan como puertos de
l Módulo
apilamiento, Un switch admite un
óptico
10GE
SFP+ y
apilamiento admite al menos un
fibra
subpuerto de apilamiento y, como
óptica
máximo, seis subpuertos de
l Cable de apilamiento. Cada switch puede usar
apilamien un máximo de seis puertos de
to servicio como subpuertos de
dedicado apilamiento.
SFP+ de
l Cuando los puertos 100GE del panel
0,5 m y
frontal se usan como puertos de
1,5 m
apilamiento, Un switch admite un
apilamiento admite un máximo de
dos subpuertos de apilamiento. Cada
switch puede usar un máximo de dos
puertos de servicio como subpuertos
de apilamiento.
l Solo los últimos 16 puertos 10GE del
panel frontal se pueden usar para


ositi un
vos solo
puert
o
Puertos l Cables de 40 conformar una pila usando cables de

40GE del cobre de Gbit/s apilamiento dedicados.
panel frontal alta l Cuando los puertos 100GE se usan
velocidad como subpuertos de apilamiento y se
QSFP+ conectan usando cables pasivos
pasivos de QSFP+ de 1 m, 3 m y 5 m o módulos
1 m, 3 m ópticos QSFP+ (no admitido en
y5m QSFP-40G-SR-BD) y fibras, se
l Módulo puede ejecutar el comando stack
óptico port speed para disminuir su
QSFP+ velocidad operativa de 100 Gbit/s a
(QSFP-40 40 Gbit/s. Una vez reducida la
G-SR-BD velocidad operativa a 40 Gbit/s, los
no switches que usan estos puertos
compatibl pueden conformar una pila con
e) y fibra switches que usan puertos que
óptica funcionan a 40 Gbit/s y no pueden
conformar una pila con switches que
Puertos l Cables de 100 usan puertos que funcionan a 100
100GE del cobre de Gbit/s Gbit/s.
panel frontal alta
velocidad
QSFP28
de 1 m, 3
my5m
l Cables
AOC
QSFP28
de 10
metros
l Módulo
óptico
QSFP28 y
fibra
óptica


NOTA
l Desde la versión V200R011C10, los switches S6320EI pueden conformar pilas en el modo de


ositi un
vos solo
puert
o
S632 Puertos l Cables de 10 l Se puede configurar una pila entre

0EI 10GE del cobre Gbit/s modelos del S6320EI si estos
panel frontal pasivos de switches usan los mismos tipos de
alta puerto de apilamiento. Es decir, todos
velocidad usan puertos 10GE o usan puertos
SFP+ de 1 40GE.
my3m l Cuando los puertos 10GE del panel
l Cables de frontal se usan como puertos de
cobre de apilamiento, un switch admite un
alta máximo de dos puertos lógicos de
velocidad apilamiento, y cada puerto lógico de
SFP+ apilamiento admite al menos un
pasivos de subpuerto de apilamiento y como
5m máximo ocho subpuertos de
(admitido apilamiento. Un switch admite un
s en máximo de 16 subpuertos de
V200R00 apilamiento.
9C00 y l Cuando los puertos 40GE del panel
versiones frontal se usan como puertos de
posteriore apilamiento, Un switch admite un
s) máximo de dos puertos lógicos de
l Cables de apilamiento, y cada puerto lógico de
cobre de apilamiento admite al menos un
alta subpuerto de apilamiento y, como
velocidad máximo, seis subpuertos de
SFP+ apilamiento. Cada switch puede usar
activos de un máximo de seis puertos de
10 m servicio como subpuertos de
l Cables apilamiento.
AOC de 3 l Los puertos 40GE no son
m y 10 m compatibles con la función de
l Módulo apilamiento después de que se
óptico dividen en puertos 10GE.
10GE l Solo los últimos 16 puertos 10GE del
SFP+ y panel frontal se pueden usar para
fibra conformar una pila usando cables de
óptica apilamiento dedicados.
l Cable de l En el S6320EI, cada grupo de cuatro
apilamien interfaces 10GE de la izquierda se
to añaden a un grupo. Por ejemplo, las
dedicado interfaces 10GE numeradas del 1 al 4


ositi un
vos solo
puert
o
SFP+ de se pueden añadir a un grupo, pero las

0,5 m y interfaces 10GE numeradas del 2 al 5
1,5 m no pueden. Es decir, que el número
(admitido de la última interfaz 10GE de cada
en grupo debe ser un múltiplo de 4. Si se
V200R01 configura cualquier interfaz de cada
1C10 y grupo como una subinterfaz física,
versiones las configuraciones de las otras tres
posteriore interfaces del grupo se perderán y
s) esas tres interfaces no se podrán usar
como puertos de servicio.
Puertos l Cables de 40
40GE del cobre de Gbit/s
panel frontal alta
y puertos de velocidad
una tarjeta de QSFP+
interfaces pasivos de
40GE de 4 1 m, 3 m
puertos y5m
l Módulo
óptico
QSFP+
(QSFP-40
G-SR-BD
no
compatibl
e) y fibra
óptica

NOTA
l Desde la versión V200R011C10, los switches S6320SI pueden conformar pilas en el modo de


ositi un
vos solo
puert
o
S632 Puertos l Cables de 40 l Cuando los puertos ópticos 40GE se

0SI 40GE de la cobre de Gbit/s usan como puertos de apilamiento,
tarjeta de alta Un switch admite un máximo de dos
interfaces velocidad puertos lógicos de apilamiento, y
QSFP+ cada puerto lógico de apilamiento
pasivos de admite un máximo de dos subpuertos
1 m, 3 m de apilamiento. Cada switch puede
y5m usar un máximo de dos puertos de
l Módulo servicio como subpuertos de
óptico apilamiento.
QSFP+ l Cuando los puertos 10GE se usan
(QSFP-40 como puertos de apilamiento, un
G-SR-BD switch admite un máximo de dos
no puertos lógicos de apilamiento, y
compatibl cada puerto lógico de apilamiento
e) y fibra admite al menos un subpuerto de
óptica apilamiento y como máximo cuatro
admite un máximo de cuatro
subpuertos de apilamiento.
l Cuando los puertos eléctricos se usan
como puertos de apilamiento, un
switch admite un máximo de dos
admite al menos un subpuerto de
apilamiento y como máximo ocho
admite un máximo de 16 subpuertos
de apilamiento.
l Dos tipos de puertos de un S6320SI
se pueden configurar como
subpuertos de apilamiento, pero cada
puerto lógico de apilamiento contiene
solo el mismo tipo de subpuertos de
apilamiento.
l Los puertos 40GE no son
compatibles con la función de
apilamiento después de que se
dividen en puertos 10GE.


ositi un
vos solo
puert
o
Puertos l Cables de 10 l Solo los últimos 16 puertos 10GE del

ópticos 10GE cobre de Gbit/s panel frontal se pueden usar para
del panel alta conformar una pila usando cables de
frontal velocidad apilamiento dedicados.
SFP+
pasivos de
1 m, 3 m
y5m
l Cables de
cobre de
alta
velocidad
SFP+
activos de
10 m
l Cables
AOC de 3
m y 10 m
l Módulo
óptico
10GE
SFP+ y
fibra
óptica
l Cable de
apilamien
to
dedicado
SFP+ de
0,5 m y
1,5 m
Puertos Cables de red 10

panel frontal 6A o superior
(si se utilizan
cables de
categoría 6,
asegúrese de
que cumplan
los requisitos
de la
TSB-155).

4.1.4 Ejemplo para configurar una pila mediante tarjetas de pila

(V200R001 a V200R012)
Requisitos de red
Una nueva red empresarial necesita proporcionar suficientes puertos para los dispositivos de
acceso, y la estructura de la red debe ser simple para facilitar la configuración y la gestión.
Como se muestra en Figura 4-7, SwitchA, SwitchB y SwitchC necesitan configurar una pila
en una topología de anillo y conectarse a SwitchD a través de un Eth-Trunk entre dispositivos.
SwitchA, SwitchB y SwitchC son los switches Master, standby y slave, respectivamente, con
los identificadores de pila de 0, 1 y 2 y las prioridades de pila de 200, 100 y 100. Como los
tres switches funcionan como un dispositivo lógico en la red , se aumenta la cantidad de
puertos y se simplifica la gestión y el mantenimiento de la red.
En este ejemplo, los S5300-EI configuran una pila.
Figura 4-7 Red de pila
Red
SwitchD
GE0/0/1 GE0/0/3
GE0/0/2
Eth-Trunk 10
Pila
GE0/0/5 SwitchB
GE1/0/5 GE2/0/5
(Standby)
SwitchA STACK 2 STACK 2 SwitchC
(Master) STACK 1 STACK 1 (Slave)
STACK 2 STACK 1
Enlace MAD
Enlace de pila
Enlace común
Eth-Trunk


1. Apague el SwitchA, SwitchB y SwitchC, instale una pila ES5D00ETPC00 en cada

switch, y luego encienda los tres switches.
NOTA
l La tarjeta de pila ES5D00ETPC00 no es compatible con el intercambio en caliente. Debe

apagar un switch antes de instalar la pila en el switch.
l Puede realizar configuraciones de software solo después de instalar una tarjeta de pila en el
switch.
2. Habilite la función de apilamiento.
3. Configure los identificadores de pila y las prioridades de pila para los switches de
miembro para facilitar la gestión e identificación del dispositivo.
4. Apague los switches SwitchA, SwitchB y SwitchC, conecte los puertos de miembro
físicos con cables PCIe y luego encienda los tres switches.
5. Configure un Eth-Trunk entre dispositivos para aumentar la confiabilidad y el ancho de
banda del enlace ascendente.
6. Configure la detección de múltiples activos (MAD) en modo de retransmisión para
garantizar la disponibilidad de la red cuando la pila se divide.
NOTA
El mecanismo de detección de división de pila se denomina la detección de doble activos (DAD) en

V200R002 y versiones anteriores y MAD en versiones posteriores.
Procedimiento
Paso 1 Apague las fuentes de alimentación de SwitchA, SwitchB y SwitchC, instale una tarjeta de
pila ES5D00ETPC00 en cada switch y luego encienda los tres switches.
Paso 2 Habilite la función de apilamiento. Esta función está habilitada por defecto.
[SwitchA] stack enable
[SwitchB] stack enable
[Quidway] sysname SwitchC
[SwitchC] stack enable
NOTA
Después de habilitar la función de apilamiento, reinicie el dispositivo para que la función de apilamiento
tiene efecto. Puede configurar la ID de pila y la prioridad de pila solo después de que la función de
apilamiento tiene efecto.
Paso 3 Configure los ID de pila y las prioridades de pila. El ID de pila predeterminado es 0 y la

prioridad de pila predeterminada es 100.
[SwitchA] stack slot 0 priority 200 //Establezca la prioridad de la pila del
switch principal a 200, que es más alta que las de otros switches de miembro, y
use el ID de la pila por defecto 0.
[SwitchB] stack slot 0 renumber 1 //Use la prioridad de la pila por defecto
100 y configure el ID de la pila a 1.
[SwitchC] stack slot 0 renumber 2 //Use la prioridad de la pila por defecto
Paso 4 Desactive las fuentes de alimentación de SwitchA, SwitchB y SwitchC, conecte los puertos de
miembros físicos con cables PCIe como se muestra en Figura 4-8 y luego encienda los tres
switches.

Figura 4-8 Conexión de pila
SwitchA
SwitchB
SwitchC
NOTA
l Ejecute el comando save para guardar las configuraciones antes de apagar los switches.
l El puerto STACK 1 de un switch debe conectarse al puerto STACK 2 de otro switch. De lo
contrario, la pila no se puede configurar.
l Para garantizar que una pila se pueda configurar correctamente, se recomienda realizar operaciones
en la siguiente secuencia. Primero, encienda el switch que desea especificar como el switch
principal. En este ejemplo, SwitchA se convierte en el switch principal después de completar las
siguientes operaciones.
1. Apague el SwitchA, SwitchB y SwitchC.
2. Conecte SwitchA y SwitchB con un cable de pila.
3. Encienda e inicie el SwitchA y luego encienda el SwitchB.
4. Verifique si SwitchA y SwitchB configuran una pila correctamente. Para más detalles, vea el
paso 5.
5. Conecte SwitchC a SwitchB y SwitchA mediante cables de pila y luego encienda SwitchC.
6. Verifique si SwitchA, SwitchB y SwitchC configuran una pila correctamente. Para más detalles,
vea el paso 5.
Paso 5 Verifique si una pila está configurada correctamente.

# Verifique el estado del indicador de pila.
Presione el botón MODE en cualquier switch de miembro para cambiar el indicador de estado
del modo al modo de pila.
l Si los indicadores de estado de modo en todos los switches de miembro cambian al modo
de pila, la pila se configura correctamente.
l Si el indicador de estado de modo en cualquier switch de miembro no cambia al modo de
pila, la pila no está configurada.
NOTA
l Los modelos S5300EI y S5300SI usan el mismo indicador de estado de modo para mostrar los modos de
pila y de velocidad. Después de presionar el botón MODE, el indicador está encendido en rojo sin
parpadear y apagado después de 45 segundos, lo que indica que el switch entra al modo de pila.
l El S5320EI tiene un indicador de modo de pila independiente (indicador STCK). Después de presionar el
botón MODE, el indicador está encendido en verde sin parpadear o parpadea, y se apaga después de 45
segundos, lo que indica que el switch entra al modo de pila.

# Verifique la información básica de la pila.

Inicie sesión en la pila para verificar si el número de switches de miembro en la pila es el
mismo que el valor real y si la topología de la pila es la misma que la conexión de hardware
real.
[SwitchA] sysname Stack
[Stack] display stack
Stack mode: Card/Service port
Stack topology type: Ring
Stack system MAC: 0018-82d2-2e85
MAC switch delay time: 10 min
Stack reserved vlan : 4093
Slot of the active management port: 1
Slot Role Mac address Priority Device type
-------------------------------------------------------------
0 Master 0018-82d2-2e85 200 S5328C-EI
1 Standby 0018-82c6-1f4c 100 S5328C-EI
2 Slave 0018-82b1-6eb8 100 S5328C-EI
Paso 6 Configure un Eth-Trunk entre dispositivos.

# Crea un Eth-Trunk en la pila y configura los puertos físicos del enlace ascendente como
puertos de miembro de Eth-Trunk.
[Stack-Eth-Trunk10] trunkport gigabitethernet 0/0/5
# Cree un Eth-Trunk en SwitchD y configure los puertos conectados a la pila como puertos de
miembro de Eth-Trunk.
[Quidway] sysname SwitchD
[SwitchD] interface eth-trunk 10
[SwitchD-Eth-Trunk10] trunkport gigabitethernet 0/0/1
[SwitchD-Eth-Trunk10] quit
Paso 7 Verifique la configuración de Eth-Trunk.

# Verifique la información del puerto del miembro de Eth-Trunk. A continuación, se muestra
información sobre los puertos de miembro de Eth-Trunk en la pila.
[Stack] display trunkmembership eth-trunk 10
Trunk ID: 10
Used status: VALID
TYPE: ethernet
Working Mode : Normal
Number Of Ports in Trunk = 3
Number Of Up Ports in Trunk = 3
Operate status: up
Interface GigabitEthernet0/0/5, valid, operate up, weight=1

Paso 8 Configure MAD en modo de retransmisión y configure SwitchD como el agente de

retransmisión. El mecanismo de detección de división de pila se llama DAD en V200R002 y
versiones anteriores y MAD en versiones posteriores.
# En la pila, configure MAD en modo de retransmisión en el Eth-Trunk entre dispositivos.
[Stack-Eth-Trunk10] mad detect mode relay //Este comando se usa en versiones

posteriores a V200R002. El comando utilizado en V200R002 y versiones anteriores

es dual-active detect mode relay.
[Stack-Eth-Trunk10] return
# En SwitchD, configure MAD en modo de retransmisión en el Eth-Trunk.

[SwitchD-Eth-Trunk10] mad relay //Este comando se usa en versiones
posteriores a V200R002. El comando utilizado en V200R002 y versiones anteriores
es dual-active relay.
[SwitchD-Eth-Trunk10] return
Paso 9 Verifique la configuración de MAD.

# Verifique la configuración de MAD de la pila.
<Stack> display mad verbose //Este comando se usa en versiones posteriores a
V200R002. El comando utilizado en V200R002 y versiones anteriores es display dual-
active verbose.
Current MAD domain: 0
Current MAD status: Detect
Mad direct detect interfaces configured:
Mad relay detect interfaces configured:
Eth-Trunk10
Excluded ports(configurable):
Excluded ports(can not be configured):
# Verifique la configuración del MAD proxy en SwitchD.

<SwitchD> display mad proxy //Este comando se usa en versiones posteriores a
V200R002. El comando utilizado en V200R002 y versiones anteriores es display dual-
active proxy.
Mad relay interfaces configured:
Eth-Trunk10
----Fin
l Archivo de configuración de pila
#
sysname Stack
#
mad detect mode relay
#
eth-trunk 10
#
eth-trunk 10
#
eth-trunk 10
#
return
l Archivo de configuración de SwitchD

#
sysname SwitchD
#
mad relay
#
eth-trunk 10
#

eth-trunk 10
#
eth-trunk 10
#
return
4.1.5 Ejemplo para configurar una pila mediante puertos de

servicio (V100R006C05)
Requisitos de red
SwitchA, SwitchB y SwitchC son los switches Master, Standby y Slave, respectivamente, con
En este ejemplo, los S3300EI configuran una pila.
Red
SwitchD
Eth0/0/1 Eth0/0/3
Eth0/0/2
Eth-Trunk 10
Pila Eth1/0/5
SwitchB
Eth0/0/5 (Standby) Eth2/0/5
SwitchA GE0/0/1 GE0/0/2 SwitchC

(Master) GE0/0/2 GE0/0/1 (Slave)
GE0/0/2 GE0/0/1
Enlace de pila
Enlace común
Eth-Trunk


1. La función de apilamiento está habilitada por defecto en el S3300EI. Por lo tanto, estos
switches pueden configurar una pila inmediatamente después de que se conecten
mediante cables de pila, sin configuración adicional. Para facilitar la gestión e
identificación del dispositivo, configure los nombres de los dispositivos, los
identificadores de pila y las prioridades de pila para los switches de miembro de pila.
2. Apague los switches SwitchA, SwitchB y SwitchC, conecte los puertos miembro físicos
mediante los cables de pila SFP, y luego encienda los tres switches.
Procedimiento
Paso 1 Configure los nombres de los dispositivos para diferenciarlos.
# Configure un nombre de dispositivo para SwitchA.
# Configure un nombre de dispositivo para SwitchB.

# Configure un nombre de dispositivo para SwitchC.


Paso 3 Apague las fuentes de alimentación de SwitchA, SwitchB y SwitchC, conecte los puertos de
miembro físicos con cables de pila SFP como se muestra en Figura 4-10 y luego encienda los
tres switches.

GE0/0/2
SwitchA
GE0/0/1
GE0/0/2
SwitchB
GE0/0/1
GE0/0/2
SwitchC
GE0/0/1

NOTA
l Para garantizar que una pila se pueda configurar exitosamente, se recomienda realizar operaciones
en la siguiente secuencia. Para especificar un switch de miembro como switch principal, primero
encienda este switch. En este ejemplo, SwitchA se convierte en el switch principal después de
completar las siguientes operaciones.
4. Verifique si SwitchA y SwitchB configuran una pila exitosamente. Para más detalles, vea el paso
4.
5. Conecte SwitchC a SwitchB y SwitchA mediante los cables de pila y luego encienda SwitchC.
6. Verifique si SwitchA, SwitchB y SwitchC configuran una pila exitosamente. Para más detalles,
vea el paso 4.
Paso 4 Verifique si una pila está configurada exitosamente.

# Inicie sesión en la pila a través del puerto de consola del switch principal para verificar si el
número de switches de miembro en la pila es el mismo que el valor real y si la topología de la
pila es la misma que la conexión de hardware real.
Stack topology type: Ring
Stack system MAC: 0018-82b1-6eb8
MAC switch delay time: never
Stack reserved vlanid : 4093
-------------------------------------------------------------
0 Master 0018-82b1-6eb8 200 S3328TP-EI
1 Standby 0018-82c6-1f4c 100 S3328TP-EI
2 Slave 0018-82d2-2e85 100 S3328TP-EI

# Cree un Eth-Trunk en la pila y configura los puertos físicos del enlace ascendente como
[Stack-Eth-Trunk10] trunkport ethernet 0/0/5
[SwitchD-Eth-Trunk10] trunkport ethernet 0/0/1

la información sobre los puertos de miembro de Eth-Trunk en la pila.
<Stack> display trunkmembership eth-trunk 10
Trunk ID: 10

used status: VALID

TYPE: ethernet
Number Of UP Ports in Trunk = 3
operate status: up
Interface Ethernet0/0/5, valid, operate up, weight=1

----Fin
#
sysname Stack
#
#
interface Ethernet0/0/5
eth-trunk 10
#
eth-trunk 10
#
eth-trunk 10
#
return

#
sysname SwitchD
#
#
eth-trunk 10
#
eth-trunk 10
#
eth-trunk 10
#
return

servicio (V200R001 a V200R002)
La conexión de puerto de servicio permite que los switches de miembro se conecten mediante
puertos de servicio, sin necesidad de tarjetas de pila dedicadas.
Para mejorar la eficiencia de la pila y reducir la configuración manual, desde V200R011C10,
los switches pueden configurar una pila mediante los cables dedicados de pila. Las
conexiones del puerto de servicio se clasifican en conexiones de cable común y dedicado
según los tipos de cable.
l Conexión de cable común: Conexión de cable común: los switches usan cables ópticos,
cables de red y cables de alta velocidad para configurar una pila.

l Conexión de cable dedicado: Los switches usan cables dedicados a pila para configurar
una pila. Los dos extremos de un cable dedicado a pila son el extremo principal con la
etiqueta Master y el extremo secundario sin ninguna etiqueta.
Requisitos de red
En este ejemplo, los S5300-LIs configuran una pila.
Red
SwitchD
GE0/0/1 GE0/0/3
GE0/0/2
Eth-Trunk 10
Pila
GE0/0/5 SwitchB
GE1/0/5 GE2/0/5
(Standby)
(Master) GE0/0/28 (Slave)
GE0/0/27 GE0/0/28
GE0/0/27
Enlace común Enlace MAD

Eth-Trunk Enlace de pila

1. Configure los puertos lógicos de la pila y agregue puertos de miembro físicos a los
puertos de la pila lógicos correspondientes para habilitar el reenvío de paquetes entre los
switches de miembro.
2. Configure los identificadores de pila y las prioridades de pila para switches de miembro
con motivo de facilitar la gestión e identificación del dispositivo.

3. Apague los switches SwitchA, SwitchB y SwitchC, conecte los puertos de miembro
físicos con cables de pila SFP+ y luego encienda los tres switches.
5. Configure la detección de doble activos (DAD) en modo de retransmisión para garantizar
la disponibilidad de la red cuando la pila se divide.
Procedimiento
Paso 1 Configure los puertos de pila lógicos y agregue puertos de miembro físicos a ellos.
# Configure los puertos de servicio GigabitEthernet0/0/27 y GigabitEthernet0/0/28 en
SwitchA como puertos de miembro físicos y agréguelos a los puertos de pila lógicos
correspondientes.
[SwitchA] stack port interface gigabitethernet 0/0/27 enable
[SwitchA] stack port interface gigabitethernet 0/0/28 enable
[SwitchA] interface stack-port 0/1
[SwitchA-stack-port0/1] port member-group interface gigabitethernet 0/0/27
[SwitchA-stack-port0/1] quit
[SwitchA-stack-port0/2] port member-group interface gigabitethernet 0/0/28

SwitchB como puertos de miembro físicos y agréguelos a los puertos de pila lógicos
correspondientes.
[SwitchB] stack port interface gigabitethernet 0/0/27 enable
[SwitchB] stack port interface gigabitethernet 0/0/28 enable
[SwitchB] interface stack-port 0/1
[SwitchB-stack-port0/1] port member-group interface gigabitethernet 0/0/27
[SwitchB-stack-port0/1] quit
[SwitchB-stack-port0/2] port member-group interface gigabitethernet 0/0/28

SwitchC como puertos de miembro físicos y agréguelos a los puertos de pila lógicos
correspondientes.
[SwitchC] stack port interface gigabitethernet 0/0/27 enable
[SwitchC] stack port interface gigabitethernet 0/0/28 enable
[SwitchC] interface stack-port 0/1
[SwitchC-stack-port0/1] port member-group interface gigabitethernet 0/0/27
[SwitchC-stack-port0/1] quit
[SwitchC-stack-port0/2] port member-group interface gigabitethernet 0/0/28



miembro físicos con cables de pila SFP+ como se muestra en Figura 4-12 y luego encienda
los tres switches.
stack-port 0/1
SwitchA
stack-port 0/2
stack-port 0/1
SwitchB
stack-port 0/2
stack-port 0/1
SwitchC
stack-port 0/2
NOTA
l El puerto de pila 0/1 de un switch debe conectarse al puerto de pila 0/2 de otro switch. De lo
4.
vea el paso 4.

de pila, la pila se configura exitosamente.

NOTA
Entre los modelos de switches que admiten el apilamiento de puertos de servicio:

l El S6300EI usa el indicador de estado de modo para mostrar los modos de pila y de velocidad. Después
de presionar el botón MODE, el indicador está encendido en rojo sin parpadear y apagado después de 45
l Los S5300-LI y S5310-EI tienen un indicador de modo de pila independiente (indicador STCK). Después
de presionar el botón MODE, el indicador está encendido en verde sin parpadear o parpadea, y se apaga
después de 45 segundos, lo que indica que el switch entra al modo de pila.

Inicie sesión en la pila para verificar si el número de los switches de miembro en la pila es el
mismo que el valor real y si la topología de la pila es la misma que la conexión de hardware
real.
Stack topology type : Ring
Stack reserved vlanid : 4093
-------------------------------------------------------------
0 Master 0018-82d2-2e85 200 S5300-28P-LI-AC
1 Standby 0018-82c6-1f44 100 S5300-28P-LI-AC
2 Slave 0018-82c6-1f4c 100 S5300-28P-LI-AC


Trunk ID: 10
Used status: VALID
TYPE: ethernet
Operate status: up


Paso 7 Configure DAD en modo de retransmisión en SwitchD y configure SwitchD como el agente
de retransmisión.
# En la pila, configure DAD en modo de retransmisión en el Eth-Trunk entre dispositivos.
[Stack-Eth-Trunk10] dual-active detect mode relay
# En SwitchD, configure DAD en modo de retransmisión en el Eth-Trunk.

[SwitchD-Eth-Trunk10] dual-active relay
Paso 8 Verifique la configuración de DAD.

# Verifique la configuración de DAD de la pila.
<Stack> display dual-active verbose
Current DAD status: Detect
Dual-active direct detect interfaces configured:
Dual-active relay detect interfaces configured:
Eth-Trunk10
# Verifique la configuración del DAD proxy en SwitchD.

<SwitchD> display dual-active proxy
Dual-active relay interfaces configured:
Eth-Trunk10
----Fin
#
sysname Stack
#
dual-active detect mode relay
#
eth-trunk 10
#
eth-trunk 10
#
eth-trunk 10
#
return

#
sysname SwitchD
#
dual-active relay
#

eth-trunk 10
#
eth-trunk 10
#
eth-trunk 10
#
return

servicio (V200R003 a V200R012)
Requisitos de red
En este ejemplo, los S5300-LI configuran una pila.

Red
SwitchD
GE0/0/1 GE0/0/3
GE0/0/2
Eth-Trunk 10
Pila
SwitchB
GE0/0/5 GE1/0/5 (Standby) GE2/0/5
GE0/0/27 GE0/0/28
GE0/0/27
Enlace MAD
Enlace de pila
Enlace común
Eth-Trunk

1. Configure los puertos lógicos de la pila y agregue puertos de miembro físicos a los
puertos de la pila lógicos correspondientes para habilitar el reenvío de paquetes entre los
switches de miembro.
2. Configure los identificadores de pila y las prioridades de pila para los switches de
miembro con el motivo de facilitar la gestión e identificación del dispositivo.
3. Apague las fuentes de alimentación de SwitchA, SwitchB y SwitchC, conecte los puertos
de miembro físicos con cables de pila SFP+ y luego encienda los tres switches.
5. Configure la detección de múltiples activos (MAD) en modo de retransmisión para
garantizar la disponibilidad de la red cuando la pila se divide.
Procedimiento
Paso 1 Configure los puertos de pila lógicos y agregue los puertos de miembro físicos a ellos.
SwitchA como puertos de miembro físicos y agréguelos a los puertos de pila lógicos
correspondientes.

[SwitchA-stack-port0/1] port interface gigabitethernet 0/0/27 enable
[SwitchA-stack-port0/2] port interface gigabitethernet 0/0/28 enable

SwitchB como puertos de miembro físicos y agréguelos a los puertos de pila lógicos
correspondientes.
[SwitchB-stack-port0/1] port interface gigabitethernet 0/0/27 enable
[SwitchB-stack-port0/2] port interface gigabitethernet 0/0/28 enable

SwitchC como puertos de miembro físicos y agréguelos a los puertos de pila lógicos
correspondientes.
[SwitchC-stack-port0/1] port interface gigabitethernet 0/0/27 enable
[SwitchC-stack-port0/2] port interface gigabitethernet 0/0/28 enable

miembro físicos con cables de pila SFP+ como se muestra en Figura 4-14 y luego encienda
los tres switches.

stack-port 0/1
SwitchA
stack-port 0/2
stack-port 0/1
SwitchB
stack-port 0/2
stack-port 0/1
SwitchC
stack-port 0/2
NOTA
l El puerto de pila 0/1 de un switch debe conectarse al puerto de pila 0/2 de otro switch. De lo
4.
vea el paso 4.

de pila, la pila se configura exitosamente.

NOTA
Entre los modelos de switches que admiten apilamiento de puertos de servicio:

l Los S5300-HI y S6300EI usan el mismo indicador de estado del modo para mostrar los modos de pila y
de velocidad. Después de presionar el botón MODE, el indicador está encendido en rojo sin parpadear y
apagado después de 45 segundos, lo que indica que el switch entra al modo de pila.
l Los S2350EI, S5300-LI, S5310-EI, S5320-LI, S5320SI, S5320HI, S5330SI, S6320EI y S6320SI tienen
un indicador de modo de pila independiente (indicador STCK). Después de presionar el botón MODE, el
indicador está encendido en verde sin parpadear o parpadea, y se apaga después de 45 segundos, lo que
indica que el switch entra al modo de pila.
l El S6320HI tiene un indicador principal/secundario de pila independiente para mostrar el MST. Si el
indicador está apagado, el switch no es un principal de la pila. Si el indicador está encendido en verde sin
parpadear, el switch es un principal o un switch independiente de pila.

Inicie sesión en la pila a través del puerto de consola de cualquier switch miembro para
comprobar si el número de switches miembro en la pila es el mismo que el valor real y si la
topología de la pila es la misma que la conexión de hardware real.
Stack mode: Service-port
-------------------------------------------------------------
0 Master 0018-82d2-2e85 200 S5300-28P-LI-AC
2 Slave 0018-82c6-1f4c 100 S5300-28P-LI-AC


Trunk ID: 10
Used status: VALID
TYPE: ethernet


Operate status: up

Paso 7 Configure MAD en modo de retransmisión en SwitchD y configure SwitchD como el agente
de retransmisión.
# En la pila, configure MAD en modo de retransmisión en el Eth-Trunk entre dispositivos.
[Stack-Eth-Trunk10] mad detect mode relay
# En SwitchD, configure MAD en modo de retransmisión en el Eth-Trunk.

[SwitchD-Eth-Trunk10] mad relay

# Verifique la configuración de MAD de la pila.
<Stack> display mad verbose
Eth-Trunk10

<SwitchD> display mad proxy
Eth-Trunk10
----Fin
#
sysname Stack
#
#
eth-trunk 10
#
eth-trunk 10
#
eth-trunk 10

#
return

#
sysname SwitchD
#
mad relay
#
eth-trunk 10
#
eth-trunk 10
#
eth-trunk 10
#
return
4.1.8 Ejemplo para establecer una pila a través de conexiones de

puertos de servicio mediante cables de pila dedicados
(V200R011C10 y versiones posteriores)
Precauciones
l Conecte los switches de miembro mediante cables de pila dedicados según las siguientes
reglas:
– Conecte los switches en secuencia de arriba a abajo.
– Asegúrese de que todos los puertos de pila lógicos del switch superior estén
conectados a los extremos principales de los cables, todos los puertos de pila
lógicos del switch inferior estén conectados a los extremos secundarios de los
cables y que dos puertos de pila lógicos del switch intermedio estén conectados a
los extremos principales y secundarios respectivamente.
– Una vez que los switches se han conectado mediante los cables de pila dedicados,
configuran automáticamente una pila y sus ID de pila, así como los roles de pila, se
asignan automáticamente.
– Si los switches no están conectados en una topología de anillo, solo necesita
asegurarse de que el puerto 1 de pila lógico del switch local esté conectado al puerto

2 de pila lógico del switch remoto. En esta situación, estos switches pueden
configurar una pila, pero sus roles del master y standby, así como las ID de la pila
se generan aleatoriamente.
l Asegúrese de que no haya configuraciones de servicio en los puertos que tienen los
cables de pila dedicados conectados. De lo contrario, estos puertos no pueden
transformarse automáticamente en puertos de pila y los switches no pueden configurar
una pila.
– En los AS en un sistema SVF, asegúrese de que no haya otras configuraciones
excepto las configuraciones de comando shutdown y stp root-protection en los
puertos.
– En otros dispositivos, asegúrese de que no haya otras configuraciones, excepto la
configuración del comando shutdown en los puertos.
l Si los números del puerto de pila lógicos se han configurado manualmente antes de que
se conecten los cables de pila específicos, los números de puerto configurados seguirán
vigentes después de que se hayan conectado los cables. Necesita conectar estos puertos
según los números de puerto configurados. Si los números de los puertos lógicos de la
pila no se configuran manualmente, los correspondientes números de los puertos de pila
lógicos se generarán automáticamente después de que los cables de la pila estén
conectados. Para ver los puertos lógicos de la pila de los puertos que admiten los cables
de pila dedicados y los extremos principal y secundario de los cables conectados a estos
puertos, ejecute el comando display stack port auto-cable-info.
Requisitos de red
Una red empresarial necesita proporcionar suficientes puertos para los dispositivos de acceso,
y la estructura de red debe ser simple para facilitar la configuración y la gestión.
Como se muestra en Figura 4-15, SwitchA a SwitchC necesitan configurar una pila en una
topología de anillo y conectarse a SwitchD a través de un Eth-Trunk entre dispositivos. Para
reducir la configuración, los switches A a C configuran una pila usando los cables de pila
dedicados. En la pila, SwitchA necesita funcionar como el switch Master, Switch B como el
switch Standby, y SwitchC como el switch Slave.
Este ejemplo describe cómo usar los switches S5320LI para configurar una pila.

Figura 4-15 Topología de pila
Red
SwitchD
GE0/0/1 GE0/0/3
GE0/0/2
Eth-Trunk 10
Pila
SwitchB
GE0/0/5 GE1/0/5 (Standby) GE2/0/5
GE0/0/26 GE0/0/27
GE0/0/26
Enlace común Enlace MAD
Eth-Trunk Enlace de pila

1. Apague SwitchA, SwitchB y SwitchC para garantizar la seguridad.
2. Conecte los switches mediante los cables de pila dedicados según las reglas de conexión
del cable de pila dedicado.
3. Encienda estos switches en la secuencia siguiente para garantizar que SwitchA, SwitchB
y SwitchC se conviertan en el switch Master, el switch Standby y el switch Slave,
respectivamente.
4. Guarde la configuración de pila generada automáticamente para el apilamiento de cables
dedicados a la memoria flash. Esto garantiza que la configuración de la pila siga
teniendo efecto cuando se retiren estos cables o cuando se conecten otros cables.
5. Configure un Eth-Trunk entre chasis para aumentar la confiabilidad y el ancho de banda
del enlace ascendente.
6. Configure la detección multi-activa en modo de retransmisión para garantizar la
disponibilidad de la red cuando la pila se divide.
Procedimiento
Paso 1 Apague el SwitchA, SwitchB y SwitchC.
Paso 2 Apague el switchA, el switchB y el switchC y luego conéctelos mediante los cables de
apilamiento dedicados como se muestra en Figura 4-16.

Figura 4-16 Conexión de cable de pila dedicado

GE0/0/26 logical stack
port 2
SwitchA
Logical stack port 1 GE0/0/27
logical stack
GE0/0/26 port 2
SwitchB
logical stack port 1 GE0/0/27

Logical
GE0/0/26 stack port 2
SwitchC
logical stack port 1 GE0/0/27
Indica el extremo de master con la

etiqueta de master de un cable de
pila dedicado
NOTA
l El puerto de pila lógico 1 del switch local se debe conectar al puerto de pila lógico 2 del switch
adyacente. De lo contrario, estos switches no pueden configurar una pila.
l Todos los puertos de pila lógica de SwitchA deben conectarse a los extremos principales de los cables de
pila dedicados, y todos los puertos de pila lógicos de SwitchC deben conectarse a los extremos
secundarios de estos cables.
Paso 3 Encienda SwitchA, SwitchB y SwitchC en secuencia.

# Encienda estos switches en la secuencia siguiente para asegurarse de que SwitchA, SwitchB
y SwitchC se conviertan en el switch maestro, el switch standby y el switch secundario,
respectivamente.
1. Encienda los switches primero.
2. Encienda SwitchB después de que inicia SwitchA.
3. Encienda el SwitchC después de que inicia SwitchB.
La secuencia de encendido precedente puede garantizar solo las funciones de estos switches,
pero no sus ID de ranura. Lo siguiente asume que SwitchA, SwitchB y SwitchC usan los ID
de ranura generados automáticamente 0, 1 y 2, respectivamente.
Paso 4 Compruebe si una pila se ha configurado exitosamente.
Presione el botón de estado de conmutación (MODE) en cualquier switch de miembro para
cambiar el indicador de estado de modo al modo de pila. El S5320LI tiene un indicador de
estado del modo de pila por separado (STCK). Después de presionar el botón MODE, el
indicador está encendido en verde sin parpadear o parpadea y se apaga después de 45
de pila, se ha configurado exitosamente una pila.


pila, no se ha configurado una pila.
Inicie sesión en la pila a través del puerto de consola de cualquier switch de miembro para
comprobar si el número de switches de miembro en la pila es el mismo que el valor real y si el
estado de topología de la pila es el mismo que la conexión de hardware real.
Stack mode: Service-port
-------------------------------------------------------------
0 Master 0018-82d2-2e85 100 S5320-28P-LI-AC
2 Slave 0018-82c6-1f4c 100 S5320-28P-LI-AC
Paso 5 Guarde la configuración de la pila que se genera automáticamente para el apilamiento de

cables dedicados a la memoria flash.
# Después de verificar que se ha configurado una pila, guarde la configuración de pila que se
genera automáticamente para el apilamiento de cables dedicados a la memoria flash.
[Stack] save stack configuration
Warning: This operation will save all stack configurations to flash. Are you sure
you want to continue? [Y/N]:y


Trunk ID: 10
Used status: VALID
TYPE: ethernet
Operate status: up


Paso 8 Configure MAD en modo de retransmisión en SwitchD y configure SwitchD como el agente
de retransmisión.
# En la pila, configure MAD en modo de retransmisión en el Eth-Trunk entre chasis.
[Stack-Eth-Trunk10] mad detect mode relay
# Configure MAD en modo de retransmisión en el agente de retransmisión SwitchD.

[SwitchD-Eth-Trunk10] mad relay

# Verifique la configuración MAD detallada de la pila.
<Stack> display mad verbose
Eth-Trunk10

<SwitchD> display mad proxy
Eth-Trunk10
----Fin
#
sysname Stack
#
#
eth-trunk 10
#
eth-trunk 10
#
eth-trunk 10
#
return

#
sysname SwitchD
#
mad relay
#
eth-trunk 10
#
eth-trunk 10
#
eth-trunk 10
#
return
4.1.9 Guía de reemplazo del switch de pila

Es posible que necesite reemplazar un switch de miembro defectuoso en una pila. Para evitar
que los servicios se interrumpan durante reemplazo del switch, utilice la agregación de
enlaces entre los dispositivos para conectar los dispositivos ascendentes y descendentes para
realizar copias de seguridad de enlaces.
l Reemplace un switch de miembro en una pila de dos switches de miembros.
SwitchA y SwitchB configuran una pila. SwitchA es defectuoso y necesita ser
reemplazado con SwitchC. Se le recomienda seguir este procedimiento para realizar el
reemplazo:
a. Antes del reemplazo, asegúrese de que el SwitchC tenga la misma system software
version and hardware model que el SwitchA. Para verificar la versión del
software del sistema y el modelo de hardware de los switches, ejecute los comandos
display version y display device.
b. Ejecute los comandos display stack, display stack configuration y display stack
port para verificar y registrar el estado de pila antes del reemplazo, la configuración
de pila y el estado del puerto de pila.
c. Antes de conectar SwitchC con cables de pila, enciéndalo y realice el siguiente
procedimiento para configurarlo:
i. Después de que se inicie SwitchC, cargue el archivo de configuración de
SwitchA a SwitchC.
ii. Ejecute el comando startup saved-configuration configuration-file para
especificar el archivo de configuración cargado como el archivo de
configuración utilizado para el siguiente inicio de SwitchC, y luego reinicie el
SwitchC.
iii. Después de que se reinicie SwitchC, copie manualmente la configuración de
pila que se muestra mediante el comando display stack configuration en
SwitchC para asegurar que SwitchC tenga la misma configuración de pila que
el SwitchA.
d. Una vez completada la configuración, verifique si el SwitchC tiene la misma
configuración de pila que el SwitchA. Si confirmarlo, apague el SwitchC.
e. Ejecute el comando display stack para verificar si el SwitchA es el switch
principal. Si confirmarlo, ejecute el comando slave switchover para realizar un
switchover activo/standby en la pila. Si no, vaya al siguiente paso.
<HUAWEI> display switchover state //Verifique si se cumplen las
condiciones de conmutación activa/standby.
Slot 0 HA FSM State(master): realtime or routine backup. //La

conmutación solo se puede realizar en este estado.

Slot 1 HA FSM State(slave): receiving realtime or routine data.
[HUAWEI] slave switchover enable Habilite la conmutación activa/
standby.
[HUAWEI] slave switchover //Realice una conmutación activa/standby.
Warning: This operation will switch the slave board to the master board.
Continue? [Y/N]: y
Después de realizar un switchover activo/standby, el switch principal se reiniciará.

Después de que el switch se reinicie e ingrese a la pila, vaya al siguiente paso. Para
verificar si el switch ingresa nuevamente a la pila, ejecute el comando display
stack.
f. Apague y elimine el SwitchA.
g. Instale SwitchC y conecte los cables a sus puertos de servicio, puertos de pila y
puertos que tienen detección de doble activos (DAD) configurados.
h. Encienda SwitchC para que SwitchC ingrese a la pila como un nuevo miembro.
Ejecute el comando display stack para verificar si SwitchC puede configurar una
pila con SwitchB.
i. Después de que SwitchC y SwitchB configuren una pila, ejecute los comandos
display stack configuration y display stack port para verificar la configuración de
la pila y el estado de la interfaz. Asegúrese de que la configuración de la pila sea la
misma que la utilizada antes del reemplazo del dispositivo y que las interfaces se
activen normalmente.
j. Después de confirmar que todos los servicios son normales, ejecute el comando
save para guardar la configuración de la pila.
k. Si los switches principal y standby actuales son diferentes de los anteriores al
reemplazo del dispositivo, realice un switchover activo /standby.
l Reemplace un switch de miembro en una pila de tres o más switches de miembro
(en una topología de anillo).
En una pila configurada por tres o más switches de miembro en una topología de anillo,
el procedimiento de reemplazo del dispositivo es similar al procedimiento de una pila de
dos switches de miembro. Para obtener más detalles, consulte Reemplace un switch de
miembro en una pila de dos switches de miembro.
l Reemplace un switch de miembro en una pila de tres o más switches de miembro
(en una topología de cadena).
En una pila configurada por tres o más switches de miembro en una topología de cadena,
el procedimiento de reemplazo de switches de borde en ambos extremos es similar al
procedimiento de una pila de dos switches de miembro. Para obtener más detalles,
consulte Reemplace un switch de miembro en una pila de dos switches de miembro.
Para reemplazar un switch intermedio, cambie la topología de conexión de la pila a la
topología de anillo y luego reemplace el switch de acuerdo con Reemplace un switch de
miembro en una pila de dos switches de miembro. El procedimiento es el siguiente:
a. En los switches de borde en ambos extremos, cree un puerto de pila lógico y
agregue puertos de miembro en el puerto de pila lógico, y luego conecte estos
puertos mediante cables.
[HUAWEI] interface stack-port 1/1 //Cree un puerto de pila lógico.
[HUAWEI-stack-port1/1] port interface gigabitethernet 1/0/46 enable //
Agregue un puerto de miembro al puerto de pila lógico.
Después de que los cables estén conectados, ejecute el comando display stack para
verificar si la topología de conexión de la pila cambia a la topología de anillo.

b. Después de que la topología de conexión de la pila cambie a la topología de anillo,

reemplace el switch de acuerdo con Reemplace un switch de miembro en una
pila de dos switches de miembro.
c. Para restaurar la topología de conexión de pila a la topología de la cadena después
del reemplazo, retire los cables de la pila conectados en el paso 1.
4.2 Configuración típica de CSS de los switches modulares
4.2.1 Compatibilidad de CSS

4.2.1.1 Compatibilidad de la versión de CSS
Tabla 4-20 Productos y versiones que admiten al CSS

Prod Mode Versión compatible con la Versión compatible con la
ucto lo del clusterización de tarjetas de clusterización de puertos de
prod CSS servicio
ucto
S9300 S9303 No se admite No se admite
S9300 S9306 V100R003C00, V100R006 (C00/ V200R002C00, V200R003C00,

S9312 C10), V200R001C00, V200R005C00SPC300,
V200R002C00, V200R003C00, V200R006C00, V200R007C00,
V200R005C00SPC300, V200R008 (C00/C10),
V200R006C00, V200R007C00, V200R009C00, V200R010C00,
V200R008 (C00/C10), V200R011C10, V200R012C00
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10, V200R010C00, V200R011C10,

V200R012C00 V200R012C00
S9300 S9310 V200R010C00, V200R011C10, V200R010C00, V200R011C10,

X X V200R012C00 V200R012C00
S9300 S9303 No se admite No se admite

E E
S9300 S9306 V200R008 (C00/C10), V200R002C00, V200R003C00,

E E V200R009C00, V200R010C00, V200R005C00SPC300,
S9312 V200R011C10, V200R012C00 V200R006C00, V200R007C00,
E V200R008 (C00/C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00

4.2.1.2 Compatibilidad de software y hardware para la clusterización de tarjetas

de CSS del S9300
Tabla 4-21 Compatibilidad de software y hardware para la clusterización de tarjetas de CSS

del S9306/S9312
Modelo de l S9306
dispositivo l S9312
Ranura de Tarjeta de CSS: Tarjeta de CSS: LE1D2VS04000 (los

instalación y LE0D0VSTSA00 (todos los puertos de CSS de las tarjetas de
tarjeta de CSS puertos de las tarjetas de CSS deben tener al menos un cable
CSS deben estar conectado y los puertos de ambos
conectados). extremos del cable deben usar el
Ranura de instalación: mismo número de puerto).
ranuras de subtarjeta de Ranura de instalación: ranuras de
LE0MSRUA (non-VER.A), subtarjetas de LE1D2SRUH000,
LE0DSRUA y LE1D2SRUH002 y
LE0D00SRUB00 LE1D2SRUE000
Los modelos de tarjetas de CSS y Los modelos de tarjetas de CSS y MPU se
MPU se abrevian con las siglas abrevian con las siglas "VS04" y "SRUH" (o
"VSTSA" y "SRUA" (o "SRUB") "SRUE") respectivamente.
respectivamente.
Versión del V100R003C00 y versiones SRUH: V200R009C00 y versiones

software posteriores posteriores
SRUE: V200R010C00 y versiones
posteriores
Intercambio en No se admite Se admite

caliente de
tarjetas de CSS
Cantidad de 2 2
tarjetas de CSS
compatibles con
cada chasis
Cantidad de Cuatro puertos de 16 G Cuatro puertos de 10 G

puertos de CSS de
cada tarjeta de
CSS y ancho de
banda de un solo
puerto de CSS

Módulos l Cables de alta velocidad l Cables SFP+ de 1 m, 3 m y 5 m

insertables para QSFP+ de 3 m y 10 m (pasivos) y 10 m (activos)
puertos de l Módulo óptico QSFP+ l Fibra y módulo óptico SFP+
tarjetas de CSS (excepto el modelo l Cables AOC SFP+ de 3 m y 10 m
QSFP-40G-SR-BD) y
fibra
l Cable AOC QSFP+ de 10
m (admitido desde la
versión V200R010C00)
l Cables de alta velocidad
QSFP+ de 5 m
(admitidos desde la
versión V200R011C10)
Configuración de l Dos S9306, un S9306 y l Dos S9306, un S9306 y un

hardware un S9312, o dos S9312 S9312, o dos S9312 pueden
pueden configurar un configurar un CSS.
CSS. l Cada chasis puede tener solo una
l Cada chasis debe tener SRU instalada; las tarjetas de
instaladas tanto una MPU CSS se pueden instalar en
activas como una de cualquier ranura de MPU. Para
reserva, y las dos MPU garantizar la fiabilidad, se
deben tener tarjetas de recomienda instalar dos MPU en
apilamiento instaladas. cada chasis.
l Las MPU de un mismo l Las MPU de un mismo chasis
chasis deben ser del deben ser del mismo modelo. Dos
mismo modelo. Dos chasis con SRU diferentes pueden
chasis con SRU conformar un CSS solo en un
diferentes pueden caso: SRUH en un chasis y SRUE
conformar un CSS solo en el otro, y ambos chasis tienen
en un caso: SRUA en un la versión V200R010C00 o una
chasis y SRUB en el otro. posterior.
Licencia No
requerida
Tabla 4-22 Compatibilidad de software y hardware para la clusterización de tarjetas de CSS

del S9310
Modelo de S9310
dispositivo
Ranura de Las tarjetas de CSS se integran en las MPU (LE1D2SRUKC00 y

instalación y LE1D2SRUKC01) y no requieren instalación.
tarjeta de CSS Las tarjetas de CSS se integran en las SFU (LE1D2SFUK000) y no
requieren instalación.
Los modelos de MPU y SFU se abrevian con las siglas "SRUK" y "SFUK" respectivamente.

Versión del V200R010C00 y versiones posteriores

software
Cantidad de 4
tarjetas de CSS
compatibles con
cada chasis
Cantidad de Cuatro puertos de 10 G y un puerto de 40 G

puertos de CSS de
cada tarjeta de
CSS y ancho de
banda de un solo
puerto de CSS
Módulos Puerto de 10 G:
insertables para l Cables SFP+ de 1 m, 3 m y 5 m (pasivos) y 10 m (activos)
puertos de
tarjetas de CSS l Fibra y módulo óptico SFP+
l Cables AOC SFP+ de 3 m y 10 m
Puerto de 40 G:
l Cables de alta velocidad QSFP+ de 1 m, 3 m y 5 m
l Módulo óptico QSFP+ (excepto el modelo QSFP-40G-SR-BD) y
fibra
l Cable AOC QSFP+ de 10 m
Configuración de l Dos S9310 pueden configurar un CSS.

hardware l Cada chasis puede tener solo una MPU instalada. Se recomienda
que cada chasis tenga dos MPU instaladas. Si se requiere
redundancia 1 + N de las MPU para que un CSS pueda funcionar
normalmente incluso si dos MPU de un mismo chasis tienen
fallos, también se deben instalar las SFU.
Licencia No
requerida

de CSS del S9300E
Modelo de l S9306E
dispositivo l S9312E
Ranura de Tarjeta de CSS: LE2D2VS08000 (ocho puertos de una tarjeta de CSS

instalación y se dividen en dos grupos, cada uno de los cuales debe tener al menos
tarjeta de CSS un cable conectado).
Ranura de instalación: ranura de subtarjeta LE2D2SRUC000
Los modelos de tarjetas de CSS y MPU se abrevian con las siglas "VS08" y "SRUC"
respectivamente.


software
Intercambio en No se admite
caliente de
tarjetas de CSS
Cantidad de 2
tarjetas de CSS
compatibles con
cada chasis
Cantidad de Ocho puertos de 10 G

puertos de CSS de
cada tarjeta de
CSS y ancho de
banda de un solo
puerto de CSS
Módulos l Cables SFP+ de 1 m, 3 m y 5 m (pasivos) y 10 m (activos)

insertables para l Fibra y módulo óptico SFP+
puertos de
tarjetas de CSS l Cables AOC SFP+ de 3 m y 10 m
Configuración de l Dos S9306E, un S9306E y un S9312E, o dos S9312E pueden

hardware configurar un CSS.
l Los switches para configurar un CSS deben tener instaladas tanto
una MPU activa como una MPU de reserva, y las dos MPU deben
tener instaladas tarjetas de apilamiento.
Licencia No
requerida

de CSS del S9310X
Modelo de S9310X
dispositivo
Ranura de Las tarjetas de CSS se integran en las MPU (LX1D2MFUXC00) y

instalación y no requieren instalación.
tarjeta de CSS Las tarjetas de CSS se integran en las SFU (LX1D2SFUX000) y no
requieren instalación.
Los modelos de MPU y SFU se abrevian con las siglas "MFUX" y "SFUX"
respectivamente.

software

Cantidad de 4
tarjetas de CSS
compatibles con
cada chasis
Cantidad de Cuatro puertos de 10 G y un puerto de 40 G

puertos de CSS de
cada tarjeta de
CSS y ancho de
banda de un solo
puerto de CSS
Módulos Puerto de 10 G:
insertables para l Cables SFP+ de 1 m, 3 m y 5 m (pasivos) y 10 m (activos)
puertos de
tarjetas de CSS l Fibra y módulo óptico SFP+
l Cables AOC SFP+ de 3 m y 10 m
Puerto de 40 G:
l Cables de alta velocidad QSFP+ de 1 m, 3 m y 5 m
l Módulo óptico QSFP+ (excepto el modelo QSFP-40G-SR-BD) y
fibra
l Cable AOC QSFP+ de 10 m
Configuración de l Dos S9310X pueden configurar un CSS.

hardware l Cada chasis puede tener solo una MPU instalada. Se recomienda
que cada chasis tenga dos MPU instaladas. Si se requiere
redundancia 1 + N de las MPU para que un CSS pueda funcionar
normalmente incluso si dos MPU de un mismo chasis tienen
fallos, también se deben instalar las SFU.
Licencia No
requerida
4.2.1.5 Compatibilidad de software y hardware para la clusterización de puertos

de servicio del S9300 y del S9310X
Modelo de l S9306
dispositivo l S9312
l S9310
l S9310X
Versión del S9306 y S9312: V200R002C00 y versiones posteriores

software S9310/S9310X: V200R010C00 y versiones posteriores

Modelo de l LE2D2X08SED4 LE1D2L02QFC0

LPU l LE2D2X08SED5
NOTA
l LE0DX12XSA00
Para obtener
más l LE0DX16SFC00
información
acerca de las l LE0DX40SFC00
LPU, consulte l LE1D2X32SSC0
la sección
"Tarjetas" de l LE1D2X16SSC2
la Descripción l LE1D2X08SSC0
del hardware
del modelo de l LE1D2X12SSC0
dispositivo
correspondien
te.
Módulos l Cables SFP+ de 1 m, 3 m y 5 m l Cables de alta velocidad

insertables en (pasivos) y 10 m (activos) QSFP+ de 1 m, 3 m y 5 m
puertos de l Fibra y módulo óptico SFP+ l Módulo óptico QSFP+
servicio (excepto el modelo
l Cables AOC SFP+ de 3 m y 10
m QSFP-40G-SR-BD) y fibra
NOTA
El LE0DX12XSA00 no admite cables
de alta velocidad SFP+ de 3 m ni 5 m.

Restricciones l En las LPU LE2D2X08SED4 y Los subpuertos físicos de CSS

de uso LE2D2X08SED5, a lo sumo interconectados en los dos
cuatro puertos se pueden switches deben ser puertos 40GE.
configurar como subpuertos Los puertos XGE derivados de un
físicos de CSS. Los cuatro puerto 40GE no se pueden añadir
subpuertos físicos deben ser los a un puerto lógico de CSS.
primeros cuatro puertos
(numerados del 0 al 3) o los
últimos cuatro puertos
(numerados del 4 al 7) en las
LPU.
l En las LPU LE1D2X08SSC0,
LE1D2X12SSC0,
LE0DX16SFC00,
LE0DX40SFC00,
LE1D2X32SSC0 y
LE1D2X16SSC2, cuatro puertos
contiguos se deben configurar
como un grupo de subpuertos
físicos. Los números de los
cuatro puertos deben comenzar
con 4xN y terminar con 4xN+3
(N = 0, 1, 2...). Por ejemplo, los
puertos 0 a 3 o los puertos 4 a 7
deben configurarse juntos, pero
los puertos 2 a 5 no pueden
configurarse juntos. Si cualquier
puerto de un grupo está
configurado como un subpuerto
físico, los otros tres puertos del
mismo grupo también deben
configurarse como puertos
físicos.
Configuración l Solo dos switches S9306, dos switches S9312, dos switches S9310,
de hardware dos switches S9310X o un S9306 y un S9312 pueden configurar un
CSS.
l Las MPU correspondientes a un mismo chasis deben ser del mismo
modelo. Las MPU del chasis local y del chasis remoto pueden ser del
mismo modelo o de diferentes modelos; sin embargo, se recomienda
usar el mismo modelo de MPU. Dos chasis con SRU diferentes
pueden conformar un CSS solo dos casos: (1) SRUA en un chasis y
SRUB en el otro; (2) SRUH en un chasis y SRUE en el otro, y ambos
chasis tienen la versión V200R010C00 o una posterior.
l Cada chasis puede tener como máximo dos LPU para la conexión del
CSS. Se recomienda usar el mismo tipo de LPU dentro de un mismo
chasis para la conexión de CSS. Los dos chasis deben usar el mismo
tipo de puertos para la conexión de CSS, por ejemplo, puertos ópticos
10GE SFP +.
l Cada LPU solo permite un puerto lógico de CSS. Cada puerto lógico
de CSS admite un máximo de 32 subpuertos físicos.

Licencia Sí
requerida
4.2.1.6 Compatibilidad de software y hardware para la clusterización de puertos

de servicio del S9300E
Modelo de l S9306E
dispositivo l S9312E

software
Modelo de l LE2D2X08SED4 l LE1D2L02QFC0

LPU l LE2D2X08SED5
NOTA
l LE0DX12XSA00
Para obtener
más l LE0DX16SFC00
información
acerca de las l LE0DX40SFC00
LPU, consulte l LE1D2X32SSC0
la sección
"Tarjetas" de l LE1D2X16SSC2
la Descripción l LE1D2X08SSC0
del hardware
del modelo de l LE1D2X12SSC0
dispositivo
correspondien
te.
Módulos l Cables SFP+ de 1 m, 3 m y 5 m l Cables de alta velocidad QSFP

insertables en (pasivos) y 10 m (activos) + de 1 m, 3 m y 5 m
puertos de l Fibra y módulo óptico SFP+ l Módulo óptico QSFP+
servicio (excepto el modelo
l Cables AOC SFP+ de 3 m y 10
m QSFP-40G-SR-BD) y fibra
NOTA
El LE0DX12XSA00 no admite cables
de alta velocidad SFP+ de 3 m y 5 m.

Restricciones l En las LPU LE2D2X08SED4 y Los subpuertos físicos de CSS

de uso LE2D2X08SED5, a lo sumo interconectados en los dos
cuatro puertos se pueden switches deben ser puertos 40GE.
configurar como subpuertos Los puertos XGE derivados de un
físicos de CSS. Los cuatro puerto 40GE no se pueden añadir
subpuertos físicos deben ser los a un puerto lógico de CSS.
primeros cuatro puertos
(numerados del 0 al 3) o los
últimos cuatro puertos
(numerados del 4 al 7) en las
LPU.
l En las LPU LE1D2X08SSC0,
LE1D2X12SSC0,
LE0DX16SFC00,
LE0DX40SFC00,
LE1D2X32SSC0 y
LE1D2X16SSC2, cuatro puertos
contiguos se deben configurar
como un grupo de subpuertos
físicos. Los números de los
cuatro puertos deben comenzar
con 4xN y terminar con 4xN+3
(N = 0, 1, 2...). Por ejemplo, los
puertos 0 a 3 o los puertos 4 a 7
deben configurarse juntos, pero
los puertos 2 a 5 no pueden
configurarse juntos. Si cualquier
puerto de un grupo está
configurado como un subpuerto
físico, los otros tres puertos del
mismo grupo también deben
configurarse como puertos
físicos.
Configuración l Sólo dos switches S9306E, dos switches S9312E o un S9306E y un

de hardware S9312E pueden configurar un CSS.
l Las MPU correspondientes a un mismo chasis deben ser del mismo
modelo. Las MPU del chasis local y las del chasis del otro extremo
pueden ser de modelos diferentes, pero se recomienda que sean del
mismo modelo.
l Cada chasis puede tener como máximo dos LPU para la conexión del
CSS. Se recomienda usar el mismo tipo de LPU dentro de un mismo
chasis para la conexión de CSS. Los dos chasis deben usar el mismo
tipo de puertos para la conexión de CSS, por ejemplo, puertos ópticos
10GE SFP +.
l Cada LPU solo permite un puerto lógico de CSS. Cada puerto lógico
de CSS admite un máximo de 32 subpuertos físicos.
Licencia Sí
requerida

4.2.2 Ejemplo para configurar un CSS de dos switches de

miembro mediante tarjetas de CSS
Descripción general de CSS

Un Sistema de conmutación de clúster (CSS), también llamado un clúster, es un switch lógico
que consista de dos switches con capacidad de clúster. Proporciona un alto rendimiento de
reenvío y una alta fiabilidad y escalabilidad de red, al mismo tiempo simplifica la gestión de
la red.
l Alta confiabilidad: El switch de miembro en un trabajo de CSS en modo de redundancia.
La redundancia de enlace también se puede implementar entre los switches de miembro
a través de la agregación de enlaces.
l Alta escalabilidad: Los switches pueden configurar un CSS para aumentar la cantidad de
puertos, el ancho de banda y las capacidades de procesamiento de paquetes.
l Configuración y gestión simplificadas: Después de que dos switches configuran un CSS,
se virtualizan en un dispositivo. Puede iniciar sesión en el CSS desde cualquiera de los
switches de miembro para configurar y administrar todo el CSS.
En el modo de conexión de tarjeta CSS, los switches de miembro se conectan mediante las
tarjetas CSS en las MPU o SFU y los cables de clúster. En comparación con el modo de
conexión del puerto de servicio, el modo de conexión de la tarjeta CSS no ocupa los puertos
de servicio comunes, es fácil de configurar, lo que garantiza una gran estabilidad y baja
latencia, pero necesita mayores requisitos de hardware.
El modo de conexión de tarjetas CSS integradas en SFU, recientemente admitido en
V200R010C00, también se llama Cluster Switch System Generation 2 (CSS2). Además de las
funciones de CSS existentes, CSS2 admite la copia de seguridad 1+N de las MPU.
La copia de seguridad 1+N de las MPU permite que un CSS se ejecute de manera estable,
siempre y cuando una MPU de cualquier chasis del CSS funcione normalmente. En
comparación con el modo de conexión del puerto de servicio en el que cada chasis debe tener
al menos una MPU que funciona normalmente, el CSS2 es más confiable. En comparación
con el modo de conexión de tarjeta CSS montada en MPU en el que cada chasis debe tener
dos MPU instaladas, el CSS2 es más flexible.
Después de configurar un CSS, se le recomienda realizar las siguientes configuraciones:
l Para simplificar la configuración de red, aumente el ancho de banda del enlace
ascendente y mejorar la fiabilidad, configure Eth-Trunks entre los dispositivos en CSS,
conecte los dispositivos descendentes al CSS en modo de dual-homing y agregue los
puertos de enlace ascendente y enlace descendente del CSS a Eth-Trunks.
l Configure la función de detección de múltiples activos (MAD) en el CSS. Los dos
switches de miembro en un CSS usan la misma dirección IP y dirección MAC (dirección
MAC del sistema CSS). Por lo tanto, después de que el CSS se divida, existen dos CSS
que usan la misma dirección IP y dirección MAC. Para evitar esta situación, se requiere
un mecanismo para verificar la dirección IP y los conflictos de direcciones MAC
después de una división. MAD es un protocolo de detección de división CSS que
proporciona la detección de división, manejo de multi-activo y mecanismos de
recuperación de fallas cuando un CSS se divide debido a una falla en el enlace. Esto
minimiza el impacto de una división de CSS en los servicios.
MAD puede implementarse en modo directo o de retransmisión, pero estos modos no
pueden configurarse simultáneamente en un CSS. Puede configurar MAD en modo de

retransmisión para un CSS cuando se configura un Eth-Trunk entre los dispositivos en el

CSS. El modo directo ocupa los puertos adicionales y estos puertos solo pueden usarse
para MAD después de conectarse con los cables comunes. A diferencia del modo
directo, el modo de retransmisión no ocupa puertos adicionales.
l Después de que dos switches configuran un CSS, las siguientes características no se
pueden configurar en el CSS:
– Reloj de Ethernet sincrónico
– Protocolo de tiempo de precisión (PTP) (IEEE 1588)
– Configuración del sistema web (En V200R001C00, el sistema web no es
compatible. En V200R002C00 y versiones posteriores, puede iniciar sesión en el
CSS a través del sistema web para realizar configuraciones.)
l Al configurar MAD, preste atención a las diferencias de la sintaxis del comando entre
V200R002C00 (y versiones anteriores) y V200R003C00 (y versiones posteriores). En
V200R002C00 y versiones anteriores, la función de detección de división se denomina
detección de doble activos (DAD).
l Independientemente de cuántos enlaces MAD existen, los puertos del switch standby se
apagarán y ya no reenviarán los paquetes de servicio mientras el CSS se divida.
Requisitos de red
Una empresa necesita establecer una red que tenga una capa de core confiable y una
estructura simple para facilitar la configuración y la gestión.
Para cumplir con los requisitos de la empresa, los switches de core SwitchA y SwitchB
configuran un CSS en modo de conexión de tarjeta CSS. SwitchA es el switch principal y
SwitchB es el switch standby. Figura 4-17 muestra la topología de red. Los switches de
agregación se conectan al CSS a través de Eth-Trunks, y el CSS se conecta a la red ascendente
a través de un Eth-Trunk. En este ejemplo, los switches de core son los switches S9306.

Figura 4-17 Configuración de un CSS
Red
SwitchE
GE1/0/1 GE1/0/2
Eth-Trunk 10
GE1/1/0/4 CSS GE2/1/0/4

Capa de
SwitchA SwitchB
core GE
1/1 /0/5
GE1/1/0/3 /0/5 2/1 GE2/1/0/3
GE
GE1/0/2 GE1/0/2
Capa de SwitchC GE1/0/1 GE1/0/1 SwitchD
agregación
Enlace CSS
Eth-Trunk

1. Instale módulos de hardware en SwitchA y SwitchB.
2. Establezca el modo de conexión CSS en SwitchA y SwitchB y establezca
respectivamente sus ID de CSS en 1 y 2 y las prioridades de CSS en 100 y 10. Estas
configuraciones aseguran que el SwitchA tenga una mayor probabilidad de convertirse
en el switch principal.
3. Habilite la función CSS en SwitchA y luego en SwitchB para asegurar que SwitchA se
convierta en el switch principal.
4. Verifique si un CSS está configurado correctamente.
5. Configure Eth-Trunks de enlace ascendente y enlace descendente para el CSS para
mejorar el ancho de banda de reenvío y la fiabilidad.
6. Configure MAD para minimizar el impacto de una división de CSS en la red.

Procedimiento
Paso 1 Instale módulos de hardware.
A continuación, se describe solo la regla para conectar cables de clúster entre dos switches de
miembro. Si también necesita instalar MPU y tarjetas CSS y conocer los detalles de
instalación, consulte la Guía de configuración de Switch Cluster.
Seleccione el diagrama de conexión requerido según el modelo del dispositivo y el modelo de

tarjeta CSS para conectar los cables del clúster.
Figura 4-18 Conexiones de tarjeta CSS VSTSA (S9306&S9312)
NOTA
Siga estas reglas cuando conecte las tarjetas CSS VSTSA: Cada tarjeta CSS VSTSA tiene cuatro
puertos. Todos los puertos con el mismo número y color de puerto deben estar conectados, como se
muestra en la figura anterior. Por ejemplo, el puerto 1 de color azul en el chasis izquierdo debe estar
conectado al puerto 1 de color azul en el chasis derecho.
La configuración de CSS mediante las tarjetas CSS VSTSA permite por lo máximo un cable de clúster
defectuoso.
Figura 4-19 Conexiones de tarjeta CSS VS04 (S9306&S9312)

NOTA
Siga estas reglas cuando conecte las tarjetas CSS VS04:

l Cada tarjeta CSS VS04 tiene cuatro puertos. Todos los puertos con el mismo número de puerto
deben estar conectados, como se muestra en la figura anterior. Por ejemplo, el puerto 1 de color
azul en el chasis izquierdo debe estar conectado al puerto 1 de color azul en el chasis derecho. Los
dos chasis se pueden conectar a través de un cable. Sin embargo, se recomienda que los dos chasis
se conecten a través de múltiples cables.
l Cada tarjeta CSS en el chasis local solo se puede conectar a una tarjeta CSS en el chasis del otro
extremo.
Figura 4-20 Conexiones de tarjeta CSS VS08 (S9306E&S9312E)
NOTA
Siga estas reglas cuando conecte tarjetas CSS VS08: Cada tarjeta CSS VS08 proporciona ocho puertos,
que se dividen en dos grupos. Los puertos en los grupos con el mismo ID y color deben ser conectados.
Por ejemplo, los puertos en el grupo 1 de color azul en el chasis izquierdo y derecho deben ser
conectados, y los puertos en el grupo 2 de color azul en el chasis izquierdo y derecho deben ser
conectados. Vea la figura anterior para conectar cables entre grupos. Los puertos de un grupo se pueden
conectar en cualquier secuencia, pero cada grupo debe tener al menos un cable conectado. Se
recomiendan las conexiones de malla completa.

Figura 4-21 Conexiones de tarjeta CSS integrada de S9310 y S9310X (mediante 4 puertos
10G y puertos 40G)

NOTA
Siga estas reglas cuando se conecta las tarjetas CSS integradas de S9310 y S9310X:
l En el S9310 y S9310X, el chasis local y del otro extremo se puede conectar utilizando MPU o
SFU, o ambas MPU y SFU. Las MPU o SFU en un chasis solo se pueden conectar al mismo tipo
de tarjetas (MPU o SFU) en el otro chasis.
l Las tarjetas CSS integradas a MPU y SFU tienen dos tipos de puertos: 4 puertos 10G y puerto
40G. Los puertos 10G con el mismo número de puerto deben ser conectados, como se muestra en
la figura anterior. Por ejemplo, el puerto 1 de color azul en el chasis izquierdo debe estar
conectado al puerto 1 de color azul en el chasis derecho.
l Los dos chasis pueden configurar un CSS siempre que estén conectados por un cable de clúster.
Para garantizar la fiabilidad, se recomienda conectar varios cables de clúster.
l Para admitir copia de seguridad de 1+N MPU, asegúrese de que las SFU estén conectadas
mediante cables de clúster.
Paso 2 Configure el modo de conexión CSS, el ID de CSS y la prioridad de CSS.

# Configure la función de CSS en SwitchA. Conserve el modo de conexión de CSS
predeterminado (conexión con tarjeta CSS) y el ID de CSS predeterminado en 1, establezca la
prioridad de CSS en 100.
[SwitchA] set css priority 100
# Configure la función de CSS en SwitchB. Conserve el modo de conexión CSS

predeterminado (conexión con tarjeta CSS) y configure el ID de CSS en 2 y la prioridad de
CSS en 10.
NOTA
Para usar dos S9310 o S9310X para establecer un CSS, debe ejecutar el comando css port media-type para
establecer el tipo de puerto CSS al tipo de puerto real utilizado para las conexiones de clúster. Puede ejecutar
el comando display css status [ saved ] para verificar los tipos de puerto CSS actuales y guardados en
función del campo de CSS port media-type.
# Verifique la configuración de CSS.
NOTA
Una vez completada la configuración, ejecute el comando display css status saved para verificar la
configuración de CSS.
Verifique la configuración de CSS en el SwitchA.

[SwitchA] display css status saved
Current Id Saved Id CSS Enable CSS Mode Priority Master force
------------------------------------------------------------------------------
1 1 Off CSS card 100 Off
Verifique la configuración de CSS en el SwitchB.

[SwitchB] display css status saved
------------------------------------------------------------------------------
1 2 Off CSS card 10 Off
Paso 3 Habilite la función CSS.

# Habilite la función CSS en SwitchA y reinicie SwitchA.


rebooted. T
# Habilite la función CSS en SwitchB y reinicie SwitchB.

rebooted. T
Paso 4 Verifique si un CSS está configurado correctamente.

# Vea el estado del indicador.
El indicador MASTER en una tarjeta CSS de SwitchA está encendido, lo que indica que la
MPU con la tarjeta CSS instalada es la MPU activa de CSS y SwitchA es el switch principal.
Los indicadores MASTER en las tarjetas CSS de SwitchB están apagados, lo que indica que
SwitchB es el switch de reserva.
# Inicie sesión en el CSS a través del puerto de consola en cualquier MPU para verificar si el
CSS se ha configurado correctamente. En versiones anteriores a V200R005C00, debe iniciar
sesión en el CSS a través del puerto de consola en la MPU activa.
<SwitchA> display device
Chassis 1 (Master Switch)
S9306's Device status:
Slot Sub Type Online Power Register Status Role
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1 - LE0DT24XEA00 Present PowerOn Registered Normal NA
2 - LE0MG48SC Present PowerOn Registered Normal NA
7 - LE0D00SRUB00 Present PowerOn Registered Normal Master
1 LE0D0VSTSA00 Present PowerOn Registered Normal NA
8 - LE0D00SRUB00 Present PowerOn Registered Normal Slave
PWR1 - - Present PowerOn Registered Normal NA
CMU1 - LE0DCMUA0000 Present PowerOn Registered Normal Slave
CMU2 - LE0DCMUA0000 Present PowerOn Registered Normal Master
FAN1 - - Present PowerOn Registered Normal NA
Chassis 2 (Standby Switch)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1 - LE0DG48SBC00 Present PowerOn Registered Normal NA
3 - LE0MF48TA Present PowerOn Registered Normal NA
5 - LE0MF48TC Present PowerOn Registered Normal NA
6 - LE0MG48SD Present PowerOn Registered Normal NA
El resultado del comando muestra el estado de la tarjeta de ambos switches de miembro, lo

que indica que el CSS se ha configurado correctamente.
# Verifique si los enlaces CSS son normales.
<SwitchA> display css channel
Chassis 1 || Chassis 2
================================================================================
Num [SRUB HG] [VSTS Port(Status)] || [VSTS Port(Status)] [SRUB HG]

1 1/7 1/15 -- 1/7/0/1(UP 16G) ---||--- 2/7/0/4(UP 16G) -- 2/8 1/14

2 1/7 0/15 -- 1/7/0/3(UP 16G) ---||--- 2/8/0/2(UP 16G) -- 2/7 0/14
3 1/7 1/14 -- 1/8/0/4(UP 16G) ---||--- 2/7/0/1(UP 16G) -- 2/7 1/15
4 1/7 0/14 -- 1/8/0/2(UP 16G) ---||--- 2/8/0/3(UP 16G) -- 2/8 0/15
5 1/8 1/15 -- 1/8/0/1(UP 16G) ---||--- 2/8/0/4(UP 16G) -- 2/7 1/14
6 1/8 0/15 -- 1/8/0/3(UP 16G) ---||--- 2/7/0/2(UP 16G) -- 2/8 0/14
7 1/8 1/14 -- 1/7/0/4(UP 16G) ---||--- 2/8/0/1(UP 16G) -- 2/8 1/15
8 1/8 0/14 -- 1/7/0/2(UP 16G) ---||--- 2/7/0/3(UP 16G) -- 2/7 0/15
El resultado del comando muestra que todos los enlaces CSS están Up, lo que indica que el
CSS se ha configurado correctamente.
Paso 5 Configure Eth-Trunks entre el CSS y sus dispositivos ascendentes y descendentes.
# Configure un Eth-Trunk en CSS y agregue los puertos de enlace ascendente al Eth-Trunk.
[SwitchA] sysname CSS //Renombre el CSS.
[CSS] interface gigabitethernet 1/1/0/4
[CSS-GigabitEthernet1/1/0/4] eth-trunk 10
[CSS-GigabitEthernet1/1/0/4] quit
# Configure un Eth-Trunk en CSS y agregue los puertos de enlace descendente conectados a

SwitchC al Eth-Trunk.

SwitchD al Eth-Trunk.
[CSS-GigabitEthernet2/1/0/3] return
# Configure un Eth-Trunk en SwitchE y agregue puertos de miembro al Eth-Trunk.

[Quidway] sysname SwitchE
[SwitchE] interface eth-trunk 10
[SwitchE-Eth-Trunk10] quit
[SwitchE] interface gigabitethernet 1/0/1
[SwitchE-GigabitEthernet1/0/1] eth-trunk 10
[SwitchE-GigabitEthernet1/0/1] quit
[SwitchE] interface gigabitethernet 1/0/2
[SwitchE-GigabitEthernet1/0/2] eth-trunk 10
[SwitchE-GigabitEthernet1/0/2] quit
# Configure un Eth-Trunk en SwitchC y agregue los puertos de miembro al Eth-Trunk.

[SwitchC] interface eth-trunk 20

[SwitchC-Eth-Trunk20] quit
[SwitchC] interface gigabitethernet 1/0/1
[SwitchC-GigabitEthernet1/0/1] eth-trunk 20
[SwitchC-GigabitEthernet1/0/1] quit
# Configure un Eth-Trunk en SwitchD y agregue los puertos de miembro al Eth-Trunk.

[SwitchD] interface gigabitethernet 1/0/1
[SwitchD-GigabitEthernet1/0/1] eth-trunk 30
[SwitchD-GigabitEthernet1/0/1] quit
# Verifique la configuración.
Una vez completada la configuración, ejecute el comando display trunkmembership eth-
trunk en cualquier vista para verificar la información sobre los puertos de miembro de Eth-
Trunk. Por ejemplo:
El resultado del comando muestra información sobre los puertos de miembro en Eth-Trunk
10.
<CSS> display trunkmembership eth-trunk 10
Trunk ID: 10
Used status: VALID
TYPE: ethernet
Operate status: up
Interface GigabitEthernet1/1/0/4, valid, operate up, weight=1

Paso 6 Configure la función de MAD. El siguiente procedimiento configura MAD en modo de

retransmisión y configura SwitchC como agente de retransmisión mediante los comandos
aplicables a V200R003C00 y versiones posteriores.
# En el CSS, configure MAD en modo de retransmisión para el Eth-Trunk entre dispositivos.
<CSS> system-view
[CSS-Eth-Trunk20] mad detect mode relay //En V200R002C00 y versiones
anteriores, el comando es dual-active detect mode relay.
[CSS] quit
# Configure la función de MAD proxy en SwitchC.

[SwitchC-Eth-Trunk20] mad relay //En V200R002C00 y versiones
anteriores, el comando es dual-active relay.
[SwitchC] quit
Verifique la configuración MAD en el CSS.
<CSS> display mad //En V200R002C00 y versiones
anteriores, el comando es display dual-active.


MAD direct detection enabled: NO
MAD relay detection enabled: YES
Verifique la información MAD proxy en SwitchC.

<SwitchC> display mad proxy //En V200R002C00 y versiones
anteriores, el comando es display dual-active proxy.
Eth-Trunk20
----Fin
l Archivo de configuración de CSS
#
sysname CSS
#
#
#
#
interface GigabitEthernet1/1/0/3
eth-trunk 20
#
eth-trunk 10
#
eth-trunk 30
#
eth-trunk 30
#
eth-trunk 10
#
eth-trunk 20
#
return
l Archivo de configuración de SwitchC

#
sysname SwitchC
#
mad relay
#
eth-trunk 20
#
eth-trunk 20
#
return

#
sysname SwitchD
#
#

eth-trunk 30
#
eth-trunk 30
#
return
l Archivo de configuración de SwitchE

#
sysname SwitchE
#
#
eth-trunk 10
#
eth-trunk 10
#
return
4.2.3 Ejemplo para configurar un CSS mediante puertos de

servicio
Descripción general de CSS

Un Sistema de conmutación de clúster (CSS), también llamado un clúster, es un switch lógico
que consista de dos switches con capacidad de clúster. Proporciona un alto rendimiento de
reenvío y una alta fiabilidad y escalabilidad de red, al mismo tiempo simplifica la gestión de
la red.
l Alta confiabilidad: El switch de miembro en un trabajo de CSS en modo de redundancia.
La redundancia de enlace también se puede implementar entre los switches de miembro
a través de la agregación de enlaces.
l Alta escalabilidad: Los switches pueden configurar un CSS para aumentar la cantidad de
puertos, el ancho de banda y las capacidades de procesamiento de paquetes.
l Configuración y gestión simplificadas: Después de que dos switches configuran un CSS,
se virtualizan en un dispositivo. Puede iniciar sesión en el CSS desde cualquiera de los
switches de miembro para configurar y administrar todo el CSS.
En el modo de conexión de puerto de servicio, los switches de miembro se conectan mediante

los puertos de servicio, sin necesidad de las tarjetas CSS. Los puertos de servicio deben
configurarse como puertos de miembro físicos de puertos CSS lógicos.Figura 4-22 muestra
puertos de miembro físicos y puertos CSS lógicos en un CSS.
Figura 4-22 Conexión de puertos de servicio
Puerto lógico de
Puerto de CSS
miembro físico CSS
CSS link

l Puerto de miembro físico

Un puerto de miembro físico es un puerto de servicio utilizado para configurar un enlace
de CSS entre los switches de miembro de CSS. Los puertos de miembro físicos reenvían
paquetes de servicio o paquetes de protocolo CSS entre switches de miembro.
l Puerto CSS lógico
Un puerto CSS lógico está vinculado a los puertos de miembro físicos para la conexión
CSS. Cada switch de miembro de CSS admite dos puertos CSS lógicos.
En comparación con el modo de conexión de tarjeta CSS, el modo de conexión del puerto de
servicio es más flexible pero es complejo de configurar y necesita ocupar puertos de servicio
en las LPU.
Después de configurar un CSS, se le recomienda realizar las siguientes configuraciones:

l Para simplificar la configuración de red, aumentar el ancho de banda del enlace
ascendente y mejorar la confiabilidad, configurar Eth-Trunks entre dispositivos en CSS,
conectar dispositivos descendentes al CSS en modo de dual-homing y agregar puertos de
enlace ascendente y enlace descendente del CSS a Eth-Trunks .
l Configure la función de detección de múltiples activos (MAD) en el CSS. Los dos
switches de miembro en un CSS usan la misma dirección IP y dirección MAC (dirección
MAC del sistema CSS). Por lo tanto, después de que el CSS se divida, existen dos CSS
que usan la misma dirección IP y dirección MAC. Para evitar esta situación, se requiere
un mecanismo para verificar los conflictos de la dirección IP y direcciones MAC
después de una división. MAD es un protocolo de detección de división de CSS que
proporciona detección de división, manejo de multi activos y mecanismos de
recuperación de fallos cuando un CSS se divide debido a una fallo en el enlace. Esto
minimiza el impacto de una división de CSS en los servicios.
MAD puede implementarse en modo directo o de retransmisión, pero estos modos no
pueden configurarse simultáneamente en un CSS. Puede configurar MAD en modo de
retransmisión para un CSS cuando se configura un Eth-Trunk entre dispositivos en el
CSS. El modo directo ocupa puertos adicionales, y estos puertos solo pueden usarse para
MAD después de conectarse con cables comunes. A diferencia del modo directo, el
modo de retransmisión no ocupa puertos adicionales.
l La función de agrupación del puerto de servicio está controlada por una licencia. Por
defecto, esta función está deshabilitada en un nuevo dispositivo. Para usar esta función,
solicite y compre una licencia del agente u oficina local de Huawei.
l Cuando los switches que utilizan las SRUA, SRUB, SRUC y SRUD configuran un CSS
en el modo de agrupación de puertos de servicio, el archivo de software del sistema
(paquete de inicio del sistema) debe guardarse en la tarjeta CF. Si se guarda en la
memoria flash, no se puede configurar el CSS en el modo de agrupación del puerto de
servicio.
l Después de que dos switches configuran un CSS, las siguientes características no se
pueden configurar en el CSS:
– Reloj de Ethernet sincrónico
– Protocolo de tiempo de precisión (PTP) (IEEE 1588)
l Al configurar MAD, preste atención a las diferencias en la sintaxis del comando entre
V200R002C00 y V200R003C00 (y versiones posteriores). En V200R002C00, la función
de detección de división se llama detección de doble activos (DAD).

l Independientemente de cuántos enlaces de MAD existen, los puertos del switch standby
se apagarán y ya no reenviarán los paquetes de servicio mientras el CSS se divida.
Requisitos de red
Una empresa necesita construir una red que tenga una capa de core confiable y una estructura
simple para facilitar la configuración y gestión, así como reducir los costos de
implementación.
Para cumplir con los requisitos de la empresa, los switches de core SwitchA y SwitchB
configuran un CSS en el modo de conexión del puerto de servicio. SwitchA es el switch
principal, y SwitchB es el switch standby. Figura 4-23 muestra la topología de red. Los
switches de agregación se conectan al CSS a través de Eth-Trunks, y el CSS se conecta a la
red ascendente a través de un Eth-Trunk. En este ejemplo, los switches de core son los
switches S9306.
Figura 4-23 Configuración de un CSS
Red
SwitchE
XGE1/0/1 XGE1/0/2
Eth-Trunk 10
XGE1/3/0/4 CSS XGE2/3/0/4

XGE1/1/0/1~2 XGE2/1/0/1~2
Capa de SwitchB
SwitchA
core XGE1/2/0/1~2 XGE2/2/0/1~2
GE1/4/0/3 GE /5 GE2/4/0/3
1/4 /4/0
/0/5 2
GE
GE1/0/2 GE1/0/2
SwitchC GE1/0/1 GE1/0/1 SwitchD
Capa de
agregación
Enlace de CSS
Eth-Trunk

1. Instale LPU en SwitchA y SwitchB, y conecte los cables del clúster. Conecte cuatro
puertos de servicio en dos LPU de cada switch para mejorar el ancho de banda y la
confiabilidad.

2. Establezca el modo de conexión de CSS en SwitchA y SwitchB y establezca sus ID de

CSS en 1 y 2 y las prioridades de CSS en 100 y 10, respectivamente. Estas
configuraciones aseguran que SwitchA tenga una mayor probabilidad de convertirse en
el switch principal.
3. Configure dos puertos CSS lógicos en cada SwitchA y SwitchB y agregue dos puertos de
miembro físicos a cada puerto CSS lógico.
4. Habilite la función CSS en SwitchA y luego en SwitchB para asegurar que SwitchA se
convierta en el switch principal.
5. Verifique si un CSS está configurado exitosamente.
6. Configure Eth-Trunks de enlace ascendente y enlace descendente para el CSS con
motivo de mejorar el ancho de banda de reenvío y la confiabilidad.
7. Configure MAD para minimizar el impacto de una división de CSS en la red.
Procedimiento
Paso 1 Instale módulos de hardware.
A continuación, se describe solo la regla para conectar cables de clúster entre dos switches de
miembro. Si también necesita instalar LPU y obtener información acerca de la instalación,
consulte la Guía de configuración de clúster de switch.
Conecte los cables del clúster de acuerdo con la regla de conexión que se muestra en Figura
4-24.
Figura 4-24 Regla de conexión para agrupación de puertos de servicio
Dos extremos deben tener puertos de miembro del mismo tipo y la

misma cantidad, que se pueden conectar en cualquier secuencia.
…… …… …… ……
Recomendado: instale las LPU simétricamente junto a las ranuras de MPU
…… …… …… ……
SwitchA SwitchB
Puerto de Cable del

Puerto CSS lógico
miembro físico clúster
Ranuras de Ranuras de
MPU LPU

Los puertos de servicio están conectados de dos maneras según la distribución del enlace:
l Conexión de red 1+0
Cada switch miembro tiene un puerto CSS lógico y se conecta al otro switch miembro a
través de puertos de miembros físicos en una tarjeta de servicio.
l Conexión de red 1+1
Cada switch miembro tiene dos puertos CSS lógicos, y los puertos miembros físicos de
los puertos CSS lógicos se encuentran en dos tarjetas de servicio. Los enlaces de clúster
en las dos tarjetas de servicio implementan redundancia de enlace. La figura anterior
muestra las conexiones de cable en esta red.
NOTA
Al conectar los cables del clúster, preste atención a los siguientes puntos:
l Los puertos de miembros físicos de un puerto CSS lógico en un switch deben conectarse a los
puertos miembros físicos de un puerto CSS lógico en el otro switch.
l En red 1+1, se recomienda que dos tarjetas de servicio tengan la misma cantidad de enlaces de
clúster.
Para garantizar la confiabilidad, preste atención a los siguientes puntos cuando utilice las dos redes de
agrupación de puertos de servicio anteriores:
l Para garantizar una alta confiabilidad, se recomienda utilizar redes 1+1 y configurar detección de
múltiples activos (MAD).
l Se deben agregar por lo menos dos puertos de miembros físicos en una LPU a un puerto CSS
lógico.
l Se recomienda que las tarjetas donde se encuentran los puertos de enlace ascendente y el puerto
habilitado para MAD sean las LPU que no se utilizan para las conexiones de CSS.
Paso 2 Configure el modo de conexión CSS, el ID de CSS y la prioridad de CSS.
# Configure la función de CSS en SwitchA. Configure el modo de conexión del puerto de

servicio, establezca la prioridad de CSS en 100 y conserve la ID de CSS predeterminada 1.
[SwitchA] set css mode lpu
# Configure la función de CSS en SwitchB. Configure el modo de conexión del puerto de

servicio y establezca el ID de CSS en 2 y la prioridad de CSS en 10.
[SwitchB] set css mode lpu
# Verifique la configuración de CSS.
NOTA
Una vez completada la configuración, ejecute el comando display css status saved para verificar la
configuración de CSS.
Verifique la configuración de CSS en SwitchA.

[SwitchA] display css status saved
------------------------------------------------------------------------------
1 1 Off LPU 100 Off
Verifique la configuración de CSS en SwitchB.

[SwitchB] display css status saved

------------------------------------------------------------------------------
1 2 Off LPU 10 Off
Paso 3 Configure los puertos CSS lógicos.
# En SwitchA, configure los puertos de servicio XGE1/0/1 y XGE1/0/2 como puertos de

miembro físicos y agréguelos al puerto 1 de CSS, y configure los puertos de servicio
XGE2/0/1 y XGE2/0/2 como puertos de miembro físicos y agrégalos al puerto 2 de CSS.
[SwitchA] interface css-port 1
[SwitchA-css-port1] port interface xgigabitethernet 1/0/1 to xgigabitethernet
1/0/2 enable
[SwitchA-css-port1] quit
[SwitchA] interface css-port 2
[SwitchA-css-port2] port interface xgigabitethernet 2/0/1 to xgigabitethernet
2/0/2 enable
[SwitchA-css-port2] quit
# En SwitchB, configure los puertos de servicio XGE1/0/1 y XGE1/0/2 como puertos de

miembro físicos y agréguelos al puerto 1 de CSS, y configure los puertos de servicio
XGE2/0/1 y XGE2/0/2 como puertos físicos de miembro y agrégalos al puerto 2 de CSS.
[SwitchB] interface css-port 1
[SwitchB-css-port1] port interface xgigabitethernet 1/0/1 to xgigabitethernet
1/0/2 enable
[SwitchB-css-port1] quit
[SwitchB] interface css-port 2
[SwitchB-css-port2] port interface xgigabitethernet 2/0/1 to xgigabitethernet
2/0/2 enable
[SwitchB-css-port2] quit
NOTA
Una vez completada la configuración, ejecute el comando display css css-port saved para verificar si
los puertos están Up.
Paso 4 Habilite la función CSS.

rebooted. T
he next CSS mode is LPU. Reboot now? [Y/N]:y

rebooted. T
he next CSS mode is LPU. Reboot now? [Y/N]:y
Paso 5 Verifique si un CSS está configurado exitosamente.
# Vea el estado del indicador.
El indicador de ACT en una MPU de SwitchA está encendido sin parpadear de color verde, lo
que indica que la MPU es la MPU activa del CSS y SwitchA es el switch principal.
El indicador ACT en una MPU de SwitchB parpadea de color verde, lo que indica que la
MPU es la MPU standby del CSS y SwitchB es el switch standby.
# Inicie sesión en el CSS a través del puerto de consola en cualquier MPU para comprobar si
el CSS se ha configurado correctamente.

<SwitchA> display device

Chassis 1 (Master Switch)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1 - LE0DX12XSA00 Present PowerOn Registered Normal NA
Chassis 2 (Standby Switch)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
5 - - Present PowerOff Unregistered - NA
CMU2 - - Present - Unregistered - NA
El resultado del comando muestra el estado de la tarjeta de ambos switches de miembro, lo

que indica que el CSS se ha configurado correctamente.
# Compruebe si la topología del enlace CSS es la misma que la conexión de hardware real.
<SwitchA> display css channel all
CSS link-down-delay: 500ms
================================================================================
Num [CSS port] [LPU Port] || [LPU Port] [CSS port]
1 1/1 XGigabitEthernet1/1/0/1 XGigabitEthernet2/1/0/1 2/1
================================================================================
Num [CSS port] [LPU Port] || [LPU Port] [CSS port]
El resultado del comando muestra que la topología de enlace CSS es la misma que la
conexión de hardware real, lo que indica que el CSS se ha configurado correctamente.
Paso 6 Configure Eth-Trunks entre el CSS y sus dispositivos ascendentes y descendentes.
# Configure un Eth-Trunk en CSS y agregue puertos de enlace ascendente al Eth-Trunk.
[SwitchA] sysname CSS //Renombre el CSS.
[CSS] interface xgigabitethernet 1/3/0/4
[CSS-XGigabitEthernet1/3/0/4] eth-trunk 10
[CSS-XGigabitEthernet1/3/0/4] quit

[CSS] interface xgigabitethernet 2/3/0/4

[CSS-XGigabitEthernet2/3/0/4] eth-trunk 10
[CSS-XGigabitEthernet2/3/0/4] quit

SwitchC al Eth-Trunk.

SwitchD al Eth-Trunk.
[CSS-GigabitEthernet2/4/0/3] return
# Configure un Eth-Trunk en SwitchE y agregue puertos de miembro al Eth-Trunk.

[SwitchE] interface eth-trunk 10
[SwitchE-Eth-Trunk10] quit
[SwitchE] interface xgigabitethernet 1/0/1
[SwitchE-XGigabitEthernet1/0/1] eth-trunk 10
[SwitchE-XGigabitEthernet1/0/1] quit
[SwitchE] interface xgigabitethernet 1/0/2
[SwitchE-XGigabitEthernet1/0/2] eth-trunk 10
[SwitchE-XGigabitEthernet1/0/2] quit
# Configure un Eth-Trunk en SwitchC y agregue puertos de miembro al Eth-Trunk.

# Configure un Eth-Trunk en SwitchD y agregue puertos de miembro al Eth-Trunk.



trunk en cualquier vista para verificar la información sobre los puertos de miembro de Eth-
Trunk. Por ejemplo:
El resultado del comando muestra información sobre los puertos de miembro en Eth-Trunk
10.
Trunk ID: 10
Used status: VALID
TYPE: ethernet
Operate status: up
Interface XGigabitEthernet1/3/0/4, valid, operate up, weight=1

Interface XGigabitEthernet2/3/0/4, valid, operate up, weight=1
Paso 7 Configure la función de MAD. El siguiente procedimiento configura MAD en modo de

retransmisión y configura SwitchC como agente de retransmisión mediante los comandos
aplicables a V200R003C00 y las versiones posteriores.
# En el CSS, configure MAD en modo de retransmisión para el Eth-Trunk entre dispositivos.
<CSS> system-view
[CSS-Eth-Trunk20] mad detect mode relay //En V200R002C00 y versiones
anteriores, el comando es dual-active detect mode relay.
[CSS] quit
# Configure la función de MAD proxy en SwitchC.

[SwitchC-Eth-Trunk20] mad relay //En V200R002C00 y versiones
anteriores, el comando es dual-active relay.
[SwitchC] quit
Verifique la configuración MAD en el CSS.
<CSS> display mad //En V200R002C00 y versiones
anteriores, el comando es display dual-active.
MAD direct detection enabled: NO
MAD relay detection enabled: YES
Verifique la información del MAD proxy en SwitchC.

<SwitchC> display mad proxy //En V200R002C00 y versiones
anteriores, el comando es display dual-active proxy.
Eth-Trunk20
----Fin
l Archivo de configuración de CSS
#
sysname CSS
#

#
#
#
eth-trunk 20
#
eth-trunk 10
#
eth-trunk 30
#
eth-trunk 30
#
eth-trunk 10
#
eth-trunk 20
#
return

#
sysname SwitchC
#
mad relay
#
eth-trunk 20
#
eth-trunk 20
#
return

#
sysname SwitchD
#
#
eth-trunk 30
#
eth-trunk 30
#
return

#
sysname SwitchE
#
#
interface XGigabitEthernet1/0/1
eth-trunk 10
#
eth-trunk 10
#
return

4.3 Configuración típica de SVF
4.3.1 Información antes del despliegue de SVF
4.3.1.1 Características técnicas de SVF

Una red de campus tradicional tiene las siguientes características:
l Los dispositivos de core y de agregación tienen servicios fijos.
l Los dispositivos de acceso están ampliamente distribuidos.
l Los dispositivos de acceso usan configuraciones de servicio simples y similares.
l Los dispositivos de acceso tienen muchos puertos.
La gestión y configuración de los dispositivos de acceso lleva mucho tiempo debido a las
características anteriores. La tecnología Matriz virtual superior (SVF) simplifica de manera
efectiva la gestión y configuración de los dispositivos de acceso.
Figura 4-25 Diagrama de red de SVF
Parent de L3
CSS
Core/
agregación L2
Client de
acceso
User
Como se muestra en Figura 4-25, SVF simplifica la gestión y el mantenimiento de la red del
campus. De acuerdo con las características de las redes del campus, la tecnología SVF le
permite configurar y mantener los dispositivos de acceso, así como administrar los usuarios
de acceso de manera uniforme.
En un sistema SVF, un Parent administra y configura el sistema SVF. El Client se refiere a

todos los dispositivos de acceso, incluidos los dispositivos de acceso (AS).
SVF tiene las siguientes características técnicas:
l Administra el acceso de los usuarios en el Parent de manera uniforme.

l Configura servicios de switches de acceso (AS) a través del Parent. Para obtener los
servicios configurables y los modos de configuración del servicio, consulte 4.3.1.3
Limitaciones del despliegue del servicio de SVF.

l Mantiene el estado de los AS a través del Parent, incluido el estado de registro y el latido
del dispositivo, la versión y el estado del parche, las alarmas importantes, el estado del
puerto y el estado del usuario de todos los AS.
l Admite un máximo de dos niveles de AS (ASs de nivel 1 y nivel 2).
La siguiente tabla enumera los requisitos de hardware y software para SVF.
4.3.1.2 Escenarios de aplicación de SVF

En función de las características técnicas de SVF, el Parent debe estar conectado a AS y AP a
través de una red de Capa 2 y los AS deben desplegarse en la capa de acceso de una red de
campus y conectarse directamente a los usuarios. Los AS no se pueden usar como
dispositivos de agregación y Eth-Trunks no se puede configurar en los puertos de AS del lado
del usuario. Debido a estas limitaciones, SVF se aplica a los siguientes escenarios. Si su red
no cumple con los siguientes requisitos de red para SVF, SVF no se puede desplegar en su
red. Se le recomienda iniciar sesión en cada dispositivo para configurar los servicios.
Escenario 1: Acceso cableado a la red del campus

En un escenario de acceso cableado a la red de campus, todos los terminales de usuario
acceden a una red de campus a través de enlaces cableados. En tal escenario, los terminales de
usuario se conectan directamente a los AS y el Parent funciona como el gateway de acceso de
los usuarios. SVF admite dos tipos de redes, dependiendo de si el padre y los AS están
conectados o conectados directamente a través de una red intermedia:
l Redes en las que el Parent y los AS están conectados directamente, como se muestra en
Figura 4-26
a. El Parent puede ser un dispositivo independiente, un Sistema de Conmutación de
Clúster (CSS) de dos dispositivos modulares o una pila de múltiples dispositivos de
miembro.
b. Como máximo, se admiten dos niveles de AS en un sistema SVF. Cada AS puede
ser un dispositivo independiente o una pila de múltiples dispositivos de
miembro.ada AS puede ser una pila de hasta cinco dispositivos de miembro que son
del mismo modelo y proporcionan el mismo número o diferentes números de
puertos.
c. Los terminales de usuario pueden acceder a la red a través de ASs de nivel 1 o nivel
2. El Parent funciona como el gateway de acceso de los usuarios.
Si se construye una nueva red de campus con los dispositivos no configurados, se
recomienda esta red.

Figura 4-26 Redes en las que el Parent y los AS se conectan directamente en una red de
campus cableada
CSS
L3 enrutamiento
Parent
L2 conmutación
Level-1 AS
Level-2 AS
l Redes en las que el Parent y los AS están conectados a través de una red intermedia,
como se muestra en Figura 4-27
a. El Parent puede ser un dispositivo independiente, un Sistema de Conmutación de
Clúster (CSS) de dos dispositivos modulares o una pila de múltiples dispositivos de
miembro.
b. Un sistema SVF admite por lo máximo un nivel de AS. Cada AS puede ser un
dispositivo independiente o una pila de múltiples dispositivos de miembro.ada AS
puede ser una pila de hasta cinco dispositivos de miembro que son del mismo
modelo y proporcionan el mismo número o diferentes números de puertos.
c. Los terminales de usuario pueden acceder a la red a través de AS. El Parent
funciona como el gateway de acceso de los usuarios.
Si se reconstruye una red de campus y se despliega los dispositivos de diferentes
proveedores en la red del campus, se recomienda esta red.

Figura 4-27 Redes en las que el Parent y los AS están conectados a través de una red
intermedia en una red de campus cableada
CSS
L3 enrutamiento
Parent
L2 conmutación
Red Red Red

intermedia intermedia intermedia
AS
Escenario 2: Red de campus de múltiples sistemas SVF

En una red de campus con más de 200 dispositivos de acceso, puede configurar varios
sistemas SVF para simplificar la gestión de la red del campus, como se muestra en Figura
4-28.
Figura 4-28 Red de campus de múltiples sistemas SVF
L3 enrutamiento
L2 conmutación
CSS CSS
Parent Parent
AS ...
AS
AS

4.3.1.3 Limitaciones del despliegue del servicio de SVF

SVF admite dos modos de configuración de servicio: modo centralizado y modo
independiente.
l En el modo centralizado, todas las configuraciones de servicio para los AS se realizan en
el principal. Por lo tanto, los servicios que se pueden configurar en los AS dependen de
los servicios que se pueden configurar en el principal, pero no en los servicios
compatibles con un switch de acceso independiente. Los servicios compatibles con AS
se aplican a la mayoría de los switches de acceso.
En el modo centralizado, puede entregar las configuraciones de servicio a múltiples AS
mediante perfiles o configuración por lotes global o configurar un AS único
directamente.
l En el modo independiente, puede iniciar sesión en un AS para configurarlo mediante
comandos.
El modo independiente admite más configuraciones de servicio que el modo
centralizado. Cuando los servicios no se pueden configurar por lotes en el principal para
un AS, inicie sesión en el AS para configurarlo de manera independiente. Después de
que el AS cambie del modo centralizado al modo independiente, se conservará el archivo
de configuración generado mediante perfiles o configurado directamente antes del
cambio de modo.
A continuación se describen las funciones configurables en diferentes modos de configuración
del servicio.
Modo centralizado (configuración por lotes: funciones entregadas globalmente)

Función Descripción
Configure el modo Un sistema de SVF admite dos modos de transmisión: la

de transmisión de transmisión centralizada y la transmisión distribuida.
SVF. l En el modo de transmisión centralizada, el tráfico transmitido
por el AS local y transmitido entre los AS se envía al Parent
para la transmisión.
l En el modo de transmisión distribuida, un AS reenvía
directamente el tráfico local y el Parent reenvía el tráfico entre
los AS.
NOTA
En el modo de transmisión centralizada, los puertos de los AS conectados al
mismo puerto de matriz del Parent están aislados y, por lo tanto, no pueden
comunicarse en la capa 2 y necesitan tener ARP proxy en la VLAN
correspondiente configurada utilizando el comando arp-proxy inner-sub-
vlan-proxy enable para comunicarse en la capa 3.
Por defecto, el modo de transmisión de un sistema de SVF es el de
transmisión distribuida.

Función Descripción
Configure la función Para mejorar la seguridad de las aplicaciones web, los datos de
de codificación de fuentes no fiables deben codificarse antes de enviarlos a los
URL para un AS. clientes. La codificación URL es la más comúnmente utilizada en
aplicaciones web. Después de habilitar la codificación URL para
los AS, los caracteres especiales en las URL redirigidas se
convierten a formatos seguros, lo que evita que los clientes los
confundan con instrucciones o signos de sintaxis y modifiquen de
forma inesperada la sintaxis original. De esta forma, se evitan los
ataques de secuencias de órdenes en sitios cruzados y los ataques
de inyección. De manera predeterminada, la codificación de URL
está habilitada en los AS. Esta función se puede deshabilitar con el
comando portal url-encode disable.
Configure las reglas Además de las configuraciones de los perfiles de servicio, el Parent
de ausencia de envía las reglas configuradas de ausencia de autenticación de portal
autenticación. a los AS. Las reglas 0 a 127 de ausencia de autenticación se pueden
enviar a los AS de los modelos S5320EI o S5720EI, mientras que
las reglas 0 a 31 de ausencia de autenticación se pueden enviar a
los AS de otros modelos.las reglas de ausencia de autenticación
que estén fuera de esos dos rangos no se enviarán a los AS.
Habilite el snooping De forma predeterminada, el snooping de IGMP está deshabilitado

de IGMP para una para las VLAN de servicio de un AS.
VLAN de servicio en
un AS
Modo centralizado (configuración por lotes: funciones entregadas usando

perfiles)
Función Subfunción Servicio
Gestión de dispositivos Administrador Nombre de usuario y

contraseña del administrador
local
Control del tráfico Límite de velocidad para los

paquetes salientes de ARP y
DHCP en un puerto de
matriz de enlace ascendente
Servicio básico de red Gestión de VLAN Adición y eliminación de

puertos a o de una VLAN
VLAN de voz basada en la

negociación LLDP
Servicio de red optimizado Seguridad de puertos Supresión de tráfico

desconocido de difusión,
multidifusión y unidifusión
en un puerto

Función Subfunción Servicio
Limitación de la velocidad
de los puertos
Puerto de borde STP
Seguridad de acceso Snooping de DHCP, IPSG y

DAI
Servicio de acceso Autenticación de acceso Autenticación 802.1x,

autenticación de dirección
MAC y autenticación de
portal
Control de acceso Limitación de aprendizaje

de direcciones MAC
Cantidad máxima de
usuarios de acceso en un
puerto AS (esta función es
compatible con V200R010 y
versiones posteriores)
Control del tráfico Límite de velocidad para los

paquetes entrantes de ARP y
DHCP en un puerto de AS
Modo centralizado (configuración individual: funciones entregadas usando el

comando direct-command)
NOTA
La vista de interfaces no puede ser la vista de interfaces Eth-Trunk.
Catego Formato Vista Función Dependencia

ría de sy
servici restricciones
o de la
configuració
n
Gestión port-auto-sleep enable Vista de Habilita la Este comando

de interface función de no se puede
ahorro s suspensión de configurar en
de puertos en una interfaces
energía interfaz combinadas.
eléctrica.
PoE poe force-power Vista de Habilita la -

interface alimentación
s PoE forzosa en
una interfaz.


ría de sy
o de la
configuració
n
poe legacy enable Vista de Permite que -

interface una interfaz
s compruebe la
compatibilidad
de los PD.
poe priority { critical | high | Vista de Establece la -

low } interface prioridad de la
s fuente de
alimentación
de una interfaz
PoE.
poe af-inrush enable slot slot-id Vista del Configura el -

sistema dispositivo
compatible con
IEEE 802.3at
para que
proporcione
alimentación
de acuerdo con
IEEE 802.3af.
poe high-inrush enable slot Vista del Configura un -

slot-id sistema dispositivo
para que
permita una
alta corriente
de entrada
durante el
encendido.
undo poe enable Vista de Desactiva la -

interface función PoE
s en una
interfaz.


ría de sy
o de la
configuració
n
Interfac undo negotiation auto Vista de Configura una l Este

es interface interfaz para comando
Etherne s que funcione no se puede
t en modo de configurar
negociación no en
automática. interfaces
Después de combinadas
ejecutar el .
comando undo l No cancele
direct- el comando
command, la undo
interfaz negotiation
funciona en auto
modo de cuando se
negociación especifica
automática. speed { 10 |
100 |
1000 } o
duplex
{ full |
half }.
speed { 10 | 100 | 1000 } Vista de Establece la l Este

interface velocidad en el comando
s modo de no se puede
negociación no configurar
automática. en
interfaces
combinadas
.
l Asegúrese
de que la
interfaz
funcione en
modo de
negociación
no
automática
antes de
configurar
este
comando.


ría de sy
o de la
configuració
n
speed auto-negotiation Vista de Permite la l La

interface negociación compatibili
s automática en dad con
una interfaz este
óptica GE. comando
varía según
los modelos
de switch.
Para
obtener más
informació
n, consulte
el comando
speed auto-
negotiation
en la
Referencia
de
comandos -
Comandos
de gestión
de
interfaces -
Comandos
de
configuraci
ón de
interfaces
Ethernet.
l Asegúrese
de que la
interfaz
funcione en
modo de
negociación
automática
antes de
configurar
este
comando.


ría de sy
o de la
configuració
n
duplex { full | half } Vista de Establece el l Este

interface modo dúplex comando
s para una no se puede
interfaz configurar
eléctrica en el en
modo de interfaces
negociación no combinadas
automática. .
l Asegúrese
de que la
interfaz
funcione en
modo de
negociación
no
automática
antes de
configurar
este
comando.
l Cuando la
velocidad
de
funcionami
ento de una
interfaz
eléctrica
GE es de
1000
Mbit/s, la
interfaz
solo admite
el modo
full duplex.
loopback internal Vista de Configura un -

interface modo de
s detección de
bucle de
retorno en una
interfaz.


ría de sy
o de la
configuració
n
description description Vista de Configura la La descripción

interface descripción de contiene un
s una interfaz. máximo de 52
caracteres.
Puente port bridge enable Vista de Habilita la -

de interface función de
puerto s puentes en una
interfaz.
VLAN voice-vlan mac-address mac- Vista del Configura la -

de voz address mask mask sistema dirección de
OUI de la
VLAN de voz.
LBDT loopback-detect enable Vista de Habilita la -

interface detección de
s bucles de
retorno en una
interfaz.
loopback-detect packet vlan Vista de Habilita la Si configura

vlan-id interface detección de este comando
s bucles de varias veces, la
retorno para detección de
una VLAN bucle de
especificada. retorno se
habilita para
múltiples
VLAN.


ría de sy
o de la
configuració
n
Límite arp speed-limit source-mac Vista del Configura la l Solo el

de maximum maximum sistema limitación de S5320EI,
velocid velocidad de S6320EI,
ad de ARP en S5720EI,
ARP función de S6720S-EI
direcciones y el
MAC de S6720EI
origen. son
compatibles
con este
comando.
l Esta
función
tiene efecto
solo para
los
paquetes de
ARP
enviados a
la CPU.
arp speed-limit source-ip Vista del Configura la Esta función

maximum maximum sistema limitación de tiene efecto
velocidad de solo para los
ARP en paquetes de
función de las ARP enviados
direcciones IP a la CPU.
de origen.


ría de sy
o de la
configuració
n
Apilam port interface { interface-type Vista de Configura una Antes de

iento interface-number1 [ to interface- interface interfaz de restaurar los
type interface-number2 ] } s de servicio como subpuertos
enable apilamie un subpuerto físicos que se
nto: físico y lo añaden a un
stack- añade a un puerto de
port puerto de apilamiento en
member apilamiento. modo de
-id/port- configuración
id directa como
interfaces de
servicio
comunes, no es
necesario
ejecutar el
comando
shutdown
interface en la
vista de
interfaces de
apilamiento.
stack slot slot-id priority Vista del Establece una -

priority sistema prioridad de
apilamiento
para un switch
apilado.


ría de sy
o de la
configuració
n
stack slot slot-id renumber new- Vista del Cambia el Un

slot-id sistema identificador identificador
de pila de un de pila no se
switch puede cambiar
específico de en las
una pila. siguientes
AVISO situaciones:
Si hay l El switch es
servicios en
un switch
ejecución, el
envío de este independie
comando nte que no
puede causar forma parte
interrupciones de ninguna
del servicio y pila.
pérdida de
configuración. l El
Por lo tanto, se identificado
recomienda r de pila
enviar este nuevo es un
comando
identificado
cuando un AS
no está r de pila
configurado. existente de
un switch
específico
de una pila.
l Los puertos
con el slot-
id
especificad
o se han
configurado
como
subpuertos
de un
puerto de
matriz de
enlace
ascendente.
l Los puertos
con el slot-
id
especificad
o se han
configurado
como


ría de sy
o de la
configuració
n
subpuertos
de un
puerto de
matriz de
enlace
descendent
e.
Modo independiente (comandos configurables después de inicios de sesión en

los AS usando el comando attach-as o el puerto de la consola)
En el modo independiente, los comandos enumerados en la siguiente tabla pueden
configurarse en AS. Al configurar estos comandos, preste atención a los siguientes puntos:
l Estos comandos varían según el tipo de dispositivo de AS. Para conocer más detalles,
consulte la referencia de comandos de estos dispositivos.
l En el modo independiente, la configuración de algunos comandos puede hacer que un
AS no pueda conectarse. Para evitar este problema, algunos comandos enumerados en la
siguiente tabla no se admiten. Si se ejecuta un comando no admitido en un AS, se
mostrará un mensaje de error.
Función Comando
Configuración básica Comandos generales de la CLI
Comandos de gestión de archivos
Comandos de inicio del sistema
Gestión de dispositivos Comandos de configuración de hardware
Comandos de configuración de ahorro de energía
Comandos de configuración de PoE
Comandos de configuración de apilamiento
Gestión de interfaces Comandos básicos de configuración de

interfaces
Comandos de configuración de interfaces

Ethernet
Comandos de configuración de interfaces lógicas
Conmutación de Ethernet Comandos de configuración de tablas de

direcciones MAC

Función Comando
Comandos de agregación de enlaces
Comandos de configuración de VLAN
Comandos de configuración de agregación de

VLAN
Comandos de configuración de VLAN MUX
Comandos de configuración de VLAN de voz
Comandos de configuración de QinQ
Comandos de configuración de asignación de

VLAN
Comandos de configuración de detección de

bucle de retorno
Comandos de transmisión transparente del

protocolo de capa 2
Servicio IP Comandos de configuración de IPv4
Comandos de configuración de ARP
Comandos de configuración de VLAN de

políticas de DHCP
Fiabilidad Comandos de configuración de DLDP
Comandos de configuración de inversión de

MAC para retorno
Acceso y autenticación de usuarios Comandos de configuración de AAA
Comandos de configuración de NAC (modo

unificado)
Comandos de configuración de asociación de

políticas
Seguridad Comandos de configuración de ACL
Comandos de configuración de defensa contra

ataques locales
Comandos de configuración de defensa contra

ataques
Comandos de configuración de MFF
Comandos de configuración de supresión de

tráfico y control de tormentas
Comandos de configuración de seguridad de

ARP

Función Comando
Comandos de configuración de seguridad de

puertos
Comandos de configuración de snooping de

DHCP
Comandos de configuración de snooping de ND
Comandos de configuración de PPPoE+
Comandos de configuración de restricción de

tráfico IP
Comandos de configuración de SAVI
Comandos de configuración de MPAC
QoS Comandos de configuración de MQC
Comandos de asignación de prioridades
Comandos de control de tráfico, conformación

de tráfico y limitación de velocidad en función
de la interfaz
Comandos de control y prevención de

congestión
Comandos de configuración de filtros
Comandos de configuración de
redireccionamiento
Comandos de configuración de estadísticas
Comandos simplificados de políticas de tráfico

en función de la ACL
Gestión y monitorización de red Comandos de configuración de SNMP
Comandos de configuración de LLDP
Comandos de configuración de diagnóstico del

servicio
Comandos de configuración de espejado
Comandos de configuración de obtención de

paquetes
Comandos de configuración de ping y tracert
4.3.2 Planificación del sistema de SVF

4.3.2.1 Planificación de redes del sistema SVF

Un sistema SVF admite por lo máximo dos niveles de AS y un nivel de AP. Antes de
configurar un sistema SVF, determine el escenario de la aplicación del SVF y seleccione la
red requerida en función de las restricciones de despliegue, la fiabilidad y el consumo de la
CPU del sistema.
Determine escenarios de red del campus

Al determinar los escenarios de la red del campus, tenga en cuenta los factores como la
cantidad de terminales, el tipo de terminales, si reúsan los dispositivos existentes y las
capacidades de la CPU/memoria del principal.
1. Calcule la cantidad de AS requeridos en función de la cantidad de los terminales .
2. Determine si reúsa los dispositivos existentes. Estos dispositivos se pueden reusar para
transmitir paquetes transparentes entre el principal y los AS. No se recomienda conectar
los usuarios a estos dispositivos existentes, porque eso puede causar un error al
configurar un sistema SVF.
3. Un sistema SVF se configura y se mantiene en el principal. Si se despliegan más AS,
más terminales pueden conectarse a la red del campus, lo que requiere más recursos de
CPU y memoria del principal. Tabla 4-23 enumera la cantidad máxima recomendada de
los AS y los terminales de acceso en un sistema SVF según las capacidades de CPU y
memoria del principal. Si la cantidad de los terminales de acceso excede el valor
recomendado, se recomienda dividir la red del campus en múltiples sistemas SVF de
acuerdo con Escenario 2: Red de campus de múltiples sistemas SVF.
Tabla 4-23 Cantidad máxima recomendada de los AS y los terminales de acceso

Modelo del Principal Cantidad máxima recomendada de
los AS
S9312E/S9306E 48
S9312(SRUE/SRUH)/S9310/ 256
S9306(SRUE/SRUH)
S9312(SRUA/SRUB)/S9306(SRUA/ 32
SRUB)
S9310X 64
S9303/S9303E 4
S6320EI 32
4. Seleccione el escenario de red requerido. Tabla 4-24 enumera los escenarios

recomendados.

Tabla 4-24 Escenarios de red recomendados

Cantidad de los Tipo de terminal Escenario de red
terminales recomendado
La cantidad de los No necesitan reusar Escenario 1: Redes en las

terminales no excede el ningún dispositivo que el principal y los AS
valor recomendado en el existente. se conectan directamente
principal. en una red de campus
cableada
Los dispositivos existentes Escenario 1: Redes en las

necesitan ser reusados. que el principal y los AS
están conectados a través
de una red intermedia en
una red de campus
cableada
La cantidad de los Durante la planificación del sistema, se recomienda

terminales excede el valor dividir la red del campus en varios sistemas SVF.
recomendado en el Escenario 2: Red de campus de múltiples sistemas
principal. SVF muestra los escenarios de las redes. En cada
sistema SVF, asegúrese de que la cantidad de terminales
no exceda el valor recomendado en el principal y
seleccione el escenario recomendado de acuerdo con el
tipo de terminal.
Recomendaciones de despliegue de redes
Figura 4-29 Conexión de red SVF ideal
CSS
L3 enrutamiento
Parent
L2 conmutación
Level-1 AS
Level-2 AS
Figura 4-29 muestra una conexión de red SVF ideal. Tiene las siguientes características:
1. El principal es un CSS de dos dispositivos de miembro.
2. Cada AS de nivel-1 está dual-homed a dos dispositivos de miembro del principal a través
de los puertos de enlace ascendente.
3. Cuando un AS es una pila de múltiples dispositivos de miembro, cada dispositivo de
miembro está conectado a su dispositivo ascendente a través de al menos un enlace.

4. Un AS está conectado a los dispositivos ascendentes a través de los puertos ópticos de

enlace ascendente o puertos combo.
Esta red SVF tiene las siguientes ventajas:
1. La falla de un enlace único entre dos dispositivos afecta solo al ancho de banda pero no a
los servicios.
2. Un AS realiza la detección de múltiples activos (MAD) y sus funciones del dispositivo
ascendentes como el agente de la retransmisión de MAD. Cuando el AS se divide como
una pila, puede funcionar con el dispositivo ascendente para realizar MAD sin afectar la
estabilidad del sistema.
La implementación de la conexión de red SVF ideal puede ser fallada debido a las
restricciones tales como la distancia entre los dispositivos y las dificultades del cableado.
Debe identificar estas restricciones de red con anticipación y tomar las medidas adecuadas. A
continuación, se proporcionan las sugerencias sobre el despliegue de SVF en diferentes
situaciones:
1. Si el principal es un dispositivo independiente:
a. Despliegue dos MPU en el principal para garantizar la fiabilidad.
b. Conecte cada AS al principal mediante al menos dos enlaces y asegúrese de que los
enlaces estén conectados al menos a dos LPU diferentes del principal.
2. Si un AS de nivel 1 no puede ser dual-homed al principal:
– Use un dispositivo independiente en este nodo de AS. Si el AS debe ser una pila,
despliegue los dispositivos de miembro en la misma ubicación física y asegure la
fiabilidad del cable de la pila. De lo contrario, los conflictos entre los dispositivos
no se pueden resolver después de que la pila se divida, lo que afecta la fiabilidad del
sistema.
3. Si el AS es una pila de múltiples dispositivos de miembro y no puede asegurarse de que
cada dispositivo de miembro se conecte a su dispositivo ascendente a través de al menos
un enlace:
– Despliegue los dispositivos de miembro en la misma ubicación física y garantizar la
fiabilidad del cable de la pila. De lo contrario, los conflictos entre los dispositivos
no se pueden resolver después de que la pila se divida, lo que afecta la fiabilidad del
sistema.
4. Si los puertos de miembro del puerto de matriz que conecta un AS a un dispositivo
ascendente solo pueden conectarse a través de pares trenzados:
– Utilice los módulos de cobre para convertir los atributos ópticos/eléctricos de los
puertos cuando los puertos de los AS de los enlaces ascendentes sean puertos GE.
– Seleccione los AS que tengan puertos combo de enlace ascendente.
Mejora de la fiabilidad del sistema

1. Mejore la fiabilidad del principal mediante los siguientes métodos:
a. Configure un CSS de dos dispositivos de miembro para el principal.
b. Despliegue MAD para realizar las acciones de recuperación cuando el CSS se
divide.
2. Mejora de la fiabilidad de un AS mediante los siguientes métodos:
a. Si el principal es un CSS de dos dispositivos de miembro, hace dual-homed el AS
de nivel 1 para dos dispositivos de miembro del principal.

b. Si el AS es una pila de múltiples dispositivos de miembro, asegúrese de que cada

dispositivo de miembro esté conectado a su dispositivo ascendente a través de al
menos un enlace.
c. Si el AS es una pila de múltiples dispositivos de miembro, configure la pila en la
topología de anillo.
d. Si el AS es una pila de múltiples dispositivos de miembro, despliegue todos los
dispositivos de miembro en la misma ubicación física para reducir el riesgo de una
división de pila causada por fallas en los enlaces.
4.3.2.2 Planificación de dispositivos de miembro de un sistema SVF

Después de determinar la conexión en red de un sistema SVF, debe seleccionar los
dispositivos de miembro para el sistema SVF.
Determinación el parent
1. Determine el tipo de dispositivo del parent.
El tipo de dispositivo del parent está determinado por la escala de la red del campus.
Para más detalles, vea Determine escenarios de red del campus.
2. Determine la cantidad de dispositivos para el parent.
El parent administra y mantiene todo el sistema SVF. Se recomienda desplegar un CSS
de dos switches modulares como el parent para garantizar la fiabilidad del sistema SVF.
3. Determine el tipo de tarjeta en el parent.
a. En un escenario de convergencia cableada e inalámbrica, necesita desplegar tarjetas
de la serie X en el parent.
b. Si un AS necesita conectarse a dos LPU del parent, se recomienda conectar el AS a
las LPU del mismo tipo.
c. Si la red del campus proporciona solo acceso cableado y no requiere autenticación
de acceso, no necesita desplegar tarjetas de la serie X en el parent. Si es necesario
autenticar los terminales de acceso, se recomienda desplegar las tarjetas de la serie
X en el parent porque las tarjetas de la serie X admiten una gran cantidad de
entradas de usuario y permiten políticas de control de acceso más flexibles.
d. Necesita utilizar las tarjetas de interfaz óptica para conectar el parent a los AS
porque los puertos de enlace ascendente para la mayoría de los tipos de AS son los
puertos ópticos. Si un AS utiliza un puerto óptico de 10GE para conectarse a un
puerto GE del parent, el puerto óptico 10GE debe poder cambiar al modo GE a
través de la detección automática.
e. Si el parent se conecta a los AS solo a través de pares trenzados, se le recomienda
utilizar los AS con los puertos combo de enlace ascendente para conectarse a las
tarjetas eléctricas del parent. De lo contrario, debe usar los módulos de cobre para
garantizar la conectividad entre los AS y el parent.
Determinación de AS
Seleccione AS de nivel 1 y nivel 2 de acuerdo con los siguientes requisitos:
1. Los AS pueden conectarse con el parent solo a través de los puertos de enlace ascendente
y los puertos de enlace ascendente de la mayoría de los AS son puertos ópticos. Por lo
tanto, cuando un sistema SVF tiene dos niveles de AS, use AS con puertos ópticos de
enlace descendente como AS de nivel 1. De lo contrario, debe usar los módulos de cobre
para garantizar la conectividad entre los AS de nivel 1 y nivel 2.

2. Cuando los servicios en un sistema SVF son similares, use AS del mismo tipo para que
los AS defectuosos puedan ser reemplazados.
Seleccione los AS de acuerdo con las características del hardware y tabla a bajo para cumplir
con los diferentes requisitos de red.
Tabla 4-25 Tipos de AS recomendados en diferentes modos de red

Redes Posicionamiento del Tipo de dispositivo
dispositivo recomendado
Existen dos niveles de AS y AS de nivel 1 l S6720EI, S6720S-EI,

los AS de nivel 1 están S6720SI, S6720S-SI,
conectados directamente con S5720EI con los puertos
el parent ópticos de enlace
descendente
l S6320EI, S6320SI,
S5320EI con los puertos
ópticos de enlace
descendente
AS de nivel 2 l S6720LI, S6720S-LI,

S6720SI, S6720S-SI,
S5700LI con los puertos
ópticos GE de enlace
ascendente, S5700S-LI,
S5730SI, S5730S-EI,
S5720LI, S5720S-LI,
S2750EI, S2720EI,
S5720SI, S5720S-SI,
S5710-X-LI, S600-E
l S6320SI, S5330SI,
S5320LI, S5320SI,
S5320EI con los puertos
ópticos de enlace
descendente, S2320EI
Los AS están conectados AS l S6720LI, S6720S-LI,

directamente con el parent S6720SI, S6720S-SI,
S6720EI, S6720S-EI,
S5720EI, S5700LI,
S5700S-LI, S5730SI,
S5730S-EI, S5720LI,
S5720S-LI, S2750EI,
S2720EI, S5720SI,
S5720S-SI, S5710-X-LI,
S600-E
l S6320EI, S6320SI,
S5330SI, S5320LI,
S5320SI, S5320EI,
S2320EI

Redes Posicionamiento del Tipo de dispositivo

dispositivo recomendado
Los AS están conectados al AS l S6720LI, S6720S-LI,

parent a través de una red S6720SI, S6720S-SI,
intermedia S6720EI, S6720S-EI,
S5720EI, S5700LI,
S5700S-LI, S5730SI,
S5730S-EI, S5720LI,
S5720S-LI, S2750EI,
S2720EI, S5720SI,
S5720S-SI, S5710-X-LI,
S600-E
l S6320EI, S6320SI,
S5330SI, S5320LI,
S5320SI, S5320EI,
S2320EI
Dispositivos que no se unen Dispositivos con los puertos

al sistema SVF (dispositivos ópticos de enlace
de red intermedios) descendente y compatibles
con Eth-Trunk
4.3.3 Configuración de servicio de AS

Consulte 4.3.1.3 Limitaciones del despliegue del servicio de SVF para conocer los servicios
admitidos por AS y los modos de entrega del servicio.

Figura 4-30 Entrega las configuraciones a los puertos de AS al principal mediante los perfiles
de servicio
Configure perfiles de
servicio y grupos de
Parent puertos en el principal
Service profile 1 Service profile 2
Service profile 3
Vinculación
Port grupo 1 Port grupo 2
Port grupo 3
Commit
Parent
Client-AS1 Client-AS2 Client-AS3
Service profile 1 Service profile 2 Service profile 3

& Port grupo 1 & Port grupo 2 & Port grupo 3
En un sistema SVF mostrado en Figura 4-30, puede configurar los perfiles de servicio en el
principal para entregar las configuraciones de servicio a los AS después de los siguientes
pasos:
1. Cree grupos de puertos y agregue puertos de AS en los grupos de puertos. Cada grupo de
puertos es un conjunto de puertos, que están conectados a los usuarios con las mismas
características de servicio.
2. Cree perfiles de servicio. Cada perfil de servicio es un conjunto de servicios que se
entregarán.
3. Vincule los perfiles del servicio a los grupos de puertos.

4. Confirme las configuraciones en el principal para que los servicios se puedan entregar
automáticamente a los AS.
Al configurar servicios para AS a través de los grupos de puertos, solo necesita prestar
atención a los puertos de usuario en los AS. Si necesitan configurar los servicios de puertos de
matriz manualmente depende de los escenarios de red:
l Cuando el principal se conecta directamente a los AS, se generarán automáticamente las
configuraciones de servicio de los puertos de matriz en el principal y los AS de acuerdo
con las configuraciones de servicio de los puertos de usuario.
l Cuando el principal está conectado a los AS a través de una red intermedia, necesita
configurar los servicios para el puerto de matriz del principal.
En un sistema SVF, los AS tienen las siguientes configuraciones de servicio:
4.3.3.1 Configuración de partición de red de usuario de acceso

Durante la partición de la red del usuario de acceso, debe agregar los puertos de usuario a las
VLAN.
En una red de campus, puede clasificar los usuarios en función de los departamentos y
configurar los mismos servicios para el mismo tipo de usuarios. Los puertos AS están
conectados directamente a los usuarios, por lo que puede agregar los puertos de AS
conectados al mismo tipo de usuarios al mismo grupo de puertos. Esta operación simplifica la
configuración del puerto y reduce en gran medida la carga de trabajo de configuración. Al
configurar un grupo de puertos, preste atención a lo siguiente:
l Al configurar los grupos de puertos, asegúrese de que los grupos de puertos cumplan con
las especificaciones enumeradas en Tabla 4-26.
Tabla 4-26 Especificaciones del grupo de puertos

Tipo de grupo de Cantidad máxima de Restricciones en los
puertos los grupos de puertos puertos de AS y grupos
admitidos por un de puertos
sistema SVF
Grupo de puertos 256 Se pueden agregar los

conectado directamente a puertos en un AS por lo
los usuarios máximo a dieciséis grupos
de puertos de usuario
directamente conectados.
l Usuario de cada AS pueden tener por lo máximo 1 VLAN predeterminada, 1 VLAN de

voz y 32 VLAN permitidas.
l No se pueden configurar los puertos de usuario en un AS como puertos de miembro de
Eth-Trunk.
4.3.3.2 Configuración de autenticación para usuario de acceso

NOTA
Si no es necesario autenticar a los usuarios de acceso, omita esta sección.
En un sistema SVF mostrado en Figura 4-31, el principal funciona como el punto de

autenticación de control de acceso para todos los usuarios, por lo que los servicios del

servidor de autenticación solo necesitan configurarse en el principal por una vez, lo que
simplifica el despliegue. Los puntos de aplicación de control de acceso de todos los usuarios
se despliega en los AS. Para garantizar la seguridad, los usuarios que fallan la autenticación
no pueden acceder a los AS.
Figura 4-31 Punto de autenticación y puntos de aplicación para el control de acceso

SVF
Punto de autenticación
Punto de cumplimiento
Un sistema SVF admite tres modos de autenticación para usuario de acceso: MAC, 802.1X y
Portal. Tabla 4-27 enumera las características y los escenarios de aplicación de los tres modos
de autenticación.
Tabla 4-27 Características y escenarios de aplicación de los modos de autenticación

Modo de Características Escenario aplicable
autenticación
MAC l No es necesario instalar Las terminales tontas, como

ningún software de cliente. impresoras y máquinas de fax,
l Los usuarios no necesitan necesitan conectarse a la red.
introducir nombres de usuario
y contraseñas cuando inician
sesión en la red.
l Las direcciones MAC de todos
los usuarios deben ser
configurados, lo que complica
las configuraciones.

Modo de Características Escenario aplicable

autenticación
802.1X l El software del cliente 802.1X La red está recién construida, los
necesita ser instalado. usuarios están densamente
l Se pueden configurar los distribuidos y se requiere una alta
nombres de usuario fáciles de seguridad de la información.
recordar.
l Los usuarios deben introducir
los nombres de usuario y las
contraseñas cuando inicien
sesión en la red.
Portal l No es necesario instalar Los usuarios están escasamente

ningún software de cliente. distribuidos o se mueven
l Se pueden configurar los libremente.
nombres de usuario fáciles de
recordar.
l Los usuarios deben introducir
los nombres de usuario y las
contraseñas cuando inicien
sesión en la red.
Un sistema SVF solo admite una combinación de modos de autenticación. La combinación

puede contener uno o más modos de autenticación de MAC, 802.1X y Portal según los
requisitos del escenario.
l Acceda al modo de autenticación de terminal

Tabla 4-28 Modos de autenticación recomendados en un escenario de autenticación de

terminal de acceso
Escenario Característic Terminal Modo de Notas
as del típico autenticación
escenario recomendad
o
Red de la l La red está Ordenadores 802.1X l Configure

oficina del cerrada, los portátiles e las
campus usuarios impresoras terminales
cambian tontas tales
sus como
ubicaciones impresoras
raras veces como los
y se usuarios
requiere estáticos en
una gran el principal.
seguridad. l Configure
l La la
ubicación autenticaci
de algunos ón 802.1X
ordenadore en todos los
s portátiles puertos AS
puede a los que
cambiar. están
Por conectados
ejemplo, los
estes terminales
ordenadore de acceso.
s portátiles l Utilice el
se mueven reenvío
de las centralizad
oficinas a o de tráfico
las salas de de usuarios
reuniones o y UCL para
se mueven implementa
entre los r el
departamen aislamiento
tos. de usuarios
l Existen entre
algunas departamen
terminales tos.
tontas
como
impresoras.

Escenario Característic Terminal Modo de Notas

as del típico autenticación
escenario recomendad
o
Institución l La red está Ordenadores Portal Si los

educativa cerrada y portátiles terminales
los necesitan
terminales aislarse, use el
están reenvío
densamente centralizado.
distribuidos De lo
. contrario, use
l Las el reenvío
ubicaciones distribuido
de los para mejorar la
terminales eficiencia de
cableados reenvío del
cambian ancho de
raras veces banda.
y la
comunicaci
ón entre los
usuarios
locales
generalmen
te no
necesita ser
restringida.
l Precauciones para configurar la autenticación del terminal de acceso

a. No se recomienda configurar la combinación de los modos de autenticación de
MAC y 802.1X (o Portal). Si se configura dicha combinación, el rendimiento de
acceso concurrente se reduce para los terminales que requieren la autenticación
802.1X cuando el sistema realiza primero la autenticación MAC en estos
terminales.
b. Cuando se configura la autenticación del portal, no se admite el servidor del portal
incorporado.
c. Los terminales no pueden enviar los paquetes de DHCPv6 y de descubrimiento de
vecinos (ND) para activar la autenticación.
d. Cuando las reglas sin autenticación están configuradas en el principal, el principal
entrega las reglas sin autenticación dentro del rango especificado a todos los AS.
Por ejemplo, el principal puede entregar reglas sin autenticación 0 a 127 para los
AS del modelo de S5320EI o S5720EI y 0 a 31 para los AS de otros modelos de
switches. Las reglas sin autenticación entregadas a los AS no llevan información de
interfaz.
e. En un sistema SVF, los derechos de acceso a la red antes de que los usuarios pasen
la autenticación NAC pueden autorizarse mediante las reglas sin autenticación, pero
no un grupo UCL.

l Precauciones para autorizar los terminales de acceso

– En un sistema SVF, las VLAN no se pueden asignar a usuarios cableados.
4.3.3.3 Configuración de seguridad
Escenarios de ataque comunes en la red del campus

Se usan las configuraciones de seguridad para proteger un sistema SVF contra varios ataques.
Los ataques comunes en una red de campus incluyen ataques en el plano de control y el plano
de reenvío. Tabla 4-29 enumera los tipos de ataques y sus impactos en la red del campus.
Tabla 4-29 Tipos de ataque y escenarios

Tipo de ataque Subtipo de ataque Impacto
Ataque en el plano de Ataque ARP con dirección Se vuelve alto el uso de la CPU
control MAC de fuente fija del principal y se interrumpe el
tráfico de algunos usuarios.
Ataque ARP con una dirección
IP de fuente fija
Ataque ARP desde gateways Se generará una gran cantidad

falsos de alarmas de colisión de
gateway en el principal.
Ataque de gateway de ARP Los usuarios no pueden acceder

spoofing (suplantación de ARP) a la red.
Ataque de ARP flooding Los usuarios no pueden

(Inundación de ARP) aprender las entradas de ARP e
incluso no pueden acceder a la
red.
Ataque del servidor DHCP falso Los usuarios no pueden obtener

las direcciones IP esperadas.
Ataque de DHCP flooding Cuando los terminales no están

(inundación de DHCP) autenticados, los usuarios no
pueden obtener las direcciones
IP.
Ataque en el plano de Ataque de ARP Miss con El principal tiene un uso alto de
reenvío dirección IP de fuente fija CPU y no puede aprender las
entradas de ARP.

Tipo de ataque Subtipo de ataque Impacto
Ataque de paquete IP con la El uso de la CPU del principal

dirección IP del dispositivo se vuelve alto. Se produce una
como la dirección IP de destino pérdida de paquetes o se
interrumpe el reenvío de tráfico
cuando el principal hace ping al
gateway. El principal responde
lentamente durante un inicio de
sesión de Telnet al principal.
No se pueden procesar de
manera oportuna los paquetes
IP de unidifusión de protocolos
como BGP y LDP, lo que
impide que estos protocolos
funcionen normalmente.
Ataque DDoS Los puertos del enlace

ascendente están
congestionados y el tráfico del
usuario se interrumpe.
Métodos y recomendaciones de defensa de ataque

En un sistema SVF, los AS se conectan a los terminales y los puertos de AS se conectan
directamente a los terminales. Por defecto, se han desplegado algunas medidas de seguridad
del dispositivo en un sistema SVF. Por ejemplo, se ha configurado la limitación de velocidad
de paquete en la dirección entrante o saliente de los puertos de AS. También puede ejecutar
comandos para realizar configuraciones de seguridad en los puertos a los que están
conectados los terminales.
Tabla 4-30 enumera los métodos y recomendaciones para la defensa de ataque.
Tabla 4-30 Métodos y recomendaciones para la defensa de ataque

Tipo de Subtipo de Método para defensa de Método para defensa de
ataque ataque ataque utilizado cuando ataque utilizado cuando
los terminales necesitan los terminales no
ser autenticados necesitan ser autenticados
Ataque Ataque ARP Se ha admitido la defensa Configure la limitación de la

en el con dirección automática contra los ataques tasa de paquetes ARP en los
plano de MAC de de paquete ARP. puertos AS.
control fuente fija
Ataque ARP
con una
dirección IP
de fuente fija

Tipo de Subtipo de Método para defensa de Método para defensa de

ataque ataque ataque utilizado cuando ataque utilizado cuando
los terminales necesitan los terminales no
ser autenticados necesitan ser autenticados
Ataque ARP Configure la función de anticolisión del gateway ARP en el

desde principal.
gateways
falsos
Ataque de Establezca el modo de reenvío en el reenvío centralizado.

gateway de
ARP
spoofing
Ataque de Se habilita automáticamente la función de ARP anti-flooding

ARP en la dirección saliente de los AS. Por lo tanto, los ataques de
flooding ARP flooding solo pueden afectar a los AS atacados.
Configure la limitación de velocidad para los paquetes ARP
entrantes en los puertos AS a los que se conectan los
terminales después de identificar las fuentes de ataque.
Ataque del Ninguna Configure DHCP snooping

servidor en AS.
DHCP falso
Ataque de Habilite la función de DHCP anti-flooding en la dirección

DHCP saliente de los AS automáticamente. Por lo tanto, los ataques
flooding de ARP flooding solo pueden afectar a los AS atacados.
Configure la limitación de velocidad para los paquetes DHCP
entrantes en los puertos AS a los que se conectan los
terminales después de identificar las fuentes de ataque.
Ataque Ataque de Configure la limitación de velocidad para los paquetes de

en el ARP Miss ARP Miss en el principal para limitar los paquetes en función
plano de con dirección de la dirección IP de origen.
reenvío IP de fuente
fija
Ataque de Configure una lista negra en el principal.

paquete IP
con la
dirección IP
del
dispositivo
como
dirección IP
de destino
Ataque Configure la limitación de velocidad, difusión, multidifusión y

DDoS supresión de tráfico de unidifusión desconocido en los
puertos.

4.3.4 Ejemplo para configurar SVF (S9300 como el parent)

Precauciones
l La función de Matriz virtual superior (SVF) en un parent está controlada por licencia. La
licencia solo habilita la función SVF pero no controla las especificaciones del servicio
SVF y solo necesita cargarse en el parent.
l Después de habilitar la función SVF, los switches no admiten la función de
Actualización del software en servicio (ISSU).
l Cuando la versión de Parent anterior a V200R011C10, la versión AS debe ser la misma
que la versión de Parent. De lo contrario, este AS no puede conectarse. Por ejemplo, si la
versión de Parent es V200R010C00, la versión AS también debe ser V200R010C00.
l Cuando la versión de Parent es V200R011C10 o posterior, la versión de Parent y la
versión AS pueden ser diferentes, pero la versión de Parent debe ser mayor o igual que la
versión AS y la versión AS también debe ser V200R011C10 o posterior.
l Cuando las interfaces ópticas de GE están conectadas a las interfaces ópticas XGE para
conectar los level 1 AS al parent o conectar los level 2 AS a los level 1 AS, estas
interfaces deben usar GE en lugar de los módulos ópticos XGE.
l Si un AS es una pila configurada utilizando puertos de servicio, el AS debe unirse a un
sistema SVF después de configurar la función de apilamiento. Esta limitación no se
aplica a un AS que es una pila configurada mediante tarjetas de pila.
l Cuando un sistema de conmutación de clúster (CSS) que funciona como el parent es
defectuoso:
– Si un switch de miembro en el CSS es defectuoso, la función SVF no se ve
afectada.
– Si el CSS se divide pero dos switches de miembro funcionan normalmente, la
función SVF deja de estar disponible porque los AS no saben qué switch es el
parent. En esta situación, se recomienda configurar la función de detección de doble
activos (DAD).
Requisitos de red
Una nueva red de campus tiene una gran cantidad de dispositivos de acceso inalámbrico y
cableado. Los dispositivos de acceso ampliamente distribuidos complican la gestión y la
configuración de la capa de acceso. Se requiere una gestión y configuración unificada de
dispositivos de acceso inalámbricos y cableado para reducir el costo de gestión.
En este ejemplo, complete las siguientes operaciones en los dispositivos de acceso:
l Configure el nombre de usuario y la contraseña del administrador para los dispositivos
de acceso.
l Asigne VLAN a los puertos de acceso.
l Establezca el modo de autenticación de acceso de usuario a la autenticación 802.1X.
Como se muestra en Figura 4-32, dos switches de agregación (SwitchA y SwitchB)
configuran un Sistema de conmutación de clúster (CSS) para mejorar la confiabilidad y
funcionan como el parent para conectarse a múltiples AS. La detección de múltiples activos
(MAD) en modo directo debe configurarse en el parent para evitar conflictos cuando el CSS
se divide.
En este ejemplo, dos S9300 funcionan como los parent, un S5320-28P-SI-AC funciona como
un level 1 AS, un S5320-12TP-LI-AC funciona como un level 2 AS.

Figura 4-32 Red SVF
SwitchA SwitchB
Parent CSS
GE1/1/0/1 a GE1/1/0/3 GE2/1/0/1 a GE2/1/0/3
GE0/0/27 y GE0/0/28 GE0/0/27 GE0/0/27 y GE0/0/28

GE0/0/28
Level 1 AS as1 as2 as3
S5300-28P-SI-AC
GE0/0/23 y GE0/0/24 GE0/0/23 y GE0/0/24
GE0/0/11 y GE0/0/12 GE0/0/11 y GE0/0/12
as4 as5
Level 2 AS
S5320-12TP-LI-AC
Enlace CSS
Enlace MAD
Eth-Trunk (vinculado a un puerto de
matriz)
Plan de datos
Parent CSS de dos S9300 (SwitchA Establezca el modo de

y SwitchB) conexión CSS a la tarjeta
CSS.
Puertos MAD conectados GE1/2/0/1 y GE2/2/0/1 –

directamente en el parent
Tarjetas que conectan el Tarjetas 1/1 y 2/1: Tarjetas –

parent con los AS X1E del mismo tipo
Direcciones MAC del parent: 0400-0000-1100 –

parent, ASs 1 a 5 AS1: 0200-0000-0011
AS2: 0200-0000-0022
AS3: 0200-0000-0033
AS4: 0200-0000-0044
AS5: 0200-0000-0055
VLAN de gestión de SVF VLAN 11 –
Dirección IP de la interfaz 192.168.11.1 –

VLANIF de gestión

Puertos que conectan el GE1/1/0/1 y GE2/1/0/1 Agregue los dos puertos a

parent con AS1 Eth-Trunk1 y vínculelos al
Fabric-port 1.

parent con AS2 Eth-Trunk2 y conéctelos al
Fabric-port 2.

parent con AS3 Eth-Trunk3 y conéctelos al
Fabric-port 3.
Puertos que conectan AS1 a GE0/0/23 y GE0/0/24 Agregue los dos puertos a
AS4 Eth-Trunk4 y conéctelos al
Fabric-port 4.
AS5 Eth-Trunk5 y conéctelos al
Fabric-port 5.
Modo de autenticación de Autenticación de lista –

AS blanca
Configuración del servicio Perfil de administrador: Vincule admin_profile a

para el perfil de admin_profile, en el que admin_group.
administrador AS puede configurar el nombre
de usuario y la contraseña
del administrador
Grupo de AS:
admin_group, que incluye
todos los AS
Configuración del servicio Perfil básico de red: Vincule basic_profile_1 a

para el perfil básico de la basic_profile_1, en el que port_group_1.
red AS puede configurar la VLAN Vincule basic_profile_2 a
10 predeterminada port_group_2.
Perfil básico de red:
basic_profile_2, en el que
puede configurar la VLAN
20 predeterminada
Grupo de puertos:
port_group_1, que incluye
todos los puertos AS1 y
AS4 y todos los puertos
AS2
Grupo de puertos:
AS5

Configuración de servicio Perfil de acceso del usuario: Vincule access_profile a

para el perfil de acceso de access_profile, en el que port_group_1 y
usuario AS puede configurar el modo de port_group_2.
autenticación de acceso de
usuario a la autenticación
802.1X.

1. Configure SwitchA y SwitchB en el parent para configurar un CSS mediante las tarjetas
CSS y configure MAD en modo directo para garantizar una alta fiabilidad del sistema
SVF.
2. Habilite la función SVF en el parent.
3. Configure los parámetros de acceso de AS, incluidos los nombres de AS (opcional), el
modo de autenticación y los puertos de matriz que conectan el parent con los level 1 AS
y los level 1 AS con los level 2 AS.
4. Conecte los level 1 AS al parent y los level 2 AS mediante cables.
5. Configure los perfiles de servicio y vínculelos a los AS.
6. Inicie sesión en AS para verificar las configuraciones de servicio de los AS.
Procedimiento
1. Configure SwitchA y SwitchB en el parent para configurar un CSS.
# Configure el modo de conexión CSS a la conexión de tarjeta CSS, la ID de CSS a 1 y
la prioridad de CSS a 100 para SwitchA.
[SwitchA] set css mode css-card
[SwitchA] set css id 1

la prioridad de CSS a 10 para SwitchB.


# Inicie sesión en el CSS y configure MAD en modo directo.

[SwitchA] interface gigabitethernet 1/2/0/1
[SwitchA-GigabitEthernet1/2/0/1] mad detect mode direct
[SwitchA-GigabitEthernet1/2/0/1] quit

2. Configure la VLAN de gestión en el sistema SVF y habilite la función SVF en el parent.

[SwitchA] dhcp enable
[SwitchA] interface vlanif 11
[SwitchA-Vlanif11] ip address 192.168.11.1 24
[SwitchA-Vlanif11] dhcp select interface
[SwitchA-Vlanif11] dhcp server option 43 ip-address 192.168.11.1
[SwitchA] capwap source interface vlanif 11
[SwitchA] stp mode rstp
[SwitchA] uni-mng
Warning: This operation will enable the uni-mng mode and disconnect all ASs.
STP calculation may be triggered and service traffic will be affected.
Continue? [Y/N]:y
3. Configure los parámetros de acceso AS.

# (Opcional) Configure un nombre para cada AS.
NOTA
Este paso es opcional. Si no realiza este paso, el sistema generará información del dispositivo AS
cuando los AS se conecten al sistema SVF. Un nombre de AS es el nombres predeterminado del sistema
- la dirección MAC del sistema, por ejemplo, S5320-28P-SI-AC mac-address 0200-0000-0011. Si
realiza este paso, asegúrese de que el modelo y la dirección MAC configurados sean consistentes con la
información real del dispositivo y que la dirección MAC sea la dirección MAC del sistema de un AS.
De lo contrario, los AS no pueden conectarse al sistema SVF.
[SwitchA-um] as name as1 model S5320-28P-SI-AC mac-address 0200-0000-0011
[SwitchA-um-as-as1] quit
[SwitchA-um] as name as4 model S5320-12TP-LI-AC mac-address 0200-0000-0044
# Configure el puerto de matriz que conecta el parent con AS1.

[SwitchA-um] interface fabric-port 1
[SwitchA-um-fabric-port-1] port member-group interface eth-trunk 1
[SwitchA-um-fabric-port-1] quit
[SwitchA-um] quit
[SwitchA-GigabitEthernet1/1/0/1] eth-trunk 1

[SwitchA] uni-mng
[SwitchA-um] quit

[SwitchA] uni-mng
[SwitchA-um] quit


# Configure los puertos de matriz que conectan AS1 a AS4 y AS3 a AS5.
[SwitchA] uni-mng
[SwitchA-um] as name as1
[SwitchA-um-as-as1] down-direction fabric-port 4 member-group interface eth-
trunk 4
[SwitchA-um-as-as1] port eth-trunk 4 trunkmember interface gigabitethernet
0/0/23 to 0/0/24
trunk 5
0/0/23 to 0/0/24
[SwitchA-um] quit
# Configure la autenticación de la lista blanca para que los AS se conecten a un sistema

SVF.
[SwitchA] as-auth
[SwitchA-as-auth] undo auth-mode
[SwitchA-as-auth] whitelist mac-address 0200-0000-0011
[SwitchA-as-auth] quit
4. Borre las configuraciones de los AS, reinicie los AS y luego conecte los level 1 AS con
el parent y los level 2 AS mediante cables. Posteriormente, se configura un sistema SVF.
NOTA
l Antes de reiniciar un AS, verifique si el puerto que conecta este AS al parent es un puerto de enlace
descendente. Puede ejecutar el comando display port connection-type access all en este AS para
ver todos los puertos de enlace descendente. Si este puerto es un puerto de enlace descendente,
ejecute el comando uni-mng up-direction fabric-port en este AS para configurar este puerto como
un puerto de enlace ascendente antes de reiniciar este AS. De lo contrario, este AS no puede
conectarse.
l Antes de conectar un AS al parent, asegúrese de que el AS no tenga ningún archivo de
configuración ni entrada en el puerto de la consola.
# Después de conectar los cables, ejecute el comando display as all para verificar si los
AS se han conectado al sistema SVF.
[SwitchA] display as all
Total: 5, Normal: 5, Fault: 0, Idle: 0, Version mismatch: 0
------------------------------------------------------------------------------
--
No. Type MAC IP State Name
------------------------------------------------------------------------------
--
0 S5320-SI 0200-0000-0011 192.168.11.254 normal as1
1 S5320-SI 0200-0000-0022 192.168.11.253 normal as2
2 S5320-SI 0200-0000-0033 192.168.11.252 normal as3
3 S5320-LI 0200-0000-0044 192.168.11.251 normal as4
4 S5320-LI 0200-0000-0055 192.168.11.250 normal as5
------------------------------------------------------------------------------
--
Cuando el campo State en la salida del comando muestra normal para un AS, el AS se
ha conectado al sistema SVF.

# Ejecute el comando display uni-mng topology information para ver información de

topología SVF.
[SwitchA] display uni-mng topology information
The topology information of uni-mng network:
<-->: direct link <??>: indirect link
T: Trunk ID *: independent AS
------------------------------------------------------------------------------
Local MAC Hop Local Port T || T Peer Port Peer MAC
------------------------------------------------------------------------------
0400-0000-1100 0 GE1/1/0/1 1 <-->0 GE0/0/27 0200-0000-0011
0400-0000-1100 0 GE2/1/0/1 1 <-->0 GE0/0/28 0200-0000-0011
0400-0000-1100 0 GE1/1/0/2 2 <-->0 GE0/0/27 0200-0000-0022
0400-0000-1100 0 GE2/1/0/2 2 <-->0 GE0/0/28 0200-0000-0022
0400-0000-1100 0 GE1/1/0/3 3 <-->0 GE0/0/27 0200-0000-0033
0400-0000-1100 0 GE2/1/0/3 3 <-->0 GE0/0/28 0200-0000-0033
0200-0000-0011 1 GE0/0/23 4 <-->0 GE0/0/11 0200-0000-0044
0200-0000-0011 1 GE0/0/24 4 <-->0 GE0/0/12 0200-0000-0044
0200-0000-0033 1 GE0/0/23 5 <-->0 GE0/0/11 0200-0000-0055
0200-0000-0033 1 GE0/0/24 5 <-->0 GE0/0/12 0200-0000-0055
------------------------------------------------------------------------------
Total items displayed : 10
# Ejecute el comando display uni-mng upgrade-info verbose para ver toda la

información de la versión de AS.
[SwitchA] display uni-mng upgrade-info verbose
The total number of AS is : 5
----------------------------------------------------------------------------
AS name : as1
Work status : NO-UPGRADE
Startup system-software : flash:/s5320si.cc
Startup version : V200R011C10
Startup patch : --
Next startup system-software : --
Next startup patch : --
Download system-software : --
Download version : --
Download patch : --
Method : --
Upgrading phase : --
Last operation result : --
Error reason : --
Last operation time : --
----------------------------------------------------------------------------
AS name : as2
Startup patch : --
Download patch : --
Method : --
Error reason : --
----------------------------------------------------------------------------
AS name : as3
Startup patch : --

Download patch : --
Method : --
Error reason : --
----------------------------------------------------------------------------
AS name : as4
Startup system-software : flash:/s5320li.cc
Startup patch : --
Download patch : --
Method : --
Error reason : --
----------------------------------------------------------------------------
AS name : as5
Startup patch : --
Download patch : --
Method : --
Error reason : --
----------------------------------------------------------------------------

# Configure un perfil de administrador de AS y vínculelo a todos los AS.
[SwitchA] uni-mng
[SwitchA-um] as-admin-profile name admin_profile
[SwitchA-um-as-admin-admin_profile] user asuser password hello@123
[SwitchA-um-as-admin-admin_profile] quit
[SwitchA-um] as-group name admin_group
[SwitchA-um-as-group-admin_group] as name-include as
[SwitchA-um-as-group-admin_group] as-admin-profile admin_profile
[SwitchA-um-as-group-admin_group] quit
# Configure los perfiles básicos de red y vínculelos a los puertos de AS.

[SwitchA-um] network-basic-profile name basic_profile_1
[SwitchA-um-net-basic-basic_profile_1] user-vlan 10
[SwitchA-um-net-basic-basic_profile_1] quit
[SwitchA-um] port-group name port_group_1
[SwitchA-um-portgroup-port_group_1] as name as1 interface all
[SwitchA-um-portgroup-port_group_1] as name as2 interface gigabitethernet
0/0/1 to 0/0/24
[SwitchA-um-portgroup-port_group_1] network-basic-profile basic_profile_1
[SwitchA-um-portgroup-port_group_1] quit

[SwitchA-um] quit
# Configure un perfil de acceso de usuario y vínculelo a todos los puertos de AS.

[SwitchA] dot1x-access-profile name 1
[SwitchA-dot1x-access-profile-1] quit
[SwitchA] authentication-profile name dot1x_auth
[SwitchA-authen-profile-dot1x_auth] dot1x-access-profile 1
[SwitchA-authen-profile-dot1x_auth] quit
[SwitchA] uni-mng
[SwitchA-um] user-access-profile name access_profile
[SwitchA-um-user-access-access_profile] authentication-profile dot1x_auth
[SwitchA-um-user-access-access_profile] quit
[SwitchA-um-portgroup-port_group_1] user-access-profile access_profile
# Confirme las configuraciones para que las configuraciones en los perfiles de servicio
se puedan entregar a los AS.
[SwitchA-um] commit as all
Warning: Committing the configuration will take a long time. Continue?[Y/N]: y
# Ejecute el comando display uni-mng commit-result profile para verificar si las

configuraciones en los perfiles de servicio se han entregado a los AS.
[SwitchA-um] display uni-mng commit-result profile
Result of profile:
------------------------------------------------------------------------------
--
AS Name Commit Time Commit/Execute
Result
------------------------------------------------------------------------------
--
as1 2014-08-25 22:29:18 Success/Success
------------------------------------------------------------------------------
--
Cuando el campo Commit/Execute Result en la salida del comando muestra Success/

Success para un AS, las configuraciones en los perfiles de servicio se han entregado al
AS.
6. Inicie sesión en AS para verificar las configuraciones de servicio de los AS. Lo siguiente
usa el inicio de sesión a AS1 como ejemplo.
# Ejecute el comando attach as name as-name en el parent para iniciar sesión en AS1 y
verifique si el nombre de usuario y la contraseña de inicio de sesión configurados son
correctos.
[SwitchA] uni-mng
[SwitchA-um] attach as name as1
Info: Connecting to the remote AS now. Use the quit command to return to the
user view.
Trying 192.168.11.254 ...
Connected to 192.168.11.254 ...
<HUAWEI>
# Verifique si se generan las configuraciones de servicio de puertos de AS.

NOTA
Para verificar la configuración de autenticación de acceso, debe ejecutar el comando display

authentication interface interface-type interface-number en un AS.
<HUAWEI> display current-configuration
......
#
port link-type hybrid
port hybrid tagged vlan 1 11
stp instance 0 cost 200
traffic-filter outbound acl 4998
traffic-limit outbound acl 3999 cir 128 pir 128 cbs 16000 pbs 16000
traffic-statistic outbound acl 3999
mode lacp
#
stp root-protection
#
eth-trunk 0
broadcast-suppression 100
#
......
Resumen de configuración
1. Al configurar un CSS para un parent, use la tarjeta CSS o el modo de conexión del
puerto de servicio de acuerdo con los requisitos de red. Este ejemplo usa la conexión de
la tarjeta CSS.
2. Puede configurar perfiles de servicio y vincularlos a los AS antes o después de que los
AS se conecten al sistema SVF. El modo de configuración del servicio AS incluye los
modos preconfigurados y no preconfigurados según la configuración de los servicios de
tiempo. Cualquiera que sea el modo de configuración que use, debe ejecutar el comando
commit as { name as-name | all } para confirmar la configuración después de
completarla.
– Modo preconfigurado: Antes de que los AS se conecten al sistema SVF,
preconfigure los perfiles del servicio, vínculelos a los AS, guarde la configuración
en el parent y luego ejecute el comando commit as { name as-name | all } para
confirmar la configuración. Cuando los AS se conectan al sistema SVF, las
configuraciones en los perfiles de servicio se entregan automáticamente a los AS.
– Modo no preconfigurado: Después de que los AS se conecten al sistema SVF,
configure los perfiles del servicio, vínculelos a los AS y ejecute el comando
commit as { name as-name | all } para confirmar la configuración para que las
configuraciones en los perfiles de servicio puedan entregarse a los AS.
3. Después de que la función SVF es habilitada, las funciones del Protocolo de árbol de
expansión (STP) y del Protocolo de detección de capa de enlace (LLDP) están
habilitadas completamente en el parent. Preste atención a los siguientes puntos al usar las
funciones STP y LLDP en un sistema SVF:
– Puede deshabilitar las funciones STP y LLDP solo en puertos, no completamente.
– No deshabilite la función LLDP en los puertos de miembro de un puerto de matriz.
De lo contrario, la topología SVF será anormal.
4. Después de habilitar la función SVF, el parent cambiará STP a Protocolo de árbol de
expansión rápido (RSTP) y establecerá la prioridad de la instancia 0 a 28762 por medio

del comando stp instance 0 priority 28672. Después de que la función SVF esté
deshabilitada, se restablece la prioridad predeterminada de la instancia 0. Cuando la
función SVF está habilitada o deshabilitada, STP vuelve a calcular las funciones del
puerto y cambia el estado del puerto. El tráfico en los puertos se interrumpirá
temporalmente.
5. La función de retransmisión de MAD se habilita automáticamente en el Eth-Trunk al que
está vinculado un puerto de matriz de enlace descendente, y la función MAD se habilita
automáticamente en el Eth-Trunk al que un puerto de matriz de enlace ascendente está
vinculado a realizar MAD en un AS que es una pila. Cuando se elimina el switch de
modo de standby en el AS, MAD no puede ejecutarse porque el switch de modo de
standby se reinicia automáticamente sin guardar la configuración.
6. Para evitar que la función SVF se vea afectada, no realice operaciones MIB para
modificar la configuración generada automáticamente en un sistema SVF, por ejemplo,
la configuración de STP, LLDP y Eth-Trunk a la que está vinculado un puerto de matriz.
7. En el parent, puede haber un retraso al mostrar la salida de algunos comandos ejecutados
en los AS, incluido el comando patch delete all y patch load filename all [ active |
run ].
8. En un sistema SVF, la longitud de trama máxima permitida por los puertos no se puede
configurar en un AS. Por lo tanto, la longitud máxima de trama es el valor
predeterminado 9216 (incluido el campo CRC).
9. Los ataques internos de una VLAN de gestión harán que los AS se desconecten del
sistema SVF. Debe apagar los puertos atacados o eliminar los puertos de la VLAN de
gestión después de identificar la fuente de ataque.
10. Después de que un AS se desconecte del sistema SVF, todos los puertos de enlace
descendente del AS se apagarán.
11. Los parámetros configurados de túnel de Control y Aprovisionamiento de Puntos de
Acceso Inalámbricos (CAPWAP) se aplican al sistema SVF. Para asegurarse de que el
túnel CAPWAP del sistema SVF funciona normalmente, se recomienda mantener los
parámetros de túnel CAPWAP predeterminados.
12. En el sistema SVF, los derechos de acceso a la red disponibles antes de que los usuarios
pasen la autenticación de control de admisión a la red (NAC), pueden ser autorizados
mediante las reglas sin autenticación en lugar de un grupo de lista de control del usuario
(UCL).
13. SVF no admite servidores de portal incorporados.
Archivo de configuración parent (configuración en V200R011C10 como ejemplo)

#
sysname SwitchA
#
vlan batch 11
#
stp mode rstp
stp instance 0 priority 28672
#
authentication-profile name dot1x_auth
dot1x-access-profile 1
#
lldp enable
#
dhcp enable
#
interface Vlanif11
ip address 192.168.11.1 255.255.255.0

dhcp server option 43 ip-address 192.168.11.1

#
port hybrid tagged vlan 1 10 to 11
stp root-protection
stp edged-port disable
mode lacp
loop-detection disable
mad relay
#
stp root-protection
mode lacp
mad relay
#
port hybrid tagged vlan 1 11 20
stp root-protection
mode lacp
mad relay
#
eth-trunk 1
#
eth-trunk 2
#
eth-trunk 3
#
mad detect mode direct
#
eth-trunk 1
#
eth-trunk 2
#
eth-trunk 3
#
#
capwap source interface vlanif11
#
as-auth
whitelist mac-address 0200-0000-0011
#
uni-mng
as name as1 model S5320-28P-SI-AC mac-address 0200-0000-0011 //Verifique si
las configuraciones de los AS y puertos conectados a los AS son correctas.
down-direction fabric-port 4 member-group interface Eth-Trunk 4
port Eth-Trunk 4 trunkmember interface GigabitEthernet 0/0/23
as name as2 model S5320-28P-SI-AC mac-address 0200-0000-0022


as name as4 model S5320-12TP-LI-AC mac-address 0200-0000-0044
interface fabric-port 1
port member-group interface Eth-Trunk 1
as-admin-profile name admin_profile //Verifique la configuración
del perfil de administrador.
user asuser password %^%#Ky,WNqWh_DZ[(V96yvSEph)VLMc/+U}>]i2:"9n:%^%#
network-basic-profile name basic_profile_1 //Verifique la configuración
básica del perfil de la redn.
user-vlan 10
network-basic-profile name basic_profile_2
user-vlan 20
user-access-profile name access_profile //Verifique la configuración
del perfil de acceso del usuario.
authentication-profile dot1x_auth
as-group name admin_group //Verifique si se ha creado un grupo de
AS y si se ha vinculado al perfil de administrador de AS.
as-admin-profile admin_profile
as name as1
as name as2
as name as3
as name as4
as name as5
port-group name port_group_1 //Verifique si un grupo de puertos se
ha vinculado a los perfiles de servicio y si los puertos de servicio de los AS se
han agregado al grupo de puertos.
network-basic-profile basic_profile_1
user-access-profile access_profile
as name as1 interface GigabitEthernet 0/0/1 to 0/0/24
#
dot1x-access-profile name 1
#
return
4.3.5 Ejemplo para configurar SVF (S12700 como el parent)

Precauciones
l La función de Matriz virtual superior (SVF) en un parent está controlada por licencia. La
licencia solo habilita la función SVF pero no controla las especificaciones del servicio
SVF y solo necesita cargarse en el parent.


conectar los level 1 AS al parent o conectar los level 2 AS a los level 1 AS, estas
l Si un AS es una pila configurada mediante los puertos de servicio, el AS debe unirse a
un sistema SVF después de configurar la función de apilamiento. Esta limitación no se
aplica a un AS que es una pila configurada mediante las tarjetas de pila.
l Cuando un sistema de conmutación de clúster (CSS) que funciona como el parent es
defectuoso:
afectada.
parent. En esta situación, se recomienda configurar la función de detección de doble
activos (DAD).
Requisitos de red
Una nueva red de campus tiene una gran cantidad de dispositivos de acceso inalámbrico y
cableado. Los dispositivos de acceso ampliamente distribuidos complican la gestión y la
configuración de la capa de acceso. Se requiere una gestión y configuración unificada de
dispositivos de acceso inalámbrico y cableado para reducir el costo de gestión.
de acceso.
configuran un Sistema de Conmutación de Clúster (CSS) para mejorar la confiabilidad y
funcionan como el parent para conectarse a múltiples AS y AP. La detección de múltiples
activos (MAD) en modo directo se debe configurar en el parent para evitar conflictos cuando
el CSS se divide.
En este ejemplo, dos S12700s funcionan como el parent, un S5320-28P-SI-AC funciona como
un level 1 AS, un S5320-12TP-LI-AC funciona como un level 2 AS y un AP5010DN-AGN
funciona como un AP.

Figura 4-33 Red SVF
SwitchA SwitchB
Parent CSS
GE1/1/0/1 a GE1/1/0/3 GE2/1/0/1 a GE2/1/0/3
GE0/0/27 y GE0/0/28 GE0/0/27 GE0/0/27 y GE0/0/28

GE0/0/28
Level 1 AS as1 as2 as3
S5300-28P-SI-AC
GE0/0/23 y GE0/0/24 GE0/0/24 GE0/0/23 y GE0/0/24
GE0/0/11 y GE0/0/12 GE0/0/11 y GE0/0/12
as4 as5
Level 2 AS
S5320-12TP-LI-AC ap
AP5010DN-AGN
Enlace CSS
Enlace MAD
Eth-Trunk (vinculado a un puerto
de matriz)
Plan de datos
Parent CSS de dos S12700s Establezca el modo de

(SwitchA y SwitchB) conexión CSS a la tarjeta
CSS.
Puertos MAD conectados GE1/2/0/1 y GE2/2/0/1 –

directamente en el parent
Tarjetas que conectan el Tarjetas 1/1 y 2/1: Tarjetas –

parent con los AS X1E del mismo tipo
Direcciones MAC del parent: 0400-0000-1100 –

parent, ASs 1 a 5 y AP AS1: 0200-0000-0011
AS2: 0200-0000-0022
AS3: 0200-0000-0033
AS4: 0200-0000-0044
AS5: 0200-0000-0055
AP: ac85-3da6-a420

VLANIF de gestión


Fabric-port 1.

Fabric-port 2.

Fabric-port 3.
AS4 Eth-Trunk4 y vínculelos al
Fabric-port 4.
AS5 Eth-Trunk5 y vínculelos al
Fabric-port 5.
Puerto que conecta AS2 con GE0/0/24 Agregue el puerto al grupo

el AP de puertos de AP.

AS blanca

administrador de AS puede configurar el nombre
del administrador
Grupo de AS:
todos los AS

Configuración del servicio Perfil básico de red: Vincule basic_profile_1 a

para el perfil básico de la basic_profile_1, en el que port_group_1.
red de AS puede configurar la VLAN Vincule basic_profile_2 a
10 predeterminada port_group_2.
Perfil básico de red:
basic_profile_2, en el que
puede configurar la VLAN
20 predeterminada
Grupo de puertos:
AS4 y todos los puertos
AS2 (excepto GE0/0/24 que
se conecta directamente al
AP)
Grupo de puertos:
AS5

para el perfil de acceso de access_profile, en el que port_group_1 y
usuario AS puede configurar el modo de port_group_2.
802.1X.

1. Configure SwitchA y SwitchB en el parent para configurar un CSS mediante las tarjetas
CSS y configure MAD en modo directo para garantizar una alta fiabilidad del sistema
SVF.
2. Habilite la función SVF en el parent.
modo de autenticación y los puertos de matriz que conectan el parent con los level 1 AS
y conecta los level 1 AS con los level 2 AS.
4. Conecte los level 1 AS al parent y los level 2 AS por medio de cables.
6. Configure el puerto de enlace descendente (GE0/0/24) que conecta AS2 al AP, configure
los parámetros de acceso de AP, encienda el AP y conecte los AP y AS2 por medio de
cables para asegurarse de que el AP pueda conectarse al sistema SVF.
Procedimiento
1. Configure SwitchA y SwitchB en el parent para configurar un CSS.


la prioridad de CSS a 100 para SwitchA.
[SwitchA] set css mode css-card
[SwitchA] set css id 1

la prioridad de CSS a 10 para SwitchB.


# Inicie sesión en el CSS y configure MAD en modo directo.

2. Configure la VLAN de gestión en el sistema SVF y habilite la función SVF en el parent.

[SwitchA] uni-mng
Warning: This operation will enable the uni-mng mode and disconnect all ASs.
STP calculation may be triggered and service traffic will be affected.
Continue? [Y/N]:y
3. Configure los parámetros de acceso de AS.

NOTA
Este paso es opcional. Si no realiza este paso, el sistema generará información del dispositivo AS
cuando los AS se conecten al sistema SVF. Un nombre de AS es el nombres predeterminado del sistema
- la dirección MAC del sistema, por ejemplo, S5320-28P-SI-AC mac-address 0200-0000-0011. Si
realiza este paso, asegúrese de que el modelo y la dirección MAC configurados sean consistentes con la
información real del dispositivo y que la dirección MAC sea la dirección MAC del sistema de un AS.
De lo contrario, los AS no pueden conectarse al sistema SVF.


[SwitchA-um] quit

[SwitchA] uni-mng
[SwitchA-um] quit

[SwitchA] uni-mng
[SwitchA-um] quit
# Configure los puertos de matriz que conectan AS1 a AS4 y AS3 a AS5.
[SwitchA] uni-mng
trunk 4
0/0/23 to 0/0/24
trunk 5
0/0/23 to 0/0/24
[SwitchA-um] quit
# Configure la autenticación de la lista blanca para que los AS se conecten a un sistema

SVF.
[SwitchA] as-auth
4. Borre las configuraciones de los AS, reinicie los AS y luego conecte los level 1 AS con
el parent y los level 2 AS por medio de cables. Posteriormente, se configura un sistema
SVF.

NOTA
descendente. Puede ejecutar el comando display port connection-type access all en este AS para
ver todos los puertos de enlace descendente. Si este puerto es un puerto de enlace descendente,
ejecute el comando uni-mng up-direction fabric-port en este AS para configurar este puerto como
un puerto de enlace ascendente antes de reiniciar este AS. De lo contrario, este AS no puede
conectarse.
l Antes de conectar un AS al parent, asegúrese de que el AS no tenga ningún archivo de
configuración ni entrada en el puerto de la consola.
# Después de conectar los cables, ejecute el comando display as all para verificar si los
AS se han conectado al sistema SVF.
------------------------------------------------------------------------------
--
------------------------------------------------------------------------------
--
0 S5320-SI 0200-0000-0011 192.168.11.254 normal as1
1 S5320-SI 0200-0000-0022 192.168.11.253 normal as2
2 S5320-SI 0200-0000-0033 192.168.11.252 normal as3
3 S5320-LI 0200-0000-0044 192.168.11.251 normal as4
4 S5320-LI 0200-0000-0055 192.168.11.250 normal as5
------------------------------------------------------------------------------
--
Cuando el campo State en la salida del comando muestra normal para un AS, el AS se
ha conectado al sistema SVF.
topología SVF.
------------------------------------------------------------------------------
------------------------------------------------------------------------------
0400-0000-1100 0 GE1/1/0/1 1 <-->0 GE0/0/27 0200-0000-0011
0400-0000-1100 0 GE2/1/0/1 1 <-->0 GE0/0/28 0200-0000-0011
0400-0000-1100 0 GE1/1/0/2 2 <-->0 GE0/0/27 0200-0000-0022
0400-0000-1100 0 GE2/1/0/2 2 <-->0 GE0/0/28 0200-0000-0022
0400-0000-1100 0 GE1/1/0/3 3 <-->0 GE0/0/27 0200-0000-0033
0400-0000-1100 0 GE2/1/0/3 3 <-->0 GE0/0/28 0200-0000-0033
0200-0000-0011 1 GE0/0/23 4 <-->0 GE0/0/11 0200-0000-0044
0200-0000-0011 1 GE0/0/24 4 <-->0 GE0/0/12 0200-0000-0044
0200-0000-0033 1 GE0/0/23 5 <-->0 GE0/0/11 0200-0000-0055
0200-0000-0033 1 GE0/0/24 5 <-->0 GE0/0/12 0200-0000-0055
------------------------------------------------------------------------------
# Ejecute el comando display uni-mng upgrade-info verbose para ver toda la

información de la versión de AS.
----------------------------------------------------------------------------
AS name : as1
Startup patch : --

Download patch : --
Method : --
Error reason : --
----------------------------------------------------------------------------
AS name : as2
Startup patch : --
Download patch : --
Method : --
Error reason : --
----------------------------------------------------------------------------
AS name : as3
Startup patch : --
Download patch : --
Method : --
Error reason : --
----------------------------------------------------------------------------
AS name : as4
Startup patch : --
Download patch : --
Method : --
Error reason : --
----------------------------------------------------------------------------
AS name : as5
Startup patch : --
Download patch : --
Method : --
Error reason : --


----------------------------------------------------------------------------

[SwitchA] uni-mng

[SwitchA-um-portgroup-port_group_1] as name as2 interface gigabitethernet
0/0/1 to 0/0/23 //GigabitEthernet0/0/24 conecta AS2 al AP.
[SwitchA-um] quit

[SwitchA] uni-mng
# Confirme las configuraciones para que las configuraciones en los perfiles de servicio
se puedan entregar a los AS.

Result of profile:
------------------------------------------------------------------------------
--
AS Name Commit Time Commit/Execute
Result
------------------------------------------------------------------------------
--


------------------------------------------------------------------------------
--

Success para un AS, las configuraciones en los perfiles de servicio se han entregado al
AS.
6. Conecte el AP a AS2.
# Agregue el puerto que conecta AS2 al AP a un grupo de puertos de AP.
[SwitchA] uni-mng
[SwitchA-um] port-group connect-ap name ap
[SwitchA-um-portgroup-ap-ap] as name as2 interface gigabitethernet 0/0/24
[SwitchA-um-portgroup-ap-ap] quit
[SwitchA-um] quit
# Configure una ID de AP.

[SwitchA] wlan
[SwitchA-wlan-view] ap-id 1 ap-type ap5010dn-agn ap-mac ac85-3da6-a420
[SwitchA-wlan-ap-1] ap-name ap-1
[SwitchA-wlan-ap-1] quit
# Configure sin autenticación para que el AP se conecte a un sistema SVF.

[SwitchA-wlan-view] ap auth-mode no-auth
Warning: This operation may cause AP reset. Continue? [Y/N]y
[SwitchA-wlan-view] quit
# Encienda el AP y conecte el AP a AS2 por medio de cables. Luego ejecute el comando

display ap all para verificar si el AP se ha conectado al sistema SVF.
[SwitchA] display ap all
Total AP information:
nor : normal [1]
------------------------------------------------------------------------------
-----------
ID MAC Name Group IP Type State
STA Uptime
------------------------------------------------------------------------------
-----------
1 ac85-3da6-a420 ap-1 default 192.168.11.249 AP5010DN-AGN nor
0 6H:3M:40S
------------------------------------------------------------------------------
-----------
Total: 1
7. Inicie sesión en AS para verificar las configuraciones de servicio de los AS. Lo siguiente
# Ejecute el comando attach asa name as-name en el parent para iniciar sesión en AS1 y
correctos.
[SwitchA] uni-mng
Info: Connecting to the remote AS now. Use the quit command to return to the
user view.
Trying 192.168.11.254 ...
Connected to 192.168.11.254 ...
<HUAWEI>

NOTA
Para verificar la configuración de autenticación de acceso, debe ejecutar el comando display
authentication interface interface-type interface-number en un AS.
......
#
mode lacp
#
stp root-protection
#
eth-trunk 0
#
......
1. Al configurar un CSS para un parent, use la tarjeta CSS o el modo de conexión del
puerto de servicio de acuerdo con los requisitos de red. En este ejemplo se usa la
conexión de la tarjeta CSS.
completarla.
en el parent y luego ejecute el comando commit as { name as-name | all } para
3. Una vez habilitada la función SVF, las funciones del Protocolo de árbol de expansión
(STP) y del Protocolo de detección de capa de enlace (LLDP) están habilitadas
completamente en el parent. Preste atención a los siguientes puntos al usar las funciones
STP y LLDP en un sistema SVF:
– Puede deshabilitar las funciones STP y LLDP solo en puertos, no completamente.
– No deshabilite la función LLDP en los puertos de miembro de un puerto de matriz,
puertos conectados a AP y puertos de enlace ascendente de AP. De lo contrario, la
topología SVF será anormal.
4. Después de habilitar la función SVF, el parent cambiará STP a Protocolo de árbol de
expansión rápido (RSTP) y establecerá la prioridad de la instancia 0 a 28762 mediante el

comando stp instance 0 priority 28672. Después de que la función SVF esté
temporalmente.
modo de standby en el AS, MAD no puede ejecutarse porque el switch de modo de
7. Si un AP se ha conectado al parent antes de que la función SVF esté habilitada, el parent
no puede recopilar información de topología sobre el AP después de que el comando
uni-mng se use para habilitar la función SVF. Debe ejecutar el comando commit { all |
ap ap-id } en la vista de WLAN para confirmar la configuración de AP. Posteriormente,
el parent puede recopilar información de topología sobre el AP.
8. En el parent, puede haber un retraso al mostrar la salida de algunos comandos ejecutados
run ].
9. En un sistema SVF, la longitud de trama máxima permitida por los puertos no puede
configurarse en un AS. Por lo tanto, la longitud máxima de trama es el valor
mediante las reglas sin autenticación en lugar de un grupo de lista de control del usuario
(UCL).
Archivo de configuración del parent

#
sysname SwitchA
#
vlan batch 11
#
stp mode rstp
#
#

lldp enable
#
dhcp enable
#
interface Vlanif11
ip address 192.168.11.1 255.255.255.0
#
stp root-protection
mode lacp
mad relay
#
stp root-protection
mode lacp
mad relay
#
port hybrid tagged vlan 1 11 20
stp root-protection
mode lacp
mad relay
#
eth-trunk 1
#
eth-trunk 2
#
eth-trunk 3
#
#
eth-trunk 1
#
eth-trunk 2
#
eth-trunk 3
#
#
#
wlan
wlan ap lldp enable
ap auth-mode no-auth
ap-id 1 type-id 30 ap-mac ac85-3da6-a420 ap-sn 2102355547W0E3000316
wlan work-group default
#
as-auth


#
uni-mng
as name as1 model S5320-28P-SI-AC mac-address 0200-0000-0011 //Verifique si
network-basic-profile name basic_profile_1 //Verifique la configuración
básica del perfil de la red.
user-vlan 10
network-basic-profile name basic_profile_2
user-vlan 20
as name as1
as name as2
as name as3
as name as4
as name as5
port-group connect-ap name ap
as name as2 interface GigabitEthernet 0/0/24
#
#
return

4.3.6 Ejemplo para configurar SVF (S6320-EI como el Parent)

Precauciones
l La función Matriz virtual superior (SVF) en un elemento Parent está controlada por
licencia. La licencia solo habilita la función SVF pero no controla las especificaciones
del servicio SVF y solo necesita cargarse en el Parent.
l La función SVF es mutuamente exclusiva con el modo de inicio de sesión web (solo
compatible con algunos switches fijos), EasyDeploy, despliegue basado en USB, gestión
basada en la nube (solo compatible con algunos switches fijos).
conectar los level 1 AS al Parent o conectar los level 2 AS a los level 1 AS, estas
l Si un AS es una pila configurada por medio de los puertos de servicio, el AS debe unirse
a un sistema SVF después de configurar la función de apilamiento. Esta limitación no se
aplica a un AS que es una pila configurada por medio de las tarjetas de pila.
l Cuando un sistema de conmutación de clúster (CSS) que funciona como el Parent es
defectuoso:
afectada.
Parent. En esta situación, se recomienda configurar la función de detección de doble
activos (DAD).
Requisitos de red
Una nueva red de campus tiene una gran cantidad de dispositivos de acceso cableado. Los
dispositivos de acceso ampliamente distribuidos complican la gestión y la configuración de la
capa de acceso. Se requiere una gestión y configuración unificada de los dispositivos de
acceso cableado para reducir el costo de gestión.
de acceso.
configuran una pila para mejorar la confiabilidad y funcionan como el Parent para conectarse
a múltiples AS. La detección de múltiples activos (MAD) en modo directo se debe configurar
en el Parent para evitar conflictos cuando la pila se divide.

En este ejemplo, el Parent es S6320-26Q-EI-24S-AC, y los AS son S5300-28P-LI-AC.
Figura 4-34 Red SVF
SwitchA SwitchB
iStack
Parent
S6320-26Q-EI-24S-AC
XGE0/0/1 a XGE0/0/3 XGE1/0/1 a XGE1/0/3
GE0/0/27 y GE0/0/28 GE0/0/27 GE0/0/27 y GE0/0/28

GE0/0/28
AS as1 as2 as3
S5300-28P-LI-AC
Enlace iStack
Enlace MAD
Eth-Trunk (vinculado a un puerto de matriz)
Plan de datos
Parent Una pila establecida por Se usa el modo de conexión

SwitchA y SwitchB (dos del puerto de servicio para
switches S6320-26Q- configurar la pila y se usan
EI-24S-AC) los dos puertos 40GE de
cada switch de miembro
como puertos de miembros
físicos del puerto de la pila
lógica.
Puertos MAD conectados XGE0/0/4 y XGE1/0/4 –

directamente en el Parent
Direcciones MAC del Parent: 0400-0000-1100 –

Parent, ASs 1 a 3 AS1: 0200-0000-0011
AS2: 0200-0000-0022
AS3: 0200-0000-0033

VLANIF de gestión
Puertos que conectan el XGE0/0/1 y XGE1/0/1 Agregue los dos puertos a

Parent con AS1 Eth-Trunk1 y vínculelos al
Fabric-port 1.


Fabric-port 2.

Fabric-port 3.

AS blanca

administrador de AS puede configurar el nombre
del administrador
Grupo de AS:
todos los AS
Configuración del servicio Perfil básico de red: Vincule basic_profile a

para el perfil básico de la basic_profile, en el que port_group.
red AS puede configurar la VLAN
10 predeterminada
Grupo de puertos:
port_group, que incluye
todos los puertos AS1, todos
los puertos AS2 y todos los
puertos AS3

para el perfil de acceso de access_profile, en el que port_group y port_group.
usuario de AS puede configurar el modo de
802.1X.

1. Configure una pila entre los switches Parentes mediante el modo de conexión del puerto
de servicio. A continuación, configure el modo de trabajo de la pila como Parent y
configure MAD en modo directo para garantizar una alta fiabilidad del sistema SVF.
2. Habilite la función SVF en el Parent.
modo de autenticación y los puertos de matriz que conectan el Parent con los AS.
4. Conecte los AS al Parent por medio de cables.

Procedimiento
Paso 1 Configure una pila entre los dos switches utilizados como el Parent. Establezca el modo de
trabajo de la pila al Parent y configure MAD en modo directo.
# Configure los puertos de servicio 40GE0/0/1 y 40GE0/0/2 de SwitchA como puertos de
miembro físicos y vínculelos a los puertos lógicos de la pila.
[SwitchA-stack-port0/1] port interface 40ge 0/0/1 enable
[SwitchA-stack-port0/2] port interface 40ge 0/0/2 enable
# Configure los puertos de servicio 40GE0/0/1 y 40GE0/0/2 de SwitchB como puertos de

miembro físicos y vínculelos a los puertos lógicos de la pila.
[SwitchB-stack-port0/1] port interface 40ge 0/0/1 enable
[SwitchB-stack-port0/2] port interface 40ge 0/0/2 enable
# Establece la prioridad de la pila de SwitchA en 200.

[SwitchA] stack slot 0 priority 200
# Establezca la ID de pila de SwitchB en 1.

[SwitchB] stack slot 0 renumber 1
# Apague el SwitchA y SwitchB, conecte los puertos de miembro físicos con puertos de cobre
QSFP+ y luego encienda los switches. Conecte el puerto de miembro del puerto lógico 1 de
pila en un switch al puerto de miembro del puerto lógico 2 de pila en el otro switch.
# Inicie sesión en la pila y configúrela para que funcione en el modo del Parent.
[SwitchA] as-mode disable
Warning: Switching the AS mode will clear current configuration and reboot the
system. Continue? [Y/N]:y
# Inicie sesión en la pila y configure MAD en modo directo.

[SwitchA] interface xgigabitethernet 0/0/4
[SwitchA-XGigabitEthernet0/0/4] mad detect mode direct
[SwitchA-XGigabitEthernet0/0/4] quit
[SwitchA-XGigabitEthernet1/0/4] mad detect mode direct
Paso 2 Configure la VLAN de gestión en el sistema SVF y habilite la función SVF en el Parent.


[SwitchA] uni-mng
Warning: This operation will enable the uni-mng mode and disconnect all ASs. STP
calculation may be triggered and service traffic will be affected. Continue?
[Y/N]:y
Paso 3 Configure los parámetros de acceso AS.

NOTA
Este paso es opcional. Si no realiza este paso, el sistema generará información del dispositivo AS cuando los
AS se conecten al sistema SVF. Un nombre AS es el nombre predeterminado del sistema - la dirección MAC
del sistema, por ejemplo, S5300-28P-LI-AC mac-address 0200-0000-0011. Si realiza este paso, asegúrese de
que el modelo y la dirección MAC configurados sean consistentes con la información real del dispositivo y
que la dirección MAC sea la dirección MAC del sistema de un AS. De lo contrario, los AS no pueden
conectarse al sistema SVF.
[SwitchA-um] as name as1 model S5300-28P-LI-AC mac-address 0200-0000-0011
# Configure el puerto de matriz que conecta el Parent con AS1.

[SwitchA-um] quit
[SwitchA-XGigabitEthernet0/0/1] eth-trunk 1

[SwitchA] uni-mng
[SwitchA-um] quit

[SwitchA] uni-mng
[SwitchA-um] quit
# Configure la autenticación de la lista blanca para que los AS se conecten a un sistema SVF.

[SwitchA] as-auth
Paso 4 Borre las configuraciones de los AS, reinicie los AS y luego conecte los AS al Parent por
medio de los cables. Posteriormente, se configura un sistema SVF.
NOTA
descendente. Puede ejecutar el comando display port connection-type access all en este AS para ver
todos los puertos de enlace descendente. Si este puerto es un puerto de enlace descendente, ejecute el
comando uni-mng up-direction fabric-port en este AS para configurar este puerto como un puerto de
enlace ascendente antes de reiniciar este AS. De lo contrario, este AS no puede conectarse.
l Antes de conectar un AS al parent, asegúrese de que el AS no tenga ningún archivo de configuración ni
entrada en el puerto de la consola.
# Después de conectar los cables, ejecute el comando display as all para verificar si los AS se
han conectado al sistema SVF.
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
0 S5300-P-LI 0200-0000-0011 192.168.11.254 normal as1
1 S5300-P-LI 0200-0000-0022 192.168.11.253 normal as2
2 S5300-P-LI 0200-0000-0033 192.168.11.252 normal as3
--------------------------------------------------------------------------------
Cuando el campo State en la salida del comando muestra normal para un AS, el AS se ha
conectado al sistema SVF.

topología de SVF.
------------------------------------------------------------------------------
------------------------------------------------------------------------------
0400-0000-1100 0 XGE0/0/1 1 <-->0 GE0/0/27 0200-0000-0011
0400-0000-1100 0 XGE1/0/1 1 <-->0 GE0/0/28 0200-0000-0011
0400-0000-1100 0 XGE0/0/2 2 <-->0 GE0/0/27 0200-0000-0022
0400-0000-1100 0 XGE1/0/2 2 <-->0 GE0/0/28 0200-0000-0022
0400-0000-1100 0 XGE0/0/3 3 <-->0 GE0/0/27 0200-0000-0033
0400-0000-1100 0 XGE1/0/3 3 <-->0 GE0/0/28 0200-0000-0033
------------------------------------------------------------------------------
# Ejecute el comando display uni-mng upgrade-info verbose para ver toda la información
de la versión AS.
----------------------------------------------------------------------------
AS name : as1
Startup system-software : flash:/s5300-p-li.cc
Startup patch : --


Download patch : --
Method : --
Error reason : --
----------------------------------------------------------------------------
AS name : as2
Startup patch : --
Download patch : --
Method : --
Error reason : --
----------------------------------------------------------------------------
AS name : as3
Startup patch : --
Download patch : --
Method : --
Error reason : --
----------------------------------------------------------------------------
Paso 5 Configure los perfiles de servicio y vínculelos a los AS.

[SwitchA] uni-mng

[SwitchA-um] network-basic-profile name basic_profile
[SwitchA-um-net-basic-basic_profile] user-vlan 10
[SwitchA-um-net-basic-basic_profile] quit
[SwitchA-um] port-group name port_group
[SwitchA-um-portgroup-port_group] as name as1 interface all
[SwitchA-um-portgroup-port_group] network-basic-profile basic_profile
[SwitchA-um-portgroup-port_group] quit
[SwitchA-um] quit


[SwitchA] uni-mng
[SwitchA-um] port-group name port_group
[SwitchA-um-portgroup-port_group] user-access-profile access_profile
[SwitchA-um-portgroup-port_group] quit
# Confirme las configuraciones para que las configuraciones en los perfiles de servicio se
puedan entregar a los AS.

Result of profile:
--------------------------------------------------------------------------------
AS Name Commit Time Commit/Execute Result
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------

Success para un AS, las configuraciones en los perfiles de servicio se han entregado al AS.
Paso 6 Inicie sesión en AS para verificar las configuraciones de servicio de los AS. Lo siguiente se
# Ejecute el comando attach as name as-name en el Parent para iniciar sesión en AS1 y
correctos.
Info: Connecting to the remote AS now. Use the quit command to return to the user
view.
Trying 192.168.11.254 ...
Connected to 192.168.11.254 ...
<HUAWEI>

......
#

mode lacp
#
stp root-protection
authentication access-point
#
eth-trunk 0
#
......
----Fin
completarla.
en el Parent y luego ejecute el comando commit as { name as-name | all } para
2. Una vez habilitada la función SVF, las funciones del Protocolo de árbol de expansión
(STP) y del Protocolo de detección de capa de enlace (LLDP) están habilitadas
completamente en el Parent. Preste atención a los siguientes puntos al usar las funciones
STP y LLDP en un sistema SVF:
– Puede deshabilitar las funciones de STP y LLDP solo en los puertos, no
completamente.
– No deshabilite la función de LLDP en los puertos de miembro de un puerto de
matriz. De lo contrario, la topología SVF será anormal.
3. Después de habilitar la función SVF, el Parent cambiará STP a Protocolo de árbol de
expansión rápido (RSTP) y establecerá la prioridad de la instancia 0 a 28762 mediante el
comando stp instance 0 priority 28672. Después de que la función SVF esté
temporalmente.
modo de standby en el AS, MAD no se puede ejecutar porque el switch de modo de

6. En el Parent, puede haber un retraso al mostrar la salida de algunos comandos ejecutados
run ].
7. En un sistema SVF, la longitud de trama máxima permitida por los puertos no se puede
configurar en un AS. Por lo tanto, la longitud máxima de trama es el valor
mediante reglas sin autenticación en lugar de un grupo de lista de control del usuario
(UCL).
Archivo de configuración del Parent (configuración en V200R011C10 como

ejemplo)
#
sysname SwitchA
#
vlan batch 11
#
stp mode rstp
#
#
lldp enable
#
dhcp enable
#
interface Vlanif11
ip address 192.168.11.1 255.255.255.0
#
stp root-protection
mode lacp
mad relay
#
stp root-protection


mode lacp
mad relay
#
stp root-protection
mode lacp
mad relay
#
eth-trunk 1
#
eth-trunk 2
#
eth-trunk 3
#
#
eth-trunk 1
#
eth-trunk 2
#
eth-trunk 3
#
#
#
as-auth
#
uni-mng
as name as1 model S5300-28P-LI-AC mac-address 0200-0000-0011 //Verifique si
as name as2 model S5300-28P-LI-AC mac-address 0200-0000-0022
as name as3 model S5300-28P-LI-AC mac-address 0200-0000-0033
network-basic-profile name basic_profile //Verifique la configuración
básica del perfil de la red.
user-vlan 10
as name as1
as name as2
as name as3

port-group name port_group //Verifique si un grupo de puertos se ha

vinculado a los perfiles de servicio y si los puertos conectados a los AS se han
agregado al grupo de puertos.
network-basic-profile basic_profile
#
#
return
Información relacionada
Vídeo
S Series Switches SVF Feature Introduction
4.4 Configuración típica de PoE
4.4.1 Ejemplo para configurar PoE (modo automático)
Descripción general de PoE

El suministro de la fuente de alimentación a través de Ethernet se está volviendo cada vez más
necesario a medida que se aplican ampliamente los teléfonos IP, la video vigilancia en red y
las redes de Ethernet inalámbricas. En general, los puntos de acceso (AP) usan fuente de
alimentación de CC, pero estos AP a menudo se instalan al aire libre o por encima del nivel
del piso. Como resultado, los AP pueden estar lejos de una toma de corriente. Incluso si hay
una toma de corriente disponible, se debe instalar un convertidor de CA/CC, lo que puede ser
problemático. En muchas LAN de gran escala, los administradores necesitan administrar
múltiples AP que requieren un suministro y una administración de la fuente de alimentación
uniforme. En este caso, la administración de la fuente de alimentación es difícil. La
alimentación a través de Ethernet (PoE) soluciona este problema.
PoE se usa en la red Ethernet con cable y es la más utilizada en las LAN locales. Proporciona
energía a los terminales sobre el medio de transmisión sin afectar la transmisión de datos. Esta
tecnología proporciona energía en 10Base-T, 100Base-TX, 1000Base-T o 2.5GE BASE-T
Ethernet a una distancia de hasta 200 m. PoE se puede utilizar para proporcionar
efectivamente energía centralizada para terminales como teléfonos IP, AP, cargadores de
dispositivos portátiles, máquinas POS, cámaras y dispositivos de recopilación de datos. Los
terminales reciben la energía cuando acceden a la red. Por lo tanto, no se requiere el cableado
interior de la fuente de alimentación.
PoE tiene las siguientes ventajas:
l Fiable: Múltiples PDs son alimentados por un dispositivo, lo que facilita la copia de
seguridad.
l Fácil de implementar: Los terminales de red pueden alimentarse a través de cables de
red, sin necesidad de las fuentes de alimentación externas.
l Standard: La función PoE cumple con IEEE 802.3af y 802.3at, y todos los dispositivos
PoE usan fuentes de energía uniformes.

l Solo los modelos de productos con PWR en los nombres de productos son compatibles
con PoE.
l A continuación se describen los modelos de productos y versiones aplicables.
Modelo del producto Versión del software
S2300EI V100R006C05
S2320EI V200R011C10
S2350EI V200R003C00, V200R005C00SPC300,

V200R006C00, V200R007C00, V200R008C00,
V200R009C00, V200R010C00, V200R011C10,
V200R012C00
S3300SI V100R006C05
S3300EI V100R006C05
S5300LI V200R008C10, V200R009C00, V200R010C00 y

V200R011C10
S5320LI V200R010C00, V200R011C10, V200R012C00
S5300SI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320SI V200R008(C00&C10), V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S9303, S9306 y S9312 V200R001C00, V200R002C00, V200R003C00,

V200R005C00SPC300, V200R006C00,
V200R007C00, V200R008(C00&C10),
V200R009C00, V200R010C00, V200R011C10,
V200R012C00
NOTA
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Requisitos de redes
Figura 4-35 muestra que los switches se implementan en la capa de acceso en la red. El
teléfono IP conectado al switch se implementa al aire libre y el AP se implementa en la pared
externa de la oficina. Es difícil conectar fuentes de alimentación a estos dispositivos. El

usuario desea que el switch proporcione energía para estos dispositivos y ahorre los costos de
implementación.
Para gestionar de manera flexible los PD, configure el modo de administración de energía en
modo automático. Como la red de oficinas de un banco, AP1 no se puede apagar y se debe
configurar con la mayor prioridad de suministro de la fuente de alimentación. Por lo general,
IP Phone1 no se puede apagar, ya que maneja una gran cantidad de servicios y debe
configurarse con una alta prioridad de suministro de la fuente de alimentación. AP2 necesita
estar apagado dentro de un segmento de tiempo fijo cada día.
Figura 4-35 Diagrama de redes de la aplicación de PoE

Switch
GE1/0/1 GE1/0/2
GE2/0/1 GE2/0/2
IP Phone 1 AP1
IP Phone 2 AP2

El switch debe ser compatible con PoE e instalarse con la fuente de alimentación de PoE.
1. Configure el modo de administración de energía como modo automático para que los PD
puedan administrarse de manera flexible.
2. Configure la energía de salida máxima de la tarjeta en la ranura 1 para garantizar que
esta tarjeta reciba energía estable si la energía del dispositivo es insuficiente.
3. Configure la prioridad de la fuente de alimentación en GigabitEthernet1/0/2 y
GigabitEthernet1/0/1 para que el AP1 y el IP phone1 reciban enegía de forma
preferencial.
4. Configure la energía de salida máxima en GigabitEthernet1/0/1, GigabitEthernet2/0/1, y
GigabitEthernet1/0/2 para limitar la energía de la interfaz correspondiente y garantizar la
seguridad del dispositivo.
5. Configure un tiempo de apagado de PoE para los PD conectados a GigabitEthernet2/0/2.
Procedimiento
Paso 1 Configure el modo de administración de energía del dispositivo como modo automático.
[Switch] poe power-management auto slot 1
[Switch] poe power-management auto slot 2

Paso 2 Configure la energía de salida máxima de la tarjeta PoE en la ranura 1 como 200 W.
[Switch] poe max-power 200000 slot 1
Warning: This operation may power off some PD. Continue?[Y/N]:y
Paso 3 Configure la energía de salida máxima en GigabitEthernet1/0/1, GigabitEthernet2/0/1,

yGigabitEthernet1/0/2 como 15 W, 15 W, y 20 W respectivamente. En el dispositivo, la
unidad de la energía de salida es mW.
[Switch-GigabitEthernet1/0/1] poe power 15000
Paso 4 Configure la prioridad de la fuente de alimentación en GigabitEthernet1/0/2 como critical.

[Switch-GigabitEthernet1/0/2] poe priority critical
Warning: This operation may power off some PD with lower priority. Continue?[Y/
N]:y
Paso 5 Configure la prioridad de la fuente de alimentación en GigabitEthernet1/0/1 como high.

[Switch-GigabitEthernet1/0/1] poe priority high
Warning: This operation may power off some PD with lower priority. Continue?[Y/
N]:y
Paso 6 Configure un rango de tiempo de apagado de PoE de 10:00 a 11:00 para los PD conectados a
GigabitEthernet1/0/1.
[Switch] time-range tset 10:00 to 11:00 daily
[Switch-GigabitEthernet2/0/2] poe power-off time-range tset
Warning: This operation will power off the PD during this time range poe.
Continue?[Y/N]:y
# Muestra el estado de la fuente de alimentación PoE de la interfaz en la tarjeta en la ranura 1.

[Switch] display poe power-state slot 1
PORTNAME POWERON/OFF ENABLED PRIORITY STATUS
--------------------------------------------------------------------------------
GigabitEthernet1/0/0 off enable Low Detecting
GigabitEthernet1/0/1 on enable High Delivering-power
GigabitEthernet1/0/2 on enable Critical Delivering-power



--------------------------------------------------------------------------------
GigabitEthernet2/0/1 on enable Low Delivering-power
----Fin
#
sysname
Switch
#
poe max-power 200000 slot 1
time-range tset 10:00 to 11:00 daily
#
poe priority high
poe power 15000
#
poe priority critical
poe power 20000
#
poe power 15000
#
poe power-off time-range tset
#
return

4.4.2 Ejemplo para configurar PoE (modo manual)
Descripción general de PoE

El suministro de la fuente de alimentación a través de Ethernet se está volviendo cada vez más
necesario a medida que se aplican ampliamente los teléfonos IP, la video vigilancia en red y
las redes de Ethernet inalámbricas. En general, los puntos de acceso (AP) usan fuente de
alimentación de CC, pero estos AP a menudo se instalan al aire libre o por encima del nivel
del piso. Como resultado, los AP pueden estar lejos de una toma de corriente. Incluso si hay
una toma de corriente disponible, se debe instalar un convertidor de CA/CC, lo que puede ser
problemático. En muchas LAN de gran escala, los administradores necesitan administrar
múltiples AP que requieren un suministro y una administración de la fuente de alimentación
uniforme. En este caso, la administración de la fuente de alimentación es difícil. La
alimentación a través de Ethernet (PoE) soluciona este problema.
PoE se usa en la red Ethernet con cable y es la más utilizada en las LAN locales. Proporciona
energía a los terminales sobre el medio de transmisión sin afectar la transmisión de datos. Esta
tecnología proporciona energía en 10Base-T, 100Base-TX, 1000Base-T o 2.5GE BASE-T
Ethernet a una distancia de hasta 200 m. PoE se puede utilizar para proporcionar
efectivamente energía centralizada para terminales como teléfonos IP, AP, cargadores de
dispositivos portátiles, máquinas POS, cámaras y dispositivos de recopilación de datos. Los
terminales reciben energía cuando acceden a la red. Por lo tanto, no se requiere el cableado
interior de la fuente de alimentación.
PoE tiene las siguientes ventajas:
l Fiable: Múltiples PDs son alimentados por un dispositivo, lo que facilita la copia de
seguridad.
l Fácil de implementar: Los terminales de red pueden alimentarse a través de cables de
red, sin necesidad de las fuentes de alimentación externas.
l Estándar: La función PoE cumple con IEEE 802.3af y 802.3at, y todos los dispositivos
PoE usan fuentes de energía uniformes.
l Solo los modelos de productos con PWR en los nombres de productos son compatibles
con PoE.
S2300EI V100R006C05
S2320EI V200R011C10
S2350EI V200R003C00, V200R005C00SPC300,

V200R006C00, V200R007C00, V200R008C00,
V200R009C00, V200R010C00, V200R011C10,
V200R012C00
S3300SI V100R006C05

S3300EI V100R006C05
S5300LI V200R008C10, V200R009C00, V200R010C00 y

V200R011C10
S5320LI V200R010C00, V200R011C10, V200R012C00
S5300SI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320SI V200R008(C00&C10), V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S9303, S9306 y S9312 V200R001C00, V200R002C00, V200R003C00,

V200R005C00SPC300, V200R006C00,
V200R007C00, V200R008(C00&C10),
V200R009C00, V200R010C00, V200R011C10,
V200R012C00
NOTA
Requisitos de redes
Figura 4-36 muestra que los switches se implementan en la capa de acceso en la red. El
teléfono IP conectado al switch se implementa al aire libre y el AP se implementa en la pared
externa de la oficina. Es difícil conectar fuentes de alimentación a estos dispositivos. El
usuario desea que el switch proporcione energía para estos dispositivos y ahorre los costos de
implementación.
El usuario desea encender los PD seleccionados según sea necesario, por lo que el modo de
administración de energía debe configurarse en modo manual.

Figura 4-36 Diagrama de redes de la aplicación de PoE

Switch
GE1/0/1 GE1/0/2
GE2/0/1 GE2/0/2
IP Phone 1 AP1
IP Phone 2 AP2

El switch debe ser compatible con PoE e instalarse con la fuente de alimentación PoE.
1. Configure el modo de administración de energía como modo manual para que pueda
especificar cuáles de los PD se pueden alimentar.
2. Encienda manualmente los PD conectados a las interfaces especificadas.
Procedimiento
Paso 1 Configure el modo de administración de energía del dispositivo como modo manual.
[Switch] poe power-management manual slot 1
Paso 2 Encienda manualmente los PD conectados a GigabitEthernet 1/0/0.

[Switch] poe power-on interface gigabitethernet 1/0/1
Info: PD was powered on successfully.

--------------------------------------------------------------------------------


----Fin
#
sysname
Switch
#
poe power-management manual slot 1
poe power-on interface gigabitethernet 1/0/1
#
return

Ejemplos típicos de configuración 5 Configuración típica de interfaz Ethernet
5 Configuración típica de interfaz Ethernet
5.1 Ejemplo para configurar una interfaz Combo

5.2 Ejemplo para configurar la tasa y el modo dúplex de una interfaz Ethernet
5.3 Ejemplo para cambiar una interfaz entre los modos de Capa 2 y Capa 3
5.4 Ejemplo para configurar el aislamiento del puerto
5.1 Ejemplo para configurar una interfaz Combo

Una interfaz combo consiste en una interfaz eléctrica GE y una interfaz óptica GE en el panel.
Las interfaces eléctricas y ópticas multiplexadas no pueden funcionar al mismo tiempo.
Cuando una interfaz funciona, la otra interfaz está deshabilitada. Puede usar la interfaz
eléctrica u óptica de acuerdo con los requisitos de red.
Las interfaces eléctricas y ópticas comparten una vista de interfaz. Cuando habilite la interfaz
eléctrica u óptica, configure los atributos de la interfaz (como la velocidad y el modo dúplex)
en la misma vista de interfaz.
l Restricciones de uso:
– Las interfaces eléctricas y ópticas de una interfaz combo son multiplexadas. La
interfaz óptica no puede tener un módulo de cobre instalado.
– Cuando una interfaz combo funciona en modo automático y la interfaz combo
óptica tiene un módulo óptico instalado, la interfaz combo funciona como una
interfaz óptica después de reiniciar el dispositivo.
– Puede configurar el modo de trabajo de la combo interfaz según el tipo de interfaz
remota. Si la interfaz combo eléctrica local está conectada a una interfaz eléctrica
remota, configure la combo interfaz para que funcione en modo de cobre. Si la
interfaz combo óptica local está conectada a una interfaz óptica remota, configure la

combo interfaz para que funcione en modo de fibra óptica. Si la interfaz combo
local está configurada para funcionar en un modo diferente de la interfaz remota, las
dos interfaces no pueden comunicarse.
l Este ejemplo se aplica a los switches que son compatibles con la interfaz compatible.
Requisitos de red
Como se muestra en Figura 5-1, PC1, PC2, y PC3 se conectan a GE 1/0/1, GE1/0/2 y
GE1/0/3 de Switch respectivamente. El conmutador se conecta a Internet a través de la
interfaz combo GE1/0/4. Puede configurar el modo de trabajo de la combo interfaz según el
tipo de interfaz remota. En este ejemplo, la interfaz remota en el lado de Internet es una
interfaz eléctrica.
Figura 5-1 Diagrama de redes para configurar el modo de trabajo de una interfaz combo
Internet
Switch GE1/0/4
GE1/0/1 GE1/0/3
GE1/0/2
PC1 PC2 PC3

l Configure la interfaz combo para que funcione como una interfaz eléctrica. Esta
configuración asegura que el modo de trabajo de la interfaz combo no cambia cuando el
medio de transmisión cambia, por ejemplo, se instala un módulo óptico GE.
Procedimiento
Paso 1 Configure la interfaz combo GE 1/0/4 para funcionar como una interfaz eléctrica.
[Switch-GigabitEthernet1/0/4] combo-port copper //Configure la interfaz combo
para que funcione como una interfaz eléctrica. Por defecto, el modo de trabajo de
la interfaz combo es auto.


Ejecute el comando display interface gigabitethernet 1/0/4 en cualquier vista para
comprobar el modo de funcionamiento de la interfaz combo.
[Switch] display interface gigabitethernet 1/0/4
...
Port Mode: FORCE COPPER
Speed : 1000, Loopback: NONE
Duplex: FULL, Negotiation: ENABLE
Mdi : AUTO, Flow-control: DISABLE
...
Si se muestra COMBO AUTO, la interfaz combo selecciona automáticamente el modo de

trabajo. Si se muestra FORCE FIBER, la interfaz combo está configurada para funcionar
como una interfaz óptica. Si se muestra FORCE COPPER, la interfaz combo está
configurada para funcionar como una interfaz eléctrica. El resultado del comando anterior
muestra que la interfaz combo está configurada para funcionar como una interfaz eléctrica.
----Fin
Archivo de configuración
#
sysname Switch
#
combo-port copper
#
return
5.2 Ejemplo para configurar la tasa y el modo dúplex de

una interfaz Ethernet
Las interfaces pueden funcionar en los siguientes dos modos dúplex:
l Modo medio dúplex: Una interfaz en este modo solo puede enviar datos cuando no está
recibiendo datos y, a la inversa, solo puede recibir datos cuando no está enviando datos.
Una limitación en la distancia de transmisión se aplica a este modo.
l Modo dúplex completo : Una interfaz en este modo puede enviar y recibir datos
simultáneamente. El rendimiento máximo en modo dúplex completo es el doble
teóricamente que en el modo medio dúplex. No hay limitación en la distancia de
transmisión en este modo.
Puede configurar la tasa y el modo dúplex de una interfaz Ethernet que funcione en modo de
negociación automática o negociación no automática.
l En el modo de negociación automática, las interfaces en ambos extremos de un enlace
negocian la tasa y el modo dúplex. Si la negociación tiene éxito, las dos interfaces usan
el mismo modo dúplex y tasa. La función de negociación automática tiene efecto solo
cuando ambos dispositivos conectados lo admiten. Si el dispositivo remoto no admite
negociación automática o utiliza un modo de negociación automática diferente, las
interfaces conectadas pueden estar Down.

l Puede configurar la interfaz local para que funcione en modo negociación no automática
y configure manualmente la tasa de la interfaz y el modo dúplex en las siguientes
situaciones:
El dispositivo remoto no admite negociación automática.
Después de configurar la negociación automática, los dispositivos locales y remotos no
pueden comunicarse.
Después de configurar la negociación automática, se conecta el enlace físico entre los
dispositivos locales y los remotos, pero se generan muchos paquetes de error o se
produce una pérdida de paquetes.
l Restricciones de uso
– Las interfaces Ethernet en ambos extremos de un enlace deben funcionar en el
mismo modo de negociación automática. De lo contrario, las interfaces pueden estar
Down.
– Cuando la tasa de trabajo de una interfaz eléctrica de GE es de 1000 Mbit/s, la
interfaz solo admite el modo dúplex completo y no necesita negociar el modo
dúplex con la interfaz remota.
– Las interfaces en ambos extremos de un enlace deben usar la misma tasa y el mismo
modo dúplex.
– Tabla 5-1 enumera la tasa y el modo dúplex de las interfaces Ethernet.
Tabla 5-1 Tasa y modo dúplex de las interfaces Ethernet

Tipo de interfaz Tasa y modo dúplex
Interfaces MultiGE l Medio de transmisión: cable de red

l Tasa: 100 Mbit/s, 1000 Mbit/s, 2500 Mbit/s, 5000
Mbit/s, y 10 Gbit/s
l Modo dúplex Cuando la tasa es de 100 Mbit/s, se
admiten dúplex completo y medio dúplex. Cuando
la tasa es de 1000 Mbit/s, 2500 Mbit/s, 5000 Mbit/s,
y 10 Gbit/s, solo se admite dúplex completo.
l Negociación automática: se admite
NOTA
Solo el S6320-32C-PWH-SI admite interfaces MultiGE.
Interfaces eléctricas de l Medio de transmisión: cable de red

FE l Tasa: 10 Mbit/s y 100 Mbit/s
l Modo dúplex dúplex completo/medio dúplex


GE l Tasa: 10 Mbit/s y 100 Mbit/s y 1000 Mbit/s
l Modo dúplex full-duplex/half-duplex. Cuando la
tasa es de 1000 Mbit/s, solo se admite dúplex
completo.
NOTA
l Las interfaces de servicio físico de S6300EI, S5320EI,
S5320HI, S6320HI y S6320EI no admiten la
configuración del modo dúplex.
l Las interfaces de servicio físico en las tarjetas
LE1D2S04SEC0, LE1D2X32SEC0 y LE1D2H02QEC0 y
las tarjetas de la serie X no admiten la configuración del
modo dúplex.

XGE (10GE) l Tasa: 10 000 Mbit/s
l Modo dúplex dúplex completo
NOTA
Solo la tarjeta LS5D21X02T01 del S5320EI admite interfaces
eléctricas de XGE.
Interfaces ópticas de l Medio de transmisión: Módulo óptico de FE

FE l Tasa: 100 Mbit/s
l Negociación automática: no se admite

Interfaces ópticas de Cuando el medio de transmisión es un módulo óptico

GE de FE:
l Tasa: 100 Mbit/s
Cuando el medio de transmisión es un módulo óptico
de GE:
l Tasa: 1000 Mbit/s
Cuando el medio de transmisión es un módulo de cobre
de GE:
l Tasa: 1000 Mbit/s
l Modo dúplex dúplex completo/medio dúplex
NOTA
l Por defecto, la negociación automática está habilitada en
las interfaces ópticas de GE y la negociación automática
de la tasa está deshabilitada. Puede ejecutar el comando
speed auto-negotiation para habilitar la negociación
automática de tasa.
Después de que una interfaz GE en el S5300EI, o
S5300HI tiene un módulo de cobre de GE instalado, no
puede configurar la tasa y el modo dúplex en la interfaz.


XGE (10GE) de XGE:
l Tasa: 10 000 Mbit/s
de GE:
l Tasa: 1000 Mbit/s
l Modo dúplex full-duplex
Cuando el medio de transmisión es un módulo de cobre
de GE:
l Tasa: 100 Mbit/s y 1000 Mbit/s
de XGE/GE:
l Tasa: 1000 Mbit/s y 10 000 Mbit/s
NOTA
l Las interfaces de XGE en la tarjeta LE1D2FW00S01 no
admiten la configuración del modo de negociación
automática, la tasa de interfaz y el control de flujo.
l Suponga que una interfaz óptica de XGE tiene un módulo
óptico de XGE/GE instalado y la tasa de la interfaz se
establece en 1000 Mbit/s ejecutando el comando speed
auto 1000. Cuando ejecuta el comando display interface
en la interfaz, el resultado del comando muestra que la
negociación automática está habilitada. Sin embargo, no
puede ejecutar el comando negotiation auto para
configurar el modo de negociación automática.
l Solo los switches modulares que funcionan con
V200R007 y versiones posteriores admiten módulos
ópticos de XGE/GE.
l Solo la tarjeta LS5D21X02T01 del S5320EI admite
interfaces eléctricas de XGE.
l Solo las interfaces ópticas de XGE en el S6320EI que
ejecuta V200R009 y versiones posteriores pueden
negociar automáticamente la tasa a 100 Mbit/s después de
haber instalado los módulos de cobre de GE.


40GE de 40GE
Cuando el medio de transmisión es un cable de alta
velocidad:
NOTA
Cuando ejecuta el comando display interface en una interfaz
óptica de 40GE que tiene un cable de alta velocidad instalado,
el resultado del comando muestra que la negociación
automática está habilitada. Sin embargo, no puede ejecutar el
comando negotiation auto para configurar el modo de
negociación automática.
Interfaces ópticas de l Medio de transmisión: Módulo óptico de 100GE

100GE l Tasa: 100 000 Mbit/s
NOTA
Para los tipos de tarjetas que admiten interfaces ópticas de
100GE, consulte 100GE Interface Card
Requisitos de red
Como se muestra en Figura 5-2, el Servidor1, el Servidor2 y el Servidor3 forman un clúster
de servidor y se conectan a la GE1/0/1, GE1/0/2, y GE1/0/3 del Switch respectivamente. El
Switch se conecta a Internet a través de GE1/0/4.
Debido a las limitaciones de los adaptadores de red en los servidores, GE1/0/1, GE1/0/2, and
GE1/0/3solo pueden funcionar en el modo medio dúplex después de negociar con las
interfaces del servidor conectado. Como resultado, la pérdida de paquetes ocurre cuando el
volumen de tráfico de servicio es alto. Además, la tasa se negocia a 1000 Mbit/s para
GE1/0/1, GE1/0/2, y GE1/0/3. Cuando los tres servidores envían datos simultáneamente a la
tasa de 1000 Mbit/s, la interfaz de salida GE1/0/4 estará congestionada. Los usuarios
requieren que la pérdida de paquetes y la congestión no ocurran.

Figura 5-2 Diagrama de redes para configurar la tasa y el modo dúplex en modo negociación
no automática
Internet
Switch GE1/0/4
GE1/0/1 GE1/0/3
GE1/0/2
Server1 Server2 Server3

l Configure las interfaces del switch para que funcionen en modo de negociación no
automática para evitar que la tasa de interfaz se vea afectada por la tasa del adaptador de
red en los servidores.
l Establezca el modo dúplex a dúplex completo para las interfaces que funcionan en modo
de negociación no automática para evitar la pérdida de paquetes.
l Establezca la tasa a 100 Mbit/s para las interfaces que funcionan en el modo de
negociación no automática para evitar la congestión en la interfaz de salida.
Procedimiento
Paso 1 Cree un grupo de puertos y agregue GE1/0/1, GE1/0/2 y GE1/0/3 al grupo de puertos.
[Switch] port-group portgroup1 //Cree un grupo de puertos permanente portgroup1.
[Switch-port-group-portgroup1] group-member GE1/0/1 to GE1/0/3 //Agregue
GE1/0/1,GE1/0/2, y GE1/0/3 a portgroup1.
Paso 2 Configure GE1/0/1, GE1/0/2, y GE1/0/3para que funcionen en el modo de negociación no

automática y establezca el modo dúplex a dúplex completo y a una tasa de 100 Mbit/s para
estas interfaces en un lote.
[Switch-port-group-portgroup1] undo negotiation auto //Configure las interfaces
para que funcionen en modo negociación no automática en un lote.
[Switch-GigabitEthernet1/0/1] undo negotiation auto
[Switch-port-group-portgroup1] duplex full //Establezca el modo dúplex de las

interfaces en dúplex completo en un lote.

[Switch-GigabitEthernet1/0/1] duplex full
[Switch-port-group-portgroup1] speed 100 //Establezca la velocidad de las
interfaces a 100 Mbit/s en un lote.
[Switch-GigabitEthernet1/0/1] speed 100
[Switch-port-group-portgroup1] quit

Ejecute el comando de display interface gigabitethernet 1/0/1 en cualquier vista para
comprobar la tasa de interfaz y el modo dúplex.
[Switch] display interface gigabitethernet 1/0/1
...
Port Mode: COMMON COPPER
Speed : 100, Loopback: NONE
Duplex: FULL, Negotiation: DISABLE
Mdi : AUTO, Flow-control: DISABLE
...
El resultado del comando muestra que la interfaz funciona en modo no negociable, la tasa es
de 100 Mbit/s, y el modo dúplex es dúplex completo.
Del mismo modo, ejecuta el comando display interface gigabitethernet 1/0/2 y display
interface gigabitethernet 1/0/3 en GE1/0/2 y GE1/0/3respectivamente para comprobar la
información de trabajo de la interfaz.
----Fin
#
sysname Switch
#
undo negotiation auto
speed 100
#
speed 100
#
speed 100
#
port-group portgroup1
group-member GigabitEthernet1/0/1
#
return

5.3 Ejemplo para cambiar una interfaz entre los modos de

Capa 2 y Capa 3
Debido a las restricciones de hardware de las tarjetas de interfaz, algunas interfaces Ethernet
solo funcionan en el modo Capa 2 o Capa 3, mientras que otras interfaces Ethernet pueden
funcionar en los modos Capa 2 y Capa 3.
l De defecto, una interfaz Ethernet funciona en modo Capa 2 y pertenece a la VLAN 1.
Una interfaz no se elimina de la VLAN 1 inmediatamente después de cambiar al modo
de Capa 3. Se elimina de la VLAN 1 solo cuando los protocolos de Capa 3 están Up.
l Puede configurar los modos de Capa 2 y Capa 3 de una interfaz Ethernet en la vista de
interfaz Ethernet o en la vista del sistema. Si las configuraciones en las dos vistas son
diferentes, la última configuración tiene efecto.
l El intervalo mínimo entre ejecutar los comandos portswitch y undo portswitch es de 30
segundos. Es decir, después de cambiar el modo de una interfaz Ethernet, espere al
menos 30 segundos antes de volver a cambiar el modo.
l Si existen configuraciones de servicio (como la configuración de port link-type trunk)
en una interfaz, borre todas las configuraciones de servicio antes de cambiar la interfaz
entre los modos de Capa 2 y Capa 3. La configuración de cambio de modo tiene efecto
en una interfaz cuando solo existen configuraciones de atributos (como configuraciones
shutdown and description) en la interfaz.
l En los switches que ejecutan V200R003 y versiones anteriores, las direcciones IP no se
pueden asignar a las interfaces Ethernet en el modo Capa 3.
l Tabla 5-2 enumera los productos y versiones a los que se aplica este ejemplo.
Tabla 5-2 Productos y versiones aplicables

Serie Modelo del Producto Versión del software
S5300 S5300EI V200R005C00&C01
S5300HI V100R005C01,
V100R006C00&C01,
V200R001C00,
V200R002C00,
V200R003C00,
V200R005C00&C01
S5310EI V200R002C00,
V200R003C00,
V200R005C00&C01

S5320EI V200R007C00,
V200R008C00,
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S5320HI V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S6300 S6300EI V200R005C00&C01
S6320HI V200R012C00
S6320EI V200R008C00,
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S9300 S9303, S9306, S9312 V200R001C00,

V200R002C00,
V200R003C00,
V200R005C00SPC300,
V200R006C00,
V200R007C00,
V200R008(C00&C10),
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S9300 S9310 V200R010C00,

V200R011C10,
V200R012C00
S9300X S9310X V200R010C00,

V200R011C10,
V200R012C00
S9300E S9300E V200R001C00,

V200R002C00,
V200R003C00,
V200R005C00SPC300,
V200R006C00,
V200R007C00,
V200R008(C00&C10),
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00

NOTA
Requisitos de red
Como se muestra en Figura 5-3, PC1, PC2, PC3 y PC4 están en cuatro segmentos de red, y
SwitchB, SwitchC, SwitchD y SwitchE son switches de acceso para estos cuatro segmentos
de red, respectivamente. Se requiere que cuatro interfaces Ethernet físicas en SwitchA se
configuren como interfaces de gateway para estos cuatro segmentos de red.
Figura 5-3 Diagrama de redes para configurar la tasa y el modo dúplex en modo negociación
no automática
10.10.1.0/24
PC1
SwitchB
GE1/0/1
SwitchA
GE1/0/2 GE1/0/4
GE1/0/3
SwitchC SwitchD SwitchE
PC2 PC3 PC4

10.10.2.0/24 10.10.3.0/24 10.10.4.0/24

l Cambie las interfaces al modo Capa 3.

l Configure las direcciones IP de las interfaces Ethernet de Capa 3 como direcciones de
gateway.

Procedimiento
Paso 1 Cambie las interfaces al modo Capa 3.
# Cambie las interfaces al modo Capa 3.
[SwitchA-GigabitEthernet1/0/1] undo portswitch
# Cambie las interfaces Ethernet al modo Capa 3 en un lote.

[SwitchA] undo portswitch batch gigabitethernet 1/0/2 to 1/0/4
Paso 2 Configure las direcciones IP de las interfaces Ethernet de Capa 3 como direcciones de
gateway.
# Configure la dirección IP de GE1/0/1 como una dirección de gateway. Las configuraciones
de GE1/0/2, GE1/0/3 y GE1/0/4 son similares a la configuración de GE1/0/1, y no se
mencionan aquí. Para más detalles, vea los archivos de configuración.
[SwitchA-GigabitEthernet1/0/1] ip address 10.10.1.1 24
Paso 3 Ejecute el comando display interface gigabitethernet 1/0/1 en cualquier vista para
comprobar el modo de trabajo de la interfaz.
[SwitchA] display interface gigabitethernet 1/0/1
...
Description:
Route Port,The Maximum Frame Length is 9216
Internet Address is 10.10.1.1/24
...
Si se muestra Switch Port, la interfaz funciona en modo de Capa 2. Si se muestra Route

Port, la interfaz funciona en el modo de Capa 3. La salida del comando anterior muestra que
la interfaz funciona en modo de Capa 3.
Del mismo modo, ejecute los comandos display interface gigabitethernet 1/0/2, display
interface gigabitethernet 1/0/3, y display interface gigabitethernet 1/0/4 en GE1/0/2,
GE1/0/3 y GE1/0/4 respectivamente para comprobar el modo de trabajo de la interfaz.
----Fin
Archivo de configuración de SwitchA
#
sysname SwitchA
#
undo portswitch
ip address 10.10.1.1 255.255.255.0
#
undo portswitch
ip address 10.10.2.1 255.255.255.0
#
undo portswitch
ip address 10.10.3.1 255.255.255.0

#
undo portswitch
ip address 10.10.4.1 255.255.255.0
#
return
5.4 Ejemplo para configurar el aislamiento del puerto

Para implementar el aislamiento de Capa 2 entre las interfaces, puede agregar cada interfaz a
una VLAN diferente. Sin embargo, este método desperdicia recursos de VLAN. El
aislamiento de puertos puede aislar interfaces en la misma VLAN, y un grupo de aislamiento
de puertos puede implementar eficazmente el aislamiento de Capa 2 entre estas interfaces. El
aislamiento del puerto proporciona soluciones de red seguras y flexibles.
El modo de aislamiento del puerto puede ser el aislamiento de Capa 2 y el

interfuncionamiento de Capa 3 o el aislamiento de Capa 2 y Capa 3.
l Para aislar los paquetes de difusión en la misma VLAN pero permitir que los usuarios
que se conectan a diferentes interfaces se comuniquen en la Capa 3, puede establecer el
modo de aislamiento de puertos al aislamiento de Capa 2 y el interfuncionamiento de
Capa 3.
l Para evitar que las interfaces en la misma VLAN se comuniquen tanto en la Capa 2
como en la Capa 3, puede establecer el modo de aislamiento del puerto al aislamiento de
Capa 2 y Capa 3.
l No agregue las interfaces de enlace ascendente y de enlace descendente al mismo grupo
de aislamiento de puerto a menos que sea necesario. Al contrario, las interfaces de enlace
ascendente y de enlace descendente no pueden comunicarse.
l Los switches de la serie S admiten el aislamiento de Capa 2 y el interfuncionamiento de
Capa 3.
l Todos los switches de chasis de la serie S admiten aislamiento de Capa 2 y Capa 3. Los
switches de caja de la serie S admiten el aislamiento de Capa 2 y Capa 3 excluyendo el
S2300SI que ejecuta V100R006C05 y S2350EI, S2320EI, S5300LI y S5320LI que
ejecutan V200R001 y versiones posteriores.
Requisitos de red
Una oficina de I+D de una empresa contiene empleados de la empresa, de la empresa
asociada A y de la empresa asociada B. Como se muestra en Figura 5-4, se utilizan PC1 y
PC2 por dos empleados de las empresas asociadas A y B, respectivamente, y PC3 es utilizado
por un empleado de I+D de la empresa. Los requisitos son los siguientes:
l Los recursos VLAN necesitan ser guardados.

l Los empleados de las empresas asociadas A y B no pueden comunicarse entre sí.
l Los empleados de las empresas asociadas A y B pueden comunicarse con los empleados
de la empresa.

Figura 5-4 Diagrama de redes para configurar el aislamiento del puerto
Router
Switch
GE1/0/1 GE1/0/3
Port isolation
group
PC1 PC2 GE1/0/2

PC3
10.10.10.1/24 10.10.10.2/24 10.10.10.3/24
Empleados de Empleados de Empleados de
la empresa la empresa
la empresa
asociada A asociada B
VLAN 10

1. Agregue interfaces a una VLAN.
2. Agregue las interfaces a un grupo de aislamiento de puertos para implementar el
aislamiento de Capa 2 entre estas interfaces. El modo de aislamiento del puerto
predeterminado es el aislamiento de Capa 2 y el interfuncionamiento de Capa 3.
Procedimiento
Paso 1 Configure el aislamiento del puerto.
# Configure el aislamiento del puerto en GE1/0/1.
[Switch] vlan 10
interfaz de GE1/0/1 a acceso.
[Switch-GigabitEthernet1/0/1] port default vlan 10 //Agregue GE1/0/1 a VLAN 10.
[Switch-GigabitEthernet1/0/1] port-isolate enable //Por defecto, la interfaz se
agrega al grupo de aislamiento de puerto 1 y el modo de aislamiento de puerto es
el aislamiento de Capa 2 y el interfuncionamiento de Capa 3. Puedes ejecutar el
comando port-isolate mode all para establecer el modo de aislamiento del puerto
en aislamiento de Capa 2 y Capa 3.
# Configure el aislamiento del puerto en GE1/0/2.


[Switch-GigabitEthernet1/0/2] port-isolate enable //Por defecto, la interfaz se
agrega al grupo de aislamiento de puerto 1 y el modo de aislamiento de puerto es
el aislamiento de Capa 2 y el interfuncionamiento de Capa 3. Puede ejecutar el
comando port-isolate mode all para establecer el modo de aislamiento del puerto
en el aislamiento de Capa 2 y Capa 3.
# Agregue GE1/0/3 a VLAN 10.


# PC1 y PC2 no pueden comunicarse entre sí.
# PC1 y PC3 pueden comunicarse entre sí.
# PC2 y PC3 pueden comunicarse entre sí.
----Fin
#
sysname Switch
#
vlan batch 10
#
port-isolate enable group 1
#
port-isolate enable group 1
#
#
return

Ejemplos típicos de configuración 6 Configuración típica de conmutación Ethernet
6 Configuración típica de conmutación

Ethernet
6.1 Configuración típica de MAC

6.2 Configuración de agregación de enlaces
6.3 Configuración típica de VLAN
6.4 Configuración típica de QinQ
6.5 Ejemplos típicos de MSTP/RRPP/SEP/VBST
6.6 Configuración típica de detección de loopback
6.1 Configuración típica de MAC
6.1.1 Ejemplo para configurar entradas de direcciones MAC

estáticas
Las entradas de direcciones MAC se generan automáticamente cuando el switch aprende las
direcciones MAC de origen de los paquetes. Las entradas de direcciones MAC estáticas se
configuran manualmente.
Un administrador de red agrega manualmente entradas de direcciones MAC de los usuarios
autorizados a la tabla de direcciones MAC. Las entradas de direcciones MAC estáticas a
menudo se usan para evitar que usuarios no autorizados intercepten datos de los usuarios
autorizados.
Si se configura manualmente una gran cantidad de entradas de direcciones MAC estáticas, el
mantenimiento de la red puede ser difícil. Puede habilitar la seguridad del puerto para vincular
dinámicamente las direcciones MAC a las interfaces.

Requisitos de redes
En Figura 6-1, el servidor conecta al switch a través de GE1/0/2. Para evitar que el cambio
difunda los paquetes destinados al servidor, la entrada de la dirección MAC estática del
servidor debe configurarse en el switch. Esto asegura que el switch envía por unidifusión los
paquetes destinados al servidor a través de GE1/0/2. La dirección MAC del PC está ligada
estáticamente a GE1/0/1 para garantizar una comunicación segura entre el PC y el servidor.
Figura 6-1 Redes para configurar entradas de direcciones MAC estáticas
Red
Switch
GE1/0/1 GE1/0/2
VLAN 2
PC:2-2-2 Servidor:4-4-4

1. Cree una VLAN en el switch y agregue una interfaz a la VLAN para implementar el
reenvío de Capa 2.
2. Configure la entrada de dirección MAC estática del servidor en el switch.
3. Configure la entrada de dirección MAC estática del PC en el switch.
Procedimiento
Paso 1 Cree VLAN 2 en el switch y agregue GE1/0/1 y GE1/0/2 para VLAN 2.
[Switch] vlan batch 2 //Cree VLAN 2.
[Switch-GigabitEthernet1/0/1] port link-type access //La interfaz conectada al
PC debe ser la interfaz de acceso. El tipo de enlace predeterminado de una
interfaz no es el de acceso, por lo que debe configurar manualmente la interfaz
de acceso.
[Switch] interface gigabitethernet 1/0/2 //La configuración de GE1/0/2 es

similar a GE1/0/1.
Paso 2 Configure la entrada de dirección MAC estática del servidor en el switch.

[Switch] mac-address static 4-4-4 gigabitethernet 1/0/2 vlan 2
Paso 3 Configure la entrada de dirección MAC estática del PC en el switch.

[Switch] mac-address static 2-2-2 gigabitethernet 1/0/1 vlan 2
# Ejecuta el comando display mac-address static vlan 2 en cualquier vista para verificar si
las entradas de direcciones MAC estáticas se agregaron con éxito a la tabla de direcciones
MAC.
[Switch] display mac-address static vlan 2
-------------------------------------------------------------------------------
MAC Address VLAN/VSI Learned-From Type
-------------------------------------------------------------------------------
0002-0002-0002 2/- GE1/0/1 static
0004-0004-0004 2/- GE1/0/2 static
-------------------------------------------------------------------------------
Total items displayed = 2
----Fin
#
sysname Switch
#
vlan batch 2
#
port default vlan 2
#
port default vlan 2
#
mac-address static 0002-0002-0002 GigabitEthernet1/0/1 vlan 2
mac-address static 0004-0004-0004 GigabitEthernet1/0/2 vlan 2
#
return
6.1.2 Ejemplo para configurar entradas de direcciones MAC de

Blackhole
Las entradas de dirección MAC de Blackhole se pueden usar para prevenir ataques desde los
usuarios no autorizados. El switch descarta paquetes desde o destinados a direcciones MAC
de agujero negro.

Requisitos de redes
Como se muestra en Figura 6-2, el switch recibe un paquete de una PC no autorizada cuya
dirección MAC es de 0005-0005-0005 y pertenece a VLAN 3. Esta dirección MAC se puede
configurar como una dirección MAC negra para filtrar los paquetes desde el usuario no
autorizado.
Figura 6-2 Redes para configurar entradas de direcciones MAC de agujero negro
Usuario no
MAC Address VLAN ID
5-5-5 3 autorizado
Switch
Usuario Usuario Usuario

autorizado 1 autorizado 2 autorizado 3

1. Cree una VLAN para implementar el reenvío de Capa 2.
2. Configure una dirección MAC negra para bloquear paquetes desde esta dirección MAC.
Procedimiento
Paso 1 Configure una entrada de dirección MAC de agujero negro.
[Switch] vlan 3 //Cree VLAN 3.
[Switch-vlan3] quit
[Switch] mac-address blackhole 0005-0005-0005 vlan 3 //Configure la dirección
MAC 0005-0005-0005 como la dirección MAC de blackhole en VLAN 3.

# Ejecute el comando display mac-address blackhole en cualquier vista para verificar si la
entrada de la dirección MAC de agujero negro se ha agregado correctamente a la tabla de
direcciones MAC.
[Switch] display mac-address blackhole
-------------------------------------------------------------------------------
MAC Address VLAN/VSI Learned-From Type
-------------------------------------------------------------------------------
0005-0005-0005 3/- - blackhole

-------------------------------------------------------------------------------
Total items displayed = 1
----Fin
#
sysname Switch
#
vlan batch 3
#
mac-address blackhole 0005-0005-0005 vlan 3
#
return
6.1.3 Ejemplo para configurar la limitación de la dirección MAC

en una VLAN
El switch limita el número de las entradas de direcciones MAC basadas en VLAN o
interfaces. En las oficinas donde los clientes rara vez cambian, puede configurar la limitación
de la dirección MAC para controlar el acceso de los usuarios. Esto puede proteger contra
ciertos ataques. Por ejemplo, si un atacante falsifica una gran cantidad de paquetes con
diferentes direcciones MAC de origen y envía los paquetes al dispositivo, se pueden agotar las
entradas de direcciones MAC finitas en la tabla de direcciones MAC del dispositivo. Cuando
la tabla de direcciones MAC está llena, el dispositivo no puede aprender las direcciones MAC
de origen de los paquetes válidos. Como resultado, el dispositivo difunde los paquetes
válidos, desperdiciando recursos de ancho de banda.
La limitación de direcciones MAC en una VLAN puede limitar el número de las entradas de
direcciones MAC en múltiples interfaces en una VLAN.
l Después de que el comando port-security enable esté configurado en una interfaz, la
limitación de la dirección MAC no puede tener efecto en la interfaz. No configure la
seguridad del puerto y la limitación de la dirección MAC en la misma interfaz
simultáneamente.
l Una vez que el número de las entradas de direcciones MAC aprendidas alcanza el límite,
las tarjetas SA de la serie S y F de los dispositivos de chasis y dispositivos de caja
(excluyendo S5320EI) no pueden descartar paquetes con direcciones MAC de origen
inexistentes.
Requisitos de redes
En Figura 6-3, la red 1 de usuario está conectada a GE1/0/1 del switch a través de LSW1, la
red 2 de usuario está conectada a GE1/0/2 del switch a través de LSW2, y GE1/0/1 y GE1/0/2
pertenecen a la VLAN 2. Para controlar el número de los usuarios de acceso, configure la
limitación de la dirección MAC en la VLAN 2.

Figura 6-3 Redes de la limitación de la dirección MAC en una VLAN
Red
Switch
GE1/0/1 GE1/0/2
LSW1 LSW2
Red de Red de
usuario 1 VLAN 2 usuario 2

1. Cree una VLAN y agregue interfaces a la VLAN para implementar el reenvío de Capa 2.
2. Configure la limitación de direcciones MAC en una VLAN para evitar ataques de
direcciones MAC y controlar el número de los usuarios de acceso.
Procedimiento
Paso 1 Cree VLAN 2 y agregue GE1/0/1 y GE1/0/2 para VLAN 2.
[Switch-GigabitEthernet1/0/1] port link-type trunk //Configure el tipo de
enlace de la interfaz como troncal.
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 2 //Agregue GE1/0/1 a
VLAN 2.
[Switch] interface gigabitethernet 1/0/2 //La configuración de GE1/0/2 es
similar a la configuración de of GE1/0/1.
[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 2
Paso 2 Configure la siguiente regla de la limitación de la dirección MAC en la VLAN 2: Se puede

aprender un máximo de 100 direcciones MAC. Cuando el número de las entradas de
direcciones MAC aprendidas alcanza el límite, el dispositivo reenvía los paquetes con nuevas
entradas de dirección MAC de origen y genera una alarma.
[Switch] vlan 2
[Switch-vlan2] mac-limit maximum 100 action forward //La acción predeterminada
tomada para los paquetes en diferentes versiones es diferente. Se recomienda
configurar manualmente la acción. La función de alarma está habilitada de manera
predeterminada, por lo que no debe configurar la función de alarma manualmente.
[Switch-vlan2] quit


# Ejecute el comando display mac-limit en cualquier vista para verificar si la regla de la
limitación de la dirección MAC está configurada correctamente.
[Switch] display mac-limit
MAC limit is enabled
Total MAC limit rule count : 1
PORT VLAN/VSI SLOT Maximum Rate(ms) Action Alarm

----------------------------------------------------------------------------
- 2 - 100 - forward enable
----Fin
#
sysname Switch
#
vlan batch 2
#
vlan 2
mac-limit maximum 100 action forward
#
#
#
return
6.1.4 Ejemplo para configurar la limitación de la dirección MAC

en una interfaz
El switch limita el número de las entradas de direcciones MAC basadas en VLAN o
interfaces. En las oficinas donde los clientes rara vez cambian, puede configurar la limitación
de la dirección MAC para controlar el acceso de los usuarios. Esto puede proteger contra
ciertos ataques. Por ejemplo, si un atacante falsifica una gran cantidad de paquetes con
diferentes direcciones MAC de origen y envía los paquetes al dispositivo, se pueden agotar las
entradas de direcciones MAC finitas en la tabla de direcciones MAC del dispositivo. Cuando
la tabla de direcciones MAC está llena, el dispositivo no puede aprender las direcciones MAC
de origen de los paquetes válidos. Como resultado, el dispositivo difunde los paquetes
válidos, desperdiciando recursos de ancho de banda.
La limitación de direcciones MAC en una interfaz se puede usar en escenarios donde los
usuarios conectados a una interfaz en pequeñas y medianas empresas son fijos y rara vez
cambian.
l Después de configurar port-security enable en una interfaz, la limitación de la dirección
MAC no se puede configurar en la interfaz.

Requisitos de redes
En Figura 6-4, la red 1 de usuario y la red 2 de usuario se conectan al switch a través del
LSW, y GE1/0/1 del switch se conecta al LSW. La red 1 de usuario y la red 2 de usuario
pertenecen a VLAN 10 y a VLAN 20, respectivamente. En el switch, la limitación de la
dirección MAC se puede configurar en GE1/0/1 para controlar el número de los usuarios de
acceso.
Figura 6-4 Redes de la limitación de la dirección MAC en una interfaz
Red
Switch
GE1/0/1
LSW
Red de Red de
usuario 1 usuario 2
VLAN 10 VLAN 20

1. Cree VLAN y agregue interfaces a las VLAN para implementar el reenvío de Capa 2.
2. Configure la limitación de la dirección MAC en una interfaz para controlar el número de
los usuarios de acceso.
Procedimiento
Paso 1 Cree VLAN 10 y VLAN 20 y agregue GE1/0/1 a VLAN 10 y VLAN 20.
[Switch] vlan batch 10 20 //Cree VLAN 10 y VLAN 20.
[Switch-GigabitEthernet1/0/1] port link-type trunk //Configure el tipo de
enlacen de interfaz como Trunk
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 20 //Agrugue
GE1/0/1 a VLAN 10 y VLAN 20.

Paso 2 Configure el switch para obtener un máximo de 100 entradas de direcciones MAC en
GE1/0/1. Cuando el número de las entradas de direcciones MAC aprendidas alcanza el límite,
el switch descarta los paquetes con nuevas entradas de dirección MAC de origen y genera una
alarma.
[Switch-GigabitEthernet1/0/1] mac-limit maximum 100 action discard //La acción
predeterminada tomada para los paquetes en diferentes versiones es diferente. Se
le aconseja que especifique manualmente la acción. La función de alarma está
habilitada de manera predeterminada, por lo que no necesita especificarla
manualmente.
# Ejecute el comando display mac-limit en cualquier vista para verificar si la regla de la

limitación de la dirección MAC está configurada correctamente.
[Switch] display mac-limit
MAC limit is enabled
Total MAC limit rule count : 1
PORT VLAN/VSI SLOT Maximum Rate(ms) Action Alarm

----------------------------------------------------------------------------
GE1/0/1 - - 100 - discard enable
----Fin
#
sysname Switch
#
vlan batch 10 20
#
port trunk allow-pass vlan 10 20
mac-limit maximum 100
#
return
6.2 Configuración de agregación de enlaces
6.2.1 Ejemplo para configurar agregación de enlaces en modo

manual cuando los switches están conectados directamente
La agregación de enlaces de Ethernet aumenta el ancho de banda del enlace agrupando varios
enlaces físicos para formar un enlace lógico. La agregación de enlaces puede funcionar en
modo manual o en modo de Protocolo de control de agregación de enlaces (LACP).
En modo manual, se debe crear manualmente un Eth-Trunk y agregar interfaces de miembro

al Eth-Trunk. En este modo, LACP no es necesario. Si se requiere un alto ancho de banda de
enlace entre dos dispositivos conectados directamente, pero el dispositivo remoto no es

compatible con LACP, puede usar el modo manual. El modo manual puede aumentar el ancho
de banda, mejorar la confiabilidad e implementar el equilibrio de carga.
En modo manual, todos los enlaces activos reenvían datos y equilibran tráfico de carga.
l Las interfaces de miembro de un Eth-Trunk deben usar el mismo tipo y velocidad de
Ethernet.
l Ambos dispositivos del Eth-Trunk deben usar la misma cantidad de interfaces físicas,
velocidad de interfaz, modo dúplex y modo de control de flujo.
l Si se agrega una interfaz del dispositivo local a un Eth-Trunk, una interfaz del
dispositivo remoto conectado directamente a la interfaz del dispositivo local también se
debe agregar a un Eth-Trunk. De lo contrario, los dos extremos no pueden comunicarse.
l Ambos dispositivos de un Eth-Trunk deben usar el mismo modo de agregación de
enlaces.
l Este ejemplo se aplica a todas las versiones y productos.
Requisitos de redes
En Figura 6-5, SwitchA y SwitchB se conectan a dispositivos en VLAN 10 y VLAN 20 a
través de enlaces de Ethernet, y el tráfico pesado se transmite entre SwitchA y SwitchB.
SwitchA y SwitchB pueden proporcionar mayor ancho de banda de enlace para implementar
comunicación entre VLAN. La transmisión de datos y la fiabilidad del enlace deben estar
garantizadas.
Figura 6-5 Redes para configurar la agregación de enlaces en modo manual
VLAN 10 VLAN 10
GE1/0/4 GE1/0/1 GE1/0/4

GE1/0/1
SwitchA GE1/0/2 Eth-Trunk GE1/0/2 SwitchB
GE1/0/3 GE1/0/3
GE1/0/5 Eth-Trunk 1 Eth-Trunk 1 GE1/0/5
VLAN 20 VLAN 20

1. Cree un Eth-Trunk y agregue interfaces de miembro al Eth-Trunk para aumentar el
ancho de banda del enlace.
2. Cree las VLAN y agregue interfaces a las VLAN.

3. Ajuste el modo de equilibrio de carga para garantizar que el tráfico esté equilibrado de
carga entre las interfaces de miembro de Eth-Trunk y mejore la confiabilidad.
Procedimiento
Paso 1 Cree un Eth-Trunk en SwitchA y SwitchB y agregue interfaces de miembro al Eth-Trunk.
[SwitchA] interface eth-trunk 1 //Cree Eth-Trunk 1.
[SwitchA-Eth-Trunk1] trunkport gigabitethernet 1/0/1 to 1/0/3 //Agregue
GE1/0/1, GE1/0/2, and GE1/0/3 to Eth-Trunk 1.
[SwitchA-Eth-Trunk1] quit
[SwitchB] interface eth-trunk 1 //Cree Eth-Trunk 1.
[SwitchB-Eth-Trunk1] trunkport gigabitethernet 1/0/1 to 1/0/3 //Agregue
GE1/0/1, GE1/0/2, and GE1/0/3 to Eth-Trunk 1.
[SwitchB-Eth-Trunk1] quit
Paso 2 Cree las VLAN y agregue interfaces a las VLAN.

# Cree VLAN 10 y VLAN 20 y agrégueles interfaces. La configuración de SwitchB es similar
a la configuración de SwitchA, y no se menciona aquí.
[SwitchA] vlan batch 10 20
[SwitchA-GigabitEthernet1/0/4] port link-type trunk //Configure la interfaz
como una interfaz Trunk. El tipo de enlace por defecto de una interfaz no es
Trunk.
[SwitchA-GigabitEthernet1/0/4] port trunk allow-pass vlan 10
Trunk.
# Configure Eth-Trunk 1 para permitir que los paquetes de VLAN 10 y VLAN 20 pasen. La
configuración de SwitchB es similar a la configuración de SwitchA, y no se menciona aquí.
[SwitchA] interface eth-trunk 1
[SwitchA-Eth-Trunk1] port link-type trunk //Configure la interfaz como una
interfaz Trunk. El tipo de enlace por defecto de una interfaz no es Trunk.
[SwitchA-Eth-Trunk1] port trunk allow-pass vlan 10 20
Paso 3 Ajuste el modo de balanceo de carga de Eth-Trunk 1. La configuración de SwitchB es similar

[SwitchA-Eth-Trunk1] load-balance src-dst-mac //Configure el equilibrio de
carga en base a las direcciones MAC de origen y destino en Eth-Trunk 1.

Ejecute el comando display eth-trunk 1 en cualquier vista para verificar si se ha creado Eth-
Trunk y si se han agregado las interfaces de miembro.
[SwitchA] display eth-trunk 1
Eth-Trunk1's state information is:
WorkingMode: NORMAL Hash arithmetic: According to SA-XOR-DA
Least Active-linknumber: 1 Max Bandwidth-affected-linknumber: 8
Operate status: up Number Of Up Port In Trunk: 3
--------------------------------------------------------------------------------
PortName Status Weight

GigabitEthernet1/0/1 Up 1
La información anterior muestra que Eth-Trunk 1 contiene tres interfaces de miembro:

GigabitEthernet1/0/1, GigabitEthernet1/0/2, y GigabitEthernet1/0/3. El estado de las
interfaces de miembro es de Up y el valor de Operate status del Eth-Trunk 1 es de up.
----Fin
#
sysname SwitchA
#
vlan batch 10 20
#
load-balance src-dst-mac
#
eth-trunk 1
#
eth-trunk 1
#
eth-trunk 1
#
#
#
return

#
sysname SwitchB
#
vlan batch 10 20
#
load-balance src-dst-mac
#
eth-trunk 1
#
eth-trunk 1
#
eth-trunk 1
#
#


#
return
6.2.2 Ejemplo para configurar agregación de enlace en modo

LACP cuando los switches están conectados directamente
La agregación de enlaces de Ethernet aumenta el ancho de banda del enlace agrupando varios
enlaces físicos para formar un enlace lógico. La agregación de enlaces puede funcionar en
modo manual o en modo de Protocolo de control de agregación de enlaces (LACP).
Si se requiere un alto ancho de banda de enlace entre dos dispositivos conectados

directamente y los dispositivos son compatibles con LACP, se recomienda el modo LACP. El
modo LACP aumenta el ancho de banda, mejora la confiabilidad, implementa el equilibrio de
carga, mejora la tolerancia a fallas de Eth-Trunk y proporciona la copia de seguridad.
En el modo LACP, algunos enlaces son enlaces activos y otros enlaces son enlaces de reserva.
Todos los enlaces activos participan en el reenvío de datos. Si un enlace activo se vuelve
defectuoso, se selecciona un enlace de reserva para reemplazar el enlace defectuoso. Es decir,
la cantidad de enlaces que participan en el reenvío de datos permanece sin cambios.
l Las interfaces de miembro de un Eth-Trunk deben usar el mismo tipo y velocidad de
Ethernet.
l Ambos dispositivos de Eth-Trunk deben usar la misma cantidad de interfaces físicas,
velocidad de interfaz, modo dúplex y modo de control de flujo.
l Si se agrega una interfaz del dispositivo local a un Eth-Trunk, una interfaz del
dispositivo remoto conectado directamente a la interfaz del dispositivo local también se
debe agregar a un Eth-Trunk. De lo contrario, los dos extremos no pueden comunicarse.
l Ambos dispositivos de un Eth-Trunk deben usar el mismo modo de agregación de
enlaces.
Requisitos de redes
En Figura 6-6, SwitchA y SwitchB se conectan a dispositivos en VLAN 10 y VLAN 20 a
través de enlaces de Ethernet, y el tráfico pesado se transmite entre SwitchA y SwitchB. El
enlace entre SwitchA y SwitchB es necesario para proporcionar un gran ancho de banda para
implementar la comunicación entre VLAN. La agregación de enlaces en modo LACP está
configurada en SwitchA y SwitchB para mejorar el ancho de banda y la confiabilidad. Se
deben cumplir los siguientes requisitos:
l Dos enlaces activos implementan el equilibrio de carga.

l Un enlace funciona como enlace de reserva. Cuando ocurre una falla en un enlace activo,
el enlace de reserva reemplaza el enlace defectuoso para mantener una transmisión de
datos confiable.
l Los dispositivos en la misma VLAN se pueden comunicar.

Figura 6-6 Diagrama de redes para configurar la agregación de enlaces en modo LACP
VLAN 10 VLAN 10
GE1/0/4 GE1/0/1 GE1/0/1 GE1/0/4

SwitchA GE1/0/2 Eth-Trunk GE1/0/2 SwitchB
GE1/0/3 GE1/0/3
GE1/0/5 Eth-Trunk 1 Eth-Trunk 1 GE1/0/5
VLAN 20 VLAN 20
Enlace activo
Enlace de
reserva

1. Cree un Eth-Trunk y configure el Eth-Trunk para que funcione en modo LACP para
implementar la agregación de enlaces.
2. Agregue interfaces de miembro al Eth-Trunk.
3. Ajuste la prioridad del sistema LACP y determine el Actor para que el Partner seleccione
las interfaces activas según la prioridad de la interfaz Actor.
4. Ajuste el umbral superior para la cantidad de interfaces activas para mejorar la
confiabilidad.
5. Ajuste las prioridades de la interfaz LACP y determine las interfaces activas para que las
interfaces con prioridades más altas se seleccionen como interfaces activas.
6. Cree las VLAN y agregue interfaces a las VLAN.
Procedimiento
Paso 1 Cree Eth-Trunk 1 en SwitchA y configure Eth-Trunk 1 para que funcione en modo LACP. La
configuración de SwitchB es similar a la de SwitchA, y no se menciona aquí.
[SwitchA] interface eth-trunk 1 //Cree Eth-Trunk 1.
[SwitchA-Eth-Trunk1] mode lacp //Configure la agregación de enlaces en modo
LACP.
Paso 2 # Agregue interfaces de miembro en SwitchA a Eth-Trunk 1. La configuración de SwitchB es

similar a la configuración de SwitchA, y no se menciona aquí.
[SwitchA-GigabitEthernet1/0/1] eth-trunk 1 //Agregue GE1/0/1 to Eth-Trunk 1.


Paso 3 Ajuste la prioridad LACP del sistema de SwitchA a 100 para que SwitchA se vuelva en Actor.
[SwitchA] lacp priority 100 //La prioridad LACP del sistema por defecto es de
32768. Cambie la prioridad LACP de SwitchA para que sea más alta que la de
SwitchB para que SwitchA funcione como Actor.
Paso 4 En SwitchA, ajuste el umbral superior para la cantidad de interfaces activas a 2.

[SwitchA-Eth-Trunk1] max active-linknumber 2 //El umbral superior por defecto
para el número de las interfaces activas en el LAG es de 8. Cambie el umbral
superior para el número de las interfaces activas a 2.
Paso 5 Ajuste la prioridad LACP de la interfaz y determine los enlaces activos en SwitchA.
[SwitchA-GigabitEthernet1/0/1] lacp priority 100 //La prioridad LACP del
sistema por defecto es de 32768. Cambie la prioridad LACP de GE1/0/1 a 100 para
que GE1/0/1 sirva como la interfaz activa.
[SwitchA-GigabitEthernet1/0/2] lacp priority 100 //La prioridad LACP del
sistema por defecto es de 32768. Cambie la prioridad LACP de GE1/0/2 to 100 so
that GE1/0/2 sirva como la interfaz activa.
Paso 6 Cree las VLAN y agregue interfaces a las VLAN.

# Cree VLAN 10 y VLAN 20 y agrégueles interfaces. La configuración de SwitchB es similar
Trunk.
Trunk.
# Configure Eth-Trunk 1 para permitir que los paquetes de VLAN 10 y VLAN 20 pasen. La
configuración de SwitchB es similar a la configuración de SwitchA, y no se menciona aquí.
[SwitchA-Eth-Trunk1] port link-type trunk //Configure la interfaz como una
interfaz Trunk. El tipo de enlace por defecto de una interfaz no es Trunk.

# Verifique la información sobre Eth-Trunk en cada Switch y verifique si la negociación del
enlace es exitosa.
Local:
LAG ID: 1 WorkingMode: LACP
Preempt Delay: Disabled Hash arithmetic: According to SIP-XOR-DIP
System Priority: 100 System ID: 00e0-fca8-0417
Least Active-linknumber: 1 Max Active-linknumber: 2


--------------------------------------------------------------------------------
ActorPortName Status PortType PortPri PortNo PortKey
PortState Weight
GigabitEthernet1/0/1 Selected 1GE 100 6145 2865
11111100 1
11111100 1
GigabitEthernet1/0/3 Unselect 1GE 32768 6147 2865
11100000 1
Partner:
--------------------------------------------------------------------------------
ActorPortName SysPri SystemID PortPri PortNo PortKey
PortState
GigabitEthernet1/0/1 32768 00e0-fca6-7f85 32768 6145
2609 11111100
2609 11111100
2609 11110000
[SwitchB] display eth-trunk 1
Local:
LAG ID: 1 WorkingMode: LACP
Preempt Delay: Disabled Hash arithmetic: According to SIP-XOR-DIP
System Priority: 32768 System ID: 00e0-fca6-7f85
Least Active-linknumber: 1 Max Active-linknumber: 8
--------------------------------------------------------------------------------
ActorPortName Status PortType PortPri PortNo
PortKey PortState Weight
11111100 1
11111100 1
GigabitEthernet1/0/3 Unselect 1GE 32768 6147 2609
11110000 1
Partner:
--------------------------------------------------------------------------------
ActorPortName SysPri SystemID PortPri PortNo
PortKey PortState
GigabitEthernet1/0/1 100 00e0-fca8-0417 100 6145
2865 11111100
2865 11111100
2865 11100000
La información anterior muestra que la prioridad del sistema LACP de SwitchA es de 100 y
es más alta que la prioridad LACP del sistema de SwitchB. GigabitEthernet1/0/1 y
GigabitEthernet1/0/2 son interfaces activas y se queda bajo el estado Selected.
GigabitEthernet1/0/3 se queda bajo el estado Unselect. Además, se implementan el equilibrio
de carga y la redundancia.
----Fin
#
sysname SwitchA
#
vlan batch 10 20
#
lacp priority 100

#
mode lacp
max active-linknumber 2
#
eth-trunk 1
lacp priority 100
#
eth-trunk 1
lacp priority 100
#
eth-trunk 1
#
#
#
return

#
sysname SwitchB
#
vlan batch 10 20
#
mode lacp
#
eth-trunk 1
#
eth-trunk 1
#
eth-trunk 1
#
#
#
return
6.2.3 Ejemplo para conectar un E-Trunk a una red de VPLS
Enhanced Trunk (E-Trunk) es una extensión de LACP (un protocolo de agregación de enlaces
para un solo dispositivo) e implementa la agregación de enlaces entre múltiples dispositivos.
E-Trunk logra la confiabilidad del enlace a nivel del dispositivo pero no la confiabilidad del
enlace a nivel de la tarjeta.

Cuando un CE esté dual-homed a una red VPLS, VLL o PWE3, se puede configurar un E-
Trunk para proteger los enlaces entre el CE y los PE e implementar la copia de seguridad
entre los PE. Si no se configura ningún E-Trunk, se puede conectar un CE a solo un PE
usando un Eth-Trunk. Si el Eth-Trunk o el PE falla, el CE no puede comunicarse con el PE.
Después de que se utilice el E-Trunk, el CE puede estar dual-homed a dos PE para
implementar la copia de seguridad.
l Los dispositivos deben usar la agregación de enlaces en modo LACP.
l En Figura 6-7, la configuración del E-Trunk en PE1 y en PE2 debe ser la misma. Los
Eth-Trunks entre PE1 y CE1 y entre PE2 y CE1 deben usar la misma velocidad y el
mismo modo dúplex (los valores clave deben ser los mismos) y unirse al mismo E-
Trunk. Después de que los Eth-Trunks se agreguen al E-Trunk, asegúrese de que las
prioridades de LACP y los IDs del sistema de PE1 y PE2 sean los mismos. En CE1, las
interfaces conectadas directamente a PE1 y PE2 se deben agregar al mismo Eth-Trunk.
Eth-Trunk puede tener un ID de Eth-Trunk distinto al de los PE. Por ejemplo, el CE está
configurado con Eth-Trunk 20, mientras que ambos PE están configurados con Eth-
Trunk 10.
l Debe especificar una dirección IP (se recomienda una dirección de loopback) para cada
PE para garantizar la conectividad de Capa 3. Asegúrese de que la dirección IP del otro
extremo de un PE sea la dirección IP local del otro PE.
l El E-Trunk debe estar vinculado a una sesión BFD.
l Debe ajustar la misma contraseña del paquete de protocolo para PE1 y PE2.
l Tabla 6-1 Modelos de productos y versiones aplicables
Producto Modelo del producto Versión del software
S5300 S5300HI V200R001(C00&C01),

V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320EI V200R007C00, V200R008C00,

V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01),

V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S6320EI V200R008C00, V200R009C00,

V200R010C00, V200R011C10,
V200R012C00
S6320HI V200R012C00

S9300 S9303, S9306 y S9312 V200R001C00, V200R002C00,

V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10,

V200R012C00
S9300X S9310X V200R010C00, V200R011C10,

V200R012C00
S9300E S9300E V200R001C00, V200R002C00,

V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Requisitos de redes
Si no se configura ningún E-Trunk, se puede conectar un CE a solo un PE usando un Eth-
Trunk. Si el Eth-Trunk o el PE falla, el CE no puede comunicarse con el PE. Después de que
se configure un E-Trunk, el CE puede estar dual-homed para PE. E-Trunk logra la
confiabilidad del enlace a nivel del dispositivo pero no la confiabilidad del enlace a nivel de la
tarjeta.
En Figura 6-7, CE1 es conectado a PE1 y PE2 usando dos Eth-Trunks en modo LACP y está
dual-homed a una red VPLS.
Inicialmente, CE1 se comunica con CE2 en la red VPLS a través de PE1. Si PE1 o Eth-Trunk
entre CE1 y PE1 falla, CE1 no se puede comunicar con CE2. Para evitar la interrupción del
servicio, configure un E-Trunk en PE1 y PE2. Cuando falla la comunicación entre CE1 y PE1,
el tráfico cambia a PE2 para que CE1 pueda comunicarse con CE2 a través de PE2. Cuando
se recupere PE1 o Eth-Trunk entre CE1 y PE1, el tráfico vuelve a ser cambiado a PE1.
El E-Trunk implementa una copia de seguridad de los grupos de agregación de enlaces (LAG)
entre PE1 y PE2 y, por lo tanto, mejora la confiabilidad de la red.

Figura 6-7 Conexión de un E-Trunk a una red VPLS
Loopback1
PE1
Eth-Trunk10
/1
Eth-Trunk20 1/0 GE
GE /0/2 1/0
/1 1 /3 Loopback1
1/0 GE GE
GE /0/2 1/0
1 /1
GE PE3
E-Trunk1
GE GE1/0/3
CE1 GE1 1/0
/0/ /3 /0/2 CE2
4 G E1 GE1
/0/3
GE
1/0
/0/
1 GE1
/2
Eth-Trunk10
PE2
Loopback1
Switch Interfaz Interfaz de capa 3 Dirección IP
PE1 GigabitEthernet1/0/1 - -
- GigabitEthernet1/0/2 - -
- GigabitEthernet1/0/3 VLANIF 100 10.1.1.1/24
- Loopback1 - 1.1.1.9/32
PE2 GigabitEthernet1/0/1 - -
- Loopback1 - 2.2.2.9/32
PE3 GigabitEthernet1/0/1 VLANIF 100 10.1.1.2/24
- GigabitEthernet1/0/3 GigabitEthernet1/0/3.1 -
- Loopback1 - 3.3.3.9/32

Switch Interfaz Interfaz de capa 3 Dirección IP
CE1 GigabitEthernet1/0/1 - -
CE2 GigabitEthernet1/0/3 - -

1. Configure un E-Trunk.
– Cree Eth-Trunks en modo LACP entre CE1 y PE1 y entre CE1 y PE2. Agregue
interfaces de miembro a Eth-Trunks.
– Cree un E-Trunk en PE1 y PE2 y agregue los dos Eth-Trunks en modo LACP al E-
Trunk.
– Ajuste los parámetros de E-Trunk:
n Prioridad de E-Trunk
n ID del sistema LACP y prioridad de LACP del E-Trunk
n Intervalo al que se envían los paquetes de Hello
n Multiplicador de tiempo para detectar paquetes de Hello
n Direcciones IP del extremo local y remoto
– Enlace el E-Trunk a una sesión BFD.
2. Configure CE1 para conectarse a la red VPLS de la siguiente manera:
– Configure un protocolo de enrutamiento en la red de backbone para implementar el
interfuncionamiento entre dispositivos.
– Configure las funciones básicas de MPLS y el LDP.
– Habilite MPLS L2VPN en PE.
– Configure un VSI y especifique LDP como el protocolo de señalización.
– Cree subinterfaces de Eth-Trunk y vincule el VSI a las subinterfaces.
Procedimiento
Paso 1 Configure VLAN y direcciones IP de las interfaces del lado de PW según Figura 6-7.
Configure un protocolo de enrutamiento en la red de backbone para implementar el
interfuncionamiento entre dispositivos. OSPF se usa en este ejemplo.
# Configure el switch de agregación PE1.
[Quidway] sysname PE1
[PE1] vlan batch 100

[PE1] interface gigabitethernet 1/0/3

[PE1-GigabitEthernet1/0/3] port link-type trunk
[PE1-GigabitEthernet1/0/3] port trunk allow-pass vlan 100
[PE1-GigabitEthernet1/0/3] quit
[PE1] interface vlanif 100
[PE1-Vlanif100] ip address 10.1.1.1 24
[PE1-Vlanif100] quit
[PE1] interface loopback 1
[PE1-LoopBack1] ip address 1.1.1.9 32
[PE1-LoopBack1] quit
[PE1] ospf 1
[PE1-ospf-1] area 0
[PE1-ospf-1-area-0.0.0.0] network 1.1.1.9 0.0.0.0
[PE1-ospf-1-area-0.0.0.0] quit
[PE1-ospf-1] quit

[PE2] vlan batch 200
[PE2] ospf 1
[PE2-ospf-1] area 0
[PE2-ospf-1] quit

[PE3] vlan batch 100 200
[PE3] ospf 1
[PE3-ospf-1] area 0
[PE3-ospf-1] quit

Una vez completada la configuración, PE1, PE2 y PE3 usan OSPF para descubrir rutas de IP
a la interfaz Loopback1 de cada uno y pueden hacer ping entre sí. Ejecute el comando display
ip routing-table en PE1, PE2 y PE3 para determinar si los PE se han aprendido las rutas entre
sí.
NOTA
l La interfaz del lado AC y la interfaz del lado PW de un PE no se pueden agregar a la misma VLAN;
de lo contrario, puede ocurrir un bucle.
l Al configurar OSPF, configure PE1, PE2 y PE3 para anunciar direcciones de loopback de 32 bits.
Paso 2 Configure Eth-Trunks en modo LACP en el switch CE1, PE1 y PE2 del lado del usuario, y
agregue interfaces de miembro a Eth-Trunks. Configure el reenvío de Capa 2 en CE1.
# Configure CE1.
[Quidway] sysname CE1
[CE1] vlan batch 10
[CE1] interface eth-trunk 20 //Cree Eth-Trunk 20 e introduzca la vista de Eth-
Trunk 20.
[CE1-Eth-Trunk20] port link-type trunk //Establezca el tipo de enlace de la
interfaz al Trunk.
[CE1-Eth-Trunk20] port trunk allow-pass vlan 10 //Agregue Eth-Trunk 20 a VLAN 10.
[CE1-Eth-Trunk20] mode lacp //Configure Eth-Trunk 20 a funcionar en modo LACP.
[CE1-Eth-Trunk20] trunkport GigabitEthernet 1/0/1 to 1/0/4 //Agregue GE1/0/1 a
GE1/0/4 a Eth-Trunk20.
[CE1-Eth-Trunk20] quit
# Configure PE1.
[PE1] interface eth-trunk 10 //Cree Eth-Trunk 10 e introduzca la vista de Eth-
Trunk 10.
[PE1-Eth-Trunk10] port link-type trunk //Establezca el tipo de enlace de la
interfaz al Trunk.
[PE1-Eth-Trunk10] mode lacp //Configure Eth-Trunk 10 a funcionar en modo LACP.
[PE1-Eth-Trunk10] trunkport GigabitEthernet 1/0/1 to 1/0/2 //Agregue GE1/0/1 a
[PE1-Eth-Trunk10] quit
# Configure PE2.
[PE2] interface eth-trunk 10 //Cree Eth-Trunk 10 e introduzca la vista de Eth-
Trunk 10.
[PE2-Eth-Trunk10] port link-type trunk //Establezca el tipo de enlace de la
interfaz al Trunk.
[PE2-Eth-Trunk10] mode lacp //Configure Eth-Trunk 10 a funcionar en modo LACP.
[PE2-Eth-Trunk10] trunkport GigabitEthernet 1/0/1 to 1/0/2 //Agregue GE1/0/1 a
Paso 3 Cree un E-Trunk y ajuste la prioridad de LACP, el ID del sistema LACP, la prioridad de E-
Trunk, el multiplicador de tiempo para detectar paquetes de saludo, el intervalo al que se
envían los paquetes de saludo y las direcciones IP locales y remotas.
# Configure PE1.
[PE1] e-trunk 1 //Cree E-Trunk 1 e introduzca la vista de E-Trunk 1.
[PE1-e-trunk-1] quit
[PE1] lacp e-trunk priority 1 //Establezca la prioridad LACP de E-Trunk 1 a 1.
[PE1] lacp e-trunk system-id 00E0-FC00-0000 //Establezca el ID del sistema LACP
de E-Trunk 1 a 00E0-FC00-0000.
[PE1] e-trunk 1 //Introduzca la vista de E-Trunk 1.
[PE1-e-trunk-1] priority 10 //Establezca la prioridad de E-Trunk 1 a 10.
[PE1-e-trunk-1] timer hold-on-failure multiplier 3 //Establezca el multiplicador
de tiempo para detectar paquetes de saludo a 3.
[PE1-e-trunk-1] timer hello 9 //Establezca el intervalo al que se envían los

paquetes de saludo a 9 ms.

[PE1-e-trunk-1] peer-address 2.2.2.9 source-address 1.1.1.9 //Establezca la
dirección IP remota a 2.2.2.9 y la dirección IP local a 1.1.1.9.
# Configure PE2.
[PE2] e-trunk 1 //Cree Eth-Trunk 1 e ingresa en la vista de E-Trunk 1.
[PE2] lacp e-trunk priority 1 //Establezca la prioridad LACP de E-Trunk 1 a 1.
[PE2] lacp e-trunk system-id 00E0-FC00-0000 //Establezca el ID del sistema LACP
de E-Trunk 1 a 00E0-FC00-0000.
[PE2-e-trunk-1] priority 20 //Establezca la prioridad de E-Trunk 1 a 20.
[PE2-e-trunk-1] timer hold-on-failure multiplier 3 //Establezca el multiplicador
de tiempo para detectar paquetes de saludo a 3.
[PE2-e-trunk-1] timer hello 9 //Establezca el intervalo al que se envían los
paquetes de saludo a 9 ms.
[PE2-e-trunk-1] peer-address 1.1.1.9 source-address 2.2.2.9 //Establezca la
dirección IP remota a 1.1.1.9 y la dirección IP local a 2.2.2.9.
Paso 4 Agregue los Eth-Trunks en modo LACP al E-Trunk.
# Configure PE1.
[PE1] interface eth-trunk 10 //Introduzca la vista de E-Trunk 10.
[PE1-Eth-Trunk10] e-trunk 1 //Agregue Eth-Trunk 10 a E-Trunk 1.
# Configure PE2.
[PE2] interface eth-trunk 10 //Introduzca la vista de E-Trunk 10.
[PE2-Eth-Trunk10] e-trunk 1 //Agregue Eth-Trunk 10 a E-Trunk 1.
Paso 5 Enlace el E-Trunk a una sesión BFD.

l Cree una sesión BFD.
# Configure PE1.
[PE1] bfd //Habilite BFD.
[PE1-bfd] quit
[PE1] bfd hello1 bind peer-ip 2.2.2.9 source-ip 1.1.1.9 //Cree una sesión BFD
llamada hello1 y enlace la sesión BFD a la dirección IP remota 2.2.2.9 y la
dirección IP local 1.1.1.9.
[PE1-bfd-session-hello1] discriminator local 1 //Establezca el discriminador
local a 1.
[PE1-bfd-session-hello1] discriminator remote 2 //Establezca el discriminador
remoto a 2.
[PE1-bfd-session-hello1] commit //Confirme la configuración de la sesión BFD.
[PE1-bfd-session-hello1] quit
Las direcciones IP del extremo local y remoto de una sesión BFD deben ser las mismas
que las del E-Trunk.
# Configure PE2.
[PE2] bfd
[PE2-bfd] quit
[PE2] bfd hello2 bind peer-ip 1.1.1.9 source-ip 2.2.2.9 //Cree una sesión BFD
llamada hello2 y enlace la sesión BFD a la dirección IP remota 1.1.1.9 y la
dirección IP local 2.2.2.9.
[PE2-bfd-session-hello2] discriminator local 2 //Establezca el discriminador
local a 2.
[PE2-bfd-session-hello2] discriminator remote 1 //Establezca el discriminador
remoto a 1.
[PE2-bfd-session-hello2] commit //Confirme la configuración de la sesión BFD.
[PE2-bfd-session-hello2] quit

l Enlace el E-Trunk 1 a la sesión BFD.

# Configure PE1.
[PE1-e-trunk-1] e-trunk track bfd-session session-name hello1 //Enlace E-
Trunk 1 a la sesión BFD hello1.
# Configure PE2.
[PE2-e-trunk-1] e-trunk track bfd-session session-name hello2 //Enlace E-
Trunk 1 a la sesión BFD hello2.
Paso 6 Configure los PE para que CE1 pueda acceder a la red VPLS.
1. Configure las funciones básicas de MPLS y el LDP en PE1, PE2 y PE3.
# Configure PE1.
[PE1] mpls lsr-id 1.1.1.9 //Establezca el ID de LSR a 3.3.3.9.
[PE1] mpls //Habilite MPLS global.
[PE1-mpls] quit
[PE1] mpls ldp //Habilite LDP global.
[PE1-mpls-ldp] quit
[PE1-Vlanif100] mpls //Habilite MPLS en una interfaz.
[PE1-Vlanif100] mpls ldp //Habilite LDP en una interfaz.
# Configure PE2.
[PE2] mpls lsr-id 2.2.2.9 //Establezca el ID de LSR a 2.2.2.9.
[PE2-mpls] quit
[PE2-mpls-ldp] quit
# Configure PE3.
[PE3] mpls lsr-id 3.3.3.9 ////Establezca el ID de LSR a 3.3.3.9.
[PE3-mpls] quit
[PE3-mpls-ldp] quit
Una vez completada la configuración, ejecute el comando display mpls ldp session en
PE para determinar si el estado de la relación del otro extremo de LDP remota es
Operational. Esto indica que las sesiones remotas de LDP están creadas.
2. Habilite MPLS L2VPN en PE1, PE2 y PE3.
# Configure PE1.
[PE1] mpls l2vpn //Habilite MPLS L2VPN global.
[PE1-l2vpn] quit
# Configure PE2.
[PE2-l2vpn] quit

# Configure PE3.
[PE3-l2vpn] quit
3. Cree un VSI ldp1 en PE1, PE2 y PE3 y especifique LDP como el protocolo de
señalización en el VSI.
# Configure PE1.
[PE1] vsi ldp1 static //Cree una VSI llamada ldp1 y configure descubrimiento
de miembro estático.
[PE1-vsi-ldp1] pwsignal ldp //Establezca el modo de señalización a LDP.
[PE1-vsi-ldp1-ldp] vsi-id 2 //Establezca el ID de la VSI a 2.
[PE1-vsi-ldp1-ldp] peer 3.3.3.9 //Establezca la dirección del otro extremo
de la VSI a 3.3.3.9.
[PE1-vsi-ldp1-ldp] quit
[PE1-vsi-ldp1] quit
# Configure PE2.
[PE2-vsi-ldp1-ldp] vsi-id 2 //Set the ID of the VSI to 2.
[PE2-vsi-ldp1] quit
# Configure PE3.
[PE3-vsi-ldp1-ldp] vsi-id 2 //Establezca el ID de la VSI a 2.
[PE3-vsi-ldp1] quit
4. Configure las subinterfaces de Eth-Trunk en PE1 y PE2, y vincule el VSI a las

subinterfaces de Eth-Trunk.
# Configure PE1.
[PE1] interface Eth-Trunk 10.1 //Cree Eth-Trunk 10.1 e introduzca la vista de
Eth-Trunk 10.1.
[PE1-Eth-Trunk10.1] dot1q termination vid 10 //Establezca el ID de VLAN único
para la encapsulación dot1q en Eth-Trunk 10.1 a VLAN 10.
[PE1-Eth-Trunk10.1] l2 binding vsi ldp1 //Enlace Eth-Trunk 10.1 a la VSI ldp1.
[PE1-Eth-Trunk10.1] quit
# Configure PE2.
[PE2] interface Eth-Trunk 10.1 //Cree Eth-Trunk 10.1 e introduzca la vista de
Eth-Trunk 10.1.
[PE2-Eth-Trunk10.1] dot1q termination vid 10 //Establezca el ID de VLAN único
para la encapsulación dot1q en Eth-Trunk 10.1 a VLAN 10.
[PE2-Eth-Trunk10.1] l2 binding vsi ldp1 //Enlace Eth-Trunk 10.1 a la VSI ldp1.
[PE2-Eth-Trunk10.1] quit
5. Configure una subinterfaz en PE3 y vincule el VSI a la subinterfaz.

# Configure PE3.
[PE3] interface gigabitethernet 1/0/3.1 //Cree GE1/0/3.1 e introduzca la
vista de GE1/0/3.1.
[PE3-GigabitEthernet1/0/3.1] dot1q termination vid 10 //Establezca el ID de
VLAN único para la encapsulación dot1q en GE1/0/3.1 a VLAN 10.
[PE3-GigabitEthernet1/0/3.1] l2 binding vsi ldp1 //Enlace GE1/0/3.1 a la VSI
ldp1.
[PE3-GigabitEthernet1/0/3.1] quit


l Ejecute el comando display eth-trunk en CE1 para verificar la configuración de Eth-
Trunk.
l Ejecute el comando display e-trunk para verificar la información sobre el E-Trunk.
# Verifique la información sobre E-Trunk 1 en PE1.
[PE1] display e-trunk 1
The E-Trunk information
E-TRUNK-ID : 1 Revert-Delay-Time (s) : 120
Priority : 10 System-ID : 00e0-0f74-eb00
Peer-IP : 2.2.2.9 Source-IP : 1.1.1.9
State : Master Causation : PRI
Send-Period (100ms) : 9 Fail-Time (100ms) : 27
Receive : 41 Send : 42
RecDrop : 0 SndDrop : 0
Peer-Priority : 20 Peer-System-ID : 00e0-3b6c-6100
Peer-Fail-Time (100ms) : 27 BFD-Session : hello1
Description : -
Sequence : Enable
------------------------------------------------------------------------------
--
The Member
information
Type ID LocalPhyState Work-Mode State Causation Remote-
ID
Eth-Trunk 10 Up auto Master ETRUNK_MASTER 10
# Verifique la información sobre E-Trunk 1 en PE2.

[PE2] display e-trunk 1
The E-Trunk information
E-TRUNK-ID : 1 Revert-Delay-Time (s) : 120
Priority : 20 System-ID : 00e0-3b6c-6100
Peer-IP : 1.1.1.9 Source-IP : 2.2.2.9
State : Backup Causation : PRI
Send-Period (100ms) : 9 Fail-Time (100ms) : 27
Receive : 43 Send : 42
RecDrop : 3 SndDrop : 0
Peer-Priority : 10 Peer-System-ID : 00e0-0f74-eb00
Peer-Fail-Time (100ms) : 27 BFD-Session : hello2
Description : -
Sequence : Enable
------------------------------------------------------------------------------
--
The Member
information
Type ID LocalPhyState Work-Mode State Causation Remote-
ID
Eth-Trunk 10 Down auto Backup ETRUNK_BACKUP 10
La información anterior muestra que la prioridad de E-Trunk en PE1 es de 10, y el estado

de E-Trunk es Master; la prioridad de E-Trunk en PE2 es de 20 y el estado de E-Trunk
es Backup. La copia de seguridad del dispositivo está implementada.
----Fin
l Archivo de configuración del CE1
#
sysname CE1
#
vlan batch 10
#

mode lacp
#
eth-trunk 20
#
eth-trunk 20
#
eth-trunk 20
#
eth-trunk 20
#
return
l Archivo de configuración de PE1
#
sysname PE1
#
vlan batch 100
#
lacp e-trunk system-id 00e0-fc00-0000
lacp e-trunk priority 1
#
bfd
#
mpls lsr-id 1.1.1.9
mpls
#
mpls l2vpn
#
vsi ldp1 static
pwsignal ldp
vsi-id 2
peer 3.3.3.9
#
mpls ldp
#
interface Vlanif100
ip address 10.1.1.1 255.255.255.0
mpls
mpls ldp
#
e-trunk 1
priority 10
peer-address 2.2.2.9 source-address 1.1.1.9
timer hello 9
timer hold-on-failure multiplier 3
e-trunk track bfd-session session-name hello1
#
mode lacp
e-trunk 1
#
interface Eth-Trunk10.1
l2 binding vsi ldp1
#
eth-trunk 10
#
eth-trunk 10
#
#

interface LoopBack1
ip address 1.1.1.9 255.255.255.255
#
bfd hello1 bind peer-ip 2.2.2.9 source-ip 1.1.1.9
discriminator local 1
discriminator remote 2
commit
#
ospf 1
area 0.0.0.0
network 1.1.1.9 0.0.0.0
network 10.1.1.0 0.0.0.255
#
return
#
sysname PE2
#
vlan batch 200
#
lacp e-trunk system-id 00e0-fc00-0000
lacp e-trunk priority 1
#
bfd
#
mpls lsr-id 2.2.2.9
mpls
#
mpls l2vpn
#
vsi ldp1 static
pwsignal ldp
vsi-id 2
peer 3.3.3.9
#
mpls ldp
#
interface Vlanif200
ip address 10.1.2.1 255.255.255.0
mpls
mpls ldp
#
e-trunk 1
priority 20
peer-address 1.1.1.9 source-address 2.2.2.9
timer hello 9
timer hold-on-failure multiplier 3
e-trunk track bfd-session session-name hello2
#
mode lacp
e-trunk 1
#
interface Eth-Trunk10.1
l2 binding vsi ldp1
#
eth-trunk 10
#
eth-trunk 10
#
#
interface LoopBack1

ip address 2.2.2.9 255.255.255.255

#
bfd hello2 bind peer-ip 1.1.1.9 source-ip 2.2.2.9
commit
#
ospf 1
area 0.0.0.0
network 2.2.2.9 0.0.0.0
network 10.1.2.0 0.0.0.255
#
return
l Archivo de configuración del PE3

#
sysname PE3
#
vlan batch 100 200
#
mpls lsr-id 3.3.3.9
mpls
#
mpls l2vpn
#
vsi ldp1 static
pwsignal ldp
vsi-id 2
peer 1.1.1.9
peer 2.2.2.9
#
mpls ldp
#
interface Vlanif100
ip address 10.1.1.2 255.255.255.0
mpls
mpls ldp
#
interface Vlanif200
ip address 10.1.2.2 255.255.255.0
mpls
mpls ldp
#
#
#
l2 binding vsi ldp1
#
interface LoopBack1
ip address 3.3.3.9 255.255.255.255
#
ospf 1
area 0.0.0.0
network 3.3.3.9 0.0.0.0
network 10.1.1.0 0.0.0.255
network 10.1.2.0 0.0.0.255
#
return

6.2.4 Ejemplo para configurar un Eth-Trunk para

preferencialmente reenviar tráfico local en un CSS o una pila
En un CSS o una pila, un Eth-Trunk se configura como la interfaz saliente del tráfico para
garantizar una transmisión confiable. Las interfaces de miembro del Eth-Trunk están ubicadas
en diferentes chasis. Cuando los dispositivos en el CSS o la pila reenvíen el tráfico, el Eth-
Trunk puede seleccionar una interfaz de miembro entre chasis basada en un algoritmo de
hash. El ancho de banda del cable entre dispositivos en el CSS o la pila es limitado, por lo que
el reenvío del tráfico entre chasis ocupa recursos del ancho de banda entre dispositivos,
reduciendo la eficiencia del reenvío del tráfico. Para solucionar este problema, puede habilitar
un Eth-Trunk para reenviar preferentemente el tráfico local.
l Si las interfaces activas de un Eth-Trunk en el dispositivo local tienen suficiente ancho
de banda para reenviar el tráfico, puede configurar el Eth-Trunk para reenviar
preferentemente el tráfico local. Esto mejora la eficiencia del reenvío del tráfico y
aumenta la capacidad del ancho de banda entre los dispositivos en el CSS.
l Si las interfaces activas de un Eth-Trunk en el dispositivo local no tienen suficiente
ancho de banda para reenviar el tráfico, puede configurar el Eth-Trunk para que no
reenvíe preferentemente el tráfico local. En este caso, una parte del tráfico en el
dispositivo local se reenvía a través de las interfaces de miembro de un Eth-Trunk en
otro dispositivo, evitando la pérdida de paquetes.
l Tabla 6-2 Modelos de productos y versiones aplicables
Produ Modelo Versión del software

cto del
producto
S2300 S2350EI V200R003C00, V200R005C00SPC300, V200R006C00,

V200R007C00, V200R008C00, V200R009C00,
V200R010C00, V200R011C10, V200R012C00
S2320EI V200R011C10, V200R012C00
S5300 S5300LI V200R003(C00&C02), V200R005C00SPC300,

V200R006C00, V200R007C00, V200R008(C00&C10),
V200R009C00, V200R010C00, V200R011C10
S5300SI V200R002C00, V200R003C00, V200R005(C00&C02)
S5300EI V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5310EI V200R003C00, V200R005(C00&C02)
S5300HI V200R003C00, V200R005(C00&C01&C02)
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00


cto del
producto
S5320SI V200R008(C00&C10), V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S5320LI V200R010C00, V200R011C10, V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6300EI V200R003C00, V200R005(C00&C01&C02)
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320SI V200R011C10, V200R012C00
S6320HI V200R012C00
S9300 S9306 y V200R001C00, V200R002C00, V200R003C00,

S9312 V200R005C00SPC300, V200R006C00, V200R007C00,
V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10, V200R012C00
S9300 S9310X V200R010C00, V200R011C10, V200R012C00

X
S9300E S9306E y V200R001C00, V200R002C00, V200R003C00,

S9312E V200R005C00SPC300, V200R006C00, V200R007C00,
V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Requisitos de redes
En la red que se muestra en Figura 6-8, la tecnología del CSS se usa para aumentar la
capacidad total de los switches. Switch3 y Switch4 están conectados a través de los cables de
pila para formar un switch lógico. Para implementar la copia de seguridad entre switches y
mejorar la confiabilidad, las interfaces físicas en los dos switches se agregan a un Eth-Trunk.
En situaciones normales, el tráfico desde VLAN 2 y VLAN 3 se reenvía a través de GE1/0/1
y GE1/0/2 respectivamente. Esto aumenta la capacidad del ancho de banda entre switches y
reduce la eficiencia del reenvío del tráfico.
Para garantizar que el tráfico de VLAN 2 se reenvíe a través de GE1/0/1 y que el tráfico de
VLAN 3 se reenvíe a través de GE1/0/2, puede configurar el Eth-Trunk para reenviar
preferentemente el tráfico local.

Figura 6-8 Preferencial reenvío del tráfico local
Red
PE
GE1/0/1 GE1/0/2
Eth-Trunk 10
GE1/1/0/4 GE2/1/0/4 CSS
Switch3 GE1/1/0/3 GE2/1/0/3 Switch4
GE1/0/2 GE1/0/2
Switch1
Switch2
GE1/0/1 GE1/0/1
VLAN 2 VLAN 3
Cable de CSS
Flujo de datos de VLAN 2
VLAN 3 data flow

1. Crea un Eth-Trunk.
2. Agregue interfaces de miembro al Eth-Trunk.
3. Habilite que Eth-Trunk reenvíe preferentemente el tráfico local.
4. Agregue interfaces a VLAN para implementar la conectividad de Capa 2.
Procedimiento
Paso 1 Cree un Eth-Trunk y configure el ID de una VLAN desde la cual los paquetes pueden pasar a
través del Eth-Trunk.
# Configure el CSS.

[Quidway] sysname CSS
[CSS] interface eth-trunk 10 //Cree Eth-Trunk 10 e introduzca la vista de Eth-
Trunk 10.
[CSS-Eth-Trunk10] port link-type trunk //Establezca el tipo de enlace de la
interfaz a Trunk.
[CSS-Eth-Trunk10] port trunk allow-pass vlan all //Configure la interfaz para
permitir todas las VLAN.
# Configure el switch de agregación PE.

[Quidway] sysname PE
[PE] interface eth-trunk 10 //Cree Eth-Trunk 10 e introduzca la vista de Eth-
Trunk 10.
[PE-Eth-Trunk10] port link-type trunk //Establezca el tipo de enlace de la
interfaz a Trunk.
[PE-Eth-Trunk10] port trunk allow-pass vlan all //Configure la interfaz para
permitir todas las VLAN.
[PE-Eth-Trunk10] quit
Paso 2 Agregue interfaces de miembro al Eth-Trunk.

# Configure el CSS.
[CSS-GigabitEthernet1/1/0/4] eth-trunk 10 //Agregue GE1/1/0/4 a Eth-Trunk 10.
[CSS-GigabitEthernet2/1/0/4] eth-trunk 10 //Agregue GE2/1/0/4 a Eth-Trunk 10.
# Configure el PE.
[PE] interface gigabitethernet 1/0/1
[PE-GigabitEthernet1/0/1] eth-trunk 10 //Agregue GE1/0/1 a Eth-Trunk 10.
[PE-GigabitEthernet1/0/1] quit
[PE] interface gigabitethernet 1/0/2
[PE-GigabitEthernet1/0/2] eth-trunk 10 //Agregue GE1/0/2 a Eth-Trunk 10.
[PE-GigabitEthernet1/0/2] quit
Paso 3 Configure el Eth-Trunk en los dispositivos en el CSS para reenviar preferentemente el tráfico
local.
[CSS-Eth-Trunk10] local-preference enable //Habilite Eth-Trunk 10 para reenviar
preferentemente el tráfico local.
NOTA
Por defecto, un Eth-Trunk está habilitado para reenviar preferentemente el tráfico local. Si ejecuta el
comando local-preference enable, el sistema muestra el mensaje "Error: The local preferential
forwarding mode has been configured."
Paso 4 Configure el reenvío de Capa 2.

# Configure el CSS.
[CSS] vlan batch 2 3
[CSS-GigabitEthernet1/1/0/3] port link-type trunk
[CSS-GigabitEthernet1/1/0/3] port trunk allow-pass vlan 2
[CSS-GigabitEthernet2/1/0/3] port link-type trunk
[CSS-GigabitEthernet2/1/0/3] port trunk allow-pass vlan 3
# Configure el switch de acceso Switch1.

[Quidway] sysname Switch1
[Switch1] vlan 2
[Switch1-vlan2] quit
[Switch1] interface gigabitethernet 1/0/1
[Switch1-GigabitEthernet1/0/1] port link-type trunk
[Switch1-GigabitEthernet1/0/1] port trunk allow-pass vlan 2
[Switch1-GigabitEthernet1/0/1] quit
# Configure el switch de acceso Switch2.

[Switch2] vlan 3

trunk en cualquier vista para verificar la información sobre las interfaces de miembro del
Eth-Trunk.
La visualización en el CSS se usa como un ejemplo.
Trunk ID: 10
Used status: VALID
TYPE: ethernet
Operate status: up

----Fin
l Archivo de configuración del CSS
#
sysname CSS
#
vlan batch 2 3
#
#
#


#
eth-trunk 10
#
eth-trunk 10
#
return
l Archivo de configuración del PE

#
sysname PE
#
#
eth-trunk 10
#
eth-trunk 10
#
return
l Archivo de configuración del Switch1

#
sysname Switch1
#
vlan batch 2
#
#
#
return
l Archivo de configuración del Switch2

#
sysname Switch2
#
vlan batch 3
#
#
#
return
6.2.5 Ejemplo para configurar un Eth-Trunk y una asociación

entre VRRP y el estado de interfaz
Asociación entre VRRP y el estado de interfaz
Se requieren tecnologías adicionales para mejorar la función activa/standby de VRRP. Por
ejemplo, cuando se desconecta el enlace del dispositivo Master a una red, VRRP no puede
detectar la falla y no se puede realizar una conmutación activa/standby. Como resultado, los

hosts no pueden acceder remotamente a la red a través del dispositivo Master. Para solucionar
este problema, puede configurar la asociación entre VRRP y el estado de interfaz.
Cuando el dispositivo Master detecta que la interfaz de enlace ascendente falla, el Master
reduce su prioridad a ser menor que la prioridad del dispositivo Backup y envía
inmediatamente paquetes VRRP. Después de que el dispositivo Backup recibe los paquetes
VRRP, detecta que la prioridad en los paquetes VRRP es menor que su prioridad y cambia al
Master. Esto asegura el reenvío de tráfico correcto.
l En V200R003 y versiones anteriores, VRRP se puede configurar solo en la interfaz
VLANIF.
En V200R005 y versiones posteriores, VRRP se puede configurar en la interfaz
VLANIF y en la interfaz Ethernet de capa 3.
Para un switch modular en V200R006 y versiones posteriores, VRRP se puede
configurar en la interfaz VLANIF, interfaz Ethernet de capa 3, subinterfaz de
terminación Dot1q y subinterfaz de terminación QinQ.
Para un switch fijo en V200R009 y versiones posteriores, VRRP se puede configurar en
la interfaz VLANIF, interfaz Ethernet de capa 3 y subinterfaz.
l Asegúrese de que cada dispositivo del mismo grupo VRRP esté configurado con el
mismo VRID.
l Los grupos VRRP deben usar diferentes direcciones IP virtuales. La dirección IP virtual
de un grupo VRRP debe estar en el mismo segmento de red que la dirección IP de la
interfaz donde está configurado el grupo VRRP.
l Un grupo VRRP se puede asociar con un máximo de ocho interfaces. La asociación entre
un grupo VRRP y el estado de interfaz no se puede configurar en el dispositivo como el
propietario de la dirección IP.
l A lo siguiente se describen los Modelos de productos y versiones aplicables.
Prod Modelo del Versión del software

ucto Producto
S2300 S2320EI V200R011C10, V200R012C00
S3300 S3300EI V100R006C05
S3300HI V200R001C00
S5300 S5320LI V200R010C00, V200R011C10, V200R012C00
S5320SI V200R008(C00&C10), V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5300HI V200R001(C00&C01), V200R002C00,

V200R003C00, V200R005(C00&C01&C02)


ucto Producto
S5310EI V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00,

V200R003C00, V200R005(C00&C01&C02)
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320SI V200R011C10, V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306 y V200R001C00, V200R002C00, V200R003C00,

S9312 V200R005C00SPC300, V200R006C00,
V200R007C00, V200R008(C00&C10),
V200R009C00, V200R010C00, V200R011C10,
V200R012C00
S9300 S9310 V200R010C00, V200R011C10, V200R012C00
S9300 S9310X V200R010C00, V200R011C10, V200R012C00

X
S9300 S9303E, S9306E y V200R001C00, V200R002C00, V200R003C00,

E S9312E V200R005C00SPC300, V200R006C00,
V200R007C00, V200R008(C00&C10),
V200R009C00, V200R010C00, V200R011C10,
V200R012C00
NOTA
Requisitos de redes
Como se muestra en Figura 6-9, los hosts de usuario tienen doble pertenencia a SwitchA y
SwitchB a través del switch. Los requisitos son los siguientes:
l Los hosts usan SwitchA como gateway predeterminado para conectarse a Internet.
Cuando SwitchA o el enlace descendente/enlace ascendente fallan, SwitchB funciona
como el gateway para implementar gateway de reserva.
l El ancho de banda del enlace entre SwitchA y SwitchB se incrementa para implementar
enlace de reserva y mejorar la confiabilidad del enlace.

l Después de que SwitchA se recupera, se convierte en el gateway dentro de los 20

segundos.
Figura 6-9 Interconexión de una red de asociación entre VRRP y el estado de interfaz
Capa de agregación Capa de core
SwitchA
Master
VLAN 101- GE1/0/1
GE1/0/2 192.168.1.1/24
VLAN 116
GE1/0/3 GE1/0/1
GE1/0/1 GE1/0/4 192.168.1.2/24
Eth-Trunk1
GE1/0/3
...
Switch SwitchC Red

172.16.1.1/24
GE1/0/4 GE1/0/2
GE1/0/2
GE1/0/3 192.168.2.2/24
VLAN 165~ GE1/0/1
VLAN 180 GE1/0/2
192.168.2.1/24
SwitchB
Backup

Un grupo VRRP en modo activo/standby se usa para implementar el gateway de reserva. La
hoja de ruta de la configuración es la siguiente:
1. Asigne una dirección IP a cada interfaz y configure un protocolo de enrutamiento para
garantizar la conectividad de la red.
2. Configure la agregación de VLAN en SwitchA y SwitchB para implementar el
aislamiento de Capa 2 y la conectividad de Capa 3 de las VLAN 101 a 180 y guarde las
direcciones IP.
3. Cree un Eth-Trunk en SwitchA y SwitchB y agregue interfaces de miembros al Eth-
Trunk para aumentar el ancho de banda del enlace e implementar el enlace de reserva.
4. Configure un grupo VRRP entre SwitchA y SwitchB. Establezca una prioridad más alta
para SwitchA para que SwitchA funcione como Master a reenviar el tráfico, y establezca
el retardo de preferencia en 20 segundos en SwitchA. Establezca una prioridad más baja
para SwitchB para que SwitchB funcione como Backup.
5. Asocie VRRP con GE1/0/1 y GE1/0/2 en SwitchA para que el grupo VRRP pueda
detectar la falla de Master y realizar una conmutación activa/standby inmediatamente.
NOTA
SwitchA y SwitchB son switches principales, y el switch es un conmutador de agregación.
Procedimiento
Paso 1 Configure los dispositivos para garantizar la conectividad de la red.
# Asigne una dirección IP a cada interfaz en los dispositivos principales. SwitchA se usa
como un ejemplo. La configuración de SwitchB es similar a la configuración de SwitchA, y
no se menciona aquí. Para más detalles, vea los archivos de configuración.

[SwitchA] vlan batch 11 to 15 101 to 180 301 to 305 400
[SwitchA-GigabitEthernet1/0/1] port link-type trunk
[SwitchA-GigabitEthernet1/0/1] undo port trunk allow-pass vlan 1
[SwitchA-GigabitEthernet1/0/2] port trunk allow-pass vlan 101 to 180
# Configure la transmisión transparente de Capa 2 en el switch.

[Switch] vlan batch 11 to 15 101 to 180
[Switch-GigabitEthernet1/0/1] undo port trunk allow-pass vlan 1
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 11 to 15 101 to 180
# Configure OSPF en SwitchA, SwitchB y switch. SwitchA se usa como un ejemplo. Las
configuraciones de SwitchB y SwitchC son similares a la configuración de SwitchA, y no se
[SwitchA] ospf 1
[SwitchA-ospf-1] area 0
[SwitchA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] quit
[SwitchA-ospf-1] quit
Paso 2 Configure una super-VLAN en SwitchA y SwitchB.
# Configure una super-VLAN en SwitchA. La configuración de SwitchB es similar a la

configuración de SwitchA, y no se menciona aquí. Para más detalles, vea los archivos de
configuración.

[SwitchA] vlan 11
[SwitchA-vlan11] aggregate-vlan
[SwitchA-vlan11] access-vlan 101 to 116 301
[SwitchA] vlan 12
[SwitchA] vlan 13
[SwitchA] vlan 14
[SwitchA] vlan 15
Paso 3 Configure la agregación de enlaces en SwitchA y SwitchB.

# Cree Eth-Trunk 1 en modo LACP en SwitchA. La configuración de SwitchB es similar a la
configuración.
[SwitchA-Eth-Trunk1] mode lacp
[SwitchA-Eth-Trunk1] port link-type trunk
[SwitchA-Eth-Trunk1] undo port trunk allow-pass vlan 1
[SwitchA-Eth-Trunk1] port trunk allow-pass vlan 301 to 305
# Agregue interfaces de miembros en SwitchA a Eth-Trunk 1. La configuración de SwitchB

es similar a la configuración de SwitchA, y no se menciona aquí. Para más detalles, vea los
archivos de configuración.
[SwitchA-GigabitEthernet1/0/3] eth-trunk 1
Paso 4 Configure los grupos VRRP en SwitchA y SwitchB.

# Configure un grupo VRRP en SwitchA y establezca la prioridad de SwitchA en 120 y el
retardo de preferencia en 20 segundos.
[SwitchA-Vlanif11] vrrp vrid 1 virtual-ip 10.1.1.1
[SwitchA-Vlanif11] vrrp vrid 1 priority
120 //La prioridad predeterminada del
dispositivo en un grupo VRRP es 100. Cambie la prioridad de Master para que sea
más alta que Backup.
[SwitchA-Vlanif11] vrrp vrid 1 preempt-mode timer delay
20 //El dispositivo en un grupo VRRP usa el modo de
preferencia inmediata de forma predeterminada. Cambie la demora de preferencia de
Master para evitar interrupciones de tráfico cuando Master y Backup se adelantan
con frecuencia al ancho de banda en una red inestable.
[SwitchA-Vlanif11] vrrp vrid 1 track interface gigabitethernet 1/0/1 reduced
100 //Asocie el grupo VRRP con la interfaz de enlace ascendente. Establezca
la prioridad reducida para garantizar que la prioridad del reserva sea mayor que
la prioridad de Master. Entonces se puede activar una conmutación activa/standby.
100 //Asocie el grupo VRRP con la interfaz de enlace descendente. Establezca


[SwitchA-Vlanif11] vrrp advertise send-mode
301 //Especifique la VLAN 301 donde se
transmiten los paquetes VRRP para guardar el ancho de banda de la red.
[SwitchA-Vlanif12] vrrp vrid 2 priority 120
[SwitchA-Vlanif12] vrrp vrid 2 preempt-mode timer delay 20
[SwitchA-Vlanif12] vrrp vrid 2 track interface gigabitethernet 1/0/1 reduced 100
[SwitchA-Vlanif12] vrrp advertise send-mode 302
# Configure un grupo VRRP en SwitchB. SwitchB usa la prioridad predeterminada de 100.

[SwitchB] interface vlanif 11
[SwitchB-Vlanif11] vrrp vrid 1 virtual-ip 10.1.1.1
[SwitchB-Vlanif11] vrrp advertise send-mode 301

# Una vez completada la configuración, ejecute el comando display vrrp en SwitchA. Pueden
ver que SwitchA es el dispositivo Master en el grupo 1 de VRRP. El grupo 1 de VRRP se usa
como un ejemplo. La información de otros grupos VRRP es similar a la información del
grupo 1 de VRRP.

[SwitchA] display vrrp 1

Vlanif11 | Virtual Router 1
State : Master
Virtual IP : 10.1.1.1
Master IP : 10.1.1.2
Send VRRP packet to subvlan : 301
PriorityRun : 120
PriorityConfig : 120
MasterPriority : 120
Preempt : YES Delay Time : 20 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Track IF : GigabitEthernet1/0/1 Priority reduced : 100
IF state : UP
IF state : UP
Create time : 2012-05-11 11:39:18
Last change time : 2012-05-26 11:38:58
# Ejecute el comando display vrrp en SwitchB. Puede ver que SwitchB es el dispositivo
Backup. El grupo 1 de VRRP se usa como un ejemplo.
[SwitchB] display vrrp 1
State : Backup
PriorityRun : 100
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2012-05-11 11:39:18
Last change time : 2012-05-26 11:38:58
# Ejecute el comando shutdown en GE1/0/1 de SwitchA para simular un error de enlace.

Luego ejecute el comando display vrrp en SwitchA y SwitchB. Pueden ver que SwitchA está
en estado de Backup, SwitchB cambia al estado Master y la interfaz asociada se convierte en
Down.
[SwitchA-GigabitEthernet1/0/1] shutdown
State : Backup
PriorityRun : 20
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101

Check TTL : YES

IF state : DOWN
IF state : UP
Create time : 2012-05-11 11:39:18
Last change time : 2012-05-26 14:12:38
State : Master
PriorityRun : 100
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2012-05-11 11:39:18
Last change time : 2012-05-26 14:12:38
# Ejecute el comando undo shutdown en GE1/0/1 de SwitchA.

[SwitchA-GigabitEthernet1/0/1] undo shutdown
# Después de 20 segundos, ejecute el comando display vrrp en SwitchA y SwitchB. Pueden

ver que SwitchA se restaura como Master y SwitchB se restaura como Backup, y la interfaz
asociada se encuentra en el estado Up.
State : Master
PriorityRun : 120
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
IF state : UP
IF state : UP
Create time : 2012-05-11 11:39:18
Last change time : 2012-05-26 14:17:36
State : Backup
PriorityRun : 100

TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2012-05-11 11:39:18
Last change time : 2012-05-26 14:17:36
----Fin
l El archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 11 to 15 101 to 180 301 to 305 400
#
vlan 11
aggregate-vlan
access-vlan 101 to 116 301
vlan 12
aggregate-vlan
vlan 13
aggregate-vlan
vlan 14
aggregate-vlan
vlan 15
aggregate-vlan
#
interface Vlanif11
ip address 10.1.1.2 255.255.255.0
vrrp vrid 1 preempt-mode timer delay 20
vrrp vrid 1 track interface gigabitethernet1/0/1 reduced 100
vrrp advertise send-mode 301
#
interface Vlanif12
ip address 10.1.2.2 255.255.255.0
#
interface Vlanif13
ip address 10.1.3.2 255.255.255.0
#
interface Vlanif14
ip address 10.1.4.2 255.255.255.0


#
interface Vlanif15
ip address 10.1.5.2 255.255.255.0
#
interface Vlanif400
ip address 192.168.1.1 255.255.255.0
#
mode lacp
#
#
#
eth-trunk 1
#
eth-trunk 1
#
ospf 1
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 10.1.2.0 0.0.0.255
network 10.1.3.0 0.0.0.255
network 10.1.4.0 0.0.0.255
network 10.1.5.0 0.0.0.255
network 192.168.1.0 0.0.0.255
#
return
l El archivo de configuración de SwitchB
#
sysname SwitchB
#
vlan batch 11 to 15 101 to 180 200 301 to 305
#
vlan 11
aggregate-vlan
vlan 12
aggregate-vlan
vlan 13
aggregate-vlan
vlan 14
aggregate-vlan

vlan 15
aggregate-vlan
#
interface Vlanif11
ip address 10.1.1.3 255.255.255.0
#
interface Vlanif12
ip address 10.1.2.3 255.255.255.0
#
interface Vlanif13
ip address 10.1.3.3 255.255.255.0
#
interface Vlanif14
ip address 10.1.4.3 255.255.255.0
#
interface Vlanif15
ip address 10.1.5.3 255.255.255.0
#
interface Vlanif200
ip address 192.168.2.1 255.255.255.0
#
mode lacp
#
#
#
eth-trunk 1
#
eth-trunk 1
#
ospf 1
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 10.1.2.0 0.0.0.255
network 10.1.3.0 0.0.0.255
network 10.1.4.0 0.0.0.255
network 10.1.5.0 0.0.0.255
network 192.168.2.0 0.0.0.255
#
return
l El archivo de configuración de SwitchC
#
sysname SwitchC
#
vlan batch 200 300 400

#
interface Vlanif200
ip address 192.168.2.2 255.255.255.0
#
interface Vlanif300
ip address 172.16.1.1 255.255.255.0
#
interface Vlanif400
ip address 192.168.1.2 255.255.255.0
#
#
#
#
ospf 1
area 0.0.0.0
network 172.16.1.0 0.0.0.255
network 192.168.1.0 0.0.0.255
network 192.168.2.0 0.0.0.255
#
return
l Archivo de configuración del switch

#
sysname Switch
#
vlan batch 11 to 15 101 to 180
#
port trunk allow-pass vlan 11 to 15 101 to 180
#
#
return
6.3 Configuración típica de VLAN
6.3.1 Ejemplo para configurar la asignación de VLAN basada en la

interfaz
Las VLAN se pueden asignar en base a las interfaces, las direcciones MAC, las subredes IP,
los protocolos y las políticas (direcciones MAC, direcciones IP e interfaces). Tabla 6-4
compara diferentes modos de asignación de VLAN.

Tabla 6-4 Comparaciones entre modos de asignación de VLAN

Modo de Implementación Ventaja Desventaj Escenario
asignación a de uso
de VLAN
Asignación Las VLAN se asignan en Es simple definir El Se aplica a

de VLAN base a las interfaces. miembros de administra redes de
basada en la Un administrador de red VLAN. dor de la cualquier
interfaz preconfigura un PVID para red debe escala y
cada interfaz en un switch. reconfigura con
Cuando un marco sin r las dispositivo
etiqueta llega a una VLAN s en
interfaz, el switch agrega cuando ubicacione
el PVID de la interfaz al cambian s fijas.
marco. El marco se los
transmite en la VLAN miembros
especificada por el PVID. de VLAN.
Asignación Las VLAN se asignan en Cuando las El Se aplica a

de VLAN base a las direcciones ubicaciones administra las redes de
basada en MAC de origen de los físicas de los dor de red pequeña
direcciones marcos. usuarios cambian, debe escala en
MAC Un administrador de red el administrador predefinir las que los
preconfigura las de la red no debe VLAN terminales
asignaciones entre las reconfigurar las para todos de usuario
direcciones MAC y los ID VLAN para los los a menudo
de VLAN. Cuando se usuarios. Esto miembros cambian
recibe un marco sin mejora la en una red. las
etiqueta, el switch agrega seguridad y la ubicacione
la etiqueta de VLAN flexibilidad de s físicas,
mapeando la dirección acceso en una red. pero sus
MAC del marco al marco. NIC rara
Luego, el marco se vez
transmite en la VLAN cambian,
especificada. por
ejemplo,
las
computado
ras
portátiles.


de VLAN
Asignación Las VLAN se asignan en l Cuando las Los Se aplica a

de VLAN base a las direcciones IP de ubicaciones usuarios escenarios
basada en origen y las máscaras de físicas de los están en los que
subredes IP subred. usuarios distribuido existen
Un administrador de red cambian, el s altos
preconfigura mapeos entre administrador uniformem requisitos
las direcciones IP y los ID de la red no ente y de
de VLAN. Cuando se debe varios movilidad
recibe un marco sin reconfigurar usuarios y
etiqueta, el switch agrega las VLAN están en el administrac
la etiqueta de VLAN para los mismo ión
mapeando la dirección IP usuarios. segmento simplificad
del marco al marco. l Este modo de red. a y bajos
Luego, el marco se reduce el requisitos
transmite en la VLAN tráfico de de
especificada. comunicación seguridad.
y permite que Por
un dominio de ejemplo,
difusión este modo
abarque se puede
múltiples usar si una
switches. PC con
múltiples
direcciones
IP debe
acceder a
servidores
en
diferentes
segmentos
de red o si
una PC
debe unirse
a una
nueva
VLAN
automática
mente
después de
que la
dirección
IP del PC
cambie.


de VLAN
Asignación Las VLAN se asignan en Este modo l El Se aplica a

de VLAN base a los tipos de vincula los tipos adminis las redes
basada en protocolo (suite) y los de servicio a las trador que usan
protocolo formatos de encapsulación VLAN, lo que de la múltiples
de los marcos. facilita la red protocolos.
Un administrador de red administración y debe
preconfigura mapeos entre el mantenimiento. preconfi
los tipos de protocolo y los gurar
ID de VLAN. Al recibir los
una trama no etiquetada, el mapeos
switch agrega el mapeo de entre
la etiqueta VLAN al tipo todos
de protocolo de la trama. los
El marco se transmite en la tipos de
VLAN especificada. protocol
os y los
ID de
VLAN.
l El
switch
debe
analizar
formato
s de
direcció
n de
protocol
oy
converti
r los
formato
s, lo
que
consum
e
recursos
excesiv
os. Por
lo tanto,
este
modo
ralentiz
a el
tiempo
de
respuest
a del
switch.


de VLAN
Asignación Las VLAN se asignan en l Este modo Cada Se aplica a

de VLAN base a políticas tales como proporciona política las redes
basada en combinaciones de alta seguridad. debe complejas.
políticas interfaces, direcciones Las configurars
(direcciones MAC y direcciones IP. direcciones e
MAC, Un administrador de red MAC o las manualmen
direcciones preconfigura las políticas. direcciones IP te.
IP e Cuando se recibe un marco de los usuarios
interfaces) sin etiqueta que coincide que se han
con una política vinculado a
configurada, el switch VLAN no
agrega una etiqueta de pueden
VLAN especificada al modificarse.
marco. El marco se l El
transmite en la VLAN administrador
especificada. de la red
puede
seleccionar de
manera
flexible qué
políticas usar
de acuerdo con
el modo de
gestión y los
requisitos.
La asignación de VLAN basada en la interfaz es el método más simple y más comúnmente

utilizado.
Requisitos de redes
En Figura 6-10, el switch de una empresa se conecta a muchos usuarios, y los usuarios que
acceden al mismo servicio se conectan a la red de la empresa a través de diferentes
dispositivos. Para garantizar la seguridad de la comunicación y evitar las tormentas de
difusión, la empresa requiere que los usuarios que utilizan el mismo servicio se comuniquen
entre sí y que los usuarios que acceden a servicios diferentes estén aislados. Usted puede
configurar la asignación de VLAN basada en la interfaz en el switch para que el switch
agregue las interfaces conectadas a los usuarios que utilizan el mismo servicio a la misma
VLAN. Los usuarios en diferentes VLAN no pueden comunicarse entre sí en Capa 2, y los
usuarios en la misma VLAN pueden comunicarse entre sí.

Figura 6-10 Redes de la asignación de VLAN basada en la interfaz

GE1/0/3 GE1/0/3
SwitchA SwitchB
GE1/0/1 GE1/0/2 GE1/0/1 GE1/0/2
User 1 User 3 User 2 User 4

VLAN 2 VLAN 3 VLAN 2 VLAN 3

1. Cree VLAN y agregue interfaces que conectan a los usuarios con las VLAN para aislar
el tráfico de Capa 2 de diferentes servicios.
2. Configure los tipos de enlace de las interfaces entre SwitchA y SwitchB y las VLAN
permitidas por las interfaces para que los usuarios que accedan al mismo servicio puedan
comunicarse entre sí a través de SwitchA y SwitchB.
Procedimiento
Paso 1 Cree VLAN 2 y VLAN 3 en SwitchA y agregue interfaces conectadas a usuarios a las VLAN.
La configuración de SwitchB es similar a la configuración de SwitchA, y no se menciona
aquí.
[SwitchA] vlan batch 2 3 //Cree VLAN 2 y VLAN 3 en un lote.
[SwitchA-GigabitEthernet1/0/1] port link-type access //La interfaz conectada al
dispositivo de acceso debe ser la interfaz de acceso. El tipo de enlace por
defecto de una interfaz no es el de acceso, por lo que debe configurar
manualmente la interfaz de acceso.
[SwitchA-GigabitEthernet1/0/1] port default vlan 2 //Agregue GE1/0/1 a VLAN 2.
[SwitchA-GigabitEthernet1/0/2] port link-type access
[SwitchA-GigabitEthernet1/0/2] port default vlan 3 //Agregue GE1/0/2 a VLAN 3.
Paso 2 Configure el tipo de enlace de la interfaz en SwitchA que está conectado a SwitchB y la
VLAN permitida por la interfaz. La configuración de SwitchB es similar a la configuración de
SwitchA, y no se menciona aquí.

[SwitchA-GigabitEthernet1/0/3] port link-type trunk //El tipo de enlace de las
interfaces que conectan los switches debe ser Trunk. El tipo de enlace por
defecto de una interfaz no es Trunk, por lo que debe configurar manualmente la
interfaz Trunk.
[SwitchA-GigabitEthernet1/0/3] port trunk allow-pass vlan 2 3 //Agregue
User1 y User2 están en el mismo segmento de red, por ejemplo, 192.168.100.0/24; User3 y
User4 están en el mismo segmento de red, por ejemplo, 192.168.200.0/24.

User1 y User2 pueden hacer ping entre ellos, pero no pueden hacer ping a User3 o User4.
User3 y User4 pueden hacer ping entre sí, pero no pueden hacer ping a User1 o User2.
----Fin
#
sysname SwitchA
#
vlan batch 2 to 3
#
port default vlan 2
#
port default vlan 3
#
#
return
Archivo de configuración de SwitchB

#
sysname SwitchB
#
vlan batch 2 to 3
#
port default vlan 2
#
port default vlan 3
#
#
return

interfaz (Dispositivo de acceso utilizado como gateway)
los protocolos y las políticas (direcciones MAC, direcciones IP e interfaces). La asignación de
VLAN basada en la interfaz es la más simple y comúnmente utilizada.
La asignación de VLAN basada en la interfaz indica que las VLAN se asignan en base a las
interfaces. Un administrador de red preconfigura un PVID para cada interfaz en un switch.
Cuando un marco sin etiqueta llega a una interfaz, el switch agrega el PVID de la interfaz al
marco. Luego, el marco se transmite en una VLAN especificada.

En una red jerárquica típica, cuando el switch de acceso es un switch de Capa 3, el switch de
acceso puede usarse como el gateway de los PC para simplificar la configuración del switch
de agregación.
Requisitos de redes
En Figura 6-11, PC1 y PC2 pertenecen a VLAN 2 y VLAN 3, respectivamente. PC1 y PC2
se conectan al switch de agregación SW1 a través del switch de acceso SW2. PC3 pertenece a
VLAN 4 y se conecta a SW1 a través de SW3. SW2 funciona como el gateway de PC1 y
PC2, y SW3 se utiliza como el gateway de PC3. Las rutas estáticas están configuradas en los
switches para que los PC puedan comunicarse entre sí y puedan conectarse al router.
Figura 6-11 Configuración de los dispositivos de acceso como gateways
GE1/0/1
SW1
GE1/0/2 GE1/0/3
GE1/0/1 GE1/0/1
Gateway de
SW2 SW3
ordenadores
GE1/0/23 GE1/0/24 GE1/0/2
PC1: VLAN 2 PC2: VLAN 3 PC3: VLAN 4

Dirección IP: Dirección IP: Dirección IP:
192.168.2.2/24 192.168.3.2/24 192.168.4.2/24
Dirección de gateway: Dirección de gateway: Dirección de gateway:
192.168.2.1 192.168.3.1 192.168.4.1

1. Configure la asignación basada en la interfaz en el switch de acceso para implementar el
interfuncionamiento de Capa 2.
2. Configure los switches de acceso como gateways de los PC para implementar la
comunicación entre los PC en diferentes segmentos de red.
3. Configure las rutas estáticas en el switch de agregación para que los PC puedan
comunicarse con el router.
Procedimiento
Paso 1 Configure SW2.

# Cree las VLAN.

[Quidway] sysname SW2 //Cambie el nombre del dispositivo a SW2 para una fácil
identificación.
[SW2] vlan batch 2 to 3 //Cree VLAN 2 y VLAN 3 en un lote.
# Agregue interfaces a las VLAN.

[SW2] interface gigabitethernet 1/0/23
[SW2-GigabitEthernet1/0/23] port link-type access //Configure la interfaz
conectada al PC como la interfaz de acceso.
[SW2-GigabitEthernet1/0/23] port default vlan 2 //Agregue PC1 a VLAN 2.
[SW2-GigabitEthernet1/0/23] quit
[SW2-GigabitEthernet1/0/24] port link-type access
# Configure las interfaces VLANIF y configure las direcciones IP para las interfaces VLANIF
como direcciones de gateway de los PC.
[SW2] interface vlanif 2 //Cree VLANIF 2.
[SW2-Vlanif2] ip address 192.168.2.1 24 //Configure una dirección IP para VLANIF
2. La dirección IP es la dirección de gateway del PC1.
[SW2-Vlanif2] quit
[SW2-Vlanif3] quit
# Conecte SW2 a SW1.

[SW2] vlan batch 5 //Cree VLAN 5.
[SW2-GigabitEthernet1/0/1] port default vlan 5 //Configure SW2 y SW1 para
comunicarse en modo sin etiqueta.
5. La dirección IP es la dirección IP de la interfaz interconectada entre SW1 y
SW2.
[SW2-Vlanif5] quit
[SW2] ip route-static 0.0.0.0 0.0.0.0 192.168.5.1 //Configure una ruta por
defecto para que el PC pueda acceder al router. La dirección del siguiente salto
es la dirección IP de la interfaz conectada a SW1.

# Cree las VLAN.
[Quidway] sysname SW3 //Cambie el nombre del dispositivo a SW3.



[SW3-Vlanif4] quit
# Conecte SW3 a SW1.

[SW3-GigabitEthernet1/0/1] port default vlan 5 //Configure SW3 y SW1 para
comunicarse en modo sin etiqueta.
5. La dirección IP es la dirección IP de la interfaz interconectada entre SW3 y
SW1.
[SW3-Vlanif5] quit
[SW3] ip route-static 0.0.0.0 0.0.0.0 192.168.5.1 //Configure una ruta por
defecto para que el PC pueda acceder al router. La dirección del siguiente salto
es la dirección IP de la interfaz conectada a SW1.

# Cree las VLAN.
# Agregue interfaces conectadas a los PC para las VLAN.

conectada al router como la interfaz de acceso.
[SW1-GigabitEthernet1/0/1] port default vlan 5
conectada a SW2 como la interfaz de acceso.
conectada a SW3 como la interfaz de acceso.
# Configure las interfaces VLANIF para que los PC puedan conectarse al router.
5. La dirección IP es la dirección de la interfaz conectada al router.
[SW1-Vlanif5] quit
# Configure una ruta estática para que los PC en diferentes segmentos de red puedan
comunicarse entre sí.
[SW1] ip route-static 192.168.2.0 255.255.255.0 192.168.5.2 //Configure una ruta
estática. Los paquetes con la dirección IP de destino de 192.168.2.0/24 se envían
a la dirección del siguiente salto de 192.168.5.2. La dirección del siguiente
salto es la dirección IP de la interfaz VLANIF conectada a SW2.
# Configure una ruta por defecto para que los PC puedan comunicarse con el router.

[SW1] ip route-static 0.0.0.0 0.0.0.0 192.168.5.4 //La dirección IP es la

dirección IP de la interfaz conectada a SW1.

PC1, PC2 y PC3 pueden accederse entre sí y comunicarse con el router.
----Fin
Archivo de configuración de SW1
#
sysname SW1
#
vlan batch 5
#
interface Vlanif5
ip address 192.168.5.1 255.255.255.0
#
port default vlan 5
#
port default vlan 5
#
port default vlan 5
#
ip route-static 0.0.0.0 0.0.0.0 192.168.5.4
ip route-static 192.168.2.0 255.255.255.0 192.168.5.2
ip route-static 192.168.3.0 255.255.255.0 192.168.5.2
ip route-static 192.168.4.0 255.255.255.0 192.168.5.3
#
return

#
sysname SW2
#
vlan batch 2 to 3 5
#
#
interface Vlanif2
ip address 192.168.2.1 255.255.255.0
#
interface Vlanif3
ip address 192.168.3.1 255.255.255.0
#
interface Vlanif5
ip address 192.168.5.2 255.255.255.0
#
port default vlan 5
#
port default vlan 2
#
port default vlan 3

#
ip route-static 0.0.0.0 0.0.0.0 192.168.5.1
#
return

#
sysname SW3
#
vlan batch 4 to 5
#
interface Vlanif4
ip address 192.168.4.1 255.255.255.0
#
interface Vlanif5
ip address 192.168.5.3 255.255.255.0
#
port default vlan 5
#
port default vlan 4
#
ip route-static 0.0.0.0 0.0.0.0 192.168.5.1
#
return

interfaz (dispositivo de agregación utilizado como gateway)
los protocolos y las políticas (direcciones MAC, direcciones IP e interfaces). La asignación de
VLAN basada en la interfaz es la más simple y comúnmente utilizada.
La asignación de VLAN basada en la interfaz indica que las VLAN se asignan en base a las
interfaces. Un administrador de red preconfigura un PVID para cada interfaz en un switch.
Cuando un marco sin etiqueta llega a una interfaz, el switch agrega el PVID de la interfaz al
marco. Luego, el marco se transmite en una VLAN especificada.
En una red jerárquica típica, cuando el switch de acceso es un switch de Capa 2, el switch de
agregación se puede usar como el gateway de los PC. La configuración del switch de acceso
se simplifica y los PC acceden a la red externa a través de una interfaz de salida, lo que
facilita el mantenimiento y la administración.
Requisitos de redes
En Figura 6-12, PC1 y PC2 pertenecen a VLAN 2 y VLAN 3, respectivamente. PC1 y PC2
se conectan al switch de agregación SW1 a través del switch de acceso SW2. PC3 pertenece a
VLAN 4 y se conecta a SW1 a través de SW3. No se realiza ninguna configuración en SW3,
y SW3 funciona como el hub y es plug-and-play. SW1 funciona como el gateway de PC1,
PC2 y PC3 para que los PC puedan comunicarse entre sí y puedan conectarse al router.

Figura 6-12 Configuración del dispositivo de agregación como el gateway
GE1/0/1 Gateway de
ordenadores
SW1
GE1/0/2 GE1/0/3
GE1/0/1
SW2 SW3
GE1/0/23 GE1/0/24
PC1: VLAN 2 PC2: VLAN 3 PC3: VLAN 4

Dirección IP: Dirección IP: Dirección IP:
192.168.2.2/24 192.168.3.2/24 192.168.4.2/24
Dirección de gateway: Dirección de gateway: Dirección de gateway:
192.168.2.1 192.168.3.1 192.168.4.1

1. Configure la asignación basada en la interfaz en el switch de acceso para implementar el
interfuncionamiento de Capa 2.
2. Configure el switch de agregación como el gateway de los PC para implementar el
interfuncionamiento de Capa 3 entre los PC en diferentes segmentos de red.
3. Configure la interfaz que conecta el switch de agregación y el router.
Procedimiento
# Cree las VLAN.
[Quidway] sysname SW2 //Cambie el nombre del dispositivo a SW2 para una fácil
identificación.
[SW2] vlan batch 2 3 //Cree VLAN 2 y VLAN 3 en un lote.

[SW2-GigabitEthernet1/0/1] port link-type trunk //Configure la interfaz
conectada al switch de agregación como la interfaz trunk.
[SW2-GigabitEthernet1/0/1] port trunk allow-pass vlan 2 3 //Agregue la interfaz

a VLAN 2 y VLAN 3.

# Cree las VLAN.
[SW1] vlan batch 2 to 5 //Cree VLAN 2 a 5.
# Agregue interfaces conectadas a los PC para las VLAN.

[SW1-GigabitEthernet1/0/2] port link-type trunk //Configure la interfaz
conectada a SW1 como la interfaz trunk.
[SW1-GigabitEthernet1/0/2] port trunk allow-pass vlan 2 3 //Agregue la interfaz
a VLAN 2 y VLAN 3.
conectada al PC3 como la interfaz de acceso.
[SW1-Vlanif2] quit
[SW1-Vlanif3] quit
[SW1-Vlanif4] quit
# Agregue interfaces conectadas a los routers a las VLAN.

conectada al router como la interfaz de acceso. La interfaz se comunica con el
router en modo sin etiqueta.
[SW1-GigabitEthernet1/0/1] port default vlan 5 //Agregue el router a VLAN 5.
# Configure las interfaces VLANIF para que los PC puedan conectarse al router.
5. La dirección IP es usada para la interconexión con el router.
[SW1-Vlanif5] quit

PC1, PC2 y PC3 pueden accederse entre sí y comunicarse con el router.
----Fin
#
sysname SW1

#
vlan batch 2 to 5
#
interface Vlanif2
ip address 192.168.2.1 255.255.255.0
#
interface Vlanif3
ip address 192.168.3.1 255.255.255.0
#
interface Vlanif4
ip address 192.168.4.1 255.255.255.0
#
interface Vlanif5
ip address 192.168.5.1 255.255.255.0
#
port default vlan 5
#
#
port default vlan 4
#
return

#
sysname SW2
#
vlan batch 2 to 3
#
#
port default vlan 2
#
port default vlan 3
#
return
6.3.4 Ejemplo para configurar la asignación de VLAN basada en

direcciones MAC
La asignación de VLAN basada en direcciones MAC se aplica a redes de pequeña escala
donde los terminales de los usuarios a menudo cambian las ubicaciones físicas, pero sus NIC
rara vez cambian, por ejemplo, las computadoras móviles.


de VLAN


especificada. por
ejemplo,
las
computado
ras
portátiles.


de VLAN

y permite que Por
difusión este modo
abarque se puede
switches. PC con
múltiples
direcciones
IP debe
acceder a
servidores
en
diferentes
segmentos
de red o si
una PC
debe unirse
a una
nueva
VLAN
automática
mente
después de
que la
dirección
IP del PC
cambie.


de VLAN

os y los
ID de
VLAN.
l El
switch
debe
analizar
formato
s de
direcció
n de
protocol
oy
converti
r los
formato
s, lo
que
consum
e
recursos
excesiv
os. Por
lo tanto,
este
modo
ralentiz
a el
tiempo
de
respuest
a del
switch.


de VLAN

puede
seleccionar de
manera
flexible qué
políticas usar
de acuerdo con
el modo de
gestión y los
requisitos.
Requisitos de redes
En Figura 6-13, interfaces de GE1/0/1 en SwitchA y SwitchB se conectan a dos salas de
conferencia, respectivamente. Laptop1 y Laptop2 son computadoras portátiles utilizadas en
las dos salas de conferencia. Laptop1 y Laptop2 pertenecen a dos departamentos, que
pertenecen a VLAN 100 y VLAN 200, respectivamente. Independientemente de la sala de
conferencia en la que se utilicen Laptop1 y Laptop2, se requieren Laptop1 y Laptop2 para
acceder a los servidores de sus respectivos departamentos (Server1 y Server2,
respectivamente). Las direcciones MAC de Laptop1 y Laptop2 son 0001-00ef-00c0 y
0001-00ef-00c1.

Figura 6-13 Redes de la asignación de VLAN basada en direcciones MAC
Server 2
Server 1
VLAN 100 VLAN 200
Switch
GE1/0/2 GE1/0/1
GE1/0/3 GE1/0/4
GE1/0/2 GE1/0/2
SwitchA SwitchB
GE1/0/1 GE1/0/1
Laptop 1 Laptop 2

1. Cree VLAN en SwitchA y SwitchB y agregue interfaces a VLAN para implementar la

conectividad de Capa 2.
2. Configure la asignación de VLAN basada en la dirección MAC en SwitchA y SwitchB.
3. Configure la transmisión transparente de los paquetes etiquetados de VLAN en el switch
para que Laptop1 y Laptop2 puedan acceder al Server1 y al Server2 de sus respectivos
departamentos.
Procedimiento
Paso 1 Configure SwitchA. La configuración de SwitchB es similar a la configuración de SwitchA, y
no se menciona aquí.
[SwitchA] vlan batch 100 200 //Cree VLAN 100 y VLAN 200.
[SwitchA-GigabitEthernet1/0/2] port link-type trunk //El tipo de enlace de las
interfaces que conectan a los switches debe ser Trunk. El tipo de enlace por
defecto de una interfaz no es Trunk, por lo que debe configurar manualmente la
interfaz Trunk.
[SwitchA-GigabitEthernet1/0/2] port trunk allow-pass vlan 100 200 //Agregue
[SwitchA] vlan 100
[SwitchA-vlan100] mac-vlan mac-address 0001-00ef-00c0 //Los paquetes con la
dirección MAC de 0001-00ef-00c0 se transmiten en VLAN 100.
[SwitchA] vlan 200
[SwitchA-vlan200] mac-vlan mac-address 0001-00ef-00c1 //Los paquetes con la
dirección MAC de 0001-00ef-00c1 se transmiten en VLAN 200.

[SwitchA-GigabitEthernet1/0/1] port hybrid untagged vlan 100 200 //El tipo de
enlace por defecto de una interfaz no es híbrido, por lo que no debe configurar
el tipo de enlace.
[SwitchA-GigabitEthernet1/0/1] mac-vlan enable //Habilite la asignación de
VLAN basada en direcciones MAC en la interfaz.
Paso 2 Configure el switch. Las configuraciones de GE1/0/2, GE1/0/3, y GE1/0/4 son similares a la
configuración de GE1/0/1, y no se mencionan aquí.
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 200 //Agregue

# Ejecute el comando display mac-vlan mac-address all en cualquier vista para verificar la
configuración de la asignación de VLAN basada en direcciones MAC.
[SwitchA] display mac-vlan mac-address all
---------------------------------------------------
MAC Address MASK VLAN Priority
---------------------------------------------------
0001-00ef-00c0 ffff-ffff-ffff 100 0
0001-00ef-00c1 ffff-ffff-ffff 200 0
Total MAC VLAN address count: 2
----Fin
#
sysname SwitchA
#
vlan batch 100 200
#
port hybrid untagged vlan 100 200
mac-vlan enable
#
#
vlan 100
mac-vlan mac-address 0001-00ef-00c0 priority 0
vlan 200
#
return

#
sysname SwitchB
#
vlan batch 100 200
#

mac-vlan enable
#
#
vlan 100
vlan 200
#
return

#
sysname Switch
#
vlan batch 100 200
#
#
#
#
#
return
6.3.5 Ejemplo para configurar la asignación de VLAN basada en

subredes IP
Descripción general de la asignación de VLAN basada en subredes IP
La asignación de VLAN basada en subredes IP se aplica a escenarios en los que existen altos
requisitos de movilidad y administración simplificada y bajos requisitos de seguridad. Por
ejemplo, este modo se puede usar si una PC con múltiples direcciones IP debe acceder a
servidores en diferentes segmentos de red o si una PC debe unirse a una nueva VLAN
automáticamente después de que la dirección IP del PC cambie.


de VLAN


especificada. por
ejemplo,
las
computado
ras
portátiles.


de VLAN

y permite que Por
difusión este modo
abarque se puede
switches. PC con
múltiples
direcciones
IP debe
acceder a
servidores
en
diferentes
segmentos
de red o si
una PC
debe unirse
a una
nueva
VLAN
automática
mente
después de
que la
dirección
IP del PC
cambie.


de VLAN

os y los
ID de
VLAN.
l El
switch
debe
analizar
formato
s de
direcció
n de
protocol
oy
converti
r los
formato
s, lo
que
consum
e
recursos
excesiv
os. Por
lo tanto,
este
modo
ralentiz
a el
tiempo
de
respuest
a del
switch.


de VLAN

puede
seleccionar de
manera
flexible qué
políticas usar
de acuerdo con
el modo de
gestión y los
requisitos.
Requisitos de redes
En Figura 6-14, una empresa tiene múltiples servicios, incluidos IPTV, VoIP y acceso a
Internet. Cada servicio usa una subred IP diferente. Para facilitar la administración, la
compañía requiere que los paquetes del mismo servicio se transmitan en la misma VLAN y
paquetes de diferentes servicios en diferentes VLAN. El switch recibe paquetes de servicios
múltiples como datos, IPTV y servicios de voz, y los dispositivos de usuario de estos
servicios usan direcciones IP en diferentes subredes IP. El switch debe asignar las VLAN a
paquetes de diferentes servicios para que el router pueda transmitir paquetes con diferentes ID
de VLAN a diferentes servidores.

Figura 6-14 Redes de la asignación de VLAN basada en subredes IP

Servidor
IPTV
Router
GE1/0/1
GE1/0/2
Switch
GE1/0/1
Switch de capa 2
simplificado
Host de
Terminal multimedia Teléfono
usuario
192.168.1.2/24 192.168.2.2/24 192.168.3.2/24

1. Cree VLAN y agregue interfaces a VLAN para que las interfaces permitan las VLAN
basadas en subredes IP.
2. Habilite la asignación de VLAN basada en subredes IP y asocie las subredes IP con las
VLAN para que el switch determine las VLAN en base a las direcciones IP de origen o
los segmentos de red de los paquetes.
Procedimiento
Paso 1 Cree VLAN
[Switch] vlan batch 100 200 300 //Cree VLAN100, VLAN 200 y VLAN 300 en un lote.
Paso 2 Configure interfaces

[Switch-GigabitEthernet1/0/1] port hybrid untagged vlan 100 200 300 //El tipo
de enlace por defecto de una interfaz es híbrido, por lo que no debe configurar
el tipo de enlace.
[Switch-GigabitEthernet1/0/1] ip-subnet-vlan enable //Habilite la asignación
de VLAN basada en subredes IP.
[Switch-GigabitEthernet1/0/2] port link-type trunk //Configure el tipo de enlace

de la interfaz como Trunk.

[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 100 200 300
Paso 3 Configure la asignación de VLAN basada en subredes IP.

[Switch] vlan 100
[Switch-vlan100] ip-subnet-vlan 1 ip 192.168.1.2 24 priority 2 //Configure el
dispositivo para reenviar paquetes con la dirección IP de 192.168.1.2/24 y la
prioridad de 2 en VLAN 100.
[Switch] vlan 200
[Switch] vlan 300

# Ejecute el comando display ip-subnet-vlan vlan all en el switch. La siguiente información
es la mostrada:
[Switch] display ip-subnet-vlan vlan all
----------------------------------------------------------------
Vlan Index IpAddress SubnetMask Priority
----------------------------------------------------------------
100 1 192.168.1.2 255.255.255.0 2
200 1 192.168.2.2 255.255.255.0 3
300 1 192.168.3.2 255.255.255.0 4
----------------------------------------------------------------
ip-subnet-vlan count: 3 total count: 3
----Fin
#
sysname Switch
#
#
vlan 100
ip-subnet-vlan 1 ip 192.168.1.2 255.255.255.0 priority 2
vlan 200
vlan 300
#
port hybrid untagged vlan 100 200 300
ip-subnet-vlan enable
#
port trunk allow-pass vlan 100 200 300
#
return

6.3.6 Ejemplo para conectar directamente un terminal a un

gateway de Capa 3 para implementar la comunicación entre
VLAN
Después de que se hayan asignado las VLAN, los paquetes de difusión solo se reenviarán
dentro de la misma VLAN. Es decir, los hosts en diferentes VLAN no pueden comunicarse en
Capa 2 porque la tecnología VLAN aísla los dominios de difusión. En las aplicaciones del
mundo real, los hosts en diferentes VLAN a menudo deben comunicarse, por lo que la
comunicación entre VLAN debe implementarse para resolver esto. Se requiere enrutamiento
de capa 3 o tecnología de VLAN para implementar la comunicación entre VLAN.
Huawei ofrece una variedad de tecnologías para implementar comunicación entre VLAN. Las
siguientes dos tecnologías se usan comúnmente:
l Interfaz VLANIF
Una interfaz VLANIF es una interfaz lógica de Capa 3. Usted puede configurar una
dirección IP para una interfaz VLANIF para implementar la comunicación entre VLAN
de Capa 3.
l Subinterfaz de terminación Dot1q
Similar a una interfaz VLANIF, una subinterfaz es también una interfaz lógica de Capa
3. Puede configurar la terminación dot1q y una dirección IP para una subinterfaz para
implementar la comunicación entre VLAN de Capa 3.
Las interfaces VLANIF son las más comúnmente utilizadas para la comunicación entre
VLAN debido a sus configuraciones simples. Sin embargo, una interfaz VLANIF debe
configurarse para cada VLAN y cada interfaz VLANIF requiere una dirección IP, lo que
desperdicia direcciones IP.
La interfaz VLANIF y la subinterfaz de terminación Dot1q solo pueden permitir que los hosts
en diferentes segmentos de red en diferentes VLAN se comuniquen, mientras que la super-
VLAN (agregación de VLAN) y la función VLAN Switch permiten que los hosts en el mismo
segmento de red en diferentes VLAN se comuniquen.
l La dirección de gateway por defecto de los hosts en una VLAN debe ser la dirección IP
de la interfaz VLANIF que corresponde a la VLAN.
Requisitos de redes
Los diferentes hosts de usuarios de una empresa transmiten el mismo servicio y están
ubicados en diferentes segmentos de red. Los hosts del usuario que transmiten el mismo
servicio pertenecen a diferentes VLAN y deben comunicarse.
En Figura 6-15, User1 y User2 acceden al mismo servicio pero pertenecen a diferentes
VLAN y se ubican en diferentes segmentos de red. User1 y User2 deben comunicarse.

Figura 6-15 Redes para configurar la comunicación entre VLAN a través de interfaces
VLANIF
Switch
GE1/0/1 GE1/0/2
VLANIF10 VLANIF20
10.10.10.2/24 10.10.20.2/24
VLAN 10 VLAN 20
User1 User2
10.10.10.3/24 10.10.20.3/24

1. Cree las VLAN y determine las VLAN a las que pertenecen los usuarios.
2. Agregue las interfaces a las VLAN y configure las interfaces para permitir las VLAN.
3. Cree las interfaces VLANIF y configure las direcciones IP para las interfaces VLANIF
para implementar la conectividad de Capa 3.
Procedimiento
# Cree las VLAN y configure las interfaces en el switch conectado a los hosts del usuario
como interfaces de acceso y agregarlas a las VLAN.
[Switch-GigabitEthernet1/0/1] port link-type access //Configure el tipo de
enlace de la interfaz como acceso.
10.
# Asigne direcciones IP a las interfaces VLANIF.

[Switch-Vlanif10] ip address 10.10.10.2 24 //Establezca la dirección de IP de
VLANIF 10 a 10.10.10.2/24.
[Switch-Vlanif20] ip address 10.10.20.2 24 //Establezca la dirección de IP de
VLANIF 20 a 10.10.20.2/24.

Configure la dirección IP de 10.10.10.3/24 y la dirección de gateway por defecto como
10.10.10.2/24 (dirección IP de VLANIF 10) para el User1 en la VLAN 10.

Configure la dirección IP de 10.10.10.3/24 y la dirección de gateway por defecto como

10.10.10.2/24 (dirección IP de VLANIF 20) para el Usuario 2 en la VLAN 20.
Una vez completada la configuración, el User1 en VLAN 10 y el User2 en VLAN 20 pueden

comunicarse.
----Fin
#
sysname Switch
#
vlan batch 10 20
#
interface Vlanif10
ip address 10.10.10.2 255.255.255.0
#
interface Vlanif20
ip address 10.10.20.2 255.255.255.0
#
#
#
return
6.3.7 Ejemplo para conectar un terminal a un gateway de Capa 3 a

través de un switch de Capa 2
12
Después de que se hayan asignado las VLAN, los paquetes de difusión solo se reenviarán
dentro de la misma VLAN. Es decir, los hosts en diferentes VLAN no pueden comunicarse en
Capa 2 porque la tecnología VLAN aísla los dominios de difusión. En las aplicaciones del
mundo real, los hosts en diferentes VLAN a menudo deben comunicarse, por lo que la
comunicación entre VLAN debe implementarse para resolver esto. Se requiere enrutamiento
de capa 3 o tecnología de VLAN para implementar la comunicación entre VLAN.
Huawei ofrece una variedad de tecnologías para implementar comunicación entre VLAN. Las
siguientes dos tecnologías se usan comúnmente:
l Interfaz VLANIF
Una interfaz VLANIF es una interfaz lógica de Capa 3. Usted puede configurar una
dirección IP para una interfaz VLANIF para implementar la comunicación entre VLAN
de Capa 3.
l Subinterfaz de terminación Dot1q
Similar a una interfaz VLANIF, una subinterfaz es también una interfaz lógica de Capa
3. Puede configurar la terminación dot1q y una dirección IP para una subinterfaz para
implementar la comunicación entre VLAN de Capa 3.

La comunicación entre VLAN a través de una subinterfaz de terminación dot1q se usa en

escenarios donde una interfaz Ethernet se conecta a muchas VLAN. Debido a que los flujos
de datos de diferentes VLAN se adelantan al ancho de banda de la interfaz Ethernet principal,
pueden producirse cuellos de botella en la comunicación cuando la red está ocupada.
La interfaz VLANIF y la subinterfaz de terminación Dot1q solo pueden permitir que los hosts
en diferentes segmentos de red en diferentes VLAN se comuniquen, mientras que la super-
VLAN (agregación de VLAN) y la función VLAN Switch permiten que los hosts en el mismo
segmento de red en diferentes VLAN se comuniquen.
l Solo tarjetas de la serie E, tarjetas de la serie X, tarjetas de la serie F y tarjetas SC entre
la serie S son compatibles con la subinterfaz de terminación. Para más detalles, consulte
la clasificación de la tarjeta en Hardware Description.
Las tarjetas X1E entre la serie X son compatibles con la subinterfaz de terminación en
V200R007C00 y versiones posteriores.
l Para las interfaces de Capa 2, solo las interfaces híbridas y trunk son compatibles con
subinterfaces de terminación.
l Los ID de VLAN terminados por una subinterfaz no pueden crearse en la vista del
sistema o mostrarse.
l Cuando los paquetes IP deben enviarse desde la subinterfaz de terminación y no hay una
entrada ARP correspondiente en el dispositivo. Si la difusión ARP no está habilitada en
la subinterfaz de terminación a través del comando arp broadcast enable, el sistema no
envía ni reenvía los paquetes ARP de difusión para aprender las entradas ARP. En este
caso, los paquetes IP se descartan directamente.
l Este ejemplo se aplica a todas las versiones de los switches modulares.
Requisitos de redes
En Figura 6-16, Host A y Host B pertenecen al departamento de I&D, y Host C y Host D
pertenecen al departamento de calidad. Los dos departamentos están conectados a través de
un switch de Capa 2 y requieren aislamiento de Capa 2 y conectividad de Capa 3.

Figura 6-16 Redes para conectar un terminal a un gateway de Capa 3 a través de un switch de
Capa 2
SwitchB
GE1/0/1.1 GE1/0/1.2
1.1.1.1/24 2.2.2.1/24
GE1/0/5
SwitchA
GE1/0/1 GE1/0/4
GE1/0/2 GE1/0/3
Host A Host B Host C Host D

1.1.1.2 1.1.1.3 2.2.2.2 2.2.2.3
Departamento I + D Departamento de calidad
VLAN 2 VLAN 3

1. Configure la asignación basada en la interfaz en el switch de Capa 2 para implementar el
aislamiento de Capa 2.
2. Configure la terminación de la subinterfaz en el switch de Capa 3 para implementar la
conectividad de Capa 3.
Procedimiento
Paso 1 Configure el switch de Capa 2 SwitchA.
# Cree las VLAN.
[Quidway] sysname SwitchA //Cambie el nombre del dispositivo a SwitchA para una
fácil identificación.
[SwitchA] vlan batch 2 to 3 //Cree VLAN 2 y VLAN 3 en un lote.
# Agregue la interfaz conectada al host a las VLAN.

[SwitchA-GigabitEthernet1/0/1] port link-type access //Configure la interfaz
[SwitchA-GigabitEthernet1/0/1] port default vlan 2 //Agregue Host A a VLAN 2.
[SwitchA-GigabitEthernet1/0/2] port default vlan 2 //Agregue Host B a VLAN 2.

[SwitchA-GigabitEthernet1/0/3] port default vlan 3 //Agregue Host C a VLAN 2.

[SwitchA-GigabitEthernet1/0/4] port default vlan 3 //Agregue Host D a VLAN 2.
# Habilite la interfaz conectada al switch de Capa 3 para transmitir paquetes de manera

transparente desde una VLAN especificada.
conectada al switch como la interfaz trunk.
[SwitchA-GigabitEthernet1/0/5] port trunk allow-pass vlan 2 to 3 //Agregue la
interfaz a VLAN 2 y VLAN 3.
Paso 2 Configure el switch de Capa 3 SwitchB.

[Quidway] sysname SwitchB //Cambie el nombre del dispositivo a SwitchB.
[SwitchB] interface gigabitethernet 1/0/1.1 //Cree una subinterfaz e ingrese en
la vista de la subinterfaz.
[SwitchB-GigabitEthernet1/0/1.1] dot1q termination vid 2 //Establezca el ID de
VLAN para la terminación de dot1q en GE1/0/1.1 a VLAN 2.
[SwitchB-GigabitEthernet1/0/1.1] ip address 1.1.1.1 24
[SwitchB-GigabitEthernet1/0/1.1] arp broadcast enable //Una subinterfaz de
terminación descarta directamente los paquetes de difusión, por lo que la
subinterfaz debe configurarse para reenviar los paquetes de difusión ARP.
[SwitchB-GigabitEthernet1/0/1.1] quit
[SwitchB] interface gigabitethernet 1/0/1.2 //Cree una subinterfaz e introduzca
la vista de la subinterfaz.
[SwitchB-GigabitEthernet1/0/1.2] dot1q termination vid 3 //Establezca el ID de
VLAN para la terminación de dot1q en GE1/0/1.2 a VLAN 3.
[SwitchB-GigabitEthernet1/0/1.2] ip address 2.2.2.1 24
[SwitchB-GigabitEthernet1/0/1.2] arp broadcast enable
[SwitchB-GigabitEthernet1/0/1.2] quit

Configure la dirección IP 1.1.1.2/24 para Host A y la dirección de gateway por defecto como
la dirección IP 1.1.1.1.1/24 de GE1/0/1.1.
Configure la dirección IP 1.1.1.2/24 para Host B y la dirección de gateway por defecto como
Configure la dirección IP 1.1.1.2/24 para Host C y la dirección de gateway por defecto como
Configure la dirección IP 1.1.1.2/24 para Host D y la dirección de gateway por defecto como
Una vez completada la configuración, Host A, Host B, Host C y Host D pueden hacer ping
entre ellos y comunicarse en Capa 3.
----Fin
#
sysname SwitchA
#
vlan batch 2 to 3
#

port default vlan 2
#
port default vlan 2
#
port default vlan 3
#
port default vlan 3
#
#
return

#
sysname SwitchB
#
ip address 1.1.1.1 255.255.255.0
#
ip address 2.2.2.1 255.255.255.0
#
return
6.3.8 Ejemplo para configurar la comunicación entre diferentes

segmentos de red a través de rutas estáticas
Además de configurar una dirección IP para una interfaz VLANIF, se debe configurar una
ruta estática o un protocolo de enrutamiento dinámico cuando los PC en diferentes segmentos
de red a través de varios switches se deben comunicar. Esto se debe a que solo se genera una
ruta directa para la dirección IP de la interfaz VLANIF en el switch y una interfaz VLANIF
solo puede empalar el interfuncionamiento entre los PC en diferentes segmentos de red a
través de un switch.
Las rutas estáticas se pueden configurar fácilmente y tienen pocos requisitos en el sistema.
Son aplicables a redes simples, estables y de pequeña escala. Sin embargo, las rutas estáticas
no se pueden adaptar automáticamente a los cambios en la topología de la red, y se requiere
una intervención manual.
Con los algoritmos de enrutamiento, los protocolos de enrutamiento dinámico pueden

adaptarse automáticamente a los cambios en la topología de red. Son aplicables a la red donde
se implementan algunos dispositivos de Capa 3. Las configuraciones de las rutas dinámicas
son complejas. Las rutas dinámicas tienen mayores requisitos en el sistema que las estáticas y
consumen más recursos de la red y del sistema.

Requisitos de redes
En Figura 6-17, para garantizar la seguridad y facilitar la administración, una empresa asigna
una VLAN para un servidor. El dispositivo del usuario pertenece a VLAN 10, y el servidor
pertenece a VLAN 20. Los switches de acceso, agregación y core se implementan entre el
usuario y el servidor. Los switches de acceso son switches de capa 2, y los switches de
agregación y core son switches de Capa 3. El usuario y el servidor deben comunicarse entre sí
debido a los requisitos del servicio.
Figura 6-17 Redes para configurar la comunicación entre diferentes segmentos de red a
través de rutas estáticas
CORE (Switch de core )

VLANIF 20:
192.168.1.1/24
GE1/0/3 GE1/0/2
AGG (Switch de
GE1/0/3
agregación)
VLANIF 10:
10.1.1.1/24
GE1/0/2
GE1/0/2 GE1/0/2
ACC1 ACC2
GE1/0/1 Switch de acceso GE1/0/1
Usuario: VLAN 10 Servidor: VLAN 20

Dirección IP: 10.1.1.2/24 Dirección IP: 192.168.1.2/24
Dirección de gateway: 10.1.1.1 Dirección de gateway: 192.168.1.1

1. Configure la asignación de VLAN basada en la interfaz para implementar la
comunicación de Capa 2.
2. Configure VLANIF 10 en el switch de agregación AGG y configure una dirección IP
para VLANIF 10 como la dirección de gateway del usuario; configure VLANIF 20 en el
switch de core CORE y configure una dirección IP para VLANIF 20 como la dirección
de gateway del servidor.
3. En el switch de agregación AGG, configure una ruta estática desde AGG al segmento de
red de la VLANIF 20; en el switch de core CORE, configure una ruta estática desde
CORE al segmento de red de la VLANIF 10. Por lo tanto, se implementa la
comunicación a través de los segmentos de red.

Procedimiento
Paso 1 Configure el switch de acceso ACC1.
# Cree las VLAN.
[Quidway] sysname ACC1 //Cambie el nombre del dispositivo a ACC1 para una fácil
identificación.
[ACC1] vlan batch 10 //Cree VLAN 10 en un lote.

[ACC1] interface gigabitethernet 1/0/1
[ACC1-GigabitEthernet1/0/1] port link-type access //Configure la interfaz
conectada a un host de usuario como la interfaz de acceso.
[ACC1-GigabitEthernet1/0/1] port default vlan 10 //Agregue el dispositivo del
usuario a VLAN 10.
[ACC1-GigabitEthernet1/0/1] quit
[ACC1-GigabitEthernet1/0/2] port link-type trunk //Configure la interfaz
conectada al switch de agregación como la interfaz trunk.
[ACC1-GigabitEthernet1/0/2] port trunk allow-pass vlan 10 //Agregue la interfaz
conectada al switch de agregación a VLAN 10.
Paso 2 Configure el switch de acceso ACC2.

# Cree las VLAN.
[Quidway] sysname ACC2 //Cambie el nombre del dispositivo a ACC2.
[ACC2] vlan batch 20 //Cree VLAN 20 en un lote.

[ACC2-GigabitEthernet1/0/1] port link-type access //Configure la interfaz
conectada a un host de usuario como la interfaz de acceso.
[ACC2-GigabitEthernet1/0/1] port default vlan 20 //Agregue el dispositivo del
usuario a VLAN 20.
[ACC2-GigabitEthernet1/0/2] port link-type trunk //Configure la interfaz
conectada al switch de core como la interfaz trunk.
[ACC2-GigabitEthernet1/0/2] port trunk allow-pass vlan 20 //Agregue la interfaz
conectada al switch de core a VLAN 20.
Paso 3 Configure el switch de agregación AGG.

# Cree las VLAN.
[Quidway] sysname AGG //Cambie el nombre del dispositivo a AGG.
[AGG] vlan batch 10 30 //Cree VLAN 10 y VLAN 30 en un lote.

[AGG] interface gigabitethernet 1/0/2
[AGG-GigabitEthernet1/0/2] port link-type trunk //Configure la interfaz como la
interfaz trunk.
[AGG-GigabitEthernet1/0/2] port trunk allow-pass vlan 10 //Agregue la interfaz a
VLAN 10.
[AGG-GigabitEthernet1/0/2] quit
[AGG] interface gigabitethernet 1/0/3
[AGG-GigabitEthernet1/0/3] port link-type trunk //Configure la interfaz como la
interfaz trunk.
[AGG-GigabitEthernet1/0/3] port trunk allow-pass vlan 30 //Agregue la interfaz

conectada al switch de core a VLAN 30.

[AGG-GigabitEthernet1/0/3] quit
# Cree VLANIF 10 y configure una dirección IP para VLANIF 10 como la dirección de

gateway.
[AGG] interface vlanif 10 //Cree VLANIF 10.
[AGG-Vlanif10] ip address 10.1.1.1 24 //Configure una dirección IP para VLANIF
10. La dirección IP es la dirección de gateway.
[AGG-Vlanif10] quit
# Cree VLANIF 30 y configure una dirección IP para VLANIF 30.

[AGG] interface vlanif 30 //Cree VLANIF 30.
[AGG-Vlanif30] ip address 10.10.30.1 24 //Configure una dirección IP para VLANIF
30. La dirección IP no puede tener conflicto con las direcciones IP del usuario y
del servidor.
[AGG-Vlanif30] quit
# Configure una ruta estática para que el PC pueda acceder al servidor.

[AGG] ip route-static 192.168.1.0 255.255.255.0 10.10.30.2 //Configure una ruta
a la dirección IP 10.10.30.2 de VLANIF 30 en el switch de core.
Paso 4 Configure el switch de core CORE.
# Cree las VLAN.

[Quidway] sysname CORE //Cambie el nombre del dispositivo a CORE.
[CORE] vlan batch 20 30 //Cree VLAN 20 y VLAN 30 en un lote.

[CORE] interface gigabitethernet 1/0/2
[CORE-GigabitEthernet1/0/2] port link-type trunk //Configure la interfaz como la
interfaz trunk.
[CORE-GigabitEthernet1/0/2] port trunk allow-pass vlan 20 //Agregue la interfaz
a VLAN 20.
[CORE-GigabitEthernet1/0/2] quit
[CORE] interface gigabitethernet 1/0/3
[CORE-GigabitEthernet1/0/3] port link-type trunk //Configure la interfaz como la
interfaz trunk.
[CORE-GigabitEthernet1/0/3] port trunk allow-pass vlan 30 //Agregue la interfaz
a VLAN 30.
[CORE-GigabitEthernet1/0/3] quit
# Cree VLANIF 20 y configure una dirección IP para VLANIF 20 como la dirección de

gateway del servidor.
[CORE] interface vlanif 20 //Cree VLANIF 20.
[CORE-Vlanif20] ip address 192.168.1.1 24 //Configure una dirección IP para
VLANIF 20. La dirección IP es la dirección de gateway del servidor.
[CORE-Vlanif20] quit
# Cree VLANIF 30 y configure una dirección IP para VLANIF 30.

[CORE] interface vlanif 30 //Cree VLANIF 30.
[CORE-Vlanif30] ip address 10.10.30.2 24 //Configure una dirección IP para
VLANIF 30.
[CORE-Vlanif30] quit
# Configure una ruta estática para que el servidor y el PC puedan accederse entre sí.
[CORE] ip route-static 10.1.1.0 255.255.255.0 10.10.30.1 //Configure una ruta
estática. Los paquetes con la dirección IP de destino de 10.1.1.0/24 se envían a
la dirección IP 10.10.30.1 de VLANIF 30 en el switch de agregación.


Configure la dirección IP de 10.1.1.2/24 para el PC en VLAN 10 y la dirección de gateway
por defecto como 10.1.1.1 (dirección IP de VLANIF 10).
Configure la dirección IP de 192.168.1.2/24 para el servidor en VLAN 20 y la dirección de
gateway por defecto como 192.168.1.1 (dirección IP de VLANIF 20).
Una vez completada la configuración, el PC en VLAN 10 y el servidor en VLAN 20 pueden
accederse entre sí.
----Fin
Archivo de configuración de ACC1
#
sysname ACC1
#
vlan batch 10
#
#
#
return
Archivo de configuración de ACC2

#
sysname ACC2
#
vlan batch 20
#
#
#
return
Archivo de configuración de AGG

#
sysname AGG
#
vlan batch 10 30
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif30
ip address 10.10.30.1 255.255.255.0
#
#


#
ip route-static 192.168.1.0 255.255.255.0 10.10.30.2
#
return
Archivo de configuración de CORE

#
sysname CORE
#
vlan batch 20 30
#
interface Vlanif20
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif30
ip address 10.10.30.2 255.255.255.0
#
#
#
ip route-static 10.1.1.0 255.255.255.0 10.10.30.1
#
return
6.3.9 Ejemplo para configurar la Super-VLAN

Descripción general de Super-VLAN
Super-VLAN, también llamada agregación de VLAN, reduce el número de las direcciones IP
requeridas, aísla las tormentas de difusión y controla el acceso de Capa 2 en las interfaces.
Una super-VLAN puede asociarse con múltiples sub-VLAN, que están aisladas en Capa 2.
Todas las sub-VLAN utilizan la dirección IP de la interfaz VLANIF correspondiente para que
la super-VLAN implemente conectividad de Capa 3 con una red externa, reduciendo de ese
modo el número de las direcciones IP requeridas.
La super-VLAN se aplica a escenarios en los que existen muchos usuarios y VLAN, las
direcciones IP de los dispositivos en muchas VLAN se encuentran en el mismo segmento de
red y es necesario implementar el aislamiento de Capa 2 entre VLAN. El proxy ARP entre
VLAN se puede habilitar para implementar la comunicación entre VLAN. Por ejemplo, esto
se puede usar en hoteles y edificios residenciales que requieren acceso de banda ancha. Una
habitación o un hogar se le asigna una VLAN y se la aísla. No se puede asignar un segmento
de red IP a cada VLAN porque las direcciones IP son finitas y hay muchas VLAN. Las
VLAN solo pueden compartir un segmento de red IP. Se supone que el segmento de red IP de
VLAN 10 es 10.10.10.0/24. Un hogar puede usar solo una o dos direcciones IP; sin embargo,
se consumen más de 200 direcciones IP. La tecnología Super-VLAN permite a los usuarios de
las VLAN 11 a 100 compartir el segmento de red IP de 10.10.10.0/24, lo que reduce el
número de las direcciones IP requeridas.
Super-VLAN es la tecnología de Capa 3 configurada en un switch de Capa 3, mientras que la
VLAN MUX está configurada en un switch de Capa 2. La MUX VLAN es más compleja de
configurar que la super-VLAN, pero su control de acceso es más flexible. Cuando el switch
consulta temporalmente a usuarios fuera de línea en la super-VLAN, el gateway debe
transmitir paquetes en cada sub-VLAN, consumiendo muchos recursos de la CPU.

l La VLAN 1 no se puede configurar como una super-VLAN.
l No se puede agregar una interfaz física a una VLAN configurada como una super-
VLAN.

producto
S2300 S2352P-EI V100R006C05
S3300 S3300SI y V100R006C05

S3300EI
S3300HI V200R001C00
S5300 S5300EI V200R001C00, V200R002C00,

V200R003C00, V200R005(C00&C01&C02)
S5300SI V200R001C00, V200R002C00,

V200R003C00, V200R005(C00&C02)
S5300HI V200R001(C00&C01), V200R002C00,

V200R003C00, V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320EI V200R007C00, V200R008C00,

V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320SI V200R008(C00&C10), V200R009C00,

V200R010C00, V200R011C10,
V200R012C00
S5320HI V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00,

V200R003C00, V200R005(C00&C01&C02)
S6320EI V200R008C00, V200R009C00,

V200R010C00, V200R011C10,
V200R012C00
S6320SI V200R011C10, V200R012C00
S6320HI V200R012C00


producto
S9300 S9303, S9306 y V200R001C00, V200R002C00,

S9312 V200R003C00, V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10), V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S9300 S9310 V200R010C00, V200R011C10,

V200R012C00
S9300X S9310X V200R010C00, V200R011C10,

V200R012C00
S9300E S9300E V200R001C00, V200R002C00,

V200R003C00, V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10), V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
NOTA
Requisitos de redes
En Figura 6-18, una compañía tiene muchos departamentos en el mismo segmento de red.
Para mejorar la seguridad del servicio, la compañía asigna diferentes departamentos a
diferentes VLAN. VLAN 2 y VLAN 3 pertenecen a diferentes departamentos. Cada
departamento quiere acceder a Internet y los PC en diferentes departamentos deben
comunicarse.

Figura 6-18 Redes de la super-VLAN
Internet
Router
GE1/0/1
VLAN 10
SwitchB Super-VLAN 4
GE1/0/5
GE1/0/5
SwitchA
GE1/0/1 GE1/0/4
GE1/0/2 GE1/0/3
VLAN 2 VLAN 3

Configure la agregación de VLAN en SwitchB para agregar las VLAN de diferentes
departamentos a una super-VLAN para que los PC en diferentes departamentos puedan
acceder a Internet usando la super-VLAN. Implemente proxy ARP en la super-VLAN para
que los PC en diferentes departamentos puedan comunicarse. La hoja de ruta de configuración
es la siguiente:
1. Configure las VLAN y las interfaces en SwitchA y SwitchB, agregue los PC de
diferentes departamentos a diferentes VLAN y configure las interfaces en SwitchA y
SwitchB para transmitir paquetes de manera transparente desde las VLAN.
2. Configure una super-VLAN, una interfaz VLANIF y una ruta estática en SwitchB para
que los PC en diferentes departamentos puedan acceder a Internet.
3. Configure proxy ARP en la super-VLAN en SwitchB para que los PC en diferentes
departamentos puedan comunicarse en Capa 3.
Procedimiento
Paso 1 Configure SwitchA.
# Agregue GE1/0/1, GE1/0/2, GE1/0/3 y GE1/0/4 a las VLAN.
[SwitchA] vlan batch 2 to 3
[SwitchA-GigabitEthernet1/0/1] port link-type access //Configure el tipo de
[SwitchA-GigabitEthernet1/0/1] port default vlan 2 //Aregue la interfaz a VLAN
2.

[SwitchA-GigabitEthernet1/0/2] port default vlan 2

[SwitchA-GigabitEthernet1/0/3] port default vlan 3 //Aregue la interfaz a VLAN
3.
# Configure GE1/0/5 para transmitir paquetes de manera transparente desde VLAN 2 y

VLAN 3.
Paso 2 Configure SwitchB.
# Cree VLAN 2, VLAN 3, VLAN 4 y VLAN 10 y configure la interfaz de SwitchB conectada

a SwitchA para transmitir paquetes de forma transparente de VLAN 2 y VLAN 3 a SwitchB.
[SwitchB] vlan batch 2 3 4 10
[SwitchB-GigabitEthernet1/0/5] port link-type trunk
[SwitchB-GigabitEthernet1/0/5] port trunk allow-pass vlan 2 3
# Configure super-VLAN 4 en SwitchB y agregue VLAN 2 y VLAN 3 a super-VLAN 4

como las sub-VLAN.
[SwitchB] vlan 4
[SwitchB-vlan4] aggregate-vlan
[SwitchB-vlan4] access-vlan 2 to 3
[SwitchB-vlan4] quit
# Cree y configure VLANIF 4 para que los PC en diferentes departamentos puedan acceder a
Internet usando super-VLAN 4.
[SwitchB-Vlanif4] ip address 10.1.1.1 24
# Configure la interfaz de enlace ascendente GE1/0/1 para transmitir paquetes de forma

transparente desde la VLAN a la que pertenecen SwitchB y el router.
[SwitchB-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
# Cree y configure VLANIF 10 y especifique la dirección IP de VLANIF 10 como la

dirección IP para conectar SwitchB y el router.
# Configure una ruta estática al router en SwitchB para que los usuarios puedan acceder a
Internet.

NOTA
Configure la interfaz del router conectado a SwitchB y asigne la dirección IP de 10.10.1.2 a la interfaz
del router. Vea el manual de configuración del router.
Paso 3 Asigne direcciones IP a los PC.

Configure las direcciones IP para los PC y asegúrese de que sus direcciones IP estén en el
mismo segmento de red que 10.1.1.1/24 (dirección IP de VLANIF 4).
Una vez completada la configuración, los PC en cada departamento pueden acceder a Internet,
pero los PC en VLAN 2 y VLAN 3 no pueden hacer ping entre sí.
Paso 4 Configure proxy ARP.
# Configure proxy ARP en super-VLAN 4 en SwitchB para que los usuarios en diferentes
departamentos puedan comunicarse en Capa 3.
[SwitchB-Vlanif4] arp-proxy inter-sub-vlan-proxy enable

Una vez completada la configuración, los usuarios en VLAN 2 y VLAN 3 pueden hacer ping
entre sí y acceder a Internet.
----Fin
#
sysname SwitchA
#
vlan batch 2 to 3
#
port default vlan 2
#
port default vlan 2
#
port default vlan 3
#
port default vlan 3
#
#
return

#
sysname SwitchB
#

#
vlan 4
aggregate-vlan
access-vlan 2 to 3
#
interface Vlanif4
ip address 10.1.1.1 255.255.255.0
arp-proxy inter-sub-vlan-proxy enable
#
interface Vlanif10
ip address 10.10.1.1 255.255.255.0
#
#
#
ip route-static 0.0.0.0 0.0.0.0 10.10.1.2
#
return
6.3.10 Ejemplo para configurar MUX VLAN para aislar usuarios

en la misma VLAN
Descripción general de MUX VLAN

La VLAN multiplexada (MUX VLAN) proporciona un mecanismo para controlar los recursos
de red a través de las VLAN. Puede implementar comunicación entre VLAN y aislamiento
dentro de VLAN. La MUX VLAN se usa a menudo en empresas y en hoteles y edificios
residenciales que requieren acceso de ancho de banda. Una empresa, hotel o edificio
residencial comparte la misma VLAN, pero cada departamento, habitación o hogar está
aislado.
MUX VLAN está configurada en un switch de Capa 2, mientras que la tecnología de VLAN
está configurada en un switch de Capa 3. MUX VLAN es más flexible en control de acceso,
pero su configuración es compleja.
l El ID de VLAN asignado a una VLAN principal no se puede usar para configurar el
mapeo de VLAN, el apilamiento de VLAN, la super-VLAN o la sub-VLAN.
l El ID de VLAN asignado a un grupo o VLAN separada no se puede usar para configurar
ninguna interfaz VLANIF, mapeo de VLAN, apilamiento de VLAN, super-VLAN o sub-
VLAN.
l Deshabilitando el aprendizaje de la dirección MAC o limitando el número de las
direcciones MAC aprendidas en una interfaz afecta la función MUX VLAN en la
interfaz.
l MUX VLAN y la seguridad del puerto no pueden configurarse simultáneamente en la
misma interfaz.
l La autenticación de MUX VLAN y dirección MAC no se puede configurar en la misma
interfaz simultáneamente.
l La autenticación de MUX VLAN y 802.1x no se puede configurar en la misma interfaz
simultáneamente.

l Si la función MUX VLAN está habilitada en una interfaz, el mapeo de VLAN y el

apilamiento de VLAN no se pueden configurar en la interfaz.
Requisitos de redes
Todos los empleados de una empresa pueden acceder a los servidores en la red de la empresa.
La empresa permite a algunos empleados comunicarse pero aísla a otros empleados.
En Figura 6-19, Switch1 se implementa en la capa de agregación y se utiliza como gateway

para los hosts de enlace descendente. Switch2, Switch3, Switch4, Switch5 y Switch6 son
switches de acceso. Sus interfaces GE1/0/1 se conectan a los hosts de enlace descendente y
sus interfaces GE1/0/2 se conectan a Switch1. Se puede configurar MUX VLAN en Switch1.
Esto reduce el número de los ID de VLAN en la red de la empresa y facilita la administración
de la red.
Figura 6-19 Redes de MUX VLAN
Internet
Switch2
Switch1 GE1/0/2
Servidor
GE1/0/3 GE1/0/6 VLAN 2
GE
(Principal VLAN)
4
/0/
1
1
/0/
GE
Switch3 Switch4 Switch5 Switch6
HostB HostC HostD HostE

VLAN 3(VLAN en grupo) VLAN 4(VLAN separado)

1. Configure la VLAN principal y una interfaz VLANIF. La dirección IP de la interfaz

VLANIF se utiliza como la dirección IP del gateway para hosts y servidores de enlace
descendente.
2. Configure el grupo VLAN.
3. Configure la VLAN separada.

4. Agregue interfaces a las VLAN y habilite la función MUX VLAN en las interfaces.
5. Agregue las interfaces de los switches de acceso a las VLAN.
Procedimiento
Paso 1 Habilite la función MUX VLAN en Switch1.
# En Switch1, cree VLAN 2, VLAN 3 y VLAN 4, y una interfaz VLANIF para VLAN 2. Se
utiliza la dirección IP de la interfaz VLANIF como la dirección IP del gateway para hosts y
servidores de enlace descendente.
[Switch1] vlan batch 2 3 4
[Switch1] interface vlanif 2
[Switch1-Vlanif2] ip address 192.168.100.100 24
[Switch1-Vlanif2] quit
# Configure la VLAN grupo y la VLAN separada de la MUX VLAN en Switch1.

[Switch1] vlan 2
[Switch1-vlan2] mux-vlan
[Switch1-vlan2] subordinate group 3 //Configure VLAN 3 como el grupo de VLAN.
[Switch1-vlan2] subordinate separate 4 //Configure VLAN 4 como la VLAN separada.
# Agregue interfaces a las VLAN en Switch1 y habilite la función MUX VLAN en las
interfaces.
[Switch1-GigabitEthernet1/0/2] port mux-vlan enable vlan 2 //En V200R003C00 y
versiones anteriores, no debe especificar la VLAN. Una interfaz solo puede unirse
a la VLAN MUX o VLAN separada, o a una VLAN de grupo.
[Switch1-GigabitEthernet1/0/3] port mux-vlan enable vlan 3
Paso 2 Configure las interfaces de los switches de acceso y agréguelos a las VLAN. Las
configuraciones de Switch3, Switch4, Switch5 y Switch6 son similares a la configuración de
Switch2, y no se mencionan aquí.
[Switch2] vlan batch 2
[Switch2-GigabitEthernet1/0/1] port link-type access //Configure el tipo de

[Switch2-GigabitEthernet1/0/1] port default vlan 2

[Switch2-GigabitEthernet1/0/2] port trunk allow-pass vlan 2 //Configure el tipo
de enlace de la interfaz como trunk.

El servidor puede comunicarse con HostB, HostC, HostD y HostE.
HostB puede comunicarse con HostC.
HostD no se puede comunicar con HostE.
HostB y HostC no pueden comunicarse con HostD o HostE.
----Fin
Archivo de configuración de Switch1
#
sysname Switch1
#
vlan batch 2 to 4
#
vlan 2
mux-vlan
subordinate separate 4
subordinate group 3
#
interface Vlanif2
ip address 192.168.100.100 255.255.255.0
#
port mux-vlan enable vlan 2
#
#
#
#
#
return

sysname Switch2
#
vlan batch 2
#
port default vlan 2
#
#
return
#
sysname Switch3
#
vlan batch 3
#
port default vlan 3
#
#
return
#
sysname Switch4
#
vlan batch 3
#
port default vlan 3
#
#
return
#
sysname Switch5
#
vlan batch 4
#
port default vlan 4
#
#
return

#
sysname Switch6
#
vlan batch 4
#
port default vlan 4
#
#
return
6.4 Configuración típica de QinQ

6.4.1 Ejemplo para configurar QinQ básico
Descripción general de QinQ

802.1Q-in-802.1Q (QinQ) expande el espacio VLAN añadiendo una etiqueta 802.1Q
adicional a los paquetes etiquetados 802.1Q. Permite que los servicios en una VLAN privada
se transmitan de forma transparente a través de una red pública.
QinQ básico, también llamado túnel QinQ, se realiza en las interfaces. Cuando una interfaz
habilitada con QinQ básico recibe un paquete, el dispositivo agrega la etiqueta de VLAN por
defecto de su interfaz al paquete. Si el paquete recibido está etiquetado, tiene etiquetas de
VLAN dobles. Si el paquete recibido no tiene etiqueta, tiene la etiqueta de VLAN por defecto
de la interfaz.
Cuando se requieren demasiadas VLAN, usted puede configurar QinQ básico. QinQ básico, al
agregar una etiqueta externa, expande el espacio VLAN y resuelve el problema de escasez de
VLAN.
Requisitos de redes
Como se muestra en Figura 6-20, una red tiene dos empresas: empresa 1 y empresa 2. Ambas
empresas tienen dos sucursales. Las redes, empresa 1 y empresa 2, se conectan a SwitchA y
SwitchB, respectivamente, de la red ISP. Además, hay dispositivos que no son de Huawei en
la red pública y el TPID en la etiqueta de VLAN externa es 0x9100.
Los requisitos son los siguientes:
l Las VLAN deben asignarse de forma independiente a la empresa 1 y a la empresa 2.
l El tráfico entre las dos sucursales de cada empresa se transmite de forma transparente a
través de la red pública. Los usuarios que acceden al mismo servicio en diferentes
sucursales de cada empresa pueden comunicarse y los usuarios que acceden a diferentes
servicios deben estar aislados.
QinQ se puede usar para cumplir los requisitos anteriores. Configure VLAN 100 y VLAN
200 para implementar la conectividad de la empresa 1 y la empresa 2, respectivamente, y

aislar la empresa 1 y la empresa 2; configure el TPID en la etiqueta de VLAN externa en las

interfaces de conmutación conectadas a dispositivos que no sean de Huawei para que los
switches de Huawei puedan comunicarse con los dispositivos que no son de Huawei.
Figura 6-20 Redes de QinQ básico
ISP
VLAN 100,200
TPID=0x9100
GE1/0/3 GE1/0/3
Switch A Switch B
GE1/0/1 GE1/0/2 GE1/0/1 GE1/0/2
Empresa 1 Empresa 2 Empresa 1 Empresa 2

VLAN 10 a 50 VLAN 20 a 60 VLAN 10 a 50 VLAN 20 a 60

1. Cree VLAN 100 y VLAN 200 en SwitchA y SwitchB, configure las interfaces
conectadas como interfaces QinQ y agregue las interfaces a las VLAN para que se
agreguen diferentes etiquetas de VLAN a los paquetes de diferentes servicios.
2. Agregue las interfaces de SwitchA y SwitchB que están conectadas a la red pública a las
VLAN para que los paquetes de VLAN 100 y VLAN 200 puedan pasar.
3. Configure el TPID en la etiqueta de VLAN externa en las interfaces de SwitchA y
SwitchB que están conectadas a la red pública para que SwitchA y SwitchB puedan
comunicarse con dispositivos que no sean de Huawei.
Procedimiento
Paso 1 Cree las VLAN.
# Cree VLAN 100 y VLAN 200 en SwitchA.
# Cree VLAN 100 y VLAN 200 en SwitchB.

[SwitchB] vlan batch 100 200

Paso 2 Ajuste el tipo del enlace de las interfaces a QinQ.

# Configure GE1/0/1 y GE1/0/2 de SwitchA como interfaces de QinQ, y ajuste la VLAN por
defecto de GE1/0/1 para VLAN 100 y la VLAN por defecto de GE para VLAN 200. VLAN
100 y VLAN 200 se agregan a las etiquetas externas. La configuración de SwitchB es similar
[SwitchA-GigabitEthernet1/0/1] port link-type dot1q-tunnel //Configure el tipo de
enlace de la interfaz como QinQ.
[SwitchA-GigabitEthernet1/0/2] port link-type dot1q-tunnel //Configure el tipo de
enlace de la interfaz como QinQ.
Paso 3 Configure las interfaces de conmutación conectadas a la red pública.

# Agregue GE1/0/3 en Switch A para VLAN 100 y VLAN 200. La configuración de SwitchB
es similar a la configuración de SwitchA, y no se menciona aquí.
[SwitchA-GigabitEthernet1/0/3] port trunk allow-pass vlan 100 200
Paso 4 Configure el TPID en la etiqueta de VLAN externa.

# Ajuste el TPID en la etiqueta de VLAN externa para 0x9100 en SwitchA.
[SwitchA-GigabitEthernet1/0/3] qinq protocol 9100 //Establezca el TPID en la
etiqueta VLAN externa a 0x9100.
# Ajuste el TPID en la etiqueta de VLAN externa para 0x9100 en SwitchB.

[SwitchB-GigabitEthernet1/0/3] qinq protocol 9100 //Establezca el TPID en la
etiqueta VLAN externa a 0x9100.

En una PC en una VLAN de una sucursal en la empresa 1, haga ping a una PC en la misma
VLAN de la otra sucursal en la empresa 1. La operación de ping tiene éxito, lo que indica que
las sucursales de la empresa 1 pueden comunicarse entre sí.
las sucursales de la empresa 2 pueden comunicarse entre sí.
las sucursales de la empresa 1 y la empresa 2 pueden comunicarse entre sí.
----Fin
#
sysname SwitchA
#

vlan batch 100 200

#
port link-type dot1q-tunnel
#
#
qinq protocol 9100
#
return

#
sysname SwitchB
#
vlan batch 100 200
#
#
#
qinq protocol 9100
#
return
6.4.2 Ejemplo para configurar el QinQ selectivo basado en VLAN

ID

QinQ selectivo, también llamado apilamiento de VLAN o apilamiento de QinQ, es una

extensión de QinQ. El QinQ selectivo se realiza en base a interfaces e ID de VLAN. Además
de las funciones de QinQ básico, QinQ selectivo toma diferentes acciones para los paquetes
recibidos por la misma interfaz basados en las VLAN.
QinQ selectivo basado en ID de VLAN agrega diferentes etiquetas de VLAN externas a

paquetes con diferentes ID de VLAN internas.
Al configurar QinQ selectivo en el switch, preste atención a los siguientes puntos:
l Antes de configurar QinQ selectivo en un switch fijo, debe ejecutar el comando qinq
vlan-translation enable para habilitar la traducción de VLAN.

l Selective QinQ solo se puede habilitar en interfaces híbridas en la dirección de entrada.

l La VLAN externa debe crearse antes de que se realice QinQ selectivo.
l Cuando una interfaz configurada con apilamiento de VLAN necesita eliminar la etiqueta
externa de las tramas salientes, la interfaz debe unirse a la VLAN especificada por stack-
vlan en modo sin etiqueta. Si no es necesario eliminar la VLAN externa, la interfaz debe
unirse a la VLAN especificada por stack-vlan en modo etiquetado.
l El dispositivo configurado con QinQ selectivo puede agregar solo una etiqueta de VLAN
externa a un marco con una etiqueta de VLAN interna en una interfaz.
l Si solo se deben transmitir transparentemente paquetes con una sola etiqueta desde una
VLAN, no especifique la VLAN como VLAN interna del QinQ selectivo.
l La asignación de VLAN (por ejemplo, port vlan-mapping vlan 20 map-vlan 20) debe
configurarse para mapear la VLAN a sí misma desde la cual los paquetes de una sola
etiqueta deben transmitirse de forma transparente después de que QinQ selectivo esté
configurado en las siguientes tarjetas y dispositivos:
– Tarjetas LE0MG24CA y LE0MG24SA
– S5300EI, S3300EI, y S3300SI
Requisitos de redes
Como se muestra en Figura 6-21, los usuarios de acceso a Internet (que usan PC) y VoIP (que
usan teléfonos VoIP) se conectan a la red ISP a través de SwitchA y SwitchB y se comunican
entre sí a través de la red ISP.
En la empresa, VLAN 100 se asigna a los PC y VLAN 300 se asigna a los teléfonos VoIP.
Se requiere que los paquetes de PC y teléfonos VoIP se etiqueten como VLAN 2 y VLAN 3
respectivamente cuando los paquetes se transmiten a través de la red ISP.
Figura 6-21 Redes de QinQ selectivo basado en VLAN ID
SwitchA SwitchB
GE1/0/2 Red GE1/0/2
operador
GE1/0/1 GE1/0/1
PC VoIP VoIP PC


1. Cree VLAN en SwitchA y SwitchB.

2. Configure los tipos de enlace de las interfaces y agregue interfaces a las VLAN en
SwitchA y SwitchB.
3. Configure QinQ selectivo en las interfaces de SwitchA y SwitchB.
Procedimiento
Paso 1 Cree las VLAN
# En SwitchA, cree VLAN 2 y VLAN 3, es decir, los ID de VLAN de la etiqueta de VLAN
externa que se agregará.
# En SwitchB, cree VLAN 2 y VLAN 3, es decir, los ID de VLAN de la etiqueta de VLAN

Paso 2 Configure QinQ selectivo en las interfaces.

NOTA
Cuando se utilice un switch fijo, debe ejecutar el comando qinq vlan-translation enable en la vista de
interfaz para habilitar la traducción de VLAN.
# Configure GE1/0/1 en SwitchA.

[SwitchA-GigabitEthernet1/0/1] port link-type hybrid
[SwitchA-GigabitEthernet1/0/1] port hybrid untagged vlan 2 3 //Agregue la
interfaz híbrida a las VLAN en modo sin etiqueta.
[SwitchA-GigabitEthernet1/0/1] port vlan-stacking vlan 100 stack-vlan 2 //
Configure la etiqueta de VLAN interna como VLAN 100 y agregue VLAN 2 en la
etiqueta de VLAN externa.
[SwitchA-GigabitEthernet1/0/1] port vlan-stacking vlan 300 stack-vlan 3 //
# Configure GE1/0/1 en SwitchB.

[SwitchB-GigabitEthernet1/0/1] port link-type hybrid
[SwitchB-GigabitEthernet1/0/1] port hybrid untagged vlan 2 3 //Agregue la
interfaz híbrida a las VLAN en modo sin etiqueta.
[SwitchB-GigabitEthernet1/0/1] port vlan-stacking vlan 100 stack-vlan 2 //
[SwitchB-GigabitEthernet1/0/1] port vlan-stacking vlan 300 stack-vlan 3 //
Paso 3 Configure otras interfaces.

# Agregue GE1/0/2 en SwitchA para VLAN 2 y VLAN 3.

# Agregue GE1/0/2 en SwitchB para VLAN 2 y VLAN 3.


Si las configuraciones en SwitchA y SwitchB son correctas, usted puede obtener la siguiente
información:
l los PC pueden comunicarse entre sí a través de la red ISP.
l Los teléfonos VoIP pueden comunicarse entre sí a través de la red ISP.
----Fin
#
sysname SwitchA
#
vlan batch 2 to 3
#
port hybrid untagged vlan 2 to 3
port vlan-stacking vlan 100 stack-vlan 2
#
#
return

#
sysname SwitchB
#
vlan batch 2 to 3
#
#
#
return
6.4.3 Ejemplo para configurar QinQ selectivo basado en flujo

QinQ selectivo, también llamado apilamiento de VLAN o apilamiento de QinQ, es una
extensión de QinQ. El QinQ selectivo se realiza en base a interfaces e ID de VLAN. Además

de las funciones de QinQ básico, QinQ selectivo toma diferentes acciones para los paquetes
recibidos por la misma interfaz basados en las VLAN.
QinQ selectivo basado en flujo agrega etiquetas de VLAN externas basadas en políticas de
tráfico. Puede proporcionar servicios diferenciados según los tipos de servicio.
Al configurar QinQ selectivo en el switch, preste atención a los siguientes puntos:
l Selective QinQ solo se puede habilitar en interfaces híbridas en la dirección de entrada.
l La VLAN externa debe crearse antes de que se realice QinQ selectivo.
l Cuando una interfaz configurada con apilamiento de VLAN necesita eliminar la etiqueta
externa de las tramas salientes, la interfaz debe unirse a la VLAN especificada por stack-
vlan en modo sin etiqueta. Si no es necesario eliminar la VLAN externa, la interfaz debe
unirse a la VLAN especificada por stack-vlan en modo etiquetado.
l El dispositivo configurado con QinQ selectivo puede agregar solo una etiqueta de VLAN
externa a un marco con una etiqueta de VLAN interna en una interfaz.
l Si solo se deben transmitir transparentemente paquetes con una sola etiqueta desde una
VLAN, no especifique la VLAN como VLAN interna del QinQ selectivo.
Requisitos de redes
Como se muestra en Figura 6-22, los usuarios de acceso a Internet (que usan PC) y VoIP (que
usan teléfonos VoIP) se conectan a la red ISP a través de SwitchA y SwitchB y se comunican
entre sí a través de la red ISP.
Se requiere que los paquetes de PC y teléfonos VoIP se etiqueten como VLAN 2 y VLAN 3
respectivamente cuando los paquetes se transmiten a través de la red ISP. QinQ selectivo
basado en flujo puede configurarse para cumplir con el requisito.
Figura 6-22 Redes de QinQ selectivo basado en flujo
SwitchA SwitchB
GE1/0/2 Red GE1/0/2
operador
GE1/0/1 GE1/0/1
PC VoIP VoIP PC
VLAN 100-200 VLAN 300-400 VLAN 300-400 VLAN 100-200


1. Cree VLAN en SwitchA y SwitchB.

2. Configure clasificadores de tráfico, comportamientos de tráfico y políticas de tráfico en
SwitchA y SwitchB.
3. Configure los tipos de enlace de las interfaces en SwitchA y SwitchB y agregue las
interfaces a las VLAN.
4. Aplique las políticas de tráfico a las interfaces en SwitchA y SwitchB para implementar
QinQ selectivo.
Procedimiento
Paso 1 Cree las VLAN
# En SwitchA, cree VLAN 2 y VLAN 3, es decir, los ID de VLAN de la etiqueta de VLAN

# En SwitchB, cree VLAN 2 y VLAN 3, es decir, los ID de VLAN de la etiqueta de VLAN

Paso 2 Configure clasificadores de tráfico, comportamientos de tráfico y políticas de tráfico en

SwitchA y SwitchB.
# Configure los clasificadores de tráfico, los comportamientos de tráfico y la política de

tráfico en SwitchA.
[SwitchA] traffic classifier name1 //Configure un clasificador de tráfico
llamado name1.
[SwitchA-classifier-name1] if-match vlan-id 100 to 200 //Configure una regla de
coincidencia para que coincida con los paquetes de las VLAN 100 a 200.
[SwitchA-classifier-name1] quit
[SwitchA] traffic behavior name1 //Configure un comportamiento de tráfico
llamado name1.
[SwitchA-behavior-name1] nest top-most vlan-id 2 //Configure una acción de
agregar VLAN 2 en una etiqueta de VLAN externa en un comportamiento de tráfico.
En V200R009 y versiones posteriores, el comando se cambia a add-tag vlan-id.
[SwitchA-behavior-name1] quit
[SwitchA] traffic classifier name2 //Configure un clasificador de tráfico
llamado name2.
[SwitchA-classifier-name2] if-match vlan-id 300 to 400 //Configure una regla de
[SwitchA-classifier-name2] quit
[SwitchA] traffic behavior name2 //Configure un comportamiento de tráfico
llamado name2.
[SwitchA-behavior-name2] nest top-most vlan-id 3 //Configure una acción de
[SwitchA-behavior-name2] quit
[SwitchA] traffic policy name1 //Configure una política de tráfico llamada name1.
[SwitchA-trafficpolicy-name1] classifier name1 behavior name1
[SwitchA-trafficpolicy-name1] classifier name2 behavior name2
[SwitchA-trafficpolicy-name1] quit

# Configure los clasificadores de tráfico, el comportamiento del tráfico y la política de tráfico

en SwitchB.
[SwitchB] traffic classifier name1 //Configure un clasificador de tráfico llamado
name1.
[SwitchB-classifier-name1] if-match vlan-id 100 to 200 //Configure una regla de
[SwitchB-classifier-name1] quit
[SwitchB] traffic behavior name1 //Configure un comportamiento de tráfico
llamado name1.
[SwitchB-behavior-name1] nest top-most vlan-id 2 //Configure una acción de
[SwitchB-behavior-name1] quit
[SwitchB] traffic classifier name2 //Configure un clasificador de tráfico
llamado name2.
[SwitchB-classifier-name2] if-match vlan-id 300 to 400 //Configure una regla de
[SwitchB-classifier-name2] quit
[SwitchB] traffic behavior name2 //Configure un comportamiento de tráfico
llamado name2.
[SwitchB-behavior-name2] nest top-most vlan-id 3 //Configure una acción de
[SwitchB-behavior-name2] quit
[SwitchB] traffic policy name1 //Configure una política de tráfico llamada name1.
[SwitchB-trafficpolicy-name1] classifier name1 behavior name1
[SwitchB-trafficpolicy-name1] classifier name2 behavior name2
[SwitchB-trafficpolicy-name1] quit
Paso 3 Aplique las políticas de tráfico a las interfaces en SwitchA y SwitchB para implementar QinQ
selectivo.
# Configure GE1/0/1 en SwitchA.

[SwitchA-GigabitEthernet1/0/1] port hybrid untagged vlan 2 3
[SwitchA-GigabitEthernet1/0/1] traffic-policy name1 inbound //Aplique el name1
de la política de tráfico a la interfaz en la dirección entrante.
# Configure GE1/0/1 en SwitchB.

[SwitchB-GigabitEthernet1/0/1] port link-type hybrid
[SwitchB-GigabitEthernet1/0/1] port hybrid untagged vlan 2 3
[SwitchB-GigabitEthernet1/0/1] traffic-policy name1 inbound //Aplique el name1
de la política de tráfico a la interfaz en la dirección entrante.
Paso 4 Configure otras interfaces.
# Agregue GE1/0/2 en SwitchA a VLAN 2 y VLAN 3.

# Agregue GE1/0/2 en SwitchB a VLAN 2 y VLAN 3.


Si las configuraciones en SwitchA y SwitchB son correctas, puede obtener la siguiente

información:
l los PC pueden comunicarse entre sí a través de la red ISP.
l Los teléfonos VoIP pueden comunicarse entre sí a través de la red ISP.
----Fin
#
sysname SwitchA
#
vlan batch 2 to 3
#
traffic classifier name1 operator or precedence 5
if-match vlan-id 100 to 200
#
traffic behavior name1
permit
nest top-most vlan-id 2
permit
#
traffic policy name1 match-order config
classifier name1 behavior name1
#
traffic-policy name1 inbound
#
#
return

#
sysname SwitchB
#
vlan batch 2 to 3
#
#
permit
permit
#
traffic policy name1 match-order config
#
traffic-policy name1 inbound

#
#
return
6.5 Ejemplos típicos de MSTP/RRPP/SEP/VBST

6.5.1 Ejemplo para configurar STP
En general, los enlaces redundantes se utilizan en una red de conmutación de Ethernet para
proporcionar la copia de seguridad del enlace y mejorar la confiabilidad de la red. El uso de
los enlaces redundantes, sin embargo, puede producir bucles, causando tormentas de difusión
y volviendo inestable la tabla de direcciones MAC. Como resultado, la calidad de la
comunicación se deteriora y los servicios de comunicación pueden interrumpirse. El
Protocolo del árbol de expansión (STP) se usa para resolver estos problemas. STP evita
bucles. Los dispositivos que ejecutan STP descubren bucles en la red intercambiando
información entre ellos y bloquean algunos puertos para eliminar bucles.
STP se refiere a STP definido en IEEE 802.1D, Protocolo del árbol de expansión rápida
(RSTP) definido en IEEE 802.1W y Protocolo de los árboles múltiples de expansión(MSTP)
definido en IEEE 802.1S.
MSTP es compatible con RSTP y STP, y RSTP es compatible con STP. Tabla 6-8 Comparan
STP, RSTP, y MSTP.
Tabla 6-8 Comparaciones entre STP, RSTP y MSTP

Protocol Características Escenario de aplicación
o del
árbol de
expansió
n
STP l Forma un árbol sin bucles para No es necesario diferenciar el tráfico

evitar tormentas de difusión e del usuario o del servicio, y todas las
implementar redundancia. VLAN comparten un árbol de
l Proporciona una convergencia expansión.
lenta.
RSTP l Forma un árbol sin bucles para

evitar tormentas de difusión e
implementar redundancia.
l Proporciona una convergencia
rápida.


o del
árbol de
expansió
n
MSTP l Forma árboles múltiples sin El tráfico del usuario o del servicio
bucles para evitar tormentas de debe diferenciarse y equilibrarse en la
difusión e implementar carga. El tráfico desde diferentes
redundancia. VLAN se reenvía a través de los
l Proporciona una convergencia diferentes árboles de expansión
rápida. independientes entre sí.
l Implementa el equilibrio de carga
entre VLAN y reenvía el tráfico
en diferentes VLAN a lo largo de
diferentes rutas.
l Los puertos conectados a los terminales no participan en el cálculo de STP. Por lo tanto,
configure los puertos como puertos de borde o deshabilite STP en los puertos.
Requisitos de redes
Para implementar la redundancia en una red compleja, los diseñadores de red tienden a
desplegar múltiples enlaces físicos entre dos dispositivos, uno de los cuales es el enlace
primario y los otros son enlaces de reserva. Pueden producirse bucles, lo que causa tormentas
de difusión o hace que la tabla de direcciones MAC se quede inestable.
Después de que un diseñador de red implemente una red, STP se puede implementar en la red
para evitar bucles. Cuando existen bucles en una red, STP bloquea un puerto para eliminar los
bucles. En Figura 6-23, SwitchA, SwitchB, SwitchC y SwitchD que ejecutan STP
intercambian STP BPDU para descubrir bucles en la red y bloquear puertos para podar la red
en una red de árbol sin bucles. STP evita el bucle infinito de paquetes para garantizar la
capacidad de procesamiento de paquetes de los switches.

Figura 6-23 Redes de STP
Red
GE1/0/3 GE1/0/3
Root
SwitchD GE1/0/1 GE1/0/1
Bridge
GE1/0/2 GE1/0/2 SwitchA
STP
GE1/0/3 GE1/0/3
SwitchC SwitchB
GE1/0/1 GE1/0/1
GE1/0/2 GE1/0/2
PC1 PC2
Puerto
bloqueado

1. Configure los dispositivos de conmutación en la red en anillo para funcionar en modo
STP.
2. Configure el root bridge y el secondary root bridge.
3. Configure el costo de la ruta de un puerto para que el puerto pueda ser bloqueado.
4. Habilite STP para eliminar bucles.
Procedimiento
Paso 1 Configure las funciones básicas de STP.
1. Configure los dispositivos de conmutación en la red en anillo para funcionar en modo
STP.
# Configure SwitchA para funcionar en modo STP.
[SwitchA] stp mode stp
# Configure SwitchB para funcionar en modo STP.

[SwitchB] stp mode stp
# Configure SwitchC para funcionar en modo STP.

[SwitchC] stp mode stp
# Configure SwitchD para funcionar en modo STP.

[SwitchD] stp mode stp

# Configure SwitchA como root bridge.
[SwitchA] stp root primary
# Configure SwitchD como el secondary root bridge.

[SwitchD] stp root secondary
NOTA
– El rango de costo de la ruta depende del algoritmo. El algoritmo patentado de Huawei se usa
como ejemplo. Ajuste los costos de la ruta de los puertos a ser bloqueados a 20000.
– Los dispositivos de conmutación en la misma red deben usar el mismo algoritmo para calcular
el costo de la ruta de los puertos.
# Configure SwitchA para usar el algoritmo patentado de Huawei para calcular el costo
de la ruta.
[SwitchA] stp pathcost-standard legacy
# Configure SwitchB para usar el algoritmo patentado de Huawei para calcular el costo
de la ruta.
[SwitchB] stp pathcost-standard legacy
# Configure SwitchC para utilizar el algoritmo patentado de Huawei para calcular el

costo de la ruta.
[SwitchC] stp pathcost-standard legacy
# Ajuste el costo de ruta de GigabitEthernet1/0/1 en SwitchC a 20000.

[SwitchC-GigabitEthernet1/0/1] stp cost 20000
# Configure SwitchD para usar el algoritmo patentado de Huawei para calcular el costo
de la ruta.
[SwitchD] stp pathcost-standard legacy
4. Habilite STP para eliminar bucles.

– Configure los puertos conectados a los PC como puertos de borde.
# Configure GigabitEthernet1/0/2 de SwitchB como un puerto de borde.
[SwitchB-GigabitEthernet1/0/2] stp edged-port enable
(Opcional) Configure la protección BPDU en SwitchB.

[SwitchB] stp bpdu-protection
# Configure GigabitEthernet1/0/2 de SwitchC como un puerto de borde.

[SwitchC-GigabitEthernet1/0/2] stp edged-port enable
(Opcional) Configure la protección BPDU en SwitchC.

[SwitchC] stp bpdu-protection

NOTA
Si los puertos de borde están conectados a dispositivos de red que tienen STP habilitado y la
protección BPDU está habilitada, los puertos de borde se apagarán y sus atributos
permanecerán sin cambios después de recibir BPDU.
– Habilite STP globalmente en dispositivos.
# Habilite STP globalmente en SwitchA.
[SwitchA] stp enable
# Habilite STP globalmente en SwitchB.

[SwitchB] stp enable
# Habilite STP globalmente en SwitchC.

[SwitchC] stp enable
# Habilite STP globalmente en SwitchD.

[SwitchD] stp enable

Una vez que sea completada la configuración y la topología de red se vuelva estable, realice
las siguientes operaciones para verificar la configuración.
# Ejecute el comando display stp brief en SwitchA para ver el estado del puerto y el tipo de
la protección. La información mostrada es la siguiente:
[SwitchA] display stp brief
MSTID Port Role STP State Protection
0 GigabitEthernet1/0/1 DESI FORWARDING NONE
Después de que SwitchA se configure como el root bridge, GigabitEthernet1/0/2 y

GigabitEthernet1/0/1 conectado a SwitchB y SwitchD se seleccionan como puertos diseñados.
# Ejecute el comando display stp interface gigabitethernet 1/0/1 brief en SwitchB para
verificar el estado de GigabitEthernet1/0/1. La siguiente información es la mostrada:
[SwitchB] display stp interface gigabitethernet 1/0/1 brief
GigabitEthernet1/0/1 se vuelve como el puerto designado y se queda bajo el estado

FORWARDING.
# Ejecute el comando display stp brief en SwitchC para verificar el estado del puerto.
[SwitchC] display stp brief
0 GigabitEthernet1/0/1 ALTE DISCARDING NONE
0 GigabitEthernet1/0/3 ROOT FORWARDING NONE

FORWARDING.
DISCARDING.
----Fin
#
sysname SwitchA

#
stp mode stp
stp instance 0 root primary
stp pathcost-standard legacy
stp enable
#
return

#
sysname SwitchB
#
stp mode stp
stp bpdu-protection
stp enable
#
stp edged-port enable
#
return

#
sysname SwitchC
#
stp mode stp
stp bpdu-protection
stp enable
#
#
#
return

#
sysname SwitchD
#
stp mode stp
stp instance 0 root secondary
stp enable
#
return
6.5.2 Ejemplo para configurar RSTP


STP, RSTP, y MSTP.

o del
árbol de
expansió
n

lenta.

rápida.
diferentes rutas.
l Los puertos conectados a los terminales no participan en el cálculo de RSTP. Por lo
tanto, configure los puertos como puertos de borde o deshabilite STP en los puertos.
Requisitos de redes
Para implementar la redundancia en una red compleja, los diseñadores de red tienden a
de difusión o hace que la tabla de direcciones MAC se quede inestable.
Después de que un diseñador de red implemente una red, RSTP se puede implementar en la
red para evitar bucles. Cuando existen bucles en una red, RSTP bloquea un puerto para

eliminar los bucles. En Figura 6-24, SwitchA, SwitchB, SwitchC, y SwitchD que ejecutan
RSTP intercambian las RSTP BPDU para descubrir bucles en la red y bloquear puertos para
podar la red en una red de árbol sin bucles. RSTP evita el bucle infinito de paquetes para
garantizar la capacidad de procesamiento de paquetes de los switches.
Figura 6-24 Redes de RSTP
Red
GE1/0/3 GE1/0/3
Root
SwitchD GE1/0/1 GE1/0/1
Bridge
GE1/0/2 GE1/0/2 SwitchA
RSTP
GE1/0/3 GE1/0/3
SwitchC SwitchB
GE1/0/1 GE1/0/1
GE1/0/2 GE1/0/2
PC1 PC2
Puerto
bloqueado

1. Configure las funciones básicas de RSTP en los dispositivos de conmutación de la red en
anillo.
a. Configure los dispositivos de conmutación en la red en anillo para que funcionen en
modo RSTP.
b. Configure el root bridge y el secondary root bridge.
c. Configure el costo de la ruta de un puerto para que el puerto pueda ser bloqueado.
d. Habilite RSTP para eliminar bucles.
2. Habilite las funciones de protección para proteger dispositivos o enlaces. Por ejemplo,
habilite la protección de root en el puerto designado del root bridge.
Procedimiento
Paso 1 Configure funciones básicas de RSTP.
1. Configure los dispositivos de conmutación en la red en anillo para que funcionen en
modo RSTP.

# Configure SwitchA para funcionar en modo RSTP.

# Configure SwitchB para funcionar en modo RSTP.

[SwitchB] stp mode rstp
# Configure SwitchC para funcionar en modo RSTP.

[SwitchC] stp mode rstp
# Configure SwitchD para funcionar en modo RSTP.

[SwitchD] stp mode rstp

# Configure SwitchA como el root bridge.
[SwitchA] stp root primary
# Configure SwitchD como el secondary root bridge.

[SwitchD] stp root secondary
NOTA
– El rango de costo de la ruta depende del algoritmo. El algoritmo patentado de Huawei se usa
como ejemplo. Ajuste los costos de la ruta de los puertos a ser bloqueados a 20000.
de la ruta.
de la ruta.

costo de la ruta.
# Ajuste el costo de la ruta de GigabitEthernet1/0/1 en SwitchC a 20000.

[SwitchC-GigabitEthernet1/0/1] stp cost 20000
de la ruta.
4. Habilite RSTP para eliminar bucles.

– Configure los puertos conectados a los PC como puertos de borde.
# Configure GigabitEthernet1/0/2 en SwitchB como un puerto de borde.

# Configure GigabitEthernet1/0/2 en SwitchC como un puerto de borde.


NOTA
– Habilite RSTP globalmente en dispositivos.
# Habilite RSTP en SwitchA.
# Habilite RSTP globalmente en SwitchB.

# Habilite RSTP globalmente en SwitchC.

# Habilite RSTP globalmente en SwitchD.

Paso 2 Habilite las funciones de protección. A continuación, se usa protección de root en el puerto
designado del root bridge como ejemplo.
# Configure la protección de root en GigabitEthernet1/0/1 de SwitchA.
[SwitchA-GigabitEthernet1/0/1] stp root-protection
# Configure la protección de root en GigabitEthernet1/0/2 de SwitchA.


Una vez completada la configuración y la topología de red vuelva estable, realice las
siguientes operaciones para verificar la configuración.
# Ejecute el comando display stp brief en SwitchA para ver el estado y el tipo de protección
en los puertos. La información mostrada es la siguiente:
0 GigabitEthernet1/0/1 DESI FORWARDING ROOT
Después de que SwitchA se configure como el root bridge, GigabitEthernet1/0/2 y

GigabitEthernet1/0/1 conectadas a SwitchB y SwitchD se vuelven como puertos designados y
configurados con protección de root.
# Ejecute el comando display stp interface gigabitethernet 1/0/1 brief en SwitchB para
verificar el estado de GigabitEthernet1/0/1. La siguiente información es la mostrada:
[SwitchB] display stp interface gigabitethernet 1/0/1 brief


FORWARDING.
# Ejecute el comandodisplay stp brief en SwitchC para verificar el estado del puerto.
GE1/0/1 se vuelve como el puerto alternativo y se queda bajo el estado DISCARDING.
GE1/0/3 se vuelve como el root bridge y se queda bajo el estado FORWARDING.
----Fin
#
sysname SwitchA
#
stp mode rstp
stp enable
#
stp root-protection
#
stp root-protection
#
return

#
sysname SwitchB
#
stp mode rstp
stp bpdu-protection
stp enable
#
#
return

#
sysname SwitchC
#
stp mode rstp
stp bpdu-protection
stp enable
#
#
#
return


#
sysname SwitchD
#
stp mode rstp
stp enable
#
return
6.5.3 Ejemplo para configurar MSTP

STP, RSTP, y MSTP.

o del
árbol de
expansió
n

lenta.

rápida.


o del
árbol de
expansió
n
diferentes rutas.
l Los puertos conectados a los terminales no participan en el cálculo MSTP. Por lo tanto,
Requisitos de redes
Para implementar la redundancia en una red compleja, los diseñadores de redes tienden a
de difusión o hace que la tabla de direcciones MAC se quede inestable. MSTP se puede usar
para evitar bucles. MSTP bloquea enlaces redundantes y corta una red en una topología de
árbol libre de bucles.
En Figura 6-25, SwitchA, SwitchB, SwitchC, y SwitchD ejecutan MSTP. MSTP utiliza
instancias múltiples para implementar el equilibrio de carga del tráfico en VLAN 2 a 10 y
VLAN 11 a 20. Se puede usar la tabla de mapeo de VLAN que define el mapeo entre VLAN
y MSTI.

Figura 6-25 Redes de MSTP
Red
RG1
SwitchA Eth-Trunk1 SwitchB
GE1/0/1 Eth-Trunk1 GE1/0/1
GE1/0/3 GE1/0/3
GE1/0/2
SwitchC SwitchD
GE1/0/2
GE1/0/1 GE1/0/1
VLAN 2~10 MSTI 1

VLAN 11~20 MSTI 2
MSTI 1:
Switch Root: SwitchA

Puerto bloqueado
MSTI 2:
Switch Root: SwitchB

Puerto bloqueado

1. Configure las funciones básicas de MSTP en los dispositivos de conmutación de la red

en anillo.
habilite la protección de root en el puerto designado del root bridge en cada MSTI.

NOTA
Cuando el enlace entre el root bridge y el secondary root bridge esté en Down, el puerto habilitado con
protección de root se convierte en Discarding porque la protección de root tiene efecto.
Para mejorar la confiabilidad, se recomienda vincular el enlace entre el root bridge y el secondary root
bridge a un Eth-Trunk.
3. Configure el reenvío de Capa 2 en los dispositivos.
Procedimiento
Paso 1 Configure las funciones básicas de MSTP.
1. Configure SwitchA, SwitchB, SwitchC y SwitchD (switches de acceso) en la región
MST RG1 y cree MSTI 1 y MSTI 2.
NOTA
Dos switches pertenecen a la misma región MST cuando tienen el mismo:
– Nombre de la región MST
– Mapeo entre VLAN y MSTI
– Nivel de revisión de la región MST
# Configure una región MST del el root bridge SwitchA en MSTI 1.
[SwitchA] stp region-configuration
[SwitchA-mst-region] region-name RG1 //Configure el nombre de la región como
RG1.
[SwitchA-mst-region] instance 1 vlan 2 to 10 //Mapee las VLAN 2 a 10 a MSTI 1.
[SwitchA-mst-region] instance 2 vlan 11 to 20 //Mapee las VLAN 11 a 20 a
MSTI 2.
[SwitchA-mst-region] active region-configuration //Active la configuración de
la región MST.
[SwitchA-mst-region] quit
# Configure una región MST del root bridge SwitchB en MSTI 1.
[SwitchB] stp region-configuration
[SwitchB-mst-region] region-name RG1 //Configure el nombre de la región como
RG1.
[SwitchB-mst-region] instance 1 vlan 2 to 10 //Mapee las VLAN 2 a 10 a MSTI
1.
[SwitchB-mst-region] instance 2 vlan 11 to 20 //Mapee las VLAN 11 a 20 a
MSTI 2.
[SwitchB-mst-region] active region-configuration //Active la configuración de
la región MST.
[SwitchB-mst-region] quit
# Configure una región MST de SwitchC.
[SwitchC] stp region-configuration
[SwitchC-mst-region] region-name RG1 //Configure el nombre de la región como
RG1.
[SwitchC-mst-region] instance 1 vlan 2 to 10 //Mapee las VLAN 2 a 10 a MSTI
1.
[SwitchC-mst-region] instance 2 vlan 11 to 20 //Mapee las VLAN 11 a 20 a
MSTI 2.
[SwitchC-mst-region] active region-configuration //Active la configuración de
la región MST.
[SwitchC-mst-region] quit
# Configure una región MST de SwitchD.

[SwitchD] stp region-configuration

[SwitchD-mst-region] region-name RG1 //Configure el nombre de la región como
RG1.
[SwitchD-mst-region] instance 1 vlan 2 to 10 //Mapee las VLAN 2 a 10 a MSTI
1.
[SwitchD-mst-region] instance 2 vlan 11 to 20 //Mapee las VLAN 11 a 20 a
MSTI 2.
[SwitchD-mst-region] active region-configuration //Active la configuración de
la región MST.
[SwitchD-mst-region] quit
2. Configure los root bridge y los secondary root bridge de MSTI 1 y MSTI 2 en la región
MST RG1.
– Configure el root bridge y el secondary root bridge en MSTI 1.
# Configure SwitchA como el root bridge en MSTI 1.
[SwitchA] stp instance 1 root primary
# Configure SwitchB como el secondary root bridge en MSTI 1.

[SwitchB] stp instance 1 root secondary
– Configure el root bridgez y el secondary root bridge en MSTI 2.

# Configure SwitchB como el root bridge en MSTI 2.
[SwitchB] stp instance 2 root primary
# Configure SwitchA como el secondary root bridge en MSTI 2.

[SwitchA] stp instance 2 root secondary
3. Ajuste que los costos de la ruta de los puertos a ser bloqueados en MSTI 1 y MSTI 2
sean mayores que los valores por defecto.
NOTA
– El rango del costo de la ruta depende del algoritmo. El algoritmo patentado de Huawei se usa
como ejemplo. Ajuste los costos de la ruta de los puertos a ser bloqueados en MSTI 1 y MSTI
2 a 20000.
Configure SwitchA para usar el algoritmo patentado de Huawei para calcular el costo de
la ruta.
de la ruta.

costo de la ruta y ajuste el costo de la ruta de GE1/0/2 a 20000 en MSTI 2.
[SwitchC-GigabitEthernet1/0/2] stp instance 2 cost 20000
de la ruta y ajuste el costo de la ruta de GE1/0/2 a 20000 en MSTI 1.
[SwitchD-GigabitEthernet1/0/2] stp instance 1 cost 20000
4. Habilite MSTP para eliminar bucles.

– Habilite MSTP globalmente en dispositivos.

# Habilite MSTP en SwitchB.

# Habilite MSTP en SwitchC.

# Habilite MSTP en SwitchD.

– Configure los puertos conectados al terminal como puertos de borde.

# Configure GE1/0/1 de SwitchC como un puerto de borde.

# Configure GE1/0/1 de SwitchC como un puerto de borde.

[SwitchD-GigabitEthernet1/0/1] stp edged-port enable
(Opcional) Configure la protección BPDU en SwitchD.

[SwitchD] stp bpdu-protection
NOTA
Paso 2 Habilite las funciones de protección. Por ejemplo, habilite la protección de root en el puerto
designado del root bridge en cada MSTI.
# Habilite la protección de root en GE1/0/1 de SwitchA.
# Habilite la protección de root en GE1/0/1 de SwitchB.

[SwitchB-GigabitEthernet1/0/1] stp root-protection
Paso 3 Configure el reenvío de Capa 2 en los switches de la red en anillo.

l Cree VLAN 2 a 20 en SwitchA, SwitchB, SwitchC y SwitchD.
# Cree VLAN 2 a 20 en SwitchA.
# Cree VLAN 2 a 20 en SwitchB.

[SwitchB] vlan batch 2 to 20
# Cree VLAN 2 a 20 en SwitchC.

[SwitchC] vlan batch 2 to 20
# Crear VLAN 2 a 20 en SwitchD.

[SwitchD] vlan batch 2 to 20
l Agregue los puertos conectados al anillo a las VLAN.

# Agregue GE1/0/1 en SwitchA a las VLAN.


# Agregue Eth-Trunk1 en SwitchA a las VLAN.

[SwitchA] interface Eth-Trunk 1
[SwitchA-Eth-Trunk1] trunkport gigabitethernet 1/0/2
[SwitchA-Eth-Trunk1] trunkport gigabitethernet 1/0/3
# Agregue GE1/0/1 en SwitchB a las VLAN.

[SwitchB-GigabitEthernet1/0/1] port trunk allow-pass vlan 2 to 20
# Agregue Eth-Trunk1 en SwitchB a las VLAN.

[SwitchB] interface Eth-Trunk 1
[SwitchB-Eth-Trunk1] trunkport gigabitethernet 1/0/2
[SwitchB-Eth-Trunk1] trunkport gigabitethernet 1/0/3
[SwitchB-Eth-Trunk1] port link-type trunk
[SwitchB-Eth-Trunk1] port trunk allow-pass vlan 2 to 20
# Agregue GE1/0/1 en SwitchC a las VLAN.

[SwitchC-GigabitEthernet1/0/1] port link-type access
[SwitchC-GigabitEthernet1/0/1] port default vlan 2

[SwitchC-GigabitEthernet1/0/2] port link-type trunk
[SwitchC-GigabitEthernet1/0/2] port trunk allow-pass vlan 2 to 20

# Agregue GE1/0/1 en SwitchD a las VLAN.

[SwitchD-GigabitEthernet1/0/1] port link-type access
[SwitchD-GigabitEthernet1/0/1] port default vlan 11

[SwitchD-GigabitEthernet1/0/2] port link-type trunk
[SwitchD-GigabitEthernet1/0/2] port trunk allow-pass vlan 2 to 20

[SwitchD-GigabitEthernet1/0/3] port trunk allow-pass vlan 2 to 20

NOTA
MSTI 1 y MSTI 2 se utilizan como ejemplos, por lo que no es necesario verificar el estado del puerto en
MSTI 0.
0 Eth-Trunk1 DESI FORWARDING NONE
2 Eth-Trunk1 ROOT FORWARDING NONE
En MSTI 1, Eth-Trunk1 y GE1/0/1 en SwitchA son puertos designados porque SwitchA es el

puente root. En MSTI 2, GE1/0/1 en SwitchA es el puerto designado y Eth-Trunk1 es el root
bridge.
# Ejecute el comando display stp brief en SwitchB. La siguiente información es la mostrada:

[SwitchB] display stp brief
En MSTI 2, GE1/0/1 y Eth-Trunk1 en SwitchB son puertos designados porque SwitchB es el

root bridge. En MSTI 1, GE1/0/1 en SwitchB es el puerto diseñado y Eth-Trunk1 es el root
bridge.
# Ejecute el comando display stp interface brief en SwitchC. La siguiente información es la

mostrada:
[SwitchC] display stp interface gigabitethernet 1/0/3 brief
GE1/0/3 en SwitchC es el root bridge en MSTI 1 and MSTI 2. GE1/0/2 em SwitchC es

bloqueado en MSTI 2 and es el puerto designado en MSTI 1.
# Ejecute el comando display stp interface brief en SwitchD. La siguiente información es la

mostrada:
[SwitchD] display stp interface gigabitethernet 1/0/3 brief
[SwitchD] display stp interface gigabitethernet 1/0/2 brief

GE1/0/3 en SwitchD es el root bridge en MSTI 1 y MSTI 2. GE1/0/2 en SwitchD es

bloqueado en MSTI 1 and es el puerto designado en MSTI 2.
----Fin
#
sysname SwitchA
#
vlan batch 2 to 20
#
stp enable
#
stp region-configuration
region-name RG1
instance 1 vlan 2 to 10
active region-configuration
#
#
stp root-protection
#
eth-trunk 1
#
eth-trunk 1
#
return

#
sysname SwitchB
#
vlan batch 2 to 20
#
stp enable
#
region-name RG1
#
#
stp root-protection
#

eth-trunk 1
#
eth-trunk 1
#
return
#
sysname SwitchC
#
vlan batch 2 to 20
#
stp bpdu-protection
stp enable
#
region-name RG1
#
port default vlan 2
#
#
#
return
#
sysname SwitchD
#
vlan batch 2 to 20
#
stp bpdu-protection
stp enable
#
region-name RG1
#
#
#
#
return

6.5.4 Ejemplo para configurar MSTP y VRRP
Cuando VRRP se implementa en una red, varios dispositivos transmiten servicios
simultáneamente. Cada dispositivo virtual consta de un Master y varias Backup. Si es
necesario implementar enlaces redundantes para la copia de seguridad de acceso, se debe
implementar MSTP para eliminar bucles y garantizar el equilibrio de carga del tráfico.
l A continuación se describen los modelos y versiones de producto aplicables.

ucto Producto
S2300 S2320EI V200R011C10, V200R012C00
S3300 S3300EI V100R006C05
S3300HI V200R001C00
S5300 S5320LI V200R010C00, V200R011C10, V200R012C00
S5320SI V200R008(C00&C10), V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5300HI V200R001(C00&C01), V200R002C00,

V200R003C00, V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00,

V200R003C00, V200R005(C00&C01&C02)
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320SI V200R011C10, V200R012C00
S6320HI V200R012C00


ucto Producto
S9300 S9303, S9306 y V200R001C00, V200R002C00, V200R003C00,

S9312 V200R005C00SPC300, V200R006C00,
V200R007C00, V200R008(C00&C10),
V200R009C00, V200R010C00, V200R011C10,
V200R012C00
S9300 S9310 V200R010C00, V200R011C10, V200R012C00
S9300 S9310X V200R010C00, V200R011C10, V200R012C00

X

E S9312E V200R005C00SPC300, V200R006C00,
V200R007C00, V200R008(C00&C10),
V200R009C00, V200R010C00, V200R011C10,
V200R012C00
NOTA
l Los puertos conectados a los terminales no participan en el cálculo MSTP. Por lo tanto,
Requisitos de redes
En Figura 6-26, hosts se conectan a la red a través de SwitchC. SwitchC está dual-homed a
SwitchA y SwitchB y se conecta a Internet. Los enlaces redundantes se implementan para la
copia de seguridad de acceso. El uso de los enlaces redundantes, sin embargo, puede producir
bucles, causando tormentas de difusión y volviendo inestable la tabla de direcciones MAC.
Es necesario evitar los bucles de red cuando se implementen enlaces redundantes, el tráfico se
conmuta a otro enlace cuando se desconecte un enlace, y se usa efectivamente el ancho de
banda de la red.
MSTP se puede configurar en la red. MSTP bloquea enlaces redundantes y corta una red en
una topología de árbol libre de bucles. VRRP se puede configurar en SwitchA y SwitchB.
HostA se conecta a Internet con SwitchA como gateway por defecto y SwitchB como
gateway de reserva; HostB se conecta a Internet con SwitchB como gateway por defecto y
SwitchA como gateway de reserva. Este ajuste implementa confiabilidad y equilibrio de carga
del tráfico.

Figura 6-26 Redes para configurar MSTP y VRRP

VRRP VRID 1 SwitchA
Dirección IP virtual: VRID 1:Master
HostA 10.1.2.100 VRID 2:Backup
VLAN 2 /1
10.1.2.101/24 E1/0 GE
1/0
G /3 RouterA
GE
GE1/0/2
1/0 /1
/2
E 1/0
G
MSTP Internet
GE1/0/2
GE
/3 1
E 1/0 SwitchC /0/4
G
HostB GE RouterB
1/0 /0 /3
VLAN 3 /1 GE1
10.1.3.101/24 SwitchB
VRID 1:Backup
VRRP VRID 2 VRID 2:Master
Dirección IP virtual:
10.1.3.100
VLAN 2 MSTI 1 VLAN 3 MSTI 2
MSTI 1: MSTI 2:
Switch Root:SwitchA Switch Root:SwitchB

Puerto bloqueado Puerto bloqueado
Dispositivo Interfaz Interfaz VLANIF Dirección IP
SwitchA GE1/0/1 y GE1/0/2 VLANIF 2 10.1.2.102/24
GE1/0/1 y GE1/0/2 VLANIF 3 10.1.3.102/24
GE1/0/3 VLANIF 4 10.1.4.102/24
SwitchB GE1/0/1 y GE1/0/2 VLANIF 2 10.1.2.103/24
GE1/0/1 y GE1/0/2 VLANIF 3 10.1.3.103/24
GE1/0/3 VLANIF 5 10.1.5.103/24

1. Configure las funciones básicas de MSTP en los dispositivos de conmutación de la red
en anillo.

a. Configure una región MST y cree múltiples instancias, y mapee VLAN 2 a MSTI 1
y VLAN 3 a MSTI 2 para el equilibrio de carga del tráfico.
b. Configure el root bridge y el secondary root bridge en cada región MST.
c. Configure el costo de la ruta de un puerto en cada MSTI para que el puerto pueda
ser bloqueado.
d. Habilite MSTP para evitar bucles.
n Habilite MSTP globalmente.
n Habilite MSTP en todos los puertos excepto en los puertos conectados a los
hosts.
habilite la protección de root en el puerto designado del root bridge en cada MSTI.
3. Configure el reenvío de Capa 2 en los dispositivos.
NOTA
En este ejemplo, SwitchA y SwitchB necesitan ser compatibles con VRPP y OSPF. Para obtener
detalles sobre los modelos compatibles con VRRP y OSPF, consulte la documentación.
5. Cree el grupo 1 y 2 de VRRP en SwitchA y SwitchB. En el grupo 1 de VRRP, configure
SwitchA como el Master y SwitchB como el Backup. En el grupo 2 de VRRP, configure
SwitchB como el Master y SwitchA como el Backup.
Procedimiento
1. Configure SwitchA, SwitchB y SwitchC en la región MST RG1 y cree MSTI 1 y MSTI
2.
# Configure una región MST en SwitchA.
[SwitchA] stp region-configuration //Introduzca la vista de la región.
[SwitchA-mst-region] region-name RG1 //Configure el nombre de la región como
RG1.
[SwitchA-mst-region] instance 1 vlan 2 //Mapee VLAN 2 a MSTI 1.
[SwitchA-mst-region] instance 2 vlan 3 //Mapee VLAN 3 a MSTI 2.
[SwitchA-mst-region] active region-configuration //Active la configuración de
la región MST.
# Configure una región MST en SwitchB.

[SwitchB] stp region-configuration //Introduzca la vista de la región.
[SwitchB-mst-region] region-name RG1 //Configure el nombre de la región como
RG1.
[SwitchB-mst-region] instance 1 vlan 2 //Mapee VLAN 2 a MSTI 1.
[SwitchB-mst-region] instance 2 vlan 3 //Mapee VLAN 3 a MSTI 2.
[SwitchB-mst-region] active region-configuration //Active la configuración de
la región MST.
# Configure una región MST en SwitchC.

[SwitchC] stp region-configuration //Introduzca la vista de la región.
[SwitchC-mst-region] region-name RG1 //Configure el nombre de la región como

RG1.
[SwitchC-mst-region] instance 1 vlan 2 //Mapee VLAN 2 a MSTI 1.
[SwitchC-mst-region] instance 2 vlan 3 //Mapee VLAN 3 a MSTI 2.
[SwitchC-mst-region] active region-configuration //Active la configuración de
la región MST.
[SwitchC-mst-region] quit
2. Configure el root bridge y el secondary root bridge de MSTI 1 y MSTI 2 en la región

MST RG1.
# Configure SwitchA como el root bridge en MSTI 1.
[SwitchA] stp instance 1 root primary
# Configure SwitchB como el secondary root bridge en MSTI 1.

[SwitchB] stp instance 1 root secondary

# Configure SwitchB como el root bridge en MSTI 2.
[SwitchB] stp instance 2 root primary
# Configure SwitchA como el secondary root bridge en MSTI 2.

[SwitchA] stp instance 2 root secondary
3. Ajuste que los costos de la ruta de los puertos a ser bloqueados en MSTI 1 y MSTI 2
sean mayores que los valores por defecto.
NOTA
– El rango del costo de la ruta depende del algoritmo. El algoritmo patentado de Huawei se usa
como ejemplo. Ajuste los costos de la ruta de los puertos a ser bloqueados en MSTI 1 y MSTI
2 a 20000.
de la ruta.
de la ruta.
# Configure SwitchC para usar el algoritmo patentado de Huawei para calcular el costo
de la ruta, y ajuste el costo de la ruta de GE1/0/1 en MSTI 2 a 20000 y el costo de la ruta
de GE1/0/4 en MSTI 1 a 20000.
4. Habilite MSTP para eliminar bucles.

– Habilite MSTP globalmente en dispositivos.
# Habilite MSTP en SwitchA.
# Habilite MSTP en SwitchB.

# Habilite MSTP en SwitchC.


– Configure los puertos conectados a los hosts como puertos de borde.


– Configure los puertos conectados al router como puertos de borde.

# Configure el SwitchA.
[SwitchA-GigabitEthernet1/0/3] stp edged-port enable
(Opcional) Configure la protección BPDU en SwitchA.

[SwitchA] stp bpdu-protection
# Configure el SwitchB.

NOTA
Paso 2 Habilite las funciones de protección. Por ejemplo, habilite la protección de root en el puerto
designado del root bridge en cada MSTI.
# Habilite la protección de root en GE1/0/1 de SwitchA.

# Habilite la protección de root en GE1/0/1 de SwitchB.

[SwitchB-GigabitEthernet1/0/1] stp root-protection

l Cree VLAN 2 y VLAN 3 en SwitchA, SwitchB y SwitchC.
# Cree VLAN 2 y VLAN 3 en SwitchA.
# Cree VLAN 2 y VLAN 3 en SwitchB.

[SwitchB] vlan batch 2 to 3
# Cree VLAN 2 y VLAN 3 en SwitchC.











NOTA
MSTI 1 y MSTI 2 se utilizan como ejemplos, por lo que no es necesario verificar el estado del puerto en
MSTI 0.

En MSTI 1, GE1/0/2 y GE1/0/1 en SwitchA son puertos designados porque SwitchA es el

root bridge. En MSTI 2, GE1/0/1 en SwitchA es el puerto designado y GE1/0/2 es el root
bridge.
# Ejecute el comando display stp brief en SwitchB. La información mostrada es la siguiente:
En MSTI 2, GE1/0/1 y GE1/0/2 en SwitchB son puertos designados porque SwitchB es el

root bridge. En MSTI 1, GE1/0/1 en SwitchB es el puerto designado y GE1/0/2 es el root
bridge.
# Ejecute el comando display stp interface brief en SwitchC. La información mostrada es la
siguiente:
GE1/0/1 en SwitchC es el root bridge en MSTI 1 y es bloqueado en MSTI 2. GE1/0/4 en

SwitchC es bloqueado en MSTI 1 y es el puerto designado en MSTI 2.
# Asigne una dirección IP a cada interfaz. SwitchA se usa como un ejemplo. La configuración
de SwitchB es similar a la de SwitchA, y no se menciona aquí. Para más detalles, vea los
# Configure OSPF entre SwitchA, SwitchB, y router. SwitchA se usa como un ejemplo. La
configuración de SwitchB es similar a la de SwitchA, y no se menciona aquí. Para más
detalles, vea los archivos de configuración.
[SwitchA] ospf 1

Paso 6 Configure los grupos de VRRP.

# Configure el grupo 1 de VRRP en SwitchA y SwitchB, configure la prioridad de SwitchA a
120 y el retardo de preferencia a 20s y ajuste la prioridad por defecto para SwitchB.
[SwitchA-Vlanif2] vrrp vrid 1 virtual-ip 10.1.2.100 //Cree el grupo 1 de VRRP y
Establezca la dirección IP virtual a 10.1.2.100.
[SwitchA-Vlanif2] vrrp vrid 1 priority 120 //Establezca la prioridad del grupo 1
de VRRP a 120.
[SwitchA-Vlanif2] vrrp vrid 1 preempt-mode timer delay 20 //Establezca el retraso
de prioridad del grupo 1 de VRRP a 20 segundos.
[SwitchB-Vlanif2] vrrp vrid 1 virtual-ip 10.1.2.100 //Cree el grupo 1 de VRRP y
# Configure el grupo 2 de VRRP en SwitchA y SwitchB, configure la prioridad de SwitchB a

120 y el retardo de preferencia a 20s, y configure la prioridad por defecto para SwitchA.
[SwitchB-Vlanif3] vrrp vrid 2 virtual-ip 10.1.3.100 //Cree el grupo 2 de VRRP y
[SwitchB-Vlanif3] vrrp vrid 2 priority 120 //Establezca la prioridad del grupo 2
de VRRP a 120.
[SwitchB-Vlanif3] vrrp vrid 2 preempt-mode timer delay 20 //Establezca el retraso
de prioridad del grupo 2 de VRRP a 20 segundos.
[SwitchA-Vlanif3] vrrp vrid 2 virtual-ip 10.1.3.100 //Cree el grupo 2 de VRRP y
# Configure la dirección IP virtual 10.1.2.100 del grupo 1 de VRRP como gateway por
defecto de HostA, y la dirección IP virtual 10.1.3.100 del grupo 2 de VRRP como gateway
por defecto de HostB.
# Una vez completada la configuración, ejecute el comando display vrrp en SwitchA. La
salida siguiente muestra que SwitchA es el Master en el grupo 1 de VRRP y el Backup en el
grupo 2 de VRRP.
[SwitchA] display vrrp
State : Master
Virtual IP : 10.1.2.100
Master IP : 10.1.2.102
PriorityRun : 120
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2012-05-11 11:39:18
Last change time : 2012-05-26 11:38:58

State : Backup

Virtual IP : 10.1.3.100
Master IP : 10.1.3.103
PriorityRun : 100
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0102
Check TTL : YES
Create time : 2012-05-11 11:40:18
Last change time : 2012-05-26 11:48:58
# Una vez completada la configuración, ejecute el comando display vrrp en SwitchB. La

salida siguiente muestra que SwitchB es el Backup en el grupo 1 de VRRP y el Master en el
grupo 2 de VRRP.
[SwitchB] display vrrp
State : Backup
Virtual IP : 10.1.2.100
Master IP : 10.1.2.102
PriorityRun : 100
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2012-05-11 11:39:18
Last change time : 2012-05-26 11:38:58

State : Master
Virtual IP : 10.1.3.100
Master IP : 10.1.3.103
PriorityRun : 120
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0102
Check TTL : YES
Create time : 2012-05-11 11:40:18
Last change time : 2012-05-26 11:48:58
----Fin
#
sysname SwitchA
#
vlan batch 2 to 4
#


stp bpdu-protection
stp enable
#
region-name RG1
instance 1 vlan 2
instance 2 vlan 3
#
interface Vlanif2
ip address 10.1.2.102 255.255.255.0
#
interface Vlanif3
ip address 10.1.3.102 255.255.255.0
#
interface Vlanif4
ip address 10.1.4.102 255.255.255.0
#
stp root-protection
#
#
#
ospf 1
area 0.0.0.0
network 10.1.2.0 0.0.0.255
network 10.1.3.0 0.0.0.255
network 10.1.4.0 0.0.0.255
#
return
#
sysname SwitchB
#
vlan batch 2 to 3 5
#
stp bpdu-protection
stp enable
#
region-name RG1
instance 1 vlan 2
instance 2 vlan 3
#
interface Vlanif2
ip address 10.1.2.103 255.255.255.0
#
interface Vlanif3
ip address 10.1.3.103 255.255.255.0


#
interface Vlanif5
ip address 10.1.5.103 255.255.255.0
#
stp root-protection
#
#
#
ospf 1
area 0.0.0.0
network 10.1.2.0 0.0.0.255
network 10.1.3.0 0.0.0.255
network 10.1.5.0 0.0.0.255
#
return

#
sysname SwitchC
#
vlan batch 2 to 3
#
stp bpdu-protection
stp enable
#
region-name RG1
instance 1 vlan 2
instance 2 vlan 3
#
#
port default vlan 2
#
port default vlan 3
#
#
return

6.5.5 Ejemplo para configurar un solo anillo RRPP con una

instancia única
En la mayoría de las situaciones, la topología de red en anillo se aplica a las MAN y redes
empresariales para mejorar la confiabilidad de la red. Cuando ocurre una falla en un nodo o en
un enlace entre nodos, los servicios de datos se cambian al enlace standby para garantizar la
continuidad del servicio. Sin embargo, las tormentas de difusión pueden ocurrir en una red en
anillo.
Muchos protocolos pueden evitar tormentas de difusión en redes en anillo. Sin embargo, si
ocurre una falla en una red en anillo, lleva tiempo que los dispositivos cambien los servicios
de datos al enlace standby. Si el tiempo de convergencia es demasiado largo, los servicios se
interrumpen.
Para acortar el tiempo de convergencia y eliminar el impacto de la escala de red en el tiempo
de convergencia, Huawei desarrolló el Protocolo de protección rápida de anillo (RRPP).
Comparada con otras tecnologías de anillo de Ethernet, RRPP tiene las siguientes ventajas:
l RRPP es adecuado para redes compuestas por muchos nodos de red porque el número de
nodos no afecta el tiempo de convergencia.
l RRPP evita las tormentas de difusión causadas por los bucles de datos cuando se
completa un anillo de Ethernet.
l Cuando falla un enlace en una red de anillo de Ethernet, el enlace de reserva puede
restablecer rápidamente la comunicación entre los nodos de red en anillo de Ethernet.
l STP y Smart Link deben estar deshabilitados en la interfaz agregada a un dominio RRPP.
l Las reglas de limitación de direcciones DHCP y MAC no se pueden configurar en una
VLAN de control de RRPP.
l Cuando se necesita configurar el mapeo entre la instancia protegida y la MUX VLAN, se
recomienda configurar la VLAN principal, la VLAN de grupo subordinado y la VLAN
separada subordinada en la MUX VLAN en la instancia protegida. De lo contrario,
pueden producirse bucles.
Requisitos de redes
En Figura 6-27, SwitchA, SwitchB, y SwitchC constituye una red en anillo. La red es
necesaria para evitar bucles cuando el anillo está completo y para implementar una
convergencia rápida para restaurar rápidamente la comunicación entre los nodos en el anillo
cuando falla el anillo. Usted puede habilitar RRPP en SwitchA, SwitchB, y SwitchC para
cumplir este requisito.

Figura 6-27 Redes de un solo anillo RRPP

SwitchB
GE2/0/2
GE2/0/1 GE2/0/1
Anillo 1
GE2/0/2 GE2/0/2 SwitchC
GE2/0/1
SwitchA
Interfaz primaria
Interfaz secundaria

1. Cree un dominio RRPP y su VLAN de control.

2. Mapee las VLAN a partir de las cuales los datos deben pasar en el anillo RRPP a la
instancia 1, incluidas las VLAN de datos 100 a 300 y las VLAN de control 20 y 21
(VLAN 21 es la VLAN de subcontrol generada por el dispositivo).
3. Configure las interfaces que se agregarán al dominio RRPP en los dispositivos para que
los datos puedan pasar a través de las interfaces. Deshabilite los protocolos que tengan
conflicto con RRPP, como STP.
4. En el dominio RRPP, configure una VLAN protegida, cree un anillo RRPP y configure
SwitchA, SwitchB, y SwitchC como nodos en el anillo 1 en el dominio 1. Configure
SwitchA como el nodo principal en el anillo 1 y configure SwitchB y SwitchC como
nodos de tránsito en el anillo 1.
5. Habilite el anillo RRPP y el RRPP en los dispositivos.
Procedimiento
Paso 1 Cree un dominio RRPP y su VLAN de control.
# Configure SwitchA. Las configuraciones de SwitchB y SwitchC son similares a la

configuración de SwitchA, y no se mencionan aquí. Para más detalles, vea los archivos de
configuración.
[SwitchA] rrpp domain 1
[SwitchA-rrpp-domain-region1] control-vlan 20 //Cada dominio RRPP tiene una
VLAN de control principal y una VLAN de subcontrol. Solo debe especificar la VLAN
principal de control. El sistema usa la VLAN cuyo ID es mayor que el ID de la
VLAN principal de control como la VLAN de subcontrol.
[SwitchA-rrpp-domain-region1] quit
Paso 2 Instancia de mapeo 1 para controlar la VLAN 20 y la 21 y las VLAN de datos de 100 a 300.

configuración.


[SwitchA-mst-region] instance 1 vlan 20 21 100 to 300 //Agregue la VLAN
principal de control, la VLAN de subcontrol y las VLAN de datos a la instancia 1.
[SwitchA-mst-region] active region-configuration
Paso 3 Configure las interfaces que se agregarán al anillo RRPP como interfaces trunk, configure las
interfaces para permitir que las VLAN 100 a 300 pasen, y deshabilite STP en las interfaces.

configuración.
[SwitchA-GigabitEthernet2/0/1] stp disable
Paso 4 Especifique una VLAN protegida, y cree y habilite un anillo RRPP.
# Configure SwitchA.
[SwitchA-rrpp-domain-region1] protected-vlan reference-instance 1 //Configure la
instancia 1 como la instancia protegida del dominio RRPP.
[SwitchA-rrpp-domain-region1] ring 1 node-mode master primary-port
gigabitethernet 2/0/1 secondary-port gigabitethernet 2/0/2 level 0
[SwitchA-rrpp-domain-region1] ring 1 enable
# Configure SwitchB.
[SwitchB] rrpp domain 1
[SwitchB-rrpp-domain-region1] protected-vlan reference-instance 1
[SwitchB-rrpp-domain-region1] ring 1 node-mode transit primary-port
[SwitchB-rrpp-domain-region1] ring 1 enable
[SwitchB-rrpp-domain-region1] quit
# Configure SwitchC.
[SwitchC] rrpp domain 1
[SwitchC-rrpp-domain-region1] protected-vlan reference-instance 1
[SwitchC-rrpp-domain-region1] ring 1 node-mode transit primary-port
[SwitchC-rrpp-domain-region1] ring 1 enable
[SwitchC-rrpp-domain-region1] quit
Paso 5 Habilite RRPP.

configuración.
[SwitchA] rrpp enable

Una vez completada la configuración y la topología de red se vuelva estable, realice las
siguientes operaciones para verificar la configuración. La visualización en SwitchA se usa
como ejemplo.
# Ejecute el comando display rrpp brief en SwitchA. La siguiente información es la
mostrada:
[SwitchA] display rrpp brief
Abbreviations for Switch Node Mode :
M - Master , T - Transit , E - Edge , A - Assistant-Edge
RRPP Protocol Status: Enable

RRPP Working Mode: HW
RRPP Linkup Delay Timer: 0 sec (0 sec default)
Number of RRPP Domains: 1
Domain Index : 1
Control VLAN : major 20 sub 21
Protected VLAN : Reference Instance 1
Hello Timer : 1 sec(default is 1 sec) Fail Timer : 6 sec(default is 6 sec)
Ring Ring Node Primary/Common Secondary/Edge Is

ID Level Mode Port Port Enabled
----------------------------------------------------------------------------
1 0 M GigabitEthernet2/0/1 GigabitEthernet2/0/2 Yes
De acuerdo con la información anterior, RRPP está habilitado en SwitchA. La VLAN

principal de control del dominio 1 de RRPP es la VLAN 20 y la VLAN del subcontrol es la
VLAN 21. SwitchA es el nodo principal en el anillo 1. La interfaz primaria es
GigabitEthernet2/0/1 y la interfaz secundaria es GigabitEthernet2/0/2.
# Ejecute el comando display rrpp verbose domain en SwitchA. La siguiente información es
la mostrada:
[SwitchA] display rrpp verbose domain 1
Domain Index : 1
RRPP Ring : 1
Ring Level : 0
Node Mode : Master
Ring State : Complete
Is Enabled : Enable Is Active: Yes
Primary port : GigabitEthernet2/0/1 Port status: UP
Secondary port : GigabitEthernet2/0/2 Port status: BLOCKED
La salida del comando muestra que el anillo RRPP está completo.
----Fin
#
sysname SwitchA
#
#
rrpp enable
#
instance 1 vlan 20 to 21 100 to 300
#

rrpp domain 1
control-vlan 20
protected-vlan reference-instance 1
ring 1 node-mode master primary-port GigabitEthernet2/0/1 secondary-port
GigabitEthernet2/0/2 level 0
ring 1 enable
#
stp disable
#
stp disable
#
return
l Archivo de configuración SwitchB
#
sysname SwitchB
#
#
rrpp enable
#
#
rrpp domain 1
control-vlan 20
ring 1 node-mode transit primary-port GigabitEthernet2/0/1 secondary-port
ring 1 enable
#
stp disable
#
stp disable
#
return
l Archivo de configuración SwitchC
#
sysname SwitchC
#
#
rrpp enable
#
#
rrpp domain 1
control-vlan 20

ring 1 enable
#
stp disable
#
stp disable
#
return
6.5.6 Ejemplo para configurar anillos RRPP tangentes
En general, una red de Ethernet metropolitana utiliza anillos de dos capas:
l Una capa es la capa de agregación entre los dispositivos de agregación PE-AGG, por
ejemplo, el domain 1 de RRPP en Figura 6-28.
l La otra capa es la capa de acceso entre PE-AGG y UPE, por ejemplo, el domain 2 de
RRPP y el domain 3 de RRPP en Figura 6-28.
En Figura 6-28, se pueden usar anillos de intersección RRPP. Los anillos RRPP se configuran
en capas de agregación y acceso, y las dos capas se conectan a través de anillos RRPP
tangentes.
Figura 6-28 Tangent RRPP rings

Master
UPE1
UPE2 PE-AGG3
RRPP Transit 1
Domain 2
Master
PE-AGG1
UPE RRPP P IP/MPLS
Domain 1 core
S
UPE Block NPE
RRPP Transit 2
Domain 3
PE-AGG2
Master PE-AGG: PE-Agregación
UPE NPE: Borde del proveedor de red
UMG: Universal Media Gateway
UPE: Borde del proveedor de capa inferior
DSLAM: Multiplexor de línea de acceso de abonado digital
Switch LAN CE DSLAM UMG

Dos anillos tangentes no pueden pertenecer al mismo dominio de RRPP. El punto tangente de
los dos anillos tangentes pertenece a dos dominios de RRPP, y el nodo principal se puede
ubicar en el punto tangente.
Cuando hay múltiples anillos tangentes de RRPP, una falla en un anillo no afecta otros
dominios y el proceso de convergencia de los anillos de RRPP en un dominio es el mismo que
el de un solo anillo.
l STP y Smart Link deben estar deshabilitados en la interfaz agregada a un dominio RRPP.
l Las reglas de limitación de direcciones DHCP y MAC no se pueden configurar en una
VLAN de control de RRPP.
l Cuando se necesita configurar el mapeo entre la instancia protegida y la MUX VLAN, se
recomienda configurar la VLAN principal, la VLAN de grupo subordinado y la VLAN
separada subordinada en la MUX VLAN en la instancia protegida. De lo contrario,
pueden producirse bucles.
Requisitos de redes
En Figura 6-28, la red es necesaria para evitar bucles cuando el anillo está completo y para
implementar una convergencia rápida para restaurar rápidamente la comunicación entre los
nodos en el anillo cuando falla el anillo. RRPP puede cumplir este requisito. RRPP admite
múltiples anillos. Puede configurar anillos de RRPP en las capas de agregación y acceso. Los
dos anillos son tangentes, lo que simplifica la configuración de la red.
SwitchA, SwitchB, SwitchC, SwitchD, y SwitchE en Figura 6-29 corresponde a UPE1,

UPE2, PE-AGG3, PE-AGG2 y PE-AGG1 en Figura 6-28, respectivamente. Figura 6-29 se
usa como ejemplo para describir cómo configurar anillos RRPP tangentes con una sola
instancia.
Figura 6-29 Tangent RRPP rings
Domain 2 Domain 1
SwitchA GE2/0/2 SwitchE

GE1/0/1
GE2/0/1 GE2/0/1 GE1/0/2
GE1/0/2
Ring 2 SwitchC Ring 1
GE1/0/1
GE2/0/2 GE1/0/1
GE2/0/2
GE1/0/2
SwitchB
GE2/0/1 SwitchD
SwitchC
Interfaz primaria
Interfaz secundaria


1. Cree dominios de RRPP y controle las VLAN para configurar anillos RRPP.
2. Mapee las VLAN que deben pasar por el ring 1 a la instancia 1, incluidas las VLAN de
datos y las VLAN de control, que se utilizan para configurar VLAN protegidas.
Mapee las VLAN que deben pasar por el ring 2 a la instancia 2, incluidas las VLAN de
datos y las VLAN de control, que se utilizan para configurar VLAN protegidas.
3. Configure las interfaces que se agregarán al dominio de RRPP en los dispositivos para
que los datos puedan pasar a través de las interfaces. Deshabilite los protocolos que
tengan conflicto con RRPP, como STP.
4. Configure VLAN protegidas y cree anillos RRPP en dominios de RRPP.
a. Configure SwitchA, SwitchB, y SwitchC para que estén en el ring 2 del domain 2
de RRPP.
b. Configure SwitchC, SwitchD, y SwitchE para que estén en el ring 1 del domain 1
de RRPP.
c. Configure SwitchA como el nodo principal en el ring 2, y configure SwitchB y
SwitchC como nodos de tránsito en el ring 2.
d. Configure SwitchE como el nodo principal en el ring 1, y configure SwitchC y
SwitchD como nodos de tránsito en el ring 1.
5. Habilite el anillo RRPP y el RRPP en los dispositivos.
Procedimiento
Paso 1 Cree dominios de RRPP y configure las VLAN de control y las VLAN protegidas de los
dominios de RRPP.
# Configure SwitchE. Las configuraciones de SwitchA, SwitchB, SwitchC, y SwitchD son
similares a la configuración de SwitchE, y no se mencionan aquí. Para más detalles, vea los
[SwitchE] rrpp domain 1
[SwitchE-rrpp-domain-region1] control-vlan 10 //Cada dominio RRPP tiene una VLAN
de control principal y una VLAN de subcontrol. Solo debe especificar la VLAN
principal de control. El sistema usa la VLAN cuyo ID es mayor que el ID de la
VLAN principal de control como la VLAN de subcontrol.
[SwitchE-rrpp-domain-region1] protected-vlan reference-instance 1 //Configure
la instancia 1 como la instancia protegida del dominio RRPP.
[SwitchE-rrpp-domain-region1] quit
Paso 2 Configure la instancia 2 y mapéela a las VLAN de datos y controle las VLAN permitidas por
la interfaz de RRPP.
# Configure SwitchA. Las configuraciones de SwitchB, SwitchC, SwitchD, y SwitchE son
similares a la configuración de SwitchA, y no se mencionan aquí. Para más detalles, vea los
[SwitchA-mst-region] instance 2 vlan 20 21 201 to 300 ///Agregue la VLAN
principal de control y la VLAN de subcontrol a la instancia 2.

Paso 3 Configure las interfaces que se agregarán a los anillos RRPP como interfaces trunk y
deshabilite STP en las interfaces.
Paso 4 Cree y habilite el anillo RRPP.

l Configure nodos en el ring 2.
# Configure SwitchA como el nodo principal en el ring 2 y especifique la interfaz
primaria y la secundaria.
# Configure SwitchB como un nodo de tránsito en el ring 2 (anillo principal) y

especifique la interfaz primaria y la secundaria.
# Configure SwitchC como un nodo de tránsito en el ring 2 y especifique la interfaz

l Configure nodos en el ring 1.

# Configure SwitchE como el nodo principal en el ring 1 (anillo principal) y especifique
la interfaz primaria y la secundaria.
[SwitchE] rrpp domain 1
[SwitchE-rrpp-domain-region1] ring 1 node-mode master primary-port
[SwitchE-rrpp-domain-region1] ring 1 enable
[SwitchE-rrpp-domain-region1] quit
# Configure SwitchC como un nodo de tránsito en el ring 1 y especifique la interfaz

# Configure SwitchD como un nodo de tránsito en el ring 1 y especifique la interfaz


[SwitchD] rrpp domain 1

[SwitchD-rrpp-domain-region1] ring 1 node-mode transit primary-port
[SwitchD-rrpp-domain-region1] ring 1 enable
[SwitchD-rrpp-domain-region1] quit


siguientes operaciones para verificar la configuración. El punto tangente SwitchC se usa como
ejemplo.
# Ejecute el comando display rrpp brief en SwitchC. La siguiente información es la
mostrada:
[SwitchC] display rrpp brief

Domain Index : 1
----------------------------------------------------------------------------
1 0 T GigabitEthernet1/0/1 GigabitEthernet1/0/2 Yes
Domain Index : 2
----------------------------------------------------------------------------
2 0 T GigabitEthernet2/0/1 GigabitEthernet2/0/2 Yes
De acuerdo con la información anterior, RRPP está habilitado en SwitchC. La VLAN

principal de control del domain 1 de RRPP es la VLAN 10 y la VLAN de subcontrol es la
VLAN 11. SwitchC es el nodo principal en el ring 1. La interfaz primaria es
GigabitEthernet1/0/1 y la interfaz secundaria es GigabitEthernet1/0/2.
La VLAN principal de control de SwitchC en el domain 2 de RRPP es la VLAN 20 y la
VLAN de subcontrol es la VLAN 21. SwitchC es el nodo de tránsito en el ring 2. La interfaz
primaria es GigabitEthernet2/0/1 y la interfaz secundaria es GigabitEthernet2/0/2.
En SwitchC, ejecute el comando display rrpp verbose domain. La siguiente información es
la mostrada.
# Verifique la información detallada sobre el domain 1 de RRPP en SwitchC.
[SwitchC] display rrpp verbose domain 1
Domain Index : 1


RRPP Ring : 1
Ring Level : 0
Node Mode : Transit
Ring State : LinkUp
Secondary port : GigabitEthernet1/0/2 Port status: UP
# Verifique la información detallada sobre el domain 2 de RRPP en SwitchC.

[SwitchC] display rrpp verbose domain 2
Domain Index : 2
RRPP Ring : 2
Ring Level : 0
Node Mode : Transit
Ring State : LinkUp
Secondary port : GigabitEthernet2/0/2 Port status: UP
----Fin
#
sysname SwitchA
#
#
rrpp enable
#
#
rrpp domain 2
control-vlan 20
ring 2 enable
#
stp disable
#
stp disable
#
return

#
sysname SwitchB

#
#
rrpp enable
#
#
rrpp domain 2
control-vlan 20
ring 2 enable
#
stp disable
#
stp disable
#
return
#
sysname SwitchC
#
vlan batch 10 to 11 20 to 21 100 to 300
#
rrpp enable
#
#
rrpp domain 1
control-vlan 10
ring 1 enable
rrpp domain 2
control-vlan 20
ring 2 enable
#
stp disable
#
stp disable
#


stp disable
#
stp disable
#
return
#
sysname SwitchD
#
#
rrpp enable
#
#
rrpp domain 1
control-vlan 10
ring 1 enable
#
stp disable
#
stp disable
#
return
#
sysname SwitchE
#
#
rrpp enable
#
#
rrpp domain 1
control-vlan 10
ring 1 enable
#
stp disable
#

stp disable
#
return
6.5.7 Ejemplo para configurar RRPP Snooping en una red VPLS

RRPP snooping notifica una red VPLS de cambios en un anillo RRPP. Después de que RRPP
snooping está habilitado en sub-interfaces o interfaces de VLANIF, la red VPLS puede
transmitir transparentemente paquetes de RRPP, detectar cambios en el anillo RRPP y
actualizar entradas de reenvío. Esto asegura que el tráfico se puede cambiar rápidamente a una
ruta sin bloqueo.
En Figura 6-30, UPE constituyen un anillo RRPP y se conectan a la red VPLS donde se
ubican los NPE. Los NPE están conectados a través de un PW, por lo que no pueden servir
como nodos de RRPP para responder a los paquetes de RRPP. Como resultado, la red VPLS
no puede detectar cambios en el estado del anillo RRPP. Cuando la topología de anillo RRPP
cambia, cada nodo de la red VPLS reenvía datos de enlace descendente según la tabla de
direcciones MAC generada antes de que cambie la topología de anillo RRPP. En
consecuencia, el tráfico de enlace descendente no se puede reenviar
Figura 6-30 Redes para configurar RRPP snooping en una red VPLS
NPEB
VPLS
NPEA NPEC
NPED
Anillo de
P RRPP
UPEA UPEB
S
Paquete de datos
Paquete de saludo
P Interfaz primaria
S Interfaz secundaria
Usted puede habilitar RRPP snooping en la interfaz secundaria o la interfaz de VLANIF de

NPED y asociar la interfaz con las VSI en el dispositivo local. Cuando el anillo RRPP está
defectuoso, NPED en la red VPLS elimina las entradas de reenvío de las VSI (incluidas las
VSI asociadas) en el nodo local y las entradas de reenvío de NPEB para volver a aprender las

entradas de reenvío. Esto asegura que el tráfico se puede cambiar a una ruta normal y el
tráfico de enlace descendente se puede reenviar correctamente.
l RRPP y RRPP snooping no se pueden configurar en la misma interfaz.
l Las tarjetas de la serie SA y las interfaces XGE conectadas a las tarjetas
LE1D2FW00S01 no son compatibles con RRPP snooping. En versiones anteriores de
V200R007C00, las tarjetas de la serie X1E no son compatibles con RRPP snooping.

S5300 S5300HI V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320EI V200R009C00, V200R010C00,

V200R011C10, V200R012C10
S5320HI V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6300 S6300EI V200R005(C00&C01)
S6320EI V200R008C00, V200R009C00,

V200R010C00, V200R011C10,
V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306 y S9312 V200R001C00, V200R002C00,

V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10,

V200R012C00
S9300X S9310X V200R010C00, V200R011C10,

V200R012C00
S9300E S9300E V200R001C00, V200R002C00,

V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00

NOTA
Requisitos de redes
En Figura 6-31, SwitchA, SwitchB, SwitchC, y SwitchD constituye un anillo RRPP. La red
es necesaria para evitar bucles cuando el anillo está completo y para implementar una
convergencia rápida para restaurar rápidamente la comunicación entre los nodos en el anillo
cuando falla el anillo. La red VPLS puede transmitir transparentemente paquetes de RRPP,
detectar cambios de estado del anillo RRPP y actualizar entradas de reenvío para que el
tráfico pueda cambiarse rápidamente a una ruta normal de acuerdo con el estado del anillo.
Figura 6-31 Redes de RRPP snooping
Switch
VPLS
SwitchC SwitchD
GE2/0/0.10 vinculado a VSI 10 GE2/0/0.10 vinculado a VSI 10
GE2/0/0.20 vinculado a VSI 20 GE2/0/0.20 vinculado a VSI 20
Anillo RRPP
Ring 1
GE1/0/2 VLAN de control GE1/0/2
20 SwitchB
SwitchA
GE1/0/1 GE1/0/1

1. Configure una red VPLS.
2. Configure un anillo RRPP para evitar bucles e implementar convergencia rápida cuando
falla un dispositivo.
3. Habilite RRPP snooping para que la red VPLS pueda transmitir de forma transparente
los paquetes de RRPP y detectar el cambio de estado del anillo RRPP.
4. Asocie interfaces con las VSI para que SwitchC y SwitchD en la red VPLS puedan
eliminar las tablas de direcciones MAC de sus VSI cuando se produzca un error en la red
en anillo RRPP.
Procedimiento
Paso 1 Configure VPLS. SwitchC se usa como ejemplo. La configuración de SwitchD es similar a la
configuración de SwitchC, y no se menciona aquí. Para más detalles, vea los archivos de
configuración.
NOTA
Este ejemplo proporciona solo configuraciones de sub-interfaces en SwitchC y SwitchD conectadas al

anillo RRPP. Las configuraciones de dispositivos en la red VPLS no se mencionan.

# Configure GE2/0/0.10 en SwitchC para permitir que los paquetes de la VLAN 10 pasen y
enlace GE2/0/0.10 a VSI 10.
[SwitchC-GigabitEthernet2/0/0] undo portswitch
[SwitchC] interface gigabitethernet 2/0/0.10
[SwitchC-GigabitEthernet2/0/0.10] dot1q termination vid 10
[SwitchC-GigabitEthernet2/0/0.10] l2 binding vsi VSI10 //Enlace la VSI a la
subinterfaz.
[SwitchC-GigabitEthernet2/0/0.10] quit
# Configure GE2/0/0.20 en SwitchC para permitir que los paquetes de VLAN 20 (VLAN de
control del RRPP) pasen y vincule GE2/0/0.20 a VSI 20.
[SwitchC-GigabitEthernet2/0/0.20] dot1q termination vid 20
[SwitchC-GigabitEthernet2/0/0.20] l2 binding vsi VSI20
Paso 2 Cree un dominio de RRPP y su VLAN de control.

# Cree VLAN 10 en SwitchA.
[SwitchA-mst-region] instance 1 vlan 10 20 21 //Agregue la VLAN principal de
control, la VLAN de subcontrol y las VLAN de datos a la instancia 1.
# Configure SwitchA (nodo principal en el ring 1) en el domain 1 de RRPP y VLAN 20 como

la VLAN de control.
[SwitchA-rrpp-domain-region1] protected-vlan reference-instance 1 //Configure la
instancia 1 como la instancia protegida del dominio RRPP.
[SwitchA-rrpp-domain-region1] control-vlan 20 //Cada dominio
RRPP tiene una VLAN de control principal y una VLAN de subcontrol. Solo debe
especificar la VLAN principal de control. El sistema usa la VLAN cuyo ID es mayor
que el ID de la VLAN principal de control como la VLAN de subcontrol.
# Cree VLAN 10 en SwitchB.

[SwitchB] stp region-configuration
[SwitchB-mst-region] instance 1 vlan 10 20 21
[SwitchB-mst-region] active region-configuration
# Configure SwitchB (nodo de tránsito en el ring 1) en el domain 1 de RRPP y VLAN 20

como la VLAN de control.
[SwitchB-rrpp-domain-region1] protected-vlan reference-instance 1
[SwitchB-rrpp-domain-region1] control-vlan 20
Paso 3 Deshabilite STP en las interfaces que se agregarán al anillo RRPP.

# Deshabilite STP en las interfaces que se agregarán al anillo RRPP en SwitchA.


# Deshabilite STP en las interfaces que se agregarán al anillo RRPP en SwitchB.

[SwitchB-GigabitEthernet1/0/1] stp disable
[SwitchB-GigabitEthernet1/0/2] stp disable
Paso 4 Cree un anillo RRPP.

# Configure SwitchA como el nodo principal en el ring 1 y especifique la interfaz primaria y
la secundaria.
# Configure SwitchB como un nodo de tránsito en el ring 1 (anillo principal) y especifique la

interfaz primaria y la secundaria.

# Habilite RRPP en SwitchA.
# Habilite RRPP en SwitchB.

[SwitchB] rrpp enable
Paso 6 Configure RRPP snooping.

# Habilite RRPP snooping en GE2/0/0.20 de SwitchC.
[SwitchC-GigabitEthernet2/0/0.20] rrpp snooping enable
# Habilite RRPP snooping en GE2/0/0.20 de SwitchD.

[SwitchD] interface gigabitethernet 2/0/0.20
[SwitchD-GigabitEthernet2/0/0.20] rrpp snooping enable
Paso 7 Configure la asociación entre interfaces y VSI.

# Asocie VSI 10 con GE2/0/0.20 en SwitchC.

[SwitchC-GigabitEthernet2/0/0.20] rrpp snooping vsi VSI10

# Asocie VSI 10 con GE2/0/0.20 en SwitchD.

[SwitchD-GigabitEthernet2/0/0.20] rrpp snooping vsi VSI10
[SwitchD-GigabitEthernet2/0/0.20] quit

siguientes operaciones para verificar la configuración. SwitchA se usa como ejemplo.
l Ejecute el comando display rrpp brief en SwitchA. La siguiente información es la
mostrada:
[SwitchA] display rrpp brief

Domain Index : 1

----------------------------------------------------------------------------
De acuerdo con la información anterior, RRPP está habilitado en SwitchA. La VLAN

principal de control del domain 1 de RRPP es la VLAN 20 y la VLAN de subcontrol es
la VLAN 21. SwitchA es el nodo principal en el ring 1. La interfaz primaria es GE1/0/1
y la interfaz secundaria es GE1/0/2.
l Ejecute el comando display rrpp verbose domain en SwitchA. La siguiente
información es la mostrada.
# Verifique la información detallada sobre el domain 1 de RRPP en SwitchA.
[SwitchA] display rrpp verbose domain 1
Domain Index : 1
Hello Timer : 1 sec(default is 1 sec) Fail Timer : 6 sec(default is 6
sec)
RRPP Ring : 1
Ring Level : 0
Node Mode : Master
Is Enabled : Enable Is Active : Yes
# Verifique la configuración de RRPP snooping en GE2/0/0.20 de SwitchC.

[SwitchC] display rrpp snooping enable interface gigabitethernet 2/0/0.20
Port VsiName Vlan
---------------------------------------------------------------------------
GigabitEthernet2/0/0.20 VSI20 20
La información anterior muestra que VSI 20 y VLAN 20 están asociadas con

GE2/0/0.20.
# Verifique la información sobre otras VSI asociadas con GE2/0/0.20 en SwitchC.

[SwitchC] display rrpp snooping vsi interface gigabitethernet 2/0/0.20

Port VsiName
---------------------------------------------------------------------
GigabitEthernet2/0/0.20 VSI10
GigabitEthernet2/0/0.20 VSI20
La información anterior muestra que GE2/0/0.20 está asociada con VSI 10 y VSI 20.
----Fin
#
sysname SwitchA
#
#
rrpp enable
#
instance 1 vlan 10 20 to 21
#
rrpp domain 1
control-vlan 20
ring 1 enable
#
stp disable
#
stp disable
#
return
#
sysname SwitchB
#
#
rrpp enable
#
instance 1 vlan 10 20 to 21
#
rrpp domain 1
control-vlan 20
ring 1 enable
#
stp disable
#


stp disable
#
return
#
sysname SwitchC
#
undo portswitch
#
l2 binding vsi VSI10
#
rrpp snooping enable
rrpp snooping vsi VSI10
#
return
#
sysname SwitchD
#
undo portswitch
#
#
rrpp snooping enable
rrpp snooping vsi VSI10
#
return
6.5.8 Ejemplo para configurar SEP y MSTP en una red

Generalmente, los enlaces redundantes se usan para proporcionar la copia de seguridad del
enlace y mejorar la confiabilidad de la red. El uso de enlaces redundantes, sin embargo, puede
producir bucles. Los bucles provocan un bucle infinito de paquetes, lo que genera tormentas
de difusión e inestabilidad de la tabla de direcciones MAC. Como resultado, la calidad de la
comunicación se deteriora y los servicios de comunicación pueden interrumpirse. Para
bloquear enlaces redundantes y garantizar que se puedan restaurar inmediatamente para
reanudar la comunicación cuando se produzca un error de enlace en una red en anillo, puede
implementar SEP y MSTP en la red en anillo.
Requisitos de redes
La empresa A necesita desplegar múltiples dispositivos de acceso de Capa 2. En Figura 6-32,
los dispositivos de conmutación de Capa 2 forman un anillo en la capa de acceso, y los

dispositivos de Capa 3 forman un anillo en la capa de agregación. La capa de agregación usa

MSTP para eliminar enlaces redundantes. La empresa A requiere que los servicios se cambien
rápidamente para evitar la interrupción del tráfico cuando falla un enlace en la capa de acceso.
Puede implementar múltiples dispositivos de Capa 2 en un anillo y configurar SEP para
cumplir los siguientes requisitos de la empresa A:
l Cuando haya un enlace no defectuoso en la red de anillo, SEP puede eliminar bucles.
l Cuando un enlace falla en la red en anillo, SEP puede restablecer rápidamente la
comunicación entre los nodos en el anillo.
l La función de notificación de cambio de topología se configura en un dispositivo
periférico en un segmento SEP para que los dispositivos en la red de capa superior
puedan detectar rápidamente los cambios de topología en la red de capa inferior. Después
de recibir una notificación de cambio de topología de una red de capa inferior, un
dispositivo en una red de capa superior envía un paquete de TC para notificar a otros
dispositivos que eliminen las direcciones MAC originales y aprendan nuevas direcciones
MAC. Esto asegura el reenvío continuo del tráfico.

Figura 6-32 Redes de SEP y MSTP
NPE1 Core de IP/MPLS NPE2

Master Backup
Core
GE1/0/1.1 GE1/0/1.1
10.1.1.1/24 10.1.1.2/24
VRRP+peer BFD
10.1.1.10
GE1/0/2
GE1/0/3 GE1/0/3
GE1/0/2 PE4
Agregación
PE3
GE1/0/1 GE1/0/1
MSTP
GE1/0/2 PE1 PE2 GE1/0/2

GE1/0/3
GE1/0/3
GE1/0/1 SEP not supported GE1/0/1
GE1/0/1 GE1/0/1
SEP
LSW1 segmento 1 LSW2
GE1/0/2 GE1/0/2
GE1/0/2 GE1/0/1
Acceso
GE1/0/3 LSW3
GE1/0/1
CE
Puerto de borde primario sin vecinos
Puerto de borde secundario sin vecinos
VLAN 100 Puerto bloqueado (SEP)
Puerto bloqueado (MSTP)
NOTA
En este ejemplo, NPE1 y NPE2 usan NE40E ejecutando V600R008C00.

Para garantizar la fiabilidad de toda la red, se recomiendan configurar las siguientes funciones:
l Grupo VRRP entre NPE1 y NPE2 para mejorar la confiabilidad del dispositivo
l Sesión BFD entre NPE1 y NPE2 para detectar el estado del enlace y, por lo tanto, implementar una
conmutación rápida en el grupo VRRP


1. Configure las funciones básicas de SEP.
a. Configure el segmento 1 de SEP en LSW1 a LSW3 y configure la VLAN 10 como
VLAN de control del segmento 1 de SEP.
b. Agregue LSW1 a LSW3 al segmento 1 de SEP y configure los roles de interfaz en
los dispositivos de borde (LSW1 y LSW2) del segmento SEP.
NOTA
PE1 y PE2 no son compatibles con el protocolo SEP; por lo tanto, las interfaces de LSW1 y
LSW2 conectadas a los PE deben ser interfaces de borde no vecinas.
c. En el dispositivo donde se ubica la interfaz de borde primario no-vecina,
especifique la interfaz en el medio del segmento SEP como la interfaz para
bloquear.
d. Configure prioridad manual.
e. Configure la función de notificación de cambio de topología para que la red de capa
superior que ejecuta MSTP pueda ser notificada de los cambios de topología en el
segmento SEP.
2. Configure las funciones básicas de MSTP.
a. Agregue PE1 a PE4, LSW1 y LSW2 a la región MST RG1.
b. Cree las VLAN en PE1 a PE4, LSW1 y LSW2 y agregue interfaces en el anillo STP
a las VLAN.
c. Configure PE3 como root bridge y PE4 como secondary root bridge.
3. Configure una sesión BFD de un solo salto entre NPE1 y NPE2 para detectar el estado
de las interfaces configuradas con VRRP. Luego, informe el resultado de la detección a
VRRP para completar la conmutación rápida de VRRP.
4. Configure VRRP.
a. Cree el grupo 1 de VRRP en GE 1/0/1 de NPE1, y ajuste una prioridad de VRRP
más alta para NPE1 para garantizar que NPE1 funcione como Master.
b. Cree el grupo 1 de VRRP en la vista de la interfaz GE 1/0/1 de NPE2 y permita que
NPE2 use la prioridad VRRP por defecto.
c. Enlace una sesión BFD al grupo 1 de VRRP.
5. Configure el reenvío de Capa 2 en el CE y LSW1 a LSW3.
NOTA
Los PE1 y PE2 son switches de agregación, PE3 es el root bridge, PE4 es el secondary root bridge, los LSW
son switches de acceso y los CE son switches del lado del usuario.
Procedimiento
Paso 1 Configure las funciones básicas de SEP.
1. Configure el segmento 1 de SEP en LSW1 a LSW3 y configure la VLAN 10 como
VLAN de control del segmento 1 de SEP.
# Configure el switch de acceso LSW1.
[Quidway] sysname LSW1
[LSW1] sep segment 1 //Cree segmento 1 de SEP.

[LSW1-sep-segment1] control-vlan 10 //Configure VLAN 10 como la VLAN de

control del segmento 1 de SEP.
[LSW1-sep-segment1] protected-instance all //Configure todas las instancias
protegidas del segmento 1 de SEP.
[LSW1-sep-segment1] quit
NOTA
– La VLAN de control debe ser una VLAN que no ha sido creada o utilizada. Sin embargo, el
comando para crear una VLAN común se muestra automáticamente en el archivo de configuración
después de crear la VLAN de control.
– Cada segmento SEP debe tener una VLAN de control. Después de agregar una interfaz a un
segmento SEP que tiene una VLAN de control, la interfaz se agrega automáticamente a la VLAN
de control.
2. Agregue el switch de acceso LSW1 a LSW3 al segmento 1 de SEP y configure los roles
de interfaz.
NOTA
Por defecto, STP está habilitado en las interfaces de Capa 2. Antes de agregar una interfaz a un
segmento SEP, deshabilite STP en la interfaz.
[LSW1] interface gigabitethernet 1/0/1
[LSW1-GigabitEthernet1/0/1] sep segment 1 edge no-neighbor primary //
Configure la interfaz como la interfaz de borde primaria sin vecinos y
agréguela al segmento 1 de SEP.
[LSW1-GigabitEthernet1/0/1] quit
[LSW1-GigabitEthernet1/0/2] stp disable //Deshabilite STP.
[LSW1-GigabitEthernet1/0/2] sep segment 1 //Agregue la interfaz al segmento 1
de SEP.
[LSW2-GigabitEthernet1/0/1] sep segment 1 edge no-neighbor secondary //
Configure la interfaz como la interfaz de borde secundaria sin vecinos y
agréguela al segmento 1 de SEP.
de SEP.


de SEP.
de SEP.
3. Especifique una interfaz de bloqueo.

# En el segmento 1 de SEP, ajuste el modo de bloqueo de una interfaz en el switch de
acceso LSW1 donde la interfaz de borde primario no-vecina está ubicada para bloquear
la interfaz en el medio del segmento SEP.
[LSW1] sep segment 1
[LSW1-sep-segment1] block port middle
4. Configure un modo de preferencia.

# Configure la preferencia manual en el switch de acceso LSW1.
[LSW1-sep-segment1] preempt manual
5. Configure la función de notificación de cambio de topología SEP.

Configure los dispositivos en el segmento 1 de SEP para notificar a la red MSTP de los
cambios de topología.
[LSW1-sep-segment1] tc-notify stp

[LSW2] sep segment 1
[LSW2-sep-segment1] tc-notify stp

1. Configure una región MST.
[PE1] stp region-configuration //Introduzca la vista de la región MST.
[PE1-mst-region] region-name RG1 //Configure el nobre de la región MST como
RG1.
[PE1-mst-region] active region-configuration //Active la configuración de la
región MST.
[PE1-mst-region] quit

[PE2-mst-region] region-name RG1 //Configure the MST region name as RG1.
región MST.

[PE3-mst-region] region-name RG1 //Configure el nombre de la región MST como
RG1.
región MST.

[PE4-mst-region] region-name RG1 //Configure el nombre de la región MST como
RG1.
región MST.

[LSW1] stp region-configuration //Introduzca la vista de la región MST.
[LSW1-mst-region] region-name RG1 //Configure el nombre de la región MST como
RG1.
[LSW1-mst-region] active region-configuration //Active la configuración de la
región MST.
[LSW1-mst-region] quit

[LSW2] stp region-configuration //Introduzca la vista de la región MST.
[LSW2-mst-region] region-name RG1 //Configure el nombre de la región MST como
RG1.
[LSW2-mst-region] active region-configuration //Active la configuración de la
región MST.
[LSW2-mst-region] quit
2. Cree una VLAN y agregue interfaces en la red en anillo a la VLAN.

# En el switch de agregación PE1, cree la VLAN 100 y agregue GE1/0/1, GE1/0/2 y
GE1/0/3 a la VLAN 100.
[PE1] vlan 100
[PE1-vlan100] quit
[PE1]interface gigabitethernet 1/0/1
[PE1-GigabitEthernet1/0/1] port hybrid tagged vlan 100
# En el switch de agregación PE2, PE3 y PE4, cree la VLAN 100 y agregue GE1/0/1,
GE1/0/2 y GE1/0/3 a la VLAN 100.
Las configuraciones del switch de agregación PE2, PE3 y PE4 son similares a la
configuración del switch de agregación PE1, y no se mencionan aquí. Para más detalles,
vea los archivos de configuración en este ejemplo.
En el switch de acceso LSW1 y LSW2, cree la VLAN 100 y agregue GE1/0/1 a la
VLAN 100. Las configuraciones del switch de acceso LSW1 y LSW2 son similares a la
configuración del switch de agregación PE1, y no se mencionan aquí. Para más detalles,
vea los archivos de configuración en este ejemplo.
3. Habilite MSTP.
[PE1] stp enable

[PE2] stp enable

[PE3] stp enable

[PE4] stp enable

[LSW1] stp enable

[LSW2] stp enable
4. Configure el switch de agregación PE3 como el root bridge y el switch de agregación

PE4 como el secondary root bridge.
# Ajuste la prioridad del switch de agregación PE3 a 0 en MSTI 0 para garantizar que el
switch de agregación PE3 funcione como el root bridge.
[PE3] stp root primary
# Ajuste la prioridad del switch de agregación PE4 a 4096 en MSTI 0 para garantizar que
el switch de agregación PE4 funcione como el secondary root bridge.
[PE4] stp root secondary
Paso 3 Configure VLAN 100 para transmitir paquetes VRRP y VLAN 200 para transmitir paquetes
BFD.
[PE3-GigabitEthernet1/0/2] port hybrid tagged vlan 100 200

Paso 4 Configure una sesión BFD.

1. Configure las direcciones IP para las interfaces.
# Configure una dirección IP para una interfaz en NPE1 y cree una sub-interfaz para la
interfaz.
[Quidway] sysname NPE1
[NPE1] vlan 100
[NPE1-vlan100] quit
[NPE1] interface gigabitethernet 1/0/1
[NPE1-GigabitEthernet1/0/1] undo shutdown
[NPE1-GigabitEthernet1/0/1] ip address 10.2.1.1 24
[NPE1-GigabitEthernet1/0/1] quit
[NPE1] interface gigabitethernet 1/0/1.1
[NPE1-GigabitEthernet1/0/1.1] undo shutdown
[NPE1-GigabitEthernet1/0/1.1] vlan-type dot1q 100
[NPE1-GigabitEthernet1/0/1.1] ip address 10.1.1.1 24
[NPE1-GigabitEthernet1/0/1.1] quit
interfaz.
[NPE2] vlan 100
[NPE2-vlan100] quit


2. Cree una sesión BFD.

# Habilite BFD en NPE1 y configure una sesión BFD entre NPE1 y NPE2.
[NPE1] bfd
[NPE1-bfd] quit
[NPE1] bfd NPE2 bind peer-ip default-ip interface gigabitethernet 1/0/1 //
Configure una sesión BFD estática para monitorear el enlace del grupo VRRP.
[NPE1-bfd-session-npe2] discriminator local 1
[NPE1-bfd-session-npe2] discriminator remote 2
[NPE1-bfd-session-npe2] commit
[NPE1-bfd-session-npe2] quit
[NPE2] bfd
[NPE2-bfd] quit
# Después de completar la configuración, ejecute display bfd session all en NPE1 y

NPE2. La salida del comando muestra que la sesión BFD está configurada entre NPE1 y
NPE2 y su estado es Up.
Use la visualización en NPE1 como ejemplo.
[NPE1] display bfd session all
------------------------------------------------------------------------------
--
Local Remote PeerIpAddr State Type InterfaceName
------------------------------------------------------------------------------
--
1 2 224.0.0.184 Up S_IP_IF GigabitEthernet1/0/1
------------------------------------------------------------------------------
--
Total UP/DOWN Session Number : 1/0
3. Configure la asociación entre el estado de BFD y el estado de la sub-interfaz.

# Configure NPE1.
[NPE1] bfd
[NPE1-bfd] quit
[NPE1] bfd NPE2
[NPE1-bfd-session-npe2] process-interface-status sub-if
# Configure NPE2.
[NPE2] bfd
[NPE2-bfd] quit
[NPE2] bfd NPE1
Después de completar las configuraciones anteriores, ejecute el comando display bfd

session all verbose en NPE1 y NPE2. Verifique que el campo Proc interface status
muestre Enable (Sub-If).

[NPE1] display bfd session all verbose

------------------------------------------------------------------------------
--
Session MIndex : 257 (One Hop) State : Up Name : npe2
------------------------------------------------------------------------------
--
Local Discriminator : 1 Remote Discriminator : 2
Session Detect Mode : Asynchronous Mode Without Echo Function
BFD Bind Type : Interface(GigabitEthernet1/0/1)
Bind Session Type : Static
Bind Peer IP Address : 224.0.0.184
NextHop Ip Address : 224.0.0.184
Bind Interface : GigabitEthernet1/0/1
FSM Board Id : 0 TOS-EXP : 7
Min Tx Interval (ms) : 1000 Min Rx Interval (ms) : 1000
Actual Tx Interval (ms): 1000 Actual Rx Interval (ms): 1000
Local Detect Multi : 3 Detect Interval (ms) : 3000
Echo Passive : Disable Acl Number : -
Destination Port : 3784 TTL : 255
Proc Interface Status : Enable(Sub-If) Process PST : Disable
WTR Interval (ms) : - Local Demand Mode : Disable
Active Multi : 3
Last Local Diagnostic : No Diagnostic
Bind Application : IFNET
Session TX TmrID : 93 Session Detect TmrID : 94
Session Init TmrID : - Session WTR TmrID : -
Session Echo Tx TmrID : -
PDT Index : FSM-0 | RCV-0 | IF-0 | TOKEN-0
Session Description : -
------------------------------------------------------------------------------
--
Paso 5 Configure VRRP.

l # Configure una dirección IP para una interfaz en NPE1, cree el grupo 1 de VRRP, y
ajuste la prioridad VRRP de NPE1 para 120 para que NPE1 pueda funcionar como
Master.
[NPE1-GigabitEthernet1/0/1.1] vrrp vrid 1 virtual-ip 10.1.1.10
[NPE1-GigabitEthernet1/0/1.1] vrrp vrid 1 priority 120 //La prioridad por
defecto de un dispositivo en un grupo VRRP es de 100. Cambie la prioridad del
principal para que sea más alta que la de la copia de seguridad.
[NPE1-GigabitEthernet1/0/1.1] vrrp vrid 1 preempt-mode timer delay 10 //Un
dispositivo en un grupo VRRP usa prioridad inmediata por defecto. Cambie la
demora de preferencia del principal para evitar interrupciones de servicio en
una red inestable donde los dispositivos en el grupo VRRP se adelantan como
Master.
permita que NPE2 use el valor por defecto para que NPE1 pueda funcionar como
Backup.
l # En NPE1, enlace el grupo VRRP y la sesión BFD.

[NPE1-GigabitEthernet1/0/1.1] vrrp vrid 1 track bfd-session 1 peer

Después de completar las configuraciones anteriores, ejecute el comando display vrrp en

NPE1. Verifique que el estado de NPE1 sea Master. Ejecute el comando display vrrp en
NPE2. Verifique que el estado de NPE2 sea Backup.

[NPE1] display vrrp

GigabitEthernet1/0/1.1 | Virtual Router 1
State : Master
PriorityRun : 120
Preempt : YES Delay Time : 10
TimerRun : 1
TimerConfig : 1
Auth Type : NONE
Virtual Mac : 0000-5e00-0101
Check TTL : YES
Config track link-bfd down-number : 0
Track BFD : 1 type: peer
BFD-session state : UP
Create time : 2013-12-29 22:46:32 UTC+07:00
Last change time : 2013-12-29 22:46:35 UTC+07:00
[NPE2] display vrrp
State : Backup
PriorityRun : 100
TimerRun : 1
TimerConfig : 1
Auth Type : NONE
Virtual Mac : 0000-5e00-0101
Check TTL : YES
Create time : 2013-12-29 22:46:32 UTC+07:00
Paso 6 Configure la función de reenvío de Capa 2 en el switch CE del lado del usuario y acceda al
switch LSW1 a LSW3.
Los detalles de configuración no se mencionan aquí. Para más detalles, vea los archivos de
configuración en este ejemplo.
l # Ejecute el comando shutdown en GE1/0/1 de LSW2 para simular una falla, y luego
ejecute el comando display sep interface en LSW3 para verificar si GE1/0/2 en LSW3
cambia del estado discarding al estado forwarding.
<LSW3> display sep interface gigabitethernet 1/0/2
SEP segment 1
----------------------------------------------------------------
Interface Port Role Neighbor Status Port Status
----------------------------------------------------------------
GE1/0/2 common up forwarding
l Ejecute el comando shutdown en GE1/0/1.1 en NPE1 para simular una falla de interfaz,
y luego ejecute el comando display vrrp en NPE2 para verificar si el estado de NPE2
cambia de Backup a Master.

[NPE2] display vrrp

State : Master
PriorityRun : 100
TimerRun : 1
TimerConfig : 1
Auth Type : NONE
Virtual Mac : 0000-5e00-0101
Check TTL : YES
BFD-session state : DOWN
Create time : 2013-12-29 22:46:32 UTC+07:00
----Fin
l Archivo de configuración de LSW1
#
sysname LSW1
#
vlan batch 10 100
#
stp enable
#
region-name RG1
#
sep segment 1
control-vlan 10
block port middle
tc-notify stp
protected-instance 0 to 4094
#
sep segment 1 edge no-neighbor primary
#
stp disable
sep segment 1
#
return

#
sysname LSW2
#
vlan batch 10 100
#
stp enable
#
region-name RG1
#
sep segment 1

control-vlan 10
tc-notify stp
#
sep segment 1 edge no-neighbor secondary
#
stp disable
sep segment 1
#
return
#
sysname LSW3
#
vlan batch 10 100
#
sep segment 1
control-vlan 10
#
stp disable
sep segment 1
#
stp disable
sep segment 1
#
port hybrid tagged vlan vlan 100
#
return
#
sysname PE1
#
vlan batch 100
#
stp enable
#
region-name RG1
#
#
#
#
return
#
sysname PE2
#
vlan batch 100
#
stp enable

#
region-name RG1
#
#
#
#
return
#
sysname PE3
#
vlan batch 100
#
stp enable
#
region-name RG1
#
#
#
#
return
#
sysname PE4
#
vlan batch 100
#
stp enable
#
region-name RG1
#
#
#
#
return
l Archivo de configuración de NPE1
#
sysname NPE1
#
vlan batch 100
#

bfd
#
undo shutdown
ip address 10.2.1.1 255.255.255.0
#
vlan-type dot1q 100
ip address 10.1.1.1 255.255.255.0
vrrp vrid 1 track bfd-session 1 peer
#
bfd npe2 bind peer-ip default-ip interface GigabitEthernet1/0/1
process-interface-status sub-if
commit
#
return

#
sysname NPE2
#
vlan batch 100
#
bfd
#
undo shutdown
ip address 10.2.1.2 255.255.255.0
#
vlan-type dot1q 100
ip address 10.1.1.2 255.255.255.0
#
commit
#
return
l Archivo de configuración de CE
#
sysname CE
#
vlan batch 100
#
#
return
6.5.9 Ejemplo para configurar SEP y RRPP en una red

Generalmente, los enlaces redundantes se usan para proporcionar la copia de seguridad del
enlace y mejorar la confiabilidad de la red. El uso de enlaces redundantes, sin embargo, puede
producir bucles. Los bucles provocan un bucle infinito de paquetes, lo que genera tormentas
de difusión e inestabilidad de la tabla de direcciones MAC. Como resultado, la calidad de la

comunicación se deteriora y los servicios de comunicación pueden interrumpirse. Para

bloquear enlaces redundantes y garantizar que los enlaces bloqueados se puedan restaurar
inmediatamente para reanudar la comunicación cuando se produzca un error de enlace en una
red en anillo, puede implementar SEP y RRPP en la red en anillo.
Requisitos de redes
En Figura 6-33, los dispositivos de conmutación de Capa 2 en las capas de acceso y
agregación constituyen una red en anillo y se conectan a la capa de core. La capa de
agregación usa RRPP para eliminar enlaces redundantes, y la capa de acceso usa SEP.
l Cuando no hay un enlace defectuoso en la red en anillo, SEP puede eliminar los bucles
en la red Ethernet.
l Cuando un enlace falla en la red en anillo, SEP puede restablecer rápidamente la
comunicación entre los nodos en el anillo.
l La función de notificación de cambio de topología se configura en un dispositivo
periférico en un segmento SEP para que los dispositivos en la red de capa superior
puedan detectar rápidamente los cambios de topología en la red de capa inferior.
Después de recibir una notificación de cambio de topología de una red de capa inferior,
un dispositivo en una red de capa superior envía un paquete de TC para notificar a otros
dispositivos que eliminen las direcciones MAC originales y aprendan nuevas direcciones
MAC. Esto asegura el reenvío continuo del tráfico.

Figura 6-33 Redes de SEP y RRPP
NPE1 Core de IP/MPLS NPE2

Master Backup
Core
GE1/0/1.1 GE1/0/1.1
10.1.1.1/24 10.1.1.2/24
VRRP + peer BFD
10.1.1.10
GE1/0/2
GE1/0/3 GE1/0/3
GE1/0/2 PE4
Agregación
PE3
GE1/0/1
GE1/0/1
RRPP
GE1/0/2 PE1 PE2 GE1/0/2

GE1/0/3
GE1/0/3
GE1/0/1 GE1/0/1
GE1/0/1 GE1/0/1
SEP
LSW1 segmento 1 LSW2
GE1/0/2 GE1/0/2
GE1/0/2 GE1/0/1
Acceso
GE1/0/3 LSW3
GE1/0/1
CE
Puerto de borde primario
Puerto de borde secundario
VLAN 100 Puerto bloqueado (SEP)
Puerto bloqueado (RRPP)
NOTA
En este ejemplo, NPE1 y NPE2 usan NE40E ejecutando V600R008C00.

Para garantizar la fiabilidad de toda la red, se recomiendan configurar las siguientes funciones:
l Grupo VRRP entre NPE1 y NPE2 para mejorar la confiabilidad del dispositivo
l Sesión BFD entre NPE1 y NPE2 para detectar el estado del enlace y, por lo tanto, implementar una
conmutación rápida en el grupo VRRP


1. Configure las funciones básicas de SEP.
a. Configure el segmento SEP 1 en PE1, PE2, y LSW1 a LSW3 y configure VLAN 10
como VLAN de control del segmento 1 de SEP.
b. Agregue los segmentos PE1, PE2, y LSW1 a LSW3 a SEP y configure los roles de
interfaz en los dispositivos de borde (PE1 y PE2) del segmento SEP.
c. En el dispositivo donde está ubicada la interfaz de borde principal, especifique el
modo en el que se bloquea una interfaz.
d. Configure un modo de preferencia de SEP para garantizar que la interfaz bloqueada
especificada tenga efecto cuando se solucione el error.
e. Configure la función de notificación de cambio de topología para que la red de capa
superior que ejecuta RRPP pueda ser notificada de los cambios de topología en el
segmento SEP.
2. Configure las funciones básicas de RRPP.
a. Agregue PE1 a PE4 al dominio RRPP 1, configure VLAN 5 como VLAN de
control en PE1 a PE4, y configure la VLAN protegida.
b. Configure PE1 como el nodo principal y PE2 a PE4 como los nodos de tránsito en
el anillo principal, y configure la interfaz primaria y la secundaria del nodo
principal.
c. Cree las VLAN en PE1 a PE4 y agregue las interfaces en el anillo RRPP a las
VLAN.
3. Configure una sesión BFD de un solo salto entre NPE1 y NPE2 para detectar el estado
de las interfaces configuradas con VRRP. Luego, informe el resultado de la detección a
VRRP para completar la conmutación rápida de VRRP.
4. Configure VRRP.
a. Cree el grupo 1 de VRRP en GE 1/0/1 de NPE1, y ajuste una prioridad de VRRP
más alta para NPE1 para garantizar que NPE1 funcione como Master.
b. Cree el grupo 1 de VRRP en la vista de la interfaz GE 1/0/1 de NPE2 y permita que
NPE2 use la prioridad VRRP por defecto.
c. Enlace una sesión BFD al grupo 1 de VRRP.
5. Configure el reenvío de Capa 2 en CE, LSW1 a LSW3, y PE1 a PE4.
NOTA
Los PE son switches de agregación, los LSW son switches de acceso, y los CE son switches del lado del
usuario.
Procedimiento
Paso 1 Configure las funciones básicas de SEP.
1. Configure el segmento 1 de SEP y configure VLAN 10 como VLAN de control del
segmento 1 de SEP.
[PE1] sep segment 1 //Cree segmento 1 de SEP.

[PE1-sep-segment1] control-vlan 10 //Configure VLAN 10 como la VLAN de

[PE1-sep-segment1] protected-instance all //Configure todas las instancias
[PE1-sep-segment1] quit

[PE2] sep segment 1 //Cree segmento 1 de SEP.
[PE2-sep-segment1] control-vlan 10 //Configure VLAN 10 como la VLAN de
[PE2-sep-segment1] protected-instance all //Configure todas las instancias

control del segmento 1 de SEP


NOTA
– La VLAN de control debe ser una VLAN que no ha sido creada o utilizada. Sin embargo, el
comando para crear una VLAN común se muestra automáticamente en el archivo de configuración
después de crear la VLAN de control.
– Cada segmento SEP debe tener una VLAN de control. Después de agregar una interfaz a un
segmento SEP que tiene una VLAN de control, la interfaz se agrega automáticamente a la VLAN
de control.
2. Agregue el switch de agregación PE1, el switch de agregación PE2 y el switch de acceso
LSW1 a LSW3 al segmento SEP 1 y configure los roles de interfaz.
NOTA
Por defecto, STP está habilitado en las interfaces de Capa 2. Antes de agregar una interfaz a un
segmento SEP, deshabilite STP en la interfaz.
[PE1-GigabitEthernet1/0/1] stp disable //Deshabilite STP.
[PE1-GigabitEthernet1/0/1] sep segment 1 edge primary //Configure la interfaz
como la interfaz de borde primaria y agregarla al segmento 1 de SEP.


[LSW1-GigabitEthernet1/0/1] port link-type trunk
de SEP.
de SEP.

de SEP.
de SEP.

de SEP.
de SEP.

[PE2-GigabitEthernet1/0/1] sep segment 1 edge secondary //Configure la
interfaz como la interfaz de borde secundaria y agréguela al segmento 1 de
SEP.
Una vez completada la configuración, ejecute el comando display sep topology en el

switch de agregación PE1 para verificar la topología del segmento SEP. La salida del
comando muestra que la interfaz bloqueada es una de las dos interfaces en el enlace que
completa la negociación del vecino por última vez.
[PE1] display sep topology
SEP segment 1
-------------------------------------------------------------------------
System Name Port Name Port Role Port Status Hop
-------------------------------------------------------------------------
PE1 GE1/0/1 primary forwarding 1
LSW1 GE1/0/1 common forwarding 2
PE2 GE1/0/1 secondary discarding 8

3. Especifique una interfaz bloqueada.

# En el segmento 1 de SEP, ajuste el modo de bloqueo de una interfaz en el switch de
agregación PE1 donde se ubica la interfaz de borde principal para bloquear la interfaz en
el medio del segmento SEP.
[PE1] sep segment 1
[PE1-sep-segment1] block port middle
4. Configure un modo de preferencia.

# En el segmento 1 de SEP, configure el modo de apropiación manual en el switch de
agregación PE1 donde se ubica la interfaz de borde principal.
[PE1-sep-segment1] preempt manual
5. Configure la función de notificación de cambio de topología SEP.

Configure dispositivos en el segmento SEP 1 para notificar a la red RRPP de los cambios
de topología.
[PE1-sep-segment1] tc-notify rrpp

[PE2] sep segment 1
[PE2-sep-segment1] tc-notify rrpp
Una vez completada la configuración, realice las siguientes operaciones para verificar la
configuración. El switch de agregación PE1 se usa como ejemplo.
l Ejecute el comando display sep topology en el switch de agregación PE1 para verificar
la topología del segmento SEP.
La salida del comando muestra que GE1/0/2 del switch de acceso LSW3 está en estado
discarding y otras interfaces están en estado forwarding.
[PE1] display sep topology
SEP segment 1
-------------------------------------------------------------------------
System Name Port Name Port Role Port Status Hop
-------------------------------------------------------------------------
PE1 GE1/0/1 primary forwarding 1
LSW3 GE1/0/2 common discarding 4
PE2 GE1/0/1 secondary forwarding 8
l Ejecute el comando display sep interface verbose en el switch de agregación PE1 para
verificar información detallada sobre las interfaces en el segmento SEP.
[PE1] display sep interface verbose
SEP segment 1
Control-vlan :10
Preempt Delay Timer :0
TC-Notify Propagate to :rrpp
----------------------------------------------------------------
Interface :GE1/0/1
Port Role :Config = primary / Active = primary
Port Priority :64
Port Status :forwarding
Neighbor Status :up
Neighbor Port :LSW1 - GE1/0/1 (00e0-0829-7c00.0000)
NBR TLV rx :2124 tx :2126
LSP INFO TLV rx :2939 tx :135
LSP ACK TLV rx :113 tx :768

PREEMPT REQ TLV rx :0 tx :3

PREEMPT ACK TLV rx :3 tx :0
TC Notify rx :5 tx :3
EPA rx :363 tx :397
Paso 2 Configure las funciones básicas de RRPP.

1. Agregue el switch de agregación PE1 a PE4 al dominio RRPP 1, configure la VLAN 5
como VLAN de control en el switch de agregación PE1 a PE4 y configure la VLAN
protegida.
[PE1-mst-region] instance 1 vlan 5 6 100 //Mapee VLAN 5, VLAN 6, y VLAN 100 a
MSTI 1.
región MST.
[PE1] rrpp domain 1 //Cree dominio 1 de RRPP.
[PE1-rrpp-domain-region1] control-vlan 5 //Configure VLAN 5 como la VLAN de
control del dominio 1 de RRPP.
[PE1-rrpp-domain-region1] protected-vlan reference-instance 1 //Configure la
VLAN protegida en la instancia protegida 1.

MSTI 1.
región MST.

[PE3] stp region-configuration Introduzca la vista de la región MST.
MSTI 1.
región MST.

MSTI 1.
región MST.
NOTA
La VLAN de control debe ser una VLAN que no ha sido creada o utilizada. Sin embargo, el comando
para crear una VLAN común se muestra automáticamente en el archivo de configuración después de
crear la VLAN de control.

2. Cree una VLAN y agregue interfaces en la red en anillo a la VLAN.

[PE1] vlan 100
[PE1-vlan100] quit

[PE2] vlan 100
[PE2-vlan100] quit
# En el switch de agregación PE3, cree la VLAN 100 y agregue GE1/0/1 y GE1/0/2 a la

VLAN 100.
[PE3] vlan 100
[PE3-vlan100] quit
# En el switch de agregación PE4, cree la VLAN 100 y agregue GE1/0/1 y GE1/0/2 a la

VLAN 100.
[PE4] vlan 100
[PE4-vlan100] quit


3. Configure el switch de agregación PE1 como el nodo principal y el switch de agregación

PE2 a PE4 como los nodos de tránsito en el anillo principal, y configure la interfaz
primaria y la secundaria del nodo principal.
[PE1] rrpp domain 1 //Introduzca la vista del dominio 1 de RRPP.
[PE1-rrpp-domain-region1] ring 1 node-mode master primary-port
gigabitethernet 1/0/2 secondary-port gigabitethernet 1/0/3 level 0 //
Configure el nodo principal en el anillo primario RRPP 1 en el dominio 1 de
RRPP, y configure GE1/0/2 como la interfaz primaria y GE1/0/3 como la
interfaz secundaria.
[PE1-rrpp-domain-region1] ring 1 enable //Habilite el anillo RRPP.

[PE2-rrpp-domain-region1] ring 1 node-mode transit primary-port
interfaz secundaria.

interfaz secundaria..

gigabitethernet1/0/1 secondary-port gigabitethernet1/0/2 level 0 //Configure
el nodo principal en el anillo primario RRPP 1 en el dominio 1 de RRPP, y
configure GE1/0/1 como la interfaz primaria y GE1/0/2 como la interfaz
secundaria..
4. Habilite RRPP.
[PE1] rrpp enable

[PE2] rrpp enable

[PE3] rrpp enable

[PE4] rrpp enable
Una vez completada la configuración, ejecute el comando display rrpp brief o display rrpp
verbose domain. El switch de agregación PE1 se usa como ejemplo.
[PE1] display rrpp brief


Domain Index : 1

----------------------------------------------------------------------------
De acuerdo con la información anterior, RRPP se habilita en el switch de agregación PE1. La

VLAN de control principal es VLAN 5 y la VLAN de sub-control es VLAN 6 en el dominio
1 de RRPP. El mapeo de VLAN Instance1 consiste en las VLAN protegidas. El switch de
agregación PE1 es el nodo principal en el anillo 1. La interfaz primaria es GE1/0/2 y la
interfaz secundaria es GE1/0/3.
[PE1] display rrpp verbose domain 1
Domain Index : 1
RRPP Ring : 1
Ring Level : 0
Node Mode : Master
La VLAN de control principal es VLAN 5 y la VLAN de sub-control es VLAN 6 en el

dominio 1 de RRPP. El mapeo de VLAN Instance1 consiste en las VLAN protegidas. El
switch de agregación PE1 es el nodo principal en estado Complete. La interfaz principal es
GE1/0/2 y la interfaz secundaria es GE1/0/3.
Paso 3 Configure VLAN 100 para transmitir paquetes VRRP y VLAN 200 para transmitir paquetes
BFD.
[PE3-GigabitEthernet1/0/2] port trunk allow-pass vlan 100 200

Paso 4 Configure una sesión BFD.

1. Configure las direcciones IP para las interfaces.

interfaz.
[NPE1] vlan 100
[NPE1-vlan100] quit
interfaz.
[NPE2] vlan 100
[NPE2-vlan100] quit
2. Cree una sesión BFD.

[NPE1] bfd
[NPE1-bfd] quit
[NPE2] bfd
[NPE2-bfd] quit
# Después de completar la configuración, ejecute display bfd session all en NPE1 y

NPE2. La salida del comando muestra que la sesión BFD está configurada entre NPE1 y
NPE2 y su estado es Up.
[NPE1] display bfd session all
------------------------------------------------------------------------------
--
------------------------------------------------------------------------------
--
1 2 224.0.0.184 Up S_IP_IF GigabitEthernet1/0/1

------------------------------------------------------------------------------
--
3. Configure la asociación entre el estado de BFD y el estado de la sub-interfaz.

# Configure NPE1.
[NPE1] bfd
[NPE1-bfd] quit
[NPE1] bfd NPE2
# Configure NPE2.
[NPE2] bfd
[NPE2-bfd] quit
[NPE2] bfd NPE1
Después de completar las configuraciones anteriores, ejecute el comando display bfd

session all verbose en NPE1 y NPE2. Verifique que el campo Proc interface status
muestre Enable (Sub-If).
[NPE1] display bfd session all verbose
------------------------------------------------------------------------------
--
Session MIndex : 257 (One Hop) State : Up Name : npe2
------------------------------------------------------------------------------
--
Bind Peer IP Address : 224.0.0.184
Proc Interface Status : Enable(Sub-If) Process PST : Disable
WTR Interval (ms) : - Local Demand Mode : Disable
Active Multi : 3
Session TX TmrID : 93 Session Detect TmrID : 94
------------------------------------------------------------------------------
--
Paso 5 Configure VRRP.

ajuste la prioridad VRRP de NPE1 para 120 para que NPE1 pueda funcionar como
Master.

[NPE1-GigabitEthernet1/0/1.1] vrrp vrid 1 priority 120 //La prioridad por

defecto de un dispositivo en un grupo VRRP es de 100. Cambie la prioridad del
principal para que sea más alta que la de la copia de seguridad.
[NPE1-GigabitEthernet1/0/1.1] vrrp vrid 1 preempt-mode timer delay 10 //Un
dispositivo en un grupo VRRP usa prioridad inmediata por defecto. Cambie la
demora de preferencia del principal para evitar interrupciones de servicio en
una red inestable donde los dispositivos en el grupo VRRP se adelantan como
Master.
permita que NPE2 use el valor por defecto para que NPE1 pueda funcionar como
Backup.


Después de completar las configuraciones anteriores, ejecute el comando display vrrp en

NPE1. Verifique que el estado de NPE1 sea Master. Ejecute el comando display vrrp en
NPE2. Verifique que el estado de NPE2 sea Backup.
[NPE1] display vrrp
State : Master
PriorityRun : 120
TimerRun : 1
TimerConfig : 1
Auth Type : NONE
Virtual Mac : 0000-5e00-0101
Check TTL : YES
Create time : 2013-12-29 22:46:32 UTC+07:00
[NPE2] display vrrp
State : Backup
PriorityRun : 100
TimerRun : 1
TimerConfig : 1
Auth Type : NONE
Virtual Mac : 0000-5e00-0101
Check TTL : YES
Create time : 2013-12-29 22:46:32 UTC+07:00

Paso 6 Configure el reenvío de Capa 2 en el switch CE del lado del usuario, el switch de acceso
LSW1 a LSW3 y el switch de agregación PE1 a PE4.
Los detalles de configuración no se mencionan aquí. Para más detalles, vea los archivos de
configuración en este ejemplo.
l # Ejecute el comando shutdown en GE1/0/1 de LSW2 para simular una falla, y luego
ejecute el comando de display sep interface en LSW3 para verificar si GE1/0/2 en
LSW3 cambia del estado discarding al estado forwarding.
[LSW3] display sep interface gigabitethernet 1/0/2
SEP segment 1
----------------------------------------------------------------
Interface Port Role Neighbor Status Port Status
----------------------------------------------------------------
GE1/0/2 common up forwarding
l Ejecute el comando shutdown en GE1/0/1.1 en NPE1 para simular una falla de interfaz,
y luego ejecute el comando display vrrp en NPE2 para verificar si el estado de NPE2
cambia de Backup a Master.
[NPE2] display vrrp
State : Master
PriorityRun : 100
TimerRun : 1
TimerConfig : 1
Auth Type : NONE
Virtual Mac : 0000-5e00-0101
Check TTL : YES
Create time : 2013-12-29 22:46:32 UTC+07:00
----Fin
#
sysname LSW1
#
vlan batch 10 100
#
sep segment 1
control-vlan 10
#
stp disable
sep segment 1

#
stp disable
sep segment 1
#
return
#
sysname LSW2
#
vlan batch 10 100
#
sep segment 1
control-vlan 10
#
stp disable
sep segment 1
#
stp disable
sep segment 1
#
return
#
sysname LSW3
#
vlan batch 10 100
#
sep segment 1
control-vlan 10
#
stp disable
sep segment 1
#
stp disable
sep segment 1
#
#
return
#
sysname PE1
#
vlan batch 5 to 6 10 100
#
rrpp enable
#

instance 1 vlan 5 to 6 100

#
rrpp domain 1
control-vlan 5
ring 1 node-mode master primary-port GigabitEthernet 1/0/2 secondary-port
GigabitEthernet 1/0/3 level 0
ring 1 enable
#
sep segment 1
control-vlan 10
block port middle
tc-notify rrpp
#
stp disable
sep segment 1 edge primary
#
port trunk allow-pass vlan 5 to 6 100
stp disable
#
stp disable
#
return
#
sysname PE2
#
#
rrpp enable
#
#
rrpp domain 1
control-vlan 5
ring 1 node-mode transit primary-port GigabitEthernet 1/0/2 secondary-port
ring 1 enable
#
sep segment 1
control-vlan 10
tc-notify rrpp
#
stp disable
sep segment 1 edge secondary
#
stp disable
#


stp disable
#
return
#
sysname PE3
#
#
rrpp enable
#
#
rrpp domain 1
control-vlan 5
ring 1 enable
#
stp disable
#
port trunk allow-pass vlan 5 to 6 100 200
stp disable
#
port trunk allow-pass 100 200
stp disable
#
return
#
sysname PE4
#
#
rrpp enable
#
#
rrpp domain 1
control-vlan 5
ring 1 enable
#
stp disable
#
port trunk allow-pass vlan 5 to 6 100 200
stp disable

#
port trunk allow-pass 100 200
stp disable
#
return
#
sysname NPE1
#
vlan batch 100
#
bfd
#
undo shutdown
ip address 10.2.1.1 255.255.255.0
#
vlan-type dot1q 100
ip address 10.1.1.1 255.255.255.0
#
commit
#
return
#
sysname NPE2
#
vlan batch 100
#
bfd
#
undo shutdown
ip address 10.2.1.2 255.255.255.0
#
vlan-type dot1q 100
ip address 10.1.1.2 255.255.255.0
#
commit
#
return
l Archivo de configuración de CE
#
sysname CE1
#
vlan batch 100
#


#
return
6.5.10 Ejemplo para configurar VBST
El Árbol de expansión basado en VLAN (VBST) construye un árbol de expansión en cada
VLAN para que el tráfico de diferentes VLAN se pueda reenviar a través de diferentes árboles
de expansión. VBST es de propiedad de Huawei que es equivalente al Protocolo de árbol de
expansión (STP) o Protocolo de árbol de expansión rápida (RSTP) que se ejecuta en cada
VLAN. Los árboles de expansión en diferentes VLAN son independientes entre sí.
Actualmente, los tres protocolos de árbol de expansión estándar son STP, RSTP y Protocolo
de árbol de expansión múltiple (MSTP). STP y RSTP no pueden implementar el equilibrio de
carga basado en VLAN, porque todas las VLAN en una LAN comparten un árbol de
expansión y los paquetes en todas las VLAN se reenvían a lo largo de este árbol de expansión.
Además, el enlace bloqueado no lleva ningún tráfico, lo que desperdicia ancho de banda y
puede evitar que algunas VLAN reenvíen paquetes. Generalmente, se prefiere MSTP porque
es compatible con STP y RSTP, garantiza una convergencia rápida y proporciona múltiples
rutas para equilibrar la carga del tráfico.
En las redes empresariales, los usuarios empresariales necesitan funciones que sean fáciles de
usar y mantener, mientras que la configuración de MSTP de múltiples instancias y procesos
múltiples es compleja y requiere un conocimiento profundo.
Para abordar este problema, Huawei desarrolló VBST. VBST construye un árbol de expansión
en cada VLAN para que el tráfico de diferentes VLAN se equilibre en la carga a lo largo de
diferentes árboles de expansión. Además, VBST es fácil de configurar y mantener.
Este ejemplo se aplica a todos los modelos de V200R005C00 y versiones posteriores.
Al configurar VBST en el switch, preste atención a los siguientes puntos:
l Cuando HVRP está habilitado en un switch modular, no cambie el modo STP a VBST.
l Cuando VBST está habilitado en una red en anillo, VBST inicia inmediatamente el
cálculo del árbol de expansión. Los parámetros como la prioridad del dispositivo y la
prioridad del puerto afectan el cálculo del árbol de expansión, y los cambios de estos
parámetros pueden causar un aleteo de la red. Para garantizar un cálculo del árbol de
expansión rápido y estable, realice configuraciones básicas en el switch y las interfaces
antes de habilitar VBST.
l Si la instancia protegida se ha configurado en un segmento SEP o anillo ERPS pero el
mapeo entre instancias protegidas y VLAN no está configurada, VBST no se puede
habilitar.
l VBST no se puede habilitar en la VLAN ignorada ni en la VLAN de control utilizada
por ERPS, RRPP, SEP o Smart Link.
l Si se ha configurado el mapeo de 1:N (N>1) entre las MSTI y las VLAN en el switch,
debe eliminar el mapeo antes de cambiar el modo de funcionamiento de STP a VBST.
l Si stp vpls-subinterface enable ha sido configurado en el switch, debe ejecutar el
comando undo stp vpls-subinterface enable en la interfaz antes de cambiar el modo de
funcionamiento de STP a VBST.

l Si el dispositivo se ha configurado como el root bridge o como el secondary root bridge,

ejecute el comando undo stp vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> root para
deshabilitar la función del root bridge o secondary root bridge y ejecute el comando stp
vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> priority priority para cambiar la prioridad del
dispositivo.
l Cuando se especifique dinámicamente más de 128 MSTI, STP se deshabilita en una
VLAN creada en el archivo de configuración, por ejemplo, stp vlan 100 disable.
l Para evitar el aleteo frecuente de la red, asegúrese de que los valores de Hello time,
Forward Delay, y Max Age estén conforme a las siguientes fórmulas:
– 2 x (Forward Delay - 1.0 second) >= Max Age
– Max Age >= 2 x (Hello Time + 1.0 second)
l Se recomienda usar una convergencia rápida en modo normal. Si se usa el modo fast,
borrar con frecuencia las entradas de ARP puede dar como resultado un uso de CPU del
100% de la MPU y la LPU. Como resultado, el procesamiento de paquetes expira y se
produce un aleteo de la red.
l Después de que todos los puertos estén configurados como puertos de borde y puertos de
filtro de BPDU en la vista del sistema, ninguno de los puertos del switch envía BPDU o
negocia el estado de VBST con los puertos directamente conectados en el dispositivo del
otro extremo. Todos los puertos están en estado de reenvío. Esto puede causar bucles en
la red, lo que lleva a tormentas de difusión. Tenga precaución cuando configure un
puerto como puerto de borde y puerto de filtro de BPDU.
l Después de que un puerto se configure como un puerto de borde y un puerto de filtro de
BPDU en la vista de interfaz, el puerto no procesa ni envía BPDU. El puerto no puede
negociar el estado de VBST con el puerto directamente conectado en el dispositivo del
otro extremo. Tenga precaución cuando configure un puerto como un puerto de borde y
un puerto de filtro de BPDU.
l La protección de root solo tiene efecto en los puertos designados.
l Un puerto alternativo es la copia de seguridad del root bridge. Si un switch tiene un
puerto alternativo, configure la protección de bucle tanto en el root bridge como en el
alternativo.
Requisitos de redes
En Figura 6-34, SwitchC y SwitchD (switches de acceso) están dual-homed para SwitchA
and SwitchB (switches de agregación). SwitchC transmite el tráfico desde VLAN 10 y VLAN
20, y SwitchD transmite el tráfico desde VLAN 20 y VLAN 30. Se forma una red en anillo
entre la capa de acceso y la capa de agregación. La empresa requiere que el tráfico del
servicio en cada VLAN se reenvíe correctamente y que el tráfico del servicio de diferentes
VLAN se equilibre en la carga para mejorar la eficacia del uso del enlace.

Figura 6-34 Redes de VBST
Red de core
SwitchA SwitchB
GE1/0/1 GE1/0/1
VLAN 10, 20, 30
GE1/0/3 GE1/0/2 GE1/0/2 GE1/0/3
VLAN 10, 20 VLAN 20, 30

2 0 VL
1 0, AN
AN 20
VL ,3
0
GE1/0/3 GE1/0/3
GE1/0/2 GE1/0/2
SwitchC SwitchD
GE1/0/4 GE1/0/5 GE1/0/4 GE1/0/5
VLAN 10 VLAN 20 VLAN 20 VLAN 30
Árbol de expansión Árbol de expansión Árbol de expansión

para VLAN 10 para VLAN 20 para VLAN 30
Root bridge
Enlace desbloqueado
Enlace bloqueado
Puerto bloqueado

VBST se puede usar para eliminar bucles entre la capa de acceso y la capa de agregación y
garantiza que el tráfico del servicio en cada VLAN se reenvíe correctamente. Además, el
tráfico de diferentes VLAN se puede equilibrar en la carga. La hoja de ruta de configuración
es la siguiente:
1. Configure el reenvío de Capa 2 en los switches de acceso y agregación.

2. Configure las funciones básicas de VBST en SwitchA, SwitchB, SwitchC, y SwitchD.
Realice las siguientes operaciones para que un árbol de expansión mostrado en Figura
6-34 se forme a través del cálculo:

– Configure SwitchA y SwitchB como el root bridge y el secondary root bridge de la

VLAN 10 respectivamente, configure SwitchA y SwitchB como el root bridge y el
secondary root bridge de la VLAN 20 respectivamente, y configure SwitchB y
SwitchA como el root bridge y el secondary root bridge de la VLAN 30
respectivamente.
– Ajuste un costo de ruta mayor para GE1/0/2 en SwitchC en VLAN 10 y VLAN 20
para que GE1/0/2 esté bloqueada en árboles de expansión de VLAN 10 y VLAN
20. Ajuste un costo de ruta mayor para GE1/0/2 en SwitchD en VLAN 20 y VLAN
30 para que GE1/0/2 está bloqueada en el árbol de expansión de VLAN 20 y VLAN
30.
3. Configure los puertos en SwitchC y SwitchD conectados a los terminales como puertos
de borde para reducir el cálculo de topología VBST y mejorar la convergencia de
topología.
Procedimiento
l Cree VLAN 10, VLAN 20, y VLAN 30 en SwitchA, SwitchB, SwitchC, y SwitchD.
# Cree VLAN 10, VLAN 20 y VLAN 30 en el switch de agregación SwitchA.
[SwitchA] vlan batch 10 20 30
# Cree VLAN 10, VLAN 20 y VLAN 30 en el switch de agregación SwitchB.

[SwitchB] vlan batch 10 20 30
# Cree VLAN 10 y VLAN 20 en el switch de acceso SwitchC.

[SwitchC] vlan batch 10 20
# Cree VLAN 20 y VLAN 30 en el switch de acceso SwitchD.

[SwitchD] vlan batch 20 30

# Agregue GE1/0/1 en SwitchA a VLAN 10, VLAN 20 y VLAN 30.
[SwitchA-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 20 30


# Agregue GE1/0/1 en SwitchB a VLAN 10, VLAN 20 y VLAN 30.


[SwitchB-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 20 30



# Agregue GE1/0/2 en SwitchC a VLAN 10 y VLAN 20.

[SwitchC-GigabitEthernet1/0/2] port trunk allow-pass vlan 10 20
# Agregue GE1/0/3 en SwitchC a VLAN 10 y VLAN 20.

# Agregue GE1/0/4 en SwitchC a VLAN 10 y GE1/0/5 en VLAN 20.

# Agregue GE1/0/2 en SwitchD a VLAN 20 y VLAN 30.

[SwitchD-GigabitEthernet1/0/2] port trunk allow-pass vlan 20 30
# Agregue GE1/0/3 en SwitchD a VLAN 20 y VLAN 30.

[SwitchD-GigabitEthernet1/0/3] port trunk allow-pass vlan 20 30
# Agregue GE1/0/4 en SwitchD a VLAN 20 y GE1/0/5 en VLAN 30.

Paso 2 Configure las funciones básicas de VBST.

1. Configure los switches en la red del anillo para funcionar en el modo VBST.
# Configure SwitchA para funcionar en modo VBST.
[SwitchA] stp mode vbst
# Configure SwitchB para funcionar en modo VBST.

[SwitchB] stp mode vbst

# Configure SwitchC para funcionar en modo VBST.

[SwitchC] stp mode vbst
# Configure SwitchD para funcionar en modo VBST.

[SwitchD] stp mode vbst
2. Configure el y root bridge y el secondary root bridge.

– Configure el root bridge y el secondary root bridge en VLAN 10.
# Configure SwitchA como el root bridge en VLAN 10.
[SwitchA] stp vlan 10 root primary
# Configure SwitchB como el secondary root bridge en VLAN 10.

[SwitchB] stp vlan 10 root secondary

# Configure SwitchA como el root bridge en VLAN 20.
[SwitchA] stp vlan 20 root primary
# Configure SwitchB como el secondary root bridge en VLAN 20.

[SwitchB] stp vlan 20 root secondary

# Configure SwitchB como el root bridge en VLAN 30.
[SwitchB] stp vlan 30 root primary
# Configure SwitchA como el secondary root bridge en VLAN 30.

[SwitchA] stp vlan 30 root secondary
3. Configure el costo de la ruta para un puerto en cada VLAN para que el puerto pueda ser
bloqueado.
NOTA
– El rango del costo de la ruta depende del algoritmo. El estándar IEEE 802.1t se usa como
ejemplo. Ajuste los costos de la ruta de los puertos a ser bloqueados a 2000000.
– Todos los switches en la misma red deben usar el mismo método de cálculo del costo de la
ruta.
# Ajuste el costo de ruta de GE1/0/2 en SwitchC a 2000000 en VLAN 10 y VLAN 20.
[SwitchC-GigabitEthernet1/0/2] stp vlan 10 cost 2000000
[SwitchC-GigabitEthernet1/0/2] stp vlan 20 cost 2000000
# Ajuste el costo de ruta de GE1/0/2 en SwitchD a 2000000 en VLAN 20 y VLAN 30.

[SwitchD-GigabitEthernet1/0/2] stp vlan 20 cost 2000000
[SwitchD-GigabitEthernet1/0/2] stp vlan 30 cost 2000000
4. Habilite VBST para eliminar los bucles.

– Deshabilite VBST en VLAN 1 en todos los dispositivos.
NOTA
Por defecto, todos los puertos que se unen a VLAN 1 y VBST están habilitados en VLAN 1.
Para reducir el cálculo del árbol de expansión, deshabilite VBST en VLAN 1. Para evitar los
bucles en VLAN 1 después de que VBST esté deshabilitado, elimine los puertos desde
VLAN 1.
# Deshabilite VBST en VLAN 1 en SwitchA.
[SwitchA] stp vlan 1 disable
# Deshabilite VBST en VLAN 1 en SwitchB.

[SwitchB] stp vlan 1 disable
# Deshabilite VBST en VLAN 1 en SwitchC.

[SwitchC] stp vlan 1 disable
# Deshabilite VBST en VLAN 1 en SwitchD.

[SwitchD] stp vlan 1 disable
# Borre GE1/0/1, GE1/0/2, y GE1/0/3 en SwitchA desde VLAN 1.

# Borre GE1/0/1, GE1/0/2, y GE1/0/3 en SwitchB desde VLAN 1.

[SwitchB-GigabitEthernet1/0/1] undo port trunk allow-pass vlan 1
# Borre GE1/0/2, y GE1/0/3 en SwitchB desde VLAN 1.

[SwitchC-GigabitEthernet1/0/2] undo port trunk allow-pass vlan 1
[SwitchC-GigabitEthernet1/0/3] undo port trunk allow-pass vlan 1
# Borre GE1/0/2, y GE1/0/3 en SwitchD desde VLAN 1.

[SwitchD-GigabitEthernet1/0/2] undo port trunk allow-pass vlan 1
[SwitchD-GigabitEthernet1/0/3] undo port trunk allow-pass vlan 1
– Habilite VBST globalmente.

# Habilite VBST en SwitchA globalmente.
# Habilite VBST en SwitchB globalmente.

# Habilite VBST en SwitchC globalmente.

# Habilite VBST en SwitchD globalmente.

– Habilite VBST en una VLAN.

Por defecto, VBST está habilitado en una VLAN.
Ejecute el comando display stp vlan para verificar el estado de VBST. Si se
muestra el mensaje "The protocol is disabled", VBST está deshabilitado en la
VLAN. Ejecute el comando stp vlan vlan-id enable en la vista del sistema para
habilitar VBST en la VLAN.
– Habilite VBST en un puerto.

Por defecto, VBST está habilitado en una interfaz de Ethernet de Capa 2.

Ejecute el comando display stp interface interface-type interface-number para
verificar el estado de VBST en un puerto. Si se muestra el mensaje "The protocol is
disabled", VBST está deshabilitado en el puerto. Ejecute el comando stp enable en
la vista de interfaz para habilitar VBST en el puerto.
Paso 3 Configure los puertos conectados a los terminales como puertos de borde para mejorar la
convergencia de topología.
# En SwitchC y SwitchD, configure GE1/0/4 y GE1/0/5 conectados a los terminales como
puertos de borde.

# Ejecute el comando display stp bridge local en SwitchA para verificar el modo de
funcionamiento de STP.
[SwitchA] display stp bridge local
VLAN-ID Bridge ID Hello Max Forward Protocol
Time Age Delay
----- -------------------- ----- --- ------- ---------------------------
10 0.0200-0000-6703 2 20 15 VBST
20 0.0200-0000-6703 2 20 15 VBST
30 4096.0200-0000-6703 2 20 15 VBST
La información anterior muestra que se usa el modo VBST.

# Ejecute el comando display stp brief en SwitchA para verificar el estado del puerto.
VLAN-ID Port Role STP State Protection
La información anterior muestra que SwitchA participa en el cálculo del árbol de expansión
en VLAN 10, VLAN 20 y VLAN 30. Por ejemplo, SwitchA es el root bridge en VLAN 10 y
VLAN 20, por lo que GE1/0/1 y GE1/0/3 en VLAN 10 se seleccionan como puertos
designados. GE1/0/1, GE1/0/2 y GE1/0/3 en VLAN 20 se seleccionan como puertos
designados. SwitchA es el secondary root bridge en VLAN 30, por lo que GE1/0/1 se
selecciona como el root bridge y GE1/0/2 se selecciona como el puerto designado en VLAN
30.
# Ejecute el comando display stp vlan 10 en SwitchA para verificar información detallada
sobre VLAN 10.

[SwitchA] display stp vlan 10

-------[VLAN 10 Global Info]-------
Bridge ID :0 .0200-0000-6703
Config Times :Hello 2s MaxAge 20s FwDly 15s
Active Times :Hello 2s MaxAge 20s FwDly 15s
Root ID / RPC :0 .0200-0000-6703 / 0 (This bridge is the root)
RootPortId :0.0
Root Type :Primary
----[Port4093(GigabitEthernet1/0/1)][FORWARDING]----
Port Role :Designated Port
Port Priority :128
Port Cost(Dot1T) :Config=Auto / Active=20000
Desg. Bridge/Port :0 .0200-0000-6703 / 128.4093
Port Edged :Config=Default / Active=Disabled
Point-to-point :Config=Auto / Active=true
Transit Limit :6 packets/hello
Protection Type :None
----[Port4092(GigabitEthernet1/0/3)][FORWARDING]----
Port Role :Designated Port
Port Priority :128
Port Cost(Dot1T) :Config=Auto / Active=199999
Desg. Bridge/Port :0 .0200-0000-6703 / 128.4092
Port Edged :Config=Default / Active=Disabled
Point-to-point :Config=Auto / Active=true
Transit Limit :6 packets/hello
Protection Type :None
La información anterior muestra que SwitchA se selecciona como el root bridge en VLAN 10
y GE1/0/1 y GE1/0/3 se seleccionan como puertos designados en el estado FORWARDING.
# Ejecute el comando display stp brief en SwitchB, SwitchC, y SwitchD para verificar el
estado del puerto.
[SwitchD] display stp brief
La información anterior muestra que SwitchB participa en el cálculo del árbol de expansión
en VLAN 10, VLAN 20 y VLAN 30, SwitchC participa en el cálculo del árbol de expansión
en VLAN 10 y VLAN 20, y SwitchD participa en el cálculo del árbol de expansión en VLAN
20 y VLAN 30. Después de completar el cálculo, los puertos se seleccionan como roles
diferentes para eliminar los bucles.

Se forman diferentes árboles de expansión en VLAN 10, VLAN 20 y VLAN 30, y el tráfico
en VLAN 10, VLAN 20 y VLAN 30 se envía a lo largo de diferentes árboles de expansión
para implementar el equilibrio de carga.
----Fin
#
sysname SwitchA
#
vlan batch 10 20 30
#
stp mode vbst
stp enable
#
stp vlan 1 disable
stp vlan 30 root secondary
stp vlan 10 20 root primary
#
#
#
#
return

#
sysname SwitchB
#
vlan batch 10 20 30
#
stp mode vbst
stp enable
#
stp vlan 1 disable
stp vlan 10 20 root secondary
stp vlan 30 root primary
#
#
#
#
return


#
sysname SwitchC
#
vlan batch 10 20
#
stp mode vbst
stp enable
#
stp vlan 1 disable
#
stp vlan 10 20 cost 2000000
#
#
#
#
return

#
sysname SwitchD
#
vlan batch 20 30
#
stp mode vbst
stp enable
#
stp vlan 1 disable
#
stp vlan 20 30 cost 2000000
#
#
#
#
return

6.6 Configuración típica de detección de loopback

6.6.1 Ejemplo para configurar LDT para detectar bucles en la red
de enlace descendente
Cuando se produzca un bucle en una red, los paquetes de difusión, multidifusión y unidifusión
desconocidos se transmiten repetidamente en la red. Esto desperdicia recursos de la red e
incluso puede causar un fallo de la red. Para minimizar el impacto de los bucles en una red de
Capa 2, se requiere una tecnología de detección que notifique rápidamente a los usuarios
sobre bucles. Cuando se produzca un bucle, se solicita a los usuarios que verifiquen las
conexiones y configuraciones de red, y que controlen la interfaz problemática.
La detección de bucle (LDT) envía periódicamente paquetes LDT en una interfaz para
verificar si los paquetes regresan al dispositivo local (las interfaces de recepción y transmisión
pueden ser diferentes) y determina si se producen bucles en la interfaz, red local o red de
enlace descendente.
l Si los paquetes LDT son recibidos por la misma interfaz, se produce un loopback en la
interfaz o se produce un bucle en la red conectada a la interfaz.
l Si los paquetes LDT son recibidos por otra interfaz en el mismo dispositivo, se produce
un bucle en la red conectada a la interfaz.
Después de detectar los bucles, el dispositivo puede enviar alarmas al NMS y registrar logs, y
puede controlar el estado de la interfaz (la interfaz se apaga por defecto) de acuerdo con la
configuración del dispositivo para minimizar el impacto de los bucles en el dispositivo y en la
red. El dispositivo proporciona las siguientes acciones después de que LDT detecte un bucle:
l Trap: El dispositivo informa un trap al NMS y registra un log, pero no realiza ninguna
acción en la interfaz.
l Block: El dispositivo bloquea esta interfaz y solo puede reenviar los BPDU.
l No learning: La interfaz está deshabilitada para aprender las direcciones MAC.
l Shutdown: El dispositivo apaga la interfaz.
l Quitvlan: La interfaz se elimina de la VLAN donde se produce un bucle.
La interfaz problemática continúa enviando paquetes LDT. Si el dispositivo no recibe

paquetes LDT de la interfaz problemática dentro del tiempo de recuperación, considera que el
bucle se elimina en la interfaz y restaura la interfaz.
LDT solo puede detectar bucles en un solo nodo, pero no puede eliminar bucles en toda la red
de la misma manera que las tecnologías de red en anillo de ERPS, RRPP, SEP, Smart Link, y
STP/RSTP/MSTP/VBST.
l En V200R008C00 y versiones anteriores, LDT no tiene efecto en las VLAN dinámicas
l LDT y LBDT no pueden configurarse simultáneamente.

l LDT necesita enviar una gran cantidad de paquetes LDT para detectar bucles y ocupar
recursos del sistema. Por lo tanto, deshabilite LDT si los bucles no necesitan ser
detectados.
l Cuando se produzcan bucles en múltiples VLAN en muchas interfaces, el rendimiento de
LDT se reduce debido a las limitaciones de las políticas de seguridad y la capacidad de
procesamiento de la CPU. Mientras mayor sea el número de VLAN e interfaces
involucradas, menor será el rendimiento. En particular, se reduce el rendimiento del
chasis de reserva en el clúster. Se recomienda eliminar manualmente los bucles.
l LDT no se puede usar con las tecnologías de red en anillo de ERPS, RRPP, SEP, Smart
Link, y STP/RSTP/MSTP/VBST. No configure las tecnologías de red en anillo en una
interfaz de una VLAN habilitada para LDT. Si LDT se ha habilitado globalmente y las
tecnologías de red en anillo deben configurarse en una interfaz, primero inhabilite LDT
en la interfaz.
l LDT solo envía paquetes etiquetados y solo puede detectar bucles basados en las VLAN.
LDT puede detectar bucles en un máximo de 4094 VLAN.
l Cuando se produzca un bucle en la interfaz del lado de la red donde está configurada la
acción Block o Shutdown, se interrumpen todos los servicios en el dispositivo. No
implemente LDT en la interfaz del lado de la red.
l La acción Quitvlan no se puede utilizar con GVRP, HVRP, o la acción de eliminar una
interfaz desde la VLAN donde se produce el aleteo de la dirección MAC.
l Los puertos bloqueados de LDT no pueden bloquear paquetes GVRP. Para garantizar
que GVRP se ejecute normalmente y evitar bucles GVRP, no habilite GVRP en el puerto
bloqueado de LDT.
Requisitos de redes
En Figura 6-35, una nueva red ramal de una empresa se conecta al switch de agregación
Switch, y las VLAN 10 a 20 se implementan en la red ramal. Los bucles se producen debido a
conexiones o configuraciones incorrectas. Como resultado, la comunicación en Switch y en la
red de enlace ascendente se ve afectada.
Es necesario que Switch detecte inmediatamente los bucles en la nueva red ramal para evitar
el impacto de los bucles en Switch y en la red de enlace ascendente.
Figura 6-35 Redes para configurar LDT para detectar bucles en la red de enlace descendente
Switch
GE1/0/1
Sucursal
nuevo
VLAN 10-20


1. Habilite LDT en GE1/0/1 de Switch para detectar bucles en una VLAN especificada para
que se puedan detectar los bucles en la red de enlace descendente.
2. Configure una acción después de que se detecten los bucles para que Switch pueda
apagar inmediatamente la interfaz donde se detecta un bucle. Esto evita el impacto del
bucle en Switch y en la red de enlace ascendente.
NOTA
Configure las interfaces en otros dispositivos de conmutación como interfaces troncales o híbridas y
configure estas interfaces para permitir que los paquetes de las VLAN correspondientes pasen. Esto
garantiza la conectividad de Capa 2 en la nueva red y entre la nueva red y Switch.
Procedimiento
Paso 1 Habilite LDT global.
[Switch] loop-detection enable //Habilite LDT globalmente.
Paso 2 Habilite LDT en las VLAN.

[Switch] vlan batch 10 to 20
[Switch] loop-detection enable vlan 10 to 20 //Habilite que el dispositivo
detecte bucles en todas las interfaces en las VLAN 10 a 20.
Paso 3 Establezca el intervalo para enviar paquetes LDT.

[Switch] loop-detection interval-time 10 //Establezca el intervalo para enviar
paquetes LDT a 10 s.
Paso 4 Configure una acción tomada después de que se detecte un bucle.

# Habilite la función de trap para LDT.
[Switch] snmp-agent trap enable feature-name ldttrap //Habilite la función de
alarma LDT para que el dispositivo pueda enviar traps LDT.
# Establezca la acción a Shutdown.

[Switch-GigabitEthernet1/0/1] stp disable //Deshabilite STP en la interfaz.
[Switch-GigabitEthernet1/0/1] port hybrid tagged vlan 10 to 20
[Switch-GigabitEthernet1/0/1] loop-detection mode port-shutdown //Configure la
acción Shutdown que se tomará en GE1/0/1 después de que se detecte un bucle.

# Una vez completada la configuración, ejecute el comando display loop-detection para
verificar la información LDT global.
[Switch] display loop-detection
Loop Detection is enabled.
Detection interval time is 10 seconds.
Following VLANs enable loop-detection:
VLAN 10 to 20
Following ports are blocked for loop:
NULL
Following ports are shutdown for loop:

GigabitEthernet1/0/1 Include Vlans:

10
Following ports are nolearning for loop:
NULL
Following ports are trapped for loop:
NULL
Following ports are quitvlan for loop:
NULL
# Verifique la información LDT en GE1/0/1.

[Switch] display loop-detection interface gigabitethernet 1/0/1
The port is enabled.
The port's status list:
Status WorkMode Recovery-time EnabledVLAN
-----------------------------------------------------------------------
Shutdown Shutdown 255 10
Normal Shutdown 255 11
La salida del comando muestra que LDT está habilitado en las VLAN 10 a 20 y la acción
Shutdown se toma en GE1/0/1 en VLAN 10, lo que indica que los bucles se detectan en
VLAN 10.
NOTA
Después de que se detecten bucles en una o más VLAN, el sistema apaga la interfaz involucrada y se
eliminan los bucles. En este caso, LDT puede ser incapaz de detectar todas las VLAN donde se
producen los bucles.
----Fin
#
sysname Switch
#
vlan batch 10 to 20
#
loop-detection enable
loop-detection interval-time 10
loop-detection enable vlan 10 to 20
#
stp disable
#
snmp-agent trap enable feature-name LDTTRAP
#
return
6.6.2 Ejemplo para configurar LDT para detectar bucles en la red

local

Cuando se produzca un bucle en una red, los paquetes de difusión, multidifusión y unidifusión
La detección de bucle (LDT) envía periódicamente paquetes LDT en una interfaz para
enlace descendente.
l Si los paquetes LDT son recibidos por la misma interfaz, se produce un loopback en la
interfaz o se produce un bucle en la red conectada a la interfaz.
l Si los paquetes LDT son recibidos por otra interfaz en el mismo dispositivo, se produce
un bucle en la red conectada a la interfaz.
Después de detectar los bucles, el dispositivo puede enviar alarmas al NMS y registrar logs, y
puede controlar el estado de la interfaz (la interfaz se apaga por defecto) de acuerdo con la
configuración del dispositivo para minimizar el impacto de los bucles en el dispositivo y en la
red. El dispositivo proporciona las siguientes acciones después de que LDT detecte un bucle:
La interfaz problemática continúa enviando paquetes LDT. Si el dispositivo no recibe
paquetes LDT de la interfaz problemática dentro del tiempo de recuperación, considera que el
bucle se elimina en la interfaz y restaura la interfaz.
LDT solo puede detectar bucles en un solo nodo, pero no puede eliminar bucles en toda la red
de la misma manera que las tecnologías de red en anillo de ERPS, RRPP, SEP, Smart Link, y
STP/RSTP/MSTP/VBST.
l En V200R008C00 y versiones anteriores, LDT no tiene efecto en las VLAN dinámicas
l LDT y LBDT no pueden configurarse simultáneamente.
l LDT necesita enviar una gran cantidad de paquetes LDT para detectar bucles y ocupar
recursos del sistema. Por lo tanto, deshabilite LDT si los bucles no necesitan ser
detectados.
l Cuando se produzcan bucles en múltiples VLAN en muchas interfaces, el rendimiento de
LDT se reduce debido a las limitaciones de las políticas de seguridad y la capacidad de
procesamiento de la CPU. Mientras mayor sea el número de VLAN e interfaces
involucradas, menor será el rendimiento. En particular, se reduce el rendimiento del
chasis de reserva en el clúster. Se recomienda eliminar manualmente los bucles.
l LDT no se puede usar con las tecnologías de red en anillo de ERPS, RRPP, SEP, Smart
Link, y STP/RSTP/MSTP/VBST. No configure las tecnologías de red en anillo en una

interfaz de una VLAN habilitada para LDT. Si LDT se ha habilitado globalmente y las
tecnologías de red en anillo deben configurarse en una interfaz, primero inhabilite LDT
en la interfaz.
l LDT solo envía paquetes etiquetados y solo puede detectar bucles basados en las VLAN.
LDT puede detectar bucles en un máximo de 4094 VLAN.
l Cuando se produzca un bucle en la interfaz del lado de la red donde está configurada la
acción Block o Shutdown, se interrumpen todos los servicios en el dispositivo. No
implemente LDT en la interfaz del lado de la red.
l La acción Quitvlan no se puede utilizar con GVRP, HVRP, o la acción de eliminar una
interfaz desde la VLAN donde se produce el aleteo de la dirección MAC.
l Los puertos bloqueados de LDT no pueden bloquear paquetes GVRP. Para garantizar
bloqueado de LDT.
Requisitos de redes
En Figura 6-36, una empresa usa una red de Capa 2. Switch es el switch de agregación, y
cada switch permite que los paquetes de las VLAN 10 a 20 pasen. Debido a que los
empleados a menudo se mueven, la topología de la red cambia con frecuencia. Las
conexiones o configuraciones pueden ser incorrectas debido a malas operaciones. Como
resultado, pueden producirse bucles en las VLAN 10 a 20.
Los bucles provocan tormentas de difusión y afectan la comunicación entre dispositivo y red.
Es necesario que los bucles sean detectados y eliminados en las VLAN de manera oportuna
para evitar tormentas de difusión.
Figura 6-36 Redes para configurar LDT para detectar bucles en la red local
Switch
GE1/0/0 GE2/0/0
VLAN 10~20

Los bucles deben detectarse en las VLAN 10 a 20. Como hay más de ocho VLAN, usted
puede configurar LDT para detectar bucles y configurar una acción luego de detectar los
bucles para evitar tormentas de difusión. Todas las VLAN comparten un enlace. Para evitar
que la eliminación de bucle en una VLAN afecte el reenvío de datos en otras VLAN,
configure la acción Quitvlan. La hoja de ruta de configuración es la siguiente:
1. Habilite LDT en GE1/0/0 y GE2/0/0 en Switch para detectar bucles en las VLAN de 10 a
20.
2. Configure una acción a tomar después de que se detecte un bucle en GE1/0/0 y GE2/0/0,
y configure el tiempo de recuperación para que el Switch pueda tomar inmediatamente la

acción preconfigurada en la interfaz para evitar tormentas de difusión después de que un

bucle sea detectado. Además, Switch puede restaurar la interfaz después de que se
elimine el bucle.
NOTA
Configure interfaces en otros dispositivos de conmutación como interfaces troncales o híbridas y

configure estas interfaces para permitir que los paquetes de las VLAN correspondientes pasen para
garantizar la conectividad de Capa 2.
Procedimiento
Paso 1 Habilite LDT global.
[Switch] loop-detection enable //Habilite LDT globalmente.
Paso 2 Habilite LDT en las VLAN.

[Switch] loop-detection enable vlan 10 to 20 //Habilite que el dispositivo
detecte bucles en todas las interfaces en las VLAN 10 a 20.
Paso 3 Ajuste el intervalo para enviar paquetes LDT.

[Switch] loop-detection interval-time 10 //Establezca el intervalo para enviar
paquetes LDT a 10 s.
Paso 4 Configure una acción a tomar después de que se detecte un bucle.

# Habilite la función de trap para LDT.
[Switch] snmp-agent trap enable feature-name ldttrap //Habilite la función de
alarma LDT para que el dispositivo pueda enviar traps LDT.
# Ajuste la acción a Quitvlan.

[Switch-GigabitEthernet1/0/0] loop-detection mode port-quitvlan //Configure la
acción Quitvlan a tomar después de que se detecte un bucle.
[Switch-GigabitEthernet2/0/0] loop-detection mode port-quitvlan //Configure la
acción Quitvlan a tomar después de que se detecte un bucle.
Paso 5 Ajuste el tiempo de recuperación de la interfaz.

[Switch-GigabitEthernet1/0/0] loop-detection recovery-time 30 //Establezca el
tiempo de recuperación a 30 segundos.
[Switch-GigabitEthernet2/0/0] loop-detection recovery-time 30 //Establezca el

1. Verifique la configuración de LDT.
# Una vez completada la configuración, ejecute el comando display loop-detection para
verificar la información LDT global.
[Switch] display loop-detection
Loop Detection is enabled.

Detection interval time is 10 seconds.

Following VLANs enable loop-detection:
VLAN 10 to 20
Following ports are blocked for loop:
NULL
Following ports are shutdown for loop:
NULL
Following ports are nolearning for loop:
NULL
Following ports are trapped for loop:
NULL
Following ports are quitvlan for loop:
10 11 12 16 19
13 14 15 17 18
20
# Verifique la información de LDT en GE1/0/0 y GE2/0/0.

-----------------------------------------------------------------------
Quitvlan Quitvlan 30 10
Normal Quitvlan 30 13
-----------------------------------------------------------------------
En la salida del comando, LDT está habilitado en las VLAN 10 a 20, GE1/0/0 se elimina
desde las VLAN 10, 11, 12, 16 y 19, y GE2/0/0 se elimina desde las VLAN 13, 14, 15,
17, 18 y 20.
NOTA
Las VLAN desde las que se elimina una interfaz son inciertas, pero la interfaz se eliminará de
todas las VLAN donde se producen bucles.
2. Después de eliminar el bucle (por ejemplo, GE2/0/0 se apaga y las conexiones entre los
dispositivos se corrigen), verifique si GE1/0/0 y GE2/0/0 se restauran.
-----------------------------------------------------------------------

-----------------------------------------------------------------------
La salida del comando muestra que GE1/0/0 y GE2/0/0 se restauran.
----Fin
#
sysname Switch
#
vlan batch 10 to 20
#
loop-detection enable
loop-detection interval-time 10
loop-detection enable vlan 10 to 20
#
stp disable
loop-detection mode port-quitvlan
loop-detection recovery-time 30
#
stp disable
loop-detection mode port-quitvlan
loop-detection recovery-time 30
#
snmp-agent trap enable feature-name LDTTRAP
#
return
6.6.3 Ejemplo para configurar LBDT para detectar loopbacks en

una interfaz

Cuando se produce un bucle en una red, los paquetes de difusión, multidifusión y unidifusión
La detección de loopback (LBDT) envía periódicamente paquetes LBDT en una interfaz para
enlace descendente.
l Si los paquetes LBDT son recibidos y enviados por la misma interfaz, se produce un
loopback en la interfaz o se produce un bucle en la red conectada a la interfaz.
l Si los paquetes LBDT son recibidos por otra interfaz en el mismo dispositivo, se produce
un bucle en la red conectada a la interfaz o dispositivo.
Después de detectar los bucles, el dispositivo puede enviar alarmas a la NMS y registrar logs,
y puede controlar el estado de la interfaz (la interfaz está apagada por defecto) de acuerdo con
la configuración del dispositivo para minimizar el impacto de los bucles en el dispositivo y en
la red. El dispositivo proporciona las siguientes acciones después de que LBDT detecte un
bucle:
La interfaz problemática continúa enviando paquetes LBDT. Una vez que expire el tiempo de
recuperación configurado, el sistema intenta restaurar la interfaz problemática. Si el
dispositivo no recibe paquetes LBDT de la interfaz problemática dentro del siguiente tiempo
de recuperación, considera que el bucle se elimina en la interfaz y restaura la interfaz.
LBDT solo puede detectar bucles en un solo nodo, pero no puede eliminar bucles en toda la
red de la misma manera que las tecnologías de red en anillo de ERPS, RRPP, SEP, Smart Link
y STP/RSTP/MSTP/VBST.
l En V200R008C00 y versiones anteriores, LBDT no tiene efecto en las VLAN dinámicas.
En V200R008C00 y versiones posteriores, el switch habilitado para LBDT puede
detectar bucles en las VLAN dinámicas, pero la acción Quitvlan no es válida para las
VLAN dinámicas.
l LBDT necesita enviar una gran cantidad de paquetes LBDT para detectar bucles y
ocupar recursos del sistema. Por lo tanto, deshabilite LBDT si no es necesario detectar
los bucles.
l LBDT no se puede configurar en un Eth-Trunk o sus interfaces de miembro.
l Una interfaz puede enviar paquetes LBDT con la etiqueta VLAN especificada solo
cuando se haya creado la VLAN especificada.

l LBDT puede detectar bucles en un máximo de ocho VLAN.

l Cuando el PVID de la interfaz en el bucle es el ID de VLAN detectado o la interfaz se
une a la VLAN detectada en modo sin etiqueta, las etiquetas VLAN de los paquetes
LBDT se eliminan. Como resultado, la prioridad del paquete cambia y el sistema no
puede detectar los bucles.
l Cuando se utiliza la acción Quitvlan, el archivo de configuración permanece sin
cambios.
l La acción LBDT y la acción de aleteo de la dirección MAC se afectan mutuamente y no
pueden configurarse simultáneamente.
l La acción Quitvlan de LBDT tiene conflicto con la eliminación dinámica desde las
VLAN (por ejemplo, GVRP y HVRP) y no puede configurarse simultáneamente.
l Los puertos bloqueados de LBDT no pueden bloquear paquetes GVRP. Para garantizar
bloqueado de LBDT.
l En un switch modular, LBDT y la detección de bucle (LDT) no pueden configurarse
simultáneamente.
Requisitos de redes
En Figura 6-37, el switch de agregación SwitchA en una red empresarial se conecta al switch
de acceso SwitchB. Para evitar que se formen loopbacks en una interfaz TX-RX (GE1/0/0)
porque las fibras ópticas están conectadas incorrectamente o la interfaz está dañada por alto
voltaje, SwitchA es necesario para detectar loopbacks en el GE1/0/0. Además, es necesario
que la interfaz se bloquee para reducir el impacto del loopback en la red cuando se detecte un
loopback, y la interfaz se restaure después de que se elimine el loopback.
Figura 6-37 Redes para configurar LBDT para detectar loopbacks en una interfaz
SwitchA
GE1/0/0
Tx Rx
GE1/0/0
SwitchB

Para detectar loopbacks en la interfaz de enlace descendente GE1/0/0 de SwitchA, configure
LBDT en GE1/0/0 de SwitchA. La hoja de ruta de configuración es la siguiente:
1. Habilite LBDT en GE1/0/0 de SwitchA para detectar loopbacks.
2. Configure una acción a tomar después de que se detecte un loopback y ajuste el tiempo
de recuperación. Después de que se detecte un loopback, Switch bloquee la interfaz para
reducir el impacto del loopback en la red. Después de eliminar un bucle, la interfaz
puede restaurarse.

Procedimiento
Paso 1 Habilite LBDT en una interfaz.
[SwitchA-GigabitEthernet1/0/0] loopback-detect enable //Habilite LBDT en la
interfaz.
Paso 2 Configure una acción a tomar después de detectar un bucle y ajuste el tiempo de recuperación.
[SwitchA-GigabitEthernet1/0/0] loopback-detect action block //Configure la
acción Block que se tomará después de que se detecte un bucle.
[SwitchA-GigabitEthernet1/0/0] loopback-detect recovery-time 30 //Establezca el
retraso de recuperación a 30 s.

1. Ejecute el comando display loopback-detect para verificar la configuración de LBDT.
[SwitchA] display loopback-detect
Loopback-detect sending-packet interval:
5
------------------------------------------------------------------------------
----
Interface RecoverTime Action
Status
------------------------------------------------------------------------------
----
GigabitEthernet1/0/0 30 block
NORMAL
------------------------------------------------------------------------------
----
La salida del comando anterior muestra que la configuración de LBDT es exitosa.

2. Después de aproximadamente 5 segundos, ejecute el comando display loopback-detect
para verificar si GE1/0/0 está bloqueado.
5
------------------------------------------------------------------------------
----
Status
------------------------------------------------------------------------------
----
GigabitEthernet1/0/0 30 block BLOCK(Loopback
detected)
------------------------------------------------------------------------------
----
La salida del comando anterior muestra que GE1/0/0 está bloqueado, lo que indica que
se produce un loopback en GE1/0/0.
3. Elimine manualmente el loopback. Ejecute el comando display loopback-detect para
verificar si GE1/0/0 se restaura.

------------------------------------------------------------------------------
----
Status
------------------------------------------------------------------------------
----
NORMAL
------------------------------------------------------------------------------
----
La salida del comando anterior muestra que GE1/0/0se restaura.
----Fin
#
sysname SwitchA
#
loopback-detect recovery-time 30
loopback-detect enable
loopback-detect action block
#
return
6.6.4 Ejemplo para configurar LBDT para detectar bucles en la red

de enlace descendente
enlace descendente.
bucle:

VLAN dinámicas.
los bucles.
cambios.
bloqueado de LBDT.
simultáneamente.
Requisitos de redes
En Figura 6-38, un nuevo departamento de una empresa se conecta al switch de agregación
Switch. Este departamento pertenece a la VLAN 100. Los bucles se producen debido a

conexiones o configuraciones incorrectas. Como resultado, la comunicación en Switch y en la

red de enlace ascendente se ve afectada.
Es necesario que deba deteSwitchctar bucles en la nueva red para evitar el impacto de los
bucles en Switch y en la red conectada.
Figura 6-38 Redes para configurar LBDT para detectar bucles en la red de enlace
descendente
Switch
GE1/0/1
Departamento
nuevo
VLAN 100

1. Habilite LBDT en GE1/0/1 de Switch para detectar bucles en una VLAN especificada
para que se puedan detectar los bucles en la red de enlace descendente.
2. Ajuste los parámetros de LBDT para que Switch pueda apagar inmediatamente GE1/0/1
después de que se detecte un bucle. Esto evita el impacto del bucle en Switch y en la red
conectada.
NOTA
Configure las interfaces en otros dispositivos de conmutación como interfaces troncales o híbridas y
configure estas interfaces para permitir que los paquetes desde las VLAN correspondientes pasen. Esto
garantiza la conectividad de Capa 2 en la nueva red y entre la nueva red y Switch.
Procedimiento
Paso 1 Habilite LBDT en la interfaz.
[Switch-GigabitEthernet1/0/1] loopback-detect enable //Habilite LBDT en la
interfaz.
Paso 2 Especifique el ID de VLAN de los paquetes LBDT.

[Switch] vlan 100
[Switch] interface gigabitEthernet 1/0/1


[Switch-GigabitEthernet1/0/1] loopback-detect packet vlan 100 //Habilite LBDT
para detectar bucles en la VLAN 100.
Paso 3 Configure los parámetros de LBDT.
# Ajuste el intervalo para enviar paquetes LBDT.

[Switch] loopback-detect packet-interval 10
# Configure una acción a tomar después de que se detecte un bucle.

[Switch-GigabitEthernet1/0/1] loopback-detect action shutdown //Configure la
acción Shutdown que se tomará después de que se detecte un bucle.

[Switch] display loopback-detect
10
------------------------------------------------------------------------------
----
Status
------------------------------------------------------------------------------
----
GigabitEthernet1/0/1 30 shutdown
NORMAL
------------------------------------------------------------------------------
----

2. Construya bucles en la red de enlace descendente y ejecute el comando display
loopback-detect para verificar si GE1/0/1 está apagada.
10
------------------------------------------------------------------------------
----
Status
------------------------------------------------------------------------------
----
GigabitEthernet1/0/1 30 shutdown SHUTDOWN(Loopback
detected)
------------------------------------------------------------------------------
----
La salida del comando anterior muestra que GE1/0/1 está apagada.
----Fin

#
sysname Switch
#
vlan batch 100
#
loopback-detect packet-interval 10
#
loopback-detect packet vlan 100
#
return
6.6.5 Ejemplo para configurar LBDT para detectar bucles en la red

local
enlace descendente.
bucle:

VLAN dinámicas.
los bucles.
cambios.
bloqueado de LBDT.
simultáneamente.
Requisitos de redes
En Figura 6-39, una empresa de pequeña escala utiliza redes de Capa 2 y pertenece a la
VLAN 100. Como los empleados a menudo se mueven, la topología de la red cambia con
frecuencia. Los bucles se producen debido a conexiones o configuraciones incorrectas durante
el cambio. Como resultado, se producen tormentas de transmisión y afectan la comunicación
de Switch y de toda la red.
Los requisitos son los siguientes:
l Switch detecta bucles.
l Cuando existe un bucle, la interfaz está bloqueada para reducir el impacto del bucle en
Switch y en la red.
l Cuando se elimine el bucle, la interfaz puede restaurarse.

Figura 6-39 Redes para configurar LBDT para detectar bucles en la red local
Switch
GE1/0/1 GE1/0/2
VLAN 100

Para detectar bucles en la red donde se implementa Switch, configure LBDT en GE1/0/1 y
GE1/0/2 de Switch. En este ejemplo, los paquetes LBDT sin etiquetas enviados por Switch
serán descartados por otros switches en la red. Como resultado, los paquetes no pueden
enviarse de vuelta a Switch, y LBDT falla. Por lo tanto, LBDT se configura en una VLAN
especificada. La hoja de ruta de configuración es la siguiente:
1. Habilite LBDT en las interfaces y configure Switch para detectar bucles en VLAN 100
para implementar LBDT en la red donde Switch se ubica.
2. Configure una acción a tomar después de detectar un bucle y Establezca el tiempo de
recuperación. Después de que se detecte un bucle, Switch bloquea la interfaz para
reducir el impacto del bucle en la red. Después de eliminar un bucle, la interfaz puede
restaurarse.
NOTA
Configure interfaces en otros dispositivos de conmutación como interfaces troncales o híbridas y

configure estas interfaces para permitir que los paquetes de las VLAN correspondientes pasen para
garantizar la conectividad de Capa 2.
Procedimiento
Paso 1 Habilite LBDT en las interfaces.
interfaz.
interfaz.
Paso 2 Especifique el ID de VLAN de los paquetes LBDT.

[Switch] vlan 100


Paso 3 Configure una acción a tomar después de detectar un bucle y Establezca el tiempo de
recuperación.
[Switch-GigabitEthernet1/0/1] loopback-detect action block //Configure la acción
Block a tomar después de que se detecte un bucle.
[Switch-GigabitEthernet1/0/1] loopback-detect recovery-time 30 //Establezca el
[Switch-GigabitEthernet1/0/2] loopback-detect action block //Configure la acción
Block a tomar después de que se detecte un bucle.
[Switch-GigabitEthernet1/0/2] loopback-detect recovery-time 30 //Establezca el
tiempo de recuperación a 30 s.

5
------------------------------------------------------------------------------
----
Status
------------------------------------------------------------------------------
----
NORMAL
GigabitEthernet1/0/2 30 block NORMAL
------------------------------------------------------------------------------
----

2. Después de aproximadamente 5 segundos, ejecute el comando display loopback-detect
para verificar si GE1/0/1 o GE1/0/2 está bloqueada.
5
------------------------------------------------------------------------------
----
Status
------------------------------------------------------------------------------
----
NORMAL
GigabitEthernet1/0/2 30 block BLOCK(Loopback
detected)
------------------------------------------------------------------------------
----
La salida del comando anterior muestra que GE1/0/2 está bloqueada.

3. Apague GE1/0/1. Después de 30 segundos, ejecute el comando display loopback-detect
para verificar si GE1/0/2 se restaura.


5
------------------------------------------------------------------------------
----
Status
------------------------------------------------------------------------------
----
NORMAL
GigabitEthernet1/0/2 30 block NORMAL
------------------------------------------------------------------------------
----
La salida del comando anterior muestra que GE1/0/2 se restaura.
----Fin
Switch Archivo de configuración
#
sysname Switch
#
vlan batch 100
#
#
#
return

Ejemplos típicos de configuración 7 Configuración típica del servicio de IP
7 Configuración típica del servicio de IP
7.1 Configurar ARP

7.2 Configuración típica de DHCP
7.1 Configurar ARP

7.1.1 Ejemplo para configurar ARP estático
ARP estático permite a un administrador de red crear los mapeos fijos entre las direcciones IP
y MAC.
El ARP dinámico puede dejar a las redes vulnerables a spoofs o ataques de ARP (cuando los
dispositivos maliciosos envían mensajes ARP falsificados para vincular la dirección MAC de
un atacante con la dirección IP de un dispositivo legítimo). Como resultado, las entradas de
ARP pueden ser aprendidas incorrectamente. Sin embargo, si una entrada ARP estática está
configurada en un dispositivo, el dispositivo puede comunicarse con el dispositivo del otro
extremo usando solo la dirección MAC especificada. Los atacantes de red no pueden
modificar el mapeo entre las direcciones IP y MAC usando los paquetes ARP, asegurando la
comunicación entre los dos dispositivos.
Las entradas de ARP estáticas son aplicables cuando:
l Las redes contienen dispositivos críticos como servidores. Los atacantes de red no
pueden actualizar las entradas de ARP que contienen las direcciones IP de los
dispositivos críticos en el switch mediante usar los paquetes de ataque ARP, y así
asegura la comunicación entre los usuarios y los dispositivos críticos.
l Las redes contienen dispositivos de usuario con direcciones MAC de multidifusión. De
forma predeterminada, un dispositivo no aprende las entradas de ARP cuando las
direcciones MAC de origen de los paquetes ARP recibidos son direcciones MAC de
multidifusión.
l Un administrador de red quiere evitar que una dirección IP acceda a los dispositivos. El
administrador de red vincula la dirección IP a una dirección MAC no disponible.

l La cantidad de entradas ARP estáticas configurada en el dispositivo no puede exceder la
cantidad máxima de entradas ARP estáticas en el dispositivo. Puede ejecutar el comando
display arp statistics all para comprobar el número existente de entradas de ARP en el
dispositivo.
NOTA
Requisitos de red
Como se muestra en Figura 7-1, el Switch conecta con los diferentes departamentos de una
empresa. Los departamentos se agregan a diferentes VLAN. Las direcciones IP fijas se han
asignado manualmente al servidor de reserva de archivos y a los hosts en la oficina del
presidente, y las direcciones IP dinámicas se han asignado a los hosts en otros departamentos
usando DHCP. Los hosts en el departamento de marketing pueden acceder a Internet y, a
menudo, son atacados por los paquetes ARP. Los atacantes atacan el Switch y modifican las
entradas de ARP dinámico en el Switch. Como resultado, la comunicación entre los hosts en
la oficina del presidente y los dispositivos externos se interrumpe y los hosts en los
departamentos no pueden acceder al servidor de reserva de archivos. La compañía requiere
que las entradas ARP estáticas se configuren en el Switch para que los hosts en la oficina del
presidente puedan comunicarse con los dispositivos externos y los hosts en los departamentos
puedan acceder al servidor de reserva de archivos.

Figura 7-1 Diagrama de redes para configurar ARP estático
Internet
Router
10.164.20.2/24
GE1/0/3
Servidor de reserva de 10.164.20.1/24
archivos
GE1/0/2
10.164.10.10/24 Switch
GE1/0/1
VLANIF 10
10.164.10.1/24
10.164.1.20/24
0df0-fc01-003a
Host
10.164.1.1/24
00e0-fc01-0001
Departamento Departamento Oficina del
de marketing I+D presidente
VLAN 20 VLAN 30 VLAN 10

10.164.2.0/24 10.164.3.0/24 10.164.1.0/24

1. Configure las entradas ARP estáticas para los hosts en la oficina del presidente en el
Switch para evitar que las entradas de ARP de los hosts en la oficina del presidente sean
modificadas por los paquetes de ataque de ARP.
2. Configure una entrada ARP estática al servidor de reserva de archivos en el Switch para
evitar que la entrada de ARP del servidor de reserva de archivos sea modificada por los
paquetes de ataque de ARP.
Procedimiento
Paso 1 Cree las VLAN en el Switch y configure una dirección IP para cada interfaz.
# Cree VLAN 10, agregue las interfaces a VLAN 10 y configure una dirección IP para
VLANIF 10.


# Configure GE1/0/2 como la interfaz principal y configure una dirección IP para ella.
[Switch-GigabitEthernet1/0/2] undo portswitch
[Switch-GigabitEthernet1/0/2] ip address 10.164.10.10 24
# Configure GE1/0/3 como la interfaz principal y configure una dirección IP para ella.
[Switch-GigabitEthernet1/0/3] undo portswitch
[Switch-GigabitEthernet1/0/3] ip address 10.164.20.1 24
NOTA
Si el Switch no admite la configuración que usa el comando undo portswitch para configurar una
interfaz como la interfaz principal y luego configure una dirección IP para ella, configure la interfaz
como una interfaz VLANIF y luego configure una dirección IP para ella.
Paso 2 Configure las entradas ARP estáticas en el Switch.

[Switch] arp static 10.164.1.1 00e0-fc01-0001 vid 10 interface gigabitethernet
1/0/1 //Configure una entrada ARP estática para hosts en la oficina del presidente
[Switch] arp static 10.164.10.1 0df0-fc01-003a interface gigabitethernet 1/0/2 //
Configure una entrada ARP estática para el servidor de reserva de archivos
# Ejecute el comando display arp static para comprobar las entradas ARP estáticas
configuradas.
[Switch] display arp static
IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE
VLAN/CEVLAN
------------------------------------------------------------------------------
10.164.1.1 00e0-fc01-0001 S-- GE1/0/1
10/-
10.164.10.1 0df0-fc01-003a S-- GE1/0/2
40/-
------------------------------------------------------------------------------
# Haga ping a la dirección IP 10.164.20.2/24 de la interfaz en el Router que se conecta con el

Switch desde un host (la dirección IP es 10.164.1.1/24, usando el sistema operativo Windows
7 como ejemplo) en la oficina del presidente. El ping es exitoso.
C:\Documents and Settings\Administrator> ping 10.164.20.2
Pinging 10.164.20.2 with 32 bytes of data:
Reply from 10.164.20.2: bytes=32 time=1ms TTL=128
Ping statistics for 10.164.20.2:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 1ms, Average = 1ms
# Haga ping a la dirección IP 10.164.10.10/24 del servidor de reserva desde un host (por
ejemplo, usando la dirección IP 10.164.2.100/24 y el sistema operativo Windows 7) en el
departamento de marketing. El ping es exitoso.



# Haga ping a la dirección IP 10.164.10.10/24 del servidor de reserva desde un host (por
ejemplo, usando la dirección IP 10.164.3.100/24 y el sistema operativo Windows 7) en el
departamento de I+D. El ping es exitoso.

----Fin
#
sysname Switch
#
vlan batch 10
#
interface Vlanif10
ip address 10.164.1.20 255.255.255.0
#
#
undo portswitch
ip address 10.164.10.10 255.255.255.0
#
undo portswitch
ip address 10.164.20.1 255.255.255.0
#
arp static 10.164.1.1 00e0-fc01-0001 vid 10 interface GigabitEthernet1/0/1
arp static 10.164.10.1 0df0-fc01-003a interface GigabitEthernet1/0/2
#
return
7.1.2 Ejemplo para configurar el Proxy ARP enrutado
Cuando una red empresarial se divide en subredes, dos subredes pueden pertenecer al mismo
segmento de red pero no a redes físicas diferentes. Estas dos subredes están aisladas por el

switch. Puede modificar la información de enrutamiento sobre los hosts en la red, de modo
que los paquetes de datos destinados a otras subredes se envíen al gateway conectado a
diferentes subredes y luego reenviados por el gateway al destino. Sin embargo, para
implementar esta solución, debe configurar enrutamientos para todos los hosts en las
subredes. Esto complica la gestión y el mantenimiento.
El despliegue del proxy ARP enrutado en gateway puede resolver eficazmente los problemas
de gestión y mantenimiento en la división de subredes. El proxy ARP enrutado permite la
comunicación entre los hosts cuyas direcciones IP pertenecen al mismo segmento de red pero
no a redes físicas diferentes. Además, el gateway predeterminado no necesita configurarse en
los hosts, lo que facilita la gestión y el mantenimiento.
Después de que el proxy ARP enrutado esté habilitado en el dispositivo, reduzca el tiempo de
envejecimiento de las entradas de ARP en los hosts. De esta forma, las entradas inválidas de
ARP no se ponen en vigor tan pronto como sea posible, reduciendo la cantidad de paquetes
que se envían pero que no pueden ser reenviados por el switch.

S2300 S2300EI V100R006C05
S2320EI V200R011C10, V200R012C00
S2350EI V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S3300 S3300SI y S3300EI V100R006C05
S3300HI V200R001C00
S5300 S5300LI V200R005C00SPC300,

V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S5300SI V200R001C00, V200R002C00,

V200R003C00,
V200R005(C00&C02)
S5300EI V200R001C00, V200R002C00,

V200R003C00,
V200R005(C00&C01&C02)
S5300HI V200R001(C00&C01),
V200R002C00, V200R003C00,
V200R005(C00&C01&C02)

S5310EI V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320LI V200R010C00, V200R011C10,

V200R012C00
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320EI V200R007C00, V200R008C00,

V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01),

V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S6320SI V200R011C10, V200R012C00
S6320EI V200R008C00, V200R009C00,

V200R010C00, V200R011C10,
V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306 y S9312 V200R001C00, V200R002C00,

V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10,

V200R012C00
S9300X S9310X V200R010C00, V200R011C10,

V200R012C00
S9300E S9303E, S9306E y V200R001C00, V200R002C00,

S9312E V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00

NOTA
Requisitos de red
Como se muestra en Figura 7-2, el branch A y el branch B de la empresa se encuentran en
diferentes ciudades y sus direcciones IP de host pertenecen al mismo segmento de red
172.16.0.0/16. Hay rutas accesibles entre Switch_1 conectado con el branch A y Switch_2
conectado con el branch B. El branch A y el branch B pertenecen a diferentes dominios de
difusión; por lo tanto, no pueden comunicarse con una LAN. Los hosts en las sucursales no
están configurados con direcciones de gateway predeterminado, por lo que no pueden
comunicarse a través de segmentos de red. La empresa requiere que el branch A y el branch B
se comuniquen sin cambiar las configuraciones del host.
Figura 7-2 Diagrama de red para configurar el proxy ARP enrutado
GE1/0/2 GE1/0/2
Switch_1 Internet Switch_2
GE1/0/1 GE1/0/1
VLANIF 10 VLANIF 20
172.16.1.1/24 172.16.2.1/24
172.16.1.2/16 172.16.2.2/16
Host_1 Host_2
0000-5e33-ee20 0000-5e33-ee10
VLAN 10 VLAN 20
Branch A Branch B

1. Agregue la interfaz que conecta Switch_1 y el branch A a VLAN 10 y agregue la
interfaz que conecta Switch_2 y el branch B a VLAN 20.
2. Habilite el proxy ARP enrutado en las interfaces VLANIF del branch A y el branch B
para permitir que las dos sucursales se comuniquen.
Procedimiento
Paso 1 Cree las VLAN, agregue las interfaces a las VLAN y configure las direcciones IP para las
interfaces.
# Configure Switch_1.
[Switch_1] vlan batch 10


[Switch_2] vlan batch 20
Paso 2 Configure el proxy ARP enrutado.

[Switch_1-Vlanif10] arp-proxy enable //Configure proxy ARP enrutado
[Switch_2-Vlanif20] arp-proxy enable //Configure proxy ARP enrutado

# Compruebe las entradas de ARP de VLANIF 10 en Switch_1. El resultado del comando
muestra la dirección MAC mapeando la dirección IP de VLANIF 10.
[Switch_1] display arp interface vlanif 10
IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-
INSTANCE
VLAN/
CEVLAN
------------------------------------------------------------------------------
172.16.1.1 101b-5441-5bf6 I -
Vlanif10
------------------------------------------------------------------------------
# Seleccione Host_1 (usando Windows 7 como ejemplo) en 172.16.1.2/16 en el branch A y

seleccione Host_2 en 172.16.2.2/16 en el branch B. Haga ping a la dirección IP de Host_2 en
Host_1. La operación de ping es exitosa.
Reply from 172.16.2.2: bytes=32 time<1ms TTL=128

# Compruebe la tabla ARP en Host_1. El resultado del comando muestra que el mapeo de la
dirección MAC de la dirección IP de Host_2 es la dirección MAC de VLANIF 10 en
Switch_1, lo que indica que Host_1 y Host_2 pueden comunicarse entre sí a través del proxy
ARP.
C:\Documents and Settings\Administrator> arp -a
Interface: 172.16.1.2 --- 0xd

Internet Address Physical Address Type

172.16.2.2 101b-5441-5bf6 dynamic
...
----Fin
#
sysname Switch_1
#
vlan batch 10
#
interface Vlanif10
ip address 172.16.1.1 255.255.255.0
arp-proxy enable
#
#
return
#
sysname Switch_2
#
vlan batch 20
#
interface Vlanif20
ip address 172.16.2.1 255.255.255.0
arp-proxy enable
#
#
return
7.2 Configuración típica de DHCP
7.2.1 Ejemplo para configurar el dispositivo como un servidor

DHCP (Basado en el grupo de direcciones de la interfaz)
Descripción general del servidor DHCP

Los usuarios requieren que todos los terminales en una red obtengan dinámicamente
parámetros de red tales como direcciones IP, dirección IP del servidor DNS, información de
enrutamiento e información del gateway. Los usuarios no deben configurar manualmente los
parámetros de red, incluidas las direcciones IP de los terminales. Además, algunos terminales
móviles (por ejemplo, teléfonos móviles, tabletas y computadoras portátiles) deben ser
compatibles con Plug-and-Play, sin modificación en los parámetros de red cada vez. Para
cumplir con estos requisitos, la función del servidor DHCP se puede configurar en un
gateway de usuario de la capa de agregación o en un dispositivo de la capa de core para
asignar parámetros de red, como direcciones IP, a los terminales.

El Protocolo de configuración de host dinámica (DHCP) utiliza el modo cliente/servidor para

configurar dinámicamente y gestionar uniformemente los parámetros de red para los usuarios.
El servidor DHCP usa un grupo de direcciones para asignar parámetros de red, como
direcciones IP, a los usuarios. Se puede usar el grupo de direcciones global o un grupo de
La configuración de un grupo de direcciones de interfaz es simple, y solo se puede usar

cuando los usuarios y el servidor DHCP pertenecen al mismo segmento de red y el servidor
solo puede asignar parámetros de red a los usuarios en la interfaz. Es aplicable a redes
pequeñas con un número limitado de dispositivos y una carga de trabajo de configuración y
mantenimiento controlable. Después de que la función del servidor DHCP basada en el grupo
de direcciones de interfaz se configura en el gateway del usuario, los hosts y los terminales
móviles en la interfaz pueden obtener automáticamente parámetros de red como direcciones
IP, sin configuración y modificación manual.
En comparación con un grupo de direcciones de interfaz, el grupo de direcciones global se

puede aplicar a redes grandes. La función del servidor DHCP basada en el grupo global de
direcciones debe configurarse en un dispositivo de core, o se debe usar un servidor DHCP
exclusivo para asignar parámetros de red, como direcciones IP. El gateway de usuario solo
debe estar habilitado con la función de retransmisión DHCP. Para obtener más detalles,
consulte 7.2.4 Ejemplo para configurar el dispositivo como una retransmisión DHCP (en
la misma red).

producto
S2300 S2320EI V200R011C10, V200R012C00

V200R008C00, V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S3300 S3300SI, V100R006C05

S3300EI
S3300HI V200R001C00

V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5300SI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C02)
S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5300HI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00, V200R005(C00&C02)


producto
S5320LI V200R010C00, V200R011C10, V200R012C00
S5320SI V200R008(C00&C10), V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S6320SI V200R011C10, V200R012C00
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320HI V200R012C00
S9300 S9303, V200R001C00, V200R002C00, V200R003C00,

S9306, V200R005C00SPC300, V200R006C00, V200R007C00,
S9312 V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10, V200R012C00
S9300X S9310X V200R010C00, V200R011C10, V200R012C00
S9300E S9303E, V200R001C00, V200R002C00, V200R003C00,

S9306E, V200R005C00SPC300, V200R006C00, V200R007C00,
S9312E V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Requisitos de redes
Como se muestra en Figura 7-3, una empresa divide dos segmentos de red para terminales de
oficina: 10.1.1.0/24 para empleados con terminales de oficina fija y 10.1.2.0/24 para
empleados en viajes de negocios para acceder temporalmente a la red. La empresa requiere
que DHCP se utilice para asignar direcciones IP a empleados con terminales de oficina fija y
empleados en viajes de negocios. Un PC (DHCP Client_1) requiere una dirección IP fija
10.1.1.100/24 para cumplir con los requisitos del servicio.

Figura 7-3 Diagrama de redes para configurar el dispositivo como un servidor DHCP
Internet
GE0/0/1 GE0/0/2
VLANIF 10 VLANIF 11
10.1.1.1/24 10.1.2.1/24
Switch
Servidor
DHCP
LSW_1 LSW_2
DHCP Client_1
MAC:286e-d488-b684
... DHCP DHCP DHCP
... Client_t
Client_n Client_s
IP:10.1.1.100/24
Empleados con Empleados en
oficina fija viajes de negocios

Configure la función del servidor DHCP en el Switch para asignar dinámicamente direcciones
IP a los terminales en los dos segmentos de red. Configure la concesión de la dirección IP a
30 días para los empleados con terminales de oficina fija en 10.1.1.0/24 y un día para los
empleados en viajes de negocios en 10.1.2.0/24 para acceder temporalmente a la red.
NOTA
Configure los tipos de enlace de interfaz y las VLAN en LSW_1 y LSW_2 para implementar la comunicación
de Capa 2.
Procedimiento
Paso 1 Habilite el servicio DHCP. Por defecto, el servicio está deshabilitado.
Paso 2 Agregue interfaces a las VLAN.




Paso 3 Configure las direcciones IP para las interfaces VLANIF.
# Configure una dirección IP para VLANIF 10.

[Switch-Vlanif10] ip address 10.1.1.1 24 //Segmento de red asignado por la
empresa para terminales de oficina fija

[Switch-Vlanif11] ip address 10.1.2.1 24 //Segmento de red asignado por la
empresa para empleados en viajes de negocios
Paso 4 Configure un grupo de direcciones de interfaz.
# Configure los terminales conectados a VLANIF 10 para obtener direcciones IP del grupo de
[Switch-Vlanif10] dhcp select interface //Habilite la función del servidor DHCP
en función del grupo de direcciones de interfaz en la interfaz. Por defecto, la
función está deshabilitada.
[Switch-Vlanif10] dhcp server lease day 30 //El arrendamiento predeterminado es
un día. Modifique el arrendamiento a 30 días.
[Switch-Vlanif10] dhcp server static-bind ip-address 10.1.1.100 mac-address 286e-
d488-b684 //Asigne una dirección IP fija a Client_1.
# Configure los terminales conectados a VLANIF 11 para obtener direcciones IP del grupo de
direcciones de interfaz. La concesión predeterminada (un día) se usa y no se debe configurar.
[Switch-Vlanif11] dhcp select interface //Habilite la función del servidor DHCP
en función del grupo de direcciones de interfaz en la interfaz. Por defecto, la
Paso 5 Habilite el dispositivo para guardar datos DHCP en el dispositivo de almacenamiento. Si se

produce un error en el dispositivo, puede ejecutar el comando dhcp server database recover
después de que el sistema se reinicie para restaurar los datos DHCP desde los archivos en el
dispositivo de almacenamiento.
[Switch] dhcp server database enable
Paso 6 Configure cada terminal (usando el PC con Windows 7 como ejemplo) para obtener
automáticamente una dirección IP.
1. Haga clic con el botón derecho en Network y elija Properties para visualizar la ventana
Network and Sharing Center.
2. Haga clic en Local Area Connection para visualizar la ventana Local Area Connection
Status.
3. Haga clic en Properties para mostrar la ventana Local Area Connection Properties.
4. Seleccione Internet Protocol Version 4 (TCP/IPv4) y haga clic en Properties para
visualizar la ventana Internet Protocol Version 4 (TCP/IPv4) Properties. Seleccione
Obtain an IP address automatically, y haga clic en OK.

Ejecute el comando display ip pool en el Switch para verificar la configuración de VLANIF

10 y VLANIF 11. Por ejemplo, la empresa tiene 100 empleados con terminales de oficina fija
y 3 empleados en viajes de negocios.
[Switch] display ip pool interface vlanif10
Pool-name : Vlanif10
Pool-No : 0
Lease : 30 Days 0 Hours 0 Minutes
Domain-name : -
DNS-server0 : -
NBNS-server0 : -
Netbios-type : -
Position : Interface Status : Unlocked
Gateway-0 : 10.1.1.1
Network : 10.1.1.0
Mask : 255.255.255.0
VPN instance : --
Logging : Disable
Conflicted address recycle interval: -
Address Statistic: Total :253 Used :100
Idle :153 Expired :0
Conflict :0 Disable :0
-------------------------------------------------------------------------------
Network section
Start End Total Used Idle(Expired) Conflict Disabled
-------------------------------------------------------------------------------
10.1.1.1 10.1.1.254 253 100 153(0) 0 0
-------------------------------------------------------------------------------
[Switch] display ip pool interface vlanif11
Pool-No : 1
Domain-name : -
DNS-server0 : -
NBNS-server0 : -
Netbios-type : -
Gateway-0 : 10.1.2.1
Network : 10.1.2.0
Mask : 255.255.255.0
VPN instance : --
Logging : Disable
-------------------------------------------------------------------------------
Network section
-------------------------------------------------------------------------------
10.1.2.1 10.1.2.254 253 3 250(0) 0 0
-------------------------------------------------------------------------------
Verifique la información de la dirección IP en Client_1 (usando el sistema operativo Windows

7). La dirección IP 10.1.1.100/24 ha sido asignada a Client_1.
C:\Documents and Settings\Administrator>ipconfig
Windows IP Configuration
Ethernet adapter Local Area Connection 2:
Connection-specific DNS Suffix . :

IPv4 Address. . . . . . . . . . . : 10.1.1.100
Subnet Mask . . . . . . . . . . . : 255.255.254.0
Default Gateway . . . . . . . . . : 10.1.1.1

Verifique la información de la dirección IP de otro cliente DHCP (por ejemplo, un terminal

perteneciente al segmento de red 10.1.1.0/24 y utilizando el sistema operativo Windows 7). Se
ha asignado una dirección IP.
C:\Documents and Settings\Administrator>ipconfig
Windows IP Configuration
Ethernet adapter Local Area Connection 2:
Connection-specific DNS Suffix . :

IPv4 Address. . . . . . . . . . . : 10.1.1.51
Subnet Mask . . . . . . . . . . . : 255.255.254.0
Default Gateway . . . . . . . . . : 10.1.1.1
----Fin
Archivo de configuración del Switch
#
sysname Switch
#
vlan batch 10 to 11
#
dhcp enable
#
dhcp server database enable
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
dhcp server static-bind ip-address 10.1.1.100 mac-address 286e-d488-b684
dhcp server lease day 30 hour 0 minute 0
#
interface Vlanif11
ip address 10.1.2.1 255.255.255.0
#
#
#
return
7.2.2 Ejemplo para configurar un dispositivo como servidor

DHCP (Basado en el grupo global de direcciones)


la misma red).

producto
S2300 S2320EI V200R011C10, V200R012C00

V200R008C00, V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S3300 S3300SI, V100R006C05

S3300EI
S3300HI V200R001C00

V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5300SI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C02)
S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5300HI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)


producto
S5310EI V200R002C00, V200R003C00, V200R005(C00&C02)
S5320LI V200R010C00, V200R011C10, V200R012C00
S5320SI V200R008(C00&C10), V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S6320SI V200R011C10, V200R012C00
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320HI V200R012C00
S9300 S9303, V200R001C00, V200R002C00, V200R003C00,

S9306, V200R005C00SPC300, V200R006C00, V200R007C00,
S9312 V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10, V200R012C00
S9300X S9310X V200R010C00, V200R011C10, V200R012C00
S9300E S9303E, V200R001C00, V200R002C00, V200R003C00,

S9306E, V200R005C00SPC300, V200R006C00, V200R007C00,
S9312E V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Requisitos de redes
Como se muestra en Figura 7-4, una empresa tiene dos oficinas, para guardar recursos de red,
las funciones de conmutación como servidor DHCP para asignar direcciones IP a los hosts en
las dos oficinas. Los hosts en la oficina 1 se encuentran en el segmento de red 10.1.1.0/25 y se
agregan a la VLAN 10, la concesión de direcciones IP para estos hosts es de diez días; los
servidores en la oficina 2 se encuentran en el segmento de red 10.1.1.128/25 y se agregan a la
VLAN 11, la concesión de direcciones IP para estos hosts es de dos días.

Figura 7-4 Diagrama de redes para configurar un dispositivo como servidor DHCP
Servidor DNS
10.1.2.3/25
Red IP
GE1/0/1 GE1/0/2
VLANIF 10 VLANIF 11
10.1.1.1/25 10.1.1.129/25
Switch
Servidor DHCP
DHCP ... DHCP DHCP ... DHCP

Client_1 Client_n Client_s Client_t
Office 1 Office 2

Configure el switch como el servidor DHCP para asignar dinámicamente las direcciones IP y
la dirección del servidor DNS a los hosts en las dos oficinas. Los PC en el segmento de red de
10.1.1.0/25 son para empleados en la oficina 1 y obtienen direcciones IP con una concesión
de diez días. Los PC en el segmento de red de 10.1.1.128/25 son para empleados en la oficina
2 y obtienen direcciones IP con una concesión de dos días.
Procedimiento
Paso 1 Habilite el servicio DHCP.
Paso 2 Agregue interfaces a una VLAN.

[Switch-GigabitEthernet1/0/1] port hybrid pvid vlan 10


Paso 3 Configure las direcciones IP para las interfaces VLANIF.


Paso 4 Configure grupos de direcciones globales.

# Configure las direcciones IP y los parámetros de red relevantes del grupo de direcciones
global pool1.
[Switch] ip pool pool1
[Switch-ip-pool-pool1] network 10.1.1.0 mask 255.255.255.128
[Switch-ip-pool-pool1] dns-list 10.1.2.3
[Switch-ip-pool-pool1] gateway-list 10.1.1.1
[Switch-ip-pool-pool1] lease day 10
[Switch-ip-pool-pool1] quit
# Configure las direcciones IP y los parámetros de red relevantes del grupo de direcciones
global pool2.
[Switch] ip pool pool2
[Switch-ip-pool-pool1] network 10.1.1.128 mask 255.255.255.128
[Switch-ip-pool-pool1] dns-list 10.1.2.3
[Switch-ip-pool-pool1] gateway-list 10.1.1.129
[Switch-ip-pool-pool1] lease day 2
[Switch-ip-pool-pool1] quit
Paso 5 Habilite el servidor DHCP.

# Habilite el servidor DHCP en VLANIF 10.
[Switch-Vlanif10] dhcp select global
# Habilite el servidor DHCP en VLANIF 11.

[Switch-Vlanif11] dhcp select global

# Ejecute el comando display ip pool name pool1 en el switch para ver la asignación de la
dirección IP en el grupo de direcciones global pool1. El campo Used muestra la cantidad de
direcciones IP asignadas. A continuación, se usa la salida del comando en V200R011C10
como ejemplo.
[Switch] display ip pool name pool1
Pool-name : pool1
Pool-No : 0
Domain-name : -
DNS-server0 : 10.1.2.3
NBNS-server0 : -
Netbios-type : -
Position : Local
Status : Unlocked
Gateway-0 : 10.1.1.1

Network : 10.1.1.0
Mask : 255.255.255.128
VPN instance : --
Logging : Disable
Conflict :0 Disabled :0
-------------------------------------------------------------------------------
Network section
-------------------------------------------------------------------------------
10.1.1.1 10.1.1.126 125 2 123(0) 0 0
-------------------------------------------------------------------------------
# Ejecute el comando display ip pool name pool2 en el switch para ver la asignación de la
dirección IP en el grupo de direcciones global pool2. El campo Used muestra la cantidad de
direcciones IP asignadas. A continuación, se usa la salida del comando en V200R011C10
como ejemplo.
[Switch] display ip pool name pool2
Pool-name : pool2
Pool-No : 1
Domain-name : -
NBNS-server0 : -
Netbios-type : -
Position : Local
Status : Unlocked
Gateway-0 : 10.1.1.129
Network : 10.1.1.128
Mask : 255.255.255.128
VPN instance : --
Logging : Disable
-------------------------------------------------------------------------------
Network section
-------------------------------------------------------------------------------
10.1.1.129 10.1.1.254 125 2 123(0) 0 0
-------------------------------------------------------------------------------
----Fin
#
sysname Switch
#
vlan batch 10 to 11
#
dhcp enable
#
ip pool pool1
network 10.1.1.0 mask 255.255.255.128
lease day 10 hour 0 minute 0
dns-list 10.1.2.3
#
ip pool pool2

network 10.1.1.128 mask 255.255.255.128
dns-list 10.1.2.3
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.128
dhcp select global
#
interface Vlanif11
ip address 10.1.1.129 255.255.255.128
dhcp select global
#
#
#
return
7.2.3 Ejemplo para configurar un servidor DHCP para asignar

diferentes parámetros de red desde el grupo global de direcciones
a clientes dinámicos y estáticos


la misma red).

producto
S2300 S2320EI V200R011C10, V200R012C00

V200R008C00, V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S3300 S3300SI, V100R006C05

S3300EI
S3300HI V200R001C00

V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5300SI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C02)
S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5300HI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00, V200R005(C00&C02)
S5320LI V200R010C00, V200R011C10, V200R012C00
S5320SI V200R008(C00&C10), V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S6320SI V200R011C10, V200R012C00
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00


producto
S6320HI V200R012C00
S9300 S9303, V200R001C00, V200R002C00, V200R003C00,

S9306, V200R005C00SPC300, V200R006C00, V200R007C00,
S9312 V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10, V200R012C00
S9300X S9310X V200R010C00, V200R011C10, V200R012C00
S9300E S9303E, V200R001C00, V200R002C00, V200R003C00,

S9306E, V200R005C00SPC300, V200R006C00, V200R007C00,
S9312E V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Requisitos de redes
Como se muestra en Figura 7-5, el teléfono IP y los PC son dispositivos en un área de
oficina. Para administrar de manera uniforme los dispositivos y reducir los costos de
configuración manual, el administrador debe configurar hosts para obtener direcciones IP
dinámicamente a través de DHCP. Los PC son terminales fijos en la sala de tareas. Deben
estar siempre en línea y usar nombres de dominio para acceder a los dispositivos de red.
Además de obtener una dirección IP de forma dinámica, los PC requieren una concesión
ilimitada de direcciones IP y deben obtener información sobre el servidor DNS. El teléfono IP
usa una dirección IP fija 10.1.1.4/24 y su dirección MAC es dcd2-fc96-e4c0. Además de
obtener una dirección IP, el teléfono IP debe obtener dinámicamente el archivo de
configuración de inicio. El archivo de configuración de inicio configuration.ini se almacena
en el servidor FTP. Las rutas entre el servidor FTP y el teléfono IP deben ser accesibles. La
dirección del gateway de los PC y del teléfono IP es 10.1.1.1/24.
Servidor DNS
10.1.1.2/24
GE1/0/1
SwitchB VLANIF10
10.1.1.1/24 Internet
SwitchA
Teléfono IP Servidor DHCP
10.1.1.4/24
PC PC PC Servidor FTP
10.1.1.3/24


1. Cree una plantilla de DHCP Option en SwitchA. En la vista de la plantilla de DHCP
Option, configure el archivo de configuración de inicio para el teléfono IP del cliente
estático, y especifique la dirección IP del servidor FTP para el teléfono IP.
2. Cree un grupo de direcciones global en SwitchA. En la vista del grupo de direcciones
global, configure la concesión de la dirección IP y la información sobre el servidor DNS
para los PC del cliente dinámico. Enlace una dirección IP y la plantilla de DHCP Option
a la dirección MAC del teléfono IP del cliente estático. De esta forma, el servidor DHCP
puede asignar diferentes parámetros de red a clientes dinámicos y estáticos.
Procedimiento
Paso 1 Cree una VLAN y configure una dirección IP para la interfaz VLANIF.
[SwitchA] vlan 10
[SwitchA-Vlanif10] ip address 10.1.1.1 255.255.255.0
Paso 2 Habilite el servicio DHCP.

Paso 3 Cree una plantilla de DHCP Option. En la vista de la plantilla de DHCP Option, configure el
archivo de configuración de inicio para el teléfono IP del cliente estático, y especifique la
dirección IP del servidor de archivos para el teléfono IP.
[SwitchA] dhcp option template template1
[SwitchA-dhcp-option-template-template1] gateway-list 10.1.1.1
[SwitchA-dhcp-option-template-template1] bootfile configuration.ini
[SwitchA-dhcp-option-template-template1] next-server 10.1.1.3
[SwitchA-dhcp-option-template-template1] quit
Paso 4 Cree un grupo de direcciones IP. En la vista del grupo de direcciones IP, configure la
dirección del gateway, la concesión de la dirección IP, y la dirección IP del servidor DNS para
los PC. Asigne una dirección IP fija al teléfono IP y configure el archivo de configuración de
inicio.
[SwitchA] ip pool pool1
[SwitchA-ip-pool-pool1] network 10.1.1.0 mask 255.255.255.0
[SwitchA-ip-pool-pool1] dns-list 10.1.1.2
[SwitchA-ip-pool-pool1] gateway-list 10.1.1.1
[SwitchA-ip-pool-pool1] excluded-ip-address 10.1.1.2 10.1.1.3
[SwitchA-ip-pool-pool1] lease unlimited
[SwitchA-ip-pool-pool1] static-bind ip-address 10.1.1.4 mac-address dcd2-fc96-
e4c0 option-template template1
[SwitchA-ip-pool-pool1] quit
Paso 5 Habilite la función del servidor DHCP en la interfaz VLANIF 10.

[SwitchA-Vlanif10] dhcp select global
Paso 6 Habilite el dispositivo para guardar datos DHCP en el dispositivo de almacenamiento. Si se

produce un error en el dispositivo, puede ejecutar el comando dhcp server database recover

después de que el sistema se reinicie para restaurar los datos DHCP de los archivos en el
dispositivo de almacenamiento.
[SwitchA] dhcp server database enable

# Ejecute el comando display ip pool name pool1 en SwitchA para ver la configuración del
grupo de direcciones. A continuación, se usa la salida del comando en V200R011C10 como
ejemplo.
[SwitchA] display ip pool name pool1
Pool-name : pool1
Pool-No : 0
Lease : unlimited
Domain-name : -
NBNS-server0 : -
Netbios-type : -
Position : Local
Status : Unlocked
Gateway-0 : 10.1.1.1
Network : 10.1.1.0
Mask : 255.255.255.0
VPN instance : --
Logging : Disable
-------------------------------------------------------------------------------
Network section
-------------------------------------------------------------------------------
10.1.1.1 10.1.1.254 253 4 249(0) 0 2
-------------------------------------------------------------------------------
# Ejecute el comando display dhcp option template name template1 en SwitchA para ver la
configuración de la plantilla de DHCP Option.
[SwitchA] display dhcp option template name template1
-----------------------------------------------------------------------------
Template-Name : template1
Template-No : 0
Next-server : 10.1.1.3
Domain-name : -
DNS-server0 : -
NBNS-server0 : -
Netbios-type : -
Gateway-0 : 10.1.1.1
Bootfile : configuration.ini
----Fin
#
sysname SwitchA
#
vlan batch 10
#
dhcp enable
#
dhcp server database enable
#

dhcp option template template1

next-server 10.1.1.3
bootfile configuration.ini
#
ip pool pool1
network 10.1.1.0 mask 255.255.255.0
excluded-ip-address 10.1.1.2 10.1.1.3
static-bind ip-address 10.1.1.4 mac-address dcd2-fc96-e4c0 option-template
template1
lease unlimited
dns-list 10.1.1.2
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
dhcp select global
#
#
return
7.2.4 Ejemplo para configurar el dispositivo como una

retransmisión DHCP (en la misma red)
Descripción general de la retransmisión DHCP

Una retransmisión DHCP reenvía paquetes DHCP entre el servidor DHCP y los clientes.
Cuando el servidor DHCP y los clientes pertenecen a diferentes segmentos de red, la
retransmisión DHCP debe configurarse. Para clientes DHCP, la retransmisión DHCP es el
servidor DHCP; para el servidor DHCP, la retransmisión DHCP es un cliente DHCP.
La función de retransmisión DHCP se aplica a las redes grandes con muchos gateways de
usuarios distribuidos de forma dispersa. Para reducir la carga de trabajo de mantenimiento, el
administrador de red no desea configurar la función del servidor DHCP en cada switch de
agregación (gateway de usuario) y requiere que la función del servidor DHCP esté
configurada en un dispositivo de core o que se implemente un servidor DHCP exclusivo en el
área del servidor En este caso, los switches de agregación que funcionan como los gateways
de usuario deben configurarse con la función de retransmisión DHCP para implementar el
intercambio de paquetes DHCP entre el servidor DHCP y los clientes.

producto
S2300 S2320EI V200R011C10, V200R012C00

V200R008C00, V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S3300 S3300SI, V100R006C05

S3300EI


producto
S3300HI V200R001C00

V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5300SI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C02)
S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5300HI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00, V200R005(C00&C02)
S5320LI V200R010C00, V200R011C10, V200R012C00
S5320SI V200R008(C00&C10), V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S6320SI V200R011C10, V200R012C00
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320HI V200R012C00
S9300 S9303, V200R001C00, V200R002C00, V200R003C00,

S9306, V200R005C00SPC300, V200R006C00, V200R007C00,
S9312 V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10, V200R012C00
S9300X S9310X V200R010C00, V200R011C10, V200R012C00
S9300E S9303E, V200R001C00, V200R002C00, V200R003C00,

S9306E, V200R005C00SPC300, V200R006C00, V200R007C00,
S9312E V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00

NOTA
Requisitos de redes
Como se muestra en Figura 7-6, una empresa implementa el servidor DHCP en el switch de
core. El servidor DHCP y los terminales de la empresa pertenecen a diferentes segmentos de
red. La empresa requiere que el servidor DHCP asigne dinámicamente direcciones IP a los
terminales.
Figura 7-6 Diagrama de redes para configurar el dispositivo como una retransmisión DHCP
Internet
SwitchB
Servidor DHCP
GE0/0/1
VLANIF200
GE0/0/1 192.168.20.2/24
VLANIF200
192.168.20.1/24
SwitchA
Retransmisión
DHCP
GE0/0/2
VLANIF100
10.10.20.1/24
LSW
Cliente DHCP Cliente DHCP

1. Configure la retransmisión DHCP en SwitchA (gateway de usuario) para reenviar

paquetes DHCP entre los terminales y el servidor DHCP.
2. En SwitchB, configure el servidor DHCP en función del grupo de direcciones global
para que el servidor DHCP pueda asignar direcciones IP desde el grupo global de
direcciones a los terminales.

NOTA
Utilice un switch de la serie S de Huawei como ejemplo para el servidor DHCP (SwitchB).
En el LSW, configure el tipo de enlace de interfaz y la VLAN para implementar la comunicación de Capa 2.
Procedimiento
Paso 1 Configure la retransmisión DHCP en SwitchA.
# Agregue la interfaz a la VLAN.
# Habilite la función de retransmisión DHCP en la interfaz.

[SwitchA] dhcp enable //Habilite el servicio DHCP. Por defecto, el servicio está
deshabilitado
.
[SwitchA-Vlanif100] dhcp select relay //Habilite la función de retransmisión
DHCP. Por defecto, la función está deshabilitada.
IP del servidor DHCP para el agente de retransmisión DHCP.
Paso 2 Configure la función del servidor DHCP en función del grupo de direcciones global en
SwitchB.
# Habilite el servicio DHCP. Por defecto, el servicio está deshabilitado.
[SwitchB] dhcp enable
# Configure VLANIF 200 para que funcione en el modo del grupo de direcciones global.
[SwitchB] vlan 200
[SwitchB-Vlanif200] dhcp select global //Habilite la función del servidor DHCP
en función del grupo de direcciones global en la interfaz. Por defecto, la
# Cree un grupo de direcciones y configure los atributos. La concesión predeterminada (un

día) se usa y no se debe configurar.
[SwitchB] ip pool pool1
[SwitchB-ip-pool-pool1] network 10.10.20.0 mask 24 //Configure el segmento de

red y la máscara del global de direcciones grupo.

[SwitchB-ip-pool-pool1] gateway-list 10.10.20.1 //Configure la dirección del
gateway asignada a los terminales.
[SwitchB-ip-pool-pool1] quit
Paso 3 Configure las rutas estáticas a los terminales en SwitchB.

Status.
3. Haga clic en Properties para visualizar la ventana Local Area Connection Properties.
# Ejecute el comando display dhcp relay interface vlanif 100 en SwitchA para verificar la
configuración de la retransmisión DHCP.
[SwitchA] display dhcp relay interface vlanif 100
DHCP relay agent running information of interface Vlanif100 :
Server IP address [00] : 192.168.20.2
Gateway address in use : 10.10.20.1
# Ejecute el comando display ip pool en SwitchB para verificar la asignación de la dirección

IP de pool1. Por ejemplo, la empresa tiene 100 terminales. A continuación, se usa la salida del
comando en V200R011C10 como ejemplo.
[SwitchB] display ip pool name pool1
Pool-name : pool1
Pool-No : 0
Domain-name : -
DNS-server0 : -
NBNS-server0 : -
Netbios-type : -
Position : Local
Status : Unlocked
Gateway-0 : 10.10.20.1
Network : 10.10.20.0
Mask : 255.255.255.0
VPN instance : --
Logging : Disable
-------------------------------------------------------------------------------
Network section
-------------------------------------------------------------------------------
10.10.20.1 10.10.20.254 253 1 252(0) 0 0
-------------------------------------------------------------------------------
----Fin

#
sysname SwitchA
#
vlan batch 100 200
#
dhcp enable
#
interface Vlanif100
ip address 10.10.20.1 255.255.255.0
dhcp select relay
#
interface Vlanif200
ip address 192.168.20.1 255.255.255.0
#
#
#
return

#
sysname SwitchB
#
vlan batch 200
#
dhcp enable
#
ip pool pool1
network 10.10.20.0 mask 255.255.255.0
#
interface Vlanif200
ip address 192.168.20.2 255.255.255.0
dhcp select global
#
#
ip route-static 10.10.20.0 255.255.255.0 192.168.20.1
#
return
7.2.5 Ejemplo para configurar el dispositivo como una

retransmisión DHCP (a través de un túnel GRE)
Descripción general de la retransmisión DHCP

Una retransmisión DHCP reenvía paquetes DHCP entre el servidor DHCP y los clientes.
Cuando el servidor DHCP y los clientes pertenecen a diferentes segmentos de red, la
retransmisión DHCP debe configurarse. Para clientes DHCP, la retransmisión DHCP es el
servidor DHCP; para el servidor DHCP, la retransmisión DHCP es un cliente DHCP.
La función de retransmisión DHCP se aplica a las redes grandes con muchos gateways de
usuarios distribuidos de forma dispersa. Para reducir la carga de trabajo de mantenimiento, el

administrador de red no desea configurar la función del servidor DHCP en cada switch de
agregación (gateway de usuario) y requiere que la función del servidor DHCP esté
configurada en un dispositivo de core o que se implemente un servidor DHCP exclusivo en el
área del servidor En este caso, los switches de agregación que funcionan como los gateways
de usuario deben configurarse con la función de retransmisión DHCP para implementar el
intercambio de paquetes DHCP entre el servidor DHCP y los clientes.
La retransmisión DHCP y el servidor DHCP se pueden implementar a través de una red VPN
(como GRE o MPLS L3VPN). Un túnel GRE se utiliza como ejemplo para describir cómo
configurar una retransmisión DHCP.

producto
S5300 S5310EI V200R002C00, V200R003C00, V200R005(C00&C02)
S5300HI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320HI V200R012C00
S9300 S9303, V200R001C00, V200R002C00, V200R003C00,

S9306, V200R005C00SPC300, V200R006C00, V200R007C00,
S9312 V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10, V200R012C00
S9300X S9310X V200R010C00, V200R011C10, V200R012C00
S9300E S9303E, V200R001C00, V200R002C00, V200R003C00,

S9306E, V200R005C00SPC300, V200R006C00, V200R007C00,
S9312E V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA

Requisitos de redes
Como se muestra en Figura 7-7, una empresa implementa su sede central y sucursal en
diferentes áreas. Se implementa un túnel GRE entre la sede central y la sucursal para
permitirles comunicarse a través de Internet. Para facilitar la administración unificada, el
administrador de la empresa implementa el servidor DHCP en Switch_1 en la sede central
para asignar direcciones IP a los terminales en la sede central y la sucursal. Los segmentos de
red 10.1.1.0/24 y 10.2.1.0/24 están planificados para la sede central y la sucursal,
respectivamente.
Figura 7-7 Diagrama de redes para configurar el dispositivo como una retransmisión DHCP
Switch_2
GE1/0/0 GE2/0/0
VLANIF 10 VLANIF 20
20.1.1.2/24 30.1.1.1/24
GE1/0/0 GE1/0/0
VLANIF 10 VLANIF 20
20.1.1.1/24 Túnel Túnel 30.1.1.2/24
Switch_1 40.1.1.1/24 40.1.1.2/24 Switch_3
Servidor DHCP Retransmisión
Túnel GRE DHCP
GE2/0/0 GE2/0/0
VLANIF 30 10.1.1.1/24 VLANIF 30 10.2.1.1/24
LSW_1 LSW_2
Clientes DHCP Clientes DHCP

Sede Sucursal

1. Ejecute OSPF entre Switch_1, Switch_2 y Switch_3 para garantizar la comunicación

entre dispositivos.
2. En Switch_1 y Switch_3, configure las interfaces del túnel y cree un túnel GRE.
3. En Switch_1, configure el servidor DHCP en función del grupo de direcciones global
para que el servidor DHCP pueda asignar direcciones IP desde el grupo global de
direcciones a los terminales en la sede central y la sucursal.
4. En Switch_3, configure la función de retransmisión DHCP para que funcione como el
gateway de la sucursal para reenviar paquetes DHCP entre los terminales y los
servidores DHCP para que los terminales puedan aplicar direcciones IP al servidor
DHCP.
NOTA
Use un switch de la serie S de Huawei como ejemplo para el servidor DHCP (Switch_1).
Configure los tipos de enlace de interfaz y las VLAN en LSW_1 y LSW_2 para implementar la comunicación
de Capa 2.

Procedimiento
Paso 1 Configure una dirección IP para cada interfaz física en Switch_1 a través de Switch_3.
Paso 2 Ejecute OSPF entre Switch_1, Switch_2 y Switch_3.

[Switch_1] ospf 1
[Switch_1-ospf-1] area 0

[Switch_1-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255

[Switch_1-ospf-1-area-0.0.0.0] quit
[Switch_1-ospf-1] quit
[Switch_2] ospf 1
[Switch_3] ospf 1
Paso 3 Configure rutas estáticas.

# Configure una ruta estática al segmento de red en Switch_1.
[Switch_1] ip route-static 10.2.1.0 255.255.255.0 tunnel 1
# Configure una ruta estática al segmento del servidor en Switch_3.

[Switch_3] ip route-static 10.1.1.0 255.255.255.0 tunnel 1
Paso 4 Configure interfaces de túnel.

[Switch_1] interface tunnel 1
[Switch_1-Tunnel1] tunnel-protocol gre
[Switch_1-Tunnel1] ip address 40.1.1.1 24
[Switch_1-Tunnel1] source 20.1.1.1
[Switch_1-Tunnel1] destination 30.1.1.2
[Switch_1-Tunnel1] quit
[Switch_3] interface tunnel 1
[Switch_3-Tunnel1] tunnel-protocol gre
[Switch_3-Tunnel1] ip address 40.1.1.2 24
[Switch_3-Tunnel1] source 30.1.1.2
[Switch_3-Tunnel1] destination 20.1.1.1
[Switch_3-Tunnel1] quit
Paso 5 Configure la función del servidor DHCP en Switch_1.

[Switch_1] dhcp enable
# Cree un grupo de direcciones global y configure parámetros relacionados.

[Switch_1] ip pool pool1
[Switch_1-ip-pool-pool1] network 10.2.1.0 mask 255.255.255.0 //Segmento de red
para terminales en la rama
[Switch_1-ip-pool-pool1] gateway-list 10.2.1.1 //Dirección de gateway para
terminales en la rama
[Switch_1-ip-pool-pool1] quit
[Switch_1-ip-pool-pool2] network 10.1.1.0 mask 255.255.255.0 //Segmento de red
para terminales en la sede
[Switch_1-ip-pool-pool2] gateway-list 10.1.1.1 //Dirección de gateway para
terminales en la sede

# Configure los terminales conectados a VLANIF30 para obtener direcciones IP del grupo de
direcciones global.
[Switch_1-Vlanif30] dhcp select global //Habilite la función del servidor DHCP
en función del grupo de direcciones global en la interfaz. Por defecto, la
Paso 6 # Configure la función de retransmisión DHCP en Switch_3.

# Configure la función de retransmisión DHCP en VLANIF 30 y especifique la dirección del

servidor DHCP para la retransmisión.
[Switch_3-Vlanif30] dhcp select relay //Habilite la función de retransmisión
DHCP. Por defecto, la función está deshabilitada.
[Switch_3-Vlanif30] dhcp relay server-ip 10.1.1.1 //Configure la dirección IP
del servidor DHCP para el agente de retransmisión DHCP.
Status.
3. Haga clic en Properties para mostrar la ventana Local Area Connection Properties.
Paso 8 Verifique la configuración. A continuación, se usa la salida del comando en V200R010C00
como ejemplo.
# Ejecute el comando display dhcp relay interface vlanif 30 en Switch_3 para verificar la
configuración de la retransmisión DHCP.
[Switch_3] display dhcp relay interface vlanif 30
DHCP relay agent running information of interface Vlanif30 :
Server IP address [00] : 10.1.1.1
Gateway address in use : 10.2.1.1
# Ejecute el comando display ip pool en Switch_1 para verificar la asignación de direcciones
IP de pool1 y pool2. Por ejemplo, la sede central tiene 100 terminales y la sucursal tiene 50
terminales.
[Switch_1] display ip pool name pool1
Pool-name : pool1
Pool-No : 0
Domain-name : -
DNS-server0 : -
NBNS-server0 : -
Netbios-type : -
Position : Local Status : Unlocked
Gateway-0 : 10.2.1.1
Network : 10.2.1.0
Mask : 255.255.255.0
VPN instance : --
Logging : Disable


-------------------------------------------------------------------------------
Network section
-------------------------------------------------------------------------------
10.2.1.1 10.2.1.254 253 50 203(0) 0 0
-------------------------------------------------------------------------------
Pool-name : pool2
Pool-No : 1
Domain-name : -
DNS-server0 : -
NBNS-server0 : -
Netbios-type : -
Position : Local Status : Unlocked
Gateway-0 : 10.1.1.1
Network : 10.1.1.0
Mask : 255.255.255.0
VPN instance : --
Logging : Disable
-------------------------------------------------------------------------------
Network section
-------------------------------------------------------------------------------
10.1.1.1 10.1.1.254 253 100 153(0) 0 0
-------------------------------------------------------------------------------
----Fin
#
sysname Switch_1
#
vlan batch 10 30
#
dhcp enable
#
ip pool pool1
network 10.2.1.0 mask 255.255.255.0
#
ip pool pool2
network 10.1.1.0 mask 255.255.255.0
#
interface Vlanif10
ip address 20.1.1.1 255.255.255.0
#
interface Vlanif30
ip address 10.1.1.1 255.255.255.0
dhcp select global
#
#


#
interface Tunnel1
ip address 40.1.1.1 255.255.255.0
tunnel-protocol gre
source 20.1.1.1
destination 30.1.1.2
#
ospf 1
area 0.0.0.0
network 20.1.1.0 0.0.0.255
#
ip route-static 10.2.1.0 255.255.255.0 Tunnel1
#
return
#
sysname Switch_2
#
vlan batch 10 20
#
interface Vlanif10
ip address 20.1.1.2 255.255.255.0
#
interface Vlanif20
ip address 30.1.1.1 255.255.255.0
#
#
#
ospf 1
area 0.0.0.0
network 20.1.1.0 0.0.0.255
network 30.1.1.0 0.0.0.255
#
return
#
sysname Switch_3
#
vlan batch 20 30
#
dhcp enable
#
interface Vlanif20
ip address 30.1.1.2 255.255.255.0
#
interface Vlanif30
ip address 10.2.1.1 255.255.255.0
dhcp select relay
#
#
#
interface Tunnel1
ip address 40.1.1.2 255.255.255.0
tunnel-protocol gre

source 30.1.1.2
destination 20.1.1.1
#
ospf 1
area 0.0.0.0
network 30.1.1.0 0.0.0.255
#
ip route-static 10.1.1.0 255.255.255.0 Tunnel1
#
return
7.2.6 Ejemplo para configurar un cliente DHCP
Descripción general del cliente DHCP

Un dispositivo puede funcionar como un cliente DHCP y obtener dinámicamente los
parámetros de red, incluida la dirección IP de un servidor DHCP. Este mecanismo reduce los
costos manuales, reduce los errores y facilita la administración unificada.
Este ejemplo se aplica a:
l Switches chasis: V200R005 y versiones posteriores
l Switches fijos: V100R006 y versiones posteriores
NOTA
Requisitos de redes
Como se muestra en Figura 7-8, Switch_1 funciona como el cliente DHCP para obtener
dinámicamente información que incluye la dirección IP, la dirección del servidor DNS y la
dirección del gateway del servidor DHCP (Switch_2).
Gateway
192.168.1.126/24
Servidor DNS Switch_2
192.168.1.2/24 Servidor DHCP
GE1/0/1
VLANIF10
192.168.1.1/24
GE1/0/1
VLANIF10
Switch_1
Cliente DHCP


1. Configure Switch_1 como el cliente DHCP para obtener dinámicamente la dirección IP
de un servidor DHCP.
2. Configure Switch_2 como el servidor DHCP para asignar dinámicamente los parámetros
de red, incluidas las direcciones IP, a Switch_1.
Procedimiento
Paso 1 Configure Switch_1 como el cliente DHCP.
# Cree VLAN 10 y agregue GE1/0/1 a VLAN 10.
[Switch_1] vlan 10
[Switch_1-vlan10] quit
# Habilite la función del cliente DHCP en VLANIF 10.

[Switch_1-Vlanif10] ip address dhcp-alloc
Paso 2 Cree un grupo de direcciones global en Switch_2 y establezca los atributos correspondientes.
1. Habilite el servicio DHCP.
2. Cree VLAN 10 y agregue GE1/0/1 a VLAN 10.

[Switch_2] vlan 10
[Switch_2-vlan10] quit
3. Configure VLANIF 10 para que funcione en el modo de grupo de direcciones global.

[Switch_2-Vlanif10] dhcp select global
4. Cree un grupo de direcciones y establezca los atributos correspondientes.

[Switch_2-ip-pool-pool1] network 192.168.1.0 mask 24
[Switch_2-ip-pool-pool1] gateway-list 192.168.1.126
[Switch_2-ip-pool-pool1] dns-list 192.168.1.2
[Switch_2-ip-pool-pool1] excluded-ip-address 192.168.1.2

# Ejecute el comando display this en VLANIF 10 de Switch_1 para ver la configuración del
cliente DHCP.
[Switch_1-Vlanif10] display this

#
interface Vlanif10
ip address dhcp-alloc
#
return
# Después de que VLANIF 10 obtenga una dirección IP, ejecute el comando display dhcp
client en Switch_1 para ver el estado del cliente DHCP en VLANIF 10. A continuación se
usa la salida del comando en V200R011C10 como ejemplo.
[Switch_1] display dhcp client
DHCP client lease information on interface
Vlanif10 :
Current machine state :

Bound
Internet address assigned via :

DHCP
Physical address : 0487-

ea01-0506
IP address :
192.168.1.162
Subnet mask :
255.255.255.0
Gateway ip address :
192.168.1.126
DHCP server :
192.168.1.1
Lease obtained at : 2017-06-23

14:52:40
Lease expires at : 2017-06-24

14:52:40
Lease renews at : 2017-06-24

02:52:40
Lease rebinds at : 2017-06-24

11:52:40
DNS : 192.168.1.2
# En Switch_2, ejecute el comando display ip pool name pool1 para ver la asignación de
direcciones IP en el grupo de direcciones. El campo Used muestra la cantidad de direcciones
IP usadas en el grupo de direcciones. A continuación, se usa la salida del comando en
V200R011C10 como ejemplo.
Pool-name : pool1
Pool-No : 0
Domain-name : -
DNS-server0 : 192.168.1.2
NBNS-server0 : -
Netbios-type : -
Position : Local
Status : Unlocked
Gateway-0 : 192.168.1.126
Network : 192.168.1.0
Mask : 255.255.255.0

VPN instance : --
Logging : Disable
-------------------------------------------------------------------------------
Network section
-------------------------------------------------------------------------------
192.168.1.1 192.168.1.254 253 1 251(0) 0 1
-------------------------------------------------------------------------------
----Fin
#
sysname Switch_1
#
vlan batch 10
#
interface Vlanif10
ip address dhcp-alloc
#
#
return

#
sysname Switch_2
#
vlan batch 10
#
dhcp enable
#
ip pool pool1
network 192.168.1.0 mask 255.255.255.0
excluded-ip-address 192.168.1.2
dns-list 192.168.1.2
#
interface Vlanif10
ip address 192.168.1.1 255.255.255.0
dhcp select global
#
#
return
7.2.7 Ejemplo para configurar servidores DHCP basados en el

grupo de direcciones global en el mismo segmento de red en
redes VRRP





la misma red).

producto
S2300 S2320EI V200R011C10, V200R012C00
S3300 S3300EI V100R006C05
S3300HI V200R001C00
S5300 S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5300HI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00, V200R005(C00&C02)


producto
S5320LI V200R010C00, V200R011C10, V200R012C00
S5320SI V200R008(C00&C10), V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S6320SI V200R011C10, V200R012C00
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320HI V200R012C00
S9300 S9303, V200R001C00, V200R002C00, V200R003C00,

S9306, V200R005C00SPC300, V200R006C00, V200R007C00,
S9312 V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10, V200R012C00
S9300X S9310X V200R010C00, V200R011C10, V200R012C00
S9300E S9303E, V200R001C00, V200R002C00, V200R003C00,

S9306E, V200R005C00SPC300, V200R006C00, V200R007C00,
S9312E V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Requisitos de redes
Como se muestra en Figura 7-9, un host en una empresa está dual-homed a SwitchA y
SwitchB a través de Switch. SwitchA funciona como servidor maestro DHCP para asignar
direcciones IP al host. Si falla el servidor maestro DHCP, un servidor DHCP de reserva debe
asignar una dirección IP al host.

VRRP VRID 1 SwitchA

Dirección IP virtual: GE1/0/2 Master DHCP Server
10.1.1.111 VLANIF100
10.1.1.1/24
GE1/0/5
GE1/0/1
GE1/0/3
Switch
Cliente GE1/0/2
DHCP GE1/0/5
GE1/0/2
VLANIF100
10.1.1.129/24 SwitchB
Backup DHCP Server

1. Configure las direcciones IP para las interfaces que conectan SwitchA y SwitchB para
implementar la conectividad de la capa de red. Configure Switch para transmitir
transparentemente paquetes de Capa 2.
2. Configure un grupo VRRP en SwitchA y SwitchB. SwitchA tiene una prioridad más alta
y funciona como el servidor DHCP para asignar direcciones IP a los clientes. SwitchB
tiene una prioridad más baja y funciona como un servidor de reserva DHCP.
3. Cree grupos de direcciones globales en SwitchA y SwitchB, y establezca los atributos
correspondientes.
4. Configure un protocolo de prevención de bucle en Switch, SwitchA y SwitchB para
evitar bucles. En este ejemplo, STP está configurado.
Procedimiento
Paso 1 Configure la conectividad de la capa de red entre los dispositivos.
# Configure las direcciones IP para las interfaces que conectan SwitchA y SwitchB. SwitchA
se usa como ejemplo. La configuración en SwitchB es similar a la de SwitchA. Para más
detalles, vea el archivo de configuración de SwitchB.


# Configure la transmisión transparente de Capa 2 en Switch.

[Switch] vlan 100
Paso 2 Cree grupos de direcciones y establezca los atributos correspondientes.

# Habilite DHCP en SwitchA.
# Cree un grupo de direcciones en SwitchA y especifique un rango de direcciones IP de

10.1.1.2 a 10.1.1.128, que es exclusivo del rango de direcciones IP del grupo de direcciones
en SwitchB.
NOTA
La información sobre el grupo de direcciones en el servidor maestro DHCP no se puede respaldar en un

servidor DHCP de reserva en tiempo real. Para evitar conflictos de direcciones IP después de una
conmutación maestra/de reserva, asegúrese de que los rangos del grupo de direcciones en los servidores
DHCP maestro y de reserva sean exclusivos entre sí.
[SwitchA] ip pool 1
[SwitchA-ip-pool-1] network 10.1.1.0 mask 255.255.255.0
[SwitchA-ip-pool-1] gateway-list 10.1.1.111
[SwitchA-ip-pool-1] excluded-ip-address 10.1.1.1
[SwitchA-ip-pool-1] excluded-ip-address 10.1.1.129 10.1.1.254
[SwitchA-ip-pool-1] lease day 10
[SwitchA-ip-pool-1] quit
# Cree un grupo de direcciones en SwitchB y especifique un rango de direcciones IP de

10.1.1.130 to 10.1.1.254, que es exclusivo del rango de direcciones IP del grupo de
direcciones en SwitchA.
[SwitchB] ip pool 1
[SwitchB-ip-pool-1] network 10.1.1.0 mask 255.255.255.0
[SwitchB-ip-pool-1] gateway-list 10.1.1.111
[SwitchB-ip-pool-1] excluded-ip-address 10.1.1.1 10.1.1.110
[SwitchB-ip-pool-1] excluded-ip-address 10.1.1.112 10.1.1.129
[SwitchB-ip-pool-1] lease day 10
[SwitchB-ip-pool-1] quit
Paso 3 Configure un grupo VRRP.

# Cree el grupo 1 de VRRP en SwitchA, establezca la prioridad de SwitchA en el grupo
VRRP a 120, y configure clientes para obtener direcciones IP desde un grupo de direcciones
global.


[SwitchA-Vlanif100] dhcp select global
# Cree el grupo 1 de VRRP en SwitchB, establezca la prioridad de SwitchB en el grupo

VRRP a 100 (predeterminado), y configure clientes para obtener direcciones IP desde un
grupo global de direcciones.
[SwitchB-Vlanif100] dhcp select global
Paso 4 Configure STP para evitar bucles.

# Habilite STP globalmente en Switch. Las configuraciones en SwitchA y SwitchB son
similares a las de Switch. Para más detalles, vea los archivos de configuración de SwitchA y
SwitchB.
[Switch] stp enable
# Deshabilite STP en GE1/0/3 de Switch, y establezca el costo de ruta de GE1/0/1 a 20000.

[Switch-GigabitEthernet1/0/3] stp disable
[Switch-GigabitEthernet1/0/1] stp cost 20000

# Ejecuta el comando display vrrp en SwitchA y SwitchB. La salida del comando muestra
que SwitchA es Master y SwitchB es Backup en el grupo VRRP.
State : Master
Virtual IP : 10.1.1.111
PriorityRun : 120
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2017-01-12 20:15:46
Last change time : 2017-01-12 20:15:46
State : Backup
Virtual IP : 10.1.1.111
PriorityRun : 100
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES

Create time : 2017-01-12 20:15:46
Last change time : 2017-01-12 20:15:46
# Ejecuta el comando display ip pool en SwitchA y SwitchB. El resultado del comando

muestra que SwitchA, pero no SwitchB, asignó correctamente una dirección IP al cliente. A
continuación, se usa la salida del comando en V200R011C10 como ejemplo.
[SwitchA] display ip pool
-------------------------------------------------------------------------------
Pool-name : 1
Pool-No : 0
Position : Local
Status : Unlocked
Gateway-0 : 10.1.1.111
Network : 10.1.1.0
Mask : 255.255.255.0
VPN instance : --
IP address Statistic
Total :253
Used :1 Idle :125
Expired :0 Conflict :0 Disable :127
[SwitchB] display ip pool
-------------------------------------------------------------------------------
Pool-name : 1
Pool-No : 0
Position : Local
Status : Unlocked
Gateway-0 : 10.1.1.111
Network : 10.1.1.0
Mask : 255.255.255.0
VPN instance : --
Total :253
Used :0 Idle :125
Expired :0 Conflict :0 Disable :128
# Ejecute el comando shutdown en GE1/0/2 y GE1/0/5 de SwitchA para simular un fallo.

# Ejecuta el comando display vrrp en SwitchA y SwitchB. La salida del comando muestra
que SwitchA es Initialize y SwitchB es Master en el grupo VRRP.
State : Initialize
Virtual IP : 10.1.1.111
Master IP : 0.0.0.0
PriorityRun : 120

MasterPriority : 0
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2017-01-12 20:15:46
Last change time : 2017-01-12 20:15:46
State : Master
Virtual IP : 10.1.1.111
Master IP : 10.1.1.129
PriorityRun : 100
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2017-01-12 20:15:46
Last change time : 2017-01-12 20:15:46
# Ejecute el comando display ip pool en SwitchB para ver la configuración del grupo de
direcciones.
[SwitchB] display ip pool
Pool-name : 1
Pool-No : 0
Position : Local
Status : Unlocked
Gateway-0 : 10.1.1.111
Network : 10.1.1.0
Mask : 255.255.255.0
VPN instance : --
Total :253
Used :1 Idle :124
Expired :0 Conflict :0 Disabled :128
----Fin
#
sysname SwitchA
#
vlan batch 100
#
dhcp enable
#
ip pool 1

network 10.1.1.0 mask 255.255.255.0
excluded-ip-address 10.1.1.1
#
interface Vlanif100
ip address 10.1.1.1 255.255.255.0
dhcp select global
#
#
#
return
#
sysname SwitchB
#
vlan batch 100
#
dhcp enable
#
ip pool 1
network 10.1.1.0 mask 255.255.255.0
#
interface Vlanif100
ip address 10.1.1.129 255.255.255.0
dhcp select global
#
#
#
return
#
sysname Switch
#
vlan batch 100
#
stp enable
#
#
#


stp disable
#
return

Ejemplos típicos de configuración 8 Configuración típica de enrutamiento
8 Configuración típica de enrutamiento
8.1 Configuración típica de ruta estática

8.2 Configuración típica de OSPF
8.3 Configuración típica de PBR
8.1 Configuración típica de ruta estática
8.1.1 Ejemplo para configurar rutas estáticas para el

interfuncionamiento entre diferentes segmentos de red
Descripción general de la ruta estática

Las rutas estáticas usan menos ancho de banda que las rutas dinámicas y no usan recursos de
la CPU para el cálculo de ruta y el análisis de actualización. Los administradores los
configuran manualmente. Si se produce un error de red o cambios de la topología, las rutas
estáticas deben reconfigurarse manualmente ya que no se pueden actualizar automáticamente.
Las rutas estáticas tienen cinco parámetros: dirección IP de destino (destination IP address),
máscara (mask), interfaz de salida (outbound interface), siguiente salto (next hop)y prioridad
(priority).
Las rutas estáticas son generalmente instaladas para redes simples. Sin embargo, pueden
usarse en redes complejas para mejorar el rendimiento de la red y garantizar el ancho de
banda para aplicaciones importantes.
l La comunicación entre dos dispositivos es bidireccional, por lo que las rutas accesibles
deben estar disponibles en ambas direcciones. Para permitir que dos dispositivos se
comuniquen a través de rutas estáticas, configure una ruta estática en el dispositivo local
y luego configure una ruta de retorno en el dispositivo par.

l Si una red empresarial tiene dos salidas, se pueden configurar dos rutas estáticas de igual
costo para el equilibrio de carga. En este caso, se pueden configurar dos rutas estáticas
no equivalentes para la copia de seguridad activa/standby. Cuando el enlace activo es
defectuoso, el tráfico pasa del enlace activo al enlace standby.
Requisitos de redes
Como se muestra en Figura 8-1, los hosts en diferentes segmentos de red están conectados
mediante varios switches. Cada dos hosts en diferentes segmentos de red pueden comunicarse
mutualmente sin usar protocolos de enrutamiento dinámico.
Figura 8-1 Diagrama de redes de configuración de rutas estáticas para el interfuncionamiento

entre diferentes segmentos de red
PC2
10.1.2.2/24
GE1/0/3
VLANIF40
10.1.2.1/24
GE1/0/1 GE1/0/2
VLANIF10 VLANIF20
10.1.4.2/30 10.1.4.5/30
SwitchB
SwitchA SwitchC
GE1/0/1 GE1/0/1
VLANIF10 VLANIF20
10.1.4.1/30 10.1.4.6/30
GE1/0/2 GE1/0/2
VLANIF30 VLANIF50
10.1.1.1/24 10.1.3.1/24
PC1 PC3
10.1.1.2/24 10.1.3.2/24

1. Crea VLAN, agregue interfaces a las VLAN y asigne direcciones IPv4 a las interfaces
VLANIF para que los dispositivos vecinos puedan comunicarse mutualmente.
2. Configure el gateway predeterminado de IPv4 en cada host y configure rutas estáticas
IPv4 o rutas estáticas predeterminadas en cada Switch para que los hosts en diferentes
segmentos de red puedan comunicarse mutualmente.
Procedimiento
Paso 1 Crea VLAN y agregue interfaces a las VLAN.
# Configure SwitchA. Las configuraciones de SwitchB y SwitchC son similares.


Paso 2 Asigne direcciones IPv4 a las interfaces VLANIF.

Paso 3 Configure hosts.

Establezca las direcciones del gateway predeterminado de PC1, PC2 y PC3 a 10.1.1.1,
10.1.2.1 y 10.1.3.1 respectivamente.
Paso 4 Configure rutas estáticas.
# Configure una ruta IPv4 predeterminada en SwitchA.
[SwitchA] ip route-static 0.0.0.0 0.0.0.0 10.1.4.2
# Configure dos rutas estáticas de IPv4 en SwitchB.

# Configurar una ruta IPv4 predeterminada en SwitchC.

[SwitchC] ip route-static 0.0.0.0 0.0.0.0 10.1.4.5

# Compruebe la tabla de enrutamiento IP en SwitchA.
[SwitchA] display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 7 Routes : 7
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 Static 60 0 RD 10.1.4.2 Vlanif10

10.1.1.0/24 Direct 0 0 D 10.1.1.1 Vlanif30
10.1.1.1/32 Direct 0 0 D 127.0.0.1 Vlanif30
10.1.4.0/30 Direct 0 0 D 10.1.4.1 Vlanif10
10.1.4.1/32 Direct 0 0 D 127.0.0.1 Vlanif10
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
# Ejecute el comando ping para verificar la conectividad.

[SwitchA] ping 10.1.3.1
PING 10.1.3.1: 56 data bytes, press CTRL_C to break
Reply from 10.1.3.1: bytes=56 Sequence=1 ttl=253 time=62 ms
--- 10.1.3.1 ping statistics ---

5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 62/62/63 ms
# Ejecute el comando tracert para verificar la conectividad.

[SwitchA] tracert 10.1.3.1
traceroute to 10.1.3.1(10.1.3.1), max hops: 30 ,packet length: 40,press CTRL_C
to break
1 10.1.4.2 31 ms 32 ms 31 ms
2 10.1.3.1 62 ms 63 ms 62 ms
----Fin
l El Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 10 30
#
interface Vlanif10
ip address 10.1.4.1 255.255.255.252
#
interface Vlanif30
ip address 10.1.1.1 255.255.255.0
#
#
#
ip route-static 0.0.0.0 0.0.0.0 10.1.4.2
#
return

#
sysname SwitchB
#
vlan batch 10 20 40
#
interface Vlanif10
ip address 10.1.4.2 255.255.255.252
#
interface Vlanif20
ip address 10.1.4.5 255.255.255.252
#
interface Vlanif40
ip address 10.1.2.1 255.255.255.0
#
#
#
#

ip route-static 10.1.1.0 255.255.255.0 10.1.4.1

ip route-static 10.1.3.0 255.255.255.0 10.1.4.6
#
return
l El archivo de configuración SwitchC

#
sysname SwitchC
#
vlan batch 20 50
#
interface Vlanif20
ip address 10.1.4.6 255.255.255.252
#
interface Vlanif50
ip address 10.1.3.1 255.255.255.0
#
#
#
ip route-static 0.0.0.0 0.0.0.0 10.1.4.5
#
return
8.1.2 Ejemplo para configurar rutas estáticas para equilibrio de

carga

máscara (mask), interfaz de salida (outbound interface), siguiente salto (next hop)y prioridad
(priority).
l Tabla 8-1 enumera los productos aplicables y las versiones de este ejemplo de
configuración.


cto del
Producto
S3300 S3300SI/ V100R006C05

S3300EI
S3300HI V200R001C00
S5300 S5300SI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C02)
S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00, V200R005(C00&C02)
S5300HI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320SI V200R008(C00&C10), V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5330SI V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320SI V200R011C10, V200R012C00
S6320HI V200R012C00
S9300 S9303, V200R001C00, V200R002C00, V200R003C00,

S9306 y V200R005C00SPC300, V200R006C00, V200R007C00,
S9312 V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10, V200R012C00
S9300 S9310X V200R010C00, V200R011C10, V200R012C00

X
S9300E S9303E, V200R001C00, V200R002C00, V200R003C00,

S9306E y V200R005C00SPC300, V200R006C00, V200R007C00,
S9312E V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00

NOTA
Requisitos de redes
En la red que se muestra en Figura 8-2, PC1 y PC2 están conectados a través de cuatro
switches. El tráfico de datos se puede transmitir desde PC1 a PC2 a través de dos enlaces:
PC1->SwitchA->SwitchB->SwitchC->PC2 y PC1->SwitchA->SwitchD->SwitchC->PC2.
Para mejorar la eficacia del enlace, los usuarios desean desplegar el equilibrio de carga entre
los dos enlaces. Es decir, el tráfico de PC1 a PC2 está equilibrado igualmente entre los dos
enlaces. Cuando ocurren fallas en uno de los dos enlaces, el tráfico se cambia
automáticamente al otro enlace.
NOTA
En este escenario, asegúrese de que todas las interfaces conectadas tengan STP deshabilitado. Si STP
está habilitado y las interfaces VLANIF de los switches se utilizan para construir una red de anillo de
Capa 3, una interfaz en la red se bloqueará. Como resultado, los servicios de Capa 3 en la red no pueden
ejecutarse normalmente.
Figura 8-2 Configure rutas estáticas para el equilibrio de carga

SwitchB
GE1/0/1 GE1/0/2
VLANIF100 VLANIF200
192.168.12.2/24 192.168.23.1/24
GE1/0/1 GE1/0/2 GE1/0/2 GE1/0/1

VLANIF10 VLANIF100 VLANIF200 VLANIF20
10.1.1.1/24 192.168.12.1/24 192.168.23.2/24 10.1.2.1/24
SwitchA SwitchC
PC1 GE1/0/3 GE1/0/3 PC2
10.1.1.2 VLANIF400 VLANIF300 10.1.2.2
192.168.14.1/24 192.168.34.1/24
GE1/0/1 GE1/0/2
VLANIF400 VLANIF300
192.168.14.2/24 192.168.34.2/24
SwitchD

1. Crea VLAN, agregue interfaces a las VLAN y asigne direcciones IP a las interfaces
VLANIF.
2. Configure las rutas estáticas en dos direcciones de tráfico de datos.
3. Configure la dirección IP y las puertas de enlace predeterminadas para los hosts.

Procedimiento
Paso 1 Especifique las VLAN a las que pertenecen las interfaces.
# Configure SwitchA. Las configuraciones de SwitchB y SwitchC, y SwitchD son similares.
Paso 2 Configure una dirección IP para cada interfaz VLANIF.

Paso 3 Configure las rutas estáticas desde PC1 a PC2.

# En SwitchA, configure dos rutas estáticas de igual costo. El próximo salto de una ruta
apunta a SwitchB, y la de la otra ruta apunta a SwitchD. Esta configuración puede desplegar
el equilibrio de carga para el tráfico de PC1 a PC2.
[SwitchA] ip route-static 10.1.2.0 24 192.168.12.2
[SwitchB] ip route-static 10.1.2.0 24 192.168.23.2
# Configure SwitchD.
[SwitchD] ip route-static 10.1.2.0 24 192.168.34.1

# En SwitchC, configure dos rutas estáticas de igual costo. El próximo salto de una ruta
apunta a SwitchB, y la de la otra ruta apunta a SwitchD. Esta configuración puede desplegar
el equilibrio de carga para el tráfico de PC2 a PC1.
[SwitchC] ip route-static 10.1.1.0 24 192.168.23.1


Asigne la dirección IP 10.1.1.2/24 y la dirección IP del gateway predeterminado 10.1.1.1 al
PC1; asigne la dirección IP 10.1.2.2/24 y la dirección IP del gateway predeterminado 10.1.2.1
al PC2.
------------------------------------------------------------------------------
10.1.1.0/24 Direct 0 0 D 10.1.1.1 Vlanif10

10.1.1.1/32 Direct 0 0 D 127.0.0.1 Vlanif10
10.1.2.0/24 Static 60 0 RD 192.168.12.2 Vlanif100
Static 60 0 RD 192.168.14.2 Vlanif400
192.168.12.0/24 Direct 0 0 D 192.168.12.1 Vlanif100
192.168.12.1/32 Direct 0 0 D 127.0.0.1 Vlanif100
192.168.14.0/24 Direct 0 0 D 192.168.14.1 Vlanif400
192.168.14.1/32 Direct 0 0 D 127.0.0.1 Vlanif400
La tabla de enrutamiento de IP en SwitchA contiene dos rutas de igual costo para el segmento
de red 10.1.2.0/24. En esta situación, el tráfico de datos se equilibra igualmente entre dos
enlaces diferentes, logrando el equilibrio de carga.
----Fin
#
sysname SwitchA
#
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif100
ip address 192.168.12.1 255.255.255.0
#
interface Vlanif400
ip address 192.168.14.1 255.255.255.0
#
#
#
#
ip route-static 10.1.2.0 255.255.255.0 192.168.12.2

ip route-static 10.1.2.0 255.255.255.0 192.168.14.2

#
return
l El archivo de configuración SwitchB
#
sysname SwitchB
#
vlan batch 100 200
#
interface Vlanif100
ip address 192.168.12.2 255.255.255.0
#
interface Vlanif200
ip address 192.168.23.1 255.255.255.0
#
#
#
ip route-static 10.1.1.0 255.255.255.0 192.168.12.1
ip route-static 10.1.2.0 255.255.255.0 192.168.23.2
#
return
#
sysname SwitchC
#
#
interface Vlanif20
ip address 10.1.2.1 255.255.255.0
#
interface Vlanif200
ip address 192.168.23.2 255.255.255.0
#
interface Vlanif300
ip address 192.168.34.1 255.255.255.0
#
#
#
#
ip route-static 10.1.1.0 255.255.255.0 192.168.23.1
ip route-static 10.1.1.0 255.255.255.0 192.168.34.2
#
return
l El archivo de configuración SwitchD
#
sysname SwitchD
#
vlan batch 300 400
#
interface Vlanif300
ip address 192.168.34.2 255.255.255.0
#

interface Vlanif400
ip address 192.168.14.2 255.255.255.0
#
#
#
ip route-static 10.1.1.0 255.255.255.0 192.168.14.1
ip route-static 10.1.2.0 255.255.255.0 192.168.34.1
#
return
8.1.3 Ejemplo para configurar rutas estáticas para la copia de

seguridad del enlace

máscara (mask), interfaz de salida (outbound interface), siguiente salto (next hop) y prioridad
(priority).
Requisitos de redes
En la red que se muestra en Figura 8-3, PC1 y PC2 están conectados a través de cuatro
switches. El tráfico de datos de PC1 puede llegar a PC2 a través de dos enlaces: PC1-
>SwitchA->SwitchB->SwitchC->PC2 y PC1->SwitchA->SwitchD->SwitchC->PC2. Para
mejorar la fiabilidad, los usuarios desean desplegar una copia de seguridad entre los dos
enlaces. Es decir, el tráfico de PC1 a PC2 se transmite primero a través del enlace que pasa
por SwitchB. Cuando se producen fallas en este enlace, el tráfico se cambia automáticamente
al enlace que pasa por SwitchD.

NOTA
Figura 8-3 Configuración de rutas estáticas para la copia de seguridad de enlace

SwitchB
GE1/0/1 GE1/0/2
VLANIF100 VLANIF200
192.168.12.2/24 192.168.23.1/24
GE1/0/1 GE1/0/2 GE1/0/2 GE1/0/1

VLANIF10 VLANIF100 VLANIF200 VLANIF20
10.1.1.1/24 192.168.12.1/24 192.168.23.2/24 10.1.2.1/24
SwitchA SwitchC
PC1 GE1/0/3 GE1/0/3 PC2
10.1.1.2 VLANIF400 VLANIF300 10.1.2.2
192.168.14.1/24 192.168.34.1/24
GE1/0/1 GE0/0/2
VLANIF400 VLANIF300
192.168.14.2/24 192.168.34.2/24
SwitchD

1. Crea VLAN, agregue interfaces a las VLAN y asigne direcciones IP a las interfaces
VLANIF.
2. Configure las rutas estáticas en dos direcciones de tráfico de datos.
3. Configure la dirección IP y las puertas de enlace predeterminadas para los hosts.
Procedimiento





# En SwitchA, configure dos rutas estáticas con diferentes prioridades. El siguiente salto de
una ruta apunta a SwitchB, y la de la otra ruta apunta a SwitchD. Posteriormente, el tráfico de
datos se reenvía primero a SwitchB. Cuando ocurren fallas en el enlace que pasa por SwitchB,
el tráfico cambia automáticamente a SwitchD.
[SwitchA] ip route-static 10.1.2.0 24 192.168.14.2 preference 70
Paso 4 Configure las rutas estáticas desde PC2 a PC1 y asegúrese de que los enlaces activos y
standby en dos direcciones sean los mismos.
# En SwitchC, configure dos rutas estáticas con diferentes prioridades. El siguiente salto de
una ruta apunta a SwitchB, y la de la otra ruta apunta a SwitchD. Posteriormente, el tráfico de
datos se reenvía primero a SwitchB. Cuando ocurren fallas en el enlace que pasa por SwitchB,
el tráfico cambia automáticamente a SwitchD.
[SwitchC] ip route-static 10.1.1.0 24 192.168.34.2 preference 70

Asigne la dirección IP 10.1.1.2/24 y la dirección IP del gateway predeterminado 10.1.1.1 al
PC1; asigne la dirección IP 10.1.2.2/24 y la dirección IP del gateway predeterminado 10.1.2.1
al PC2.

------------------------------------------------------------------------------
10.1.1.0/24 Direct 0 0 D 10.1.1.1 Vlanif10

10.1.1.1/32 Direct 0 0 D 127.0.0.1 Vlanif10
10.1.2.0/24 Static 60 0 RD 192.168.12.2 Vlanif100
192.168.12.0/24 Direct 0 0 D 192.168.12.1 Vlanif100
192.168.12.1/32 Direct 0 0 D 127.0.0.1 Vlanif100
192.168.14.0/24 Direct 0 0 D 192.168.14.1 Vlanif400
192.168.14.1/32 Direct 0 0 D 127.0.0.1 Vlanif400
# Compruebe la información detallada sobre la tabla de enrutamiento IP en SwitchA.

[SwitchA] display ip routing-table 10.1.2.0 24 verbose
------------------------------------------------------------------------------
Routing Table : Public
Summary Count : 2
Destination: 10.1.2.0/24
Protocol: Static Process ID: 0
Preference: 60 Cost: 0
NextHop: 192.168.12.2 Neighbour: 0.0.0.0
State: Active Adv Relied Age: 00h13m13s
Tag: 0 Priority: medium
Label: NULL QoSInfo: 0x0
IndirectID: 0x80000001
RelayNextHop: 0.0.0.0 Interface: Vlanif100
TunnelID: 0x0 Flags: RD
Destination: 10.1.2.0/24
Protocol: Static Process ID: 0
Preference: 70 Cost: 0
NextHop: 192.168.14.2 Neighbour: 0.0.0.0
State: Inactive Adv Relied Age: 00h00m45s
Tag: 0 Priority: medium
Label: NULL QoSInfo: 0x0
IndirectID: 0x80000002
RelayNextHop: 0.0.0.0 Interface: Vlanif400
TunnelID: 0x0 Flags: R
La tabla de enrutamiento de IP en SwitchA contiene solo una ruta activa al segmento de red
10.1.2.0/24. Normalmente, el tráfico de datos desde PC1 a PC2 se transmite a través del
enlace que pasa por SwitchB. La información detallada sobre la tabla de enrutamiento de IP
eSwitchA muestra dos rutas al segmento de red 10.1.2.0/24: una ruta Active que pasa por
SwitchB y la otra ruta Inactive que pasa por SwitchD. Cuando se producen fallas en el enlace
activo, la ruta Inactive activará para controlar el tráfico. Esto despliega la copia de seguridad
del enlace.
----Fin
#
sysname SwitchA
#
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0

#
interface Vlanif100
ip address 192.168.12.1 255.255.255.0
#
interface Vlanif400
ip address 192.168.14.1 255.255.255.0
#
#
#
#
ip route-static 10.1.2.0 255.255.255.0 192.168.12.2
ip route-static 10.1.2.0 255.255.255.0 192.168.14.2 preference 70
#
return
#
sysname SwitchB
#
vlan batch 100 200
#
interface Vlanif100
ip address 192.168.12.2 255.255.255.0
#
interface Vlanif200
ip address 192.168.23.1 255.255.255.0
#
#
#
ip route-static 10.1.1.0 255.255.255.0 192.168.12.1
ip route-static 10.1.2.0 255.255.255.0 192.168.23.2
#
return
#
sysname SwitchC
#
#
interface Vlanif20
ip address 10.1.2.1 255.255.255.0
#
interface Vlanif200
ip address 192.168.23.2 255.255.255.0
#
interface Vlanif300
ip address 192.168.34.1 255.255.255.0
#
#


#
#
ip route-static 10.1.1.0 255.255.255.0 192.168.23.1
ip route-static 10.1.1.0 255.255.255.0 192.168.34.2 preference 70
#
return

#
sysname SwitchD
#
vlan batch 300 400
#
interface Vlanif300
ip address 192.168.34.2 255.255.255.0
#
interface Vlanif400
ip address 192.168.14.2 255.255.255.0
#
#
#
ip route-static 10.1.1.0 255.255.255.0 192.168.14.1
ip route-static 10.1.2.0 255.255.255.0 192.168.34.1
#
return
8.1.4 Ejemplo para configurar NQA para rutas estáticas IPv4

Descripción general de NQA para rutas estáticas IPv4
La tecnología de análisis de calidad de red (NQA) mide el rendimiento de la red y recopila
estadísticas sobre la relación de retraso, fluctuación de fase y pérdida de paquetes. NQA
puede medir la QoS de la red en tiempo real y realizar diagnósticos y ubicaciones de fallas de
red efectivas.
En una red simple o en una red donde la ruta al destino no puede establecerse mediante
protocolos de enrutamiento dinámico, se pueden configurar rutas estáticas. A diferencia de los
protocolos de enrutamiento dinámico, las rutas estáticas no tienen un mecanismo de detección
dedicado. Si se produce un error, las rutas estáticas no pueden detectar el error, y el
administrador de la red debe eliminar la ruta estática correspondiente. Esto retrasa la
conmutación del enlace y puede causar interrupciones de servicio prolongadas.
BFD para rutas estáticas IPv4 es adaptable a los cambios de enlace, pero ambos extremos del
enlace deben ser compatibles con BFD. Si alguno de los extremos de un enlace no es
compatible con BFD, se pueden configurar rutas NQA para IPv4 estáticas. Cuando una
instancia de prueba NQA detecta un error de enlace, instruye al módulo de gestión de
enrutamiento para eliminar la ruta estática asociada de la tabla de enrutamiento IP. Luego, el
tráfico de servicio cambia a una ruta sin ningún error de enlace para evitar interrupciones
prolongadas del servicio.

l La función NQA del switch está controlado por licencia. Si la licencia no está disponible,
los comandos NQA se pueden ejecutar, pero la función NQA no tiene efecto.
l Productos y versiones aplicables: V200R003C00 y versiones posteriores
Requisitos de redes
En una red de empresa que se muestra en Figura 8-4, los switches de acceso SwitchD y
SwitchE se conectan a los switches de agregación SwitchB y SwitchC en modo de doble
inicio a través de estática rutas para desplegar la redundancia. Los requisitos son los
siguientes:
l Se despliegue un mecanismo de detección para las rutas estáticas para que las rutas
estáticas puedan detectar fallas en los enlaces y el tráfico pueda pasar de un enlace
defectuoso para evitar interrupciones prolongadas del servicio.
l En casos normales, el tráfico se transmite a lo largo del enlace principal SwitchB-
>SwitchD.
l Si se produce un error en el enlace primario, el tráfico cambia al enlace de copia de
seguridad SwitchC->SwitchD.
NOTA
Figura 8-4 NQA para rutas estáticas IPv4
Red IP
SwitchA
VLANIF30 VLANIF40
GE1/0/1 GE1/0/2
VLANIF30 VLANIF40
SwitchB GE1/0/1 GE1/0/1 SwitchC
VLANIF10 VLANIF20
VL 0
GE1/0/3 F6 GE1/0/3
AN
ANI 0/2
GE IF5 VL E1 /
1/0 0 G
/2
VLANIF10 0 VL VLANIF20
F6 AN
GE1/0/1 A NI 0/2 GE IF5 GE1/0/1
VL E1/ ...... 1/0 0
G /2
VLANIF70 VLANIF80
GE1/0/4
G
GE1/0/4
0/
E1
/
E1
/
SwitchD
0/
SwitchE
G
3
...... ......
Client1 Client10 Client91 Client100

Nombre del dispositivo Interfaz Dirección IP
VLANIF 30 192.168.3.1/24
SwitchA
VLANIF 40 192.168.4.1/24
VLANIF 30 192.168.3.2/24
SwitchB VLANIF 50 192.168.5.1/24
VLANIF 10 192.168.1.1/24
VLANIF 40 192.168.4.2/24
SwitchC VLANIF 60 192.168.6.1/24
VLANIF 20 192.168.2.1/24
VLANIF 10 192.168.1.2/24
SwitchD VLANIF 60 192.168.6.2/24
VLANIF 70 192.168.7.1/24
VLANIF 20 192.168.2.2/24
SwitchE VLANIF 50 192.168.5.2/24
VLANIF 80 192.168.8.1/24

1. Crea una instancia de prueba NQA del Protocolo de mensajes de control de Internet
(ICMP) para supervisar el estado del enlace principal.
Crea una instancia de prueba ICMP NQA en el cliente NQA SwitchB para comprobar si
el enlace principal SwitchB->Switch se está ejecutando correctamente.
2. Configure rutas estáticas y asocie las rutas estáticas con la instancia de prueba NQA.
Configure las rutas estáticas en los switches de agregación SwitchB y SwitchC, y asocie
la estática ruta configurada en SwitchB con la instancia de prueba ICMP NQA. Cuando
la instancia de prueba ICMP NQA detecta un error de enlace, instruye al módulo de
gestión de enrutamiento para eliminar la ruta estática asociada de la tabla de
enrutamiento IPv4.
3. Configure un protocolo de enrutamiento dinámico.
Configure un protocolo de enrutamiento dinámico en los switches de agregación
SwitchA, SwitchB, y SwitchC para que puedan aprenderse rutas entre sí.
4. Configure el protocolo de enrutamiento dinámico para importar rutas estáticas y
establezca un mayor costo para la ruta estática utilizada para el enlace de copia de
seguridad que para la ruta estática utilizada para el enlace principal a mejorar la
confiabilidad del enlace.
Configure el protocolo de enrutamiento dinámico en los switches de agregación SwitchB
y SwitchC para importar estática rutas, y establezca un costo mayor para la ruta estática

importada por SwitchC que para la ruta estática importada por SwitchB. Esta
configuración permite que SwitchA seleccione preferentemente el enlace SwitchB-
>SwitchD con un costo menor.
Procedimiento
Paso 1 Configure las VLAN a las que pertenece cada interfaz.
# Configure SwitchA. Aseguran de que las configuraciones de SwitchB, SwitchC, SwitchD, y

SwitchE son los mismos que la configuración de SwitchA.
# Configure SwitchA. Aseguran de que las configuraciones de SwitchB, SwitchC, SwitchD, y

SwitchE son los mismos que la configuración de SwitchA.
Paso 3 Crea una instancia de prueba NQA en SwitchB para probar el enlace entre SwitchB y
SwitchD.
[SwitchB] nqa test-instance user test //Cree la instancia de prueba NQA con el
nombre de administrador user y nombre de instancia test.
[SwitchB-nqa-user-test] test-type icmp //Establezca el tipo de prueba de la
instancia de prueba NQA en ICMP.
[SwitchB-nqa-user-test] destination-address ipv4 192.168.1.2 //Configure la
dirección de destino de la instancia de prueba NQA en 192.168.1.2.
[SwitchB-nqa-user-test] frequency 20 //Establezca el intervalo de instancias de
prueba NQA periódicas en 20 segundos.
[SwitchB-nqa-user-test] probe-count 2 //Establezca el número de sondeos en 2
que se enviarán cada vez en la instancia de prueba NQA.
[SwitchB-nqa-user-test] interval seconds 5 //Establezca el intervalo en el que
los paquetes de sondeo se envían en la instancia de prueba NQA en 5 segundos.
[SwitchB-nqa-user-test] timeout 4 //Establezca el período de tiempo de espera
de un sondeo en la instancia de prueba NQA en 4 segundos.
[SwitchB-nqa-user-test] start now
[SwitchB-nqa-user-test] quit
Paso 4 Configure las rutas estáticas de IPv4.
# Configure una ruta estática IPv4 en SwitchB y asóciela con la instancia de prueba NQA.
[SwitchB] ip route-static 192.168.7.0 255.255.255.0 Vlanif 10 192.168.1.2 track
nqa user test
# Configurar una ruta estática de IPv4 en SwitchC.

[SwitchC] ip route-static 192.168.7.0 255.255.255.0 Vlanif 60 192.168.6.2

Paso 5 Configure un protocolo de enrutamiento dinámico en SwitchA, SwitchB y SwitchC. OSPF se

usa en este ejemplo.
# Configure OSPF en SwitchA.
[SwitchA] ospf 1 router-id 10.1.1.1
[SwitchA-ospf-1] area 0.0.0.0
# Configure OSPF en SwitchB.

[SwitchB] ospf 1 router-id 10.2.2.2
[SwitchB-ospf-1] area 0.0.0.0
[SwitchB-ospf-1-area-0.0.0.0] network 192.168.3.0 0.0.0.255
[SwitchB-ospf-1-area-0.0.0.0] quit
[SwitchB-ospf-1] quit
# Configure OSPF en SwitchC.

[SwitchC] ospf 1 router-id 10.3.3.3
[SwitchC-ospf-1] area 0.0.0.0
[SwitchC-ospf-1-area-0.0.0.0] network 192.168.4.0 0.0.0.255
[SwitchC-ospf-1-area-0.0.0.0] quit
[SwitchC-ospf-1] quit
Paso 6 Configure OSPF en SwitchB y SwitchC para importar rutas estáticas.

# Configure OSPF en SwitchB para importar una ruta estática y establezca el costo en 10 para
la ruta estática.
[SwitchB] ospf 1
[SwitchB-ospf-1] import-route static cost 10
# Configure OSPF en SwitchC para importar una ruta estática y establezca el costo en 20 para
la ruta estática.
[SwitchC] ospf 1
[SwitchC-ospf-1] import-route static cost 20

Una vez completada la configuración, ejecute el comando display current-configuration |
include nqa en el switch de agregación Switch B en la vista del sistema. El resultado del
comando muestra que la ruta estática IPv4 se ha asociado con la instancia de prueba NQA.
Ejecute el comando display nqa results. El resultado del comando muestra que se ha creado
una instancia de prueba NQA.
# Compruebe configuraciones de NQA para rutas estáticas IPv4.
[SwitchB] display current-configuration | include nqa
ip route-static 192.168.7.0 255.255.255.0 Vlanif10 192.168.1.2 track nqa user test
nqa test-instance user test
# Compruebe los resultados de la prueba NQA.

[SwitchB] display nqa results test-instance user test
NQA entry(user, test) :testflag is active ,testtype is icmp

1 . Test 288 result The test is finished
Send operation times: 2 Receive response times: 2
Completion:success RTD OverThresholds number: 0
Attempts number:1 Drop operation number:0

Disconnect operation number:0 Operation timeout number:0

System busy operation number:0 Connection fail number:0
Operation sequence errors number:0 RTT Status errors number:0
Destination ip address:192.168.1.2
Min/Max/Average Completion Time: 3/4/3
Sum/Square-Sum Completion Time: 7/25
Last Good Probe Time: 2014-09-09 09:55:38.2
Lost packet ratio: 0 %
El resultado del comando muestra "Lost packet ratio: 0 % ", lo que indica que el enlace se está
ejecutando correctamente.
# Compruebe la tabla de enrutamiento IP en SwitchB.
[SwitchB] display ip routing-table
------------------------------------------------------------------------------

192.168.1.0/24 Direct 0 0 D 192.168.1.1 Vlanif10
192.168.1.1/32 Direct 0 0 D 127.0.0.1 Vlanif10
192.168.3.0/24 Direct 0 0 D 192.168.3.2 Vlanif30
192.168.3.2/32 Direct 0 0 D 127.0.0.1 Vlanif30
192.168.4.0/24 OSPF 10 2 D 192.168.3.1 Vlanif30
192.168.5.0/24 Direct 0 0 D 192.168.5.1 Vlanif50
192.168.5.1/32 Direct 0 0 D 127.0.0.1 Vlanif50
192.168.7.0/24 Static 60 0 D 192.168.1.2 Vlanif10
# Compruebe la tabla de enrutamiento IP en el switch de agregación SwitchA.

------------------------------------------------------------------------------

192.168.3.0/24 Direct 0 0 D 192.168.3.1 Vlanif30
192.168.3.1/32 Direct 0 0 D 127.0.0.1 Vlanif30
192.168.4.0/24 Direct 0 0 D 192.168.4.1 Vlanif40
192.168.4.1/32 Direct 0 0 D 127.0.0.1 Vlanif40
192.168.7.0/24 O_ASE 150 10 D 192.168.3.2 Vlanif30
El resultado del comando muestra que existe una ruta a 192.168.7.0/24 en la tabla de
enrutamiento. La dirección del siguiente salto de la ruta es 192.168.3.2 y el costo es 10. El
tráfico se transmite preferentemente a lo largo del enlace SwitchB->SwitchD.
# Apague GigabitEthernet1/0/3 on SwitchB para simular un error de enlace.
[SwitchB] interface GigabitEthernet1/0/3
[SwitchB-GigabitEthernet1/0/3] shutdown
# Compruebe los resultados de la prueba NQA.

[SwitchB] display nqa results test-instance user test
NQA entry(user, test) :testflag is active ,testtype is icmp

1 . Test 309 result The test is finished
Send operation times: 2 Receive response times: 0
Completion:failed RTD OverThresholds number: 0

Attempts number:1 Drop operation number:2

Disconnect operation number:0 Operation timeout number:0
System busy operation number:0 Connection fail number:0
Operation sequence errors number:0 RTT Status errors number:0
Destination ip address:192.168.1.2
Min/Max/Average Completion Time: 0/0/0
Sum/Square-Sum Completion Time: 0/0
Last Good Probe Time: 0000-00-00 00:00:00.0
Lost packet ratio: 100 %
El resultado del comando muestra "Completion: failed" y "Lost packet ratio: 100 % ", lo que
indica que el enlace se está ejecutando defectuosamente.
# Compruebe la tabla de enrutamiento IP en SwitchB.
------------------------------------------------------------------------------

192.168.3.0/24 Direct 0 0 D 192.168.3.2 Vlanif30
192.168.3.2/32 Direct 0 0 D 127.0.0.1 Vlanif30
192.168.4.0/24 OSPF 10 2 D 192.168.3.1 Vlanif30
192.168.5.0/24 Direct 0 0 D 192.168.5.1 Vlanif50
192.168.5.1/32 Direct 0 0 D 127.0.0.1 Vlanif50
192.168.7.0/24 O_ASE 150 20 D 192.168.3.1 Vlanif30
El resultado del comando muestra que la ruta estática ha sido eliminada.

------------------------------------------------------------------------------

192.168.3.0/24 Direct 0 0 D 192.168.3.1 Vlanif30
192.168.3.1/32 Direct 0 0 D 127.0.0.1 Vlanif30
192.168.4.0/24 Direct 0 0 D 192.168.4.1 Vlanif40
192.168.4.1/32 Direct 0 0 D 127.0.0.1 Vlanif40
192.168.7.0/24 O_ASE 150 20 D 192.168.4.2 Vlanif40
La ruta estática se ha asociado con la instancia de prueba NQA en SwitchB. Si NQA detecta
un error de enlace, notifica rápidamente SwitchB que la ruta estática asociada no está
disponible. SwitchA no puede aprender la ruta a 192.168.7.0/24 desdeSwitchB. Sin embargo,
SwitchA puede aprender la ruta a 192.168.7.0/24 desde SwitchC. La dirección del próximo
salto de la ruta es 192.168.4.2 y el costo es 20. El tráfico cambia al enlace SwitchC-
>SwitchD.
----Fin
#
sysname SwitchA

#
vlan batch 30 40
#
interface Vlanif30
ip address 192.168.3.1 255.255.255.0
#
interface Vlanif40
ip address 192.168.4.1 255.255.255.0
#
#
#
ospf 1 router-id 10.1.1.1
area 0.0.0.0
network 192.168.3.0 0.0.0.255
network 192.168.4.0 0.0.0.255
#
return

#
sysname SwitchB
#
vlan batch 10 30 50
#
interface Vlanif10
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif30
ip address 192.168.3.2 255.255.255.0
#
interface Vlanif50
ip address 192.168.5.1 255.255.255.0
#
#
#
#
import-route static cost 10
area 0.0.0.0
network 192.168.3.0 0.0.0.255
#
ip route-static 192.168.7.0 255.255.255.0 Vlanif10 192.168.1.2 track nqa user
test
#
nqa test-instance user test
test-type icmp
destination-address ipv4 192.168.1.2
frequency 20
interval seconds 5
timeout 4
probe-count 2
start now
#
return


#
sysname SwitchC
#
vlan batch 20 40 60
#
interface Vlanif20
ip address 192.168.2.1 255.255.255.0
#
interface Vlanif40
ip address 192.168.4.2 255.255.255.0
#
interface Vlanif60
ip address 192.168.6.1 255.255.255.0
#
#
#
#
import-route static cost 20
area 0.0.0.0
network 192.168.4.0 0.0.0.255
#
ip route-static 192.168.7.0 255.255.255.0 Vlanif60 192.168.6.2
#
return

#
sysname SwitchD
#
vlan batch 10 60 70
#
interface Vlanif10
ip address 192.168.1.2 255.255.255.0
#
interface Vlanif60
ip address 192.168.6.2 255.255.255.0
#
interface Vlanif70
ip address 192.168.7.1 255.255.255.0
#
#
#
#
return
l El archivo de configuración SwitchE

#
sysname SwitchE
#

vlan batch 20 50 80
#
interface Vlanif20
ip address 192.168.2.2 255.255.255.0
#
interface Vlanif50
ip address 192.168.5.2 255.255.255.0
#
interface Vlanif80
ip address 192.168.8.1 255.255.255.0
#
#
#
#
return
8.1.5 Ejemplo para configurar EFM para rutas estáticas IPv4

Descripción general de EFM para rutas estáticas IPv4
Ethernet en la primera milla (EFM) define las especificaciones de la capa física de Ethernet
para el acceso del usuario y despliegues de la gestión y el mantenimiento de Ethernet. EFM
proporciona operación y Administración de nivel de enlace (OAM), por ejemplo, detección de
conectividad de enlace, monitoreo de falla de enlace, notificación remota de fallas y funciones
de loopback remoto en un enlace entre dos dispositivos conectados directamente.
Las rutas estáticas son fáciles de configurar y, por lo tanto, se usan ampliamente en redes con
estructuras simples. A diferencia de los protocolos de enrutamiento dinámico, las rutas
estáticas no tienen un mecanismo de detección dedicado. Si se produce un error, las rutas
estáticas no pueden detectar el error, y el administrador de la red debe eliminar la ruta estática
correspondiente. Esto retrasa la conmutación del enlace y puede causar interrupciones de
servicio prolongadas. Las redes IP se utilizan con más frecuencia para transportar múltiples
servicios, como servicios de voz y video. Estos servicios presentan altos requisitos de
confiabilidad de la red, detección y procesamiento rápidos de fallas. EFM para rutas estáticas
IPv4 se puede configurar para proporcionar el mecanismo de detección de rutas estáticas para
que puedan detectar los cambios en la calidad del enlace en tiempo real y conmutar los
servicios de inmediato.
l Por defecto, EFM está desactivado en global y en las interfaces.
l Después de habilitar EFM OAM en una interfaz, la interfaz comienza a enviar PDU
OAM para realizar la detección de enlace EFM punto a punto. La detección de enlace
EFM se puede implementar entre dos interfaces solo después de habilitar EFM OAM en
la interfaz de igual.
Requisitos de redes
Como se muestra en Figura 8-5, SwitchA se conecta al NMS en un segmento de red a través
de SwitchB. SwitchA y SwitchB necesita detectar la calidad del enlace en tiempo real.

Cuando el enlace entre ellos se vuelve defectuoso, la ruta estática correspondiente se elimina
de la tabla de enrutamiento IP. Luego, el tráfico cambia del enlace defectuoso a una ruta
normal para mejorar la confiabilidad de la red.
Figura 8-5 Redes para configurar EFM para una ruta estática IPv4
GE1/0/1 GE1/0/2
VLANIF10 VLANIF20
192.168.1.1/24 192.168.2.2/24
GE1/0/1 192.168.2.1/24
SwitchA VLANIF10 SwitchB NMS
192.168.1.2/24

1. Habilite EFM OAM globalmente y en interfaces de SwitchA y SwitchB para
implementar detección de calidad de enlace en tiempo real.
2. Configure una ruta estática desde SwitchA hasta el NMS y conéctelo al estado de EFM
para asociar la ruta estática con EFM. Cuando un enlace donde reside la ruta estática se
convierte en defectuoso, el tráfico cambia a una ruta sin fallas de enlace.
Procedimiento
Paso 1 Especifique la VLAN a la que pertenecen las interfaces.
# Configure SwitchA. Las configuraciones de SwitchB es similar.
[SwitchA] vlan 10

# Configure SwitchA. Las configuraciones de SwitchB es similar.
Paso 3 Configure una sesión de EFM entre SwitchA y SwitchB.

# Habilite EFM OAM en SwitchA.
[SwitchA] efm enable //Habilite EFM globalmente.
[SwitchA-GigabitEthernet1/0/1] efm enable //Habilite EFM en una interfaz.
# Habilite EFM OAM en SwitchB.

[SwitchB] efm enable //Habilite EFM globalmente

[SwitchB-GigabitEthernet1/0/1] efm enable //Habilite EFM en una interfaz.

Paso 4 Configure una ruta estática y vincúlela al estado EFM.

# Configure una ruta estática desde SwitchA a la red externa y vincúlela al estado EFM de
GigabitEthernet1/0/1.
[SwitchA] ip route-static 192.168.2.0 24 192.168.1.2 track efm-state
gigabitethernet1/0/1

# Una vez completada la configuración, ejecute el comando display efm session all en
SwitchA y SwitchB. El resultado del comando muestra que se ha configurado una sesión de
EFM y está en el modo detect. Es decir, la interfaz está en estado de apretón de manos. Lo
siguiente se usa mostrado en SwitchA como un ejemplo.
[SwitchA] display efm session all
Interface EFM State Loopback Timeout
----------------------------------------------------------------------
GigabitEthernet1/0/1 detect --
# Compruebe la tabla de enrutamiento IP en SwitchA. La tabla de enrutamiento IP contiene la

ruta estática.
------------------------------------------------------------------------------

192.168.1.0/24 Direct 0 0 D 192.168.1.1 Vlanif10
192.168.1.1/32 Direct 0 0 D 127.0.0.1 Vlanif10
192.168.2.0/24 Static 60 0 RD 192.168.1.2 Vlanif10
# Ejecute el comando undo efm enable en la vista de GigabitEthernet1/0/1 en SwitchB para

simular un error de enlace.
[SwitchB-GigabitEthernet1/0/1] undo efm enable
# Ejecute el comando display efm session all en SwitchA. El resultado del comando muestra
que el estado del protocolo EFM OAM es discovery, que indica que la interfaz está en estado
de descubrimiento de OAM.
----------------------------------------------------------------------
GigabitEthernet1/0/1 discovery --
# Compruebe la tabla de enrutamiento IP en SwitchA. La tabla de enrutamiento IP no

contiene la ruta estática 192.168.2.0/24. Esto se debe a que la ruta estática es vinculado al
estado EFM. Después de que EFM OAM detecta un error de enlace, notifica rápidamente a
SwitchA que la ruta estática no está disponible.
------------------------------------------------------------------------------


192.168.1.0/24 Direct 0 0 D 192.168.1.1 Vlanif10
192.168.1.1/32 Direct 0 0 D 127.0.0.1 Vlanif10
# Ejecute el comando efm enable en la vista de GigabitEthernet1/0/1 en SwitchB para

simular una recuperación de enlace.
[SwitchB-GigabitEthernet1/0/1]efm enable
# Ejecute el comando display efm session all en SwitchA. El resultado del comando muestra
que el estado del protocolo EFM OAM es detect, lo que indica que la interfaz está en el
estado de apretón de manos de nuevo.
----------------------------------------------------------------------
GigabitEthernet1/0/1 detect --
# Compruebe la tabla de enrutamiento IP en SwitchA. La tabla de enrutamiento IP contiene la

ruta estática 192.168.2.0/24 nuevamente. Después de que EFM OAM detecta que el enlace se
recupera de una falla, notifica rápidamente que la ruta estática enlazada es válida nuevamente.
------------------------------------------------------------------------------

192.168.1.0/24 Direct 0 0 D 192.168.1.1 Vlanif10
192.168.1.1/32 Direct 0 0 D 127.0.0.1 Vlanif10
192.168.2.0/24 Static 60 0 RD 192.168.1.2 Vlanif10
----Fin
#
sysname SwitchA
#
vlan batch 10
#
efm enable
#
interface Vlanif10
ip address 192.168.1.1 255.255.255.0
#
efm enable
#
ip route-static 192.168.2.0 255.255.255.0 192.168.1.2 track efm-state
#
return

#
sysname SwitchB

#
vlan batch 10 20
#
efm enable
#
interface Vlanif10
ip address 192.168.1.2 255.255.255.0
#
interface Vlanif20
ip address 192.168.2.2 255.255.255.0
#
efm enable
#
#
return
8.2 Configuración típica de OSPF

8.2.1 Ejemplo para configurar funciones básicas de OSPF
Descripción general de OSPF
El Abrir la ruta más corta primero (OSPF) es un protocolo de gateway interior (IGP) de
estado de enlace desarrollado por el Grupo de trabajo de ingeniería de Internet (IETF). La
versión 2 de OSPF está definida en RFC 2328, que se usa en IPv4.
OSPF está libre de bucles, proporciona una rápida convergencia de ruta y admite partición de
area, rutas de igual costo, autenticación y transmisión de multidifusión. Por lo tanto, OSPF es
ampliamente utilizado como el principal IGP en diversas industrias, incluidas la empresa, el
operador, el gobierno, las finanzas, la educación y la industria del cuidado de la salud.
OSPF utiliza el diseño jerárquico, proporciona varias políticas de enrutamiento y se aplica en
redes de diferentes tamaños y topologías. OSPF suele ser la primera opción para desplegar un
IGP.
l Cada ID de router en un proceso de OSPF debe ser exclusivo en una red de OSPF. De lo
contrario, la relación de vecinos de OSPF no se puede establecer y la información de
enrutamiento es incorrecta. Se le recomienda configurar un ID de router exclusivo para
cada proceso de OSPF en un dispositivo de OSPF.
l OSPF divide un AS en diferentes áreas, entre las cuales la area 0 es la troncal. OSPF
requiere que todas las áreas que no son troncales mantengan la conectividad con el área
troncal y los dispositivos en la área troncal mantengan la conectividad entre sí.
l Los tipos de red de interfaces en ambos extremos de un enlace deben ser iguales; de lo
contrario, las dos interfaces no pueden establecer una relación de vecino OSPF. En un
enlace, si el tipo de red de una interfaz OSPF es difusión y el otro es P2P, las dos
interfaces OSPF aún pueden establecer una relación de vecino OSPF pero no pueden
aprender la información de enrutamiento entre sí.
l Las máscaras de direcciones IP de las interfaces OSPF en ambos extremos de un enlace
deben ser las mismas; de lo contrario, las dos interfaces OSPF no pueden establecer una

relación de vecino OSPF. Sin embargo, en una red P2MP, puede ejecutar el comando
ospf p2mp-mask-ignore para deshabilitar que un dispositivo verifique la máscara de
red, de modo que se pueda establecer una relación de vecino OSPF.
l En una red de difusión o NBMA, se debe haber al menos una interfaz OSPF cuya
prioridad de DR no sea 0 para garantizar que se pueda elegir el DR. De lo contrario, el
estado vecino de los dispositivos en ambos extremos solo puede ser 2-Way.
configuración.

cto del
Producto
S2300 S2320EI V200R011C10, V200R012C00
S3300 S3300EI V100R006C05
S3300HI V200R001C00
S5300 S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00, V200R005(C00&C02)
S5300HI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320SI V200R008(C00&C10), V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5330SI V200R011C10, V200R012C00
S5320LI V200R010C00, V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320SI V200R011C10, V200R012C00
S6320HI V200R012C00
S9300 S9303, V200R001C00, V200R002C00, V200R003C00,

S9306 y V200R005C00SPC300, V200R006C00, V200R007C00,
S9312 V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00


cto del
Producto
S9300 S9310 V200R010C00, V200R011C10, V200R012C00
S9300 S9310X V200R010C00, V200R011C10, V200R012C00

X
S9300E S9303E, V200R001C00, V200R002C00, V200R003C00,

S9312E V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Requisitos de redes
Como se muestra en Figura 8-6, SwitchA, SwitchB, ySwitchC que residen en la red de OSPF.
Los tres switches deben comunicarse entre sí, y SwitchA y SwitchB funcionan como switches
centrales para admitir la expansión de la red.
Figura 8-6 Diagrama de redes para configurar funciones básicas de OSPF

Area1 SwitchA Area0
192.168.1.1/24 192.168.0.1/24
SwitchC VLANIF20 VLANIF10 SwitchB
GE1/0/2 GE1/0/1
GE1/0/1 GE1/0/1
VLANIF20 VLANIF10
192.168.1.2/24 192.168.0.2/24

1. Configure una dirección IP para cada interfaz VLANIF en cada switch y especifique la
VLAN a la que pertenecen las interfaces para desplegar la mutua compatibilidad.
2. Configure funciones básicas de OSPF en cada switch y divide la red OSPF en la area 0 y
area 1 con SwitchA como router de borde de área (ABR). En consecuencia, el área
donde residen SwitchA y SwitchB se convierte en el área troncal y se puede usar para
expandir la red OSPF.
Procedimiento


Paso 3 Configurar funciones básicas de OSPF.

[SwitchA] ospf 1 router-id 10.1.1.1 //Cree un proceso OSPF 1 con el ID del
router 10.1.1.1.
[SwitchA-ospf-1] area 0 //Cree el area 0 e ingrese a la vista del area 0.
[SwitchA-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255 //Configure un
segmento de red en el area 0.
[SwitchA-ospf-1] area 1 //Cree el area 1 e ingrese a la vista del area 1.
[SwitchA-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255 //Configure un
segmento de red en el area 1.
[SwitchA-ospf-1-area-0.0.0.1] return
[SwitchB-ospf-1] area 0
[SwitchB-ospf-1-area-0.0.0.0] return
[SwitchC-ospf-1] area 1
[SwitchC-ospf-1-area-0.0.0.1] return

# Comprobar la información sobre los vecinos de OSPF de SwitchA.
<SwitchA> display ospf peer
OSPF Process 1 with Router ID 10.1.1.1

Neighbors
Area 0.0.0.0 interface 192.168.0.1(Vlanif10)'s neighbors

Router ID: 10.2.2.2 Address: 192.168.0.2
State: Full Mode:Nbr is Master Priority: 1
DR: 192.168.0.2 BDR: 192.168.0.1 MTU: 0
Dead timer due in 36 sec
Retrans timer interval: 5
Neighbor is up for 00:15:04
Authentication Sequence: [ 0 ]

Neighbors

DR: 192.168.1.2 BDR: 192.168.1.1 MTU: 0
# Comprobar la información de enrutamiento de OSPF en SwitchC.

<SwitchC> display ospf routing

Routing Tables
Routing for Network

Destination Cost Type NextHop AdvRouter Area
192.168.1.0/24 1 Transit 192.168.1.2 10.3.3.3 0.0.0.1
192.168.0.0/24 2 Inter-area 192.168.1.1 10.1.1.1 0.0.0.1
Total Nets: 2
Intra Area: 1 Inter Area: 1 ASE: 0 NSSA: 0
La salida del comando anterior muestra que SwitchC tiene una ruta a 192.168.0.0/24 y ella es
una ruta entre áreas.
# Compruebe la tabla de enrutamiento en SwitchB y realice la operación de ping para probar

la conectividad entre SwitchB y SwitchC.
<SwitchB> display ospf routing

Routing Tables
Routing for Network

192.168.0.0/24 1 Transit 192.168.0.2 10.2.2.2 0.0.0.0
192.168.1.0/24 2 Inter-area 192.168.0.1 10.1.1.1 0.0.0.0
Total Nets: 2
La salida del comando anterior muestra que SwitchB tiene una ruta a 192.168.1.0/24 y ella es
una ruta entre áreas.
# En SwitchB, realice una operación de ping para probar la conectividad entre SwitchB y
SwitchC.
<SwitchB> ping 192.168.1.2

0.00% packet loss
----Fin

#
sysname SwitchA
#
vlan batch 10 20
#
interface Vlanif10
ip address 192.168.0.1 255.255.255.0
#
interface Vlanif20
ip address 192.168.1.1 255.255.255.0
#
#
#
area 0.0.0.0
network 192.168.0.0 0.0.0.255
area 0.0.0.1
network 192.168.1.0 0.0.0.255
#
return

#
sysname SwitchB
#
vlan batch 10
#
interface Vlanif10
ip address 192.168.0.2 255.255.255.0
#
#
area 0.0.0.0
network 192.168.0.0 0.0.0.255
#
return

#
sysname SwitchC
#
vlan batch 20
#
interface Vlanif20
ip address 192.168.1.2 255.255.255.0
#
#
area 0.0.0.1
network 192.168.1.0 0.0.0.255
#
return

8.2.2 Ejemplo para configurar una área de stub de OSPF
Descripción general del área de Stub

Una área de stub es una área que no permite que un ABR anuncie las rutas externas recibidas
de AS. En una área de stub, el tamaño de la tabla de enrutamiento y el volumen de
información de enrutamiento transmitido de los routers se reducen considerablemente. Una
área de stub generalmente se coloca en el borde de un AS. Para garantizar la accesibilidad de
un destino fuera del AS, el ABR en el área de stub genera una ruta predeterminada y la
anuncia a los routers que no son ABR en el área de stub.
Supongan que un dispositivo de la Compañía H se conecta al área troncal a través de un único

enlace. El dispositivo tiene bajo rendimiento y una pequeña tabla de enrutamiento. El área
donde reside el dispositivo debe acceder a otras áreas o segmentos de red fuera del área OSPF,
y la dirección de siguiente salto de las rutas del dispositivo es la dirección IP del dispositivo
central del siguiente salto del enlace. Por lo tanto, El área donde reside el dispositivo no debe
aprender una gran cantidad de rutas externas de OSPF y se puede configurar como una área
de stub. Esta configuración puede reducir el tamaño de la tabla de enrutamiento del área y el
consumo de recursos del dispositivo.
l El área troncal no se puede configurar como una área de stub.
l Un ASBR no puede existir en un área de stub. Es decir, las rutas externas no se anuncian
en un área de stub.
l Un enlace virtual no puede pasar a través de una área de stub.
l Para configurar una área como una área de stub, configure los atributos de área de stub
en todos los routers en esta área usando el comando stub.
l Para configurar un área como un área de stub totalmente, ejecute el comando stub en
todos los routers en esta área y ejecute el comando stub no-summary en el ABR en esta
área.
l El comando stub no-summary solo se puede configurar en un ABR para evitar que el
ABR publique LSA de tipo 3 dentro de un área de stub. Después de configurar este
comando en el ABR, el área se convierte en un área de stub totalmente, se reduce el
número de entradas de enrutamiento en los routers en el área, y solo hay rutas dentro del
área y una ruta predeterminada anunciada por el ABR.
configuración.

cto del
Producto
S2300 S2320EI V200R011C10, V200R012C00
S3300 S3300EI V100R006C05
S3300HI V200R001C00


cto del
Producto
S5300 S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00, V200R005(C00&C02)
S5300HI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320SI V200R008(C00&C10), V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5330SI V200R011C10, V200R012C00
S5320LI V200R010C00, V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320SI V200R011C10, V200R012C00
S6320HI V200R012C00
S9300 S9303, V200R001C00, V200R002C00, V200R003C00,

S9306 y V200R005C00SPC300, V200R006C00, V200R007C00,
S9312 V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10, V200R012C00
S9300 S9310X V200R010C00, V200R011C10, V200R012C00

X
S9300E S9303E, V200R001C00, V200R002C00, V200R003C00,

S9312E V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Requisitos de redes
Como se muestra en Figura 8-7, SwitchA, SwitchB, y SwitchC ejecute el OSPF, y la red
OSPF se divide en Área 0 y Área 1.SwitchB funciona como un ASBR para comunicarse con

redes externas. El tamaño de la tabla de enrutamiento de OSPF en SwitchC debe reducirse sin
afectar la comunicación.
Figura 8-7 Diagrama de red para la configuración del área de stub de OSPF
SwitchA
192.168.1.2/24 192.168.0.2/24
VLANIF20 Area1 Area0 VLANIF10 ASBR
GE1/0/1 GE1/0/1
GE1/0/2 GE1/0/1
SwitchC VLANIF20 VLANIF10 SwitchB
192.168.1.1/24 192.168.0.1/24
Stub

1. Configure las funciones básicas de OSPF en cada switchpara desplegar el
interfuncionamiento en la red OSPF.
2. Configure una ruta estática en SwitchB e importe la ruta a la tabla de enrutamiento de
OSPF para asegurarse de que haya una ruta accesible de la red OSPF a redes externas.
3. Configure el Área 1 como un área de stub para reducir el tamaño de la tabla de
enrutamiento de OSPF en SwitchC.
4. Prohíba que el ABR (SwitchA) en el Área 1 anuncie de LSA de Tipo 3 dentro del área de
stub para configurar el Área 1 como un área de stub totalmente. Esta configuración
minimiza el tamaño de la tabla de enrutamiento OSPF en SwitchC.
Procedimiento


Paso 4 Configure SwitchB para importar una ruta estática.

[SwitchB] ip route-static 10.0.0.0 8 null 0
[SwitchB] ospf 1
[SwitchB-ospf-1] import-route static type 1 //SwitchB funciona como ASBR e
importa enrutamientos externos.
# Compruebe la tabla de enrutamiento de OSPF en SwitchC. El resultado del comando

muestra que la tabla de enrutamiento de OSPF contiene una ruta externa de AS.
[SwitchC] display ospf routing

Routing Tables
Routing for Network

192.168.1.0/24 1 Transit 192.168.1.2 10.3.3.3 0.0.0.1
192.168.0.0/24 2 Inter-area 192.168.1.1 10.1.1.1 0.0.0.1
Routing for ASEs

Destination Cost Type Tag NextHop AdvRouter
10.0.0.0/8 3 Type1 1 192.168.1.1 10.2.2.2
Total Nets: 3
Paso 5 Configure el Área 1 como un área de stub.
[SwitchA] ospf 1
[SwitchA-ospf-1-area-0.0.0.1] stub //Configure el Área 1 como un área de stub.
Todos los routers en el Área 1 deben tener configurado el comando stub.

[SwitchC] ospf 1
[SwitchC-ospf-1-area-0.0.0.1] stub //Configure el Área 1 como un área de stub.
Todos los routers en el Área 1 deben tener configurado el comando stub.

muestra que la tabla de enrutamiento de OSPF no contiene la ruta externa AS 10.0.0.0/8 pero
contiene una ruta predeterminada a redes externas.

Routing Tables
Routing for Network

192.168.1.0/24 1 Transit 192.168.1.2 10.3.3.3 0.0.0.1
0.0.0.0/0 2 Inter-area 192.168.1.1 10.1.1.1 0.0.0.1
192.168.0.0/24 2 Inter-area 192.168.1.1 10.1.1.1 0.0.0.1
Total Nets: 3
Paso 6 Configure el Área 1 como un área de stub totalmente.

[SwitchA] ospf 1
[SwitchA-ospf-1-area-0.0.0.1] stub no-summary //Configure el Área 1 como un
área de stub totalmente. Un ABR en el Área 1 debe tener configurado el comando
stub no-summary, mientras que otros routers en el Área 1 deben tener configurado
el comandostub.

muestra que la tabla de enrutamiento de OSPF contiene solo una ruta de OSPF dentro del área
y una ruta predeterminada a redes externas, pero no contiene la ruta entre áreas
192.168.0.0/24.

Routing Tables
Routing for Network

192.168.1.0/24 1 Transit 192.168.1.2 10.3.3.3 0.0.0.1
0.0.0.0/0 2 Inter-area 192.168.1.1 10.1.1.1 0.0.0.1
Total Nets: 2
----Fin
#
sysname SwitchA
#
vlan batch 10 20
#
interface Vlanif10

ip address 192.168.0.1 255.255.255.0

#
interface Vlanif20
ip address 192.168.1.1 255.255.255.0
#
#
#
area 0.0.0.0
network 192.168.0.0 0.0.0.255
area 0.0.0.1
network 192.168.1.0 0.0.0.255
stub no-summary
#
return

#
sysname SwitchB
#
vlan batch 10
#
interface Vlanif10
ip address 192.168.0.2 255.255.255.0
#
#
import-route static type 1
area 0.0.0.0
network 192.168.0.0 0.0.0.255
#
ip route-static 10.0.0.0 255.0.0.0 NULL0
#
return

#
sysname SwitchC
#
vlan batch 20
#
interface Vlanif20
ip address 192.168.1.2 255.255.255.0
#
#
area 0.0.0.1
network 192.168.1.0 0.0.0.255
stub
#
return

8.2.3 Ejemplo para configurar una NSSA de OSPF
Descripción general de la NSSA

Una NSSA es un tipo especial de área OSPF. Es similar a un área de stub en el sentido de que
ninguno de ellos transmite rutas aprendidas de otras áreas en el AS que residen. La diferencia
es que una NSSA permite que las rutas externas de AS se importen y anuncien en todo el AS,
mientras que un área de stub no lo hace. Para garantizar la accesibilidad de las rutas externas
de AS, el ABR en una NSSA genera una ruta predeterminada y anuncia la ruta a los otros
routers en la NSSA.
Una NSSA permite que se anuncien LSA de Tipo 7 (LSA externas de NSSA). Las LSA de
Tipo 7 son generadas por ASBR de la NSSA. Al alcanzar el ABR de NSSA, estos LSA se
pueden traducir en LSA de tipo 5 (LSA externas de AS) y publicitarse en otras áreas.
Supongan que un dispositivo de la Compañía H se conecta al área troncal a través de un único

enlace. El dispositivo tiene bajo rendimiento y una pequeña tabla de enrutamiento. La
compañía desea configurar el área donde reside el dispositivo como un área de stub para
reducir el tamaño de la tabla de enrutamiento y el consumo de recursos del sistema del
dispositivo. Además, las rutas externas de AS deben importarse y publicitarse a todo el AS.
Sin embargo, un área de stub no puede cumplir este requisito porque no permite que se
anuncien rutas externas recibidas de AS. Por lo tanto, el área debe configurarse como una
NSSA.
l El área troncal no se puede configurar como una NSSA.
l Para configurar un área como una NSSA, configure los atributos de NSSA en todos los
routers en esta área.
l Un enlace virtual no puede pasar a través de una NSSA.
l Para reducir el número de LSA que se transmiten a NSSA, configure no-summary en un
ABR. Esto evita que el ABR transmita LSA de Tipo 3 a la NSSA, lo que hace que el área
sea totalmente NSSA.
configuración.

cto del
Producto
S2300 S2320EI V200R011C10, V200R012C00
S3300 S3300EI V100R006C05
S3300HI V200R001C00
S5300 S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00, V200R005(C00&C02)


cto del
Producto
S5300HI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320SI V200R008(C00&C10), V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5330SI V200R011C10, V200R012C00
S5320LI V200R010C00, V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320SI V200R011C10, V200R012C00
S6320HI V200R012C00
S9300 S9303, V200R001C00, V200R002C00, V200R003C00,

S9306 y V200R005C00SPC300, V200R006C00, V200R007C00,
S9312 V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10, V200R012C00
S9300 S9310X V200R010C00, V200R011C10, V200R012C00

X
S9300E S9303E, V200R001C00, V200R002C00, V200R003C00,

S9312E V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Requisitos de redes
Como se muestra que en Figura 8-8, SwitchA, SwitchB, SwitchC, y SwitchD ejecutan OSPF
y la red OSPF está dividida en Area 0 y Area 1. Los dispositivos en el Area 1 deben prohibir
recibir rutas externas importadas de otras áreas y comunicarse con redes externas utilizando
las rutas externas importadas por ASBR en el Area 1. SwitchB transmite muchos servicios,

por eso SwitchA debe traducir LSA de Tipo 7 a LSA de Tipo 5 y enviar las LSA a otras áreas
OSPF.
NOTA
Figura 8-8 Diagrama de redes para la configuración de OSPF NSSA

Area1 Area0
192.168.3.1/24 SwitchA 192.168.1.1/24
192.168.3.2/24 VLANIF30 VLANIF10 192.168.1.2/24
VLANIF30 GE1/0/1 GE1/0/2 VLANIF10
GE1/0/1 GE1/0/1
192.168.4.2/24 192.168.2.1/24
VLANIF40 VLANIF20
SwitchD GE1/0/2 GE1/0/1 GE1/0/2 GE1/0/2 SwitchC
ASBR VLANIF40 VLANIF20
192.168.4.1/24 192.168.2.2/24
NSSA SwitchB

1. Configure las funciones básicas de OSPF en cada switch a desplegar el

interfuncionamiento en la red OSPF.
2. Configure el Área 1 como una NSSA, configure una ruta estática en SwitchD y
configure SwitchD para importar la ruta estática en la tabla de enrutamiento de OSPF, de
modo que los switches en el Área 1 puedan comunicarse con redes externas solo a través
de SwitchD.
3. Configure SwitchA como un traductor LSA para traducir las LSA de tipo 7 en LSA de
tipo 5 y envíe las LSA a otras áreas de OSPF.
Procedimiento




[SwitchD] ospf 1 router-id 10.4.4.4
[SwitchD-ospf-1] area 1
[SwitchD-ospf-1-area-0.0.0.1] network 192.168.3.0 0.0.0.255
[SwitchD-ospf-1-area-0.0.0.1] quit
[SwitchD-ospf-1] quit
Paso 4 Configure el Area 1 como una NSSA.

[SwitchA] ospf 1
[SwitchA-ospf-1-area-0.0.0.1] nssa //Configure el Area 1 como NSSA. Todos los
dispositivos en el Area 1 deben tener el comando nssa configurado.
[SwitchB] ospf 1
[SwitchB-ospf-1-area-0.0.0.1] nssa //Configure el Area 1 como NSSA. Todos los

[SwitchD] ospf 1
[SwitchD-ospf-1-area-0.0.0.1] nssa //Configure el Area 1 como NSSA. Todos los
Paso 5 Configurar SwitchD para importar a ruta estática.

[SwitchD] ip route-static 172.16.0.0 16 null 0
[SwitchD] ospf 1
[SwitchD-ospf-1] import-route static //Configure SwitchD para que funcione como
un ASBR de la NSSA para importar enrutamientos externos.
# Compruebe la tabla de enrutamiento de OSPF en SwitchC.


Routing Tables
Routing for Network

192.168.1.0/24 1 Transit 192.168.1.2 10.3.3.3 0.0.0.0
192.168.2.0/24 1 Transit 192.168.2.2 10.3.3.3 0.0.0.0
192.168.3.0/24 2 Inter-area 192.168.1.1 10.1.1.1 0.0.0.0
192.168.4.0/24 2 Inter-area 192.168.2.1 10.2.2.2 0.0.0.0
Routing for ASEs
172.16.0.0/16 1 Type2 1 192.168.1.1 10.2.2.2
Total Nets: 5
El resultado del comando muestra que las rutas externas de AS importadas en la NSSA se
anuncian por SwitchB a otras áreas. Es decir, SwitchB traduce LSA de Tipo 7 a LSA de Tipo
5. Esto se debe a que OSPF selecciona el ABR con un ID de router más grande como un
traductor LSA.
Paso 6 Configure SwitchA como un traductor LSA.
[SwitchA] ospf 1
[SwitchA-ospf-1-area-0.0.0.1] nssa translator-always

# Espere 40 segundos y luego compruebe la tabla de enrutamiento OSPF en SwitchC.

Routing Tables
Routing for Network

192.168.1.0/24 1 Transit 192.168.1.2 10.3.3.3 0.0.0.0
192.168.2.0/24 1 Transit 192.168.2.2 10.3.3.3 0.0.0.0
192.168.3.0/24 2 Inter-area 192.168.1.1 10.1.1.1 0.0.0.0
192.168.4.0/24 2 Inter-area 192.168.2.1 10.2.2.2 0.0.0.0
Routing for ASEs

172.16.0.0/16 1 Type2 1 192.168.1.1 10.1.1.1
Total Nets: 5
El resultado del comando muestra que las rutas externas de AS importadas en la NSSA son
anunciadas por SwitchA a otras áreas. Es decir, SwitchA traduce LSA de tipo 7 a LSA de tipo
5.
NOTA
Por defecto, el nuevo traductor LSA funciona con el traductor LSA anterior para traducir los LSA
durante 40 segundos. Después de 40 segundos, solo el nuevo traductor LSA traduce los LSA.
----Fin
#
sysname SwitchA
#
vlan batch 10 30
#
interface Vlanif10
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif30
ip address 192.168.3.1 255.255.255.0
#
#
#
area 0.0.0.0
network 192.168.1.0 0.0.0.255
area 0.0.0.1
network 192.168.3.0 0.0.0.255
nssa translator-always
#
return

#
sysname SwitchB
#
vlan batch 20 40
#
interface Vlanif20
ip address 192.168.2.1 255.255.255.0
#
interface Vlanif40
ip address 192.168.4.2 255.255.255.0
#
#
#


area 0.0.0.0
network 192.168.2.0 0.0.0.255
area 0.0.0.1
network 192.168.4.0 0.0.0.255
nssa
#
return

#
sysname SwitchC
#
vlan batch 10 20
#
interface Vlanif10
ip address 192.168.1.2 255.255.255.0
#
interface Vlanif20
ip address 192.168.2.2 255.255.255.0
#
#
#
area 0.0.0.0
network 192.168.1.0 0.0.0.255
network 192.168.2.0 0.0.0.255
#
return
l El archivo de configuración de SwitchD

#
sysname SwitchD
#
vlan batch 30 40
#
interface Vlanif30
ip address 192.168.3.2 255.255.255.0
#
interface Vlanif40
ip address 192.168.4.1 255.255.255.0
#
#
#
import-route static
area 0.0.0.1
network 192.168.3.0 0.0.0.255
network 192.168.4.0 0.0.0.255
nssa
#
ip route-static 172.16.0.0 255.255.0.0 NULL0
#
return
8.2.4 Ejemplo para configurar el equilibrio de carga OSPF

Descripción general del equilibrio de carga de OSPF

La Ruta múltiple de igual costo (ECMP) balancea de manera uniforme el tráfico en múltiples
rutas entre cada dos nodos de red. ECMP reduce la carga de tráfico en cada ruta y mejora la
robustez de la red. Si un protocolo de enrutamiento descubre múltiples rutas hacia el mismo
destino y estas rutas tienen el mismo costo, el tráfico puede equilibrarse en la carga entre las
rutas. Cuando se configura el balanceo de carga, el router reenvía paquetes según cinco
factores, a saber, las direcciones de origen, las direcciones de destino, los puertos de origen,
los puertos de destino y los protocolos en los paquetes. Si los cinco factores son los mismos,
el router siempre elige la dirección del siguiente salto que es la misma que la última para
enviar paquetes. Si los cinco factores son diferentes, el router elige la ruta relativamente
inactiva para reenviar paquetes.
En una red OSPF, pueden existir múltiples rutas de igual costo entre dos elementos de red
(NE), mientras que una ruta única lleva todo el tráfico de servicio. Los usuarios requieren que
todo el tráfico del servicio se equilibre en varias rutas para mejorar la confiabilidad de la red y
el uso de los recursos. En este caso, OSPF se puede configurar.
l El número máximo de rutas de igual costo para el equilibrio de carga se puede configurar
utilizando el comando maximum load-balancing.
l Para cancelar el equilibrio de carga, puede establecer el número máximo de rutas de
igual costo en 1.
configuración.

cto del
Producto
S3300 S3300EI V100R006C05
S3300HI V200R001C00
S5300 S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00, V200R005(C00&C02)
S5300HI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320SI V200R008(C00&C10), V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5330SI V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00


cto del
Producto
S6300 S6300EI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320SI V200R011C10, V200R012C00
S6320HI V200R012C00
S9300 S9303, V200R001C00, V200R002C00, V200R003C00,

S9306 y V200R005C00SPC300, V200R006C00, V200R007C00,
S9312 V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10, V200R012C00
S9300 S9310X V200R010C00, V200R011C10, V200R012C00

X
S9300E S9303E, V200R001C00, V200R002C00, V200R003C00,

S9312E V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Requisitos de redes
Como se muestra en Figura 8-9, todos los cuatro switches pertenecen a Area0 en la red
OSPF. El equilibrio de carga debe configurarse para que el tráfico de SwitchA se envíe a
SwitchD a través de SwitchB y SwitchC.
NOTA

Figura 8-9 Diagrama de redes para configurar el equilibrio de carga entre las rutas de OSPF
SwitchB
10.1.1.2/24 192.168.0.1/24
VLANIF10 VLANIF30
GE1/0/1 GE1/0/2
172.16.1.1/24 172.17.1.1/24
GE1/0/3 VLANIF10 VLANIF30 GE1/0/3
10.1.1.1/24 192.168.0.2/24
SwitchA SwitchD
GE1/0/2 Area0 GE1/0/2
VLANIF20 VLANIF40
10.1.2.1/24
GE1/0/1 GE1/0/2192.168.1.2/24
VLANIF20 VLANIF40
10.1.2.2/24 192.168.1.1/24
SwitchC

1. Configure funciones básicas de OSPF en cada switch para desplegar conexiones básicas
en la red OSPF.
2. Configure el equilibrio de carga en SwitchA.
Procedimiento


[SwitchD] ospf 1 router-id 10.10.10.4
# Mostrar la tabla de enrutamiento de SwitchA.

------------------------------------------------------------------------------
10.1.1.0/24 Direct 0 0 D 10.1.1.1 Vlanif10

10.1.1.1/32 Direct 0 0 D 127.0.0.1 Vlanif10
10.1.2.0/24 Direct 0 0 D 10.1.2.1 Vlanif20
10.1.2.1/32 Direct 0 0 D 127.0.0.1 Vlanif20
172.16.1.0/24 Direct 0 0 D 172.16.1.1 Vlanif50
172.16.1.1/32 Direct 0 0 D 127.0.0.1 Vlanif50
172.17.1.0/24 OSPF 10 3 D 10.1.2.2 Vlanif20
OSPF 10 3 D 10.1.1.2 Vlanif10
192.168.0.0/24 OSPF 10 2 D 10.1.1.2 Vlanif10
192.168.1.0/24 OSPF 10 2 D 10.1.2.2 Vlanif20
Como se muestra en la tabla de enrutamiento, dos próximos saltos 10.1.1.2 (SwitchB) y

10.1.2.2 (SwitchC) de SwitchA se convierten en rutas válidas ya que el número máximo de
rutas de igual costo es 16 para un conmutador modular y 8 para un conmutador fijo.
Paso 4 Configure el peso de las rutas de igual costo en SwitchA.

Si no se desea desplegar el equilibrio de carga entre SwitchB y SwitchC, establezcan el peso

de las rutas de igual costo para especificar el próximo salto.
[SwitchA] ospf 1
[SwitchA-ospf-1] nexthop 10.1.2.2 weight 1 //Especifique el parámetro de weight
para establecer la prioridad de los enrutamientos de igual costo. El valor de
weight predeterminado es 255. Un valor de prioridad más grande indica una
prioridad más baja.
# Compruebe la tabla de enrutamiento en SwitchA.

------------------------------------------------------------------------------
10.1.1.0/24 Direct 0 0 D 10.1.1.1 Vlanif10

10.1.1.1/32 Direct 0 0 D 127.0.0.1 Vlanif10
10.1.2.0/24 Direct 0 0 D 10.1.2.1 Vlanif20
10.1.2.1/32 Direct 0 0 D 127.0.0.1 Vlanif20
172.16.1.0/24 Direct 0 0 D 172.16.1.1 Vlanif50
172.16.1.1/32 Direct 0 0 D 127.0.0.1 Vlanif50
172.17.1.0/24 OSPF 10 3 D 10.1.2.2 Vlanif20
192.168.0.0/24 OSPF 10 2 D 10.1.1.2 Vlanif10
192.168.1.0/24 OSPF 10 2 D 10.1.2.2 Vlanif20
Como se muestra en la tabla de enrutamiento, la prioridad del próximo salto 10.1.2.2

(SwitchC) con el peso 1 es mayor que la de 10.1.1.2 (SwitchB), después de establecer el peso
para rutas de igual costo. OSPF selecciona la ruta con el próximo salto 10.1.2.2 como una ruta
óptima.
----Fin
#
sysname SwitchA
#
vlan batch 10 20 50
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif20
ip address 10.1.2.1 255.255.255.0
#
interface Vlanif50
ip address 172.16.1.1 255.255.255.0
#
#
#

#
nexthop 10.1.2.2 weight 1
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 10.1.2.0 0.0.0.255
network 172.16.1.0 0.0.0.255
#
return
#
sysname SwitchB
#
vlan batch 10 30
#
interface Vlanif10
ip address 10.1.1.2 255.255.255.0
#
interface Vlanif30
ip address 192.168.0.1 255.255.255.0
#
#
#
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 192.168.0.0 0.0.0.255
#
return
#
sysname SwitchC
#
vlan batch 20 40
#
interface Vlanif20
ip address 10.1.2.2 255.255.255.0
#
interface Vlanif40
ip address 192.168.1.1 255.255.255.0
#
#
#
area 0.0.0.0
network 10.1.2.0 0.0.0.255
network 192.168.1.0 0.0.0.255
#
return
#
sysname SwitchD
#
vlan batch 30 40 60
#

interface Vlanif30
ip address 192.168.0.2 255.255.255.0
#
interface Vlanif40
ip address 192.168.1.2 255.255.255.0
#
interface Vlanif60
ip address 172.17.1.1 255.255.255.0
#
#
#
#
area 0.0.0.0
network 172.17.1.0 0.0.0.255
network 192.168.0.0 0.0.0.255
network 192.168.1.0 0.0.0.255
#
return
8.2.5 Ejemplo para configurar BFD para OSPF
Descripción general de BFD para OSPF

La Detección de reenvío bidireccional (BFD) es un mecanismo utilizado para detectar fallas
de comunicación entre los motores de reenvío. BFD detecta la conectividad de un protocolo
de datos en una ruta entre dos sistemas. La ruta puede ser un enlace físico o lógico. En BFD
para OSPF, una sesión de BFD está asociada con OSPF. La sesión BFD detecta rápidamente
un error de enlace y luego notifica a OSPF de la falla. Esto acelera la respuesta de OSPF al
cambio de la topología de red.
Cualquier falla de enlace o cambio de topología en la red hará que el dispositivo vuelva a
calcular las rutas. Si se utiliza el mecanismo de detección OSPF, el tiempo de recálculo de la
ruta es el tiempo de convergencia del protocolo OSPF. En este caso, OSPF detecta fallas en
segundos. En la transmisión de datos de alta velocidad, por ejemplo, a velocidades de gigabit,
un tiempo de detección más largo que un segundo va a causar la pérdida de una gran cantidad
de datos. En servicios sensibles a la demora, como la voz, un retraso de más de un segundo es
inaceptable. Cuando una red OSPF requiere alta confiabilidad o los servicios que se ejecutan
en la red son sensibles al retardo, se puede configurar el BFD para OSPF. BFD acelera la
convergencia de la red OSPF y luego OSPF puede detectar la falla en milisegundos si ocurre
una falla en el enlace entre los vecinos.
l BFD debe configurarse en los dos extremos entre los cuales se establece la relación de
vecino OSPF.
l Los dos extremos que establecen sesiones BFD deben ubicarse en el mismo segmento de
red en un área OSPF.
l Los comandos ospf bfd enable y ospf bfd block son mutuamente excluyentes y no se
pueden habilitar al mismo tiempo.

configuración.

cto del
Producto
S3300 S3300EI V100R006C05
S3300HI V200R001C00
S5300 S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00, V200R005(C00&C02)
S5300HI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320SI V200R008(C00&C10), V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5330SI V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320SI V200R011C10, V200R012C00
S6320HI V200R012C00
S9300 S9303, V200R001C00, V200R002C00, V200R003C00,

S9306 y V200R005C00SPC300, V200R006C00, V200R007C00,
S9312 V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10, V200R012C00
S9300 S9310X V200R010C00, V200R011C10, V200R012C00

X
S9300E S9303E, V200R001C00, V200R002C00, V200R003C00,

S9312E V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00

NOTA
Requisitos de redes
Como se muestra en Figura 8-10, OSPF se ejecuta entre SwitchA, SwitchB, y SwitchC, y el
switch entre SwitchA y SwitchB solo proporciona la función de transmisión transparente.
SwitchA y SwitchB deben detectar rápidamente el estado del enlace entre ellos. Cuando el
enlace SwitchA->SwitchB es defectuoso, los servicios pueden cambiarse rápidamente al
enlace de copia de seguridad SwitchA-> SwitchC-> SwitchB.
NOTA
Figura 8-10 Diagrama de redes de configuración de BFD para OSPF
Area0
10.3.3.1/24 10.3.3.2/24
SwitchA VLANIF30 VLANIF30 SwitchB
GE1/0/2 GE1/0/1
GE1/0/3
GE1/0/1 VLANIF40
GE1/0/2
VLANIF10 172.16.1.1/24
VLANIF20
10.1.1.1/24
10.2.2.2/24
GE1/0/1 GE1/0/2
VLANIF10 VLANIF20
10.1.1.2/24 10.2.2.1/24
SwitchC

1. Configure las funciones básicas de OSPF en SwitchA, SwitchB y SwitchC para

desplegar las conexiones básicas en la red OSPF.
2. Configure BFD para OSPF en SwitchA, SwitchB y SwitchC para que los servicios
puedan cambiarse rápidamente al enlace de copia de seguridad cuando el enlace entre
SwitchA y SwitchB sea defectuoso.
Procedimiento
# Configure SwitchA. Las configuraciones de SwitchB y SwitchC son iguales que la de

SwitchA.



# Después de las configuraciones anteriores, ejecute el comando display ospf peer. Las
relaciones vecinas se configuran entre SwitchA, SwitchB, y SwitchC. El resultado del
comando de SwitchA se usa como un ejemplo.
[SwitchA] display ospf peer

Neighbors

DR: 10.1.1.2 BDR: 10.1.1.1 MTU: 0

Neighbors

DR: 10.3.3.2 BDR: 10.3.3.1 MTU: 0
# Compruebe la tabla de enrutamiento OSPF en SwitchA. Pueden ver las entradas de

enrutamiento en SwitchB y SwitchC. Sin embargo, la dirección del siguiente salto de la ruta al
segmento de red de destino 172.16.1.0/24 es 10.3.3.2, lo que indica que el tráfico se transmite
en el enlace Switch A → SwitchB.
[SwitchA] display ospf routing

Routing Tables
Routing for Network

10.1.1.0/24 1 Transit 10.1.1.1 10.10.10.1 0.0.0.0
10.3.3.0/24 1 Transit 10.3.3.1 10.10.10.1 0.0.0.0
10.2.2.0/24 2 Transit 10.1.1.2 10.10.10.3 0.0.0.0
10.2.2.0/24 2 Transit 10.3.3.2 10.10.10.3 0.0.0.0
172.16.1.0/24 2 Stub 10.3.3.2 10.10.10.2 0.0.0.0
Total Nets: 5
Paso 4 Configure BFD para OSPF.

# Configurar BFD para OSPF en SwitchA.
[SwitchA] bfd //Habilite BFD globalmente.
[SwitchA-bfd] quit
[SwitchA] ospf 1
[SwitchA-ospf-1] bfd all-interfaces enable //Habilite BFD en el proceso OSPF 1.
# Configurar BFD para OSPF en SwitchB.

[SwitchB] bfd //Habilite BFD globalmente.
[SwitchB-bfd] quit
[SwitchB] ospf 1
[SwitchB-ospf-1] bfd all-interfaces enable //Habilite BFD en el proceso OSPF 1.
# Configurar BFD para OSPF en SwitchC.

[SwitchC] bfd //Habilite BFD globalmente.
[SwitchC-bfd] quit
[SwitchC] ospf 1
[SwitchC-ospf-1] bfd all-interfaces enable //Habilite BFD en el proceso OSPF 1.
# Después de las configuraciones anteriores, ejecute el comando display ospf bfd session all
en SwitchA, SwitchB o SwitchC. La sesión del BFD del peer es Up. La salida de comando de
SwitchA se usa como ejemplo.
[SwitchA] display ospf bfd session all

Area 0.0.0.0 interface 10.1.1.1(Vlanif10)'s BFD Sessions

NeighborId:10.10.10.3 AreaId:0.0.0.0 Interface:Vlanif10

BFDState:up rx :1000 tx :1000
Multiplier:3 BFD Local Dis:8195 LocalIpAdd:10.1.1.1
RemoteIpAdd:10.1.1.2 Diagnostic Info:No diagnostic information
NeighborId:10.10.10.2 AreaId:0.0.0.0 Interface:Vlanif30


# Ejecute el comando shutdown en GE1/0/1 de SwitchB para simular el error de enlace.
# Compruebe la tabla de enrutamiento de OSPF en SwitchA.

[SwitchA] display ospf routing

Routing Tables
Routing for Network

10.1.1.0/24 1 Transit 10.1.1.1 10.10.10.1 0.0.0.0
10.2.2.0/24 2 Transit 10.1.1.2 10.10.10.3 0.0.0.0
172.16.1.0/24 3 Stub 10.1.1.2 10.10.10.2 0.0.0.0
Total Nets: 3
Cuando el enlace SwitchA ->SwitchB es defectuoso, el enlace de reserva SwitchA ->SwitchC

-> SwitchB entra en vigencia y la dirección del siguiente salto de la ruta al segmento de red de
destino 172.16.1.0/24 cambia a 10.1.1.2.
----Fin
#
sysname SwitchA
#
vlan batch 10 30
#
bfd
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif30
ip address 10.3.3.1 255.255.255.0
#
#
#
bfd all-interfaces enable

area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 10.3.3.0 0.0.0.255
#
return
l Archivo de configuración SwitchB
#
sysname SwitchB
#
vlan batch 20 30 40
#
bfd
#
interface Vlanif20
ip address 10.2.2.2 255.255.255.0
#
interface Vlanif30
ip address 10.3.3.2 255.255.255.0
#
interface Vlanif40
ip address 172.16.1.1 255.255.255.0
#
#
#
#
area 0.0.0.0
network 10.2.2.0 0.0.0.255
network 10.3.3.0 0.0.0.255
network 172.16.1.0 0.0.0.255
#
return
#
sysname SwitchC
#
vlan batch 10 20
#
bfd
#
interface Vlanif10
ip address 10.1.1.2 255.255.255.0
#
interface Vlanif20
ip address 10.2.2.1 255.255.255.0
#
#
#
area 0.0.0.0
network 10.1.1.0 0.0.0.255

network 10.2.2.0 0.0.0.255

#
return
8.3 Configuración típica de PBR
8.3.1 Ejemplo para configurar las políticas de tráfico para

desplegar el enrutamiento basado en políticas (redirección a
diferentes saltos siguientes)
Descripción general del enrutamiento basado en políticas

Tradicionalmente, un dispositivo busca en su tabla de enrutamiento las rutas basadas en las
direcciones de destino de los paquetes recibidos y luego reenvía los paquetes según las rutas.
Actualmente, más usuarios requieren enrutamiento de paquetes en función de las políticas
definidas por el usuario. El Enrutamiento basado en políticas (PBR) es un mecanismo de
reenvío de datos implementado en base a políticas definidas por el usuario.
En los switches de la serie S, PBR se despliega redireccionando los paquetes entrantes de

Capa 3 que coinciden con las reglas de clasificación de tráfico en una interfaz a una dirección
IP de siguiente salto especificada.
Cuando un flujo de datos específico necesita ser transmitido a un siguiente salto especificado,
PBR puede configurarse para cumplir con este requisito. Por ejemplo, se pueden transmitir
diferentes flujos de datos en diferentes enlaces para mejorar la eficacia del enlace. Los flujos
de datos pueden dirigirse a dispositivos de seguridad tales como cortafuegos para el filtrado
de seguridad. Los datos de servicio se pueden transmitir en un enlace con bajo costo para
reducir los costos del servicio de datos de las empresas sin comprometer la calidad del
servicio.
l Si un dispositivo no tiene la entrada ARP que coincide con la dirección IP del siguiente
salto especificada, el dispositivo va a activar el aprendizaje de ARP. Si el dispositivo no
puede aprender la entrada ARP, los paquetes se reenvían a lo largo de la ruta de reenvío
anterior sin ser redirigidos.
l Si se configuran varias direcciones IP de siguiente salto utilizando el comando redirect
ip-nexthop o redirect ipv6-nexthop, el dispositivo redirige los paquetes en el modo de
enlace activo/standby. Es decir, el dispositivo determina los enlaces activos y standby de
acuerdo con la secuencia en la que se configuraron las direcciones IP del siguiente salto.
La primera dirección IP configurada para el siguiente salto tiene la prioridad más alta y
su enlace funciona como el enlace activo, mientras que los enlaces de otras direcciones
IP del siguiente salto funcionan como enlaces standby. Cuando el enlace activo está
inactivo, el enlace standby de la segunda dirección IP del siguiente salto más prioritario
se selecciona como el nuevo enlace activo.
l Si se configuran varias direcciones IP de siguiente salto utilizando el comando redirect
ip-multihop o redirect ipv6-multihop, el dispositivo redirige los paquetes en modo de
equilibrio de carga de rutas de igual costo.
l Tabla 8-7 enumera los productos y las versiones aplicables en este ejemplo de
configuración.


cto del
Producto
S2300 S2320EI V200R011C10, V200R012C00
S2350 V200R003C00, V200R005C00SPC300, V200R006C00,

V200R007C00, V200R008C00, V200R009C00,
V200R010C00, V200R011C10, V200R012C00
S3300 S3300SI y V100R006C05

S3300EI
S3300HI V200R001C00
S5300 S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00, V200R005(C00&C02)
S5300HI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320SI V200R008(C00&C10), V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5330SI V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S5320LI V200R010C00, V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320SI V200R011C10, V200R012C00
S6320HI V200R012C00
S9300 S9303, V200R001C00, V200R002C00, V200R003C00,

S9306 y V200R005C00SPC300, V200R006C00, V200R007C00,
S9312 V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10, V200R012C00
S9300 S9310X V200R010C00, V200R011C10, V200R012C00

X


cto del
Producto
S9300E S9303E, V200R001C00, V200R002C00, V200R003C00,

S9312E V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Requisitos de redes
Como se muestra en Figura 8-11, una red empresarial tiene doble conexión a dos dispositivos
de red externos a través del Switch. Un enlace ascendente es un enlace de alta velocidad con
gateway en 10.1.20.1/24, y el otro es un enlace de baja velocidad con gateway en
10.1.30.1/24.
La intranet empresarial tiene dos segmentos de red: 192.168.1.0/24 y 192.168.2.0/24. El
segmento de red 192.168.1.0/24 pertenece a la zona del servidor y requiere un alto ancho de
banda de enlace. Por lo tanto, el tráfico de este segmento de red debe transmitirse en el enlace
de alta velocidad. 192.168.2.0/24 se utiliza para el acceso de Internet y el tráfico de este
segmento de red se transmite en el enlace de baja velocidad.
Figura 8-11 Red de PBR

VLAN 10 10.1.20.1/24
192.168.1.0/24 GE1/0/1
VLANIF 100
GE1/0/1 10.1.20.2/24
Red de core
SwitchA Switch
GE1/0/3 GE1/0/3
GE1/0/2 GE1/0/2
VLANIF 200
10.1.30.2/24 10.1.30.1/24
VLAN 20
192.168.2.0/24

1. Cree VLAN, configure interfaces y configure rutas para conectar a los usuarios
empresariales con la red externa.
2. Configure las ACL para que coincidan con los flujos de datos de los segmentos de red
192.168.1.0 y 192.168.2.0.
3. Cree clasificadores de tráfico y haga referencia a las ACL para diferenciar paquetes.
4. Configure comportamientos de tráfico para transmitir tráfico de datos que coincida con
diferentes ACL en diferentes enlaces y permita que el tráfico transmitido entre los
usuarios de la intranet pase primero.

5. Configure una política de tráfico, vincule los clasificadores de tráfico y los

comportamientos de tráfico y aplíquela a la dirección entrante de GE1/0/3/ en el Switch
para desplegar PBR.
Procedimiento
Paso 1 Cree VLAN, configure interfaces y configure rutas para el interfuncionamiento.
# Crear VLAN 10 y 20 en SwitchA.
# En Switch, establezca los tipos de enlace de las interfaces conectadas a los ordenadores a
acceso y la interfaz conectada a Switch a tronco y añada las interfaces a las VLAN.
# Cree VLAN 10, 20, 100 y 200 en Switch.

[Switch] vlan batch 10 20 100 200
# En Switch, configure los tipos de enlace de las interfaces conectadas a SwitchA a tronco y
la interfaz conectada a la red externa para acceder, y agregue las interfaces a las VLAN.
[Switch-GigabitEthernet1/0/3] port trunk allow-pass vlan 10 20
# En Switch, configure VLANIF10 y VLANIF20 como gateways de usuario y asigne

direcciones IP 192.168.1.1/24 y 192.168.2.1/24 a ellas.
# En Switch, configure VLANIF 100 y VLANIF 200 para conectarse a dispositivos de red
externos y asigne direcciones IP a 10.1.20.2/24 y 10.1.30.2/24 a ellos, respectivamente.

# En Switch, configure dos rutas predeterminadas y establezca sus direcciones IP del

siguiente salto en las direcciones IP de los dos dispositivos de red externos.
[Switch] ip route-static 0.0.0.0 0 10.1.20.1
Después de completar la configuración anterior, los usuarios de la intranet pueden acceder a la

red externa. Para garantizar que los flujos de datos de los segmentos de red 192.168.1.0/24 y
192.168.2.0/24 se transmitan en el enlace de alta velocidad y en el de baja velocidad
respectivamente, realicen las siguientes configuraciones.
Paso 2 Configure ACL.
# En Switch, cree ACL avanzadas de 3000, 3001 y 3002.
[Switch] acl 3000 //Esta ACL se utiliza para coincidir con el tráfico de datos
entre dos segmentos de red de la intranet. El tráfico de datos no debe ser
redirigido. Si no se realiza esta configuración, se redirigirá el tráfico entre
los segmentos de la red. Como resultado, la comunicación entre los segmentos de
red fallará
[Switch-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination
192.168.2.0 0.0.0.255
192.168.1.0 0.0.0.255
Switch-acl-adv-3000] quit
[Switch] acl 3001 //Coincide con el tráfico de datos del segmento de red de
intranet 192.168.1.0/24.
[Switch-acl-adv-3001] rule permit ip source 192.168.1.0 0.0.0.255
[Switch-acl-adv-3001] quit
[Switch] acl 3002 //Coincide con el tráfico de datos del segmento de red de la
intranet 192.168.2.0/24.
Paso 3 Configure clasificadores de tráfico.

En Switch, crea clasificadores de tráfico c0, c1, y c2, y vincule c0 a ACL 3000, c1 a ACL
3001 y c2 a ACL 3002.
[Switch] traffic classifier c0 operator or
[Switch-classifier-c0] if-match acl 3000
[Switch-classifier-c0] quit
Paso 4 Configure los comportamientos de tráfico.

# En Switch, crea comportamientos de tráfico b0, b1 y b2, configure la acción de permiso en
b0, y configure las acciones que redirijan los paquetes a las direcciones IP 10.1.20.1 y
10.1.30.1 en b1 y b2 respectivamente.
[Switch] traffic behavior b0
[Switch-behavior-b0] permit
[Switch-behavior-b0] quit
[Switch-behavior-b1] redirect ip-nexthop 10.1.20.1


[Switch-behavior-b2] redirect ip-nexthop 10.1.30.1
Paso 5 Configure una política de tráfico y aplique la política de tráfico a una interfaz.
# En Switch, crea una política de tráfico p1 y vincule los clasificadores de tráfico y los
comportamientos de tráfico a esta política de tráfico.
[Switch] traffic policy p1
[Switch-trafficpolicy-p1] classifier c0 behavior b0
[Switch-trafficpolicy-p1] quit
# Aplicar la política de tráfico p1 a la dirección entrante de GE1/0/3 en la Switch.

[Switch-GigabitEthernet1/0/3] traffic-policy p1 inbound
[Switch-GigabitEthernet1/0/3] return

# Compruebe la configuración de ACL.
<Switch> display acl 3000
Advanced ACL 3000, 2 rules
Acl's step is 5
Advanced ACL 3001, 1 rule
Acl's step is 5
Acl's step is 5
# Compruebe la configuración del clasificador de tráfico.

<Switch> display traffic classifier user-defined
User Defined Classifier Information:
Classifier: c2
Precedence: 15
Operator: OR
Rule(s) : if-match acl 3002
Classifier: c0
Precedence: 5
Operator: OR
Classifier: c1
Precedence: 10
Operator: OR
Total classifier number is 3
# Compruebe la configuración de la política de tráfico.

<Switch> display traffic policy user-defined p1
User Defined Traffic Policy Information:
Policy: p1
Classifier: c0
Operator: OR
Behavior: b0
Permit

Classifier: c1
Operator: OR
Behavior: b1
Permit
Redirect: no forced
Redirect ip-nexthop
10.1.20.1
Classifier: c2
Operator: OR
Behavior: b2
Permit
Redirect: no forced
Redirect ip-nexthop
10.1.30.1
----Fin
#
sysname SwitchA
#
vlan batch 10 20
#
#
#
#
return
l El Archivo de configuración de Switch

#
sysname Switch
#
vlan batch 10 20 100 200
#
acl number 3000
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0
0.0.0.255
0.0.0.255
acl number 3001
acl number 3002
#
if-match acl 3000
if-match acl 3001
if-match acl 3002
#
traffic behavior b0
permit
traffic behavior b1
permit
traffic behavior b2

permit
#
#
interface Vlanif10
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif20
ip address 192.168.2.1 255.255.255.0
#
interface Vlanif100
ip address 10.1.20.2 255.255.255.0
#
interface Vlanif200
ip address 10.1.30.2 255.255.255.0
#
#
#
#
ip route-static 0.0.0.0 0.0.0.0

10.1.20.1
ip route-static 0.0.0.0 0.0.0.0 10.1.30.1
#
return

Ejemplos típicos de configuración 9 Configuración típica de MPLS y VPN
9 Configuración típica de MPLS y VPN
9.1 Configuración típica de BGP/MPLS IP VPN

9.2 Ejemplo para conectar las subinterfaces de terminación QinQ a una red VLL
9.3 Ejemplo para desplegar BGP/MPLS IP VPN y VPLS en una red ISP
9.1 Configuración típica de BGP/MPLS IP VPN

9.1.1 Ejemplo para configurar BGP/MPLS IP VPN
Descripción general de BGP/MPLS IP VPN
BGP/MPLS IP VPN es una L3VPN basada en MPLS que se puede desplegar flexiblemente y
extender fácilmente, y es adecuada para su despliegue a gran escala. Para agregar un nuevo
sitio, el administrador de red solo necesita modificar la configuración de los nodos de borde
que sirven al nuevo sitio.
BGP/MPLS IP VPN es adecuado para la comunicación entre la sede y las sucursales en
diferentes ubicaciones. Como los datos de comunicación deben atravesar la red de estructura
básica del operador, BGP se usa para publicitar rutas VPN a través de la red de estructura
básica y MPLS se utiliza para reenviar paquetes VPN en la red de estructura básica. Como los
diferentes departamentos de una empresa deben aislarse, BGP/MPLS IP VPN puede aislar la
ruta, el espacio de direcciones y el acceso entre diferentes VPN.
l Las tarjetas de la serie SA no son compatibles con la función BGP/MPLS IP VPN. Las
tarjetas de la serie X1E de V200R006C00 y versiones posteriores son compatible con la
función BGP/MPLS IP VPN.


S5300 S5300HI V200R002C00,

V200R003C00,
V200R005(C00&C01&C0
2)
S5310EI V200R002C00,
V200R003C00,
V200R005(C00&C02)
S5320EI V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S5320HI V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S6300 S6300EI V200R005(C00&C01&C0

2)
S6320EI V200R008C00,
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306, S9312 V200R001C00,

V200R002C00,
V200R003C00,
V200R005C00SPC300,
V200R006C00,
V200R007C00,
V200R008(C00&C10),
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S9300 S9310 V200R010C00,

V200R011C10,
V200R012C00
S9300X S9310X V200R010C00,

V200R011C10,
V200R012C00

S9300E S9300E V200R001C00,

V200R002C00,
V200R003C00,
V200R005C00SPC300,
V200R006C00,
V200R007C00,
V200R008(C00&C10),
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
NOTA
Requisitos de red
Como se muestra en Figura 9-1:
l CE1 se conecta al área de I+D de la sede de una empresa, y CE3 se conecta al área de I
+D de la sucursal. CE1 y CE3 pertenecen a vpna.
l CE2 se conecta con el área que no es de I+D de la sede y CE4 se conecta con el área que
no es de I+D de la sucursal. CE2 y CE4 pertenecen a vpnb.
La BGP/MPLS IP VPN debe desplegarse para que la empresa garantice una comunicación
segura entre la sede y la sucursal, a la vez que aísla los datos entre el área de I+D y el área que
no es de I+D.

Figura 9-1 Diagrama de redes para configurar BGP/MPLS IP VPN
AS: 65410 AS: 65430

vpna vpna
CE1 CE3
GE1/0/0 GE1/0/0
VLANIF10 VLANIF40
10.1.1.1/24 10.3.1.1/24
Loopback1
GE1/0/0 2.2.2.9/32 GE1/0/0
10.1.1.2/24 VLANIF30 VLANIF60 10.3.1.2/24
PE1 PE2
Loopback1 172.1.1.2/24 172.2.1.1/24 Loopback1
1.1.1.9/32 GE3/0/0 3.3.3.9/32
GE3/0/0
GE2/0/0 VLANIF30 P VLANIF60 GE2/0/0
VLANIF20 172.1.1.1/24 172.2.1.2/24 VLANIF50
AS: 100
10.2.1.2/24 VPN de estructura 10.4.1.2/24
básica
GE1/0/0 GE1/0/0
VLANIF20 VLANIF50
10.2.1.1/24 10.4.1.1/24
CE2 CE4
vpnb vpnb
AS: 65420 AS: 65440

1. Configure OSPF entre P y PE para garantizar la conectividad de IP en la red de
estructura básica.
2. Configure las capacidades básicas MPLS y MPLS LDP en el P y el PE para establecer
túneles de MPLS LSP para la transmisión de datos VPN en la red de estructura básica.
3. Configure MP-IBGP en PE1 y PE2 para habilitarlas a intercambiar información de
enrutamiento VPN.
4. Configure las instancias de VPN vpna y vpnb en PE1 y PE2. Establezca el objetivo
VPN de vpna en 111:1 y el objetivo VPN de vpnb en 222:2. Esta configuración permite
a los usuarios comunicarse en la misma VPN entre ellos y aísla a los usuarios en
diferentes VPN. Vincule las interfaces PE conectadas a los CE con las instancias
correspondientes de VPN para proporcionar acceso a los usuarios de VPN.
5. Configure EBGP en los CE y PE para intercambiar información de enrutamiento VPN.
Procedimiento
Paso 1 Configure un IGP en la red de estructura básica MPLS para que los PE y P puedan
# Configure PE1.

[PE1] vlan batch 10 20 30
[PE1-Vlanif30] quit
[PE1] ospf 1 router-id 1.1.1.9
[PE1-ospf-1] area 0
[PE1-ospf-1] quit
# Configure P.
[Quidway] sysname P
[P] interface loopback 1
[P-LoopBack1] ip address 2.2.2.9 32
[P-LoopBack1] quit
[P] vlan batch 30 60
[P] interface gigabitethernet 1/0/0
[P-GigabitEthernet1/0/0] port link-type trunk
[P-GigabitEthernet1/0/0] port trunk allow-pass vlan 30
[P-GigabitEthernet1/0/0] quit
[P-GigabitEthernet2/0/0] port link-type trunk
[P-GigabitEthernet2/0/0] port trunk allow-pass vlan 60
[P] interface vlanif 30
[P-Vlanif30] ip address 172.1.1.2 24
[P-Vlanif30] quit
[P-Vlanif60] quit
[P] ospf 1 router-id 2.2.2.9
[P-ospf-1] area 0
[P-ospf-1-area-0.0.0.0] network 172.1.1.0 0.0.0.255
[P-ospf-1-area-0.0.0.0] quit
[P-ospf-1] quit
# Configure PE2.
[PE2] vlan batch 40 50 60


[PE2-Vlanif60] quit
[PE2] ospf 1 router-id 3.3.3.9
[PE2-ospf-1] area 0
[PE2-ospf-1] quit
Después de completar la configuración, las relaciones de vecinos OSPF se establecen entre

PE1 y P, y entre PE2 y P. Ejecute el comando display ospf peer. El resultado de comando
muestra que el estado vecino es Full. Ejecute el comando display ip routing-table. El
resultado de comando muestra que los PE aprendieron las rutas de Loopback1 el uno del otro.
La información que se muestra en PE1 se usa como ejemplo.
[PE1] display ip routing-table
------------------------------------------------------------------------------
1.1.1.9/32 Direct 0 0 D 127.0.0.1 LoopBack1

2.2.2.9/32 OSPF 10 1 D 172.1.1.2 Vlanif30
3.3.3.9/32 OSPF 10 2 D 172.1.1.2 Vlanif30
172.1.1.0/24 Direct 0 0 D 172.1.1.1 Vlanif30
172.1.1.1/32 Direct 0 0 D 127.0.0.1 Vlanif30
172.2.1.0/24 OSPF 10 2 D 172.1.1.2 Vlanif30
[PE1] display ospf peer

Neighbors

DR: 172.1.1.2 BDR: 172.1.1.1 MTU: 0
Paso 2 Configure las capacidades básicas MPLS y MPLS LDP en la red de estructura básica de
MPLS para establecer LSP LDP.
# Configure PE1.
[PE1] mpls lsr-id 1.1.1.9
[PE1] mpls
[PE1-mpls] quit
[PE1] mpls ldp
[PE1-mpls-ldp] quit
[PE1-Vlanif30] mpls
[PE1-Vlanif30] mpls ldp
[PE1-Vlanif30] quit

# Configure P.
[P] mpls lsr-id 2.2.2.9
[P] mpls
[P-mpls] quit
[P] mpls ldp
[P-mpls-ldp] quit
[P-Vlanif30] mpls
[P-Vlanif30] mpls ldp
[P-Vlanif30] quit
[P-Vlanif60] mpls
[P-Vlanif60] quit
# Configure PE2.
[PE2] mpls
[PE2-mpls] quit
[PE2] mpls ldp
[PE2-mpls-ldp] quit
[PE2-Vlanif60] mpls
[PE2-Vlanif60] quit
Después de completar la configuración, las sesiones de LDP se establecen entre PE1 y P, entre
P y PE2. Ejecute el comando display mpls ldp session. El resultado de comando muestra que
el ítem de Status es Operational. Ejecute el comando display mpls ldp lsp. Se muestra
información sobre los LSP LDP establecidos.
[PE1] display mpls ldp session
LDP Session(s) in Public Network

Codes: LAM(Label Advertisement Mode), SsnAge Unit(DDDD:HH:MM)
A '*' before a session means the session is being deleted.
------------------------------------------------------------------------------
PeerID Status LAM SsnRole SsnAge KASent/Rcv
------------------------------------------------------------------------------
2.2.2.9:0 Operational DU Passive 0000:00:01 6/6
------------------------------------------------------------------------------
TOTAL: 1 session(s) Found.
[PE1] display mpls ldp lsp
LDP LSP Information

-------------------------------------------------------------------------------
Flag after Out IF: (I) - LSP Is Only Iterated by RLFA
-------------------------------------------------------------------------------
DestAddress/Mask In/OutLabel UpstreamPeer NextHop OutInterface
-------------------------------------------------------------------------------
1.1.1.9/32 3/NULL 2.2.2.9 127.0.0.1 InLoop0
*1.1.1.9/32 Liberal/1024 DS/2.2.2.9
2.2.2.9/32 NULL/3 - 172.1.1.2 Vlanif30
2.2.2.9/32 1024/3 2.2.2.9 172.1.1.2 Vlanif30
3.3.3.9/32 NULL/1025 - 172.1.1.2 Vlanif30
3.3.3.9/32 1025/1025 2.2.2.9 172.1.1.2 Vlanif30
-------------------------------------------------------------------------------
TOTAL: 5 Normal LSP(s) Found.
TOTAL: 1 Liberal LSP(s) Found.
TOTAL: 0 Frr LSP(s) Found.
A '*' before an LSP means the LSP is not established
A '*' before a Label means the USCB or DSCB is stale
A '*' before a UpstreamPeer means the session is stale
A '*' before a DS means the session is stale

A '*' before a NextHop means the LSP is FRR LSP
Paso 3 Configure instancias de VPN en PE y vincule las interfaces conectadas a los CE a las
instancias de VPN.
# Configure PE1.
[PE1] ip vpn-instance vpna
[PE1-vpn-instance-vpna] route-distinguisher 100:1
[PE1-vpn-instance-vpna-af-ipv4] vpn-target 111:1 both
[PE1-vpn-instance-vpna-af-ipv4] quit
[PE1-vpn-instance-vpna] quit
[PE1] ip vpn-instance vpnb
[PE1-vpn-instance-vpnb] route-distinguisher 100:2
[PE1-vpn-instance-vpnb-af-ipv4] vpn-target 222:2 both
[PE1-vpn-instance-vpnb-af-ipv4] quit
[PE1-vpn-instance-vpnb] quit
[PE1-Vlanif10] ip binding vpn-instance vpna
[PE1-Vlanif10] quit
[PE1-Vlanif20] ip binding vpn-instance vpnb
[PE1-Vlanif20] quit
# Configure PE2.
[PE2-Vlanif40] quit
[PE2-Vlanif50] quit
# Asigne las direcciones IP a las interfaces en el CE1 conectando al área de I+D de la sede de
acuerdo con Figura 9-1. Las configuraciones de CE2, CE3 y CE4 son similares a la
configuración de CE1 y no se mencionan aquí.
[CE1] vlan batch 10
[CE1] interface gigabitethernet 1/0/0
[CE1-GigabitEthernet1/0/0] port link-type trunk
[CE1-GigabitEthernet1/0/0] port trunk allow-pass vlan 10
[CE1-GigabitEthernet1/0/0] quit
[CE1] interface vlanif 10
[CE1-Vlanif10] ip address 10.1.1.1 24
[CE1-Vlanif10] quit
Después de completar la configuración, ejecute el comando display ip vpn-instance verbose

en los PE para comprobar la configuración de las instancias de VPN. Cada PE puede hacer
ping a su CE conectado.

NOTA
Si un PE tiene múltiples interfaces vinculadas a la misma instancia de VPN, especifique una dirección
IP de origen configurando -a source-ip-address en el comando ping -vpn-instance vpn-instance-name -
a source-ip-address dest-ip-address para hacer ping a un CE remoto. Si no se especifica la dirección IP
de origen, el ping falla.
PE1 se usa como ejemplo.

[PE1] display ip vpn-instance verbose
Total VPN-Instances configured : 2
Total IPv4 VPN-Instances configured : 2
VPN-Instance Name and ID : vpna, 1

Interfaces : Vlanif10
Address family ipv4
Create date : 2014-11-03 02:39:34+00:00
Up time : 0 days, 22 hours, 24 minutes and 53 seconds
Route Distinguisher : 100:1
Export VPN Targets : 111:1
Import VPN Targets : 111:1
Label Policy : label per instance
Per-Instance Label : 4098
Log Interval : 5
VPN-Instance Name and ID : vpnb, 2

Address family ipv4
Create date : 2014-11-03 02:39:34+00:00
Log Interval : 5
[PE1] ping -vpn-instance vpna 10.1.1.1


0.00% packet loss
Paso 4 Establezca relaciones de peer EBGP entre los PE y CE e importe rutas VPN a BGP.
# Configure CE1 conectándose al área de I+D de la sede. Las configuraciones de CE2, CE3 y
CE4 son similares a la configuración de CE1 y no se mencionan aquí.
[CE1] bgp 65410
[CE1-bgp] peer 10.1.1.2 as-number 100
[CE1-bgp] import-route direct
[CE1-bgp] quit
# Configure PE1. La configuración en PE2 es similar a la configuración en PE1 y no se

menciona aquí.
[PE1] bgp 100
[PE1-bgp] ipv4-family vpn-instance vpna
[PE1-bgp-vpna] peer 10.1.1.1 as-number 65410
[PE1-bgp-vpna] import-route direct

[PE1-bgp-vpna] quit
[PE1-bgp] ipv4-family vpn-instance vpnb
[PE1-bgp-vpnb] peer 10.2.1.1 as-number 65420
[PE1-bgp-vpnb] import-route direct
[PE1-bgp-vpnb] quit
[PE1-bgp] quit
Después de completar la configuración, ejecute el comando display bgp vpnv4 vpn-instance

peer en los PE. El resultado de comando muestra que las relaciones de peer BGP se han
establecido (Established) entre los PE y los CE.
La relación de peer entre PE1 y CE1 se usa como ejemplo.
[PE1] display bgp vpnv4 vpn-instance vpna peer
BGP local router ID : 1.1.1.9

Local AS number : 100
VPN-Instance vpna, Router ID 1.1.1.9:
Total number of peers : 1 Peers in established state : 1
Peer V AS MsgRcvd MsgSent OutQ Up/Down State

PrefRcv
10.1.1.1 4 65410 11 9 0 00:07:25 Established

1
Paso 5 Establezca relaciones de peer MP-IBGP entre PE.

# Configure PE1.
[PE1] bgp 100
[PE1-bgp] peer 3.3.3.9 as-number 100
[PE1-bgp] peer 3.3.3.9 connect-interface loopback 1
[PE1-bgp] ipv4-family vpnv4
[PE1-bgp-af-vpnv4] peer 3.3.3.9 enable
[PE1-bgp-af-vpnv4] quit
[PE1-bgp] quit
# Configure PE2.
[PE2] bgp 100
[PE2-bgp] quit
Después de completar la configuración, ejecute el comando display bgp peer o display bgp
vpnv4 all peer en los PE. El resultado de comando muestra que las relaciones de peer BGP se
han establecido (Established) entre los PE.
[PE1] display bgp peer

Peer V AS MsgRcvd MsgSent OutQ Up/Down

State PrefRcv
3.3.3.9 4 100 12 6 0 00:02:21

Established 0
[PE1] display bgp vpnv4 all peer



PrefRcv
3.3.3.9 4 100 12 18 0 00:09:38 Established 0

Peer of IPv4-family for vpn instance :

10.1.1.1 4 65410 25 25 0 00:17:57 Established 1
VPN-Instance vpnb, Router ID 1.1.1.9:
10.2.1.1 4 65420 21 22 0 00:17:10 Established 1

Ejecute el comando display ip routing-table vpn-instance en los PE para ver las rutas a los
CE remotos.
[PE1] display ip routing-table vpn-instance vpna
------------------------------------------------------------------------------
Routing Tables: vpna

10.1.1.0/24 Direct 0 0 D 10.1.1.2 Vlanif10
10.1.1.2/32 Direct 0 0 D 127.0.0.1 Vlanif10
10.3.1.0/24 IBGP 255 0 RD 3.3.3.9 Vlanif30
[PE1] display ip routing-table vpn-instance vpnb
------------------------------------------------------------------------------
Routing Tables: vpnb

10.2.1.0/24 Direct 0 0 D 10.2.1.2 Vlanif20
10.2.1.2/32 Direct 0 0 D 127.0.0.1 Vlanif20
10.4.1.0/24 IBGP 255 0 RD 3.3.3.9 Vlanif30
Los CE en la misma VPN pueden hacer ping entre sí, mientras que los CE en diferentes VPN
no pueden hacerlo.
Por ejemplo, CE1 conectándose al área de I+D de la sede puede hacer ping a CE3
conectándose al área de I+D de la sucursal en 10.3.1.1 pero no puede hacer ping a CE4
conectándose al área de la sucursal que no es de I+D en 10.4.1.1.
[CE1] ping 10.3.1.1
0.00% packet loss
----Fin
#
sysname PE1
#

vlan batch 10 20 30
#
ip vpn-instance vpna
ipv4-family
#
ip vpn-instance vpnb
ipv4-family
#
mpls lsr-id 1.1.1.9
mpls
#
mpls ldp
#
interface Vlanif10
ip binding vpn-instance vpna
ip address 10.1.1.2 255.255.255.0
#
interface Vlanif20
ip binding vpn-instance vpnb
ip address 10.2.1.2 255.255.255.0
#
interface Vlanif30
ip address 172.1.1.1 255.255.255.0
mpls
mpls ldp
#
#
#
#
interface LoopBack1
ip address 1.1.1.9 255.255.255.255
#
bgp 100
peer 3.3.3.9 as-number 100
peer 3.3.3.9 connect-interface LoopBack1
#
ipv4-family unicast
undo synchronization
peer 3.3.3.9 enable
#
ipv4-family vpnv4
policy vpn-target
peer 3.3.3.9 enable
#
ipv4-family vpn-instance vpna
import-route direct
#
ipv4-family vpn-instance vpnb
import-route direct
#
area 0.0.0.0

network 1.1.1.9 0.0.0.0

network 172.1.1.0 0.0.0.255
#
return
l Archivo de configuración de P
#
sysname P
#
vlan batch 30 60
#
mpls lsr-id 2.2.2.9
mpls
#
mpls ldp
#
interface Vlanif30
ip address 172.1.1.2 255.255.255.0
mpls
mpls ldp
#
interface Vlanif60
ip address 172.2.1.1 255.255.255.0
mpls
mpls ldp
#
#
#
interface LoopBack1
ip address 2.2.2.9 255.255.255.255
#
area 0.0.0.0
network 2.2.2.9 0.0.0.0
network 172.1.1.0 0.0.0.255
network 172.2.1.0 0.0.0.255
#
return
#
sysname PE2
#
vlan batch 40 50 60
#
ipv4-family
#
ipv4-family
#
mpls lsr-id 3.3.3.9
mpls
#
mpls ldp
#
interface Vlanif40

ip address 10.3.1.2 255.255.255.0

#
interface Vlanif50
ip address 10.4.1.2 255.255.255.0
#
interface Vlanif60
ip address 172.2.1.2 255.255.255.0
mpls
mpls ldp
#
#
#
#
interface LoopBack1
ip address 3.3.3.9 255.255.255.255
#
bgp 100
#
ipv4-family unicast
peer 1.1.1.9 enable
#
ipv4-family vpnv4
policy vpn-target
peer 1.1.1.9 enable
#
import-route direct
#
import-route direct
#
area 0.0.0.0
network 3.3.3.9 0.0.0.0
network 172.2.1.0 0.0.0.255
#
return
l Archivo de configuración de CE1 que conecta con el área de I+D de la sede
#
sysname CE1
#
vlan batch 10
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
#
bgp 65410
#
ipv4-family unicast

import-route direct
peer 10.1.1.2 enable
#
return
l Archivo de configuración de CE2 que conecta con el área de la sede que no es I+D
#
sysname CE2
#
vlan batch 20
#
interface Vlanif20
ip address 10.2.1.1 255.255.255.0
#
#
bgp 65420
#
ipv4-family unicast
import-route direct
#
return
l Archivo de configuración de CE3 que conecta con el área de I+D de la sucursal
#
sysname CE3
#
vlan batch 40
#
interface Vlanif40
ip address 10.3.1.1 255.255.255.0
#
#
bgp 65430
#
ipv4-family unicast
import-route direct
#
return
l Archivo de configuración de CE4 conectado a la sucursal área que no es I+D
#
sysname CE4
#
vlan batch 50
#
interface Vlanif50
ip address 10.4.1.1 255.255.255.0
#
#
bgp 65440
#
ipv4-family unicast

import-route direct
#
return
9.1.2 Ejemplo para configurar un MCE

Descripción general de MCE
Un dispositivo de borde del cliente(CE) de multi-VPN-instance(MCE) puede funcionar como
un dispositivo CE para las múltiples instancias de VPN en una red BGP/MPLS IP VPN. Esto
difiere de la arquitectura tradicional de BGP/MPLS IP VPN, que requiere que cada instancia
VPN use un dispositivo CE para conectarse a un dispositivo PE.
MCE es adecuado cuando los usuarios de una red privada deben dividirse en múltiples VPN o
cuando los servicios de los usuarios en diferentes VPN deben estar completamente aislados.
El despliegue de un dispositivo CE para cada VPN aumenta el costo de adquisición y
mantenimiento del dispositivo. Por otra parte, si hay varias VPN que comparten un
dispositivo CE, no se puede garantizar la seguridad de los datos porque todas las VPN usan la
misma tabla de enrutamiento.
Un dispositivo MCE crea y mantiene un VRF independiente para cada VPN para garantizar la
seguridad de los datos entre las diferentes VPN, al tiempo que reduce los costos de
construcción y mantenimiento de la red. La aplicación Multi-VRF aísla rutas de reenvío de
diferentes VPN en una red privada y anuncia las rutas de cada VPN al dispositivo PE del
mismo nivel, asegurando que los paquetes VPN se transmitan correctamente en la red pública.
l En V100R006C05, solo el S3300EI admite la función MCE.
En otras versiones, todos los modelos de switch excepto S5300SI, S5300LI, S5306-LI y
S2350EI admiten la función MCE.
NOTA
Requisitos de red
La sede y las sucursales de una empresa necesitan comunicarse a través de MPLS VPN, y dos
servicios de la empresa deben estar aislados. Para reducir los costos de hardware, la empresa
quiere que la sucursal se conecte al PE a través de solo un CE.
Como se muestra en Figura 9-2, los requisitos de red son los siguientes:
l CE1 y CE2 se conectan a la sede. CE1 pertenece a vpna, y CE2 pertenece a vpnb.
l El MCE se conecta a vpna y vpnb de la sucursal a través de SwitchA y SwitchB.
Los usuarios en la misma VPN necesitan comunicarse entre sí, mientras que los usuarios en
diferentes VPN deben estar aislados.

Figura 9-2 Diagrama de redes para configurar un MCE

vpna
GE2/0/0
vpna VLANIF10
CE1 192.168.1.1/24
SwitchA
GE1/0/0 GE1/0/0
VLANIF10 VLANIF60
10.1.1.1/24 10.3.1.1/24
Loopback1
GE1/0/0 2.2.2.9./32 GE3/0/0
VPN VLANIF60
VLANIF10
de estructura 10.3.1.2/24
10.1.1.2/24
básica
MCE
Loopback1 PE1 PE2
1.1.1.9./32 GE3/0/0 GE1/0/0
GE2/0/0 GE1/0/0
GE2/0/0 VLANIF30 VLANIF30 VLANIF100 GE4/0/0
VLANIF100
VLANIF20 172.1.1.1/24 172.1.1.2/24 10.5.1.2/24 VLANIF70
10.5.1.1/24
10.2.1.2/24 VLANIF200 VLANIF200 10.4.1.2/24
10.6.1.1/24 10.6.1.2/24
GE1/0/0 GE1/0/0
VLANIF20 VLANIF70
10.2.1.1/24 10.4.1.1/24
SwitchB
CE2
GE2/0/0
vpnb
VLANIF10
192.168.2.2/24
vpnb

1. Configure OSPF entre los PE para que puedan comunicarse y configure MP-IBGP para
intercambiar información de enrutamiento VPN.
2. Configure las capacidades básicas MPLS y MPLS LDP en los PE para establecer LDP
LSP.
3. Cree instancias de VPN vpna y vpnb en MCE y PE para aislar servicios.
4. Establezca relaciones de peer EBGP entre PE1 y sus CE conectadas, e importe rutas
BGP a la tabla de enrutamiento VPN de PE1.
5. Configure el enrutamiento entre los sitios (Site) de VPN y MCE, entre el MCE y el PE2.
Procedimiento
Paso 1 Configure las VLAN en las interfaces y asigne las direcciones IP a las interfaces VLANIF e
interfaces de loopback de acuerdo con Figura 9-2.
# Configure PE1. Las configuraciones en PE2, CE1, CE2, MCE, SwitchA y SwitchB son
similares a la configuración en PE1 y no se mencionan aquí.


[PE1] vlan batch 30
[PE1-Vlanif30] quit
Paso 2 Configure OSPF en los PE de la red de estructura básica.

# Configure PE1.
[PE1] ospf
[PE1-ospf-1] area 0
[PE1-ospf-1] quit
# Configure PE2.
[PE2] ospf
[PE2-ospf-1] area 0
[PE2-ospf-1] quit
Después de completar la configuración, los PE pueden obtener la dirección Loopback1 el uno

del otro.
------------------------------------------------------------------------------
1.1.1.9/32 OSPF 10 1 D 172.1.1.1 Vlanif30

10.3.1.0/24 Direct 0 0 D 10.3.1.3 Vlanif60
10.3.1.3/32 Direct 0 0 D 127.0.0.1 Vlanif60
10.4.1.0/24 Direct 0 0 D 10.4.1.3 Vlanif70
10.4.1.3/32 Direct 0 0 D 127.0.0.1 Vlanif70
172.1.1.0/24 Direct 0 0 D 172.1.1.2 Vlanif30
172.1.1.2/32 Direct 0 0 D 127.0.0.1 Vlanif30
Paso 3 Configure las capacidades básicas MPLS y MPLS LDP en los PE para establecer LDP LSP.
menciona aquí.

[PE1] mpls
[PE1-mpls] quit
[PE1] mpls ldp
[PE1-mpls-ldp] quit
[PE1-Vlanif30] mpls


[PE1-Vlanif30] quit
Una vez completada la configuración, ejecute el comando display mpls ldp session en los
PE. El resultado de comando muestra que la sesión de MPLS LDP entre los PE se encuentra
en estado(Status) Operational.

------------------------------------------------------------------------------
------------------------------------------------------------------------------
1.1.1.9:0 Operational DU Active 0000:00:04 17/17
------------------------------------------------------------------------------
Paso 4 Configure instancias de VPN en los PE. En PE1, vincule las interfaces conectadas a CE1 y
CE2 a las instancias de VPN. En PE2, vincule la interfaz conectada al MCE a las instancias de
VPN.
# Configure PE1.
[PE1-vpn-instance-vpna] ipv4-family
[PE1-vpn-instance-vpna-af-ipv4] route-distinguisher 100:1 //Establezca el RD a
100:1.
[PE1-vpn-instance-vpna-af-ipv4] vpn-target 111:1 both //Agregue el valor de
RT 100:1 a las rutas exportadas desde el ejemplo de VPN vpna a MP-BGP. Solo las
rutas con el valor RT 100:1 se pueden importar a vpna.
[PE1-vpn-instance-vpnb] ipv4-family
[PE1-vpn-instance-vpnb-af-ipv4] route-distinguisher 100:2
[PE1-Vlanif10] ip binding vpn-instance vpna //Vincule la interfaz a vpna.
[PE1-Vlanif10] quit
[PE1-Vlanif20] quit
# Configure PE2.
[PE2-vpn-instance-vpna] ipv4-family

[PE2-vpn-instance-vpna-af-ipv4] route-distinguisher 200:1

[PE2-vpn-instance-vpnb] ipv4-family
[PE2-vpn-instance-vpnb-af-ipv4] route-distinguisher 200:2
[PE2-Vlanif60] quit
[PE2-Vlanif70] quit
Paso 5 Configure las instancias de VPN en el MCE y vincule las interfaces conectadas a SwitchA y
SwitchB a las instancias de VPN.
[Quidway] sysname MCE
[MCE] vlan batch 60 70
[MCE] interface gigabitethernet 1/0/0
[MCE-GigabitEthernet1/0/0] port link-type trunk
[MCE-GigabitEthernet1/0/0] port trunk allow-pass vlan 60 70
[MCE-GigabitEthernet1/0/0] quit
[MCE-GigabitEthernet3/0/0] port trunk allow-pass vlan 60
[MCE-GigabitEthernet4/0/0] port trunk allow-pass vlan 70
[MCE] ip vpn-instance vpna
[MCE-vpn-instance-vpna] ipv4-family
[MCE-vpn-instance-vpna-af-ipv4] route-distinguisher 100:1
[MCE-vpn-instance-vpna-af-ipv4] quit
[MCE-vpn-instance-vpna] quit
[MCE] ip vpn-instance vpnb
[MCE-vpn-instance-vpnb] ipv4-family
[MCE-vpn-instance-vpnb-af-ipv4] route-distinguisher 100:2
[MCE-vpn-instance-vpnb-af-ipv4] quit
[MCE-vpn-instance-vpnb] quit
[MCE] interface vlanif 60
[MCE-Vlanif60] ip binding vpn-instance vpna
[MCE-Vlanif60] ip address 10.3.1.2 24
[MCE-Vlanif60] quit
[MCE] interface vlanif 70
[MCE-Vlanif70] ip binding vpn-instance vpnb
[MCE-Vlanif70] ip address 10.4.1.2 24
[MCE-Vlanif70] quit
Paso 6 Establezca una relación de peer MP-IBGP entre los PE. Establezca una relación de peer
EBGP entre PE1 y CE1, y entre PE1 y CE2.
# Configure CE1. La configuración en CE2 es similar a la configuración en CE1 y no se
menciona aquí.
[CE1] bgp 65410
[CE1-bgp] peer 10.1.1.2 as-number 100 //Establezca una relación de peer EBGP
entre PE1 y CE1 e importe rutas de VPN.
[CE1-bgp] quit

menciona aquí.

[PE1] bgp 100

[PE1-bgp-vpna] quit
[PE1-bgp-vpnb] quit
[PE1-bgp] quit
Configure una relación de peer MP-IBGP entre los dispositivos PE.

menciona aquí.
[PE1] bgp 100
[PE1-bgp] quit
Después de completar la configuración, ejecute el comando display bgp vpnv4 all peer en
PE1. La salida de comando muestra que PE1 ha establecido una relación de peers IBGP con
PE2 y una relación de peers EBGP con CE1 y CE2. Las relaciones de peers están en estado de
Established.
[PE1] display bgp vpnv4 all peer

Peer V AS MsgRcvd MsgSent OutQ Up/Down State PrefRcv
2.2.2.9 4 100 288 287 0 01:19:16 Established 6
Peer of IPv4-family for vpn instance :

10.1.1.1 4 65410 9 11 0 00:01:38 Established
2
VPN-Instance vpnb, Router ID 1.1.1.9:

10.2.1.1 4 65420 9 12 0 00:04:09 Established 2
Paso 7 Configure el enrutamiento entre los sitios de MCE y VPN.
El MCE se conecta directamente a vpna, que no usa ningún protocolo de enrutamiento.

Configure las rutas estáticas para implementar la comunicación entre el MCE y vpna.
l # Configure SwitchA.
Asigne la dirección IP 192.168.1.1/24 a la interfaz conectada a vpna. Los detalles de
configuración no se mencionan aquí.

[SwitchA] ip route-static 0.0.0.0 0.0.0.0 10.3.1.2 //Cree una ruta

predeterminada destinada al MCE para SwitchA.
l # Configure el MCE.
[MCE] ip route-static vpn-instance vpna 192.168.1.0 24 10.3.1.1 //Cree una

ruta de VPN destinada a SwitchA para el ejemplo de VPN vpna.
l # Compruebe las rutas de vpna en el MCE.

[MCE] display ip routing-table vpn-instance vpna
Route Flags: R - relay, D - download to
fib
------------------------------------------------------------------------------
Routing Tables:
vpna
Destinations : 3 Routes :
3
Destination/Mask Proto Pre Cost Flags NextHop

Interface
10.3.1.0/24 Direct 0 0 D 10.3.1.2

Vlanif60
10.3.1.2/32 Direct 0 0 D 127.0.0.1
Vlanif60
192.168.1.0/24 Static 60 0 RD 10.3.1.1
Vlanif60
La información anterior muestra que el MCE tiene una ruta estática a vpna.
El protocolo RIP se ejecuta en vpnb. Configure el proceso RIP 200 en el MCE y vincúlelo a
vpnb para que las rutas aprendidas por RIP se agreguen a la tabla de enrutamiento de vpnb.
l # Configure el MCE.
[MCE] rip 200 vpn-instance vpnb
[MCE-rip-200] version 2
[MCE-rip-200] network 10.0.0.0
[MCE-rip-200] import-route ospf 200 //Importe las rutas de OSPF para que
SwitchB pueda aprender las rutas al MCE.
[MCE-rip-200] quit
l # Configure SwitchB.
Asigne la dirección IP 192.168.2.1/24 a la interfaz conectada a vpnb. La configuración
no se menciona aquí.
[SwitchB] rip 200
[SwitchB-rip-200] version 2
[SwitchB-rip-200] network 10.0.0.0
[SwitchB-rip-200] network 192.168.2.0
[SwitchB-rip-200] quit
l # Compruebe las rutas de vpnb en el MCE.

[MCE] display ip routing-table vpn-instance vpnb
Route Flags: R - relay, D - download to
fib
------------------------------------------------------------------------------

Routing Tables:
vpnb
Destinations : 3 Routes :
3

Interface
10.4.1.0/24 Direct 0 0 D 10.4.1.2

Vlanif70
10.4.1.2/32 Direct 0 0 D 127.0.0.1
Vlanif70
192.168.2.0/24 RIP 100 1 D 10.4.1.1
Vlanif70
La información anterior muestra que el MCE ha aprendido la ruta a vpnb usando RIP. La
ruta a vpnb y la ruta a vpna (192.168.1.0) se mantienen en diferentes tablas de
enrutamiento VPN para que los usuarios en las dos VPN estén aislados el uno del otro.
Paso 8 Configure las múltiples instancias de OSPF entre el MCE y el PE2.
# Configure PE2.
NOTA
Para configurar las múltiples instancias de OSPF entre MCE y PE2, complete las siguientes tareas en
PE2:
l En la vista OSPF, importe las rutas BGP y anuncie las rutas VPN de PE1 al MCE.
l En la vista BGP, importe las rutas de los procesos OSPF y anuncie las rutas VPN del MCE a PE1.
[PE2] ospf 100 vpn-instance vpna
[PE2-ospf-100] import-route bgp //Importe las rutas de BGP a OSPF 100 en vpna
entre PE y MCE, para que el MCE aprenda las rutas a CE1.
[PE2-ospf-100] area 0
[PE2-ospf-100] quit
[PE2] ospf 200 vpn-instance vpnb
[PE2-ospf-200] import-route bgp //Importe las rutas BGP a OSPF 200 en vpnb
entre PE y MCE, para que el MCE aprenda las rutas a CE2.
[PE2-ospf-200] area 0
[PE2-ospf-200] quit
[PE2] bgp 100
[PE2-bgp-vpna] import-route ospf 100 //Importe OSPF 100 a BGP para que PE2
agregue el prefijo de VPNv4 a las rutas y use MP-IBGP para anunciar las rutas a
PE1.
[PE2-bgp-vpna] quit
[PE2-bgp-vpnb] import-route ospf 200 //Importe OSPF 200 a BGP para que PE2
agregue el prefijo de VPNv4 a las rutas y use MP-IBGP para anunciar las rutas a
PE1.
[PE2-bgp-vpnb] quit
# Configure el MCE.
NOTA
Importe rutas VPN a los procesos OSPF.

[MCE] ospf 100 vpn-instance vpna //Configure las rutas dinámicas de
OSPF para la instancia VPN vpna.
[MCE-ospf-100] import-route static //Importe las rutas estáticas
privadas de SwitchA al MCE.
[MCE-ospf-100] vpn-instance-capability simple //Desactive la detección de bucle

para OSPF VPN, para que el MCE pueda aprender las rutas anunciadas nuevamente
desde PE2.
[MCE-ospf-100] area 0
[MCE-ospf-100-area-0.0.0.0] network 10.3.1.0 0.0.0.255
[MCE-ospf-100-area-0.0.0.0] quit
[MCE-ospf-100] quit
[MCE] ospf 200 vpn-instance vpnb
[MCE-ospf-200] import-route rip 200
[MCE-ospf-200] vpn-instance-capability simple
[MCE-ospf-200] area 0
[MCE-ospf-200-area-0.0.0.0] network 10.4.1.0 0.0.0.255
[MCE-ospf-200-area-0.0.0.0] quit
[MCE-ospf-200] quit

Después de completar la configuración, ejecute el comando display ip routing-table vpn-
instance en el MCE para ver las rutas a los CE remotos.
La instancia de VPN vpna se usa como ejemplo.
[MCE] display ip routing-table vpn-instance vpna
------------------------------------------------------------------------------
10.1.1.0/24 O_ASE 150 1 D 10.3.1.3 Vlanif60

10.3.1.0/24 Direct 0 0 D 10.3.1.2 Vlanif60
10.3.1.2/32 Direct 0 0 D 127.0.0.1 Vlanif60
192.168.1.0/24 Static 60 0 RD 10.3.1.1 Vlanif60
Ejecute el comando display ip routing-table vpn-instance en los PE para ver las rutas a los
CE remotos.
La instancia de VPN vpna en PE1 se usa como ejemplo.
------------------------------------------------------------------------------
10.1.1.0/24 Direct 0 0 D 10.1.1.2 Vlanif10

10.1.1.2/32 Direct 0 0 D 127.0.0.1 Vlanif10
10.3.1.0/24 IBGP 255 0 RD 2.2.2.9 Vlanif30
192.168.1.0/24 IBGP 255 2 RD 2.2.2.9 Vlanif30
CE1 y SwitchA pueden comunicarse entre sí. CE2 y SwitchB pueden comunicarse entre sí.
La información que se muestra en CE1 se usa como ejemplo.
[CE1] ping 10.3.1.1

0.00% packet loss

CE1 no puede hacer ping a CE2 o SwitchB. SwitchA no puede hacer ping a CE2 o SwitchB.
El ping de CE1 a SwitchB se usa como ejemplo.
[CE1] ping 10.4.1.1
Request time out
Request time out
Request time out
Request time out
Request time out

100.00% packet loss
----Fin
l Archivo de configuración de CE1
#
sysname CE1
#
vlan batch 10
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
#
bgp 65410
#
ipv4-family unicast
import-route direct
#
return

#
sysname CE2
#
vlan batch 20
#
interface Vlanif20
ip address 10.2.1.1 255.255.255.0
#
#
bgp 65420
#
ipv4-family unicast
import-route direct
#
return

#
sysname PE1
#
vlan batch 10 20 30
#
ipv4-family
#
ipv4-family
#
mpls lsr-id 1.1.1.9
mpls
#
mpls ldp
#
interface Vlanif10
ip address 10.1.1.2 255.255.255.0
#
interface Vlanif20
ip address 10.2.1.2 255.255.255.0
#
interface Vlanif30
ip address 172.1.1.1 255.255.255.0
mpls
mpls ldp
#
#
#
#
interface LoopBack1
ip address 1.1.1.9 255.255.255.255
#
bgp 100
#
ipv4-family unicast
peer 2.2.2.9 enable
#
ipv4-family vpnv4
policy vpn-target
peer 2.2.2.9 enable
#
import-route direct
#
import-route direct

#
ospf 1
area 0.0.0.0
network 1.1.1.9 0.0.0.0
network 172.1.1.0 0.0.0.255
#
return
#
sysname PE2
#
vlan batch 30 60 70
#
ipv4-family
#
ipv4-family
#
mpls lsr-id 2.2.2.9
mpls
#
mpls ldp
#
interface Vlanif30
ip address 172.1.1.2 255.255.255.0
mpls
mpls ldp
#
interface Vlanif60
ip address 10.3.1.3 255.255.255.0
#
interface Vlanif70
ip address 10.4.1.3 255.255.255.0
#
interface LoopBack1
ip address 2.2.2.9 255.255.255.255
#
#
#
bgp 100
#
ipv4-family unicast
peer 1.1.1.9 enable
#
ipv4-family vpnv4
policy vpn-target
peer 1.1.1.9 enable
#
import-route ospf 100
#


#
ospf 1
area 0.0.0.0
network 2.2.2.9 0.0.0.0
network 172.1.1.0 0.0.0.255
#
ospf 100 vpn-instance vpna
import-route bgp
area 0.0.0.0
network 10.3.1.0 0.0.0.255
#
ospf 200 vpn-instance vpnb
import-route bgp
area 0.0.0.0
network 10.4.1.0 0.0.0.255
#
return
l Archivo de configuración del MCE
#
sysname MCE
#
vlan batch 60 70
#
ipv4-family
#
ipv4-family
#
interface Vlanif60
ip address 10.3.1.2 255.255.255.0
#
interface Vlanif70
ip address 10.4.1.2 255.255.255.0
#
#
#
#
ospf 100 vpn-instance vpna
import-route static
vpn-instance-capability simple
area 0.0.0.0
network 10.3.1.0 0.0.0.255
#
ospf 200 vpn-instance vpnb
import-route rip 200
area 0.0.0.0
network 10.4.1.0 0.0.0.255
#
rip 200 vpn-instance vpnb
version 2
network 10.0.0.0

#
ip route-static vpn-instance vpna 192.168.1.0 255.255.255.0 10.3.1.1
#
return

#
sysname SwitchA
#
vlan batch 60
#
interface Vlanif60
ip address 10.3.1.1 255.255.255.0
#
#
ip route-static 0.0.0.0 0.0.0.0 10.3.1.2
#
return

#
sysname SwitchB
#
vlan batch 70
#
interface Vlanif70
ip address 10.4.1.1 255.255.255.0
#
#
rip 200
version 2
network 10.0.0.0
network 192.168.2.0
#
return
9.1.3 Ejemplo para configurar el acceso a la VPN de multicast a

través de dispositivos MCE
Descripción general de la VPN de multicast

La tecnología de la VPN de multicast permite que los servicios de multicast se ejecuten en
redes de BGP/MPLS IP VPN. Esta tecnología encapsula paquetes de multicast de una red
privada para permitir que los paquetes se reenvíen a lo largo del árbol de distribución de
multicast (MDT) en una red pública. Cuando los paquetes llegan a la red de destino, se
revierten y se envían a los receptores como paquetes de multicast de la red privada.
La VPN de multicast se utiliza para solucionar los siguientes problemas que ocurren durante
el despliegue del servicio de multicast en las redes de BGP/MPLS IP VPN:
l Los paquetes de VPN de multicast no pueden pasar la comprobación de reenvío de ruta
inversa (RPF) en la red pública.
En el reenvío de multicast, los routers de multicast realizan comprobaciones de RPF en
paquetes de multicast basados en la dirección original de multicast y la interfaz de
entrada. Solo se envían paquetes de multicast desde la interfaz RPF. Cada router debe
conocer el enrutamiento de unicast al origen de multicast. El dispositivo proveedor (P)

en una red BGP/MPLS IP VPN no conoce los enrutamientos de VPN; por lo tanto, las
comprobaciones RPF fallan en el dispositivo P.
l La superposición de direcciones de origen de multicast o direcciones de grupo en VPN
conduce a la comunicación entre VPN.
Una red BGP/MPLS IP VPN permite la superposición de direcciones en cada VPN; por
lo tanto, las direcciones original de multicast o direcciones de grupo de VPN diferentes
pueden superponerse. Un dispositivo PE debe reenviar correctamente paquetes de
multicast desde una VPN a solo los usuarios de la misma VPN para evitar la
comunicación entre diferentes VPN.
l Los paquetes VPN se reenvían en modo de unicast en la red pública. Cuando el volumen
de tráfico de multicast es alto, las cargas en la red pública aumentan considerablemente.
La tecnología de multicast asegura que cada enlace transmita solo una copia de los
paquetes de multicast. Cada dispositivo copia datos de multicast de acuerdo con la
cantidad de interfaces de salida, y el ancho de banda consumido no aumenta con la
cantidad de receptores. Si la red pública admite el reenvío de multicast, los paquetes de
multicast solo se copian en los puntos de bifurcación en la red pública. Este mecanismo
de replicación bajo demanda reduce las cargas en la red pública y ahorra el ancho de
banda.
l Todos los dispositivos PE en una VPN pueden recibir paquetes de multicast desde un
origen de multicast en la misma VPN. Cuando el volumen de tráfico de multicast es alto,
las cargas en los dispositivos PE aumentan considerablemente.
Una VPN se compone de varios sitios(Site), cada uno de los cuales se conecta a un PE
diferente. Algunos sitios tal vez que no tengan receptores. Si los datos de VPN de
multicast se envían solo a los dispositivos PE con receptores conectados, se reducen las
cargas en los dispositivos PE.
l Si se utiliza la VPN de multicast en el modo de dominio de multicast (MD) en los
switches, el modelo PIM-SM SSM no se puede utilizar en la red pública.
l La VPN de multicast no se puede desplegar en redes VPN IPv4 BGP/MPLS entre AS.
l La VPN de multicast no se puede desplegar en redes VPN IPv6 BGP/MPLS.
l Las interfaces en las siguientes tarjetas de interfaz no se pueden configurar como
interfaces de miembro de las interfaces de bucle invertido de multicast Eth-Trunk:
– V200R001 a V200R003: Tarjetas de interfaz LE0MG24SA, LE0MG24CA,
LE0DX12XSA00, LE0DG48SBC00 y LE0DG48TBC00 para el S9300; Tarjetas de
interfaz LE0DX12XSA00, LE0DG48SBC00 y LE0DG48TBC00 para el S9300E
– V200R005 a V200R008: Serie X1E, tarjetas de interfaz LE0MG24SA,
LE0MG24CA, LE0DG48SBC00 y LE0DG48TBC00 para S9300; Serie X1E,
tarjetas de interfaz LE0DG48SBC00 y LE0DG48TBC00 para S9300E
– V200R009: Serie X1E, tarjetas de interfaz LE1D2S04SEC0, LE0MG24SA,
LE0MG24CA, LE0DG48SBC00 y LE0DG48TBC00 para S9300; Serie X1E,
tarjetas de interfaz LE1D2S04SEC0, LE0DG48SBC00 y LE0DG48TBC00 para
S9300E.
l La siguiente tabla enumera los productos y las versiones aplicables de este ejemplo de
configuración.


Producto Versión del software
S9300, S9300X y S9300E Todas las versiones
S5300HI Solo V200R005C01 y V200R005C02
S5320EI, S5320HI, S6320EI V200R010C00 y versiones posteriores
S6320HI V200R012C00 y versiones posteriores
NOTA
Requisitos de redes
Como se muestra en Figura 9-3, una compañía despliega dos servicios, cuyos datos se
transmiten en modo de multicast. El sitio de VPN Blue que usa el servicio A y el sitio de VPN
White que usa el servicio B se conectan a la red backbone a través de los dispositivos MCE.
La VPN de multicast en modo MD se puede desplegar para cumplir con los requisitos del
servicio de multicast de la compañía. Esta configuración puede aislar datos de diferentes
servicios y reduce las cargas de tráfico de multicast en la red pública.

Figura 9-3 Acceso de la VPN de multicast a través de dispositivos MCE

Source1
VPN Blue
GE2/0/1
VLANIF101 CE1
192.168.11.1/24
GE1/0/1
VLANIF100
192.168.1.2/24
Source2 192.168.12.1/24
VLANIF201 192.168.1.1/24
GE2/0/1 VLANIF100
CE2 192.168.2.1/24 GE1/0/1
VLANIF200
VPN White GE1/0/2 GE1/0/2 MCE1
VLANIF200
192.168.2.2/24 GE1/0/0
VLANIF20 VLANIF10
10.1.2.2/24 10.1.1.2/24
BGP/MPLS VPN de
estructura básica 10.1.2.1/24 10.1.1.1/24
VLANIF20 VLANIF10
PE2 10.1.4.2/24 10.1.4.1/24 P 10.1.3.2/24 GE1/0/0
VLANIF40 VLANIF40 VLANIF30
3.3.3.3/32 GE3/0/0 GE3/0/0 GE2/0/0 1.1.1.1/32
Loopback0 Loopback0
GE2/0/0
VLANIF30
GE1/0/0 10.1.3.1/24 PE1
VLANIF50 VLANIF60 Loopback0
10.1.5.1/24 10.1.6.1/24 2.2.2.2/32
10.1.5.2/24 10.1.6.2/24
VLANIF50 VLANIF60
GE1/0/0 192.168.4.2/24
GE1/0/2 VLANIF400
MCE2 VPN White
VLANIF400 GE1/0/2
GE1/0/1 192.168.4.1/24 CE4 GE2/0/1
VLANIF300 VLANIF401
192.168.3.1/24 192.168.14.1/24
192.168.3.2/24 HostB
VLANIF300
GE1/0/1
192.168.13.1/24
CE3 VLANIF301
GE2/0/1
VPN Blue
HostA

1. Configure BGP/MPLS IP VPN para asegurar la conectividad de la red VPN.

2. Configure interfaces de bucle invertido de multicast, direcciones de Share-Group e
interfaces de túnel de multicast (MTI) para instancias de VPN en los dispositivos PE
para implementar la VPN de multicast en el modo MD.

3. Habilite el enrutamiento de multicast y el PIM en todos los dispositivos. Configure la

función de multicast en la red pública entre los dispositivos PE y P. Configure la función
de multicast en las instancias de VPN entre los dispositivos PE y MCE, y entre los
dispositivos MCE y CE.
Procedimiento
Paso 1 Configure BGP/MPLS IP VPN.
1. Configure el protocolo Open Shortest Path First (OSPF) en la red backbone para permitir
la comunicación entre los dispositivos de borde del proveedor (PE1 y PE2) y el
dispositivo intermedio P.
# Configure PE1.
<PE1> system-view
[PE1] interface loopback 0 //Cree una interfaz loopback.
[PE1] router id 1.1.1.1 //Configure la ID del router de PE1 a 1.1.1.1
para la administración de enrutamientos.
[PE1] vlan batch 30
[PE1-GigabitEthernet2/0/0] port link-type trunk //Establezca el tipo de
enlace de la interfaz en trunk, que no es el tipo de enlace predeterminado.
[PE1] interface vlanif 30 //Cree una interfaz VLANIF.
[PE1-Vlanif30] quit
[PE1] ospf
[PE1-ospf-1] area 0
[PE1-ospf-1-area-0.0.0.0] network 10.1.3.0 0.0.0.255 //Especifique que la
interfaz que ejecuta OSPF es la que está conectada al segmento de red
10.1.3.0 y que la interfaz pertenece al Area 0.
[PE1-ospf-1] quit
Las configuraciones en P y PE2 son similares a la configuración de PE1, y no se

mencionan aquí.
Una vez completada la configuración, las relaciones de vecinos OSPF pueden
configurarse entre PE1 y P y entre P y PE2. Ejecute el comando display ospf peer en
PE1, P y PE2, y se podrá ver que los vecinos están en estado Full. Ejecute el comando
display ip routing-table, y se podrá ver que los dispositivos PE han aprendido los
enrutamientos hacia Loopback0 entre sí.
2. Habilite las capacidades MPLS básicas y MPLS LDP en los dispositivos de borde del
proveedor PE1 y PE2 para configurar los LSP LDP en la red de estructura básica MPLS.
# Configure PE1.
[PE1] mpls lsr-id 1.1.1.1 //Establezca el ID de LSR de PE1 en 1.1.1.1.
[PE1] mpls //Habilite MPLS globalmente.
[PE1-mpls] quit
[PE1] mpls ldp //Habilite MPLS LDP globalmente.
[PE1-mpls-ldp] quit
[PE1-Vlanif30] mpls //Habilite MPLS en la interfaz VLANIF.
[PE1-Vlanif30] mpls ldp //Habilite MPLS LDP en la interfaz VLANIF.
[PE1-Vlanif30] quit
Las configuraciones en P y PE2 son similares a la configuración de PE1, y no se

mencionan aquí.

Una vez completada la configuración, las sesiones LDP pueden configurarse entre PE1 y
P y entre P y PE2. Ejecute el comando display mpls ldp session en los dispositivos PE y
P, y se podrá ver que la sesión LDP está en el estado(Status) Operational.
3. Establezca una relación de peers de Multiprotocol Interior Border Gateway Protocol
(MP-IBGP) entre los dispositivos de borde de proveedor PE1 y PE2.
# Configure PE1.
[PE1] bgp 100
[PE1-bgp] peer 3.3.3.3 as-number 100 //Cree peers BGP 3.3.3.3 y configure
su número de AS en 100.
[PE1-bgp] peer 3.3.3.3 connect-interface loopback 0 //Especifique
LoopBack0 como la interfaz de origen para enviar paquetes BGP a peer BGP
3.3.3.3.
[PE1-bgp] ipv4-family vpnv4 //Introduzca vista familiar de direcciones
BGP-VPNv4.
[PE1-bgp-af-vpnv4] peer 3.3.3.3 enable //Habilite el switch local para
intercambiar enrutamientos BGP-VPNv4 con peer BGP 3.3.3.3.
[PE1-bgp] quit
# Configure PE2.
[PE2] bgp 100
[PE2-bgp] peer 1.1.1.1 as-number 100 //Cree peer BGP 1.1.1.1 y configure
su número de AS en 100.
[PE2-bgp] peer 1.1.1.1 connect-interface loopback 0 //Especifique
LoopBack0 como la interfaz de origen para enviar paquetes BGP a 1.1.1.1.
[PE2-bgp] ipv4-family vpnv4 //Ingrese la vista familiar de direcciones
BGP-VPNv4.
[PE2-bgp-af-vpnv4] peer 1.1.1.1 enable //Habilite el switch local para
intercambiar enrutamientos BGP-VPNv4 con peer BGP 1.1.1.1.
[PE2-bgp] quit
Una vez completada la configuración, ejecute el comando display bgp vpnv4 all peer
en los dispositivos PE. Pueden ver que una relación de peers BGP se ha configurado
entre PE1 y PE2 y está en el estado Established.
4. Cree instancias de VPN Blue y VPN White en los dispositivos de borde del proveedor
PE1 y PE2, y dispositivos de salida agregados MCE1 y MCE2 para sucursales, para
conectar el CE de salida de cada sitio de servicio a los dispositivos PE a través de los
dispositivos MCE.
# Configure PE1.
[PE1] ip vpn-instance blue //Cree instancia de VPN blue.
[PE1-vpn-instance-blue] route-distinguisher 100:1 //Establezca el RD de
la instancia de VPN blue en 100:1.
[PE1-vpn-instance-blue-af-ipv4] vpn-target 111:1 both //Agregue 111:1 a
la lista del export VPN target y la lista de import VPN target de la
instancia de VPN blue.
[PE1-vpn-instance-blue-af-ipv4] quit
[PE1-vpn-instance-blue] quit
[PE1] ip vpn-instance white //Cree una instancia de VPN white.
[PE1-vpn-instance-white] route-distinguisher 200:1 //Establezca el RD de
la instancia VPN white a 200: 1.
[PE1-vpn-instance-white-af-ipv4] vpn-target 222:1 both //Agregue 222:1 a
la lista del export VPN target y la lista de import VPN target de la
instancia de VPN white.
[PE1-vpn-instance-white-af-ipv4] quit
[PE1-vpn-instance-white] quit

[PE1-Vlanif10] ip binding vpn-instance blue //Enlace la instancia de VPN
blue a VLANIF10 para que VLANIF10 se convierta en una interfaz de red privada
de instancia de VPN blue.
[PE1-Vlanif10] quit
[PE1-Vlanif20] ip binding vpn-instance white //Enlace la instancia de VPN
white a VLANIF20 para que VLANIF20 se convierta en una interfaz de red
privada de instancia de VPN white.
[PE1-Vlanif20] quit
# Configure MCE1.
[MCE1] ip vpn-instance blue //Cree instancia de VPN blue.
[MCE1-vpn-instance-blue] route-distinguisher 100:1 //Establezca el RD de
la instancia de VPN blue en 100: 1.
[MCE1-vpn-instance-blue-af-ipv4] vpn-target 111:1 both //Agregue 111:1 a
la lista de export VPN target y la lista de import VPN target de la instancia
VPN blue.
[MCE1-vpn-instance-blue-af-ipv4] quit
[MCE1-vpn-instance-blue] quit
[MCE1] ip vpn-instance white //Cree una instancia de VPN white.
[MCE1-vpn-instance-white] route-distinguisher 200:1 //Establezca el RD de
[MCE1-vpn-instance-white-af-ipv4] vpn-target 222:1 both //Agregue 222:1 a
la lista de export VPN target y la lista de import VPN target de la instancia
VPN white.
[MCE1-vpn-instance-white-af-ipv4] quit
[MCE1-vpn-instance-white] quit
[MCE1] vlan batch 10 20 100 200
[MCE1] interface gigabitethernet 1/0/0
[MCE1-GigabitEthernet1/0/0] port link-type trunk //Establezca el tipo de
[MCE1-GigabitEthernet1/0/0] port trunk allow-pass vlan 10 20
[MCE1-GigabitEthernet1/0/0] quit
[MCE1-GigabitEthernet1/0/1] port trunk allow-pass vlan 100
[MCE1] interface vlanif 10
[MCE1-Vlanif10] ip binding vpn-instance blue //Enlace la instancia de VPN
de instancia de VPN blue.
[MCE1-Vlanif10] ip address 10.1.1.2 24
[MCE1-Vlanif10] quit
[MCE1-Vlanif20] ip binding vpn-instance white //Enlace la instancia de
VPN white a VLANIF20 de forma que VLANIF20 se convierta en una interfaz de
red privada de instancia de VPN white.
[MCE1-Vlanif100] ip binding vpn-instance blue //Enlace la instancia de
VPN blue a VLANIF100 para que VLANIF100 se convierta en una interfaz de red
privada de la instancia de VPN blue.
red privada de la instancia de VPN white.


# Configure PE2.
[PE2] ip vpn-instance blue //Cree instancia de VPN blue.
[PE2-vpn-instance-blue] route-distinguisher 100:1 //Establezca el RD de
[PE2-vpn-instance-blue-af-ipv4] vpn-target 111:1 both //Agregue 111:1 a
la lista de export VPN target y a la lista de import VPN target de la
instancia de VPN blue
[PE2] ip vpn-instance white //Cree una instancia de VPN white.
[PE2-vpn-instance-white] route-distinguisher 200:1 //Establezca el RD de
[PE2-vpn-instance-white-af-ipv4] vpn-target 222:1 both //Agregue 222:1 a
instancia VPN white.
[PE2-Vlanif50] ip binding vpn-instance blue //Enlace la instancia de VPN
de la instancia de VPN blue.
[PE2-Vlanif50] quit
[PE2-Vlanif60] ip binding vpn-instance white //Enlace la instancia de VPN
white a VLANIF60 de forma que VLANIF60 se convierta en una interfaz de red
privada de la instancia de VPN white.
[PE2-Vlanif60] quit
# Configure MCE2.
[MCE2] ip vpn-instance blue //Cree una instancia de VPN blue.
[MCE2-vpn-instance-blue] route-distinguisher 100:1 //Establezca el RD de
[MCE2-vpn-instance-blue-af-ipv4] vpn-target 111:1 both //Agregue 111:1 a
[MCE2-vpn-instance-blue-af-ipv4] quit
[MCE2] ip vpn-instance white //Cree una instancia de VPN white.
[MCE2-vpn-instance-white] route-distinguisher 200:1 //Establezca el RD de
[MCE2-vpn-instance-white-af-ipv4] vpn-target 222:1 both //Agregue 222:1 a
[MCE2-vpn-instance-white-af-ipv4] quit
[MCE2] vlan batch 50 60 300 400
[MCE2-GigabitEthernet1/0/0] port trunk allow-pass vlan 50 60


[MCE2-Vlanif50] ip binding vpn-instance blue //Enlace la instancia de VPN
de la instancia de VPN blue.
red privada de la instancia de VPN white.
[MCE2-Vlanif300] ip binding vpn-instance blue //Enlace la instancia de
VPN blue a VLANIF300 para que VLANIF300 se convierta en una interfaz de red
privada de instancia de VPN blue.
red privada de instancia de VPN white.
5. Configure OSPF en los dispositivos de borde de proveedor PE1 y PE2, los dispositivos
de salida agregados de sucursales MCE1 y MCE2, y el CE de salida de cada sitio de
servicio. Importe enrutamientos de VPN a la tabla de enrutamiento de OSPF.
# Configure PE1.
[PE1] ospf 2 vpn-instance blue //Cree un proceso OSPF para servir la
[PE1-ospf-2] import-route bgp //Importe rutas BGP
[PE1-ospf-2] area 0
[PE1-ospf-2] quit
[PE1] ospf 3 vpn-instance white //Cree un proceso OSPF para servir a la
[PE1-ospf-3] import-route bgp //Importe rutas BGP.
[PE1-ospf-3] area 0
[PE1-ospf-3] quit
[PE1] bgp 100
[PE1-bgp] ipv4-family vpn-instance blue //Entre en la vista familiar de
direcciones IPv4 de la instancia BGP-VPN blue.
[PE1-bgp-blue] import-route ospf 2 //Importe rutas del proceso OSPF 2.
[PE1-bgp-blue] quit
[PE1-bgp] ipv4-family vpn-instance white //Entre en la vista familiar de
direcciones IPv4 de la instancia de BGP-VPN white
[PE1-bgp-white] import-route ospf 3 //Importe enrutamientos del proceso
OSPF 3.
[PE1-bgp-white] quit
[PE1-bgp] quit
# Configure MCE1.
[MCE1] ospf 1 vpn-instance blue //Cree un proceso OSPF para servir la
[MCE1-ospf-1] vpn-instance-capability simple //Deshabilite la detección

del bucle de enrutamiento OSPF.

[MCE1-ospf-1] area 0
[MCE1-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255 //Especifique que
la interfaz se está ejecutando OSPF es el que está conectado al segmento de
red 10.1.1.0 y que la interfaz pertenece al Area 0.
[MCE1-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255 //Especifique
que la interfaz se está ejecutando OSPF es el que está conectado al segmento
de red 192.168.1.0 y que la interfaz pertenece al Area 0.
[MCE1-ospf-1-area-0.0.0.0] quit
[MCE1-ospf-1] quit
[MCE1] ospf 2 vpn-instance white //Cree un proceso OSPF para servir a la
[MCE1-ospf-2] quit
# Configure PE2.
[PE2] ospf 2 vpn-instance blue //Cree un proceso OSPF para servir la
[PE2-ospf-2] import-route bgp //Importe enrutamientos BGP.
[PE2-ospf-2] area 0
interfaz se está ejecutando OSPF es el que está conectado al segmento de red
[PE2-ospf-2] quit
[PE2] ospf 3 vpn-instance white //Cree un proceso OSPF para servir a la
[PE2-ospf-3] import-route bgp //Importe rutas BGP.
[PE2-ospf-3] area 0
interfaz se está ejecutando OSPF es el que está conectado al segmento de red
[PE2-ospf-3] quit
[PE2] bgp 100
[PE2-bgp] ipv4-family vpn-instance blue //Entre en la vista familiar de
direcciones IPv4 de la instancia BGP-VPN blue.
[PE2-bgp-blue] import-route ospf 2 //Importe rutas del proceso OSPF 2.
[PE2-bgp-blue] quit
[PE2-bgp] ipv4-family vpn-instance white //Entre en la vista familiar de
direcciones IPv4 de instancia de BGP-VPN white.
[PE2-bgp-white] import-route ospf 3 //Importe rutas del proceso OSPF 3.
[PE2-bgp-white] quit
[PE2-bgp] quit
# Configure MCE2.
[MCE2] ospf 1 vpn-instance blue //Cree un proceso OSPF para servir la
[MCE2-ospf-1] quit

[MCE2] ospf 2 vpn-instance white //Cree un proceso OSPF para servir a la

[MCE2-ospf-2] quit
# Configure CE1, salida para un sitio de servicio A.

[CE1] vlan batch 100 101
[CE1-GigabitEthernet1/0/1] port link-type trunk //Establezca el tipo de
[CE1-Vlanif100] quit
[CE1] ospf
[CE1-ospf-1] area 0
[CE1-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255 //Especifique que
[CE1-ospf-1-area-0.0.0.0] network 192.168.11.0 0.0.0.255 //Especifique
[CE1-ospf-1-area-0.0.0.0] quit
[CE1-ospf-1] quit
# Configure CE2, salida para un sitio de servicio B.

[CE2] ospf
[CE2-ospf-1] area 0


[CE2-ospf-1] quit

[CE3] ospf
[CE3-ospf-1] area 0
[CE3-ospf-1] quit

[CE4] ospf
[CE4-ospf-1] area 0
que la interfaz se está ejecutand OSPF es el que está conectado al segmento
[CE4-ospf-1] quit
Una vez completada la configuración, ejecute el comando display ip routing-table vpn-

instance vpn-instance-name en los dispositivos PE o MCE. Pueden ver que el
dispositivo PE o MCE local tiene un enrutamiento de VPN al PE remoto. Ejecute el
comando display ip routing-table protocol ospf en los dispositivos CE. Pueden ver que

CE1 y CE3 han aprendido enrutamientos entre sí, y CE2 y CE4 han aprendido
enrutamientos entre sí.
Paso 2 Configure interfaces de bucle invertido de multicast, direcciones de Share-Group y MTI para
instancias de VPN en los dispositivos de borde de proveedor PE1 y PE2.
# Configure PE1.
[PE1] interface eth-trunk 10
[PE1-Eth-Trunk10] service type multicast-tunnel //Configure Eth-Trunk 10 como
una interfaz loopback de multicast.
[PE1-Eth-Trunk10] trunkport gigabitethernet 3/0/5 //Enlace la interfaz de
miembro GE3/0/5 a Eth-Trunk 10.
[PE1] ip vpn-instance blue
[PE1-vpn-instance-blue] multicast routing-enable //Habilite el enrutamiento
de multicast en la instancia VPN blue.
[PE1-vpn-instance-blue] multicast-domain share-group 239.1.1.1 binding mtunnel
0 //Especifique 239.1.1.1 como el Share-Group de la instancia de VPN blue y
conéctelo a la interfaz de túnel de multicast MTI0.
[PE1-vpn-instance-blue] ipv4-family
[PE1-vpn-instance-blue-af-ipv4] multicast-domain source-interface loopback
0 //Configure el MTI para usar la dirección de Loopback0 como la dirección
predeterminada.
[PE1] ip vpn-instance white
[PE1-vpn-instance-white] multicast routing-enable //Habilite el enrutamiento
de multicast en la instancia VPN white.
[PE1-vpn-instance-white] multicast-domain share-group 239.1.2.1 binding mtunnel
10 //Especifique 239.1.2.1 como el Share-Group de la instancia VPN white y
[PE1-vpn-instance-white] ipv4-family
[PE1-vpn-instance-white-af-ipv4] multicast-domain source-interface loopback
predeterminada.
# Configure PE2.
[PE2] interface eth-trunk 10
[PE2-Eth-Trunk10] service type multicast-tunnel //Configure Eth-Trunk 10 como
una interfaz loopback de multicast.
[PE2-Eth-Trunk10] trunkport gigabitethernet 3/0/5 //Enlace la interfaz de
miembro GE3/0/5 a Eth-Trunk 10.
[PE2] ip vpn-instance blue
[PE2-vpn-instance-blue] multicast routing-enable //Habilite el enrutamiento
de multicast en la instancia VPN blue.
[PE2-vpn-instance-blue] multicast-domain share-group 239.1.1.1 binding mtunnel
0 //Especifique 239.1.1.1 como el Share-Group de la instancia de VPN blue y
[PE2-vpn-instance-blue] ipv4-family
[PE2-vpn-instance-blue-af-ipv4] multicast-domain source-interface loopback
predeterminada.
[PE2] ip vpn-instance white
[PE2-vpn-instance-white] multicast routing-enable //Habilite el enrutamiento
de multicast en la instancia VPN white.
[PE2-vpn-instance-white] multicast-domain share-group 239.1.2.1 binding mtunnel
10 //Especifique 239.1.2.1 como el Share-Group de la instancia VPN white y
[PE2-vpn-instance-white] ipv4-family
[PE2-vpn-instance-white-af-ipv4] multicast-domain source-interface loopback
predeterminada.

Paso 3 Configure la función de multicast en las redes públicas y privadas.

1. Configure la función de multicast en la red pública.
Habilite PIM-SM en la red pública. Configure Loopback0 del dispositivo intermedio P
del proveedor como candidate bootstrap router (C-BSR) y candidate rendezvous point
(C-RP) en la red pública.
# Configure PE1.
[PE1] multicast routing-enable //Habilite el enrutamiento de multicast
globalmente.
[PE1-Vlanif30] pim sm //Habilite PIM-SM en VLANIF30.
[PE1-Vlanif30] quit
[PE1-LoopBack0] pim sm //Habilite PIM-SM en Loopback0.
# Configure PE2.
[PE2] multicast routing-enable //Habilite el enrutamiento de multicast
globalmente.
[PE2-Vlanif40] quit
[PE2-LoopBack0] pim sm //Habilite PIM-SM en Loopback0.
# Configure P.
[P] multicast routing-enable //Habilite el enrutamiento de multicast
globalmente.
[P-Vlanif30] pim sm //Habilite PIM-SM en VLANIF30.
[P-Vlanif30] quit
[P-Vlanif40] pim sm //Habilite PIM-SM en VLANIF40.
[P-Vlanif40] quit
[P-LoopBack0] pim sm //Habilite PIM-SM en Loopback0.
[P-LoopBack0] quit
[P] pim
[P-pim] c-bsr loopback 0 //Configure Loopback0 como una interfaz C-BSR.
[P-pim] c-rp loopback 0 //Configure Loopback0 como una interfaz C-RP.
2. Configure la función de multicast en la red privada.

Habilite PIM-SM en las redes privadas. Configure VLANIF 10 del borde de proveedor
PE1 como un C-BSR y C-RP de la instancia de VPN blue, y configure VLANIF 20 de
PE1 como un C-BSR y C-RP de la instancia de VPN white. Configure IGMP en
VLANIF 301 de la salida del sitio de servicio CE3 y VLANIF 401 de la salida del sitio
de servicio CE4. (Las dos interfaces VLANIF están conectadas a segmentos de red de
receptores.)
# Configure PE1.
[PE1-Vlanif10] quit
[PE1-Vlanif20] quit
[PE1] pim vpn-instance blue

[PE1-pim-blue] c-bsr vlanif 10 //Configure VLANIF10 como una interfaz C-

BSR para la instancia VPN blue.
[PE1-pim-blue] c-rp vlanif 10 //Configure VLANIF10 como una interfaz C-RP
para la instancia VPN blue.
[PE1-pim-blue] quit
[PE1] pim vpn-instance white
[PE1-pim-white] c-bsr vlanif 20 //Configure VLANIF20 como una interfaz C-
BSR para la instancia VPN white.
[PE1-pim-white] c-rp vlanif 20 //Configure VLANIF20 como una interfaz C-
RP para la instancia VPN white.
[PE1-pim-white] quit
# Configure MCE1.
[MCE1] multicast routing-enable //Habilite el enrutamiento de multicast
globalmente.
[MCE1] ip vpn-instance blue
[MCE1-vpn-instance-blue] multicast routing-enable //Habilite el
enrutamiento de multicast en la instancia VPN blue.
[MCE1] ip vpn-instance white
[MCE1-vpn-instance-white] multicast routing-enable //Habilite el
enrutamiento de multicast en la instancia VPN white.
[MCE1-Vlanif10] pim sm //Habilite PIM-SM en VLANIF10.
# Configure PE2.
[PE2-Vlanif50] quit
[PE2-Vlanif60] quit
# Configure MCE2.
[MCE2] multicast routing-enable //Habilite el enrutamiento de multicast
globalmente.
[MCE2] ip vpn-instance blue
[MCE2-vpn-instance-blue] multicast routing-enable //Habilite el
enrutamiento de multicast en la instancia VPN blue.
[MCE2] ip vpn-instance white
[MCE2-vpn-instance-white] multicast routing-enable //Habilite el
enrutamiento de multicast en la instancia VPN white.
[MCE2] interface vlanif 50 //Habilite PIM-SM en VLANIF50.
[MCE2-Vlanif50] pim sm


[CE1] multicast routing-enable //Habilite el enrutamiento de multicast
globalmente.
[CE1-Vlanif100] pim sm //Habilite PIM-SM en VLANIF100.

globalmente.

globalmente.
[CE3-Vlanif301] igmp enable //Habilite IGMP en VLANIF301.

globalmente.
[CE4-Vlanif401] igmp enable //Habilite IGMP VLANIF401.

Una vez completada la configuración, los receptores en las redes privadas pueden recibir
datos de multicast desde el origen de multicast.
----Fin
l El archivo de configuración del borde PE1 del proveedor
#
sysname PE1
#
router id 1.1.1.1
#
vlan batch 10 20 30
#
multicast routing-enable
#
ip vpn-instance blue
ipv4-family


multicast-domain source-interface LoopBack0
multicast-domain share-group 239.1.1.1 binding mtunnel 0
#
ip vpn-instance white
ipv4-family
#
mpls lsr-id 1.1.1.1
mpls
#
mpls ldp
#
interface Vlanif10
ip binding vpn-instance blue
ip address 10.1.1.1 255.255.255.0
pim sm
#
interface Vlanif20
ip binding vpn-instance white
ip address 10.1.2.1 255.255.255.0
pim sm
#
interface Vlanif30
ip address 10.1.3.1 255.255.255.0
pim sm
mpls
mpls ldp
#
service type multicast-tunnel
#
#
#
eth-trunk 10
#
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
pim sm
#
interface MTunnel0
#
interface MTunnel10
#
bgp 100
#
ipv4-family unicast
peer 3.3.3.3 enable
#
ipv4-family vpnv4

policy vpn-target
peer 3.3.3.3 enable
#
ipv4-family vpn-instance blue
import-route ospf 2
#
ipv4-family vpn-instance white
import-route ospf 3
#
ospf 1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 10.1.3.0 0.0.0.255
#
ospf 2 vpn-instance blue
import-route bgp
area 0.0.0.0
network 10.1.1.0 0.0.0.255
#
ospf 3 vpn-instance white
import-route bgp
area 0.0.0.0
network 10.1.2.0 0.0.0.255
#
pim vpn-instance blue
c-bsr Vlanif10
c-rp Vlanif10
#
pim vpn-instance white
c-bsr Vlanif20
c-rp Vlanif20
#
return
l El archivo de configuración del proveedor de borde PE2
#
sysname PE2
#
router id 3.3.3.3
#
vlan batch 40 50 60
#
#
ipv4-family
#
ipv4-family
#
mpls lsr-id 3.3.3.3
mpls
#
mpls ldp
#
interface Vlanif40
ip address 10.1.4.2 255.255.255.0
pim sm

mpls
mpls ldp
#
interface Vlanif50
ip address 10.1.5.1 255.255.255.0
pim sm
#
interface Vlanif60
ip address 10.1.6.1 255.255.255.0
pim sm
#
service type multicast-tunnel
#
#
#
eth-trunk 10
#
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
pim sm
#
interface MTunnel0
#
interface MTunnel10
#
bgp 100
#
ipv4-family unicast
peer 1.1.1.1 enable
#
ipv4-family vpnv4
policy vpn-target
peer 1.1.1.1 enable
#
ipv4-family vpn-instance blue
import-route ospf 2
#
ipv4-family vpn-instance white
import-route ospf 3
#
ospf 1
area 0.0.0.0
network 3.3.3.3 0.0.0.0
network 10.1.4.0 0.0.0.255
#
import-route bgp
area 0.0.0.0
network 10.1.5.0 0.0.0.255
#
import-route bgp
area 0.0.0.0
network 10.1.6.0 0.0.0.255

#
return
l El archivo de configuración del dispositivo intermedio del proveedor P
#
sysname P
#
router id 2.2.2.2
#
vlan batch 30 40
#
#
mpls lsr-id 2.2.2.2
mpls
#
mpls ldp
#
interface Vlanif30
ip address 10.1.3.2 255.255.255.0
pim sm
mpls
mpls ldp
#
interface Vlanif40
ip address 10.1.4.1 255.255.255.0
pim sm
mpls
mpls ldp
#
#
#
interface LoopBack0
ip address 2.2.2.2 255.255.255.255
pim sm
#
ospf 1
area 0.0.0.0
network 2.2.2.2 0.0.0.0
network 10.1.3.0 0.0.0.255
network 10.1.4.0 0.0.0.255
#
pim
c-bsr LoopBack0
c-rp LoopBack0
#
return
l El archivo de configuración de salida agregada de sucursales MCE1
#
sysname MCE1
#
vlan batch 10 20 100 200
#
#
ipv4-family
#

ipv4-family
#
interface Vlanif10
ip address 10.1.1.2 255.255.255.0
pim sm
#
interface Vlanif20
ip address 10.1.2.2 255.255.255.0
pim sm
#
interface Vlanif100
ip address 192.168.1.1 255.255.255.0
pim sm
#
interface Vlanif200
ip address 192.168.2.1 255.255.255.0
pim sm
#
#
#
#
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 192.168.1.0 0.0.0.255
#
area 0.0.0.0
network 10.1.2.0 0.0.0.255
network 192.168.2.0 0.0.0.255
#
return
l El archivo de configuración de salida agregada de sucursales MCE2
#
sysname MCE2
#
vlan batch 50 60 300 400
#
#
ipv4-family
#
ipv4-family


#
interface Vlanif50
ip address 10.1.5.2 255.255.255.0
pim sm
#
interface Vlanif60
ip address 10.1.6.2 255.255.255.0
pim sm
#
interface Vlanif300
ip address 192.168.3.1 255.255.255.0
pim sm
#
interface Vlanif400
ip address 192.168.4.1 255.255.255.0
pim sm
#
#
#
#
area 0.0.0.0
network 10.1.5.0 0.0.0.255
network 192.168.3.0 0.0.0.255
#
area 0.0.0.0
network 10.1.6.0 0.0.0.255
network 192.168.4.0 0.0.0.255
#
return
l El archivo de configuración de CE1, salida para un sitio de servicio A
#
sysname CE1
#
#
#
interface Vlanif100
ip address 192.168.1.2 255.255.255.0
pim sm
#
interface Vlanif101
ip address 192.168.11.1 255.255.255.0
pim sm
#
#

#
ospf 1
area 0.0.0.0
network 192.168.1.0 0.0.0.255
network 192.168.11.0 0.0.0.255
#
return
l El archivo de configuración de CE2, salida para un sitio de servicio B
#
sysname CE2
#
#
#
interface Vlanif200
ip address 192.168.2.2 255.255.255.0
pim sm
#
interface Vlanif201
ip address 192.168.12.1 255.255.255.0
pim sm
#
#
#
ospf 1
area 0.0.0.0
network 192.168.2.0 0.0.0.255
network 192.168.12.0 0.0.0.255
#
return
l El archivo de configuración de CE3, salida para un sitio de servicio A.
#
sysname CE3
#
#
#
interface Vlanif300
ip address 192.168.3.2 255.255.255.0
pim sm
#
interface Vlanif301
ip address 192.168.13.1 255.255.255.0
pim sm
igmp enable
#
#
#
ospf 1
area 0.0.0.0
network 192.168.3.0 0.0.0.255

network 192.168.13.0 0.0.0.255

#
return
l El archivo de configuración de CE4, salida para un sitio de servicio B

#
sysname CE4
#
#
#
interface Vlanif400
ip address 192.168.4.2 255.255.255.0
pim sm
#
interface Vlanif401
ip address 192.168.14.1 255.255.255.0
pim sm
igmp enable
#
#
#
ospf 1
area 0.0.0.0
network 192.168.4.0 0.0.0.255
network 192.168.14.0 0.0.0.255
#
return
9.1.4 Ejemplo para configurar L3VPN y VRRP
Descripción general de L3VPN y VRRP

L3VPN se aplica a la comunicación entre la sede y las sucursales en diferentes ubicaciones.
Como los datos de comunicación deben atravesar la red de estructura básica del ISP, se utiliza
BGP para publicitar rutas VPN y se usa MPLS para reenviar paquetes VPN en la red de
estructura básica. Como los diferentes departamentos de una empresa deben aislarse, BGP/
MPLS IP VPN puede implementar aislamiento de ruta, aislamiento de espacio de direcciones
y aislamiento de acceso entre diferentes VPN.
En general, todos los hosts en el mismo segmento de red tienen la misma ruta predeterminada
con la dirección de gateway como la dirección del siguiente salto. Los hosts utilizan el
enrutamiento predeterminado para enviar paquetes a gateway y el gateway reenvía los
paquetes a otros segmentos de red. Cuando el gateway falla, los hosts con el mismo
enrutamiento predeterminado no pueden comunicarse con redes externas. La configuración de
múltiples gateways de salida es un método común para mejorar la confiabilidad del sistema.
Sin embargo, la selección de enrutamiento entre los gateways se convierte en un problema.
VRRP resuelve el problema. VRRP virtualiza múltiples dispositivos de enrutamiento en un

router virtual sin cambiar la red y utiliza la dirección IP del router virtual como la dirección de
gateway predeterminado para implementar el gateway de reserva. Cuando Master en el router
virtual falla, VRRP usa Backup para transmitir el tráfico del servicio.
Se recomienda que establezca el retardo de preferencia de Backup en un grupo VRRP en 0,

configure Master en el modo de preferencia y establezca el retardo de preferencia en más de

15 segundos. Estas configuraciones permiten un período para la sincronización de estado

entre el enlace ascendente y el enlace descendente en una red inestable. Si no se utilizan las
configuraciones anteriores, los dos Masters pueden coexistir y los dispositivos del usuario
pueden aprender la dirección incorrecta del Master. Como resultado, el tráfico se interrumpe.
l Modo de preferencia: Backup se adelanta a ser Master cuando su prioridad es mayor que
Master.
l Modo sin preferencia: Siempre que Master esté funcionando correctamente, Backup con
una prioridad más alta no puede convertirse en Master.
mismo VRID.
VLANIF.

S5300 S5300HI V200R002C00,

V200R003C00,
V200R005(C00&C01&C0
2)
S5310EI V200R002C00,
V200R003C00,
V200R005(C00&C02)
S5320EI V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S5320HI V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S6300 S6300EI V200R005(C00&C01&C0

2)

S6320EI V200R008C00,
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306, S9312 V200R001C00,

V200R002C00,
V200R003C00,
V200R005C00SPC300,
V200R006C00,
V200R007C00,
V200R008(C00&C10),
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S9300 S9310 V200R010C00,

V200R011C10,
V200R012C00
S9300X S9310X V200R010C00,

V200R011C10,
V200R012C00
S9300E S9300E V200R001C00,

V200R002C00,
V200R003C00,
V200R005C00SPC300,
V200R006C00,
V200R007C00,
V200R008(C00&C10),
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
NOTA
Requisitos de redes
En Figura 9-4, CE1 y CE2 pertenecen a vpna, y CE1 es dual-homed a PE1 y PE2 a través del
switch. Los requisitos son los siguientes:
l Normalmente, CE1 usa PE1 como el gateway predeterminado para comunicarse con
CE2. Cuando PE1 se vuelve defectuoso, PE1 se substituye por PE2, implementando
redundancia de gateway.

l Después de que PE1 se recupera, va a ser Master para transmitir datos después de un
retraso de prioridad de 20 segundos.
NOTA
En este escenario, para evitar bucles, asegúrese de que todas las interfaces conectadas tengan STP
deshabilitado y las interfaces conectadas se eliminen de la VLAN 1. Si STP está habilitado y las
interfaces VLANIF de switches se usan para construir una red de anillo de Capa 3, una interfaz en la red
va a ser bloqueado. Como resultado, los servicios de Capa 3 en la red no pueden ejecutarse
normalmente.
Figura 9-4 Redes para configurar L3VPN y VRRP
VRRP VRID 1 Loopback1

Dirección IP virtual: 1.1.1.1/32 PE1
10.1.1.111 Master
GE1/0/2
GE1/0/1
GE1/0/5
GE1/0/3
GE1/0/1 GE1/0/1
Loopback1 GE1/0/3
CE1 Switch CE2
3.3.3.3/32 GE1/0/3
GE1/0/2 PE3 GE1/0/2
AS: 65410 AS: 65430
GE1/0/5
vpna vpna
GE1/0/1
GE1/0/2
Loopback1 PE2
2.2.2.2/32 Backup
Dispositivo Interfaz Interfaz VLANIF Dirección IP
PE1 GE1/0/1 VLANIF 300 192.168.1.1/24
GE1/0/2 VLANIF 100 10.1.1.1/24
GE1/0/5 VLANIF 100 10.1.1.1/24
PE2 GE1/0/1 VLANIF 200 192.168.2.1/24
GE1/0/2 VLANIF 100 10.1.1.2/24
GE1/0/5 VLANIF 100 10.1.1.2/24
PE3 GE1/0/1 VLANIF 300 192.168.1.2/24
GE1/0/2 VLANIF 200 192.168.2.2/24
GE1/0/3 VLANIF 400 172.16.1.100/24
CE1 GE1/0/3 VLANIF 100 10.1.1.100/24
CE2 GE1/0/3 VLANIF 400 172.16.1.200/24


VRRP está configurado para implementar redundancia de gateway en L3VPN. La hoja de ruta
de la configuración es la siguiente:
1. Configure OSPF entre PE para implementar conectividad IP en la red de estructura
básica.
2. Configure funciones MPLS básicas y MPLS LDP en PE para que los LSP MPLS puedan
establecerse a transmitir datos VPN.
3. Configure instancias de VPN en PE para implementar conectividad entre VPN. Vincule
las instancias de VPN a las interfaces PE conectadas a los CE para que los usuarios de
VPN puedan conectarse.
4. Configure MP-IBGP entre PE1 y PE3, y entre PE2 y PE3 para intercambiar información
de enrutamiento de VPN.
5. Configure EBGP entre CE y PE para intercambiar información de enrutamiento VPN.
6. Configure un protocolo de prevención de bucle en PE1, PE2 y switch para evitar bucles.
Aquí, se usa MSTP.
7. Configure un grupo VRRP en PE1 y PE2. Establezca una prioridad más alta para PE1
para que el PE1 funcione como Master a reenviar el tráfico, y establezca el retardo de
preferencia en 20 segundos en PE1. Establezca una prioridad más baja para PE2 para que
PE2 funcione como Backup.
Procedimiento
Paso 1 Configure un protocolo IGP en la red de estructura básica MPLS para que los PE puedan
# Configure PE1.
[PE1] vlan 300
[PE1-vlan300] quit
[PE1-GigabitEthernet1/0/1] port hybrid pvid vlan 300
[PE1-GigabitEthernet1/0/1] port hybrid untagged vlan 300
[PE1] ospf 1
[PE1-ospf-1] area 0
[PE1-ospf-1] quit
# Configure PE2.
[PE2] vlan 200
[PE2-vlan200] quit


[PE2] ospf 1
[PE2-ospf-1] area 0
[PE2-ospf-1] quit
# Configure PE3.
[PE3] ospf 1
[PE3-ospf-1] area 0
[PE3-ospf-1] quit
Paso 2 Configure las funciones básicas de MPLS, habilite MPLS LDP y establezca LDP LSP en la
red de estructura básica de MPLS.
# Configure PE1.
[PE1] mpls
[PE1-mpls] quit
[PE1] mpls ldp
[PE1-mpls-ldp] quit
[PE1-Vlanif300] mpls
# Configure PE2.
[PE2] mpls
[PE2-mpls] quit
[PE2] mpls ldp
[PE2-mpls-ldp] quit

# Configure PE3.
[PE3] mpls
[PE3-mpls] quit
[PE3] mpls ldp
[PE3-mpls-ldp] quit
Paso 3 Configure una instancia de VPN en cada PE y conecte los CE a los PE.
# Configure el switch.
[Switch] vlan 100
# Configure PE1.
[PE1] vlan 100
[PE1-vlan100] quit
# Configure PE2.
[PE2] vlan 100
[PE2-vlan100] quit


# Configure PE3.
[PE3] vlan 400
[PE3-vlan400] quit
# Configure CE1.
[CE1] vlan 100
[CE1-vlan100] quit
[CE1-GigabitEthernet1/0/3] port hybrid pvid vlan 100
[CE1-GigabitEthernet1/0/3] port hybrid untagged vlan 100
# Configure CE2.
[CE2] vlan 400
[CE2-vlan400] quit
[CE2-GigabitEthernet1/0/3] port hybrid pvid vlan 400
[CE2-GigabitEthernet1/0/3] port hybrid untagged vlan 400
Paso 4 Configure las relaciones de peers EBGP entre PE y CE e importe rutas VPN.
# Configure CE1.
[CE1] bgp 65410
[CE1-bgp] quit
# Configure CE2.
[CE2] bgp 65430


[CE2-bgp] quit
# Configure PE1.
[PE1] bgp 100
[PE1-bgp-vpna] quit
[PE1-bgp] quit
# Configure PE2.
[PE2] bgp 100
[PE2-bgp-vpna] quit
[PE2-bgp] quit
# Configure PE3.
[PE3] bgp 100
[PE3-bgp-vpna] quit
[PE3-bgp] quit
Paso 5 Configure las relaciones de peers de MP-IBGP entre PE.

# Configure PE1.
[PE1] bgp 100
[PE1-bgp] quit
# Configure PE2.
[PE2] bgp 100
[PE2-bgp] quit
# Configure PE3.
[PE3] bgp 100
[PE3-bgp] quit
Paso 6 Configure MSTP para bloquear el enlace entre PE2 y el switch y evitar bucles.
# Configure PE1 para que funcione en modo MSTP.
[PE1] stp mode mstp

# Configure PE2 para que funcione en modo MSTP.

[PE2] stp mode mstp
# Configure el switch para que funcione en modo MSTP.

[Switch] stp mode mstp
# Configure PE1 como root bridge.

[PE1] stp root primary
# Configure PE2 como root bridge secundario .

[PE2] stp root secondary
# Establezca el costo de ruta del puerto que conecta PE2 y el switch a 400000 para bloquear el
enlace entre PE2 y el switch.
[PE2-GigabitEthernet1/0/2] stp cost 400000
[Switch-GigabitEthernet1/0/2] stp cost 400000
# Deshabilite STP en GigabitEthernet1/0/3 conectando SwitchA y CE1.

[Switch-GigabitEthernet1/0/3] stp disable
# Habilite STP en PE1 globalmente.

[PE1] stp enable
# Habilite STP en PE2 globalmente.

[PE2] stp enable
# Habilite STP en switch globalmente.

[Switch] stp enable
# Una vez completada la configuración, ejecute el comando display stp brief en el switch.
Puede ver que GE1/0/2 es el puerto alternativo y en estado DISCARDING.
[Switch] display stp brief

# Configure el grupo VRRP 1 en PE1 y establezca la prioridad de PE1 en 120 y el retraso de
preferencia en 20 segundos.
[PE1-Vlanif100] vrrp vrid 1 virtual-ip 10.1.1.111 //Cree el grupo VRRP 1.
[PE1-Vlanif100] vrrp vrid 1 priority 120 //Establezca la prioridad en 120.
[PE1-Vlanif100] vrrp vrid 1 preempt-mode timer delay 20 //Establezca el retardo
de preferencia en 20 segundos.
# Configure el grupo VRRP 1 en PE2. PE2 usa el valor predeterminado 100.

[PE2-Vlanif100] vrrp vrid 1 virtual-ip 10.1.1.111 //Cree el grupo VRRP 1.


# Una vez completada la configuración, ejecute el comando display vrrp en PE1 y PE2.
Pueden ver que PE1 está en estado Master y PE2 está en estado Backup.
[PE1] display vrrp
State : Master
Virtual IP : 10.1.1.111
PriorityRun : 120
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2012-01-12 20:15:46
Last change time : 2012-01-12 20:15:46
[PE2] display vrrp
State : Backup
Virtual IP : 10.1.1.111
PriorityRun : 100
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2012-01-12 20:15:46
Last change time : 2012-01-12 20:15:46
# Ejecute el comando shutdown en GE1/0/2 y GE1/0/5 de PE1 para simular un error de

enlace.
[PE1-GigabitEthernet1/0/2] shutdown
[PE1-GigabitEthernet1/0/5] shutdown
# Ejecute el comando display vrrp en PE2 para comprobar el estado de VRRP. El resultado
del comando muestra que PE2 está en estado Master.
[PE2] display vrrp
State : Master
Virtual IP : 10.1.1.111
PriorityRun : 100
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES


Create time : 2012-01-12 20:15:46
Last change time : 2012-01-12 20:18:40
# Ejecute el comando undo shutdown en GE1/0/2 y GE1/0/5 de PE1. Después de 20

segundos, ejecute el comando display vrrp en PE1 para comprobar el estado de VRRP. PE1
restaura el estado Master.
[PE1-GigabitEthernet1/0/2] undo shutdown
[PE1-GigabitEthernet1/0/5] undo shutdown
[PE1] display vrrp
State : Master
Virtual IP : 10.1.1.111
PriorityRun : 120
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2012-01-12 20:15:46
Last change time : 2012-01-12 20:20:56
----Fin
#
sysname PE1
#
vlan batch 100 300
#
stp enable
#
ipv4-family
#
mpls lsr-id 1.1.1.1
mpls
#
mpls ldp
#
interface Vlanif100
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif300
ip address 192.168.1.1 255.255.255.0
mpls

mpls ldp
#
#
#
#
interface LoopBack1
ip address 1.1.1.1 255.255.255.255
#
bgp 100
#
ipv4-family unicast
peer 3.3.3.3 enable
#
ipv4-family vpnv4
policy vpn-target
peer 3.3.3.3 enable
#
import-route direct
peer 10.1.1.100 as-number 65410
#
ospf 1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 192.168.1.0 0.0.0.255
#
return
#
sysname PE2
#
vlan batch 100 200
#
stp enable
#
ipv4-family
#
mpls lsr-id 2.2.2.2
mpls
#
mpls ldp
#
interface Vlanif100
ip address 10.1.1.2 255.255.255.0
#
interface Vlanif200
ip address 192.168.2.1 255.255.255.0
mpls
mpls ldp
#

#
#
#
interface LoopBack1
ip address 2.2.2.2 255.255.255.255
#
bgp 100
#
ipv4-family unicast
peer 3.3.3.3 enable
#
ipv4-family vpnv4
policy vpn-target
peer 3.3.3.3 enable
#
import-route direct
peer 10.1.1.100 as-number 65410
#
ospf 1
area 0.0.0.0
network 2.2.2.2 0.0.0.0
network 192.168.2.0 0.0.0.255
#
return
#
sysname PE3
#
#
ipv4-family
#
mpls lsr-id 3.3.3.3
mpls
#
mpls ldp
#
interface Vlanif200
ip address 192.168.2.2 255.255.255.0
mpls
mpls ldp
#
interface Vlanif300
ip address 192.168.1.2 255.255.255.0
mpls
mpls ldp
#
interface Vlanif400
ip address 172.16.1.100 255.255.255.0
#

#
#
#
interface LoopBack1
ip address 3.3.3.3 255.255.255.255
#
bgp 100
#
ipv4-family unicast
peer 1.1.1.1 enable
peer 2.2.2.2 enable
#
ipv4-family vpnv4
policy vpn-target
peer 1.1.1.1 enable
peer 2.2.2.2 enable
#
import-route direct
peer 172.16.1.200 as-number 65430
#
ospf 1
area 0.0.0.0
network 3.3.3.3 0.0.0.0
network 192.168.1.0 0.0.0.255
network 192.168.2.0 0.0.0.255
#
return
#
sysname Switch
#
vlan batch 100
#
stp enable
#
#
#
stp disable
#
return
#
sysname CE1

#
vlan batch 100
#
interface Vlanif100
ip address 10.1.1.100 255.255.255.0
#
#
bgp 65410
#
ipv4-family unicast
import-route direct
#
return

#
sysname CE2
#
vlan batch 400
#
interface Vlanif400
ip address 172.16.1.200 255.255.255.0
#
#
bgp 65430
peer 172.16.1.100 as-number 100
#
ipv4-family unicast
import-route direct
#
return
9.1.5 Ejemplo para configurar las políticas de enrutamiento para

controlar el acceso mutuo entre usuarios de L3VPN
extender fácilmente, y es adecuada para su despliegue a gran escala. La tecnología de BGP/
MPLS IP VPN se puede utilizar para implementar comunicaciones seguras o aislamiento
entre sucursales en diferentes ubicaciones.
Las políticas de enrutamiento se usan para filtrar rutas y establecer atributos de ruta. Puede
cambiar los atributos de ruta para cambiar una ruta sobre la cual se transmite el tráfico de red.
BGP/MPLS IP VPN se puede combinar con políticas de enrutamiento para controlar la
recepción y el anuncio de rutas VPN, implementando el acceso mutuo entre usuarios de
sucursales específicos.


S5300 S5300HI V200R002C00,

V200R003C00,
V200R005(C00&C01&C0
2)
S5310EI V200R002C00,
V200R003C00,
V200R005(C00&C02)
S5320EI V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S5320HI V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S6300 S6300EI V200R005(C00&C01&C0

2)
S6320EI V200R008C00,
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306, S9312 V200R001C00,

V200R002C00,
V200R003C00,
V200R005C00SPC300,
V200R006C00,
V200R007C00,
V200R008(C00&C10),
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00

S9300 S9310 V200R010C00,

V200R011C10,
V200R012C00
S9300X S9310X V200R010C00,

V200R011C10,
V200R012C00
S9300E S9300E V200R001C00,

V200R002C00,
V200R003C00,
V200R005C00SPC300,
V200R006C00,
V200R007C00,
V200R008(C00&C10),
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
NOTA
Requisitos de red
Como se muestra en Figura 9-5, CE1 está conectado a la sucursal Site 1, y CE2 está
conectado a la sucursal Site 2. Site 1 y Site 2 se comunican entre sí a través de la red de
estructura básica ISP . La empresa requiere que los usuarios de L3VPN en algunos segmentos
de red puedan comunicarse seguramente entre sí para cumplir con los requisitos del servicio.

Figura 9-5 Configuración de políticas de enrutamiento para controlar el acceso mutuo entre
usuarios de L3VPN
VPN de
estructura
Loopback1 básica Loopback1
1.1.1.9/32 2.2.2.9/32
GE2/0/0 GE2/0/0
VLANIF100 VLANIF100
PE1 172.10.1.1/24 172.10.1.2/24 PE2
GE1/0/0 GE1/0/0
VLANIF10 VLANIF10
192.168.1.1/24 192.168.2.1/24
CE1 GE1/0/0 GE1/0/0 CE2

VLANIF10 VLANIF10
192.168.1.2/24 192.168.2.2/24
vpna vpna
Site1 Site2

1. Configure OSPF entre los dispositivos PE para garantizar la conectividad IP en la red de
estructura básica.
2. Habilite las capacidades básicas de MPLS y MPLS LDP en los dispositivos PE para
configurar túneles MPLS LSP para la transmisión de datos VPN en la red de estructura
básica.
3. Cree instancias VPN en los dispositivos PE, vincule interfaces CE a las instancias VPN y
asigne diferentes objetivos VPN a las instancias VPN para aislar a los usuarios de
diferentes sucursales.
4. Configure las políticas de enrutamiento en los dispositivos PE y cambie los objetivos
VPN de las rutas filtradas en función de las políticas de enrutamiento especificadas para
implementar la comunicación entre los usuarios de la sucursal en un segmento de red
específico.
5. Configure las relaciones de pares EBGP entre los dispositivos CE y PE para que puedan
6. Configure MP-IBGP entre los dispositivos PE para habilitarles intercambiar información
de enrutamiento VPN.
Procedimiento
Paso 1 Configure un protocolo IGP en la red de estructura básica MPLS para que los dispositivos PE
puedan comunicarse entre sí.
# Configure PE1.

[PE1] ospf 1
[PE1-ospf-1] area 0
[PE1-ospf-1] quit
# Configure PE2.
[PE2] ospf 1
[PE2-ospf-1] area 0
[PE2-ospf-1] quit
Después de completar la configuración, ejecute el comando display ospf peer. El resultado

del comando muestra que la relación de vecinos OSPF se ha configurado entre PE1 y PE2, y
que el estado vecino es Full. Ejecute el comando display ip routing-table en PE1 y PE2, y
puede ver que PE1 y PE2 aprendieron las rutas a la dirección Loopback1 de cada uno.
Paso 2 Habilite las capacidades básicas de MPLS y MPLS LDP en los dispositivos PE para
configurar los LSP LDP en la red de estructura básica MPLS.
# Configure PE1.
[PE1] mpls
[PE1-mpls] quit
[PE1] mpls ldp
[PE1-mpls-ldp] quit

# Configure PE2.
[PE2] mpls
[PE2-mpls] quit
[PE2] mpls ldp
[PE2-mpls-ldp] quit
Después de completar la configuración, PE1 y PE2 han establecido sesiones LDP. Ejecute el
comando display mpls ldp session, y puede ver que el estado(Status) de la sesión LDP es
Operational.
Paso 3 Configure una instancia VPN en cada dispositivo PE y conecte los dispositivos CE a los
dispositivos PE.
# Configure PE1.
[PE1-Vlanif10] quit
# Configure PE2.
[PE2-Vlanif10] quit
# Asigne direcciones IP a las interfaces en CE1 y CE2 de acuerdo a Figura 9-5.

[CE1] vlan batch 10
[CE1-Vlanif10] quit
[CE2] vlan batch 10
[CE2-Vlanif10] quit

en PE1 y PE2 para ver la configuración de la instancia de VPN. Los dispositivos PE pueden
hacer ping a los dispositivos CE conectados a ellos.

NOTA
Si un dispositivo PE tiene múltiples interfaces vinculadas a la misma instancia de VPN, debe especificar
una dirección IP de origen cuando haga ping al dispositivo CE conectado al dispositivo PE remoto. Para
especificar la dirección IP de origen, configure el parámetro -a source-ip-address en el comando ping -
vpn-instance vpn-instance-name -a source-ip-address dest-ip-address. Si no se especifica una dirección
IP de origen, la operación de ping falla.
Paso 4 Configure las políticas de enrutamiento.

# Configure PE1.
[PE1] ip ip-prefix ipPrefix1 index 10 permit 192.168.1.0 24 greater-equal 24 less-
equal 32
[PE1] route-policy vpnroute permit node 1
[PE1-route-policy] if-match ip-prefix ipPrefix1
[PE1-route-policy] apply extcommunity rt 222:1
[PE1-route-policy] quit
[PE1-vpn-instance-vpna] export route-policy vpnroute
# Configure PE2.
[PE2] ip ip-prefix ipPrefix1 index 10 permit 192.168.2.0 24 greater-equal 24 less-
equal 32
[PE2] route-policy vpnroute permit node 1
[PE2-route-policy] if-match ip-prefix ipPrefix1
[PE2-route-policy] apply extcommunity rt 111:1
[PE2-route-policy] quit
[PE2-vpn-instance-vpna] export route-policy vpnroute
Paso 5 Configure las relaciones de peers EBGP entre los dispositivos PE y CE e importe las rutas
VPN.
# Configure CE1. La configuración de CE2 es similar a la de CE1 y no se menciona aquí.
[CE1] bgp 65410
[CE1-bgp] quit
# Configure PE1. La configuración de PE2 es similar a la de PE1, y no se menciona aquí.

[PE1] bgp 100
[PE1-bgp-vpna] quit
[PE1-bgp] quit

vpna peer en PE1 y PE2. Puede ver que las relaciones de pares de BGP entre los dispositivos
PE y CE se han establecido y se encuentran en el estado Established.
Paso 6 Establezca una relación de peers MP-IBGP entre PE1 y PE2.
# Configure PE1.
[PE1] bgp 100
[PE1-bgp] quit

# Configure PE2.
[PE2] bgp 100
[PE2-bgp] quit
Después de completar la configuración, ejecute el comando display bgp peer o display bgp
vpnv4 all peer en PE1 y PE2. Puede ver que las relaciones de peers BGP se han establecido
entre los dispositivos PE y están en el estado Established.
# Ejecute el comando ping -vpn-instance en PE1 y PE2. Puede hacer ping con éxito en el
Site CE que está conectado al dispositivo PE de peers.
La visualización en PE1 se usa como un ejemplo:
[PE1] ping -vpn-instance vpna 192.168.2.2

0.00% packet loss
----Fin
#
sysname PE1
#
vlan batch 10 100
#
ipv4-family
export route-policy vpnroute
#
mpls lsr-id 1.1.1.9
mpls
#
mpls ldp
#
interface Vlanif10
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif100
ip address 172.10.1.1 255.255.255.0
mpls
mpls ldp
#

#
#
interface LoopBack1
ip address 1.1.1.9 255.255.255.255
#
bgp 100
#
ipv4-family unicast
peer 2.2.2.9 enable
#
ipv4-family vpnv4
policy vpn-target
peer 2.2.2.9 enable
#
import-route direct
peer 192.168.1.2 as-number 65410
#
ospf 1
area 0.0.0.0
network 1.1.1.9 0.0.0.0
network 172.10.1.0 0.0.0.255
#
route-policy vpnroute permit node 1
if-match ip-prefix ipPrefix1
apply extcommunity rt 222:1
#
ip ip-prefix ipPrefix1 index 10 permit 192.168.1.0 24 greater-equal 24 less-
equal 32
#
return
#
sysname PE2
#
vlan batch 10 100
#
ipv4-family
export route-policy vpnroute
#
mpls lsr-id 2.2.2.9
mpls
#
mpls ldp
#
interface Vlanif10
ip address 192.168.2.1 255.255.255.0
#
interface Vlanif100
ip address 172.10.1.2 255.255.255.0
mpls
mpls ldp
#


#
#
interface LoopBack1
ip address 2.2.2.9 255.255.255.255
#
bgp 100
#
ipv4-family unicast
peer 1.1.1.9 enable
#
ipv4-family vpnv4
policy vpn-target
peer 1.1.1.9 enable
#
import-route direct
peer 192.168.2.2 as-number 65420
#
ospf 1
area 0.0.0.0
network 2.2.2.9 0.0.0.0
network 172.10.1.0 0.0.0.255
#
route-policy vpnroute permit node 1
if-match ip-prefix ipPrefix1
apply extcommunity rt 111:1
#
ip ip-prefix ipPrefix1 index 10 permit 192.168.2.0 24 greater-equal 24 less-
equal 32
#
return
#
sysname CE1
#
vlan batch 10
#
interface Vlanif10
ip address 192.168.1.2 255.255.255.0
#
#
bgp 65410
#
ipv4-family unicast
import-route direct
#
return
Archivo de configuración de CE2
#
sysname CE2
#
vlan batch 10
#
interface Vlanif10
ip address 192.168.2.2 255.255.255.0

#
#
bgp 65420
#
ipv4-family unicast
import-route direct
#
return
9.2 Ejemplo para conectar las subinterfaces de terminación

QinQ a una red VLL
Como una tecnología de túnel de Capa 2 de punto a punto (P2P) basada en MPLS, VLL
transmite transparentemente paquetes de datos de Capa 2 sobre la red de estructura básica
MPLS, de modo que los sitios geográficamente aislados que pertenecen a la misma VLAN
pueden comunicarse entre sí.
Después de que las subinterfaces de terminación QinQ estén conectadas a una red VLL, las
sub-interfaces en los dispositivos terminan las etiquetas VLAN dobles antes de enviar los
paquetes a la red VLL.
Las subinterfaces de terminación QinQ se aplican a escenarios donde todas las VLAN (como
VLAN 100 a VLAN 200) de un sitio necesitan comunicarse con un sitio remoto a través de la
red VLL o se deben guardar los recursos de VLAN de la red pública. En estos escenarios, se
debe desplegar el dispositivo de conmutación entre los dispositivos CE y PE, agrega la misma
etiqueta VLAN externa a los paquetes que llevan diferentes etiquetas VLAN internas desde
diferentes dispositivos CE. Luego la subinterfaz en el dispositivo PE termina las doble
etiquetas VLAN en paquetes QinQ y envía los paquetes al túnel de VLL.
QinQ es una extensión de MAN Ethernet VPN en la red VLL de core. Puede formar una
solución VPN extremo a extremo para implementar la comunicación de Capa 2 entre usuarios
geográficamente aislados.
l Las tarjetas SA de la serie S no son compatibles con VLL, y las tarjetas de la serie X1E
de V200R007 y versiones posteriores admiten VLL.
l A continuación se describen los modelos y versiones de productos aplicables.
S5300 S5300HI V200R002C00, V200R003C00,

V200R005(C00&C01&C02)

S5310EI V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320EI V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6300 S6300EI V200R005(C00&C01)
S6320EI V200R008C00, V200R009C00,

V200R010C00, V200R011C10,
V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306 y S9312 V200R001C00, V200R002C00,

V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10,

V200R012C00
S9300X S9310X V200R010C00, V200R011C10,

V200R012C00
S9300E S9300E V200R001C00, V200R002C00,

V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Requisitos de redes
Como se muestra en Figura 9-6, CE1 y CE2 están conectados a PE1 y PE2 respectivamente a
través de las VLAN.
Una Martini VLL está configurada entre CE1 y CE2.
Switch1 está conectado a CE1 y PE1.
Switch2 está conectado a CE2 y PE2.

Debe configurar QinQ selectivo en las interfaces conectadas a los CE para que Switch
agregue las etiquetas de VLAN especificadas por el portador a los paquetes enviados desde
los CE.
Cuando Switch está conectado a múltiples CE, Switch puede agregar la misma etiqueta de
VLAN a los paquetes de diferentes CE, con lo que se guardan los ID de VLAN en la red
pública.
Figura 9-6 Diagrama de redes para conectar las subinterfaces de terminación QinQ a una red
VLL
Loopback1 Loopback1 Loopback1
1.1.1.1/32 2.2.2.2/32 3.3.3.3/32
GE2/0/0 GE1/0/0
PE1 PE2
GE2/0/0 GE1/0/0
GE1/0/0 P GE2/0/0
GE2/0/0 GE2/0/0
Switch1 Switch2
GE1/0/0 GE1/0/0
GE1/0/0 GE1/0/0
CE1 CE2
Switch Interfaz Interfaz VLANIF Dirección IP
PE1 GigabitEthernet1/0/0 GigabitEthernet1/0/0.1 -
- GigabitEthernet2/0/0 VLANIF20 10.1.1.1/24
- Loopback1 - 1.1.1.1/32
PE2 GigabitEthernet1/0/0 VLANIF30 10.2.2.1/24
- GigabitEthernet2/0/0 GigabitEthernet2/0/0.1 -
- Loopback1 - 3.3.3.3/32
P GigabitEthernet1/0/0 VLANIF30 10.2.2.2/24
- GigabitEthernet2/0/0 VLANIF20 10.1.1.2/24
- Loopback1 - 2.2.2.2/32
CE1 GigabitEthernet1/0/0 VLANIF10 10.10.10.1/24
CE2 GigabitEthernet1/0/0 VLANIF10 10.10.10.2/24


1. Configure un protocolo de enrutamiento en los dispositivos (PE y P) de la red de

estructura básica para implementar el interfuncionamiento y habilitar MPLS.
2. Utilice la política de túnel predeterminado para crear un LSP y configure el LSP para la
transmisión de datos.
3. Habilite MPLS L2VPN y cree conexiones de VC en los PE.
4. Configure las subinterfaces de terminación QinQ en las interfaces de PE conectadas a los
switches para implementar el acceso de VLL.
5. Configure QinQ selectivo en las interfaces de conmutación conectadas a los CE.
Procedimiento
Paso 1 Configure las VLAN a las que pertenecen las interfaces de CE, PE y P y asigne direcciones IP
a las interfaces de VLANIF de acuerdo con Figura 9-6.
# Configure CE1 para garantizar que los paquetes enviados desde CE1 hasta Switch1 lleven
una sola etiqueta VLAN.
[CE1] vlan batch 10
[CE1-Vlanif10] quit
# Configure CE2 para garantizar que los paquetes enviados desde CE2 hasta Switch2 lleven
una sola etiqueta VLAN.
[CE2] vlan batch 10
[CE2-Vlanif10] quit
# Configure PE1.
[PE1] vlan batch 20
[PE1-Vlanif20] quit
# Configure P.
[Quidway] sysname P
[P-GigabitEthernet1/0/0] port hybrid pvid vlan 30
[P-GigabitEthernet1/0/0] port hybrid tagged vlan 30


[P-GigabitEthernet2/0/0] port hybrid tagged vlan 20
[P-Vlanif20] quit
[P-Vlanif30] quit
# Configure PE2.
[PE2] vlan batch 30
[PE2-Vlanif30] quit
Paso 2 Configure QinQ selectivo en las interfaces de Switch y especifique las VLAN permitidas por
las interfaces.
# Configure Switch1.
[Switch1] vlan 100
[Switch1] interface gigabitethernet2/0/0
[Switch1-GigabitEthernet2/0/0] port hybrid tagged vlan 100
[Switch1-GigabitEthernet1/0/0] port hybrid untagged vlan 100
[Switch1-GigabitEthernet1/0/0] port vlan-stacking vlan 10 stack-vlan 100 //En un
switch fijo, primero ejecute el comando qinq vlan-translation enable para
habilitar la traducción de VLAN.
[Switch2] vlan 100
[Switch2-GigabitEthernet2/0/0] port hybrid tagged vlan 100
[Switch2-GigabitEthernet1/0/0] port hybrid untagged vlan 100
[Switch2-GigabitEthernet1/0/0] port vlan-stacking vlan 10 stack-vlan 100 //En un
switch fijo, primero ejecute el comando qinq vlan-translation enable para
habilitar la traducción de VLAN.
Paso 3 Configure un IGP en la red de estructura básica MPLS. OSPF se usa como un ejemplo.
Configure PE1, P y PE2 para anunciar direcciones de interfaz de loopback de 32–bit como los
ID de LSR.
# Configure PE1.
[PE1] router id 1.1.1.1

[PE1] ospf 1
[PE1-ospf-1] area 0
[PE1-ospf-1] quit
# Configure P.
[P] router id 2.2.2.2
[P-LoopBack1] quit
[P] ospf 1
[P-ospf-1] area 0
[P-ospf-1] quit
# Configure PE2.
[PE2] router id 3.3.3.3
[PE2] ospf 1
[PE2-ospf-1] area 0
[PE2-ospf-1] quit
# Una vez completada la configuración, PE1, P y PE2 pueden establecer relaciones vecinas
OSPF. Ejecute el comando display ospf peer. Usted puede ver que el estado de la relación de
vecino OSPF es Full. Ejecute el comando display ip routing-table. Usted puede ver que los
PE aprenden la ruta a la interfaz Loopback1 entre ellos. La visualización en PE1 se usa como
un ejemplo:

Neighbors

DR: 10.1.1.2 BDR: 10.1.1.1 MTU: 0
------------------------------------------------------------------------------

2.2.2.2/32 OSPF 10 1 D 10.1.1.2 Vlanif20
3.3.3.3/32 OSPF 10 2 D 10.1.1.2 Vlanif20
10.1.1.0/24 Direct 0 0 D 10.1.1.1 Vlanif20
10.1.1.1/32 Direct 0 0 D 127.0.0.1 Vlanif20
10.2.2.0/24 OSPF 10 2 D 10.1.1.2 Vlanif20


Paso 4 Habilite las funciones básicas de MPLS y el MPLS LDP en la red de estructura básica de
MPLS.
# Configure PE1.
[PE1] mpls
[PE1-mpls] quit
[PE1] mpls ldp
[PE1-mpls-ldp] quit
[PE1-Vlanif20] mpls
[PE1-Vlanif20] quit
# Configure P.
[P] mpls
[P-mpls] quit
[P] mpls ldp
[P-mpls-ldp] quit
[P-Vlanif20] mpls
[P-Vlanif20] quit
[P-Vlanif30] mpls
[P-Vlanif30] quit
# Configure PE2.
[PE2] mpls
[PE2-mpls] quit
[PE2] mpls ldp
[PE2-mpls-ldp] quit
[PE2-Vlanif30] mpls
[PE2-Vlanif30] quit
Paso 5 Ajuste una sesión LDP remota entre los PE.

# Configure PE1.
[PE1] mpls ldp remote-peer 3.3.3.3
[PE1-mpls-ldp-remote-3.3.3.3] remote-ip 3.3.3.3
[PE1-mpls-ldp-remote-3.3.3.3] quit
# Configure PE2.
[PE2] mpls ldp remote-peer 1.1.1.1
[PE2-mpls-ldp-remote-1.1.1.1] remote-ip 1.1.1.1
[PE2-mpls-ldp-remote-1.1.1.1] quit
Una vez completada la configuración, ejecute el comando display mpls ldp session en PE1
para ver la configuración de la sesión LDP. Usted puede ver que una sesión LDP está
configurada entre PE1 y PE2.


------------------------------------------------------------------------------
------------------------------------------------------------------------------
------------------------------------------------------------------------------
Paso 6 Habilite MPLS L2VPN en PE y configure conexiones de VC.

# En PE1, cree una conexión de VC en gigabitethernet1/0/0.1 conectada a Switch1.
[PE1] mpls l2vpn
[PE1-l2vpn] quit
[PE1] interface gigabitethernet1/0/0.1
[PE1-GigabitEthernet1/0/0.1] qinq termination pe-vid 100 ce-vid 10
[PE1-GigabitEthernet1/0/0.1] mpls l2vc 3.3.3.3 101
# En PE2, cree una conexión VC engigabitethernet2/0/0.1 conectada a Switch2.

[PE2] mpls l2vpn
[PE2-l2vpn] quit
[PE2] interface gigabitethernet2/0/0.1
[PE2-GigabitEthernet2/0/0.1] mpls l2vc 1.1.1.1 101

Verifique las conexiones L2VPN en los PE. Usted puede ver que se ha configurado una
conexión L2VC y está en estado Up.
[PE1] display mpls l2vc interface gigabitethernet1/0/0.1
*client interface : GigabitEthernet1/0/0.1 is up
Administrator PW : no
session state : up
AC status : up
Ignore AC state : disable
VC state : up
Ignore AC state : disable
Label state : 0
Token state : 0
VC ID : 101
VC type : VLAN
destination : 3.3.3.3
local group ID : 0 remote group ID : 0
local VC label : 23552 remote VC label : 23552
local AC OAM State : up
local PSN OAM State : up
local forwarding state : forwarding
local status code : 0x0
remote AC OAM state : up
remote PSN OAM state : up
remote forwarding state: forwarding
remote status code : 0x0
ignore standby state : no
BFD for PW : unavailable
VCCV State : up
manual fault : not set
active state : active
forwarding entry : exist
link state : up
local VC MTU : 1500 remote VC MTU : 1500
local VCCV : alert ttl lsp-ping bfd

remote VCCV : alert ttl lsp-ping bfd

local control word : disable remote control word : disable
tunnel policy name : --
PW template name : --
primary or secondary : primary
load balance type : flow
Access-port : false
Switchover Flag : false
VC tunnel/token info : 1 tunnels/tokens
NO.0 TNL type : lsp , TNL ID : 0x10031
Backup TNL type : lsp , TNL ID : 0x0
create time : 1 days, 22 hours, 15 minutes, 9 seconds
up time : 0 days, 22 hours, 54 minutes, 57 seconds
last change time : 0 days, 22 hours, 54 minutes, 57 seconds
VC last up time : 2010/10/09 19:26:37
VC total up time : 1 days, 20 hours, 42 minutes, 30 seconds
CKey : 8
NKey : 3
PW redundancy mode : frr
AdminPw interface : --
AdminPw link state : --
Diffserv Mode : uniform
Service Class : be
Color : --
DomainId : --
Domain Name : --
CE1 y CE2 pueden hacer ping entre sí.

La visualización en CE1 se usa como un ejemplo:
[CE1] ping 10.10.10.2

0.00% packet loss
----Fin
#
sysname CE1
#
vlan batch 10
#
interface Vlanif10
ip address 10.10.10.1 255.255.255.0
#
#
return
l Archivo de configuración de Switch1

#
sysname Switch1
#

vlan batch 100

#
#
#
return
#
sysname PE1
#
router id 1.1.1.1
#
vlan batch 20
#
mpls lsr-id 1.1.1.1
mpls
#
mpls l2vpn
#
mpls ldp
#
mpls ldp remote-peer 3.3.3.3
remote-ip 3.3.3.3
#
interface Vlanif20
ip address 10.1.1.1 255.255.255.0
mpls
mpls ldp
#
qinq termination pe-vid 100 ce-vid 10
mpls l2vc 3.3.3.3 101
#
#
interface LoopBack1
ip address 1.1.1.1 255.255.255.255
#
ospf 1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 10.1.1.0 0.0.0.255
#
return
l Archivo de configuración de P
#
sysname P
#
router id 2.2.2.2
#
vlan batch 20 30
#
mpls lsr-id 2.2.2.2
mpls
#
mpls ldp
#
interface Vlanif20
ip address 10.1.1.2 255.255.255.0
mpls
mpls ldp
#

interface Vlanif30
ip address 10.2.2.2 255.255.255.0
mpls
mpls ldp
#
#
#
interface LoopBack1
ip address 2.2.2.2 255.255.255.255
#
ospf 1
area 0.0.0.0
network 2.2.2.2 0.0.0.0
network 10.1.1.0 0.0.0.255
network 10.2.2.0 0.0.0.255
#
return
#
sysname PE2
#
router id 3.3.3.3
#
vlan batch 30
#
mpls lsr-id 3.3.3.3
mpls
#
mpls l2vpn
#
mpls ldp
#
mpls ldp remote-peer 1.1.1.1
remote-ip 1.1.1.1
#
interface Vlanif30
ip address 10.2.2.1 255.255.255.0
mpls
mpls ldp
#
#
mpls l2vc 1.1.1.1 101
#
interface LoopBack1
ip address 3.3.3.3 255.255.255.255
#
ospf 1
area 0.0.0.0
network 3.3.3.3 0.0.0.0
network 10.2.2.0 0.0.0.255
#
return
#
sysname Switch2
#
vlan batch 100

#
#
#
return

#
sysname CE2
#
vlan batch 10
#
interface Vlanif10
ip address 10.10.10.2 255.255.255.0
#
#
return
9.3 Ejemplo para desplegar BGP/MPLS IP VPN y VPLS en

una red ISP
extender fácilmente y se aplica al despliegue a gran escala. Para agregar un nuevo sitio, el
administrador de red solo necesita modificar la configuración de los nodos de borde que
sirven al nuevo sitio.
BGP/MPLS IP VPN es adecuado para la comunicación entre la sede y las sucursales en

diferentes ubicaciones. Como los datos de comunicación deben atravesar la red de estructura
básica del ISP, se usa BGP para publicitar rutas VPN a través de la red de estructura básica y
se usa MPLS para reenviar paquetes VPN en la red de estructura básica. Como los diferentes
departamentos de una empresa deben aislarse, BGP/MPLS IP VPN puede aislar la ruta, el
espacio de direcciones y el acceso entre diferentes VPN.
VPLS integra las ventajas proporcionadas por Ethernet y MPLS. con la emulación de las
funciones de LAN tradicionales, VPLS habilita los usuarios que están muy separados y en
diferentes LAN Ethernet para que se comuniquen entre sí a través de la red IP/MPLS
proporcionada por el ISP como si estuvieran en la misma LAN.
A medida que las empresas establecen cada día más sucursales en diferentes regiones y
aumenta la flexibilidad de la oficina, las aplicaciones como la mensajería instantánea y las
teleconferencias se usan cada vez más. Esto impone altos requisitos para las tecnologías de
comunicación de datos de extremo a extremo (E2E). Múltiples sucursales de empresa
distribuidas en diferentes regiones necesitan comunicarse a través de la red de área
metropolitana (MAN) proporcionada por el ISP. Los paquetes de servicio de Capa 2 entre las
sucursales empresariales deben transmitirse a través de MAN mediante la tecnología VPLS,
de modo que las sucursales empresariales en diferentes regiones puedan comunicarse entre sí.
El ISP puede usar el mismo dispositivo PE para proporcionar servicios de VPLS y L3VPN
para que las empresas reduzcan los costos de construcción de la red.

l Las tarjetas de la serie SA no son compatibles en este ejemplo. Las tarjetas de la serie
X1E de V200R007 y versiones posteriores son compatibles en este ejemplo.
S5300 S5300HI V200R002C00,

V200R003C00,
V200R005(C00&C01&C0
2)
S5310EI V200R002C00,
V200R003C00,
V200R005(C00&C02)
S5320EI V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S5320HI V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S6300 S6300EI V200R005(C00&C01&C0

2)
S6320EI V200R008C00,
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306, S9312 V200R001C00,

V200R002C00,
V200R003C00,
V200R005C00SPC300,
V200R006C00,
V200R007C00,
V200R008(C00&C10),
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
S9300 S9310 V200R010C00,

V200R011C10,
V200R012C00

S9300X S9310X V200R010C00,

V200R011C10,
V200R012C00
S9300E S9300E V200R001C00,

V200R002C00,
V200R003C00,
V200R005C00SPC300,
V200R006C00,
V200R007C00,
V200R008(C00&C10),
V200R009C00,
V200R010C00,
V200R011C10,
V200R012C00
NOTA
Requisitos de red
Como se muestra en Figura 9-7:
l Un ISP proporciona servicios VPLS y L3VPN.
l CE1 conectado a la sede de la empresa A y CE3 conectado a una sucursal pertenecen al
mismo VPLS para proporcionar servicios de Capa 2. CE1 y CE3 están vinculados a
vpna a implementar una transmisión segura de los datos de Capa 3.
l CE2 conectado a la sede de la empresa B y CE4 conectado a una sucursal pertenecen al
mismo VPLS para proporcionar servicios de Capa 2. CE2 y CE4 están vinculados a
vpna a implementar una transmisión segura de los datos de Capa 3.
l El QinQ selectivo debe configurarse en las interfaces del lado CE en los switches para
agregar las etiquetas VLAN externas especificadas por el ISP a los paquetes enviados
desde los dispositivos CE. Si un switch se conecta a múltiples dispositivos CE, puede
agregar la misma etiqueta VLAN a los paquetes de diferentes dispositivos CE. Esto
ahorra las ID de VLAN en la red ISP.

Figura 9-7 Redes para desplegar BGP/MPLS IP VPN y VPLS en una red ISP
AS: 65410 vsi1 vsi1 AS: 65430

vpna vpna
GE1/0/0 GE1/0/0
VLANIF10 CE1 VLANIF10 CE3
10.1.1.1/24 10.3.1.1/24
Loopback1
2.2.2.9/32
GE1/0/0 GE1/0/0 GE2/0/0 GE1/0/0
PE1 VLANIF30 VLANIF60 PE2
Loopback1 172.1.1.2/24 172.2.1.1/24 Loopback1
1.1.1.9/32 GE3/0/0 3.3.3.9/32
GE3/0/0
VLANIF30 P VLANIF60
GE2/0/0 172.1.1.1/24 172.2.1.2/24 GE2/0/0
AS: 100
VPN de estructura básica
GE2/0/0 GE2/0/0
Switch1 Switch2
GE1/0/0 GE1/0/0
GE1/0/0 GE1/0/0
CE2 VLANIF20 VLANIF20 CE4
10.2.1.1/24 10.4.1.1/24
vpnb vpnb
vsi2 vsi2
AS: 65420 AS: 65440
Plan de datos
Dispositivo Interfaz Subinterfaz Dirección IP
PE1 GigabitEthernet1/0/0 GigabitEthernet1/0/0.1 10.1.1.2/24


1. Configure OSPF entre los dispositivos P y PE para garantizar la conectividad IP en la red
de estructura básica.
2. Habilite las capacidades básicas de MPLS y MPLS LDP en los dispositivos P y PE para
configurar túneles de MPLS LSP para la transmisión de datos VPN en la red de
estructura básica.
3. Configure MP-IBGP en PE1 y PE2 para habilitarlas a intercambiar información de
enrutamiento VPN.
4. Configure BGP/MPLS IP VPN. Configure las instancias de L3VPN vpna y vpnb en
PE1 y PE2. Establezca el VPN-target de vpna en 111:1 y el VPN-target de vpnb en
222:2. Esta configuración permite a los usuarios comunicarse en la misma VPN entre
ellos y aísla a los usuarios en diferentes VPN. Configure las subinterfaces de terminación
dot1q para paquetes de etiqueta única enviados desde CE1 y CE3. Configure las
subinterfaces de terminación de QinQ para los paquetes de doble etiqueta enviados desde
CE2 y CE4.
5. Configure el servicio VPLS. Cree instancias de VSI de VPLS en PE1 y PE2. En cada
instancia de VSI, especifique BGP como el protocolo de señalización y configure el RD,
VPN-target y Site. Vincule las subinterfaces a instancias de VSI para que las
subinterfaces funcionen como interfaces de AC para proporcionar acceso a los usuarios
de VPLS. Configure las subinterfaces de terminación dot1q para paquetes de etiqueta
única enviados desde CE1 y CE3. Configure las subinterfaces de terminación de QinQ
para los paquetes de doble etiqueta enviados desde CE2 y CE4.
6. Configure QinQ selectivo en las interfaces del lado CE de los switches y especifique las
VLAN permitidas por las interfaces.
7. Configure las relaciones de pares EBGP entre los dispositivos CE y PE para que puedan
Procedimiento
Paso 1 Configure un protocolo IGP en la red de estructura básica MPLS para que los dispositivos PE
y P puedan comunicarse entre sí.
# Configure PE1.
[PE1] vlan batch 30
[PE1-Vlanif30] quit
[PE1] ospf 1
[PE1-ospf-1] area 0
[PE1-ospf-1] quit
# Configure P.

[Quidway] sysname P
[P-LoopBack1] quit
[P-GigabitEthernet1/0/0] port hybrid untagged vlan 30
[P-GigabitEthernet2/0/0] port hybrid untagged vlan 60
[P-Vlanif30] quit
[P-Vlanif60] quit
[P] ospf 1
[P-ospf-1] area 0
[P-ospf-1] quit
# Configure PE2.
[PE2] vlan batch 60
[PE2-Vlanif60] quit
[PE2] ospf 1
[PE2-ospf-1] area 0
[PE2-ospf-1] quit
Después de completar la configuración, las relaciones de vecinos OSPF se pueden configurar

entre PE1, P y PE2. Ejecute el comando display ospf peer en PE1, P y PE2, y puede ver que
el estado vecino es Full. Ejecute el comando display ip routing-table en PE1 y PE2, y puede
ver que PE1 y PE2 aprendieron las rutas a la dirección Loopback1 de cada uno.
------------------------------------------------------------------------------

2.2.2.9/32 OSPF 10 1 D 172.1.1.2 Vlanif30
3.3.3.9/32 OSPF 10 2 D 172.1.1.2 Vlanif30


172.1.1.0/24 Direct 0 0 D 172.1.1.1 Vlanif30
172.1.1.1/32 Direct 0 0 D 127.0.0.1 Vlanif30
172.2.1.0/24 OSPF 10 2 D 172.1.1.2 Vlanif30

Neighbors

DR: 172.1.1.2 BDR: 172.1.1.1 MTU: 0
Paso 2 Habilite las capacidades básicas de MPLS y MPLS LDP en los dispositivos PE para
configurar los LDP LSP en la red de estructura básica MPLS.
# Configure PE1.
[PE1] mpls
[PE1-mpls] quit
[PE1] mpls ldp
[PE1-mpls-ldp] quit
[PE1-Vlanif30] mpls
[PE1-Vlanif30] quit
# Configure P.
[P] mpls
[P-mpls] quit
[P] mpls ldp
[P-mpls-ldp] quit
[P-Vlanif30] mpls
[P-Vlanif30] quit
[P-Vlanif60] mpls
[P-Vlanif60] quit
# Configure PE2.
[PE2] mpls
[PE2-mpls] quit
[PE2] mpls ldp
[PE2-mpls-ldp] quit
[PE2-Vlanif60] mpls
[PE2-Vlanif60] quit
Después de completar la configuración, las sesiones de LDP se establecen entre PE1 y P, entre
P y PE2. Ejecute el comando display mpls ldp session en PE1, P y PE2, y puede ver que el
estado (Status) de la sesión LDP es Operational. Ejecute el comando display mpls ldp lsp y
podrá ver información sobre los LDP LSP establecidos.


------------------------------------------------------------------------------
------------------------------------------------------------------------------
2.2.2.9:0 Operational DU Active 0000:00:01 6/6
------------------------------------------------------------------------------
[PE1] display mpls ldp lsp
LDP LSP Information

-------------------------------------------------------------------------------
Flag after Out IF: (I) - LSP Is Only Iterated by RLFA
-------------------------------------------------------------------------------
DestAddress/Mask In/OutLabel UpstreamPeer NextHop OutInterface
-------------------------------------------------------------------------------
1.1.1.9/32 3/NULL 2.2.2.9 127.0.0.1 Inloop0
*1.1.1.9/32 Liberal/1025 DS/2.2.2.9
2.2.2.9/32 NULL/3 - 172.1.1.2 Vlanif30
2.2.2.9/32 1024/3 2.2.2.9 172.1.1.2 Vlanif30
3.3.3.9/32 NULL/1025 - 172.1.1.2 Vlanif30
3.3.3.9/32 1025/1025 2.2.2.9 172.1.1.2 Vlanif30
-------------------------------------------------------------------------------
TOTAL: 5 Normal LSP(s) Found.
TOTAL: 1 Liberal LSP(s) Found.
TOTAL: 0 Frr LSP(s) Found.
A '*' before an LSP means the LSP is not established
A '*' before a Label means the USCB or DSCB is stale
A '*' before a UpstreamPeer means the session is stale
A '*' before a DS means the session is stale
A '*' before a NextHop means the LSP is FRR LSP
Paso 3 Configure las instancias L3VPN en los dispositivos PE. Configure las subinterfaces de
terminación dot1q para paquetes de etiqueta única desde vpna. Configure las subinterfaces de
terminación QinQ para paquetes de doble etiqueta desde vpnb. (Los usuarios del servicio de
Capa 3 son identificados por la VLAN 10 y la VLAN 20, y los dispositivos PE usan la VLAN
10 y la VLAN 100 para identificar los servicios de Capa 3.)
# Configure PE1.
[PE1] interface gigabitethernet 1/0/0.1
[PE1-GigabitEthernet1/0/0.1] dot1q termination vid 10
[PE1-GigabitEthernet1/0/0.1] ip binding vpn-instance vpna
[PE1-GigabitEthernet1/0/0.1] ip address 10.1.1.2 24
[PE1-GigabitEthernet1/0/0.1] arp broadcast enable
[PE1-GigabitEthernet2/0/0.1] ip binding vpn-instance vpnb
# Configure PE2.

[PE2-GigabitEthernet1/0/0.1] ip binding vpn-instance vpna
[PE2-GigabitEthernet2/0/0.1] ip binding vpn-instance vpnb
# Configure CE1 conectándose a la sede de la empresa A. Configure las direcciones IP para

las interfaces de CE2, CE3 y CE4 de acuerdo con Figura 9-7. Las configuraciones de CE2,
CE3 y CE4 son similares a la configuración de CE1 y no se mencionan aquí.
[CE1] vlan batch 10 to 11
[CE1-GigabitEthernet1/0/0] port hybrid tagged vlan 10 to 11
[CE1-Vlanif10] quit

en PE1 y PE2 para ver la configuración de la instancia de VPN. Los dispositivos PE pueden
hacer ping a los dispositivos CE conectados a ellos.
NOTA
Si un dispositivo PE tiene múltiples interfaces vinculadas a la misma instancia de VPN, debe especificar
una dirección IP de origen cuando haga ping al dispositivo CE conectado al dispositivo PE remoto. Para
especificar la dirección IP de origen, configure el parámetro -a source-ip-address en el comando ping -
vpn-instance vpn-instance-name -a source-ip-address dest-ip-address. Si no se especifica una dirección
IP de origen, la operación de ping falla.
La prueba de ping de PE1 a CE1 se usa como ejemplo:

[PE1] display ip vpn-instance verbose
Total VPN-Instances configured : 2
VPN-Instance Name and ID : vpna, 1

Address family ipv4
Create date : 2012/07/25 00:58:17 UTC+08:00
Log Interval : 5
VPN-Instance Name and ID : vpnb, 2

Address family ipv4

Create date : 2012/07/25 00:58:17 UTC+08:00

Log Interval : 5
[PE1] ping -vpn-instance vpnb 10.2.1.1

0.00% packet loss
Paso 4 Cree instancias de VSI de VPLS en PE1 y PE2. En cada instancia de VSI, especifique BGP
como el protocolo de señalización y configure el RD, VPN-target y Site. Vincule las
subinterfaces a instancias de VSI para que las subinterfaces funcionen como interfaces de AC
para proporcionar acceso a los usuarios de VPLS. Configure las subinterfaces de terminación
dot1q para paquetes de etiqueta única enviados desde CE1 y CE3. Configure las subinterfaces
de terminación de QinQ para los paquetes de doble etiqueta enviados desde CE2 y CE4. (Los
dispositivos CE usan la VLAN 11 y la VLAN 21 para identificar a los usuarios del servicio de
Capa 2, y los dispositivos PE usan la VLAN 11 y la VLAN 200 para identificar los servicios
de Capa 2.)
# Configure PE1.
[PE1] mpls l2vpn
[PE1-l2vpn] quit
[PE1] vsi vsi1 auto
[PE1-vsi-vsi1] pwsignal bgp
[PE1-vsi-vsi1-bgp] route-distinguisher 101:1
[PE1-vsi-vsi1-bgp] vpn-target 100:1 import-extcommunity
[PE1-vsi-vsi1-bgp] vpn-target 100:1 export-extcommunity
[PE1-vsi-vsi1-bgp] site 1 range 5 default-offset 0
[PE1-vsi-vsi1-bgp] quit
[PE1-vsi-vsi1] quit
[PE1] vsi vsi2 auto
[PE1-vsi-vsi2] quit
[PE1-GigabitEthernet1/0/0.2] l2 binding vsi vsi1
# Configure PE2.
[PE2] mpls l2vpn
[PE2-l2vpn] quit
[PE2] vsi vsi1 auto


[PE2-vsi-vsi1] quit
[PE2] vsi vsi2 auto
[PE2-vsi-vsi2] quit
Paso 5 Configure las relaciones entre peers EBGP entre los dispositivos PE y CE e importe las rutas
L3VPN a BGP.
# Configure CE1 conectándose a la sede de la empresa A. Las configuraciones de CE2, CE3 y
CE4 son similares a las de CE1 y no se mencionan aquí.
[CE1] bgp 65410
[CE1-bgp] quit
# Configure PE1. La configuración de PE2 es similar a la de PE1, y no se menciona aquí.

[PE1] bgp 100
[PE1-bgp-vpna] quit
[PE1-bgp-vpnb] quit
[PE1-bgp]quit

peer en los dispositivos PE. Puede ver que las relaciones de peers de BGP entre los
dispositivos PE y CE se han establecido y se encuentran en el estado Established.
La relación de peers BGP entre PE1 y CE1 se usa como un ejemplo:
[PE1] display bgp vpnv4 vpn-instance vpna peer


PrefRcv
10.1.1.1 4 65410 11 9 0 00:07:25 Established

1
Paso 6 Establezca una relación de peers MP-IBGP entre PE1 y PE2.

# Configure PE1.

[PE1] bgp 100

[PE1-bgp] vpls-family
[PE1-bgp-af-vpls] peer 3.3.3.9 enable
[PE1-bgp-af-vpls] quit
[PE1-bgp] quit
# Configure PE2.
[PE2] bgp 100
[PE2-bgp] vpls-family
[PE2-bgp-af-vpls] peer 1.1.1.9 enable
[PE2-bgp-af-vpls] quit
[PE2-bgp] quit
Paso 7 Configure QinQ selectivo en las interfaces del lado CE de los switches y especifique las
VLAN permitidas por las interfaces.
[Switch1] vlan batch 100 200
[Switch1-GigabitEthernet2/0/0] port hybrid tagged vlan 100 200
[Switch1-GigabitEthernet1/0/0] port hybrid untagged vlan 100 200
[Switch1-GigabitEthernet1/0/0] port vlan-stacking vlan 20 stack-vlan 100
[Switch2] vlan batch 100 200
[Switch2-GigabitEthernet2/0/0] port hybrid tagged vlan 100 200
[Switch2-GigabitEthernet1/0/0] port hybrid untagged vlan 100 200

Ejecute el comando display ip routing-table vpn-instance en PE1 y PE2 para ver las rutas
L3VPN a los dispositivos CE remotos.
------------------------------------------------------------------------------

10.1.1.0/24 Direct 0 0 D 10.1.1.2 Vlanif10

10.1.1.2/32 Direct 0 0 D 127.0.0.1 Vlanif10
10.3.1.0/24 IBGP 255 0 RD 3.3.3.9 Vlanif30
[PE1] display ip routing-table vpn-instance vpnb
------------------------------------------------------------------------------
Routing Tables: vpnb

10.2.1.0/24 Direct 0 0 D 10.2.1.2 Vlanif20
10.2.1.2/32 Direct 0 0 D 127.0.0.1 Vlanif20
10.4.1.0/24 IBGP 255 0 RD 3.3.3.9 Vlanif30
Los dispositivos CE en la misma instancia VPN pueden hacer ping entre sí con éxito,
mientras que los dispositivos CE en diferentes instancias VPN no pueden hacerlo.
Por ejemplo, CE1 conectada a la sede de la empresa A puede hacer ping a CE3 conectada a
una sucursal en 10.3.1.1 pero no puede hacer ping a CE4 conectada a la sede de la empresa B
en 10.4.1.1.
[CE1] ping 10.3.1.1
0.00% packet loss
[CE1] ping 10.4.1.1
Request time out
Request time out
Request time out
Request time out
Request time out
100.00% packet loss
Ejecute el comando display vsi name vsi2 verbose en PE1, y puede ver que vsi2 tiene un PW
a PE2 y está en estado Up.
[PE1] display vsi name vsi2 verbose
***VSI Name : vsi2

Administrator VSI : no
Isolate Spoken : disable
VSI Index : 1
PW Signaling : bgp
Member Discovery Style : auto
PW MAC Learn Style : unqualify
Encapsulation Type : vlan
MTU : 1500
Diffserv Mode : uniform
Mpls Exp : --
DomainId : 255
Domain Name :
Ignore AcState : disable
P2P VSI : disable
Create Time : 0 days, 0 hours, 22 minutes, 6 seconds
VSI State : up
BGP RD : 101:2

SiteID/Range/Offset : 1/5/0
Import vpn target : 200:1
Export vpn target : 200:1
Remote Label Block : 35845/5/0
Local Label Block : 0/35845/5/0
Interface Name : GigabitEthernet2/0/0.2

State : up
Access Port : false
Last Up Time : 2012/12/24 21:19:48
Total Up Time : 0 days, 0 hours, 20 minutes, 42 seconds
**PW Information:
*Peer Ip Address : 3.3.3.9

PW State : up
Local VC Label : 35847
Remote VC Label : 35846
PW Type : label
Local VCCV : alert lsp-ping bfd
Remote VCCV : alert lsp-ping bfd
Tunnel ID : 0x5
Broadcast Tunnel ID : 0x5
Broad BackupTunnel ID : 0x0
Ckey : 0xc
Nkey : 0xb
Main PW Token : 0x5
Slave PW Token : 0x0
Tnl Type : LSP
OutInterface : Vlanif30
Backup OutInterface :
Stp Enable : 0
PW Last Up Time : 2012/12/24 21:38:43
PW Total Up Time : 0 days, 0 hours, 1 minutes, 47 seconds
----Fin
#
sysname PE1
#
vlan batch 30
#
ipv4-family
#
ipv4-family
#
mpls lsr-id 1.1.1.9
mpls
#
mpls l2vpn
#
vsi vsi1 auto
pwsignal bgp
site 1 range 5 default-offset 0

#
vsi vsi2 auto
pwsignal bgp
#
mpls ldp
#
interface Vlanif30
ip address 172.1.1.1 255.255.255.0
mpls
mpls ldp
#
#
ip address 10.1.1.2 255.255.255.0
#
l2 binding vsi vsi1
#
#
ip address 10.2.1.2 255.255.255.0
#
l2 binding vsi vsi2
#
#
interface LoopBack1
ip address 1.1.1.9 255.255.255.255
#
bgp 100
#
ipv4-family unicast
peer 3.3.3.9 enable
#
vpls-family
policy vpn-target
peer 3.3.3.9 enable
#
ipv4-family vpnv4
policy vpn-target
peer 3.3.3.9 enable
#
import-route direct
#
import-route direct

#
ospf 1
area 0.0.0.0
network 172.1.1.0 0.0.0.255
network 1.1.1.9 0.0.0.0
#
return
l Archivo de configuración del dispositivo P
#
sysname P
#
vlan batch 30 60
#
mpls lsr-id 2.2.2.9
mpls
#
mpls ldp
#
interface Vlanif30
ip address 172.1.1.2 255.255.255.0
mpls
mpls ldp
#
interface Vlanif60
ip address 172.2.1.1 255.255.255.0
mpls
mpls ldp
#
#
#
interface LoopBack1
ip address 2.2.2.9 255.255.255.255
#
ospf 1
area 0.0.0.0
network 172.1.1.0 0.0.0.255
network 172.2.1.0 0.0.0.255
network 2.2.2.9 0.0.0.0
#
return
#
sysname PE2
#
vlan batch 60
#
ipv4-family
#
ipv4-family
#
mpls lsr-id 3.3.3.9
mpls
#
mpls l2vpn

#
vsi vsi1 auto
pwsignal bgp
#
vsi vsi2 auto
pwsignal bgp
#
mpls ldp
#
interface Vlanif60
ip address 172.2.1.2 255.255.255.0
mpls
mpls ldp
#
#
ip address 10.3.1.2 255.255.255.0
#
l2 binding vsi vsi1
#
#
ip address 10.4.1.2 255.255.255.0
#
l2 binding vsi vsi2
#
#
interface LoopBack1
ip address 3.3.3.9 255.255.255.255
#
bgp 100
#
ipv4-family unicast
peer 1.1.1.9 enable
#
vpls-family
policy vpn-target
peer 1.1.1.9 enable
#
ipv4-family vpnv4
policy vpn-target
peer 1.1.1.9 enable
#


import-route direct
#
import-route direct
#
ospf 1
area 0.0.0.0
network 172.2.1.0 0.0.0.255
network 3.3.3.9 0.0.0.0
#
return
l Archivo de configuración de CE1 que se conecta a la sede de la empresa A
#
sysname CE1
#
vlan batch 10 to 11
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
#
bgp 65410
#
ipv4-family unicast
import-route direct
#
return
l Archivo de configuración de CE2 que se conecta a la sede de la empresa B
#
sysname CE2
#
vlan batch 20 to 21
#
interface Vlanif20
ip address 10.2.1.1 255.255.255.0
#
#
bgp 65420
#
ipv4-family unicast
import-route direct
#
return
l Archivo de configuración de CE3 que se conecta a una sucursal de la empresa A
#
sysname CE3
#
vlan batch 10 to 11
#
interface Vlanif10
ip address 10.3.1.1 255.255.255.0
#

#
bgp 65430
#
ipv4-family unicast
import-route direct
#
return
l Archivo de configuración de CE4 que se conecta a una sucursal de la empresa B

#
sysname CE4
#
vlan batch 20 to 21
#
interface Vlanif20
ip address 10.4.1.1 255.255.255.0
#
#
bgp 65440
#
ipv4-family unicast
import-route direct
#
return

#
sysname Switch1
#
vlan batch 100 200
#
#
#
return

#
sysname Switch2
#
vlan batch 100 200
#
#
#
return

Ejemplos típicos de configuración 10 Configuración de confiabilidad típica
10 Configuración de confiabilidad típica
10.1 Configuración típica de BFD

10.2 Configuración típica de VRRP
10.1 Configuración típica de BFD
10.1.1 Ejemplo para asociar el estado de la sesión BFD con el

estado de la interfaz
Descripción general de BFD

Un dispositivo de red debe detectar rápidamente fallos de comunicación entre dispositivos
adyacentes, de forma que se puedan tomar medidas inmediatamente y se puedan evitar las
interrupciones del servicio. En la práctica, la detección de hardware se usa para detectar fallas
de enlace. Por ejemplo, las alarmas de Jerarquía digital síncrona (SDH) se utilizan para
informar fallas de enlace. Sin embargo, no todos los medios pueden proporcionar el
mecanismo de detección de hardware. Las aplicaciones usan el mecanismo Hello del
protocolo de enrutamiento de capa superior para detectar fallas. La detección con este
mecanismo lleva más de 1 segundo, que es demasiado larga para algunas aplicaciones. En una
red Layer 3, el mecanismo de detección de paquetes Hello no puede detectar fallas para todas
las rutas, como las rutas estáticas. Esto significa que una falla entre sistemas interconectados
es difícil de localizar.
BFD proporciona una detección rápida de fallas independiente de los medios y los protocolos
de enrutamiento. Con la detección y conmutación de fallas a nivel de milisegundos, BFD es
apropiado para escenarios que son sensibles a la pérdida y la demora de paquetes.
l El discriminador local del sistema local y el discriminador remoto del sistema remoto
deben ser el mismo. Si el discriminador local del sistema local y el discriminador remoto

del sistema remoto son diferentes, no se puede configurar una sesión BFD estática.
Después de configurar el discriminador local y el discriminador remoto, no se puede
modificarlos.
l Si una sesión BFD está vinculada a la dirección de multidifusión predeterminada, el
discriminador local y el discriminador remoto deben ser diferentes.
l Si se configura el tiempo de WTR, configure el mismo tiempo de WTR en ambos
dispositivos. De lo contrario, cuando el estado de la sesión BFD se cambia en un
dispositivo, las aplicaciones en ambos dispositivos detectan diferentes estados de sesión
BFD.

Produ Modelo del Versión del software
cto Producto
S3300 S3300EI V100R006C05
S3300HI V200R001C00
S5300 S5320SI V200R008(C00&C10), V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5300HI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00, V200R005(C00&C02)
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320SI V200R011C10, V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306 y V200R001C00, V200R002C00, V200R003C00,

S9312 V200R005C00SPC300, V200R006C00, V200R007C00,
V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10, V200R012C00


cto Producto
S9300 S9310X V200R010C00, V200R011C10, V200R012C00

X
S9300 S9303E, V200R001C00, V200R002C00, V200R003C00,

E S9306E y V200R005C00SPC300, V200R006C00, V200R007C00,
S9312E V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Requisitos de redes
En Figura 10-1, SwitchA se conecta directamente a SwitchB en la capa de red y los
dispositivos de transmisión de Capa 2, SwitchC y SwitchD, se despliegan entre ellos. Se
requiere que SwitchA y SwitchB detecten rápidamente las fallas de enlace de los dispositivos
de transmisión de Capa 2 para activar la convergencia de ruta rápida.
Figura 10-1 Asociar el estado de la sesión BFD con el estado de la interfaz

VLAINF 10 VLAINF 10
10.1.1.1/24 10.1.1.2/24
GE1/0/1 GE1/0/1
SwitchA SwitchC SwitchD SwitchB

1. Configure una sesión BFD en SwitchA y SwitchB para detectar fallas en el enlace entre
SwitchA y SwitchB.
2. Configure la asociación entre el estado de la sesión BFD y el estado de la interfaz en
SwitchA y SwitchB después de que la sesión BFD se convierta en Up.
Procedimiento
Paso 1 Establezca las direcciones IP de las interfaces directamente conectadas en SwitchA y
SwitchB.
# Asigne una dirección IP a la interfaz de SwitchA.
[SwitchA] vlan 10


# Asigne una dirección IP a la interfaz de SwitchB.

[SwitchB] vlan 10
Paso 2 Configure BFD de un solo salto.

# Habilite BFD en SwitchA y establezca una sesión de BFD llamada atob entre SwitchA y
SwitchB.
[SwitchA] bfd //Habilite BFD globalmente.
[SwitchA-bfd] quit
[SwitchA] bfd atob bind peer-ip default-ip interface gigabitethernet 1/0/1 //
Configure una sesión BFD nombrada atob.
[SwitchA-bfd-session-atob] discriminator local 10 //Configure el discriminador
local de la sesión BFD. El discriminador local en SwitchA debe ser el mismo que
el discriminador remoto en SwitchB.
[SwitchA-bfd-session-atob] discriminator remote 20 //Configure el discriminador
remoto de la sesión BFD. El discriminador remoto en SwitchA debe ser el mismo que
el discriminador local en SwitchB.
[SwitchA-bfd-session-atob] commit //Confirme la sesión de BFD para que la
configuración se ponga en vigor.
[SwitchA-bfd-session-atob] quit
# Habilite BFD en SwitchB y establezca una sesión de BFD llamada btoa entre SwitchB y
SwitchA.
[SwitchB] bfd
[SwitchB-bfd] quit
[SwitchB] bfd btoa bind peer-ip default-ip interface gigabitethernet 1/0/1 //
Configure una sesión BFD nombrada btoa.
[SwitchB-bfd-session-btoa] discriminator local 20
[SwitchB-bfd-session-btoa] discriminator remote 10
[SwitchB-bfd-session-btoa] commit
[SwitchB-bfd-session-btoa] quit
# Una vez completada la configuración, ejecute el comando display bfd session all verbose
en SwitchA y SwitchB. Puede ver que una sesión BFD de un solo salto está configurada y su
estado es Up. La visualización en SwitchA se usa como un ejemplo.
[SwitchA] display bfd session all verbose
--------------------------------------------------------------------------------
Session MIndex : 16384 (One Hop) State : Up Name : atob
--------------------------------------------------------------------------------
Bind Peer Ip Address : 224.0.0.184

Proc interface status : Disable Process PST : Disable

WTR Interval (ms) : -
Active Multi : 3
Bind Application : No Application Bind
Session TX TmrID : - Session Detect TmrID : -
--------------------------------------------------------------------------------
Paso 3 Configure el enlace entre el estado de la sesión BFD y el estado de la interfaz.
# Configure el enlace entre el estado de la sesión BFD y el estado de la interfaz en SwitchA.

[SwitchA] bfd atob
[SwitchA-bfd-session-atob] process-interface-status
# Configure el enlace entre el estado de la sesión BFD y el estado de la interfaz en SwitchB.

[SwitchB] bfd btoa
[SwitchB-bfd-session-btoa] process-interface-status
Una vez completada la configuración, ejecute el comando display bfd session all verbose en
SwitchA y SwitchB. Pueden ver que el campo Proc interface status es Enable.
La visualización en SwitchA se usa como un ejemplo.

--------------------------------------------------------------------------------
Session MIndex : 16384 (One Hop) State : Up Name : atob
--------------------------------------------------------------------------------
Proc interface status : Enable Process PST : Disable
Active Multi : 3
--------------------------------------------------------------------------------
Ejecute el comando shutdown en GE1/0/1 de SwitchB para hacer que la sesión de BFD es
Down.


Ejecute los comandos display bfd session all verbose y display interface
gigabitethernet1/0/1 en SwitchA. Pueden ver que el estado de la sesión BFD es Down, y el
estado de GE1/0/1 es UP (BFD status down).
--------------------------------------------------------------------------------
Session MIndex : 16384 (One Hop) State : Down Name : atob
--------------------------------------------------------------------------------
Proc interface status : Enable Process PST : Disable
Active Multi : 3
Last Local Diagnostic : Control Detection Time Expired
--------------------------------------------------------------------------------

[SwitchA] display interface gigabitethernet 1/0/1
GigabitEthernet1/0/1 current state : UP
Line protocol current state : UP(BFD status down)
...
NOTA
Solo la información importante aparece en la lista debajo del comando display interface
gigabitethernet1/0/1 y "..." indica que esa información se omite.
----Fin
#
sysname SwitchA
#
vlan batch 10
#
bfd
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
#
bfd atob bind peer-ip default-ip interface GigabitEthernet1/0/1

process-interface-status
commit
#
return

#
sysname SwitchB
#
vlan batch 10
#
bfd
#
interface Vlanif10
ip address 10.1.1.2 255.255.255.0
#
port hybrid untagged vlan10
#
bfd btoa bind peer-ip default-ip interface GigabitEthernet1/0/1
process-interface-status
commit
#
return
10.2 Configuración típica de VRRP
10.2.1 Ejemplo para configurar un grupo de VRRP en modo

activo/standby
Descripción general de VRRP activo/standby

Generalmente, todos los hosts en el mismo segmento de red tienen la dirección del gateway
como la dirección del siguiente salto para el enrutamiento predeterminado . Los hosts utilizan
el enrutamiento predeterminado para enviar paquetes al gateway y el gateway reenvía los
gateways de salida múltiples es un método común para mejorar la confiabilidad del sistema.
Sin embargo, la selección de ruta entre los gateways se convierte en un problema.
VRRP resuelve este problema. VRRP virtualiza múltiples dispositivos de enrutamiento en un

gateway predeterminado para implementar el gateway de reserva. Cuando el gateway se
vuelve defectuoso, VRRP selecciona un nuevo gateway para transmitir tráfico de servicio
para garantizar una comunicación confiable.
Se recomienda que establezca el retardo de preferencia de Backup en un grupo VRRP en 0,

configure Master en el modo de preferencia y establezca el retardo de preferencia en más de
15 segundos. Estas configuraciones permiten un período para la sincronización de estado
entre el enlace ascendente y el enlace descendente en una red inestable. Si no se utilizan las
configuraciones anteriores, los dos Masters pueden coexistir y los dispositivos del usuario
pueden aprender una dirección incorrecta de Master. Como resultado, el tráfico se interrumpe.

l Modo de preferencia: Backup va a ser Master cuando su prioridad es mayor que Master.
l Modo de no preferencia: Siempre que Master esté funcionando correctamente, Backup
con una prioridad más alta no puede convertirse en Master.
VLANIF.
mismo VRID.

ucto Producto
S2300 S2320EI V200R011C10, V200R012C00
S3300 S3300EI V100R006C05
S3300HI V200R001C00
S5300 S5320LI V200R010C00, V200R011C10, V200R012C00
S5320SI V200R008(C00&C10), V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5300HI V200R001(C00&C01), V200R002C00,

V200R003C00, V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S5330SI V200R011C10, V200R012C00


ucto Producto
S6300 S6300EI V200R001(C00&C01), V200R002C00,

V200R003C00, V200R005(C00&C01&C02)
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320SI V200R011C10, V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306 y V200R001C00, V200R002C00, V200R003C00,

S9312 V200R005C00SPC300, V200R006C00,
V200R007C00, V200R008(C00&C10),
V200R009C00, V200R010C00, V200R011C10,
V200R012C00
S9300 S9310 V200R010C00, V200R011C10, V200R012C00
S9300 S9310X V200R010C00, V200R011C10, V200R012C00

X

E S9312E V200R005C00SPC300, V200R006C00,
V200R007C00, V200R008(C00&C10),
V200R009C00, V200R010C00, V200R011C10,
V200R012C00
NOTA
Requisitos de redes
En Figura 10-2, HostA es dual-homed a SwitchA y SwitchB a través del switch. Para
garantizar la transmisión ininterrumpida del servicio, un grupo VRRP en modo activo/standby
debe configurarse en SwitchA y SwitchB.
l El host utiliza SwitchA como el gateway predeterminado para conectarse a Internet.
Cuando SwitchA está defectuoso, SwitchB funciona como el gateway. Esto implementa
el gateway de reserva.
l Después de que SwitchA se recupera, va a ser Master para transmitir datos después de un
retraso de prioridad de 20 segundos.
NOTA
normalmente.

Figura 10-2 Redes para configurar un grupo VRRP en modo activo/standby

VRRP VRID 1
Dirección IP virtual: 10.1.1.111 SwitchA
GE1/0/2 Master
GE1/0/1
10.1.1.1/24
192.168.1.1/24
GE1/0/1
GE1/0/1 192.168.1.2/24
GE1/0/3
Switch SwitchC Red
172.16.1.1/24
HostA GE1/0/2 GE1/0/2
192.168.2.2/24
10.1.1.100/24
GE1/0/1
GE1/0/2
192.168.2.1/24
10.1.1.2/24
SwitchB
Backup

2. Configure un grupo VRRP en SwitchA ySwitchB. Establezca una prioridad más alta
para SwitchA para que SwitchA funcione como Master de reenviar el tráfico y
establezca el retraso de preferencia en 20s en SwitchA. Establezca una prioridad más
baja para SwitchB para que SwitchB funcione como la copia de seguridad.
Procedimiento
# Asigne una dirección IP a cada interfaz. SwitchA se usa como un ejemplo. Las
# Configure el reenvío de Capa 2 en el switch.

[Switch] vlan 100
# Configure OSPF en SwitchA, SwitchB, y SwitchC. SwitchA se usa como un ejemplo. Las
[SwitchA] ospf 1

# Configure el grupo 1 de VRRP en SwitchA, y establezca la prioridad de SwitchA a 120 y el
[SwitchA-Vlanif100] vrrp vrid 1 priority 120 //La prioridad
predeterminada de un dispositivo en un grupo VRRP es 100. Cambie la prioridad de
Master para que sea más alta que Backup.
[SwitchA-Vlanif100] vrrp vrid 1 preempt-mode timer delay 20 //Un dispositivo en
un grupo VRRP usa prioridad inmediata por defecto. Cambie la demora de
preferencia de Master para evitar interrupciones de servicio en una red inestable
donde los dispositivos en el grupo VRRP se adelantan como Master.
# Configure el grupo 1 de VRRP en SwitchB. SwitchB usa el valor predeterminado 100.


# Una vez completada la configuración, ejecute el comando display vrrp en SwitchA y
SwitchB. Pueden ver que SwitchA está en estado Master y SwitchB está en estado Backup.
State : Master
Virtual IP : 10.1.1.111
PriorityRun : 120
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2012-01-12 20:15:46
Last change time : 2012-01-12 20:15:46


State : Backup
Virtual IP : 10.1.1.111
PriorityRun : 100
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2012-01-12 20:15:46
Last change time : 2012-01-12 20:15:46
# Ejecute el comando display ip routing-table en SwitchA y SwitchB. El resultado del

comando muestra que existe una ruta directa a la dirección IP virtual en la tabla de
enrutamiento de SwitchA y existe una ruta OSPF a la dirección IP virtual en el tabla de
enrutamiento de SwitchB. El resultado del comando en SwitchA y SwitchB es el siguiente:
------------------------------------------------------------------------------
10.1.1.0/24 Direct 0 0 D 10.1.1.1 Vlanif100

10.1.1.1/32 Direct 0 0 D 127.0.0.1 Vlanif100
10.1.1.111/32 Direct 0 0 D 127.0.0.1 Vlanif100
172.16.1.0/24 OSPF 10 2 D 192.168.1.2 Vlanif300
192.168.1.0/24 Direct 0 0 D 192.168.1.1 Vlanif300
192.168.1.1/32 Direct 0 0 D 127.0.0.1 Vlanif300
192.168.2.0/24 OSPF 10 2 D 10.1.1.2 Vlanif100
OSPF 10 2 D 192.168.1.2 Vlanif300
------------------------------------------------------------------------------
10.1.1.0/24 Direct 0 0 D 10.1.1.2 Vlanif100

10.1.1.2/32 Direct 0 0 D 127.0.0.1 Vlanif100
10.1.1.111/32 OSPF 10 2 D 10.1.1.1 Vlanif100
172.16.1.0/24 OSPF 10 2 D 192.168.2.2 Vlanif200
192.168.1.0/24 OSPF 10 2 D 10.1.1.1 Vlanif100
OSPF 10 2 D 192.168.2.2 Vlanif200
192.168.2.0/24 Direct 0 0 D 192.168.2.1 Vlanif200
192.168.2.1/32 Direct 0 0 D 127.0.0.1 Vlanif200
# Ejecute el comando de shutdown en GE1/0/2 de SwitchA para simular un error de enlace.

# Ejecute el comando display vrrp en SwitchB para ver el estado de VRRP. El resultado del
comando muestra que SwitchB está en estado Master.


State : Master
Virtual IP : 10.1.1.111
PriorityRun : 100
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2012-01-12 20:15:46
Last change time : 2012-01-12 20:18:40
# Ejecute el comando undo shutdownen GE1/0/2 de SwitchA.

# Después de 20 s, ejecute el comando display vrrp en SwitchA para ver el estado de VRRP.
El resultado del comando muestra que SwitchA está en estado Master.
State : Master
Virtual IP : 10.1.1.111
PriorityRun : 120
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2012-01-12 20:15:46
Last change time : 2012-01-12 20:20:56
----Fin
#
sysname SwitchA
#
vlan batch 100 300
#
interface Vlanif100
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif300
ip address 192.168.1.1 255.255.255.0
#


#
#
ospf 1
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 192.168.1.0 0.0.0.255
#
return
#
sysname SwitchB
#
vlan batch 100 200
#
interface Vlanif100
ip address 10.1.1.2 255.255.255.0
#
interface Vlanif200
ip address 192.168.2.1 255.255.255.0
#
#
#
ospf 1
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 192.168.2.0 0.0.0.255
#
return
#
sysname SwitchC
#
#
interface Vlanif200
ip address 192.168.2.2 255.255.255.0
#
interface Vlanif300
ip address 192.168.1.2 255.255.255.0
#
interface Vlanif400
ip address 172.16.1.1 255.255.255.0
#
#
#
#
ospf 1
area 0.0.0.0

network 172.16.1.0 0.0.0.255

network 192.168.1.0 0.0.0.255
network 192.168.2.0 0.0.0.255
#
return

#
sysname Switch
#
vlan batch 100
#
#
#
return
10.2.2 Ejemplo para configurar un grupo de VRRP en el modo de

equilibrio de carga
Descripción general del equilibrio de carga de VRRP

En el modo de equilibrio de carga, varios dispositivos transmiten tráfico de servicio
simultáneamente. Por lo tanto, el modo de equilibrio de carga requiere dos o más routers
virtuales. Cada router virtual contiene un router Master y varios Backups, y el Master en cada
router virtual puede ser diferente.
El modo de equilibrio de carga difiere del modo activo/standby de las siguientes maneras:
l Se deben crear múltiples grupos VRRP, y el Master en cada grupo VRRP puede ser
diferente.
l Un dispositivo VRRP puede unir múltiples grupos VRRP y tiene diferentes prioridades
en diferentes grupos VRRP.
VLANIF.
mismo VRID.


ucto Producto
S2300 S2320EI V200R011C10, V200R012C00
S3300 S3300EI V100R006C05
S3300HI V200R001C00
S5300 S5320LI V200R010C00, V200R011C10, V200R012C00
S5320SI V200R008(C00&C10), V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5300HI V200R001(C00&C01), V200R002C00,

V200R003C00, V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00,

V200R003C00, V200R005(C00&C01&C02)
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320SI V200R011C10, V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306 y V200R001C00, V200R002C00, V200R003C00,

S9312 V200R005C00SPC300, V200R006C00,
V200R007C00, V200R008(C00&C10),
V200R009C00, V200R010C00, V200R011C10,
V200R012C00
S9300 S9310 V200R010C00, V200R011C10, V200R012C00
S9300 S9310X V200R010C00, V200R011C10, V200R012C00

X

E S9312E V200R005C00SPC300, V200R006C00,
V200R007C00, V200R008(C00&C10),
V200R009C00, V200R010C00, V200R011C10,
V200R012C00

NOTA
Requisitos de redes
En Figura 10-3, HostA y HostC son dual-homed a SwitchA y SwitchB a través del switch.
Para reducir la carga de tráfico de datos en SwitchA, HostA utiliza SwitchA como el gateway
predeterminado para conectarse a Internet, y SwitchB funciona como el gateway de reserva.
HostC usa SwitchB como el gateway predeterminado para conectarse a Internet, y SwitchA
funciona como gateway de reserva. Esto implementa el equilibrio de carga.
NOTA
normalmente.
Figura 10-3 Diagrama de redes para configurar un grupo VRRP en modo de equilibrio de
carga
VRRP VRID 1 SwitchA
Dirección IP virtual: VRID 1: Master
10.1.10.111 VRID 2: Backup
GE1/0/1
HostA 192.168.1.1/24
10.1.10.100/24
GE1/0/2 GE1/0/1
GE1/0/1 10.1.10.1/24 192.168.1.2/24
10.1.50.1/24
Switch GE1/0/3 Red
SwitchC
GE1/0/2 172.16.1.1/24
GE1/0/2 10.1.10.2/24 GE1/0/2
10.1.50.2/24 192.168.2.2/24
HostC
10.1.50.100/24 GE1/0/1
192.168.2.1/24
SwitchB
VRID 1: Master
VRRP VRID 2 VRID 2: Backup
10.1.50.111

Un grupo VRRP en modo de equilibrio de carga se usa para implementar el equilibrio de
carga. La hoja de ruta de la configuración es la siguiente:


2. Cree los grupos 1 y 2 de VRRP en SwitchA y SwitchB. En el grupo 1 de VRRP,

configure SwitchA como Master y SwitchB como Backup. En el grupo 2 de VRRP,
configure SwitchB como el Master y SwitchA como el Backup.
Procedimiento
# Asigne una dirección IP a cada interfaz. SwitchA se usa como un ejemplo. Las

# Configure OSPF en SwitchA, SwitchB, y SwitchC. SwitchA se usa como un ejemplo. Las
[SwitchA] ospf 1

# Configure el grupo 1 de VRRP en SwitchA y SwitchB, establezca la prioridad de SwitchA a
120 y el retardo de preferencia en 20 segundos y establezca la prioridad predeterminada para
SwitchB.


predeterminada de un dispositivo en un grupo VRRP es 100. Cambie la prioridad del
master para que sea más alta que Backup.
# Configure el grupo 2 de VRRP en SwitchA y SwitchB, configure la prioridad de SwitchB a

120 y el retardo de preferencia en 20 segundos, y configure la prioridad predeterminada para
SwitchA.
[SwitchB-Vlanif500] vrrp vrid 2 priority 120 //La prioridad
Master para que sea más alta que Backup.
[SwitchB-Vlanif500] vrrp vrid 2 preempt-mode timer delay 20 //Un dispositivo en

ver que SwitchA es el Master en el grupo 1 de VRRP y el Backup en el grupo 2 de VRRP.
State : Master
Virtual IP : 10.1.10.111
Master IP : 10.1.10.1
PriorityRun : 120
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2012-01-12 20:15:46
Last change time : 2012-01-12 20:15:46

State : Backup
Virtual IP : 10.1.50.111
Master IP : 10.1.50.2
PriorityRun : 100
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0102
Check TTL : YES

Create time : 2012-01-12 20:15:46

Last change time : 2012-01-12 20:15:46
# Una vez completada la configuración, ejecute el comando display vrrp en SwitchB. Pueden
ver que SwitchB es el Backup en el grupo 1 de VRRP y el Master en el grupo 2 de VRRP.
State : Backup
Virtual IP : 10.1.10.111
Master IP : 10.1.10.1
PriorityRun : 100
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2012-01-12 20:15:46
Last change time : 2012-01-12 20:15:46

State : Master
Virtual IP : 10.1.50.111
Master IP : 10.1.50.2
PriorityRun : 120
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0102
Check TTL : YES
Create time : 2012-01-12 20:15:46
Last change time : 2012-01-12 20:15:46
----Fin
#
sysname SwitchA
#
#
interface Vlanif100
ip address 10.1.10.1 255.255.255.0
#
interface Vlanif300
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif500
ip address 10.1.50.1 255.255.255.0
#


#
#
ospf 1
area 0.0.0.0
network 10.1.10.0 0.0.0.255
network 10.1.50.0 0.0.0.255
network 192.168.1.0 0.0.0.255
#
return
#
sysname SwitchB
#
#
interface Vlanif100
ip address 10.1.10.2 255.255.255.0
#
interface Vlanif200
ip address 192.168.2.1 255.255.255.0
#
interface Vlanif500
ip address 10.1.50.2 255.255.255.0
#
#
#
ospf 1
area 0.0.0.0
network 10.1.10.0 0.0.0.255
network 10.1.50.0 0.0.0.255
network 192.168.2.0 0.0.0.255
#
return
#
sysname SwitchC
#
#
interface Vlanif200
ip address 192.168.2.2 255.255.255.0
#
interface Vlanif300
ip address 192.168.1.2 255.255.255.0
#
interface Vlanif400
ip address 172.16.1.1 255.255.255.0
#
#


#
#
ospf 1
area 0.0.0.0
network 172.16.1.0 0.0.0.255
network 192.168.1.0 0.0.0.255
network 192.168.2.0 0.0.0.255
#
return

#
sysname Switch
#
vlan batch 100 500
#
#
#
return
10.2.3 Ejemplo para configurar la asociación entre VRRP y BFD

para implementar una conmutación rápida activa/standby
Descripción general de la asociación entre VRRP y BFD

Un grupo de VRRP envía y recibe paquetes de anuncios de VRRP para determinar los estados
maestros y de reserva, implementando redundancia. Si los enlaces conectados a un grupo
VRRP fallan, los paquetes de anuncio de VRRP no pueden enviarse para su negociación.
Backup cambiará al Master después de un período de tres veces mayor que el intervalo
durante el cual se envían los paquetes de anuncio de VRRP. Durante el período de
conmutación, el tráfico del servicio aún se envía al dispositivo Master original, y va a causar
la pérdida de tráfico de usuario.
BFD puede detectar rápidamente la conectividad de enlaces y rutas en la red. La asociación
entre VRRP y BFD implementa una conmutación activa/standby rápida dentro de 1 segundo.
Se establece una sesión BFD entre Master y Backup y está vinculada a un grupo VRRP. BFD
detecta fallas del grupo VRRP. Cuando ocurre una falla, BFD notifica al grupo VRRP que se
está realizando una conmutación activa/standby, reduciendo en gran medida el tiempo de
interrupción del servicio.
VLANIF.


mismo VRID.
l Múltiples grupos VRRP pueden vigilar una sesión BFD, y un grupo VRRP puede vigilar
un máximo de ocho sesiones BFD simultáneamente.

ucto Producto
S3300 S3300EI V100R006C05
S3300HI V200R001C00
S5300 S5320SI V200R008(C00&C10), V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5300HI V200R001(C00&C01), V200R002C00,

V200R003C00, V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00,

V200R003C00, V200R005(C00&C01&C02)
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320SI V200R011C10, V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306 y V200R001C00, V200R002C00, V200R003C00,

S9312 V200R005C00SPC300, V200R006C00,
V200R007C00, V200R008(C00&C10),
V200R009C00, V200R010C00, V200R011C10,
V200R012C00


ucto Producto
S9300 S9310 V200R010C00, V200R011C10, V200R012C00
S9300 S9310X V200R010C00, V200R011C10, V200R012C00

X

E S9312E V200R005C00SPC300, V200R006C00,
V200R007C00, V200R008(C00&C10),
V200R009C00, V200R010C00, V200R011C10,
V200R012C00
NOTA
Requisitos de redes
En Figura 10-4, hosts en a LAN son dual-homed a SwitchA y SwitchB a través del switch.
Un grupo VRRP se establece en SwitchA y SwitchB, y SwitchA es el Master.
Cuando SwitchA o un enlace entre SwitchA y SwitchB es defectuoso, los paquetes VRRP se
envían después de que se completa la negociación de VRRP. Para acelerar las conmutaciones
de enlace, despliegue una sesión BFD en el enlace y asocie el grupo VRRP con la sesión
BFD. Cuando la interfaz en el principal o el enlace falla, la sesión BFD detecta rápidamente la
falla y notifica al grupo VRRP de la falla. Después de recibir la notificación, el grupo VRRP
realiza una conmutación rápida activa/standby. Backup se convierte en Master y se hace cargo
del tráfico. Esto reduce el impacto de la falla en la transmisión del servicio.
NOTA
normalmente.

Figura 10-4 Asociación entre VRRP y BFD para implementar una conmutación rápida
activa/standby
VRRP VRID 1
Dirección IP virtual: 10.1.1.3/24
GE1/0/1 Master
VLANIF 100 SwitchA
10.1.1.1/24
HostA
GE1/0/1
Switch Red
GE1/0/2
HostB GE1/0/1
VLANIF100 SwitchB
10.1.1.2/24 Backup Paquetes BFD

La asociación entre VRRP y BFD se usa para implementar una conmutación rápida activa/
standby. La hoja de ruta de la configuración es la siguiente:
2. Configure un grupo VRRP en SwitchA y SwitchB. SwitchA funciona como Master, su
prioridad es 120 y el retraso de prioridad es 20s. SwitchB funciona como Backup usando
la prioridad predeterminada a realizar el gateway de reserva principal.
3. Configure una sesión BFD estática en SwitchA y SwitchB para vigilar el enlace del
grupo VRRP.
4. Asocie la configuración entre BFD y VRRP en SwitchB. Cuando el enlace es
defectuoso, se puede realizar una conmutación activa/standby rápidamente.
Procedimiento
# Asigne una dirección IP a cada interfaz. SwitchA se usa como un ejemplo. La configuración
de SwitchB es similar a la de SwitchA.
[SwitchA] vlan 100


[Switch] vlan 100

# Configure OSPF entre SwitchA y SwitchB. SwitchA se usa como un ejemplo. La

configuración de SwitchB es similar a la de SwitchA.
[SwitchA] ospf 1

# Configure el grupo 1 de VRRP en SwitchA, y establezca la prioridad de SwitchA a 120 y el
Mater para que sea más alta que Backup.
# Configure el grupo 1 de VRRP en SwitchB. SwitchB usa el valor predeterminado 100.

Paso 3 Configure una sesión de BFD estática.

# Cree una sesión BFD en SwitchA.
[SwitchA] bfd
[SwitchA-bfd] quit
[SwitchA] bfd atob bind peer-ip 10.1.1.2 interface vlanif 100 //Configure una
sesión BFD estática para vigilar el enlace del grupo VRRP.
[SwitchA-bfd-session-atob] discriminator local 1 //Configure el discriminador
local de la sesión BFD. El discriminador local en SwitchA debe ser el mismo que
el discriminador remoto en SwitchB.
[SwitchA-bfd-session-atob] discriminator remote 2 //Configure el discriminador
remoto de la sesión BFD. El discriminador remoto en SwitchA debe ser el mismo que
el discriminador local en SwitchB.
[SwitchA-bfd-session-atob] min-rx-interval 100 //Configure el intervalo mínimo
para recibir paquetes BFD.
[SwitchA-bfd-session-atob] min-tx-interval 100 //Configure el intervalo mínimo
para enviar paquetes BFD.
[SwitchA-bfd-session-atob] commit //Confirme la sesión de BFD para que la
configuración se ponga en vigor.
# Cree una sesión BFD en SwitchB.

[SwitchB] bfd
[SwitchB-bfd] quit
[SwitchB] bfd btoa bind peer-ip 10.1.1.1 interface vlanif 100

[SwitchB-bfd-session-btoa] discriminator local 2

[SwitchB-bfd-session-btoa] discriminator remote 1
[SwitchB-bfd-session-btoa] min-rx-interval 100
[SwitchB-bfd-session-btoa] min-tx-interval 100
[SwitchB-bfd-session-btoa] commit
Ejecute el comando display bfd session en SwitchA y SwitchB. Pueden ver que la sesión de
BFD es Up. La visualización en SwitchA se usa como un ejemplo.
[SwitchA] display bfd session all
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
1 2 10.1.1.2 Up S_IP_IF Vlanif100
--------------------------------------------------------------------------------
Paso 4 Asocie la configuración entre BFD y VRRP.

# Configure la asociación entre VRRP y BFD en Switch. Cuando la sesión BFD se convierte
en Down, la prioridad de SwitchB aumenta en 40.
[SwitchB-Vlanif100] vrrp vrid 1 track bfd-session 2 increased 40 //El valor 2
indica el discriminador local.

# Una vez completada la configuración, ejecute el comando display vrrp en SwitchA y
SwitchB. SwitchA es el dispositivo Master, SwitchB es el Backup, y el BFD asociado la
sesión está en estado Up.
State : Master
PriorityRun : 120
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2012-01-12 20:15:46
Last change time : 2012-01-12 20:15:46
State : Backup
PriorityRun : 100
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Track BFD : 2 Priority increased : 40

Create time : 2012-01-12 20:15:46
Last change time : 2012-01-12 20:15:46
# Ejecute el comando de shutdown en GE1/0/1 de SwitchA para simular un error de enlace.

A continuación, ejecute el comando display vrrp enSwitchA y SwitchB. Pueden ver que
SwitchA está en el estado de Initialize, SwitchB se convierte en Master , y la sesión de BFD
asociada se convierte en Down.

State : Initialize
Master IP : 0.0.0.0
PriorityRun : 120
MasterPriority : 0
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2012-01-12 20:15:46
Last change time : 2012-01-12 20:15:46
State : Master
PriorityRun : 140
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2012-01-12 20:15:46
Last change time : 2012-01-12 20:15:46


ver que SwitchA se restaura como Master, SwitchB se restaura como Backup, y la sesión de
BFD asociada está en estado Up.
State : Master
PriorityRun : 120

TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2012-01-12 20:15:46
Last change time : 2012-01-12 20:15:46
State : Backup
PriorityRun : 100
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2012-01-12 20:15:46
Last change time : 2012-01-12 20:15:46
----Fin
#
sysname SwitchA
#
vlan batch 100
#
bfd
#
interface Vlanif100
ip address 10.1.1.1 255.255.255.0
#
#
bfd atob bind peer-ip 10.1.1.2 interface Vlanif100
min-tx-interval 100
min-rx-interval 100
commit
#
ospf 1
area 0.0.0.0
network 10.1.1.0 0.0.0.255
#
return


#
sysname SwitchB
#
vlan batch 100
#
bfd
#
interface Vlanif100
ip address 10.1.1.2 255.255.255.0
vrrp vrid 1 track bfd-session 2 increased 40
#
#
bfd btoa bind peer-ip 10.1.1.1 interface Vlanif100
min-tx-interval 100
min-rx-interval 100
commit
#
ospf 1
area 0.0.0.0
network 10.1.1.0 0.0.0.255
#
return

#
sysname Switch
#
vlan batch 100
#
#
#
return
10.2.4 Ejemplo para configurar un Eth-Trunk y una asociación

entre VRRP y el estado de interfaz
Asociación entre VRRP y el estado de interfaz

Se requieren tecnologías adicionales para mejorar la función activa/standby de VRRP. Por
ejemplo, cuando se desconecta el enlace del dispositivo Master a una red, VRRP no puede
detectar la falla y no se puede realizar una conmutación activa/standby. Como resultado, los
hosts no pueden acceder remotamente a la red a través del dispositivo Master. Para solucionar
este problema, puede configurar la asociación entre VRRP y el estado de interfaz.
Cuando el dispositivo Master detecta que la interfaz de enlace ascendente falla, el Master
reduce su prioridad a ser menor que la prioridad del dispositivo Backup y envía
inmediatamente paquetes VRRP. Después de que el dispositivo Backup recibe los paquetes
VRRP, detecta que la prioridad en los paquetes VRRP es menor que su prioridad y cambia al
Master. Esto asegura el reenvío de tráfico correcto.

VLANIF.
mismo VRID.
l Un grupo VRRP se puede asociar con un máximo de ocho interfaces. La asociación entre
un grupo VRRP y el estado de interfaz no se puede configurar en el dispositivo como el
propietario de la dirección IP.

ucto Producto
S2300 S2320EI V200R011C10, V200R012C00
S3300 S3300EI V100R006C05
S3300HI V200R001C00
S5300 S5320LI V200R010C00, V200R011C10, V200R012C00
S5320SI V200R008(C00&C10), V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5300HI V200R001(C00&C01), V200R002C00,

V200R003C00, V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S5330SI V200R011C10, V200R012C00


ucto Producto
S6300 S6300EI V200R001(C00&C01), V200R002C00,

V200R003C00, V200R005(C00&C01&C02)
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320SI V200R011C10, V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306 y V200R001C00, V200R002C00, V200R003C00,

S9312 V200R005C00SPC300, V200R006C00,
V200R007C00, V200R008(C00&C10),
V200R009C00, V200R010C00, V200R011C10,
V200R012C00
S9300 S9310 V200R010C00, V200R011C10, V200R012C00
S9300 S9310X V200R010C00, V200R011C10, V200R012C00

X

E S9312E V200R005C00SPC300, V200R006C00,
V200R007C00, V200R008(C00&C10),
V200R009C00, V200R010C00, V200R011C10,
V200R012C00
NOTA
Requisitos de redes
Como se muestra en Figura 10-5, los hosts de usuario tienen doble pertenencia a SwitchA y
SwitchB a través del switch. Los requisitos son los siguientes:
l Los hosts usan SwitchA como gateway predeterminado para conectarse a Internet.
Cuando SwitchA o el enlace descendente/enlace ascendente fallan, SwitchB funciona
como el gateway para implementar gateway de reserva.
l El ancho de banda del enlace entre SwitchA y SwitchB se incrementa para implementar
enlace de reserva y mejorar la confiabilidad del enlace.
l Después de que SwitchA se recupera, se convierte en el gateway dentro de los 20
segundos.

Figura 10-5 Interconexión de una red de asociación entre VRRP y el estado de interfaz
Capa de agregación Capa de core
SwitchA
Master
VLAN 101- GE1/0/1
GE1/0/2 192.168.1.1/24
VLAN 116
GE1/0/3 GE1/0/1
GE1/0/1 GE1/0/4 192.168.1.2/24
Eth-Trunk1
GE1/0/3
...
Switch SwitchC Red

172.16.1.1/24
GE1/0/4 GE1/0/2
GE1/0/2
GE1/0/3 192.168.2.2/24
VLAN 165~ GE1/0/1
VLAN 180 GE1/0/2
192.168.2.1/24
SwitchB
Backup

2. Configure la agregación de VLAN en SwitchA y SwitchB para implementar el
aislamiento de Capa 2 y la conectividad de Capa 3 de las VLAN 101 a 180 y guarde las
direcciones IP.
3. Cree un Eth-Trunk en SwitchA y SwitchB y agregue interfaces de miembros al Eth-
Trunk para aumentar el ancho de banda del enlace e implementar el enlace de reserva.
4. Configure un grupo VRRP entre SwitchA y SwitchB. Establezca una prioridad más alta
para SwitchA para que SwitchA funcione como Master a reenviar el tráfico, y establezca
el retardo de preferencia en 20 segundos en SwitchA. Establezca una prioridad más baja
para SwitchB para que SwitchB funcione como Backup.
5. Asocie VRRP con GE1/0/1 y GE1/0/2 en SwitchA para que el grupo VRRP pueda
detectar la falla de Master y realizar una conmutación activa/standby inmediatamente.
NOTA
SwitchA y SwitchB son switches principales, y el switch es un conmutador de agregación.
Procedimiento
# Asigne una dirección IP a cada interfaz en los dispositivos principales. SwitchA se usa
como un ejemplo. La configuración de SwitchB es similar a la configuración de SwitchA, y
no se menciona aquí. Para más detalles, vea los archivos de configuración.
[SwitchA] vlan batch 11 to 15 101 to 180 301 to 305 400


# Configure la transmisión transparente de Capa 2 en el switch.

[Switch] vlan batch 11 to 15 101 to 180
# Configure OSPF en SwitchA, SwitchB y switch. SwitchA se usa como un ejemplo. Las
[SwitchA] ospf 1
Paso 2 Configure una super-VLAN en SwitchA y SwitchB.

# Configure una super-VLAN en SwitchA. La configuración de SwitchB es similar a la
configuración.
[SwitchA] vlan 11

[SwitchA] vlan 12
[SwitchA] vlan 13
[SwitchA] vlan 14
[SwitchA] vlan 15
Paso 3 Configure la agregación de enlaces en SwitchA y SwitchB.

# Cree Eth-Trunk 1 en modo LACP en SwitchA. La configuración de SwitchB es similar a la
configuración.
[SwitchA-Eth-Trunk1] mode lacp
[SwitchA-Eth-Trunk1] undo port trunk allow-pass vlan 1
# Agregue interfaces de miembros en SwitchA a Eth-Trunk 1. La configuración de SwitchB

es similar a la configuración de SwitchA, y no se menciona aquí. Para más detalles, vea los
Paso 4 Configure los grupos VRRP en SwitchA y SwitchB.

# Configure un grupo VRRP en SwitchA y establezca la prioridad de SwitchA en 120 y el
[SwitchA-Vlanif11] vrrp vrid 1 priority
120 //La prioridad predeterminada del
dispositivo en un grupo VRRP es 100. Cambie la prioridad de Master para que sea
más alta que Backup.
[SwitchA-Vlanif11] vrrp vrid 1 preempt-mode timer delay
20 //El dispositivo en un grupo VRRP usa el modo de
preferencia inmediata de forma predeterminada. Cambie la demora de preferencia de
Master para evitar interrupciones de tráfico cuando Master y Backup se adelantan
con frecuencia al ancho de banda en una red inestable.
100 //Asocie el grupo VRRP con la interfaz de enlace ascendente. Establezca
100 //Asocie el grupo VRRP con la interfaz de enlace descendente. Establezca
[SwitchA-Vlanif11] vrrp advertise send-mode
301 //Especifique la VLAN 301 donde se

transmiten los paquetes VRRP para guardar el ancho de banda de la red.

# Configure un grupo VRRP en SwitchB. SwitchB usa la prioridad predeterminada de 100.


ver que SwitchA es el dispositivo Master en el grupo 1 de VRRP. El grupo 1 de VRRP se usa
como un ejemplo. La información de otros grupos VRRP es similar a la información del
grupo 1 de VRRP.
State : Master

PriorityRun : 120
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
IF state : UP
IF state : UP
Create time : 2012-05-11 11:39:18
Last change time : 2012-05-26 11:38:58
# Ejecute el comando display vrrp en SwitchB. Puede ver que SwitchB es el dispositivo
Backup. El grupo 1 de VRRP se usa como un ejemplo.
State : Backup
PriorityRun : 100
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2012-05-11 11:39:18
Last change time : 2012-05-26 11:38:58
# Ejecute el comando shutdown en GE1/0/1 de SwitchA para simular un error de enlace.

Luego ejecute el comando display vrrp en SwitchA y SwitchB. Pueden ver que SwitchA está
en estado de Backup, SwitchB cambia al estado Master y la interfaz asociada se convierte en
Down.
State : Backup
PriorityRun : 20
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES

IF state : DOWN
IF state : UP
Create time : 2012-05-11 11:39:18
Last change time : 2012-05-26 14:12:38
State : Master
PriorityRun : 100
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2012-05-11 11:39:18
Last change time : 2012-05-26 14:12:38


ver que SwitchA se restaura como Master y SwitchB se restaura como Backup, y la interfaz
asociada se encuentra en el estado Up.
State : Master
PriorityRun : 120
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
IF state : UP
IF state : UP
Create time : 2012-05-11 11:39:18
Last change time : 2012-05-26 14:17:36
State : Backup
PriorityRun : 100
TimerRun : 1 s

TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2012-05-11 11:39:18
Last change time : 2012-05-26 14:17:36
----Fin
#
sysname SwitchA
#
vlan batch 11 to 15 101 to 180 301 to 305 400
#
vlan 11
aggregate-vlan
vlan 12
aggregate-vlan
vlan 13
aggregate-vlan
vlan 14
aggregate-vlan
vlan 15
aggregate-vlan
#
interface Vlanif11
ip address 10.1.1.2 255.255.255.0
#
interface Vlanif12
ip address 10.1.2.2 255.255.255.0
#
interface Vlanif13
ip address 10.1.3.2 255.255.255.0
#
interface Vlanif14
ip address 10.1.4.2 255.255.255.0


#
interface Vlanif15
ip address 10.1.5.2 255.255.255.0
#
interface Vlanif400
ip address 192.168.1.1 255.255.255.0
#
mode lacp
#
#
#
eth-trunk 1
#
eth-trunk 1
#
ospf 1
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 10.1.2.0 0.0.0.255
network 10.1.3.0 0.0.0.255
network 10.1.4.0 0.0.0.255
network 10.1.5.0 0.0.0.255
network 192.168.1.0 0.0.0.255
#
return
#
sysname SwitchB
#
vlan batch 11 to 15 101 to 180 200 301 to 305
#
vlan 11
aggregate-vlan
vlan 12
aggregate-vlan
vlan 13
aggregate-vlan
vlan 14
aggregate-vlan
vlan 15
aggregate-vlan
#

interface Vlanif11
ip address 10.1.1.3 255.255.255.0
#
interface Vlanif12
ip address 10.1.2.3 255.255.255.0
#
interface Vlanif13
ip address 10.1.3.3 255.255.255.0
#
interface Vlanif14
ip address 10.1.4.3 255.255.255.0
#
interface Vlanif15
ip address 10.1.5.3 255.255.255.0
#
interface Vlanif200
ip address 192.168.2.1 255.255.255.0
#
mode lacp
#
#
#
eth-trunk 1
#
eth-trunk 1
#
ospf 1
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 10.1.2.0 0.0.0.255
network 10.1.3.0 0.0.0.255
network 10.1.4.0 0.0.0.255
network 10.1.5.0 0.0.0.255
network 192.168.2.0 0.0.0.255
#
return
#
sysname SwitchC
#
#
interface Vlanif200
ip address 192.168.2.2 255.255.255.0
#

interface Vlanif300
ip address 172.16.1.1 255.255.255.0
#
interface Vlanif400
ip address 192.168.1.2 255.255.255.0
#
#
#
#
ospf 1
area 0.0.0.0
network 172.16.1.0 0.0.0.255
network 192.168.1.0 0.0.0.255
network 192.168.2.0 0.0.0.255
#
return
#
sysname Switch
#
#
#
#
return
10.2.5 Ejemplo para configurar VRRP para garantizar la

transmisión de datos de multidifusión confiable
Descripción general de VRRP
En general, todos los hosts en el mismo segmento de red tienen la misma ruta predeterminada
con la dirección de gateway como la dirección del siguiente salto. Los hosts utilizan el
enrutamiento predeterminado para enviar paquetes a gateway y el gateway reenvía los
gateways de salida múltiples es un método común utilizado para mejorar la confiabilidad del
sistema. Sin embargo, la selección de enrutamiento entre los gateways se convierte en un
problema.
VRRP resuelve el problema. VRRP virtualiza múltiples dispositivos de enrutamiento en un
gateway predeterminado para implementar el gateway de reserva. Cuando el gateway falla,

VRRP selecciona un gateway para transmitir el tráfico del servicio para garantizar una
comunicación confiable.
mismo VRID.
l En V200R003C00 y versiones anteriores, solo la interfaz VLANIF admite VRRP. En
V200R005C00 y versiones posteriores, las interfaces VLANIF y Layer 3 Ethernet son
compatibles con VRRP.
l A continuación se describen los Modelos de productos y versiones aplicables.

ucto producto
S3300 S3300EI V100R006C05
S3300HI V200R001C00
S5300 S5320SI V200R008(C00&C10), V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5330SI V200R011C10, V200R012C00
S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00, V200R005(C00&C02)
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5300HI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320SI V200R011C10, V200R012C00
S6320HI V200R012C00


ucto producto
S9300 S9303, S9306 y V200R001C00, V200R002C00, V200R003C00,

S9312 V200R005C00SPC300, V200R006C00,
V200R007C00, V200R008(C00&C10), V200R009C00,
V200R010C00, V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10, V200R012C00
S9300 S9310X V200R010C00, V200R011C10, V200R012C00

X
S9300 S9303E, S9306E V200R001C00, V200R002C00, V200R003C00,

E y S9312E V200R005C00SPC300, V200R006C00,
V200R007C00, V200R008(C00&C10), V200R009C00,
V200R010C00, V200R011C10, V200R012C00
NOTA
Requisitos de redes
Como se muestra en Figura 10-6, SwitchA y SwitchB son gateways de salida de la red del
campus; SwitchC y SwitchD son switches de core. El origen de multidifusión se conecta a la
red del campus a través de un router. Los nodos clave en la red funcionan en modo de
redundancia para mejorar la confiabilidad de la red, y los gateways de salida y los switches de
core están completamente conectados para implementar la redundancia de enlace. Los
gateways de salida y los switches de core deben configurarse para admitir que los datos de
multidifusión se transmitan confiablemente a la red de vínculo descendente.
NOTA
normalmente.

Figura 10-6 Transmisión de datos de multidifusión a través de una red VRRP

Fuente
Red IP
VRRP VRID1
Dirección IP virtual
10.1.1.253
VRRP VRID2 SwitchB
Dirección IP virtual GE1/0/0 GE1/0/0
10.1.1.254 GE2/0/1 GE2/0/1
Loopback1 Loopback1
10.10.1.1/32 GE2/0/2 GE2/0/2 10.2.2.2/32
GE3/0/1 GE2/0/3 GE2/0/3
Salida del campus GE3/0/1
2
G
0/
E3
/
SwitchA
E3
/
0/
G
2
SwitchC
G
2
E3
Capa de core /0/ GE3/0/1
/
E3
0/
GE3/0/1
2
GE2/0/1 GE2/0/1
G
Loopback1 GE2/0/2 GE2/0/2 Loopback1

10.3.3.3/32 10.4.4.4/32
VRRP VRID1 GE2/0/3 GE2/0/3
GE1/0/0 GE1/0/0
10.1.6.253 SwitchD
VRRP VRID2
10.1.6.254
Capa de agregación
Capa de acceso
Capa de agregación
HostA HostB
Interfaz Eth-Trunk
D Interfaz VLA Direcció Di Interfaz VLAN Direcció

is N n IP de sp n IP de
p la osi la
os interfaz tiv interfaz
iti VLANIF o VLANIF
v
o
S GE1/0/0 VLA 10.1.1.1/2 Swi GE1/0/0 VLAN 10.1.6.1/

wi N 4 tch 400 24
tc 100 C

D Interfaz VLA Direcció Di Interfaz VLAN Direcció

is N n IP de sp n IP de
p la osi la
os interfaz tiv interfaz
iti VLANIF o VLANIF
v
o
h Eth-trunk 1 VLA Sin Eth-trunk 1 VLAN Sin

A (con interfaces N interfaz (con interfaces 400, interfaz
de miembro 100, VLANIF de miembro VLAN VLANIF
GE2/0/1, VLA 200 GE2/0/1, 500 500
GE2/0/2 y N GE2/0/2 y
GE2/0/3) 200 GE2/0/3)
GE3/0/1 VLA 10.1.2.1/2 GE3/0/1 VLAN 10.1.2.2/

N 4 301 24
301
GE3/0/2 VLA 10.1.3.1/2 GE3/0/2 VLAN 10.1.5.2/

N 4 304 24
302
S GE1/0/0 VLA 10.1.1.2/2 Swi GE1/0/0 VLAN 10.1.6.2/

wi N 4 tch 400 24
tc 100 D
h
B Eth-trunk 1 VLA Sin Eth-trunk 1 VLAN Sin
(con interfaces N interfaz (con interfaces 400, interfaz
de miembro 100, VLANIF de miembro VLAN VLANIF
GE2/0/1, VLA 200 GE2/0/1, 500 500
GE2/0/2 y N GE2/0/2 y
GE2/0/3) 200 GE2/0/3)
GE3/0/1 VLA 10.1.4.1/2 GE3/0/1 VLAN 10.1.4.2/

N 4 303 24
303
GE3/0/2 VLA 10.1.5.1/2 GE3/0/2 VLAN 10.1.3.2/

N 4 302 24
304

Para garantizar la confiabilidad de transmisión de datos de multidifusión, configure el
Protocolo de redundancia de enrutador virtual (VRRP) y la Detección de reenvío
bidireccional (BFD) en los gateways de salida y los switches de core. Para garantizar el
reenvío normal de multidifusión, configure un protocolo de multidifusión en los gateways de
salida y los switches de core.
1. Configure grupos de agregación de enlaces entre SwitchA y SwitchB, y entre SwitchC y
SwitchD para garantizar un intercambio rápido y confiable de paquetes VRRP.

2. Cree VLAN en los switches y agregue sus interfaces a las VLAN respectivas. Configure
las direcciones IP para las interfaces VLANIF correspondientes para hacer que los
segmentos de red local sean accesibles.
3. Configure el protocolo Abrir la ruta más corta primero (OSPF) en los switches para
garantizar los enrutamientos accesibles entre ellos. Los enrutamientos de OSPF
equilibran la carga del tráfico de unidifusión entre los gateways de salida y los switches
de core para reducir cargas de enlaces que transmiten datos de multidifusión y
unidifusión simultáneamente.
4. Configure un grupo de VRRP entre SwitchA y SwitchB y un grupo de VRRP entre
SwitchC y SwitchD para asegurar el envío confiable de multidifusión. Los grupos VRRP
implementan el equilibrio de carga para el tráfico de unidifusión para reducir las cargas
de enlaces que transmiten datos de multidifusión y unidifusión simultáneamente.
5. Configure un protocolo de multidifusión en los switches para garantizar el reenvío
normal de datos de multidifusión.
6. Configure BFD para OSPF y BFD para PIM en los switches para admitir que los
switches detecten rápidamente fallas de enlace, realizando una rápida convergencia de
enrutamiento de unidifusión y multidifusión.
Procedimiento
1. Configure grupos de agregación de enlaces en los switches.
# Cree Eth-Trunks y agregar interfaces de miembros a Eth-Trunks en el gateway de
salida del campus y los dispositivos de core.
[SwitchA] interface Eth-Trunk1 //Cree Eth-Trunk1 y enlace las interfaces
de miembro GE2/0/1 a GE2/0/3.
[SwitchA-Eth-Trunk1] trunkport gigabitethernet 2/0/1 to 2/0/3
<SwitchB> system-view
[SwitchB] interface Eth-Trunk1 //Cree Eth-Trunk1 y enlace las interfaces
[SwitchB-Eth-Trunk1] trunkport gigabitethernet 2/0/1 to 2/0/3
<SwitchC> system-view
[SwitchC] interface Eth-Trunk1 //Cree Eth-Trunk1 y enlace las interfaces
[SwitchC-Eth-Trunk1] trunkport gigabitethernet 2/0/1 to 2/0/3
<SwitchD> system-view
[SwitchD] interface Eth-Trunk1 //Cree Eth-Trunk1 y enlace las interfaces
[SwitchD-Eth-Trunk1] trunkport gigabitethernet 2/0/1 to 2/0/3
Por defecto, un Eth-Trunk funciona en modo de equilibrio de carga manual, y todas las
interfaces activas cargan el tráfico de equilibrio.
2. Cree VLAN, agregue interfaces a las VLAN respectivas y configure las direcciones IP
para las interfaces VLANIF correspondientes.
a. Cree VLAN y agregue interfaces a las VLAN en el gateway de salida y en los
dispositivos de core. Las configuraciones en SwitchB, SwitchC y SwitchD son
similares a la configuración en SwitchA, y no se mencionan aquí.
[SwitchA] vlan batch 100 200 301 302
[SwitchA-GigabitEthernet1/0/0] port link-type trunk //Establezca el
tipo de enlace de la interfaz en Trunk, que no es el tipo de enlace
predeterminado.

predeterminado.
predeterminado.
[SwitchA-Eth-Trunk1] port link-type trunk //Establezca el tipo de
enlace de la interfaz en Trunk, que no es el tipo de enlace
predeterminado.
b. Configure las direcciones IP para las interfaces de Capa 3 en el gateway de salida

del campus y los dispositivos de core. Las configuraciones en SwitchB, SwitchC y
SwitchD son similares a la configuración en SwitchA, y no se mencionan aquí.
[SwitchA] interface vlanif 100 //Cree VLANIF100.
[SwitchA] interface loopback 1 //Cree LoopBack1.
[SwitchA-LoopBack1] ip address 10.10.1.1 32
[SwitchA-LoopBack1] quit
3. Configure OSPF.
# Habilite OSPF en el gateway de salida del campus y dispositivos de core, agregue los
dispositivos al Area 0 y anuncie segmentos de red locales en el Area 0. Las
configuraciones en SwitchB, SwitchC y SwitchD son similares a la configuración en
SwitchA, y no se mencionan aquí .
[SwitchA] ospf
[SwitchA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255 //Especifique
que la interfaz que ejecuta OSPF es la que está conectada al segmento de red
[SwitchA-ospf-1-area-0.0.0.0] network 10.10.1.1 0.0.0.0 //Especifique que
la interfaz que ejecuta OSPF es la que está conectada al segmento de red
4. Configure los grupos de VRRP.

a. Cree el grupo 1 de VRRP en los dispositivos SwitchA y SwitchB de gateway de
salida de campus. Establezca la prioridad de SwitchA en 120 y la demora de
prioridad en 20 segundos. Conserve la prioridad predeterminada de SwitchB. Por lo
tanto, SwitchA se convierte en el dispositivo principal y SwitchB se convierte en el
dispositivo de reserva del grupo 1 de VRRP.


[SwitchA-Vlanif100] vrrp vrid 1 virtual-ip 10.1.1.253 //Cree el
grupo VRRP 1 en VLANIF100 y configure la dirección IP virtual del grupo
VRRP en 10.1.1.253.
[SwitchA-Vlanif100] vrrp vrid 1 priority 120 //Establezca la
prioridad de VLANIF100 en el grupo 1 en 120 de VRRP.
[SwitchA-Vlanif100] vrrp vrid 1 preempt-mode timer delay 20 //
Establezca el retraso de prioridad de VLANIF100 en el grupo VRRP 1 en 20
segundos.
[SwitchB-Vlanif100] vrrp vrid 1 virtual-ip 10.1.1.253 //Cree el
VRRP en 10.1.1.253.
b. Cree el grupo 2 de VRRP en los dispositivos SwitchA y SwitchB de gateway de
salida de campus. Establezca la prioridad de SwitchB en 120 y la demora de
prioridad en 20 segundos. Conserve la prioridad predeterminada de SwitchA. Por lo
tanto, SwitchB se convierte en el dispositivo principal y SwitchA se convierte en el
dispositivo de reserva del grupo 1 de VRRP.
[SwitchA-Vlanif100] vrrp vrid 2 virtual-ip 10.1.1.254 //Cree el
VRRP en 10.1.1.254.
[SwitchB-Vlanif100] vrrp vrid 2 virtual-ip 10.1.1.254 //Cree el
VRRP en 10.1.1.254.
[SwitchB-Vlanif100] vrrp vrid 2 priority 120 //Establezca la
prioridad de VLANIF100 en el grupo 2 en 120 de VRRP.
[SwitchB-Vlanif100] vrrp vrid 2 preempt-mode timer delay 20 //
Establezca el retraso de preferencia de VLANIF100 en el grupo VRRP 2 en
20 segundos.
Las configuraciones en SwitchC y SwitchD son similares a las configuraciones en

SwitchA y SwitchB, y no se mencionan aquí.
5. Configure un protocolo de multidifusión.
a. Habilite el enrutamiento de multidifusión en el gateway de salida del campus y los
dispositivos de core, y habilite PIM-SM en sus interfaces de Capa 3. Habilite IGMP
en las interfaces del lado de usuario de los dispositivos de core.
[SwitchA] multicast routing-enable //Habilite el enrutamiento de
multidifusión globalmente.
[SwitchA-Vlanif100] pim sm //Habilite PIM-SM en VLANIF100.
[SwitchA] interface loopback 1
[SwitchA-LoopBack1] pim sm //Habilite PIM-SM en LoopBack1.

[SwitchB] multicast routing-enable //Habilite el enrutamiento de

[SwitchB-Vlanif100] pim sm //Habilite PIM-SM en VLANIF100.
[SwitchB-Vlanif303] pim sm //Habilite PIM-SM en VLANIF303.
[SwitchB-Vlanif304] pim sm // Habilite PIM-SM en VLANIF304.
[SwitchB] interface loopback 1
[SwitchB-LoopBack1] pim sm //Habilite PIM-SM en LoopBack1.
[SwitchB-LoopBack1] quit
[SwitchC] multicast routing-enable //Habilite el enrutamiento de
[SwitchC] interface vlanif 400
[SwitchC-Vlanif400] pim sm //Habilite PIM-SM en VLANIF400.
[SwitchC-Vlanif400] igmp enable //Habilite PIM-SM en VLANIF400.
[SwitchC-Vlanif400] quit
[SwitchC] interface loopback 1
[SwitchC-LoopBack1] pim sm //Habilite PIM-SM en LoopBack1.
[SwitchC-LoopBack1] quit
[SwitchD] multicast routing-enable //Habilite el enrutamiento de
[SwitchD] interface vlanif 400
[SwitchD-Vlanif400] pim sm //Habilite PIM-SM en VLANIF400.
[SwitchD-Vlanif400] igmp enable //Habilite IGMP en VLANIF400.
[SwitchD-Vlanif400] quit
[SwitchD] interface loopback 1
[SwitchD-LoopBack1] pim sm //Habilite PIM-SM en LoopBack1.
[SwitchD-LoopBack1] quit
b. Configure la función RP dinámica en los dispositivos de core SwitchC y SwitchD

que agregan tráfico de multidifusión.
# Configure Loopback1 de SwitchC como C-BSR y C-RP.
[SwitchC] pim
[SwitchC-pim] c-bsr loopback 1 //Configure Loopback1 como una
interfaz C-BSR.
[SwitchC-pim] c-rp loopback 1 //Configure Loopback1 como una
interfaz C-RP.
[SwitchC-pim] quit
# Configure Loopback1 de SwitchD como C-BSR y C-RP.

[SwitchD] pim
[SwitchD-pim] c-bsr loopback 1 //Configure Loopback1 como una
interfaz C-BSR.
[SwitchD-pim] c-rp loopback 1 //Configure Loopback1 como una
interfaz C-RP.
[SwitchD-pim] quit
6. Configure BFD.

a. Habilite BFD global en el gateway de salida del campus y los dispositivos de core.
BFD global debe estar habilitado antes de configurar BFD para OSPF y BFD para
PIM. Las configuraciones en SwitchB, SwitchC y SwitchD son similares a la
configuración en SwitchA, y no se mencionan aquí.
[SwitchA] bfd //Habilita BFD globalmente.
[SwitchA-bfd] quit
b. Habilite BFD para OSPF en el gateway de salida del campus y los dispositivos de
core. Las configuraciones en SwitchB, SwitchC y SwitchD son similares a la
[SwitchA-Vlanif100] ospf bfd enable //Habilite BFD para OSPF en
VLANIF100.
VLANIF301.
VLANIF302.
c. Habilite BFD para PIM en el gateway de salida del campus y los dispositivos de
core. Las configuraciones en SwitchB, SwitchC y SwitchD son similares a la
[SwitchA-Vlanif100] pim bfd enable //Habilite BFD para PIM en
VLANIF100.
VLANIF301.
VLANIF302.
7. Verifique la configuración.
– Verifique la configuración de la agregación de enlaces.
# Ejecute el comando display eth-trunk 1 en SwitchA. La información anterior
muestra que Eth-Trunk 1 contiene tres interfaces de miembros:
GigabitEthernet2/0/1, GigabitEthernet2/0/2, y GigabitEthernet2/0/3. Los estados de
todas las interfaces de miembros son Up.
WorkingMode: NORMAL Hash arithmetic: According to SIP-XOR-DIP
Least Active-linknumber: 1 Max Bandwidth-affected-linknumber: 8
Operate status: up Number Of Up Ports In Trunk: 3
-------------------------------------------------------------------------
-------
PortName Status Weight
Las muestras de comando display eth-trunk 1 en SwitchB, SwitchC y SwitchD

son similares a la muestra de comando en SwitchA.
– Verifique la configuración de VRRP.
# Ejecute el comando display vrrp en SwitchA. El resultado del comando muestra
que SwitchA es Master en el grupo 1 de VRRP y Backup en el grupo 2 de VRRP.


State : Master
Virtual IP : 10.1.1.253
PriorityRun : 120
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2012-12-31 10:34:23 UTC-08:00
Last change time : 2012-12-31 10:34:26 UTC-08:00

State : Backup
Virtual IP : 10.1.1.254
PriorityRun : 100
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0102
Check TTL : YES
Create time : 2012-12-31 10:35:39 UTC-08:00
# Ejecute el comando display vrrp en SwitchB. El resultado del comando muestra

que SwitchB es Backup en el grupo 1 de VRRP y Master en el grupo 2 de VRRP.
State : Backup
Virtual IP : 10.1.1.253
PriorityRun : 100
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Create time : 2012-12-31 10:34:23 UTC-08:00

State : Master
Virtual IP : 10.1.1.254
PriorityRun : 120
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE

Virtual MAC : 0000-5e00-0102

Check TTL : YES
Create time : 2012-12-31 10:35:39 UTC-08:00
Las muestras del comando display vrrp en SwitchC y SwitchD son similares a las
muestras de comando en SwitchA y SwitchB.
– Verifique la configuración de OSPF.
# Ejecute el comando display ip routing-table en SwitchA. El resultado del
comando muestra que hay dos enrutamientos de IP a 10.1.6.0/24, que implementan
el equilibrio de carga del tráfico de unidifusión.
-------------------------------------------------------------------------
-----

Interface
10.1.1.0/24 Direct 0 0 D 10.1.1.1

Vlanif100
10.1.1.1/32 Direct 0 0 D 127.0.0.1
Vlanif100
10.1.1.253/32 Direct 0 0 D 127.0.0.1
Vlanif100
10.1.1.254/32 Direct 0 0 D 127.0.0.1
Vlanif100
10.1.2.0/24 Direct 0 0 D 10.1.2.1
Vlanif301
10.1.2.1/32 Direct 0 0 D 127.0.0.1
Vlanif301
10.1.3.0/24 Direct 0 0 D 10.1.3.1
Vlanif302
10.1.3.1/32 Direct 0 0 D 127.0.0.1
Vlanif302
10.1.4.0/24 OSPF 10 2 D 10.1.3.2
Vlanif302
10.1.5.0/24 OSPF 10 2 D 10.1.2.2
Vlanif301
10.1.6.0/24 OSPF 10 2 D 10.1.2.2 Vlanif301
OSPF 10 2 D 10.1.3.2
Vlanif302
10.1.6.253/32 OSPF 10 2 D 10.1.2.2
Vlanif301
OSPF 10 2 D 10.1.3.2
Vlanif302
10.1.6.254/32 OSPF 10 2 D 10.1.3.2
Vlanif302
OSPF 10 2 D 10.1.2.2
Vlanif301
127.0.0.0/8 Direct 0 0 D 127.0.0.1
InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1
InLoopBack0
Las muestras del comando display ip routing-table en SwitchB, SwitchC y

SwitchD son similares a la muestra del comando en SwitchA.
– Verifique la configuración de PIM-SM.
El origen de multidifusión 10.100.1.1 envía datos de multidifusión al grupo
225.0.0.10, y los hosts de usuario se han unido al grupo 225.0.0.10.

# Ejecute el comando display pim routing-table en SwitchB y SwitchD. El

resultado del comando muestra que las entradas de enrutamiento PIM se han creado
para el grupo 225.0.0.10.
NOTA
SwitchB y SwitchD implementan el enrutamiento de multidifusión de la siguiente manera:

l De acuerdo con las reglas dinámicas de elección de RP, las interfaces C-RP tienen la
misma máscara de dirección IP, prioridad y resultado de cálculo hash, la interfaz C-RP
con una dirección IP más grande se convierte en RP. Por lo tanto, Loopback1 de
SwitchD se convierte en la interfaz RP.
l De acuerdo con las reglas de Reenvío de ruta inversa (RPF), si dos enrutamientos
óptimos de costo igual están disponibles en la tabla de enrutamiento IP, la que tiene una
dirección de siguiente salto más grande se selecciona como el enrutamiento RPF. Por lo
tanto, SwitchD selecciona el enrutamiento con la dirección 10.1.5.1 de siguiente salto
como el enrutamiento RPF al segmento de red de destino 10.1.1.0/24.
[SwitchB] display pim routing-table
VPN-Instance: public net
Total 0 (*, G) entry; 1 (S, G) entry
(10.100.1.1, 225.0.0.10)
RP: 10.4.4.4
Protocol: pim-sm, Flag: SPT ACT
UpTime: 00:00:42
Upstream interface: Vlanif100
Upstream neighbor: 10.1.1.3
RPF prime neighbor: 10.1.1.3
Downstream interface(s) information:
Total number of downstreams: 1
1: Vlanif303
Protocol: pim-sm, UpTime: 00:00:42, Expires:-
[SwitchD] display pim routing-table
Total 0 (*, G) entry; 1 (S, G) entry
(10.100.1.1, 225.0.0.10)
RP: 10.4.4.4
Protocol: pim-sm, Flag: SPT ACT
UpTime: 00:00:42
Upstream interface: Vlanif303
Upstream neighbor: 10.1.4.1
RPF prime neighbor: 10.1.4.1
Downstream interface(s) information:
Total number of downstreams: 1
1: Vlanif400
Protocol: pim-sm, UpTime: 00:00:42, Expires:-
– Verifique la configuración de BFD.

# Ejecute el comando display ospf bfd session all en SwitchA. El resultado del
comando muestra que las sesiones OSFF BFD se han configurado correctamente.
[SwitchA] display ospf bfd session all
NeighborId:10.2.2.2 AreaId:0.0.0.0 Interface:

Vlanif100
NeighborId:5.5.5.5 AreaId:0.0.0.0 Interface: Vlanif100



Vlanif301

Vlanif302
La muestra del comando display ospf bfd session all en SwitchB, SwitchC y
# Ejecute el comando display pim bfd session en SwitchA. El resultado del
comando muestra que las sesiones de PIM BFD se han configurado correctamente.
[SwitchA] display pim bfd session
Total 4 BFD session Created
Vlanif100 (10.1.1.1): Total 2 BFD session Created
Neighbor ActTx(ms) ActRx(ms) ActMulti Local/Remote

State
10.1.1.2 1000 1000 3 8192/8192
Up
10.1.1.3 1000 1000 3 8191/8191
Up

State
10.1.2.2 1000 1000 3 8193/8193
Up

State
10.1.3.2 1000 1000 3 8194/8194
Up
Las muestras del comando display pim bfd session en SwitchB, SwitchC y
l El archivo de configuración del gateway de salida del campus de SwitchA
#
sysname SwitchA
#
vlan batch 100 200 301 to 302
#
#
bfd
#
interface Vlanif100
ip address 10.1.1.1 255.255.255.0


pim sm
pim bfd enable
ospf bfd enable
#
interface Vlanif301
ip address 10.1.2.1 255.255.255.0
pim sm
pim bfd enable
ospf bfd enable
#
interface Vlanif302
ip address 10.1.3.1 255.255.255.0
pim sm
pim bfd enable
ospf bfd enable
#
#
#
eth-trunk 1
#
eth-trunk 1
#
eth-trunk 1
#
#
#
interface LoopBack1
ip address 10.10.1.1 255.255.255.255
pim sm
#
ospf 1
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 10.1.2.0 0.0.0.255
network 10.1.3.0 0.0.0.255
network 10.10.1.1 0.0.0.0
#
return
l El archivo de configuración del gateway de salida del campus de SwitchB
#
sysname SwitchB
#
vlan batch 100 200 303 to 304
#
#
bfd
#
interface Vlanif100
ip address 10.1.1.2 255.255.255.0


pim sm
pim bfd enable
ospf bfd enable
#
interface Vlanif303
ip address 10.1.4.1 255.255.255.0
pim sm
pim bfd enable
ospf bfd enable
#
interface Vlanif304
ip address 10.1.5.1 255.255.255.0
pim sm
pim bfd enable
ospf bfd enable
#
#
#
eth-trunk 1
#
eth-trunk 1
#
eth-trunk 1
#
#
#
interface LoopBack1
ip address 10.2.2.2 255.255.255.255
pim sm
#
ospf 1
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 10.1.4.0 0.0.0.255
network 10.1.5.0 0.0.0.255
network 10.2.2.2 0.0.0.0
#
return
l El archivo de configuración del dispositivo de core de SwitchC
#
sysname SwitchC
#
vlan batch 301 304 400 500
#
#
bfd
#
interface Vlanif301
ip address 10.1.2.2 255.255.255.0
pim sm

pim bfd enable

ospf bfd enable
#
interface Vlanif304
ip address 10.1.5.2 255.255.255.0
pim sm
pim bfd enable
ospf bfd enable
#
interface Vlanif400
ip address 10.1.6.1 255.255.255.0
pim sm
pim bfd enable
igmp enable
ospf bfd enable
#
#
stp disable
#
eth-trunk 1
#
eth-trunk 1
#
eth-trunk 1
#
#
#
interface LoopBack1
ip address 10.3.3.3 255.255.255.255
pim sm
#
ospf 1
area 0.0.0.0
network 10.1.2.0 0.0.0.255
network 10.1.5.0 0.0.0.255
network 10.1.6.0 0.0.0.255
network 10.3.3.3 0.0.0.0
#
pim
c-bsr LoopBack1
c-rp LoopBack1
#
return
l El archivo de configuración del dispositivo de core de SwitchD
#
sysname SwitchD
#
vlan batch 302 to 303 400 500
#

#
bfd
#
interface Vlanif302
ip address 10.1.3.2 255.255.255.0
pim sm
pim bfd enable
ospf bfd enable
#
interface Vlanif303
ip address 10.1.4.2 255.255.255.0
pim sm
pim bfd enable
ospf bfd enable
#
interface Vlanif400
ip address 10.1.6.2 255.255.255.0
pim sm
pim bfd enable
igmp enable
ospf bfd enable
#
#
stp disable
#
eth-trunk 1
#
eth-trunk 1
#
eth-trunk 1
#
#
#
interface LoopBack1
ip address 10.4.4.4 255.255.255.255
pim sm
#
ospf 1
area 0.0.0.0
network 10.1.3.0 0.0.0.255
network 10.1.4.0 0.0.0.255
network 10.1.6.0 0.0.0.255
network 10.4.4.4 0.0.0.0
#
pim
c-bsr LoopBack1
c-rp LoopBack1
#
return

Sx300 Switches de la serie 11 Configuración típica de acceso y autenticación de
Ejemplos típicos de configuración usuarios
11 Configuración típica de acceso y

autenticación de usuarios
Si la autenticación NAC está habilitada en una interfaz, los siguientes comandos no se pueden
usar en la misma interfaz.
Comando Función
mac-limit Establece la cantidad máxima de

direcciones MAC que una interfaz puede
aprender.
mac-address learning disable Inutiliza el aprendizaje de direcciones MAC

en una interfaz.
port link-type dot1q-tunnel Establece el tipo de enlace de una interfaz a

QinQ.
port-security enable Habilita la seguridad de la interfaz.
11.1 Configuración típica de AAA

11.2 Configuración típica de NAC (modo unificado) (Agile Controller-Campus como el
servidor de autenticación)(V200R009C00 y versiones posteriores)
11.3 Configuración típica de NAC (modo unificado) (V200R009C00 y versiones posteriores)
11.4 Configuración típica de NAC (modo unificado) (el Agile Controller-Campus como el
servidor de autenticación) (V200R005C00 a V200R008C00)
11.5 Configuración típica de NAC (modo unificado) (V200R005C00 a V200R008C00)
11.6 Configuración típica de NAC (modo común)

11.1 Configuración típica de AAA
11.1.1 Aviso a ser tomado cuando el dispositivo se conecta a

servidores RADIUS que no sean de Huawei
Aviso a ser tomado cuando el dispositivo se conecta a un servidor RADIUS de

H3C iMC
Cuando el dispositivo se conecta a un servidor RADIUS de H3C iMC para realizar la
autenticación, la autorización o la contabilidad de los usuarios 802.1x, configure las políticas
de comprobación de seguridad (por ejemplo, compruebe si el cliente 802.1x tiene dos tarjetas
de red y si la versión del cliente 802.1x es correcta) en el servidor RADIUS para mejorar la
seguridad. Además, realice las siguientes operaciones en el dispositivo:
1. Configure la contabilidad de RADIUS.
2. Ejecute el comando dot1x authentication-method eap para configurar la autenticación
de retransmisión EAP para los usuarios de 802.1x.
3. Ejecute el comando dot1x eap-notify-packet eap-code 10 data-type 25 para configurar
el dispositivo para que devuelva los paquetes EAP con el valor de tipo 10 y del tipo de
datos de 25 al servidor RADIUS.
4. Ejecute el comando radius-attribute translate HW-Up-Priority HW-User-
Information receive para convertir el atributo HW-up-Priority en los paquetes RADIUS
recibidos en HW-User-Information.
5. Si el servidor RADIUS debe autorizar de forma dinámica a los usuarios AAA, los
atributos entregados por la política de comprobación de seguridad pueden ser diferentes
de los atributos entregados por la autorización dinámica. Por lo tanto, ejecute el comando
authorization-modify mode modify para establecer el modo de actualización para la
información de autorización del usuario entregada por el servidor RADIUS para Modify.
Una vez ejecutado el comando, los atributos proporcionados por la autorización
dinámica no sobrescribirán los atributos entregados por la política de comprobación de
seguridad.
6. (V200R010C00 y versiones posteriores) Para utilizar la función de administración de
sesiones, ejecute el comando radius-server session-manage ip-address shared-key
cipher share-key para habilitar la administración de sesiones en el servidor RADIUS y
establecer la dirección IP y la clave compartida del servidor de administración de
sesiones RADIUS.
Si el servidor activo falla, el switch envía los paquetes de solicitud de autenticación al

servidor standby. El intervalo de tiempo de espera de la sesión de comprobación de seguridad
en iNode es corto. Por lo tanto, se recomienda ejecutar el siguiente comando para garantizar
un servicio non-stop:
Ejecute el comando radius-server retransmit retry-times timeout time-value para establecer

el número de veces que los paquetes de solicitudes de RADIUS se retransmiten a 1 y el
intervalo de tiempo de espera para ser más cortos que 5 s.


Ruijie
Si desea ver las direcciones MAC o direcciones IP de usuarios en línea en un servidor
RADIUS de Ruijie, configure el tipo de dispositivo a H3C o Digital China en el servidor
RADIUS

Leagsoft
Cuando la NAS-IP del cliente RADIUS (dispositivo) está configurada en el servidor RADIUS
de Leagsoft, también es necesario configurar la dirección MAC del dispositivo.

Symantec
l El servidor RADIUS de Symantec solo se puede utilizar como servidor de autenticación,
pero no se puede utilizar como un servidor de autorización o de contabilidad. Cuando el
dispositivo se conecta a un servidor RADIUS de Symantec, asegúrese de que el servidor
RADIUS no está configurado como un servidor de autorización o de contabilidad.
l Cuando el servidor RADIUS de Symantec realiza la autenticación 802.1x para los
usuarios, realice las siguientes configuraciones en el dispositivo:
– Ejecute el comando undo dot1x handshake para deshabilitar el apretón de mano
entre el dispositivo y los usuarios en línea 802.1x.
– Ejecute el comando dot1x authentication-method eap para configurar la
autenticación de retransmisión EAP para los usuarios de 802.1x.
11.1.2 Ejemplo para configurar la autenticación para usuarios de

inicio de sesión de telnet (autenticación local de AAA)
Descripción general de la autenticación local de AAA

Los usuarios se autentican localmente a través de AAA. Para iniciar sesión en un dispositivo,
el usuario debe introducir el nombre de usuario y la contraseña correcta. La información del
usuario está configurada en el dispositivo local. No es necesario desplegar un servidor de
autenticación en la red. Por lo tanto, la autenticación local de AAA es rápida y económica. Sin
embargo, la cantidad de información de usuario que se puede almacenar depende de la
capacidad del hardware del dispositivo.

Switches fijos de la serie S V100R006C05 y versiones posteriores
Switches modulares de la serie S V200R001C00 y versiones posteriores

NOTA
Requisitos de redes
Como se muestra en Figura 11-1, el administrador debe administrar el dispositivo de forma
remota de manera simplificada y segura. Los requisitos específicos son los siguientes:
1. El administrador debe introducir el nombre de usuario y la contraseña correcta para
iniciar sesión en el dispositivo a través de Telnet.
2. Después de iniciar sesión en el dispositivo a través de Telnet, el administrador puede
ejecutar los comandos en los niveles 0-3.
Figura 11-1 Configuración de la autenticación para usuarios de inicio de sesión de telnet

(autenticación local de AAA)
Red de
administración GE1/0/1
Administrador VLANIF10 Switch
Nombre de usuario: user1 10.1.2.10/24
Contraseña: Huawei@1234

1. Habilite el servicio Telnet.
2. Defina el método de autenticación para usuarios de inicio de sesión de telnet a AAA.
3. Configure la autenticación local de AAA, incluyendo la creación de un usuario local,
estableciendo el tipo de acceso de usuario a telnet y estableciendo el nivel de usuario a
15.
Procedimiento
Paso 1 Configure las interfaces y asigne direcciones IP.
[Switch] interface gigabitethernet1/0/1
Paso 2 Habilite el servidor Telnet.

Paso 3 Defina el método de autenticación para la interfaz de usuario VTY a AAA.

[Switch] user-interface maximum-vty 15 //Establezca la cantidad máxima de usos
de inicio de sesión de VTY a 15 (El rango de valores varía de acuerdo con las
versiones y los modelos del producto). De forma predeterminada, la cantidad
máxima de usuarios de Telnet es de 5.

[Switch] user-interface vty 0 14 //Introduzca la vista del usuario VTY 0-14.

[Switch-ui-vty0-14] authentication-mode aaa //Establezca el método de
autenticación para la vista de usuario VTY a AAA.
VTY para admitir Telnet. De forma predeterminada, los switches en V200R006 y
versiones anteriores son compatibles con Telnet, y los switches en V200R007 y
versiones posteriores admiten SSH.
Paso 4 Configure la autenticación local de AAA.

[Switch] aaa
[Switch-aaa] local-user user1 password irreversible-cipher Huawei@1234 //Cree el
usuario local user1 y establezca la contraseña. La contraseña se muestra en el
texto de cifrado en el archivo de configuración, así que recuerde la contraseña.
Si olvida la contraseña, ejecute este comando nuevamente para reconfigurar la
contraseña (el comando es local-user user-name password cipher password en
V200R002 y versiones anteriores).
[Switch-aaa] local-user user1 service-type telnet //Establezca el tipo de acceso
de user1 a Telnet. El usuario puede iniciar sesión únicamente a través de Telnet
(de forma predeterminada, los usuarios pueden iniciar sesión a través de
cualquier método en versiones anteriores a V200R007 y no pueden iniciar sesión a
través de ningún método en V200R007 y versiones posteriores).
[Switch-aaa] local-user user1 privilege level 15 //Establezca el nivel de
usuario de user1 a 15. El usuario puede usar los comandos de nivel 3 y niveles
inferiores.
Warning: This operation may affect online users, are you sure to change the user
privilege level ?[Y/N] y
[Switch-aaa] quit
NOTA
Cuando el nombre de usuario introducido no contiene un nombre de dominio, el dispositivo autentica al

usuario a través del dominio administrativo predeterminado default_admin. De forma predeterminada, el
dominio administrativo predeterminado utiliza el esquema de autenticación default y el esquema de
contabilidad default.
l Esquema de autenticación default: local authentication
l Esquema de contabilidad default: non-accounting

Elija Start > Run en su computadora e introduzca cmd para abrir la ventana cmd. Ejecute el
comando telnet e introduzca el nombre de usuario user1 y la contraseña Huawei@1234 para
Username:user1
Password:***********
<Switch>//El administrador inicia sesión con éxito.
----Fin
#
sysname Switch
#
vlan batch 10
#
#
aaa
local-user user1 password irreversible-cipher %^%#.)P`(ahmeXKljES$}IC%OdjjC
$m)cA#}T(8z4*ZK!_Z+GSo<7C*O8WO,!rt;%^%#
local-user user1 privilege level 15
local-user user1 service-type telnet
#

interface Vlanif10
ip address 10.1.2.10 255.255.255.0
#
#
user-interface maximum-vty 15
#
return

inicio de sesión de telnet (autenticación RADIUS)
Descripción general de la autenticación RADIUS

Cuando se implementa un servidor de autenticación RADIUS en una red, los usuarios pueden
autenticarse a través de RADIUS. La información del usuario es creada y mantenida por el
servidor de autenticación RADIUS. Un usuario puede iniciar sesión correctamente en el
dispositivo sólo cuando el nombre de usuario y la contraseña introducida son los mismos que
los configurados en el servidor RADIUS. Generalmente, la autenticación RADIUS está
configurada en la red que requiere alta seguridad, por ejemplo, las redes de operadores
financieros, gubernamentales y de telecomunicaciones.
NOTA
Requisitos de redes
Como se muestra en Figura 11-2, un servidor RADIUS es implementado en una red. El
administrador se autentica a través de RADIUS y telnet al dispositivo para administrarlo de
forma remota. Los requisitos específicos son los siguientes:



(autenticación RADIUS)
GE1/0/2
VLANIF20
10.1.6.10/24
Red de
VLANIF10
Administrador Servidor RADIUS
10.1.2.10/24 Switch

3. Configure la autenticación RADIUS, incluida la creación de una plantilla de servidor
RADIUS, un esquema de autenticación AAA y un esquema de servicio, y la aplicación
de los esquemas a un dominio.
4. Configure el dominio al que pertenece el administrador como dominio administrativo
predeterminado para que el administrador no tenga que introducir el nombre de dominio
al iniciar sesión.
NOTA
Este ejemplo sólo proporciona las configuraciones del dispositivo. Asegúrese de que los parámetros
requeridos se han configurado en el servidor RADIUS, por ejemplo, la dirección IP del dispositivo, la clave
compartida y el usuario que crea.
Procedimiento




Paso 4 Configure la autenticación RADIUS.

# Configure la plantilla de servidor RADIUS para implementar la comunicación entre el
dispositivo y el servidor RADIUS.
[Switch] radius-server template 1
[Switch-radius-1] radius-server authentication 10.1.6.6 1812 //Especifique la
dirección IP y el número de puerto del servidor de autenticación RADIUS.
[Switch-radius-1] radius-server shared-key cipher Hello@1234 //Especifique la
clave compartida del servidor RADIUS, que debe ser la misma que la configurada en
el servidor RADIUS.
NOTA
Si el servidor RADIUS no acepta los nombres de usuario que contienen nombres de dominio, ejecute el
comando undo radius-server user-name domain-included en el dispositivo para que los paquetes enviados
desde el dispositivo al servidor RADIUS no contengan nombres de dominio.
# Configure un esquema de autenticación AAA y configure el modo de autenticación a

RADIUS.
[Switch] aaa
[Switch-aaa] authentication-scheme sch1
[Switch-aaa-authen-sch1] authentication-mode radius
# Configure un esquema de servicio y configure el nivel de usuario a 15.

[Switch-aaa] service-scheme sch1
[Switch-aaa-service-sch1] admin-user privilege level 15
[Switch-aaa-service-sch1] quit
# Aplique el esquema de autenticación AAA, la plantilla de servidor RADIUS y el esquema

de servicio al dominio.
[Switch-aaa] domain huawei.com
[Switch-aaa-domain-huawei.com] authentication-scheme sch1
[Switch-aaa-domain-huawei.com] radius-server 1
[Switch-aaa-domain-huawei.com] service-scheme sch1
[Switch-aaa] quit
Paso 5 Configure el dominio al que pertenece el administrador como dominio administrativo

predeterminado para que el administrador no tenga que introducir el nombre de dominio al

# Ejecute el comando test-aaa en el dispositivo para probar si el administrador puede pasar la
autenticación.
[Switch] test-aaa user1 Huawei@1234 radius-template 1
# Elija Start > Run en su computadora donde se ejecuta el sistema operativo Windows e
introduzca cmd para abrir la ventana cmd. Ejecute el comando telnet e introduzca el nombre

de usuario user1 y la contraseña Huawei@1234 para iniciar sesión en el dispositivo a través

de Telnet.
Username:user1
----Fin
#
sysname Switch
#
vlan batch 10 20
#
#
#
radius-server shared-key cipher %^%#Zh-H!i<+2RUI,E4_q<''+[14Fmj4@>Aa0pM0H}@D%^%#
#
aaa
service-scheme sch1
admin-user privilege level 15
domain huawei.com
service-scheme sch1
radius-server 1
#
interface Vlanif10
ip address 10.1.2.10 255.255.255.0
#
interface Vlanif20
ip address 10.1.6.10 255.255.255.0
#
#
#
#
return
Herramienta de consulta de atributos de AAA
Esta herramienta muestra detalles sobre los atributos de AAA en los switches. No es necesario
registrar una cuenta de Huawei antes de utilizar esta herramienta.
AAA Attribute Query Tool


inicio de sesión de telnet (utilizando el ACS seguro como servidor
de autenticación RADIUS)
Descripción general de la autenticación RADIUS

Cuando se implementa un servidor de autenticación RADIUS en una red, los usuarios pueden
autenticarse a través de RADIUS. La información del usuario es creada y mantenida por el
servidor de autenticación RADIUS. Un usuario puede iniciar sesión correctamente en el
dispositivo sólo cuando el nombre de usuario y la contraseña introducida son los mismos que
los configurados en el servidor RADIUS. Generalmente, la autenticación RADIUS está
configurada en la red que requiere alta seguridad, por ejemplo, las redes de operadores
financieros, gubernamentales y de telecomunicaciones.

NOTA
En este ejemplo, el servidor de autenticación RADIUS es el ACS seguro donde se ejecuta la

versión 5.2.0.26.
Requisitos de redes
Como se muestra en Figura 11-3, en una red empresarial, un administrador se conecta al
switch a través de una red de administración y un usuario 802.1x se conecta al switch a través
de una red de acceso. La empresa utiliza ACS para crear y mantener la información del
usuario. El administrador puede iniciar sesión en el ACS a través de Web.
Al administrador y al usuario 802.1x se les asignan cuentas y derechos diferentes para mejorar
la seguridad. Los requisitos son los siguientes:
1. El administrador puede hacer Telnet al switch sólo después de introducir el nombre de

usuario y la contraseña, y puede utilizar los comandos del nivel 0 al nivel 15 después de
iniciar sesión.
2. Para acceder al switch, el usuario 802.1x debe iniciar el cliente 802.1x, introducir el
nombre de usuario y la contraseña, y ser autenticado.
Después de que el usuario 802.1x acceda al switch:
– El usuario puede utilizar los comandos en el nivel 0 al nivel 2.
– El ACS envía VLAN 100 y ACL 3000 al usuario.

3. El administrador se autentica en el dominio predeterminado y el usuario 802.1x se

autentica en el dominio huawei.com.
Figura 11-3 Redes de la autenticación de usuario de inicio de sesión de telnet (utilizando el

ACS seguro como servidor de autenticación RADIUS)
Red de GE1/0/2
administración VLANIF20
GE1/0/1
Administrador 10.1.2.10/24
VLANIF30
10.1.6.10/24
Switch ACS seguro

10.1.6.6/24
GE1/0/3
Red de acceso VLANIF10
Usuario de 10.1.3.10/24
802.1x
Preparaciones
Tabla 11-4 Datos utilizados para conectar el switch a ACS
Ítem Datos
Nombre de usuario del Nombre de usuario: acsadmin

administrador y contraseña del Contraseña: Admin_123
cliente ACS
Nombre de usuario y contraseña Nombre de usuario: admin1

del administrador del switch Contraseña: Admin@1234
Nombre de usuario y contraseña Nombre de usuario: user1@huawei.com

del usuario 802.1x Contraseña: Huawei@1234
Nombre del switch y la dirección Nombre de switch: Switch

IP de la interfaz conectada al Dirección IP: 10.1.6.10
ACS
Contraseña compartida de switch Hello@1234

y ACS

1. Configure el switch.
a. Configure las interfaces y asigne direcciones IP para que el switch pueda
comunicarse con el ACS.

b. Cree una VLAN y una ACL que el ACS proporcionará.

c. Habilite el servicio Telnet.
d. Configure la autenticación AAA para que el administrador a hacer telnet al switch.
e. Configure la autenticación RADIUS, incluyendo la creación de la plantilla de
servidor RADIUS y el esquema de autenticación AAA y aplicándolas a los
dominios default_admin y huawei.com.
f. Habilite la autenticación 802.1x en la interfaz a la que accede el usuario 802.1x.
2. Configure el ACS, añada dispositivos de acceso y usuarios y configure un perfil de
autenticación y autorización. Agregue políticas de acceso y enlace usuarios al perfil de
autenticación y autorización.
NOTA
Asegúrese de que el Switch y el ACS puedan comunicarse entre sí.
Procedimiento
1. Configure las interfaces y asigne direcciones IP para que el switch pueda comunicarse
con el ACS.
[Switch] vlan batch 10 20 30
[Switch-Vlanif10] ip address 10.1.6.10 24 //Configure la dirección IP
utilizada para comunicarse con el ACS.
[Switch] interface gigabitethernet1/0/1 //Configure la interfaz utilizada
para conectarse a los administradores.
[Switch] interface gigabitethernet1/0/3 //Configure la interfaz utilizada
para conectarse a los usuarios 802.1x.
[Switch-GigabitEthernet1/0/3] port link-type hybrid //Si el servidor AAA
debe enviar VLAN o ACL para acceder a los usuarios, la interfaz de acceso del
usuario (con autenticación habilitada) en el switch debe ser una interfaz
híbrida.
2. Cree una VLAN y una ACL que el ACS enviará para acceder a los usuarios.
Solo se puede enviar la VLAN o ACL que es la misma que la configurada en el servidor
AAA.
[Switch] vlan 100
[Switch] acl 3000
3. Habilite el servidor Telnet.

4. Configure el modo de autenticación para los usuarios VTY a AAA.

[Switch] user-interface maximum-vty 15 //Establezca la cantidad máxima de
usuarios VTY a 15 (este valor varía según las versiones y los modelos). Por
defecto, un máximo de cinco usuarios de Telnet son compatibles.
autenticación para los usuarios VTY a AAA.
[Switch-ui-vty0-14] protocol inbound telnet //Configure la interfaz de
usuario de VTY para admitir Telnet. De forma predeterminada, los switches en
V200R006 y versiones anteriores son compatibles con Telnet, y los switches en
V200R007 y versiones posteriores admiten SSH.
5. Configure la autenticación RADIUS para los usuarios de acceso en el switch.

# Configure una plantilla de servidor RADIUS para que el switch y ACS puedan
comunicarse a través de RADIUS.
[Switch-radius-1] radius-server authentication 10.1.6.6 1812 //Especifique
la dirección IP y el número de puerto del ACS.
[Switch-radius-1] radius-server shared-key cipher Hello@1234 //Especifique
la clave compartida del ACS, que debe ser la misma que la configurada en el
ACS.
NOTA
Si el nombre de usuario almacenado en el servidor AAA no contiene un nombre de dominio, ejecute el

comando undo radius-server user-name domain-included. Una vez ejecutado este comando, los
nombres de usuario de los paquetes enviados desde el switch al servidor RADIUS no contienen
nombres de dominio.
# Cree un esquema de autenticación AAA y establezca el modo de autenticación a

RADIUS.
[Switch] aaa
# Aplique el esquema de autenticación AAA y la plantilla de servidor RADIUS al

dominio administrativo predeterminado.
NOTA
Los administradores (los usuarios que accedan al switch a través de Telnet, SSH, FTP, HTTP o
terminal) se autentican en el dominio administrativo predeterminado.
De forma predeterminada, el dominio administrativo es default_admin.
[Switch-aaa] domain default_admin
[Switch-aaa-domain-default_admin] radius-server 1
[Switch-aaa-domain-default_admin] authentication-scheme sch1
[Switch-aaa-domain-default_admin] quit
# Aplique el esquema de autenticación AAA y la plantilla de servidor RADIUS al

dominio huawei.com.
[Switch-aaa-domain-huawei.com] radius-server 1
[Switch-aaa] quit
6. Habilite la autenticación 802.1x en una interfaz.

# Configure el modo NAC al modo unificado.

[Switch] authentication unified-mode
NOTA
Después de una conmutación entre el modo común y el modo unificado, el dispositivo se reinicia
automáticamente.
# Habilite la autenticación 802.1x en la interfaz GE1/0/3.

[Switch-GigabitEthernet1/0/3] authentication dot1x
[Switch-GigabitEthernet1/0/3] dot1x authentication-method eap //Se
recomienda este paso porque la mayoría de los clientes 802.1x usan
autenticación de retransmisión EAP.
Paso 2 Configure el ACS seguro.

1. Inicie sesión en el cliente ACS e introduzca el nombre de usuario y la contraseña para
abrir la página de inicio.
Introduzca la dirección de localizador de recursos universal (URL) del ACS y pulse
Enter para abrir la página del inicio de sesión de ACS. Introduzca el nombre de usuario
y la contraseña y haga clic en Login.
NOTA
La dirección URL del ACS está en el formato http://IP/ o https://IP/, por ejemplo, http://10.13.1.1/ o
https://10.13.1.1/.
Después de iniciar sesión en el ACS, aparecerá la página de inicio.
Tabla 11-5 Áreas de navegación en el cliente ACS

Área de navegación Descripción
My Workspace Incluye página de bienvenida, instrucción de

configuración de las tareas comunes, e información de
cuentas.
Para cambiar la contraseña del administrador, elija My
Workspace > My Account.
Network Resources Configure dispositivos de red, incluidos los clientes

AAA y los grupos de dispositivos de red.
Users and Identity Stores Configura los usuarios y las identidades.
Policy Elements Configure los perfiles de autenticación y autorización,

incluidas las condiciones de coincidencia y los resultados
de las políticas de acceso.
Access Policies Configure las políticas de acceso y asocie a los usuarios

con perfiles de autenticación y autorización.
Monitoring and Reports Muestra la información del log.
System Administration Administra y mantiene ACS.
2. Agregue un dispositivo de acceso.

a. Elija Network Resources > Network Devices and AAA clients > Create, como se
muestra en Figura 11-4.

Figura 11-4 Configuración del dispositivo de red y del cliente AAA
b. Introduzca el nombre del switch y la dirección IP, configure el modo de

autenticación entre el switch y ACS a RADIUS, introduzca la clave compartida y el
número del puerto CoA, y haga clic en Submit, como se muestra en Figura 11-5.
Figura 11-5 Agregación del dispositivo de red y del cliente AAA
3. Agregue un usuario.
a. Elija Users and Identity Stores > Internal Identity Stores > Users > Create,
como se muestra en Figura 11-6.

Figura 11-6 Configuración del usuario de acceso
b. Introduzca el nombre de usuario, la contraseña, y confirme la contraseña, y haga

clic en Submit, como se muestra en Figura 11-7.
Figura 11-7 muestra la página para agregar un usuario 802.1x. Después de agregar
el usuario de acceso, agregue un administrador de acuerdo con los parámetros del
administrador.
Figura 11-7 Agregación de un usuario
4. Agregue un perfil de autenticación y autorización.

a. Elija Policy Elements > Authorization and Permissions > Network Access >
Authorization Profiles > Create para agregar un perfil de autenticación y
autorización, como se muestra en Figura 11-8.
NOTA
Cuando utilice el protocolo RADIUS, se recomienda que debe elegir Policy Elements >
Authorization and Permissions > Network Access.
Cuando se utiliza el protocolo TACACS +, se recomienda que debe elegir Policy Elements >
Authorization and Permissions > Authorization Profiles.
Figura 11-8 Agregación de un perfil de autenticación y autorización
b. Agregue el perfil de autenticación y autorización para que el administrador

especifique que el administrador sólo puede iniciar una sesión a través de Telnet y
tiene un privilegio de usuario de 15.
Los ajustes en la página tab General que se muestra en Figura 11-9.

Figura 11-9 Configuración de los parámetros generales para el perfil de

autenticación y autorización del administrador
Los ajustes en la página tab RADIUS Attributes que se muestra en Figura 11-10.
Haga clic en Submit para confirmar la configuración del perfil.

Figura 11-10 Establecimiento de los parámetros de atributo de RADIUS para el

perfil de autenticación y autorización del administrador
c. Agregue un perfil de autenticación y autorización para un usuario 802.1x para

especificar que el usuario solo puede iniciar sesión a través de 802.1x y tiene un
privilegio de usuario de 2 y ACS envía ACL 3000 y VLAN 100, como se muestra
en Figura 11-11, Figura 11-12, y Figura 11-13. Haga clic en Submit para
confirmar la configuración del perfil.

Figura 11-11 Configuración de los parámetros generales para el perfil de

autenticación y autorización del usuario 802.1x

Figura 11-12 Configuración de los parámetros de tareas comunes para el perfil de

autenticación y autorización del usuario 802.1x
Figura 11-13 Configuración de los parámetros de atributo de RADIUS para el

perfil de autenticación y autorización del usuario 802.1x

5. Agregue una política de acceso para enlazar al usuario a un perfil de autenticación y

autorización.
a. Crear un servicio de acceso y elegir Access Policies > Access Services > Create.
b. Configure el servicio de acceso. Establezca el modo de comunicación a Network
Access y especifique el protocolo de acceso del usuario, como se muestra en
Figura 11-14 y Figura 11-15.
Figura 11-14 Configuración del modo de comunicación al Network Access
NOTA
Los switches de la serie S son compatibles con los primeros cinco protocolos de acceso de
usuario.
Figura 11-15 Protocolos de acceso de usuario
c. Elija Access Policies > Access Services > Service Selection Rules a crear una
regla, como se muestra en Figura 11-16.

Figura 11-16 Creación de una regla
d. Configure la regla. Establezca el modo de autenticación a RADIUS y agregue

atributos de acuerdo con Figura 11-17.
Puede elegir Access Policies > Access Services > Service Selection Rules para
preparar los atributos que desea agregar.

Figura 11-17 Configuración de la regla
Haga clic en OK y, a continuación, en Save Changes.

e. Seleccione el servicio de acceso creado y haga clic en Identity para agregar una
regla de identidad, como se muestra en Figura 11-18.

Figura 11-18 Creación de una regla de identidad
f. Configure la regla, como se muestra en Figura 11-19.

Figura 11-19 Configuración de la regla de identidad
Haga clic en OK y, a continuación, en Save Changes.

g. Seleccione el servicio de acceso creado y haga clic en Authorization. Configure la
regla de autenticación para el administrador de acuerdo con Figura 11-20 o para el
usuario 802.1 de acuerdo con Figura 11-21.

Figura 11-20 Configuración de la regla de autenticación para el administrador

Figura 11-21 Configuración de la regla de autenticación para el usuario 802.1x
h. Haga clic en OK y, a continuación, en Save Changes.

6. Complete la configuración.
l Un administrador inicia sesión en el switch a través de Telnet.
# Elija Start > Run en su PC e introduzca cmd para abrir la interfaz de línea de
comandos de Windows. Ejecute telnet, e introduzca el nombre de usuario admin1 y la
contraseña Huawei@1234 a Telnet al switch.
Username:admin1
Password:**********
<Switch> //Puede iniciar sesión con éxito.
# Ejecute el comando display access-user username admin1 para ver el derecho
concedido.
l Un usuario 802.1x inicia sesión en el switch.
# Ejecute el comando test-aaa en el switch para probar si el usuario puede pasar la
[Switch] test-aaa user1@huawei.com Huawei@1234 radius-template 1

# El usuario 802.1x inicia el cliente 802.1x en el PC, e introduzca el nombre de usuario

user1@huawei.com y la contraseña Huawei@1234. Si el nombre de usuario y la
contraseña son correctas, el cliente mostrará un mensaje de autenticación exitoso. El
usuario puede acceder a la red.
# Después de que el usuario 802.1x se conecte en línea, ejecute el comando display
access-user access-type dot1x en el switch para ver la información del usuario. Los
campos Dynamic VLAN y Dynamic ACL number(Effective) indican la VLAN y la
ACL enviadas por el servidor RADIUS.
----Fin
#
sysname Switch
#
vlan batch 10 20 30 100
#
#
acl number 3000
#
radius-server shared-key cipher %^%#9nP3;sDW-AN0f@H@S*l&\f{V=V_auKe|^YXy7}bU%^%#
#
aaa
domain default_admin
radius-server 1
domain huawei.com
radius-server 1
#
interface Vlanif10
ip address 10.1.6.10 255.255.255.0
#
interface Vlanif20
ip address 10.1.2.10 255.255.255.0
#
interface Vlanif30
ip address 10.1.3.10 255.255.255.0
#
#
#
dot1x authentication-method eap
#

#
return

inicio de sesión de telnet (autenticación HWTACACS y local)
Descripción general de autenticación HWTACACS y local

Cuando se despliega un servidor de autenticación HWTACACS en una red, los usuarios
pueden autenticarse a través de HWTACACS. La información del usuario es creada y
mantenida por el servidor de autenticación HWTACACS. Un usuario puede iniciar sesión
correctamente en el dispositivo sólo cuando el nombre de usuario y la contraseña introducidas
son los mismos que los configurados en el servidor HWTACACS. Comparado con RADIUS,
HWTACACS es más confiable en la transmisión y en la encriptación, y es más conveniente
para el control de seguridad. Generalmente, la autenticación HWTACACS está configurada
en la red que requiere alta seguridad, por ejemplo, las redes de operadores financieros,
gubernamentales y de telecomunicaciones.
Tanto la autenticación HWTACACS como la autenticación local se configuran en un

dispositivo, cuando el servidor HWTACACS no responde, el dispositivo realiza la
autenticación local. Si sólo se configura la autenticación HWTACACS, los usuarios fallan en
la autenticación cuando el dispositivo no se puede conectar al servidor HWTACACS.
NOTA
Requisitos de redes
Como se muestra en Figura 11-22, un servidor HWTACACS se implementa en una red y el
administrador hace Telnet al dispositivo para administrarlo de manera remota. Los requisitos
específicos son los siguientes:

2. El dispositivo realiza primero la autenticación HWTACACS para el administrador. Si el
servidor HWTACACS no responde, el dispositivo realiza la autenticación local.


(autenticación HWTACACS y local)
GE1/0/2
VLANIF20
10.1.6.10/24
Red de
Administrador VLANIF10 Switch Servidor HWTACACS
10.1.2.10/24 10.1.6.6/24
Nombre de usuario: user1@huawei.com

3. Configure la autenticación local de AAA, incluyendo la creación de un usuario local,
estableciendo el tipo de acceso de usuario a telnet y estableciendo el nivel de usuario a
15.
4. Configure la autenticación HWTACACS, incluyendo la creación de una plantilla de
servidor HWTACACS, un esquema de autenticación AAA y un esquema de servicio, y
la aplicación de los esquemas a un dominio.
NOTA
requeridos se han configurado en el servidor HWTACACS, por ejemplo, la dirección IP del dispositivo, la
clave compartida y la información del usuario.
Procedimiento




Paso 4 Configure la autenticación local de AAA.

[Switch] aaa
[Switch-aaa] local-user user1@huawei.com password irreversible-cipher
Huawei@1234 //Cree el usuario local user1@huawei.com y establezca la contraseña.
La contraseña se muestra en el texto de cifrado en el archivo de configuración,
así que recuerde la contraseña. Si olvida la contraseña, ejecute este comando
nuevamente para reconfigurar la contraseña (el comando es local-user user-name
password cipher password en V200R002 y versiones anteriores).
[Switch-aaa] local-user user1@huawei.com service-type telnet //Establezca el
tipo de acceso de user1@huawei.com a Telnet. El usuario puede iniciar sesión
únicamente a través de Telnet (de forma predeterminada, los usuarios pueden
iniciar sesión a través de cualquier método en versiones anteriores a V200R007 y
no pueden iniciar sesión a través de ningún método en V200R007 y versiones
posteriores).
[Switch-aaa] local-user user1@huawei.com privilege level 15 //Establezca el
nivel de usuario de user1@huawei.com a 15. El usuario puede usar los comandos de
nivel 15 y niveles inferiores.
[Switch-aaa] quit
Paso 5 Configure la autenticación HWTACACS.

# Configure una plantilla de servidor HWTACACS para implementar la comunicación entre
el dispositivo y el servidor HWTACACS.
[Switch] hwtacacs-server template 1
[Switch-hwtacacs-1] hwtacacs-server authentication 10.1.6.6 49 //Especifique la
dirección IP y el número de puerto del servidor de autenticación HWTACACS.
[Switch-hwtacacs-1] hwtacacs-server shared-key cipher Hello@1234 //Especifique
la clave compartida del servidor HWTACACS, que debe ser la misma que la
configurada en el servidor HWTACACS.
[Switch-hwtacacs-1] quit
# Configure un esquema de autenticación AAA, establezca los métodos de autenticación a

HWTACACS y autenticación local.
[Switch] aaa
[Switch-aaa-authen-sch1] authentication-mode hwtacacs local

# Aplique el esquema de autenticación AAA, la plantilla de servidor HWTACACS y el

esquema de servicio al dominio.
[Switch-aaa-domain-huawei.com] hwtacacs-server 1
[Switch-aaa-domain-huawei.com] service-scheme sch1
[Switch-aaa] quit

de usuario user1@huawei.com y la contraseña Huawei@1234 para iniciar sesión en el
dispositivo a través de Telnet.
Username:user1@huawei.com
# Apague la interfaz conectada al servidor de autenticación HWTACACS, para desconectar el

dispositivo del servidor HWTACACS. Elija Start > Run en su computadora e introduzca
cmd para abrir la ventana cmd. Ejecute el comando telnet e introduzca el nombre de usuario
user1@huawei.com y la contraseña Huawei@1234 para iniciar sesión en el dispositivo a
través de Telnet. Puede iniciar sesión correctamente en el dispositivo, lo que indica que el
dispositivo realiza la autenticación local cuando el servidor HWTACACS no responde.
----Fin
#
sysname Switch
#
vlan batch 10 20
#
#
hwtacacs-server template 1
hwtacacs-server authentication 10.1.6.6
hwtacacs-server shared-key cipher %^%#q(P3<qAXm=Pq).G8bgq@"sbFOf%0k%umgQJ3#MF3%^
%#
#
aaa
authentication-mode hwtacacs local
service-scheme sch1
domain huawei.com
service-scheme sch1
hwtacacs-server 1
local-user user1@huawei.com password irreversible-cipher %^%#+bxGT|w}~J-
FHdDG"R8"($BX%XF/R1uba0UwL0).&r"Z#zbz*2G1$%6)Rd/V%^%#
local-user user1@huawei.com privilege level 15
local-user user1@huawei.com service-type telnet
#
interface Vlanif10
ip address 10.1.2.10 255.255.255.0
#
interface Vlanif20
ip address 10.1.6.10 255.255.255.0
#
#
#


#
return
11.1.6 Ejemplo para configurar la administración predeterminada

de usuarios basada en dominios
Descripción general del dominio y del dominio predeterminado

El dispositivo administra los usuarios de acceso basados en dominios. Cada usuario de acceso
pertenece a un dominio.
Los esquemas de autenticación, autorización y contabilidad pueden estar vinculados a las
vistas de dominio. El dispositivo administra a los usuarios de acceso en el mismo dominio de
la misma manera, por ejemplo, utilizando el mismo esquema de autenticación, autorización y
contabilidad.
Como se muestra en Figura 11-23, los usuarios se autentican en el dominio especificado
cuando los nombres de usuario introducidos contienen nombres de dominio o en el dominio
predeterminado cuando los nombres de usuario introducidos no contienen nombres de
dominio. Si un nombre de usuario contiene un nombre de dominio, el usuario pertenece a este
dominio; de lo contrario, el usuario pertenece al dominio predeterminado. Si la mayoría de los
usuarios de una red pertenecen al mismo dominio, puede configurar este dominio como el
dominio predeterminado para que estos usuarios no tengan que introducir el nombre de
dominio al iniciar sesión en el dispositivo.
Los dominios predeterminados caen en dominio administrativo predeterminado y dominio
común predeterminado.
l El administrador (iniciar sesión a través de Telnet, SSH, FTP, HTTP o Terminal) se
autentica en el dominio administrativo predeterminado.
De forma predeterminada, el dominio administrativo predeterminado es default_admin.
l Los usuarios común (iniciar sesión a través de MAC, Portal o autenticación 802.1x o
autenticación PPP en V200R005) se autentican en el dominio común predeterminado.
De forma predeterminada, el dominio común predeterminado es default.
Figura 11-23 Dominios de usuario
El usuario introduce el El usuario se

nombre de usuario El nombre de usuario Sí autentica en el
user-name@domain- contiene un nombre de
dominio domain-
name o user-name. dominio domain-name?
name.
No
El administrador se autentica en el dominio

administrativo predeterminado global.
El usuario común se autentica en el dominio
común global predeterminado.

NOTA
Por defecto, pueden modificar la configuración de los dominios predeterminados, pero no pueden eliminar los
dominios predeterminados de forma predeterminada.

NOTA
Requisitos de redes
Como se muestra en Figura 11-24, el administrador hace Telnets al dispositivo y gestiona de
forma remota el dispositivo después de pasar la autenticación local de AAA, y los usuarios de
802.1x inician sesión en el dispositivo a través de los clientes 802.1x después de pasar la
autenticación RADIUS. Por lo tanto, la autenticación local AAA y la autenticación RADIUS
deben configurarse en el dispositivo.
1. El administrador debe introducir el nombre de usuario y la contraseña correcta a hacer
Telnet al dispositivo. Después de iniciar sesión en el dispositivo, el administrador puede
ejecutar todos los comandos en los niveles 0-15.
2. Los usuarios de 802.1x deben introducir nombres de usuario y contraseñas correctas para
iniciar sesión en el dispositivo.
3. El administrador y los usuarios de 802.1x no deben introducir nombres de dominio al
iniciar sesión.
Figura 11-24 Configuración de la administración de usuarios basada en dominios

predeterminada
Red de GE1/0/1
administración VLANIF20
GE1/0/2
Administrador 10.1.2.10/24
VLANIF30
Switch Servidor RADIUS

10.1.6.6/24
GE1/0/3
Red de acceso VLANIF10
10.1.3.10/24
Usuario de 802.1x
Nombre de usuario: John
Contraseña: Hello@5678


1. Permita que el administrador haga Telnet al dispositivo.
a. Habilite el servicio Telnet.
b. Defina el método de autenticación para usuarios de inicio de sesión de telnet a
AAA.
c. Configure la autenticación local de AAA, incluyendo la creación de un usuario
local, estableciendo el tipo de acceso de usuario a telnet y estableciendo el nivel de
usuario a 15.
2. Permita que los usuarios de 802.1x inicien sesión en el dispositivo a través de la
a. Habilite la autenticación 802.1x en la interfaz.
b. Configure la autenticación RADIUS, incluida la creación de una plantilla de
servidor RADIUS, un esquema de autenticación AAA y un esquema de servicio, y
la aplicación de los esquemas al dominio común predeterminado.
NOTA
requeridos se han configurado en el servidor RADIUS, por ejemplo, la dirección IP del dispositivo, la clave
compartida y el usuario que crea.
Procedimiento
Paso 2 Configure la autenticación local de AAA para que el administrador haga Telnet al dispositivo.
# Habilite el servidor Telnet.

# Configure el método de autenticación para la interfaz de usuario VTY a AAA.


# Configure la autenticación local de AAA.

[Switch] aaa
[Switch-aaa] local-user user1 password irreversible-cipher Huawei@1234 //Cree el
usuario local user1 y establezca la contraseña. La contraseña se muestra en el
texto de cifrado en el archivo de configuración, así que recuerde la contraseña.
Si olvida la contraseña, ejecute este comando nuevamente para reconfigurar la
contraseña (el comando es local-user user-name password cipher password en
V200R002 y versiones anteriores).
[Switch-aaa] local-user user1 service-type telnet //Establezca el tipo de acceso
de user1 a Telnet. El usuario puede iniciar sesión únicamente a través de Telnet
(de forma predeterminada, los usuarios pueden iniciar sesión a través de
cualquier método en versiones anteriores a V200R007 y no pueden iniciar sesión a
través de ningún método en V200R007 y versiones posteriores).
[Switch-aaa] local-user user1 privilege level 15 //Establezca el nivel de
usuario de user1 a 15. El usuario puede usar los comandos de nivel 3 y niveles
inferiores.
Warning: This operation may affect online users, are you sure to change the user
privilege level ?[Y/N] y
[Switch-aaa] quit
NOTA
Cuando el nombre de usuario introducido no contiene un nombre de dominio, el dispositivo autentica al

usuario a través del dominio administrativo predeterminado default_admin. De forma predeterminada, el
dominio administrativo predeterminado utiliza el esquema de autenticación default y el esquema de
contabilidad default.
l Esquema de autenticación default: local authentication
l Esquema de contabilidad default: non-accounting
Paso 3 Configure la autenticación RADIUS para los usuarios de 802.1x para iniciar sesión en el
dispositivo.
# Configure la plantilla de servidor RADIUS para implementar la comunicación entre el
dispositivo y el servidor RADIUS.
[Switch-radius-1] radius-server authentication 10.1.6.6 1812 //Especifique la
dirección IP y el número de puerto del servidor de autenticación RADIUS.
[Switch-radius-1] radius-server shared-key cipher Hello@1234 //Especifique la
clave compartida del servidor RADIUS, que debe ser la misma que la configurada en
el servidor RADIUS.
NOTA
Si el servidor RADIUS no acepta los nombres de usuario que contienen nombres de dominio, ejecute el
comando undo radius-server user-name domain-included en el dispositivo para que los paquetes enviados
desde el dispositivo al servidor RADIUS no contengan nombres de dominio.
# Configure un esquema de autenticación AAA y configure el modo de autenticación a

RADIUS.
[Switch] aaa



# Aplique el esquema de autenticación AAA, la plantilla de servidor RADIUS y el esquema

de servicio al dominio común predeterminado.
[Switch-aaa] domain default
[Switch-aaa-domain-default] authentication-scheme sch1
[Switch-aaa-domain-default] service-scheme sch1
[Switch-aaa-domain-default] radius-server 1
[Switch-aaa-domain-default] quit
[Switch-aaa] quit
# Establece el modo NAC en unificado (este paso es requerido en V200R005 y versiones

posteriores).
NOTA
Después de que el modo común se cambia al modo unificado, el dispositivo se reinicia automáticamente. Por
defecto, se utiliza el modo unificado.
# Habilite la autenticación 802.1x en la interfaz.
l En las versiones anteriores a V200R009:

l En V200R009 y versiones posteriores:

[Switch] dot1x-access-profile name d1
[Switch-dot1x-access-profile-d1] quit
[Switch] authentication-profile name p1
[Switch-authen-profile-p1] dot1x-access-profile d1
[Switch-authen-profile-p1] authentication mode multi-authen max-user 100
[Switch-authen-profile-p1] quit
[Switch-GigabitEthernet1/0/3] authentication-profile p1
de usuario user1 y la contraseña Huawei@1234 para iniciar sesión en el dispositivo a través
de Telnet.
Username:user1
# Ejecute el comando test-aaa para probar si un usuario 802.1x puede pasar la autenticación.
[Switch] test-aaa liming Hello@5678 radius-template 1
# Un usuario inicia el cliente 802.1x en un terminal, e introduzca el nombre de usuario liming

y la contraseña Hello@5678 para la autenticación. Si el nombre de usuario y la contraseña

son correctas, se muestra un mensaje de autenticación exitosa en la página del cliente. El

usuario puede acceder a la red.
# Después de que el usuario se vaya a la red, puede ejecutar el comando display access-user
access-type dot1x para comprobar la información de usuario 802.1x en línea.
----Fin
#
sysname Switch
#
vlan batch 10 20 30
#
#
authentication-profile name p1 //Disponible solo en V200R009 y versiones
posteriores
dot1x-access-profile d1
authentication mode multi-authen max-user 100
#
radius-server shared-key cipher %^%#9nP3;sDW-AN0f@H@S*l&\f{V=V_auKe|^YXy7}bU%^%#
#
aaa
service-scheme sch1
domain default
service-scheme sch1
radius-server 1
local-user user1 password irreversible-cipher $1a$BKfS8Ml4qP
$1\a5RWc)oTIuB0'wN;p090;>{APtaL8/x/T.$
local-user user1 privilege level 15
local-user user1 service-type telnet
#
interface Vlanif10
ip address 10.1.3.10 255.255.255.0
#
interface Vlanif20
ip address 10.1.2.10 255.255.255.0
#
interface Vlanif30
ip address 10.1.6.10 255.255.255.0
#
#
#
authentication dot1x //Disponible solo en las versiones anteriores a V200R009
authentication-profile p1 //Disponible solo en V200R009 y versiones posteriores
#

#
dot1x-access-profile name d1 //Disponible solo en V200R009 y versiones
posteriores
#
return
11.2 Configuración típica de NAC (modo unificado) (Agile

Controller-Campus como el servidor de autenticación)
11.2.1 Ejemplo para configurar la autenticación Portal para

controlar el acceso del usuario a la red empresarial (punto de
autenticación en el switch de core)
Descripción general de la autenticación Portal
La autenticación Portal es un método de Control de admisión a la red (NAC). La
autenticación Portal también se llama autenticación web. En general, los sitios web de
autenticación Portal se denominan sitios web Portal. Los usuarios deben ser autenticados por
los sitios web Portal antes de que puedan usar los servicios de red.
La autenticación Portal es insegura, pero permite una red flexible ya que no se requiere
software del cliente en los terminales de los usuarios. La autenticación 802.1X es otro método
de NAC. Es más segura que la autenticación Portal, pero requiere la instalación del software
del cliente en los terminales de los usuarios, lo que resulta en la inflexibilidad de la red. Al
igual que la autenticación Portal, la autenticación de dirección MAC tampoco requiere la
instalación del software del cliente, pero las direcciones MAC de los terminales de usuario
deben estar registradas en el servidor de autenticación. La configuración y administración de
la red es compleja.
La autenticación Portal se aplica a los usuarios que se distribuyen de forma dispersa y se
mueven con frecuencia, por ejemplo, invitados de una empresa.
Este ejemplo se aplica a todos los switches de la serie S(excepto S2350EI y S5300LI).
NOTA
Agile Controller-Campus de Huawei en V100R001 funciona como el servidor Portal y el

servidor RADIUS en este ejemplo. Para Agile Controller-Campus, la versión requerida es
V100R001, V100R002, V100R003.
Las claves compartidas de autenticación y contabilidad RADIUS y la clave compartida Portal
en el switch deben ser las mismas que las del servidor Agile Controller-Campus.
De forma predeterminada, el switch permite que pasen los paquetes desde los servidores
RADIUS y Portal. No debe configurar reglas libres de autenticación para los dos servidores
en el switch.

Requisitos de redes
Una empresa debe implementar un sistema de autenticación de identidad para controlar los
derechos de acceso a la red de los empleados y permitir que solo los usuarios autorizados
accedan a la red.
La empresa tiene los siguientes requisitos:
l Las operaciones de autenticación deberían ser simples. El sistema de autenticación solo
realiza la autorización de acceso. El software mínimo del cliente está instalado en los
terminales de usuario.
l Para facilitar la reconstrucción de la red y reducir las inversiones, la empresa requiere
que el punto de autenticación se implemente en el switch de core.
l Se utiliza un mecanismo de autenticación de identidad unificado para autenticar todos los
terminales que acceden a la red del campus y denegar el acceso desde los terminales no
autorizados.
l Los empleados de I+D pueden conectarse solo a servidores públicos (como los
servidores web y DNS) de la empresa antes de la autenticación y pueden conectarse a la
intranet (biblioteca de códigos y sistema de seguimiento de problemas) e Internet
después de ser autenticados.
l Los empleados de marketing pueden conectarse solo a los servidores públicos (como los
servidores web y DNS) de la empresa antes de la autenticación, y solo pueden conectarse
a Internet una vez autenticados.
Figura 11-25 Autenticación Portal implementada en la capa de core

Dominio de
preautenticación
Internet
Agile Controller
Servidor DNS Servidor Web
(incluye servidor Portal
y servidor RADIUS)
Switch de core
SwitchD
GE1/0/2 Dominio de post-
autenticación
GE1/0/1
Switch de
GE1/0/3
agregación
SwitchC Base de Sistema de
configuración de seguimiento de
GE1/0/1 GE1/0/2 código problemas
GE0/0/2 Switch de GE0/0/2
SwitchA acceso SwitchB
GE0/0/1 GE0/0/1
Departamento Departamento
de I+D de marketing
GE0/0/
4
PC Ordenador Punto de autenticación
PC portátil
PC

Plan de datos
Tabla 11-8 Plan de VLAN

ID de VLAN Función
101 VLAN para empleados de I+D
102 VLAN para empleados de marketing
103 VLAN para la conexión entre el switch de

agregación y el switch de core
104 VLAN a la que pertenecen las interfaces

que conectan a los servidores
Tabla 11-9 Plan de datos de red

Switch de acceso (que se Número de interfaz: GE0/0/1 Se conecta a los PC de los

conecta al departamento VLAN: 101 empleados.
de I+D)
Número de interfaz: GE0/0/2 Se conecta al switch de
VLAN: 101 agregación.

de marketing)
Switch de agregación Número de interfaz: GE1/0/1 Se conecta al switch de

VLAN: 101 acceso del departamento de I
+D.
Dirección IP de VLANIF101:
192.168.0.1 Funciona como el gateway
para los empleados de I+D.

VLAN: 102 acceso del departamento de
marketing.
para los empleados de
marketing.
Número de interfaz: GE1/0/3 Se conecta al switch de core.

VLAN: 103
172.16.2.1

Switch de core Número de interfaz: GE1/0/1 Se conecta al switch de

172.16.2.2
Número de interfaz: GE1/0/2 Se conecta al área del servidor

VLAN: 104 y funciona como el gateway
para los servidores.
172.16.1.254
Servidor Agile Dirección IP: 172.16.1.1 -

Controller-
Campus(Se
rvidor
RADIUS +
servidor
Portal)
Servidor Dirección IP: 172.16.1.2 -

DNS

web
Biblioteca Dirección IP: 172.16.1.4 -

de códigos
Sistema de Dirección IP: 172.16.1.5 -

seguimient
o de
problemas
Tabla 11-10 Plan de datos de servicio

Switch de core Número de ACL para el dominio Debe introducir este número de
de post-autenticación de los ACL al configurar las reglas de
empleados de I+D: 3001 autorización y los resultados en
Agile Controller-Campus.
Número de ACL para el dominio Debe introducir este número de

empleados de marketing: 3002 autorización y los resultados en

Servidor de autenticación: l El Service Controller (SC) de

l Dirección IP: 172.16.1.1 Agile Controller-Campus
integra el servidor RADIUS y
l Número de puerto: 1812 el servidor Portal. Por lo tanto,
l Clave compartida RADIUS: las direcciones IP del servidor
Admin@123 de autenticación, servidor de
contabilidad, servidor de
Servidor de contabilidad: autorización y servidor Portal
l Dirección IP: 172.16.1.1 son la dirección IP del SC.
l Número de puerto: 1813 l Configure un servidor de
l Clave compartida RADIUS: contabilidad RADIUS para
Admin@123 recopilar información de inicio
de sesión y cierre de sesión del
l Intervalo de contabilidad: 15 usuario. Los números de
Servidor Portal: puerto del servidor de
autenticación y del servidor de
l Dirección IP: 172.16.1.1 contabilidad deben ser los
l Número de puerto que usa el mismos que los números del
switch para procesar los puerto de autenticación y
paquetes del protocolo Portal: contabilidad del servidor
2000 RADIUS.
l Número de puerto de destino l Configure un servidor de
en los paquetes que el switch autorización para permitir que
envía al servidor Portal: 50200 el servidor RADIUS entregue
reglas de autorización al
l Clave compartida de
switch. La clave compartida
autenticación Portal:
RADIUS del servidor de
Admin@123
autorización debe ser la misma
que la del servidor de
contabilidad.
Agile Nombre de Host: Los usuarios pueden usar el

Controller- access.example.com nombre de dominio para acceder
Campus al servidor Portal.
Dirección IP del dispositivo: -

172.16.1.254
Puerto de autenticación: 1812 -
Puerto de contabilidad: 1813 -
Clave compartida RADIUS: La clave compartida RADIUS

Admin@123 debe ser la misma que la
configurada en el switch.
Número de puerto que usa el -

servidor Portal para recibir
paquetes: 50200

Clave compartida Portal: Debe ser la misma que la clave

Admin@123 compartida de autenticación Portal
Departamento: I+D Se han creado dos departamentos

l Usuario: A y dos cuentas correspondientes en
Agile Controller-Campus:
l Cuenta: A-123 departamento R&D y una cuenta
l Contraseña: Huawei123 de los empleados de I+D A-123;
Departamento: Marketing departamento Marketing y una
cuenta de los empleados de
l Usuario: B marketing B-123.
l Cuenta: B-123
l Contraseña: Huawei123
Dominio de Agile Controller-Campus -

preautenticación (incluyendo servidor RADIUS y
servidor Portal), servidor DNS y
servidor web
Dominio de l Empleados de I+D: biblioteca -

post- de códigos, sistema de
autenticación seguimiento de problemas, e
Internet
l Empleados de marketing:
Internet

1. Configure el switch de acceso, el switch de agregación y el switch de core para
2. Configure la autenticación Portal en el switch de core para implementar el control de
acceso del usuario. Configure los parámetros para conectarse al servidor RADIUS y
aquellos para conectarse al servidor Portal, habilite la autenticación Portal, y configure
los derechos de acceso a la red para el dominio de preautenticación y el dominio de post-
autenticación.
3. Configure Agile Controller-Campus:
a. Inicie sesión en Agile Controller-Campus.
b. Agregue cuentas de usuario a Agile Controller-Campus.
c. Agregue un switch a Agile Controller-Campus y configure los parámetros
relacionados para garantizar la comunicación normal entre Agile Controller-
Campus y switch.
d. Agregue los resultados de autorización y las reglas de autorización para otorgar
diferentes derechos de acceso a los empleados de I+D y a los empleados de
marketing después de que se hayan autenticado correctamente.

Procedimiento
Paso 1 Configure el switch de acceso para garantizar la conectividad de la red.
A continuación se proporciona la configuración para SwitchA, el switch de acceso que
conecta con el departamento de I+D. La configuración para SwitchB, el switch de acceso que
conecta con el departamento de marketing, es similar a la de SwitchA.
[SwitchA] vlan 101
[SwitchA] interface gigabitethernet 0/0/1 //Interfaz conectada al departamento
de I+D
[SwitchA] interface gigabitethernet 0/0/2 //Interfaz conectada al switch de
agregación
[SwitchA] quit
<SwitchA> save //Guarde la configuración.
Paso 2 Configure el switch de core.

1. Cree las VLAN y configure las VLAN permitidas por las interfaces para que los
paquetes puedan reenviarse.
[SwitchD] interface gigabitethernet 1/0/1 //Interfaz conectada al switch
de agregación
[SwitchD-GigabitEthernet1/0/1] port trunk allow-pass vlan 103
[SwitchD-Vlanif103] ip address 172.16.2.2 255.255.255.0
[SwitchD] interface gigabitethernet 1/0/2 //Interfaz conectada al área del
servidor
[SwitchD-Vlanif104] ip address 172.16.1.254 255.255.255.0 //Configure la
dirección del gateway para el área del servidor.
[SwitchD] ip route-static 192.168.0.0 255.255.255.0 172.16.2.1 //Configure
rutas al segmento de red asignado al departamento de I+D.
rutas al segmento de red asignado al departamento de marketing.
[SwitchD] quit
<SwitchD> save //Guarde la configuración.
2. Configure los parámetros para conectarse al servidor RADIUS.

[SwitchD] radius-server template policy //Cree la plantilla de servidor
RADIUS policy.
[SwitchD-radius-policy] radius-server authentication 172.16.1.1 1812 //
Configure la dirección IP y el número de puerto del servidor de autenticación
RADIUS.
[SwitchD-radius-policy] radius-server accounting 172.16.1.1 1813 //
Configure la dirección IP y el número de puerto del servidor de contabilidad
RADIUS.
[SwitchD-radius-policy] radius-server shared-key cipher Admin@123 //
Establezca la clave de autenticación y la clave de contabilidad para
Admin@123.

[SwitchD-radius-policy] quit
[SwitchD] aaa //Introduzca la vista AAA.
[SwitchD-aaa] authentication-scheme auth //Configure el esquema de
autenticación auth.
[SwitchD-aaa-authen-auth] authentication-mode radius //Establezca el modo
[SwitchD-aaa-authen-auth] quit
[SwitchD-aaa] accounting-scheme acco //Configure el esquema de
contabilidad acco.
[SwitchD-aaa-accounting-acco] accounting-mode radius //Establezca el modo
de contabilidad a RADIUS.
[SwitchD-aaa-accounting-acco] accounting realtime 15 //Establezca el
intervalo de contabilidad en tiempo real a 15 minutos.
[SwitchD-aaa-accounting-acco] quit
[SwitchD-aaa] domain portal //Configure un dominio.
[SwitchD-aaa-domain-portal] authentication-scheme auth //Enlace el esquema
de autenticación auth al dominio.
[SwitchD-aaa-domain-portal] accounting-scheme acco //Enlace el esquema de
contabilidad acco al dominio.
[SwitchD-aaa-domain-portal] radius-server policy //Enlace la plantilla del
servidor RADIUS policy al dominio.
[SwitchD-aaa-domain-portal] quit
[SwitchD-aaa] quit
[SwitchD] domain portal //Configure portal como el dominio predeterminado
global.
3. Configure los parámetros para conectarse al servidor Portal.

[SwitchD] web-auth-server portal_huawei //Configure la plantilla del
servidor Portal portal_huawei.
[SwitchD-web-auth-server-portal_huawei] server-ip 172.16.1.1 //Establezca
la dirección IP del servidor Portal.
[SwitchD-web-auth-server-portal_huawei] source-ip 172.16.1.254 //
Establezca la dirección IP que usa el switch para comunicarse con el servidor
Portal.
[SwitchD-web-auth-server-portal_huawei] port 50200 //Establezca el número
del puerto de destino en los paquetes que el switch envía al servidor Portal
a 50200, que es el mismo que el número de puerto que el servidor Portal usa
para recibir paquetes. El número del puerto de destino predeterminado en el
switch es 50100, y debe cambiarlo a 50200 manualmente, de modo que coincida
con el número de puerto en el servidor Portal.
[SwitchD-web-auth-server-portal_huawei] shared-key cipher Admin@123 //
Configure la clave compartida para la comunicación con el servidor Portal,
que debe ser la misma que la configurada en el servidor Portal.
[SwitchD-web-auth-server-portal_huawei] url http://access.example.com:8080/
portal //Configure el URL para la página de autenticación Portal, en la
cual access.example.com indica el nombre de host del servidor Portal. El
nombre de dominio se recomienda en el URL para que la página de autenticación
Portal pueda enviarse a los usuarios de manera más rápida y segura. Para usar
el nombre de dominio en el URL, debe configurar la asignación entre este
nombre de dominio access.example.com y la dirección IP del servidor Portal en
el servidor DNS por adelantado.
[SwitchD-web-auth-server-portal_huawei] quit
[SwitchD] web-auth-server listening-port 2000 //Configure el número de
puerto que utiliza el switch para procesar los paquetes del protocolo Portal.
El número de puerto predeterminado es 2000. Si el número de puerto se cambia
en el servidor, cámbielo en consecuencia en el switch.
[SwitchD] portal quiet-period //Habilite la función silenciosa para
usuarios de autenticación Portal. Si la cantidad de veces que un usuario de
autenticación Portal no puede autenticarse dentro 60 segundos excede el valor
especificado, el dispositivo descarta los paquetes de solicitud de
autenticación Portal del usuario durante un período para evitar el impacto de
fallos frecuentes de autenticación en el sistema.
[SwitchD] portal quiet-times 5 //Configure la cantidad máxima de fallos de
autenticación dentro de los 60 segundos antes de que el dispositivo silencie
a un usuario de autenticación Portal.
[SwitchD] portal timer quiet-period 240 //Establezca el período de
silencio a 240 segundos.
4. Habilite la autenticación Portal y configure los derechos de acceso a la red para los
usuarios en el dominio de preautenticación y el dominio de post-autenticación.

# Establezca el modo NAC al unificado.

[SwitchD] authentication unified-mode //Establezca el modo NAC al
unificado. Por defecto, el switch funciona en modo unificado. Después de
cambiar el modo NAC de común a unificado, guarde la configuración y reinicie
el switch para que la configuración surta efecto.
# Configure un perfil de acceso Portal.

[SwitchD] portal-access-profile name web1
[SwitchD-portal-acces-profile-web1] web-auth-server portal_huawei layer3
[SwitchD-portal-acces-profile-web1] quit
# Configure un perfil de regla sin autenticación y especifique los derechos de acceso a la

red para los usuarios en el dominio de preautenticación.
NOTA
En versiones anteriores a V200R012C00, si la URL del servidor Portal debe analizarse por DNS y el
servidor DNS está en la red de enlace ascendente del dispositivo NAS, también debe crear reglas sin
autenticación y asegurarse de que el servidor DNS esté incluido en las reglas sin autenticación. En
V200R012C00 y versiones posteriores, el dispositivo NAS automáticamente permite el paso de los
paquetes DNS y no se requiere una regla sin autenticación en la autenticación Portal.
[SwitchD] free-rule-template name default_free_rule
[SwitchD-free-rule-default_free_rule] free-rule 1 destination ip 172.16.1.2
mask 255.255.255.255 //Configure reglas libres de autenticación para
usuarios de autenticación Portal, para que estos usuarios puedan acceder al
servidor DNS antes de la autenticación.
[SwitchD-free-rule-default_free_rule] free-rule 2 destination ip 172.16.1.3
servidor web antes de la autenticación.
[SwitchD-free-rule-default_free_rule] quit

[SwitchD] authentication-profile name p1
[SwitchD-authen-profile-p1] portal-access-profile web1 //Enlace el perfil
de acceso Portal web1.
[SwitchD-authen-profile-p1] quit
# Habilite la autenticación Portal.

[SwitchD-Vlanif103] authentication-profile p1
# Configure los derechos de acceso a la red para el dominio de post-autenticación.

[SwitchD] acl 3001 //Configure el dominio de post-autenticación para
empleados de I+D.
[SwitchD-acl-adv-3001] rule 1 permit ip //Permita que los empleados de I+D
tengan acceso a todos los recursos.
[SwitchD-acl-adv-3001] quit
empleados de marketing.
[SwitchD-acl-adv-3002] rule 1 deny ip destination 172.16.1.4 0 //Evitan
que los empleados de marketing accedan a la biblioteca de códigos.
que los empleados de marketing accedan al sistema de seguimiento de problemas.
[SwitchD-acl-adv-3002] rule 3 permit ip //Permita que los empleados de
marketing accedan a otros recursos.
[SwitchD] quit
Paso 3 Configure Agile Controller-Campus.

1. Inicie sesión en Agile Controller-Campus.

a. Abra Internet Explorer, introduzca la dirección Agile Controller-Campus en el
cuadro de dirección, y presione Enter.
La siguiente tabla proporciona dos tipos de direcciones Agile Controller-Campus.
Formato de dirección Descripción
https://Agile Controller- En la dirección, Agile Controller-Campus-IP

Campus-IP:8443 indica la dirección IP Agile Controller-Campus.
Dirección IP Agile Controller- Si el puerto 80 está habilitado durante la

Campus instalación, puede acceder a Agile Controller-
Campus simplemente introduciendo su
dirección IP sin el número de puerto. La
dirección Agile Controller-Campus cambiará
automáticamente a https://Agile Controller-
Campus-IP:8443.
b. Introduzca la cuenta de administrador y la contraseña.

Si inicia sesión en Agile Controller-Campus por primera vez, use la cuenta del
super administrador admin y la contraseña Changeme123. Cambie la contraseña
inmediatamente después de iniciar sesión. De lo contrario, el Agile Controller-
Campus no se puede usar.
2. Cree departamentos y cuentas. A continuación se describe cómo crear el departamento
R&D. Cree el departamento Marketing de manera similar.
a. Elija Resource > User > User Management.
b. Haga clic en la tab Department en el área de operación a la derecha. A
continuación, haga clic en Add bajo la tab Department, y agregue el departamento
R&D.

c. Haga clic en la tab User en el área de operación a la derecha. A continuación, haga

clic en Add bajo la tab User y agregue el usuario A.

d. Haga clic en en la columna Operation a la derecha del usuario A. Se muestra

la página Account Management. Haga clic en Add, y cree una cuenta común
A-123 con la contraseña Huawei123.

e. En la página de la tab User, seleccione el usuario A y haga clic en Transfer para

agregar el usuario A al departamento R&D.
3. Agregue un switch a Agile Controller-Campus y configure los parámetros relacionados

para garantizar la comunicación normal entre Agile Controller-Campus y switch.
a. Elija Resource > Device > Device Management.
b. Haga clic en Add.
c. Configure los parámetros para el switch.
Parámetro Valor Descripción
Name SW -
IP Address 172.16.1.254 La interfaz debe ser capaz de comunicarse

con el SC.
Device series Huawei -

Quidway Series
Authenticatio Admin@123 Debe ser la misma que la clave compartida

n Key del servidor de autenticación RADUIS
Charging Admin@123 Debe ser la misma que la clave compartida

Key del servidor de contabilidad RADUIS

Real-time 15 Debe ser el mismo que el intervalo de

charging contabilidad en tiempo real configurado en el
interval switch.
(minute)
Port 2000 Este es el puerto que usa el switch para

comunicarse con el servidor Portal. Conserva
el valor predeterminado.
Portal Key Admin@123 Debe ser la misma que la clave compartida

Portal configurada en el switch.
Allowed IP 192.168.0.1/24; -
Addresses 192.168.1.1/24


d. Haga clic en OK.

1. Configure la autorización del empleado. Este ejemplo describe cómo configurar la
autorización de los empleados de I+D. El procedimiento de configuración para los
empleados de marketing es el mismo, excepto que los recursos de red a los que los dos
tipos de empleados pueden acceder son diferentes.
a. Elija Policy > Permission Control > Authentication and Authorization >
Authorization Result, y configure los recursos a los que los empleados de I+D
pueden acceder después de la autenticación y la autorización.
Name R&D employee post- -

authentication domain
Service Type Access Service -
ACL 3001 El número de ACL debe ser el

Number/AAA mismo que el número de ACL
User Group configurado para los
empleados de I+D en el
switch.

b. Elija Policy > Permission Control > Authentication and Authorization >
Authorization Rule, y especifique las condiciones de autorización para los
empleados de I+D.
Name R&D employee -

authorization rule
Service Type Access User -
Department R&D -
Authorization R&D employee post- -

Result authentication domain

l Los empleados solo pueden acceder a los servidores Agile Controller-Campus, DNS y
web antes de la autenticación.
l La página de autenticación Portal se envía a un empleado cuando el empleado intenta
visitar un sitio web de Internet. Después de que el empleado introduzca la cuenta y la
contraseña correcta, se muestra la página web solicitada.
l El empleado de I+D A puede acceder a Internet, a la biblioteca de códigos y al sistema
de seguimiento de problemas después de la autenticación. El empleado de marketing B
puede acceder a Internet, pero no a la biblioteca de códigos ni al sistema de seguimiento
de problemas después de la autenticación.

l Después de autenticar a un empleado, ejecute el comando display access-user en el

switch. La salida del comando muestra que el empleado está en línea.
----Fin
# Archivo de configuración del switch de acceso para el departamento de empleados (El
archivo de configuración del switch de acceso para el departamento de marketing es similar.)
#
sysname SwitchA
#
vlan batch 101
#
#
#
return
# Archivo de configuración del switch de agregación

#
sysname SwitchC
#
#
dhcp enable
#
interface Vlanif101
ip address 192.168.0.1 255.255.255.0
dhcp server dns-list 172.16.1.2
#
interface Vlanif102
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif103
ip address 172.16.2.1 255.255.255.0
#
port trunk pvid vlan 101
#
#
#
ip route-static 172.16.1.0 255.255.255.0 172.16.2.2
#
return
# Archivo de configuración del switch de core

#
sysname SwitchD

#
#
authentication-profile name p1
portal-access-profile web1
#
domain portal
#
radius-server template policy
radius-server shared-key cipher %#%#1*yT+0O\X;V}hP,G^TMN7mTXA^mIz)SoR:86;lNK%#%#
#
acl number 3001
rule 1 permit ip
acl number 3002
rule 1 deny ip destination 172.16.1.4 0
rule 3 permit ip
#
free-rule-template name default_free_rule
free-rule 1 destination ip 172.16.1.2 mask 255.255.255.255
#
web-auth-server portal_huawei
server-ip 172.16.1.1
port 50200
shared-key cipher %#%#q9a^<=Ct5'=0n40/1g}/m6Mo,U9u5!s(GYM}Z{<~%#%#
url http://access.example.com:8080/portal
source-ip 172.16.1.254
#
portal-access-profile name web1
web-auth-server portal_huawei layer3
#
aaa
authentication-scheme auth
accounting-scheme acco
accounting realtime 15
domain portal
radius-server policy
#
interface Vlanif103
ip address 172.16.2.2 255.255.255.0
authentication-profile p1
#
interface Vlanif104
ip address 172.16.1.254 255.255.255.0
#
#
#
ip route-static 192.168.0.0 255.255.255.0 172.16.2.1
ip route-static 192.168.1.0 255.255.255.0 172.16.2.1
#
portal quiet-period
portal timer quiet-period 240
portal quiet-times 5
#
return


autenticación en el switch de agregación)
la red es compleja.
NOTA

V100R001, V100R002, V100R003.
en el switch.
Requisitos de redes
accedan a la red.
l Se requiere un control de seguridad moderado. Para facilitar el mantenimiento, es
necesario implementar un número moderado de los puntos de autenticación en el switch
de agregación.


autorizados.
Figura 11-26 Autenticación Portal implementada en la capa de agregación
Internet
Dominio de
preautenticación
Switch de core Servidor DNS Agile Controller Servidor Web

(incluye servidores DNS
Portal y RADIUS)
Switch de agregación GE1/0/3
Dominio de post-
SwitchC
GE1/0/1 autenticación
GE1/0/2
Base de Sistema de
Switch de
GE0/0/1 GE0/0/1
de I+D de marketing
Ordenador Punto de autenticación

PC PC portátil PC
Plan de datos

ID de VLAN Función




de I+D)

de marketing)

+D.

marketing.
marketing.

VLAN: 103 empresarial.
Dirección IP de VLANIF103: Funciona como el gateway
172.16.1.254 para servidores.

Controller-
Campus
(servidor
RADIUS +
servidor
Portal)

DNS

web

de códigos


seguimient
o de
problemas

Switch de Número de ACL para el dominio Debe introducir este número de

agregación de post-autenticación de los ACL al configurar las reglas de


puerto del servidor de
contabilidad deben ser los
mismos que los números del
puerto de autenticación y
contabilidad del servidor
RADIUS.
l Configure un servidor de
autorización para permitir que
el servidor RADIUS entregue

Servidor Portal: autenticación y del servidor de

l Dirección IP: 172.16.1.1 contabilidad.
l Número de puerto que usa el

switch para procesar los
paquetes del protocolo Portal:
2000
l Número de puerto de destino
en los paquetes que el switch
envía al servidor Portal: 50200
Admin@123


172.16.1.254


paquetes: 50200


l Cuenta: B-123

servidor web


Internet
Internet

1. Configure el switch de acceso y el switch de agregación para garantizar la conectividad
de la red.
2. Configure la autenticación Portal en el switch de agregación para implementar el control
de acceso del usuario. Configure los parámetros para conectarse al servidor RADIUS y
autenticación.
Campus y switch.
Procedimiento
conecta con el departamento de marketing, es similar.
[SwitchA] vlan 101
de I+D
agregación
[SwitchA] quit
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y

Paso 2 Configure el switch de agregación.

[SwitchC] dhcp enable //Habilite el servicio DHCP.
[SwitchC] interface gigabitethernet 1/0/1 //Interfaz del switch de acceso
conectado al departamento de I+D
[SwitchC-GigabitEthernet1/0/1] port trunk pvid vlan 101
[SwitchC-GigabitEthernet1/0/1] port trunk allow-pass vlan 101
[SwitchC-Vlanif101] ip address 192.168.0.1 255.255.255.0 //Segmento de
dirección IP asignado a los empleados de I+D
[SwitchC-Vlanif101] dhcp select interface
[SwitchC-Vlanif101] dhcp server dns-list 172.16.1.2
conectado al departamento de marketing
dirección IP asignado a los empleados de marketing.
[SwitchC] interface gigabitethernet 1/0/3 //Interfaz conectada al área del
servidor
[SwitchC-Vlanif103] ip address 172.16.1.254 255.255.255.0 //Configure la
[SwitchC] quit
<SwitchC> save //Guarde la configuración.

[SwitchC] radius-server template policy //Cree la plantilla del servidor
RADIUS policy.
[SwitchC-radius-policy] radius-server authentication 172.16.1.1 1812 source
ip-address 172.16.1.254 //Configure la dirección IP y el número de puerto
del servidor de autenticación RADIUS.
[SwitchC-radius-policy] radius-server accounting 172.16.1.1 1813 source ip-
address 172.16.1.254 //Configure la dirección IP y el número de puerto del
servidor de contabilidad RADIUS.
[SwitchC-radius-policy] radius-server shared-key cipher Admin@123 //
Admin@123.
[SwitchC-radius-policy] quit
[SwitchC] aaa //Introduzca la vista AAA.
[SwitchC-aaa] authentication-scheme auth //Configure el esquema de
autenticacón auth.
[SwitchC-aaa-authen-auth] authentication-mode radius //Establezca el modo
[SwitchC-aaa-authen-auth] quit
[SwitchC-aaa] accounting-scheme acco //Configure el esquema de
contabilidad acco.
[SwitchC-aaa-accounting-acco] accounting-mode radius //Establezca el modo

[SwitchC-aaa-accounting-acco] accounting realtime 15 //Establezca el
[SwitchC-aaa-accounting-acco] quit
[SwitchC-aaa] domain portal //Configure un dominio.
[SwitchC-aaa-domain-portal] authentication-scheme auth //Enlace el esquema
[SwitchC-aaa-domain-portal] accounting-scheme acco //Enlace el esquema de
[SwitchC-aaa-domain-portal] radius-server policy //Enlace la plantilla del
[SwitchC-aaa-domain-portal] quit
[SwitchC-aaa] quit
[SwitchC] domain portal //Configure portal como dominio predeterminado
global.

[SwitchC] web-auth-server portal_huawei //Configure la plantilla del
[SwitchC-web-auth-server-portal_huawei] server-ip 172.16.1.1 //Establezca
[SwitchC-web-auth-server-portal_huawei] source-ip 172.16.1.254 //
Portal.
[SwitchC-web-auth-server-portal_huawei] port 50200 //Establezca el número
[SwitchC-web-auth-server-portal_huawei] shared-key cipher Admin@123 //
[SwitchC-web-auth-server-portal_huawei] url http://access.example.com:8080/
[SwitchC-web-auth-server-portal_huawei] quit
[SwitchC] web-auth-server listening-port 2000 //Configure el número de
[SwitchC] portal quiet-period //Habilite la función silenciosa para
[SwitchC] portal quiet-times 5 //Configure la cantidad máxima de fallos de
[SwitchC] portal timer quiet-period 240 //Establezca el período de
4. Habilite la autenticación Portal y configure los derechos de acceso a la red para los
usuarios en el dominio de preautenticación y el dominio de post-autenticación.

[SwitchC] authentication unified-mode //Establezca el modo NAC al
unificado. Por defecto, el switch funciona en modo unificado. Después de
cambiar el modo NAC de común a unificado, guarde la configuración y reinicie
el switch para que la configuración surta efecto.
# Configure un perfil de acceso Portal.

[SwitchC] portal-access-profile name web1

[SwitchC-portal-acces-profile-web1] web-auth-server portal_huawei direct
[SwitchC-portal-acces-profile-web1] quit
# Configure un perfil de regla sin autenticación y especifique los derechos de acceso a la

red para los usuarios en el dominio de preautenticación.
NOTA
En versiones anteriores a V200R012C00, si la URL del servidor Portal debe analizarse por DNS y el
servidor DNS está en la red de enlace ascendente del dispositivo NAS, también debe crear reglas sin
autenticación y asegurarse de que el servidor DNS esté incluido en las reglas sin autenticación. En
V200R012C00 y versiones posteriores, el dispositivo NAS automáticamente permite el paso de los
paquetes DNS y no se requiere una regla sin autenticación en la autenticación Portal.
[SwitchC] free-rule-template name default_free_rule
[SwitchC-free-rule-default_free_rule] free-rule 1 destination ip 172.16.1.2
servidor DNS antes de la autenticación.
[SwitchC-free-rule-default_free_rule] free-rule 2 destination ip 172.16.1.3
servidor web antes de la autenticación.
[SwitchC-free-rule-default_free_rule] quit

[SwitchC] authentication-profile name p1
[SwitchC-authen-profile-p1] portal-access-profile web1 //Enlace el perfil
de acceso Portal web1.
[SwitchC-authen-profile-p1] quit

[SwitchC-Vlanif101] authentication-profile p1 //Habilite la autenticación
Portal en la interfaz que conecta con el departamento de I+D.
[SwitchC-Vlanif102] authentication-profile p1 //Habilite la autenticación
Portal en la interfaz que conecta con el departamento de marketing.
# (Recomendado) Configure la dirección IP de origen y la dirección MAC de origen para

los paquetes de detección fuera de línea en una VLAN especificada. Se le recomienda
configurar la dirección IP del gateway de usuario y su dirección MAC correspondiente
como la dirección IP de origen y la dirección MAC de origen de los paquetes de
detección fuera de línea. Esta función no tiene efecto para los usuarios que usan la
autenticación Portal de Capa 3.
[SwitchC] access-user arp-detect vlan 101 ip-address 192.168.0.1 mac-address
2222-1111-1234
2222-1111-1234
# Configure los derechos de acceso a la red para el dominio de post-autenticación.

[SwitchC] acl 3001 //Configure el dominio de post-autenticación para
empleados de I+D.
[SwitchC-acl-adv-3001] rule 1 permit ip //Permita que los empleados de I+D
[SwitchC-acl-adv-3001] quit
[SwitchC-acl-adv-3002] rule 1 deny ip destination 172.16.1.4 0 //Evitan


[SwitchC-acl-adv-3002] rule 3 permit ip //Permita que los empleados de
[SwitchC] quit



Campus-IP:8443.

R&D.







Name SW -

con el SC.

Quidway Series




interval switch.
(minute)


Allowed IP 192.168.0.1/24; -
Addresses 192.168.1.1/24


d. Haga clic en OK.



switch.

empleados de I+D.
Name R&D employee -

authorization rule
Department R&D -




----Fin
# Archivo de configuración del switch de acceso para el departamento de I+D
#
sysname SwitchA
#
vlan batch 101
#
#
#
return
# Archivo de configuración del switch de acceso para el departamento de marketing

#
sysname SwitchB
#
vlan batch 102
#
#
#
return

#
sysname SwitchC
#
#
#
domain portal
#
access-user arp-detect vlan 101 ip-address 192.168.0.1 mac-address 2222-1111-1234
#
dhcp enable
#
radius-server shared-key cipher %#%#lJIB8CQ<:A;x$h2V5+;+C>HwC+@XAL)ldpQI}:$X%#%#
radius-server authentication 172.16.1.1 1812 source ip-address 172.16.1.254
weight 80
radius-server accounting 172.16.1.1 1813 source ip-address 172.16.1.254 weight 80
#
acl number 3001
rule 1 permit ip
acl number 3002
rule 3 permit ip

#
#
port 50200
source-ip 172.16.1.254
#
portal-access-profile name web1
web-auth-server portal_huawei direct
#
aaa
domain portal
#
interface Vlanif101
ip address 192.168.0.1 255.255.255.0
#
interface Vlanif102
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif103
ip address 172.16.1.254 255.255.255.0
#
#
#
#
portal quiet-period
#
return

11.2.3 Ejemplo para configurar la autenticación 802.1X y la

autenticación de dirección MAC para controlar el acceso del
usuario a la red empresarial (punto de autenticación en el switch
de agregación)
En una red NAC, los modos de autenticación 802.1X, MAC y Portal se configuran en las
interfaces de acceso de usuario de un dispositivo para cumplir con diversos requisitos de
autenticación. Los usuarios pueden acceder a la red usando cualquier modo de autenticación.
Si se habilitan múltiples modos de autenticación, los modos de autenticación surten efecto en
la secuencia en que están configurados. Además, después de implementar múltiples modos de
autenticación, los usuarios pueden autenticarse en modos diferentes por defecto y el
dispositivo les asigna derechos de red diferentes según corresponda.
Este ejemplo se aplica a todos los switches de la serie S.
NOTA
Agile Controller-Campus de Huawei en V100R001 funciona como el servidor RADIUS en

este ejemplo. Para Agile Controller-Campus, la versión requerida es V100R001, V100R002,
V100R003.
De forma predeterminada, el switch permite que pasen los paquetes del servidor RADIUS. No
debe configurar reglas libres de autenticación para el servidor en el switch.
Requisitos de redes
Las empresas tienen altos requisitos de seguridad de red. Para evitar el acceso no autorizado y
proteger la seguridad de la información, una empresa solicita a los usuarios que pasen la
autenticación de identidad y la verificación de seguridad antes de acceder a la red de la
empresa. Solo los usuarios autorizados pueden acceder a la red de la empresa.
Además, los terminales tontos, como los teléfonos IP y las impresoras, pueden acceder a la
red de la empresa solo después de pasar la autenticación.
La red empresarial tiene las siguientes características:
l Los switches de acceso en la red no son compatibles con la autenticación 802.1X.
l La red de la empresa tiene un tamaño pequeño y no tiene redes de sucursales.
l La empresa no tiene más de 1000 empleados. Un máximo de 2000 usuarios, incluidos los
invitados, acceden a la red todos los días.
l Terminales tontos, como teléfonos IP e impresoras, están conectadas a la red de la
empresa.
Para reducir la inversión en la reconstrucción de red, se recomienda configurar la función de
autenticación 802.1X en el switch de agregación y conectar un solo servidor de autenticación

centralizado al switch de agregación en el modo bypass. La autenticación de dirección MAC

debe configurarse para terminales tontos.
Figura 11-27 Diagrama de redes de acceso por cable
Dominio de preautenticación Dominio de post-

autenticación
192.168.100.100 192.168.102.100
Agile Controller Servidor de servicios

(Servidores SM, SC, y DB) (Recursos de red clave)
Capa de core GE0/0/6

GE0/0/5 Capa de agregación
Internet
SwitchA
Salida del GE0/0/1 GE0/0/2
campus
GE0/0/3 GE0/0/3
Capa de acceso Capa de
SwitchC acceso
SwitchD
GE0/0/1 GE0/0/2 GE0/0/1 GE0/0/2
Paquetes de
autenticación 802.1X
Paquetes de Terminal Terminal Terminal Terminal
autenticación MAC fijo dumb fijo dumb
Plan de datos

Ítem Datos
Agile Controller-Campus Dirección IP: 192.168.100.100
Servidor de dominio de post- Dirección IP: 192.168.102.100

autenticación
Switch de agregación (SwitchA) l VLAN a la cual 0/0/6 conectada al servidor

pertenece: VLAN 100
l VLAN a la cual las interfaces de enlace
descendente GE0/0/1 y GE0/0/2 pertenecen: VLAN
200
Switch de acceso (SwitchC) ID de VLAN de usuario: 200
Switch de acceso (SwitchD) ID de VLAN de usuario: 200

Tabla 11-15 Plan de datos del servicio del switch de agregación
Ítem Datos
Esquema RADIUS l Dirección IP del servidor de autenticación:

192.168.100.100
l Número de puerto del servidor de autenticación:
1812
l Dirección IP del servidor de contabilidad:
192.168.100.100
l Número de puerto del servidor de contabilidad:
1813
l Clave compartida para el servidor RADIUS:
Huawei@2014
l Intervalo de contabilidad: 15 minutos
l Dominio de autenticación: isp
Número de ACL del dominio de 3002

post-autenticación
Tabla 11-16 Agile Controller-Campus plan de datos de servicio
Ítem Datos
Departamento Departamento de I+D
Usuario de acceso Nombre de usuario: A

Cuenta de acceso por cable: A-123
Contraseña: Huawei123
Grupo de dispositivos Grupo de dispositivos con cable: Switch
Dirección IP de switch SwitchA: 192.168.10.10
Clave de autenticación RADIUS Huawei@2014
Clave de contabilidad RADIUS Huawei@2014

1. Configure el switch de agregación, incluyendo las interfaces de las VLAN a las que
pertenecen, los parámetros para conectarse al servidor RADIUS, habilitando la
autenticación NAC, y acceda directamente al dominio de post-autenticación.
NOTA
Garantice las rutas accesibles entre los switches de acceso (SwitchC y SwitchD), el switch de
agregación (SwitchA) y el servidor Agile Controller-Campus.
2. Configure los switches de acceso, incluyendo las VLAN y la transmisión transparente
802.1X.


b. Agregue una cuenta a Agile Controller-Campus.
c. Agregue switches a Agile Controller-Campus.
d. Configure reglas de autenticación, resultados de autorización, y reglas de
autorización en Agile Controller-Campus.
Procedimiento
[SwitchA] interface gigabitethernet 0/0/1 //Configure la interfaz
conectada a SwitchC.
conectada a SwitchD.
conectada al servidor.
[SwitchA-Vlanif100] ip address 192.168.10.10 24 //Configure la dirección
IP de administración para SwitchA. Esta dirección IP se usa cuando se agrega
SwitchA a Agile Controller-Campus.
del gateway para los usuarios de terminal.
[SwitchA] ip route-static 192.168.100.0 255.255.255.0 192.168.10.10 //
Configure una ruta al segmento de red donde reside el dominio de
preautenticación.
Configure una ruta al segmento de red donde reside el dominio de post-
autenticación.
2. Cree y configure una plantilla de servidor RADIUS, un esquema de autenticación AAA

y un dominio de autenticación.
# Cree y configure la plantilla de servidor RADIUS rd1.
[SwitchA] radius-server template rd1
[SwitchA-radius-rd1] radius-server authentication 192.168.100.100 1812
[SwitchA-radius-rd1] radius-server accounting 192.168.100.100 1813
[SwitchA-radius-rd1] radius-server shared-key cipher Huawei@2014
[SwitchA-radius-rd1] quit
# Cree un esquema de autenticación AAA abc y establezca el modo de autenticación a

RADIUS.
[SwitchA] aaa
[SwitchA-aaa] authentication-scheme abc
[SwitchA-aaa-authen-abc] authentication-mode radius
[SwitchA-aaa-authen-abc] quit

# Configure un esquema de contabilidad acco1. Establezca el modo de contabilidad a

RADIUS para que el servidor RADIUS pueda mantener el estado de la cuenta, como
inicio de sesión, cierre de sesión y cierre de sesión forzado.
[SwitchA-aaa] accounting-scheme acco1
[SwitchA-aaa-accounting-acco1] accounting-mode radius
[SwitchA-aaa-accounting-acco1] accounting realtime 15 //Establezca el
[SwitchA-aaa-accounting-acco1] quit
# Cree un dominio de autenticación isp, y enlace el esquema de autenticación AAA abc,

el esquema de contabilidad acco1, y la plantilla de servidor RADIUS rd1 al dominio.
[SwitchA-aaa] domain isp
[SwitchA-aaa-domain-isp] authentication-scheme abc
[SwitchA-aaa-domain-isp] accounting-scheme acco1
[SwitchA-aaa-domain-isp] radius-server rd1
[SwitchA-aaa-domain-isp] quit
[SwitchA-aaa] quit
# Configure el dominio predeterminado global isp. Durante la autenticación de acceso,

introduzca un nombre de usuario en el formato user@isp para realizar la autenticación
AAA en el dominio isp. Si el nombre de usuario no contiene un nombre de dominio o
contiene un nombre de dominio inválido, el usuario se autentica en el dominio
predeterminado.
[SwitchA] domain isp
3. Habilite la autenticación 802.1X y de dirección MAC.

[SwitchA] authentication unified-mode
NOTA
Por defecto, el modo unificado está habilitado. Después de cambiar el modo NAC, el dispositivo se
reinicia automáticamente.

[SwitchA] mac-access-profile name m1
[SwitchA-mac-access-profile-m1] mac-authen username fixed A-123 password
cipher Huawei123 //Establezca el modo de nombre de usuario para la
autenticación de dirección MAC a nombre de usuario fijo. Establezca el nombre
de usuario a A-123 y la contraseña a Huawei123.
[SwitchA-mac-access-profile-m1] quit
# Configure un perfil de acceso 802.1X.

NOTA
De forma predeterminada, un perfil de acceso 802.1X utiliza el modo de autenticación EAP. Asegúrese
de que el servidor RADIUS sea compatible con EAP; de lo contrario, el servidor no puede procesar los
paquetes de solicitud de autenticación 802.1X.
[SwitchA] dot1x-access-profile name d1
[SwitchA-dot1x-access-profile-d1] quit

[SwitchA] authentication-profile name p1
[SwitchA-authen-profile-p1] mac-access-profile m1 //Enlace el perfil de
acceso MAC m1.
[SwitchA-authen-profile-p1] dot1x-access-profile d1 //Enlace el perfil de
acceso 802.1X d1.
[SwitchA-authen-profile-p1] quit
# Habilite autenticación 802.1X y autenticación de dirección MAC en GE0/0/1 y

GE0/0/2.
[SwitchA-Gigabitethernet0/0/1] authentication-profile p1 //Enlace el
perfil de autenticación p1 y habilite la autenticación combinada de la

dirección 802.1X + MAC.

[SwitchA-Gigabitethernet0/0/1] quit
[SwitchA-Gigabitethernet0/0/2] authentication-profile p1 //Enlace el
perfil de autenticación p1 y habilite la autenticación combinada de la
dirección 802.1X + MAC.

detección fuera de línea.
[Switch] access-user arp-detect vlan 200 ip-address 192.168.200.1 mac-address
2222-1111-1234
4. Configure ACL 3002 para el dominio de post-autenticación.

[SwitchA] acl 3002
[SwitchA-acl-adv-3002] rule 1 permit ip destination 192.168.102.100 0
[SwitchA-acl-adv-3002] rule 2 deny ip destination any
[SwitchA-acl-adv-3002] quit
Paso 2 Configure los switches de acceso.

paquetes puedan reenviarse. Este ejemplo utiliza SwitchC para describir la
configuración. La configuración en SwitchD es la misma que en SwitchC.
# Cree VLAN 200.
[SwitchC] vlan batch 200
# Configure la interfaz conectada a los usuarios como una interfaz de acceso y agregue la
interfaz a la VLAN 200.
# Configure la interfaz conectada a la red de enlace ascendente como una interfaz trunk y
configure la interfaz para permitir la VLAN 200.
2. Configure el dispositivo para transmitir de manera transparente paquetes 802.1X. Este

ejemplo utiliza SwitchC para describir la configuración. La configuración en SwitchD es
la misma que en SwitchC.
NOTA
En este ejemplo, SwitchC y SwitchD se implementan entre el switch de autenticación SwitchA y los
usuarios. La transmisión transparente del paquete EAP debe configurarse en SwitchC y SwitchD para
que SwitchA pueda realizar la autenticación 802.1X para los usuarios.
– Método 1:
[SwitchC] l2protocol-tunnel user-defined-protocol 802.1X protocol-mac
0180-c200-0003 group-mac 0100-0000-0002

[SwitchC-GigabitEthernet0/0/1] l2protocol-tunnel user-defined-protocol

802.1X enable
[SwitchC-GigabitEthernet0/0/1] bpdu enable
802.1X enable
802.1X enable
– Método 2: Este método se recomienda cuando existe una gran cantidad de usuarios
o se requiere un alto rendimiento de la red. Solo S5320EI, S5320HI, S6320HI y
S6320EI son compatibles con este método.
[SwitchC] undo bpdu mac-address 0180-c200-0000 ffff-ffff-fff0
[SwitchC] bpdu mac-address 0180-c200-0000 FFFF-FFFF-FFFE
[SwitchC] bpdu mac-address 0180-c200-0002 FFFF-FFFF-FFFF
[SwitchC] bpdu mac-address 0180-c200-0004 FFFF-FFFF-FFFC
[SwitchC] bpdu mac-address 0180-c200-0008 FFFF-FFFF-FFF8
Este siguiente paso es obligatorio cuando cambia del método 1 al método 2.

[SwitchC-GigabitEthernet0/0/1] undo l2protocol-tunnel user-defined-
protocol 802.1X enable



Campus-IP:8443.



2. Cree un departamento y una cuenta.
R&D.






3. Agregue switches a Agile Controller-Campus para que los switches se puedan comunicar
con Agile Controller-Campus.
b. Haga clic en Permission Control Device Group en el árbol de navegación, y haga
clic en y Add SubGroup para crear un grupo de dispositivos Switch.
c. Haga clic en el grupo de dispositivos en el árbol de navegación y seleccione ALL

Device. Haga clic en Add para agregar dispositivos de acceso a la red.
d. Establezca los parámetros de conexión en la página Add Device.

Name SwitchA -
Dirección IP 192.168.10.10 La interfaz en el switch debe comunicarse

Device Huawei -
Series Quidway series
switch
Authenticatio Huawei@2014 Debe ser la misma que la clave compartida

Charging Huawei@2014 Debe ser la misma que la clave compartida


interval switch.
(minute)

e. Haga clic en Permission Control Device Group en el árbol de navegación,

seleccione SwitchC, y haga clic en Move para mover el SwitchA al grupo Switch.
La configuración en SwitchD es la misma que en SwitchC.
4. Agregue una regla de autenticación.
Authentication Rule y haga clic en Add para crear una regla de autenticación.
b. Configure la información básica para la regla de autenticación.
Name Access -
authentication
rule
Service Type Access service -

Authenticatio Device group Personalice las reglas de autenticación según

n Condition Switch los requisitos de su red.
Please select n PAP -

the allowed n CHAP
authenticatio
n protocol n EAP-MD5
n EAP-PEAP-
MSCHAPv2
n EAP-TLS
n EAP-PEAP-
GTC
n EAP-TTLS-
PAP

5. Agregue un resultado de autorización.

Authorization Result y haga clic en Add para crear un resultado de autenticación.
b. Configure la información básica para el resultado de autorización.
Name Post-authentication domain -

switch.

6. Agregue una regla de autorización.
Después de que un usuario pase la autenticación, comienza la fase de autorización. Agile

Controller-Campus concede los derechos de acceso del usuario en función de la regla de
autorización.
Authorization Rule y haga clic en Add para crear una regla de autenticación.
b. Configure la información básica para la regla de autorización.
Name Authorization rule for -

R&D employees
Access Device Switch -

Group
Authorization Post-authentication -
Result domain

l Un empleado solo puede acceder al servidor Agile Controller-Campus antes de pasar la

autenticación.
l Después de pasar la autenticación, el empleado puede acceder a los recursos en el
dominio de post-autenticación.
l Una vez que el empleado haya pasado la autenticación, ejecute el comando display
access-user en el switch. El resultado del comando muestra información sobre el
empleado en línea.
----Fin

#
sysname SwitchA
#
vlan batch 100 200
#
mac-access-profile m1
#
domain isp
#
access-user arp-detect vlan 200 ip-address 192.168.200.1 mac-address
2222-1111-1234
#
radius-server template rd1
radius-server shared-key cipher %#%#FP@&C(&{$F2HTlPxg^NLS~KqA/\^3Fex;T@Q9A]
(%#%#
#
dot1x-access-profile name d1
#
mac-access-profile name m1
mac-authen username fixed A-123 password cipher %#%#'Fxw8E,G-81(A3U<^HH9Sj
\:&hTdd>R>HILQYLtW%#%#
#
acl number 3002
rule 1 permit ip destination 192.168.102.100 0
rule 2 deny ip
#
aaa
authentication-scheme abc
accounting-scheme acco1
domain isp
radius-server rd1
#
interface Vlanif100
ip address 192.168.10.10 255.255.255.0
#
interface Vlanif200
ip address 192.168.200.1 255.255.255.0
#
#
#
#
ip route-static 192.168.100.0 255.255.255.0 192.168.10.10
ip route-static 192.168.102.0 255.255.255.0 192.168.10.10
#
return


#
sysname SwitchC
#
vlan batch 200
#
l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003
group-mac 0100-0000-0002
#
l2protocol-tunnel user-defined-protocol 802.1x enable
#
#
#
return
11.2.4 Ejemplo para configurar la autorización de usuario basada

en ACL o VLAN dinámica
Después de que un usuario 802.1X se autentica exitosamente en un servidor RADIUS, el
servidor envía información de autorización al dispositivo de acceso del usuario. Cuando Agile
Controller-Campus funciona como el servidor RADIUS, pueden entregar múltiples
parámetros de autorización.
l La autorización basada en ACL se clasifica en:
– Autorización basada en la descripción de ACL: Si la autorización basada en la
descripción de ACL está configurada en el servidor, la información de autorización
incluye la descripción de ACL. El dispositivo coincide con las reglas de ACL
basadas en la descripción de ACL autorizada por el servidor para controlar los
derechos de los usuarios. El número de ACL, la descripción correspondiente y la
regla de ACL se deben configurar en el dispositivo.
Se usa el atributo de RADIUS estándar (011) Filter-Id.
– Autorización basada en ACL dinámica: El servidor autoriza reglas en una ACL para
el dispositivo. Los usuarios pueden acceder a los recursos de red controlados
utilizando esta ACL. La ACL y las reglas de ACL se deben configurar en el
servidor. La ACL no debe configurarse en el dispositivo.
Se utiliza el atributo RADIUS de propiedad de Huawei (26-82) HW-Data-Filter.
l VLAN dinámica: Si la entrega de VLAN dinámica está configurada en el servidor, la
información de autorización incluye el atributo de la VLAN entregada. Una vez que el
dispositivo reciba el atributo de la VLAN entregada, cambie la VLAN del usuario a la
VLAN entregada.
La VLAN enviada no cambia ni afecta la configuración de la interfaz. La VLAN
entregada, sin embargo, tiene prioridad sobre la VLAN configurada en la interfaz. Es
decir, la VLAN entregada tiene efecto después de que la autenticación se realice

correctamente, y la VLAN configurada tiene efecto después de que el usuario esté fuera
de línea.
Los siguientes atributos de RADIUS estándar se utilizan para la entrega de VLAN
dinámica:
– (064) Tunnel-Type (Debe establecerse a VLAN o 13.)
– (065) Tunnel-Medium-Type (Debe establecerse a 802 o 6.)
– (081) Tunnel-Private-Group-ID (Para dispositivos que ejecutan versiones anteriores
a V200R012C00, puede ser el ID de VLAN o la descripción de VLAN. Para
dispositivos que ejecutan V200R012C00 y versiones posteriores, puede ser el ID de
VLAN, la descripción de VLAN, el nombre de VLAN o el grupo de VLAN.
Para garantizar que el servidor RADIUS entregue la información de VLAN
correctamente, se deben usar los tres atributos RADIUS. Además, los atributos Tunnel-
Type y Tunnel-Medium-Type se deben establecer a los valores especificados.
NOTA
A continuación, se usan el número de ACL y la entrega de VLAN dinámica como ejemplo. Las diferencias de
configuración entre la entrega del número de ACL y la entrega de ACL dinámica se describen en notas.
Cuando el dispositivo es compatible con grupos UCL, se recomienda el uso de grupos UCL
para configurar las reglas de autorización. Para obtener detalles, consulte la sección "AAA
Configuration" > "Configuring Authorization Rules" en Configuration Guide - User Access
and Authentication.
NOTA
Haciendo que la autorización basada en VLAN tenga efecto, tiene los siguientes requisitos
sobre el tipo de enlace y el modo de control de acceso de la interfaz de autenticación:
l Si el tipo de enlace de interfaz es híbrido y la interfaz se ha agregado a una VLAN en
modo sin etiqueta, el modo de control de acceso puede basarse en la dirección MAC o en
la interfaz.
l Si el tipo de enlace de interfaz es de acceso o troncal, el modo de control de acceso solo
puede basarse en la interfaz.
Requisitos de redes
Como se muestra en Figura 11-28, un gran número de los terminales de los empleados en una
empresa se conectan a la intranet a través de GE0/0/1 en SwitchA. Para garantizar la
seguridad de la red, el administrador debe controlar los derechos de acceso a la red de los
terminales. Los requisitos son los siguientes:
l Antes de pasar la autenticación, los terminales pueden acceder al servidor público (con
dirección IP 192.168.40.1), descargar el cliente 802.1X o actualizar la base de datos
antivirus.
l Después de pasar la autenticación, los terminales pueden acceder al servidor de servicio
(con dirección IP 192.168.50.1) y dispositivos en el laboratorio (con ID de VLAN de 20
y segmento de dirección IP de 192.168.20.10-192.168.20.100).

Internet
Agile Controller
Dirección IP: 192.168.30.1
SwitchB Servidor público

Dirección IP: 192.168.40.1
GE1/0/1
Servidor de servicio
GE0/0/3 Dirección IP: 192.168.50.1
SwitchA
Laboratorio GE0/0/2
VLAN20 GE0/0/1
VLAN10
Terminales de empleados
Plan de datos
Tabla 11-17 Plan de datos de servicio para el switch de acceso

Ítem Datos

192.168.30.1
1812
192.168.30.1
1813
Huawei@123
l Dominio de autenticación: huawei
Recursos accesibles para los Los derechos de acceso al servidor público se

usuarios antes de la autenticación configuran utilizando una regla libre de autenticación.
El nombre del perfil de regla libre de autenticación es
default_free_rule.

Ítem Datos
Recursos accesibles para los Los derechos de acceso al laboratorio se otorgan

usuarios después de la utilizando una VLAN dinámica. El ID de VLAN es 20.
autenticación Los derechos de acceso al servidor de servicio se
otorgan usando un número de ACL. El número de ACL
es 3002.
Tabla 11-18 Plan de datos de servicio para Agile Controller-Campus

Ítem Datos


1. Configure el switch de acceso, incluyendo las interfaces de las VLAN a las que
pertenecen, los parámetros para conectarse al servidor RADIUS, habilitando NAC, y los
derechos de acceso a la red que los usuarios obtienen después de pasar la autenticación.
NOTA
En este ejemplo, asegúrese de que existan rutas accesibles entre SwitchA, SwitchB, servidores,
laboratorio, y terminales de los empleados.
2. Configure Agile Controller-Campus.
d. Configure los resultados de autorización y las reglas de autorización en Agile
Controller-Campus.
Procedimiento
Paso 1 Configure el switch de acceso SwitchA.
1. Cree las VLAN y configure las VLAN permitidas en las interfaces para garantizar la
conectividad de la red.
[SwitchA] interface gigabitethernet 0/0/1 //Configure la interfaz que se
conecta con los terminales de los empleados.


conectada al laboratorio.
conectada al SwitchB.
[SwitchA] interface loopback 1
[SwitchA-LoopBack1] ip address 10.10.10.1 24 //Configure una dirección IP
para la comunicación con Agile Controller-Campus.


# Cree el esquema de autenticación AAA abc y establezca el modo de autenticación a

RADIUS.
[SwitchA] aaa
# Configure el esquema de contabilidad acco1 y establezca el modo de contabilidad a

RADIUS.
[SwitchA-aaa-accounting-acco1] accounting realtime 15
# Cree el dominio de autenticación huawei, y enlace el esquema de autenticación AAA

abc, el esquema de contabilidad acco1, y la plantilla de servidor RADIUS rd1 al
dominio.
[SwitchA-aaa] domain huawei
[SwitchA-aaa-domain-huawei] authentication-scheme abc
[SwitchA-aaa-domain-huawei] accounting-scheme acco1
[SwitchA-aaa-domain-huawei] radius-server rd1
[SwitchA-aaa-domain-huawei] quit
[SwitchA-aaa] quit
3. Configure un perfil de regla libre de autenticación.

[SwitchA] free-rule-template name default_free_rule
[SwitchA-free-rule-default_free_rule] free-rule 10 destination ip
192.168.40.0 mask 24
[SwitchA-free-rule-default_free_rule] quit
4. Habilite la autenticación 802.1X.


NOTA
Por defecto, el modo unificado está habilitado. Antes de cambiar el modo NAC, debe guardar la
configuración. Después de cambiar el modo y reiniciar el dispositivo, entran en vigencia las funciones
del modo recién configurado.
# Configure el perfil de acceso 802.1X d1.

[SwitchA] dot1x-access-profile name d1
[SwitchA-dot1x-access-profile-d1] quit
# Configure el perfil de autenticación p1, enlace el perfil de acceso 802.1X d1 y el perfil

de regla libre de autenticación default_free_rule con el perfil de autenticación,
especifique el dominio huawei como el dominio de autenticación forzada en el perfil de
autenticación, y establezca el modo de acceso de usuario a multi-authen
[SwitchA] authentication-profile name p1
[SwitchA-authen-profile-p1] dot1x-access-profile d1
[SwitchA-authen-profile-p1] free-rule-template default_free_rule
[SwitchA-authen-profile-p1] access-domain huawei force
[SwitchA-authen-profile-p1] authentication mode multi-authen
[SwitchA-authen-profile-p1] quit
# Enlace el perfil de autenticación p1 a GE0/0/1 y habilite la autenticación 802.1X en la

interfaz.
[SwitchA-GigabitEthernet0/0/1] authentication-profile p1

detección fuera de línea.
[SwitchA] access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address
2222-1111-1234
5. Configure el parámetro de autorización ACL 3002 para los usuarios que pasen la
autenticación.
NOTA
En el modo ACL dinámico, este paso no debe configurarse en el dispositivo.

[SwitchA] acl 3002

a. Abra Internet Explorer, introduzca la dirección de acceso de Agile Controller-
Campus en la barra de direcciones, y presione Enter.
La siguiente tabla describe las direcciones para acceder a Agile Controller-Campus.
https://Agile Controller- Agile Controller-Campus-IP especifica la

Campus-IP:8443 dirección IP de Agile Controller-Campus.

Dirección IP del Agile Si el puerto 80 está habilitado durante la

Controller-Campus instalación, puede acceder Agile Controller-
Campus introduciendo su dirección IP sin el
número de puerto. La URL de Agile Controller-
Campus cambiará automáticamente a https://
Agile Controller-Campus-IP:8443.
b. Introduzca el nombre de usuario y la contraseña del administrador.

Si inicia sesión en Agile Controller-Campus por primera vez, use el nombre de
b. Haga clic en la tab Department en el área de operaciones a la derecha, y luego
haga clic en Add bajo la tab Department para agregar un departamento R&D.
c. Haga clic en la tab User en el área de operación a la derecha, y luego haga clic en
Add bajo la tab User para agregar un usuario A.

d. Haga clic en que está al lado del usuario A en Operation para acceder a
Account Management. Haga clic en Add. Cree una cuenta común A-123 y
establezca la contraseña a Huawei123.

e. En la tab User, seleccione usuario A. Haga clic en Transfer para agregar el usuario
A al departamento de R&D.

Elija Resource > Device > Device Management. Haga clic en Add en el área de
operación a la derecha. Establezca los parámetros de conexión en la página Add Device.


NOTA
Realice este paso para el número de ACL y la entrega de VLAN.
Name Authorization info for -

authenticated users
Service type Access service -

VLAN 20 La VLAN debe ser la misma

que la VLAN configurada
para los empleados de I+D en
el switch.

number/AAA mismo que el número de ACL
user group configurado para los
switch.

NOTA
Realice este paso para la entrega de ACL y VLAN dinámica.
a. Agregue una ACL dinámica.

i. Elija Policy > Permission Control > Policy Element > Dynamic ACL.
ii. Haga clic en Add.
iii. Configure la información básica para la ACL dinámica y haga clic en Add en
Rule List.

iv. Configure los atributos contenidos en la ACL dinámica.
c. Configure la información básica para el resultado de autorización.
Name Authorization information for -

users who pass authentication
VLAN 20 El ID de VLAN debe ser el

mismo que el ID de VLAN
configurado para los
switch.
Dynamic 3002 -
ACL


autorización.

authenticated users
Department R&D department -
Authorization Authorization info for -

result authenticated users


l Un empleado solo puede acceder al servidor Agile Controller-Campus y al servidor
público antes de pasar la autenticación.
l Un empleado puede acceder al servidor Agile Controller-Campus, servidor público,
servidor de servicio y laboratorio después de pasar la autenticación.
empleado en línea.
----Fin

#
sysname SwitchA
#
vlan batch 10 20
#
free-rule-template default_free_rule
access-domain huawei force
#
#
radius-server shared-key cipher %^%#FP@&C(&{$F2HTlPxg^NLS~KqA/\^3Fex;T@Q9A](%^%#
#
acl number 3002


rule 3 deny ip
#
#
aaa
domain huawei
radius-server rd1
#
interface Vlanif10
ip address 192.168.1.10 255.255.255.0
#
#
#
#
interface LoopBack1
ip address 10.10.10.1 255.255.255.0
#
#
return
11.3 Configuración típica de NAC (modo unificado)

11.3.1 Ejemplo para configurar la autenticación 802.1X para

controlar el acceso del usuario
Descripción general de la autentificación 802.1X
802.1X es un protocolo de control de acceso a la red basado en el puerto y la autenticación
802.1X es uno de los modos de autenticación NAC. La autenticación 802.1X garantiza la
seguridad de las intranets empresariales.
La autenticación 802.1X garantiza una alta seguridad; sin embargo, se requiere que el
software del cliente 802.1X se instale en los terminales de usuario, lo que da como resultado
una implementación inflexible de la red. Otros dos métodos de autenticación NAC tienen sus
ventajas y desventajas: La autenticación de dirección MAC no requiere la instalación del
software del cliente, pero las direcciones MAC deben estar registradas en un servidor de
autenticación. La autenticación Portal tampoco requiere la instalación del software del cliente
y proporciona una implementación flexible, pero tiene poca seguridad.

Como resultado, la autenticación 802.1X se aplica a escenarios con redes nuevas, distribución
centralizada de usuarios, y estrictos requisitos de seguridad de la información.
NOTA
Requisitos de redes
Como se muestra Figura 11-29, los terminales en una oficina están conectados a la red
interna de la compañía a través del Switch. El acceso no autorizado a la red interna puede
dañar el sistema de servicio de la empresa y provocar la fuga de la información clave. Por lo
tanto, el administrador requiere que el Switch controle los derechos de acceso a la red de los
usuarios para garantizar la seguridad de la red interna.
La autenticación 802.1X está configurada y el servidor RADIUS se utiliza para autenticar las
identidades de los usuarios, para cumplir con los altos requisitos de seguridad de la compañía.
Figura 11-29 Diagrama de redes para configurar la autenticación 802.1X
Empleado
Servidor RADIUS
VLANIF10 VLANIF20 192.168.2.30
192.168.1.10/24 192.168.2.10/24
Área de
oficina GE1/0/1 GE1/0/2
Intranet
VLAN 10 VLAN 20
……
LAN Switch Switch
Empleado

1. Configure las interconexiones de red.

2. Configure AAA en el Switch para implementar autenticación de identidad en los
usuarios de acceso a través del servidor RADIUS. La configuración incluye configurar
una plantilla de servidor RADIUS, un esquema AAA y un dominio de autenticación, y
enlazar la plantilla de servidor RADIUS y el esquema AAA con el dominio de
autenticación.
3. Configure la autenticación 802.1X para controlar los derechos de acceso a la red de los
empleados en las oficinas. La configuración incluye:

a. Configure un perfil de acceso 802.1X.

b. Configure un perfil de autenticación.
c. Habilite la autenticación 802.1X en una interfaz.
NOTA
l Antes de realizar operaciones en este ejemplo, asegúrese de que los terminales de acceso de usuario
y el servidor puedan comunicarse.
l Este ejemplo solo proporciona la configuración del Switch. Las configuraciones del LAN Switch y
el servidor no se proporcionan aquí.
l En este ejemplo, el switch LAN existe entre el switch de acceso Switch y los usuarios. Para
garantizar que los usuarios puedan pasar la autenticación 802.1X, debe configurar la función de
transmisión transparente del paquete EAP en el switch LAN.
l Método 1: El S5300 se usa como un ejemplo del switch LAN. Realice las siguientes
operaciones:
1. Ejecute el comando l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-
c200-0003 group-mac 0100-0000-0002 en la vista del sistema del switch LAN para
configurar el switch LAN para transmitir transparentemente paquetes EAP.
2. Ejecute el comando l2protocol-tunnel user-defined-protocol 802.1x enable en la interfaz
que conecta a los usuarios y la interfaz que se conecta al switch de acceso para habilitar la
función de transmisión transparente del protocolo de Capa 2.
l Método 2: Este método se recomienda cuando existe una gran cantidad de usuarios o se
requiere un alto rendimiento de la red. Solo S5320EI, S5320HI, S6320HI y S6320EI son
compatibles con este método.
1. Ejecute los siguientes comandos en la vista del sistema:
l undo bpdu mac-address 0180-c200-0000 ffff-ffff-fff0
l bpdu mac-address 0180-c200-0000 FFFF-FFFF-FFFE
l bpdu mac-address 0180-c200-0002 FFFF-FFFF-FFFF
l bpdu mac-address 0180-c200-0004 FFFF-FFFF-FFFC
l bpdu mac-address 0180-c200-0008 FFFF-FFFF-FFF8
2. (Este paso es obligatorio cuando cambia del método 1 al método 2.) Ejecute el comando
undo l2protocol-tunnel user-defined-protocol 802.1x enable en la vista de interfaz para
eliminar la configuración de transmisión transparente de los paquetes de protocolo 802.1x.
Procedimiento
Paso 1 Cree las VLAN y configure las VLAN permitidas por las interfaces para que los paquetes
puedan reenviarse.
# Configure GE1/0/1 conectando el Switch a los usuarios como una interfaz de acceso y
agregue la interfaz a la VLAN 10.
# Configure GE1/0/2 conectando el Switch al servidor RADIUS como una interfaz de acceso
y agregue la interfaz a la VLAN 20.


Paso 2 Configure AAA.

[Switch] radius-server template rd1
[Switch-radius-rd1] radius-server authentication 192.168.2.30 1812
[Switch-radius-rd1] radius-server shared-key cipher Huawei@2012
[Switch-radius-rd1] quit

RADIUS.
[Switch] aaa
[Switch-aaa] authentication-scheme abc
[Switch-aaa-authen-abc] authentication-mode radius
[Switch-aaa-authen-abc] quit
# Cree un dominio de autenticación huawei.com, y enlace el esquema de autenticación AAA

abc y la plantilla de servidor RADIUS rd1 con el dominio.
[Switch-aaa-domain-huawei.com] authentication-scheme abc
[Switch-aaa-domain-huawei.com] radius-server rd1
[Switch-aaa] quit
# Compruebe si un usuario puede pasar la autenticación RADIUS. La prueba del usuario test
y la contraseña Huawei2012 se han configurado en el servidor RADIUS.
[Switch] test-aaa test Huawei2012 radius-template rd1
Info: Account test succeed.
Paso 3 Configure la autenticación 802.1X.

NOTA
l Por defecto, se usa el modo unificado.

l Después de cambiar el modo NAC del común al unificado, guarde la configuración y reinicie el
dispositivo para que la configuración surta efecto.
# Configure el perfil de acceso 802.1X d1.

NOTA
De forma predeterminada, un perfil de acceso 802.1X utiliza el modo de autenticación EAP. Asegúrese
de que el servidor RADIUS sea compatible con EAP; de lo contrario, el servidor no puede procesar los
paquetes de solicitud de autenticación 802.1X.
[Switch] dot1x-access-profile name d1
[Switch-dot1x-access-profile-d1] quit
# Configure el perfil de autenticación p1, enlace el perfil de acceso 802.1X d1 con el perfil de
autenticación, especifique el dominio huawei.com como el dominio de autenticación forzada
en el perfil de autenticación, establezca el modo de acceso de usuario a multi-authen, y
establezca el número máximo de los usuarios de acceso a 100.
[Switch-authen-profile-p1] dot1x-access-profile d1

[Switch-authen-profile-p1] access-domain huawei.com force

# Enlace el perfil de autenticación p1 a GE1/0/1 y habilite la autenticación 802.1x en la

interfaz.
# (Recomendado) Configure la dirección IP de origen y la dirección MAC de origen para los

paquetes de detección fuera de línea en una VLAN especificada. Se le recomienda configurar
la dirección IP del gateway de usuario y su dirección MAC correspondiente como la dirección
IP de origen y la dirección MAC de origen de los paquetes de detección fuera de línea.
2222-1111-1234

1. Un usuario inicia el cliente 802.1X en un terminal e introduzca el nombre de usuario y la
contraseña para la autenticación.
2. Si el nombre de usuario y la contraseña son correctas, se muestra un mensaje de
autenticación exitosa en la página del cliente. El usuario puede acceder a la red.
3. Una vez que los usuarios se conectan, puede ejecutar el comando display access-user
access-type dot1x en el dispositivo para ver información sobre los usuarios de
autenticación 802.1X en línea.
----Fin
#
sysname Switch
#
vlan batch 10 20
#
access-domain huawei.com force
#
#
radius-server shared-key cipher %#%#4*SO-2u,Q.\1C~%[eiB77N/^2wME;6t%6U@qAJ9:%#%#
#
#
aaa
domain huawei.com
radius-server rd1
#
#

#
interface Vlanif10
ip address 192.168.1.10 255.255.255.0
#
interface Vlanif20
ip address 192.168.2.10 255.255.255.0
#
return
11.3.2 Ejemplo para configurar la autenticación de dirección MAC

para controlar el acceso del usuario
Descripción general de la autenticación de dirección MAC

Como uno de los modos de autenticación NAC, la autenticación de dirección MAC controla
los derechos de acceso a la red de un usuario en función de la interfaz del usuario y la
dirección MAC. El usuario no debe instalar ningún software de cliente. La autenticación de
dirección MAC garantiza la seguridad de las intranets empresariales.
En la autenticación de dirección MAC, el software del cliente no debe instalarse en los

terminales del usuario, pero las direcciones MAC deben estar registradas en los servidores, lo
que resulta en una administración compleja. Otros dos métodos de autenticación NAC tienen
sus ventajas y desventajas: La autenticación 802.1X garantiza una alta seguridad, pero se
requiere que el software del cliente 802.1X se instale en los terminales del usuario, lo que
causa una implementación inflexible de la red. La autenticación Portal tampoco requiere la
instalación del software del cliente y proporciona una implementación flexible, pero tiene
poca seguridad.
La autenticación de dirección MAC se aplica para acceder a escenarios de autenticación de

terminales tontos, como impresoras y máquinas de fax.
NOTA
Requisitos de redes
Como se muestra Figura 11-30, los terminales en un departamento de control de acceso físico
de una compañía están conectados a la red interna de la compañía a través del Switch. El
acceso no autorizado a la red interna puede dañar el sistema de servicio de la empresa y
provocar la fuga de la información clave. Por lo tanto, el administrador requiere que el Switch
controle los derechos de acceso a la red de los usuarios para garantizar la seguridad de la red
interna.
Debido a que terminales tontos (como impresoras) en el departamento de control de acceso

físico no pueden tener instalado el cliente de autenticación, la autenticación de dirección
MAC debe configurarse en el Switch. Las direcciones MAC de los terminales se utilizan
como información del usuario y se envían al servidor RADIUS para su autenticación. Cuando
los usuarios se conectan a la red, no se requiere autenticación.

Figura 11-30 Diagrama de redes para configurar la autenticación de dirección MAC
Impresora
Servidor RADIUS
Departamento 192.168.1.10/24 192.168.2.10/24
de control de
acceso físico
GE1/0/1 GE1/0/2
Intranet
VLAN 10 VLAN 20
……
LAN Switch Switch
Impresora


autenticación.
3. Configure la autenticación de dirección MAC para que el Switch pueda controlar los
derechos de acceso a la red de los terminales tontos en el departamento de control de
acceso físico. La configuración incluye:
a. Configure un perfil de acceso MAC.
b. Configure un perfil de autenticación.
c. Habilite la autenticación de dirección MAC en una interfaz.
NOTA
l Antes de realizar operaciones en este ejemplo, asegúrese de que los terminales de acceso de usuario
y el servidor puedan comunicarse.
l Este ejemplo solo proporciona la configuración del Switch. Las configuraciones del LAN Switch y
el servidor no se proporcionan aquí.
Procedimiento
puedan reenviarse.




RADIUS.
[Switch] aaa

[Switch-aaa] quit
Paso 3 Configure la autenticación de dirección MAC.

NOTA

# Configure el perfil de acceso MAC m1.

NOTA
En un perfil de acceso MAC, se usa una dirección MAC sin guiones (-) como nombre de usuario y
contraseña para la autenticación de dirección MAC. Asegúrese de que los formatos del nombre de
usuario y la contraseña para la autenticación de dirección MAC configurados en el servidor RADIUS
sean los mismos que los configurados en el dispositivo de acceso.
[Switch] mac-access-profile name m1
[Switch-mac-access-profile-m1] quit
# Configure el perfil de autenticación p1, enlace el perfil de acceso MAC m1 con el perfil de
autenticación, especifique el dominio huawei.com como el dominio de autenticación forzada
en el perfil de autenticación, establezca el modo de acceso de usuario a multi-authen, y
establezca el número máximo de los usuarios de acceso a 100.
[Switch-authen-profile-p1] mac-access-profile m1
# Enlace el perfil de autenticación p1 a GE1/0/1 y habilite la autenticación de dirección MAC

en la interfaz.

2222-1111-1234

1. Después de que un usuario inicie un terminal, el dispositivo obtiene automáticamente la
dirección MAC del terminal de usuario como nombre de usuario y contraseña para la
autenticación.
2. Los usuarios pueden acceder a la red después de ser autenticados con éxito.
3. Después de que los usuarios se conecten, puede ejecutar el comando display access-user
access-type mac-authen en el dispositivo para ver información sobre los usuarios de
autenticación de dirección MAC en línea.
----Fin
#
sysname Switch
#
vlan batch 10 20
#
mac-access-profile m1
#
#


#
mac-access-profile name m1
#
aaa
domain huawei.com
radius-server rd1
#
#
#
interface Vlanif10
ip address 192.168.1.10 255.255.255.0
#
interface Vlanif20
ip address 192.168.2.10 255.255.255.0
#
return


Como uno de los modos de autenticación NAC, la autenticación Portal también se llama
autenticación web. En general, los sitios web de autenticación Portal también se denominan
sitios web Portal. Cuando los usuarios se conecten, deben estar autenticados en los sitios web
Portal. Los usuarios pueden usar recursos de red solo después de que pasen la autenticación.
La autenticación Portal no puede garantizar una alta seguridad, pero no requiere la instalación
del software del cliente y proporciona una implementación flexible. Otros dos métodos de
autenticación NAC tienen sus ventajas y desventajas: La autenticación 802.1X garantiza una
alta seguridad, pero se requiere que el software del cliente 802.1X se instale en los terminales
del usuario, lo que causa una implementación inflexible de la red. La autenticación de
dirección MAC no requiere la instalación del software del cliente, pero las direcciones MAC
deben estar registradas en un servidor de autenticación, lo que resulta en una administración
compleja.
La autenticación Portal se aplica a escenarios donde una gran cantidad de usuarios dispersos,
como visitantes de la empresa, se mueven con frecuencia.
NOTA

Requisitos de redes
Como se muestra Figura 11-31, los terminales en el área de visitantes están conectados a la
red interna de la compañía a través del Switch. El acceso no autorizado a la red interna puede
tanto, el administrador requiere que el Switch controle los derechos de acceso a la red de los
usuarios para garantizar la seguridad de la red interna.
Debido a que los visitantes se mueven con frecuencia, la autenticación Portal está configurada
y el servidor RADIUS se utiliza para autenticar las identidades del usuario.
Figura 11-31 Diagrama de redes para configurar la autenticación Portal
Servidor RADIUS
/Servidor Portal
Visitante 192.168.1.10/24 192.168.2.10/24
Área del
GE1/0/1 GE1/0/2
visitante Intranet
VLAN 10 VLAN 20
……
LAN Switch Switch
Visitante


autenticación.
3. Configure la autenticación Portal para controlar los derechos de acceso a la red de los
visitantes en el área del visitante. La configuración incluye:
a. Configure una plantilla de servidor Portal
b. Configure un perfil de acceso Portal.
c. Configure un perfil de autenticación.
d. Habilite la autenticación Portal en una interfaz.
NOTA
l Antes de realizar operaciones en este ejemplo, asegúrese de que los terminales de acceso de usuario y el
servidor puedan comunicarse.
l Este ejemplo solo proporciona la configuración del Switch. Las configuraciones del LAN Switch y el
servidor no se proporcionan aquí.

Procedimiento
puedan reenviarse.


RADIUS.
[Switch] aaa

[Switch-aaa] quit
Paso 3 Configure la autenticación Portal.


NOTA

# Configure la plantilla del servidor Portal abc.

[Switch] web-auth-server abc
[Switch-web-auth-server-abc] server-ip 192.168.2.30
[Switch-web-auth-server-abc] port 50200
[Switch-web-auth-server-abc] url http://192.168.2.30:8080/portal
[Switch-web-auth-server-abc] shared-key cipher Huawei@123
[Switch-web-auth-server-abc] quit
NOTA
Asegúrese de que el número de puerto configurado en el dispositivo sea el mismo que el número de puerto
utilizado por el servidor Portal.
# Configure el perfil de acceso Portal web1.

[Switch] portal-access-profile name web1
[Switch-portal-acces-profile-web1] web-auth-server abc direct
[Switch-portal-acces-profile-web1] quit
# Configure el perfil de autenticación p1, enlace el perfil de acceso Portal web1 con el perfil
de autenticación, especifique el dominio huawei.com como el dominio de autenticación
forzada en el perfil de autenticación, establezca el modo de acceso de usuario a multi-authen,
y establezca el número máximo de los usuarios de acceso a 100.
[Switch-authen-profile-p1] portal-access-profile web1
NOTA
En este ejemplo, a los usuarios se les asignan direcciones IP estáticas. Si los usuarios obtienen direcciones IP
a través de DHCP y el servidor DHCP está en la red de enlace ascendente del dispositivo NAS, utilice el
comando free-rule para crear reglas sin autenticación y asegúrese de que el servidor DHCP esté incluido en
las reglas sin autenticación.
En versiones anteriores a V200R012C00, si la URL del servidor Portal debe analizarse por DNS y el servidor
DNS está en la red de enlace ascendente del dispositivo NAS, también debe crear reglas sin autenticación y
asegurarse de que el servidor DNS esté incluido en las reglas sin autenticación. En V200R012C00 y versiones
posteriores, el dispositivo NAS automáticamente permite el paso de los paquetes DNS y no se requiere una
regla sin autenticación en la autenticación Portal.
# Enlace el perfil de autenticación p1 a GE1/0/1 y habilite la autenticación Portal en la

interfaz.

IP de origen y la dirección MAC de origen de los paquetes de detección fuera de línea. Esta
función no tiene efecto para los usuarios que usan la autenticación Portal de Capa 3.
2222-1111-1234


1. Después de que un usuario abra el navegador e introduzca cualquier dirección de sitio
web, el usuario es redirigido a la página de autenticación Portal. El usuario puede
introducir el nombre de usuario y la contraseña para la autenticación.
autenticación exitosa en la página de autenticación Portal. El usuario puede acceder a la
red.
3. Una vez que los usuarios se conectan, puede ejecutar el comando display access-user
access-type portal en el dispositivo para ver información sobre los usuarios de
autenticación Portal en línea.
----Fin
#
sysname Switch
#
vlan batch 10 20
#
#
#
#
web-auth-server
abc
server-ip
192.168.2.30
port
50200
shared-key cipher %#%#CR@WPM9Q30%]A}9]g4hUqe1u~4Fz}PlU)QPL;73#%#

%#
url http://192.168.2.30:8080/
portal
#
portal-access-profile name
web1
web-auth-server abc
direct
#
aaa
domain huawei.com
radius-server rd1
#
interface Vlanif10
ip address 192.168.1.10 255.255.255.0

#
interface Vlanif20
ip address 192.168.2.10 255.255.255.0
#
#
#
return
11.4 Configuración típica de NAC (modo unificado) (el

Agile Controller-Campus como el servidor de
autenticación) (V200R005C00 a V200R008C00)

autenticación en el switch de core)

la red es compleja.

Versión del software Modelo del producto
V200R005C00&C01 Todos los switches de la serie Sx300,

excepto S2350EI, S5306 y S5300LI

V200R006C00 y versiones posteriores Todos los switches de la serie Sx300,

excepto S2350EI y S5300LI
NOTA

V100R001, V100R002, V100R003.
en el switch.
Requisitos de redes
accedan a la red.
l Para facilitar la reconstrucción de la red y reducir las inversiones, la empresa requiere
que el punto de autenticación se implemente en el switch de core.
autorizados.

Figura 11-32 Autenticación Portal implementada en la capa de core

Dominio de
preautenticación
Internet
Agile Controller
Servidor DNS Servidor Web
(incluye servidor Portal
y servidor RADIUS)
Switch de core
SwitchD
GE1/0/2 Dominio de post-
autenticación
GE1/0/1
Switch de
GE1/0/3
agregación
SwitchC Base de Sistema de
GE0/0/2 Switch de GE0/0/2
GE0/0/1 GE0/0/1
de I+D de marketing
GE0/0/
4
PC Ordenador Punto de autenticación
PC portátil
PC
Plan de datos
ID de VLAN Función
103 VLAN para la conexión entre el switch de

agregación y el switch de core


de I+D)


de marketing)

+D.

marketing.
marketing.
Número de interfaz: GE1/0/3 Se conecta al switch de core.

VLAN: 103
172.16.2.1
Switch de core Número de interfaz: GE1/0/1 Se conecta al switch de

172.16.2.2

VLAN: 104 y funciona como el gateway
para los servidores.
172.16.1.254

Controller-
Campus(Se
rvidor
RADIUS +
servidor
Portal)

DNS

web

de códigos


seguimient
o de
problemas

Switch de core Número de ACL para el dominio Debe introducir este número de


puerto del servidor de
mismos que los números del
puerto de autenticación y
contabilidad del servidor
RADIUS.
l Configure un servidor de
autorización para permitir que
el servidor RADIUS entregue

Servidor Portal: autenticación y del servidor de

l Dirección IP: 172.16.1.1 contabilidad.
l Número de puerto que usa el

switch para procesar los
paquetes del protocolo Portal:
2000
l Número de puerto de destino
en los paquetes que el switch
envía al servidor Portal: 50200
Admin@123


172.16.1.254


paquetes: 50200


l Cuenta: B-123

servidor web


Internet
Internet

1. Configure el switch de acceso, el switch de agregación y el switch de core para
2. Configure la autenticación Portal en el switch de core para implementar el control de
acceso del usuario. Configure los parámetros para conectarse al servidor RADIUS y
autenticación.
Campus y switch.
Procedimiento
conecta con el departamento de marketing, es similar a la de SwitchA.
[SwitchA] vlan 101
de I+D
agregación
[SwitchA] quit
Paso 2 Configure el switch de agregación para garantizar la conectividad de la red.



dirección IP asignado a los empleados de marketing
[SwitchC] interface gigabitethernet 1/0/3 //Interfaz conectada al switch de
core
[SwitchC-Vlanif103] ip address 172.16.2.1 255.255.255.0
[SwitchC] ip route-static 172.16.1.0 255.255.255.0 172.16.2.2 //Configure
rutas al segmento de red en el que reside el servidor de autenticación.
[SwitchC] quit
Paso 3 Configure el switch de core.

[SwitchD] interface gigabitethernet 1/0/1 //Interfaz conectada al switch
de agregación
[SwitchD-GigabitEthernet1/0/1] port trunk allow-pass vlan 103
[SwitchD-Vlanif103] ip address 172.16.2.2 255.255.255.0
[SwitchD] interface gigabitethernet 1/0/2 //Interfaz conectada al área del
servidor
[SwitchD-Vlanif104] ip address 172.16.1.254 255.255.255.0 //Configure la
rutas al segmento de red asignado al departamento de I+D.
rutas al segmento de red asignado al departamento de marketing.

[SwitchD] quit

[SwitchD] radius-server template policy //Cree la plantilla de servidor
RADIUS policy.
[SwitchD-radius-policy] radius-server authentication 172.16.1.1 1812 //
Configure la dirección IP y el número de puerto del servidor de autenticación
RADIUS.
[SwitchD-radius-policy] radius-server accounting 172.16.1.1 1813 //
Configure la dirección IP y el número de puerto del servidor de contabilidad
RADIUS.
[SwitchD-radius-policy] radius-server shared-key cipher Admin@123 //
Admin@123.
[SwitchD-radius-policy] quit
[SwitchD] aaa //Introduzca la vista AAA.
[SwitchD-aaa] authentication-scheme auth //Configure el esquema de
autenticación auth.
[SwitchD-aaa-authen-auth] authentication-mode radius //Establezca el modo
[SwitchD-aaa-authen-auth] quit
[SwitchD-aaa] accounting-scheme acco //Configure el esquema de
contabilidad acco.
[SwitchD-aaa-accounting-acco] accounting-mode radius //Establezca el modo
[SwitchD-aaa-accounting-acco] accounting realtime 15 //Establezca el
[SwitchD-aaa-accounting-acco] quit
[SwitchD-aaa] domain portal //Configure un dominio.
[SwitchD-aaa-domain-portal] authentication-scheme auth //Enlace el esquema
[SwitchD-aaa-domain-portal] accounting-scheme acco //Enlace el esquema de
[SwitchD-aaa-domain-portal] radius-server policy //Enlace la plantilla del
[SwitchD-aaa-domain-portal] quit
[SwitchD-aaa] quit
[SwitchD] domain portal //Configure portal como el dominio predeterminado
global.

[SwitchD] web-auth-server portal_huawei //Configure la plantilla del
[SwitchD-web-auth-server-portal_huawei] server-ip 172.16.1.1 //Establezca
[SwitchD-web-auth-server-portal_huawei] source-ip 172.16.1.254 //
Portal.
[SwitchD-web-auth-server-portal_huawei] port 50200 //Establezca el número
[SwitchD-web-auth-server-portal_huawei] shared-key cipher Admin@123 //
[SwitchD-web-auth-server-portal_huawei] url http://access.example.com:8080/
[SwitchD-web-auth-server-portal_huawei] quit
[SwitchD] web-auth-server listening-port 2000 //Configure el número de


[SwitchD] portal quiet-period //Habilite la función silenciosa para
[SwitchD] portal quiet-times 5 //Configure la cantidad máxima de fallos de
[SwitchD] portal timer quiet-period 240 //Establezca el período de
4. Habilite autenticación Portal.

[SwitchD] authentication unified-mode //Establezca el modo NAC al
unificado. Por defecto, el modo unificado está habilitado. Después de cambiar
el modo NAC, guarde la configuración y reinicie el dispositivo para que la
configuración surta efecto.
[SwitchD-Vlanif103] authentication portal //Habilite la autenticación
Portal en la interfaz.
[SwitchD-Vlanif103] web-auth-server portal_huawei layer3 //Enlace la
plantilla del servidor Portal a la interfaz, de modo que la interfaz pueda
controlar el acceso del usuario a la red de la empresa. Si los terminales de
usuario y el switch están conectados a través de una red de Capa 2, configure
el modo de autenticación Portal a direct. Si los terminales de usuario y el
switch están conectados a través de una red de Capa 3, configure el modo de
autenticación Portal a layer3.
5. Configure los derechos de acceso a la red para el dominio de preautenticación y el

[SwitchD] authentication free-rule 1 destination ip 172.16.1.2 mask
255.255.255.255 //Configure reglas libres de autenticación para usuarios
de autenticación Portal, para que estos usuarios puedan acceder al servidor
DNS antes de la autenticación.
[SwitchD] authentication free-rule 2 destination ip 172.16.1.3 mask
empleados de I+D.
[SwitchD-acl-adv-3001] rule 1 permit ip //Permita que los empleados de I+D
[SwitchD-acl-adv-3002] rule 3 permit ip //Permita que los empleados de
[SwitchD] quit




Campus-IP:8443.

R&D.







Name SW -

con el SC.

Quidway Series



interval switch.
(minute)



Allowed IP 192.168.0.1/24; -
Addresses 192.168.1.1/24


d. Haga clic en OK.



switch.

empleados de I+D.
Name R&D employee -

authorization rule
Department R&D -




----Fin
# Archivo de configuración del switch de acceso para el departamento de empleados (El
archivo de configuración del switch de acceso para el departamento de marketing es similar.)
#
sysname SwitchA
#
vlan batch 101
#
#
#
return

#
sysname SwitchC
#
#
dhcp enable
#
interface Vlanif101
ip address 192.168.0.1 255.255.255.0
#
interface Vlanif102
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif103
ip address 172.16.2.1 255.255.255.0
#
#
#
#
ip route-static 172.16.1.0 255.255.255.0 172.16.2.2
#
return
# Archivo de configuración del switch de core

#
sysname SwitchD

#
#
domain portal
#
radius-server shared-key cipher %#%#1*yT+0O\X;V}hP,G^TMN7mTXA^mIz)SoR:86;lNK%#%#
#
acl number 3001
rule 1 permit ip
acl number 3002
rule 3 permit ip
#
port 50200
source-ip 172.16.1.254
#
aaa
domain portal
#
interface Vlanif103
ip address 172.16.2.2 255.255.255.0
web-auth-server portal_huawei layer3
authentication portal
#
interface Vlanif104
ip address 172.16.1.254 255.255.255.0
#
#
#
ip route-static 192.168.0.0 255.255.255.0 172.16.2.1
ip route-static 192.168.1.0 255.255.255.0 172.16.2.1
#
authentication free-rule 1 destination ip 172.16.1.2 mask 255.255.255.255
portal quiet-period
#
return


autenticación en el switch de agregación)

la red es compleja.



NOTA

V100R001, V100R002, V100R003.

en el switch.

Requisitos de redes
accedan a la red.
l Se requiere un control de seguridad moderado. Para facilitar el mantenimiento, es
necesario implementar un número moderado de los puntos de autenticación en el switch
de agregación.
autorizados.
Figura 11-33 Autenticación Portal implementada en la capa de agregación
Internet
Dominio de
preautenticación
Switch de core Servidor DNS Agile Controller Servidor Web

(incluye servidores DNS
Portal y RADIUS)
Switch de agregación GE1/0/3
Dominio de post-
SwitchC
GE1/0/1 autenticación
GE1/0/2
Base de Sistema de
Switch de
GE0/0/1 GE0/0/1
de I+D de marketing
Ordenador Punto de autenticación

PC PC portátil PC

Plan de datos

ID de VLAN Función



de I+D)

de marketing)

+D.

marketing.
marketing.

VLAN: 103 empresarial.
Dirección IP de VLANIF103: Funciona como el gateway
172.16.1.254 para servidores.


Controller-
Campus
(servidor
RADIUS +
servidor
Portal)

DNS

web

de códigos

seguimient
o de
problemas

Switch de Número de ACL para el dominio Debe introducir este número de

agregación de post-autenticación de los ACL al configurar las reglas de


contabilidad RADIUS para
l Clave compartida RADIUS: recopilar información de inicio
Admin@123 de sesión y cierre de sesión del

Servidor Portal: puerto del servidor de

l Dirección IP: 172.16.1.1 autenticación y del servidor de
l Número de puerto que usa el mismos que los números del
switch para procesar los puerto de autenticación y
paquetes del protocolo Portal: contabilidad del servidor
2000 RADIUS.
l Número de puerto de destino l Configure un servidor de
en los paquetes que el switch autorización para permitir que
envía al servidor Portal: 50200 el servidor RADIUS entregue
l Clave compartida de reglas de autorización al
autenticación Portal: switch. La clave compartida
Admin@123 RADIUS del servidor de
contabilidad.


172.16.1.254


paquetes: 50200


l Cuenta: B-123


servidor web

Internet
Internet

1. Configure el switch de acceso y el switch de agregación para garantizar la conectividad
de la red.
2. Configure la autenticación Portal en el switch de agregación para implementar el control
de acceso del usuario. Configure los parámetros para conectarse al servidor RADIUS y
autenticación.
Campus y switch.
Procedimiento
conecta con el departamento de marketing, es similar.
[SwitchA] vlan 101
de I+D
agregación

[SwitchA] quit

dirección IP asignado a los empleados de marketing.
[SwitchC] interface gigabitethernet 1/0/3 //Interfaz conectada al área del
servidor
[SwitchC-Vlanif103] ip address 172.16.1.254 255.255.255.0 //Configure la
[SwitchC] quit

[SwitchC] radius-server template policy //Cree la plantilla del servidor
RADIUS policy.
[SwitchC-radius-policy] radius-server authentication 172.16.1.1 1812 source
ip-address 172.16.1.254 //Configure la dirección IP y el número de puerto
del servidor de autenticación RADIUS.
[SwitchC-radius-policy] radius-server accounting 172.16.1.1 1813 source ip-
address 172.16.1.254 //Configure la dirección IP y el número de puerto del
servidor de contabilidad RADIUS.
[SwitchC-radius-policy] radius-server shared-key cipher Admin@123 //
Admin@123.
[SwitchC-radius-policy] quit
[SwitchC] aaa //Introduzca la vista AAA.
[SwitchC-aaa] authentication-scheme auth //Configure el esquema de
autenticacón auth.

[SwitchC-aaa-authen-auth] authentication-mode radius //Establezca el modo

[SwitchC-aaa-authen-auth] quit
[SwitchC-aaa] accounting-scheme acco //Configure el esquema de
contabilidad acco.
[SwitchC-aaa-accounting-acco] accounting-mode radius //Establezca el modo
[SwitchC-aaa-accounting-acco] accounting realtime 15 //Establezca el
[SwitchC-aaa-accounting-acco] quit
[SwitchC-aaa] domain portal //Configure un dominio.
[SwitchC-aaa-domain-portal] authentication-scheme auth //Enlace el esquema
[SwitchC-aaa-domain-portal] accounting-scheme acco //Enlace el esquema de
[SwitchC-aaa-domain-portal] radius-server policy //Enlace la plantilla del
[SwitchC-aaa-domain-portal] quit
[SwitchC-aaa] quit
[SwitchC] domain portal //Configure portal como dominio predeterminado
global.

[SwitchC] web-auth-server portal_huawei //Configure la plantilla del
[SwitchC-web-auth-server-portal_huawei] server-ip 172.16.1.1 //Establezca
[SwitchC-web-auth-server-portal_huawei] source-ip 172.16.1.254 //
Portal.
[SwitchC-web-auth-server-portal_huawei] port 50200 //Establezca el número
[SwitchC-web-auth-server-portal_huawei] shared-key cipher Admin@123 //
[SwitchC-web-auth-server-portal_huawei] url http://access.example.com:8080/
[SwitchC-web-auth-server-portal_huawei] quit
[SwitchC] web-auth-server listening-port 2000 //Configure el número de
[SwitchC] portal quiet-period //Habilite la función silenciosa para
[SwitchC] portal quiet-times 5 //Configure la cantidad máxima de fallos de
[SwitchC] portal timer quiet-period 240 //Establezca el período de
4. Habilite autenticación Portal.

[SwitchC] authentication unified-mode //Establezca el modo NAC al
unificado. Por defecto, el modo unificado está habilitado. Después de cambiar
el modo NAC, guarde la configuración y reinicie el dispositivo para que la
configuración surta efecto.

[SwitchC-Vlanif101] authentication portal //Habilite la autenticación

Portal en la interfaz.
[SwitchC-Vlanif101] web-auth-server portal_huawei direct //Enlace la
[SwitchC-Vlanif102] authentication portal //Habilite la autenticación
Portal en la interfaz que se conecta con el departamento de marketing.
[SwitchC-Vlanif102] web-auth-server portal_huawei direct //Enlace la

detección fuera de línea. Esta función no tiene efecto para los usuarios que usan la
autenticación Portal de Capa 3.
2222-1111-1234
2222-1111-1234
5. Configure los derechos de acceso a la red para el dominio de preautenticación y el
[SwitchC] authentication free-rule 1 destination ip 172.16.1.2 mask
DNS antes de la autenticación.
[SwitchC] authentication free-rule 2 destination ip 172.16.1.3 mask
empleados de I+D.
[SwitchC-acl-adv-3001] rule 1 permit ip //Permita que los empleados de I+D
[SwitchC-acl-adv-3002] rule 3 permit ip //Permita que los empleados de
[SwitchC] quit





Campus-IP:8443.

R&D.







Name SW -

con el SC.

Quidway Series



interval switch.
(minute)



Allowed IP 192.168.0.1/24; -
Addresses 192.168.1.1/24


d. Haga clic en OK.



switch.

empleados de I+D.
Name R&D employee -

authorization rule
Department R&D -




----Fin

# Archivo de configuración del switch de acceso para el departamento de I+D
#
sysname SwitchA
#
vlan batch 101
#
#
#
return
# Archivo de configuración del switch de acceso para el departamento de marketing

#
sysname SwitchB
#
vlan batch 102
#
#
#
return

#
sysname SwitchC
#
#
domain portal
#
#
dhcp enable
#
radius-server shared-key cipher %#%#lJIB8CQ<:A;x$h2V5+;+C>HwC+@XAL)ldpQI}:$X%#%#
radius-server authentication 172.16.1.1 1812 source ip-address 172.16.1.254
weight 80
radius-server accounting 172.16.1.1 1813 source ip-address 172.16.1.254 weight 80
#
acl number 3001
rule 1 permit ip
acl number 3002
rule 3 permit ip
#

port 50200
source-ip 172.16.1.254
#
aaa
domain portal
#
interface Vlanif101
ip address 192.168.0.1 255.255.255.0
#
interface Vlanif102
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif103
ip address 172.16.1.254 255.255.255.0
#
#
#
#
portal quiet-period
#
return
11.4.3 Ejemplo para configurar autenticación 802.1X y

autenticación de dirección MAC para controlar el acceso de
de acceso)
La autenticación 802.1X y la autenticación de dirección MAC son dos métodos utilizados
para el Control de admisión de red (NAC). La autenticación 802.1X se implementa en base a

interfaces y la autenticación de dirección MAC se implementa en base a interfaces y

direcciones MAC. Ambos protocolos pueden proteger la seguridad de las redes empresariales.
La autenticación 802.1X es más segura que la autenticación de dirección MAC; sin embargo,
se requiere que el software de cliente 802.1X esté instalado en todos los terminales de usuario,
lo que permite una baja flexibilidad de red. La autenticación 802.1X es aplicable a las redes
que requieren alta seguridad de la información.
La autenticación de dirección MAC no requiere el software del cliente 802.1X, pero las
direcciones MAC de los terminales de usuario deben estar registradas en el servidor de
autenticación. La configuración y administración de la red es compleja. La autenticación de
dirección MAC es aplicable a terminales tontos como impresoras y máquinas de fax.
NOTA

V100R003.

Requisitos de redes
l Todos los switches de acceso son compatibles con la autenticación 802.1X.

empresa.
Para proporcionar una alta seguridad para la red, se recomienda configurar la función de
autenticación 802.1X en los switches de acceso y conectar un solo servidor de autenticación


autenticación
192.168.100.100 192.168.102.100

(RADIUS y Portal) (Recursos de red clave)

Internet
SwitchA
campus
GE0/0/3 GE0/0/3
SwitchC acceso
SwitchD
GE0/0/1 GE0/0/2 GE0/0/1 GE0/0/2
Paquetes de
Plan de datos

Ítem Datos

autenticación
Switch de agregación (SwitchA) Dirección IP de administración: 192.168.10.10
Switch de acceso (SwitchC) l ID de VLAN de usuario: 10

l Dirección IP de administración: 192.168.30.30
Switch de acceso (SwitchD) l ID de VLAN de usuario: 20

l Dirección IP de administración: 192.168.40.40

Tabla 11-28 Plan de datos del servicio de switch de acceso
Ítem Datos

192.168.100.100
1812
192.168.100.100
1813
Huawei@2014

post-autenticación
Ítem Datos

Dirección IP de switch l SwitchC: 192.168.30.30

l SwitchD: 192.168.40.40

1. Configure los switches de acceso, incluyendo las interfaces VLAN a las que pertenecen,
los parámetros para conectarse al servidor RADIUS, habilite la autenticación NAC, y
acceda directamente al dominio de post-autenticación.
NOTA


Procedimiento
Paso 1 Configure los switches de acceso. Este ejemplo utiliza SwitchC para describir la
configuración. La configuración de dominio en SwitchD es la misma que en SwitchC.
[SwitchC] interface gigabitethernet 0/0/1 //Configure la interfaz
conectada a terminales fijos.
conectada a terminales tontos.
conectada a SwitchA.
[SwitchC-Vlanif10] ip address 192.168.30.30 24 //Configure la dirección IP
utilizada para comunicarse con el Controller.

[SwitchC] radius-server template rd1
[SwitchC-radius-rd1] radius-server authentication 192.168.100.100 1812
[SwitchC-radius-rd1] radius-server accounting 192.168.100.100 1813
[SwitchC-radius-rd1] radius-server shared-key cipher Huawei@2014
[SwitchC-radius-rd1] quit

RADIUS.
[SwitchC] aaa
[SwitchC-aaa] authentication-scheme abc
[SwitchC-aaa-authen-abc] authentication-mode radius
[SwitchC-aaa-authen-abc] quit
# Configure el esquema de contabilidad acco1 y establezca el modo de contabilidad a

RADIUS.
[SwitchC-aaa] accounting-scheme acco1
[SwitchC-aaa-accounting-acco1] accounting-mode radius
[SwitchC-aaa-accounting-acco1] accounting realtime 15 //Establezca el
[SwitchC-aaa-accounting-acco1] quit

[SwitchC-aaa] domain isp
[SwitchC-aaa-domain-isp] authentication-scheme abc

[SwitchC-aaa-domain-isp] accounting-scheme acco1

[SwitchC-aaa-domain-isp] radius-server rd1
[SwitchC-aaa-domain-isp] quit
[SwitchC-aaa] quit
# Configure isp como el dominio predeterminado global. Durante la autenticación de

acceso, introduzca un nombre de usuario en el formato user@isp para realizar la
autenticación AAA en el dominio isp. Si el nombre de usuario no contiene un nombre de
dominio o contiene un nombre de dominio inválido, el usuario se autentica en el dominio
predeterminado.
[SwitchC] domain isp

[SwitchC] authentication unified-mode
NOTA
# Habilite la autenticación 802.1X en GE0/0/1.

[SwitchC] interface gigabitEthernet 0/0/1
[SwitchC-GigabitEthernet0/0/1] authentication dot1x
# Habilite la autenticación de dirección MAC en GE0/0/2.

[SwitchC] interface gigabitEthernet 0/0/2
[SwitchC-GigabitEthernet0/0/2] authentication mac-authen
[SwitchC-GigabitEthernet0/0/2] mac-authen username fixed A-123 password
autenticación de dirección MAC al nombre de usuario fijo. Establezca el
nombre de usuario a A-123 y la contraseña a Huawei123.

[SwitchC] acl 3002
[SwitchC-acl-adv-3002] rule 1 permit ip destination 192.168.102.100 0
[SwitchC-acl-adv-3002] rule 2 deny ip destination any



Campus-IP:8443.


R&D.







Este ejemplo usa SwitchC para describir el procedimiento de configuración. La
configuración en SwitchD es la misma que en SwitchC, excepto que las direcciones
IP son diferentes.

Name SwitchC -
IP Address 192.168.30.30 La interfaz en el switch debe comunicarse

Device Huawei -
switch



interval switch.
(minute)


seleccione SwitchC, y haga clic en Move para mover SwitchC al grupo Switch. La
configuración en SwitchD es la misma que en SwitchC.
Name Access -
authentication
rule



the allowed n CHAP
authenticatio
n EAP-PEAP-
MSCHAPv2
n EAP-TLS
n EAP-PEAP-
GTC
n EAP-TTLS-
PAP



switch.


autorización.

R&D employees

Group
Result domain


autenticación.
empleado en línea.
----Fin


#
sysname SwitchC
#
vlan batch 10
#
domain isp
#
radius-server shared-key cipher %^%#FP@&C(&{$F2HTlPxg^NLS~KqA/\^3Fex;T@Q9A](%^%#
#
acl number 3002
rule 2 deny ip
#
aaa
domain isp
radius-server rd1
#
interface Vlanif10
ip address 192.168.30.30 255.255.255.0
#
#
mac-authen username fixed A-123 password cipher %^%#7JxKWaX6c0\X4RHfJ$M6|
duQ*k{7uXu{J{S=zx-3%^%#
#
#
return
11.4.4 Ejemplo para configurar la autenticación 802.1X y la

autenticación de dirección MAC para controlar el acceso del
de agregación)
En una red NAC, los modos de autenticación 802.1X, MAC y Portal se configuran en las
interfaces de acceso de usuario de un dispositivo para cumplir con diversos requisitos de
autenticación. Los usuarios pueden acceder a la red usando cualquier modo de autenticación.



NOTA

V100R003.
Requisitos de redes
l Los switches de acceso en la red no son compatibles con la autenticación 802.1X.
empresa.
Para reducir la inversión en la reconstrucción de red, se recomienda configurar la función de
autenticación 802.1X en el switch de agregación y conectar un solo servidor de autenticación


autenticación
192.168.100.100 192.168.102.100

(Servidores SM, SC, y DB) (Recursos de red clave)

Internet
SwitchA
campus
GE0/0/3 GE0/0/3
SwitchC acceso
SwitchD
GE0/0/1 GE0/0/2 GE0/0/1 GE0/0/2
Paquetes de
Plan de datos

Ítem Datos

autenticación
Switch de agregación (SwitchA) l VLAN a la cual 0/0/6 conectada al servidor

pertenece: VLAN 100
l VLAN a la cual las interfaces de enlace
descendente GE0/0/1 y GE0/0/2 pertenecen: VLAN
200
Switch de acceso (SwitchC) ID de VLAN de usuario: 200
Switch de acceso (SwitchD) ID de VLAN de usuario: 200

Tabla 11-31 Plan de datos del servicio del switch de agregación
Ítem Datos

192.168.100.100
1812
192.168.100.100
1813
Huawei@2014

post-autenticación
Ítem Datos


1. Configure el switch de agregación, incluyendo las interfaces de las VLAN a las que
pertenecen, los parámetros para conectarse al servidor RADIUS, habilitando la
autenticación NAC, y acceda directamente al dominio de post-autenticación.
NOTA
2. Configure los switches de acceso, incluyendo las VLAN y la transmisión transparente
802.1X.


Procedimiento
conectada a SwitchC.
conectada a SwitchD.
conectada al servidor.
IP de administración para SwitchA. Esta dirección IP se usa cuando se agrega
SwitchA a Agile Controller-Campus.
del gateway para los usuarios de terminal.
Configure una ruta al segmento de red donde reside el dominio de
preautenticación.
Configure una ruta al segmento de red donde reside el dominio de post-
autenticación.


RADIUS.
[SwitchA] aaa

# Configure un esquema de contabilidad acco1. Establezca el modo de contabilidad a

RADIUS para que el servidor RADIUS pueda mantener el estado de la cuenta, como
inicio de sesión, cierre de sesión y cierre de sesión forzado.
[SwitchA-aaa-accounting-acco1] accounting realtime 15 //Establezca el

[SwitchA-aaa] domain isp
[SwitchA-aaa-domain-isp] authentication-scheme abc
[SwitchA-aaa-domain-isp] accounting-scheme acco1
[SwitchA-aaa-domain-isp] radius-server rd1
[SwitchA-aaa-domain-isp] quit
[SwitchA-aaa] quit
# Configure el dominio predeterminado global isp. Durante la autenticación de acceso,

introduzca un nombre de usuario en el formato user@isp para realizar la autenticación
AAA en el dominio isp. Si el nombre de usuario no contiene un nombre de dominio o
contiene un nombre de dominio inválido, el usuario se autentica en el dominio
predeterminado.
[SwitchA] domain isp

NOTA
# Habilite autenticación 802.1X y autenticación de MAC address en GE0/0/1 y GE0/0/2.

[SwitchA-Gigabitethernet0/0/1] authentication dot1x mac-authen //Configure
una combinación de la autenticación 802.1X y de dirección MAC.
[SwitchA-Gigabitethernet0/0/1] mac-authen username fixed A-123 password
[SwitchA-Gigabitethernet0/0/2] authentication dot1x mac-authen //Configure
una combinación de la autenticación 802.1X y de dirección MAC.
[SwitchA-Gigabitethernet0/0/2] mac-authen username fixed A-123 password

[SwitchA] acl 3002
Paso 2 Configure los switches de acceso.

paquetes puedan reenviarse. Este ejemplo utiliza SwitchC para describir la
configuración. La configuración en SwitchD es la misma que en SwitchC.
# Cree VLAN 200.

# Configure la interfaz conectada a los usuarios como una interfaz de acceso y agregue la
interfaz a la VLAN 200.
# Configure la interfaz conectada a la red de enlace ascendente como una interfaz trunk y
configure la interfaz para permitir la VLAN 200.
2. Configure el dispositivo para transmitir de manera transparente paquetes 802.1X. Este

ejemplo utiliza SwitchC para describir la configuración. La configuración en SwitchD es
la misma que en SwitchC.
NOTA
En este ejemplo, SwitchC y SwitchD se implementan entre el switch de autenticación SwitchA y los
usuarios. La transmisión transparente del paquete EAP debe configurarse en SwitchC y SwitchD para
que SwitchA pueda realizar la autenticación 802.1X para los usuarios.
– Método 1:
[SwitchC] l2protocol-tunnel user-defined-protocol 802.1x protocol-mac
0180-c200-0003 group-mac 0100-0000-0002
802.1x enable
802.1x enable
802.1x enable
– Método 2: Este método se recomienda cuando existe una gran cantidad de usuarios
o se requiere un alto rendimiento de la red. Solo S5320EI y S6320EI son
compatibles con este método.
[SwitchC] undo bpdu mac-address 0180-c200-0000 FFFF-FFFF-FFF0
[SwitchC] bpdu mac-address 0180-c200-0000 FFFF-FFFF-FFFE
[SwitchC] bpdu mac-address 0180-c200-0002 FFFF-FFFF-FFFF
[SwitchC] bpdu mac-address 0180-c200-0004 FFFF-FFFF-FFFC
[SwitchC] bpdu mac-address 0180-c200-0008 FFFF-FFFF-FFF8
Este siguiente paso es obligatorio cuando cambia del método 1 al método 2.

protocol 802.1x enable





Campus-IP:8443.

R&D.








Name SwitchA -
Dirección IP 192.168.10.10 La interfaz en el switch debe comunicarse

Device Huawei -
switch



interval switch.
(minute)


seleccione SwitchC, y haga clic en Move para mover el SwitchA al grupo Switch.
La configuración en SwitchD es la misma que en SwitchC.
Name Access -
authentication
rule



the allowed n CHAP
authenticatio
n EAP-PEAP-
MSCHAPv2
n EAP-TLS
n EAP-PEAP-
GTC
n EAP-TTLS-
PAP



switch.


autorización.

R&D employees

Group
Result domain


autenticación.
empleado en línea.
----Fin

#
sysname SwitchA
#
vlan batch 100 200
#
domain isp
#
radius-server shared-key cipher %^%#FP@&C(&{$F2HTlPxg^NLS~KqA/\^3Fex;T@Q9A]
(%^%#
#
acl number 3002
rule 2 deny ip
#
aaa
domain isp
radius-server rd1
#
interface Vlanif100
ip address 192.168.10.10 255.255.255.0
#
interface Vlanif200
ip address 192.168.200.1 255.255.255.0
#
authentication dot1x mac-authen
#
authentication dot1x mac-authen
#
#
ip route-static 192.168.100.0 255.255.255.0 192.168.10.10
ip route-static 192.168.102.0 255.255.255.0 192.168.10.10
#
return

#
sysname SwitchC
#
vlan batch 200
#
l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003
group-mac 0100-0000-0002
#

#
#
#
return
11.5 Configuración típica de NAC (modo unificado)

(V200R005C00 a V200R008C00)

centralizada de usuarios, y estrictos requisitos de seguridad de la información.
NOTA
Requisitos de redes
interna de la compañía a través de Switch. El acceso no autorizado a la red interna puede
dañar el sistema de servicio de la empresa y provocar la fuga de información clave. Por lo
tanto, el administrador requiere que Switch debe controlar los derechos de acceso a la red de
los usuarios para garantizar la seguridad de la red interna.

Figura 11-36 Configuración de la autenticación 802.1X para controlar el acceso del usuario
Empleado
Servidor RADIUS
192.168.2.30
Área de
oficina GE1/0/1 GE1/0/2
Red
VLAN 10 VLAN 20
……
LAN Switch Switch
Empleado

1. Cree y configure una plantilla de servidor RADIUS, un esquema AAA y un dominio de
autenticación. Enlace la plantilla de servidor RADIUS y el esquema AAA al dominio de
autenticación para que Switch pueda autenticar a los usuarios de acceso a través del
servidor RADIUS.
2. Habilite la autenticación 802.1X para controlar los derechos de acceso a la red de los
empleados en la oficina.
3. Configure el modo de acceso del usuario para multi-autenticar y establezca el número
máximo de usuarios de acceso a 100, por lo que el dispositivo puede controlar los
derechos de acceso a la red de cada usuario de forma independiente.

NOTA
Antes de configurar este ejemplo, asegúrese de que los dispositivos se puedan comunicar entre ellos en la red.
En este ejemplo, el switch LAN existe entre el switch de acceso Switch y los usuarios. Para garantizar que los
usuarios puedan pasar la autenticación 802.1x, debe configurar la función de transmisión transparente del
paquete EAP en el switch LAN.
l Método 1: El S5300 se usa como un ejemplo del switch LAN. Realice las siguientes operaciones:
c200-0003 group-mac 0100-0000-0002 en la vista del sistema del switch LAN para configurar el
switch LAN para transmitir transparentemente paquetes EAP.
2. Ejecute el comando l2protocol-tunnel user-defined-protocol 802.1x enable en la interfaz que
conecta a los usuarios y la interfaz que se conecta al switch de acceso para habilitar la función de
transmisión transparente del protocolo de capa 2.
l Método 2: Este método se recomienda cuando existe una gran cantidad de usuarios o se requiere un alto
rendimiento de la red. Solo S5320EI y S6320EI son compatibles con este método.
2. (Este paso es obligatorio cuando cambia del método 1 al método 2.) Ejecute el comando undo
l2protocol-tunnel user-defined-protocol 802.1x enable en la vista de interfaz para eliminar la
configuración de transmisión transparente de los paquetes de protocolo 802.1x.
Procedimiento
Paso 1 Cree las VLAN y configure las VLAN permitidas por la interfaz para garantizar la
comunicación de la red.

# En Switch, configure la interfaz GE1/0/1 conectada a los usuarios como una interfaz de
acceso y agregue la interfaz a la VLAN 10.
NOTA
Configure el tipo de interfaz y las VLAN según los requisitos del sitio. En este ejemplo, los usuarios se
agregan a la VLAN 10.
# En Switch, configure la interfaz GE1/0/2 conectada al servidor RADIUS como una interfaz
de acceso y agregue la interfaz a la VLAN 20.

Paso 2 Cree y configure una plantilla de servidor RADIUS, un esquema AAA y un dominio de
autenticación.

# Cree un esquema de autenticación AAA abc y configure el modo de autenticación a

RADIUS.
[Switch] aaa
# Cree un dominio de autenticación isp1, y enlace el esquema AAA abc y la plantilla de

servidor RADIUS rd1 al dominio isp1.
[Switch-aaa] domain isp1
[Switch-aaa-domain-isp1] authentication-scheme abc
[Switch-aaa-domain-isp1] radius-server rd1
[Switch-aaa-domain-isp1] quit
[Switch-aaa] quit
# Configure isp1 como el dominio predeterminado global. Durante la autenticación de acceso,

introduzca un nombre de usuario en el formato user@isp1 para realizar la autenticación AAA
en el dominio isp1. Si el nombre de usuario no contiene el nombre de dominio o contiene un
nombre de dominio inválido, el usuario se autentica en el dominio predeterminado.
[Switch] domain isp1
Paso 3 Configure la autenticación 802.1x en Switch.
# Cambie el modo NAC al modo unificado.

NOTA
Después de cambiar el modo común y el modo unificado, el dispositivo se reinicia automáticamente.
# Habilite la autenticación 802.1X en la interfaz GE1/0/1.

[Switch-GigabitEthernet1/0/1] authentication mode multi-authen max-user 100

2222-1111-1234

1. Ejecute el comando display dot1x para verificar la configuración de autenticación
802.1X. La salida del comando (802.1X protocol is Enabled) muestra que la
autenticación 802.1X se ha habilitado en la interfazGE1/0/1.
2. El usuario inicia el cliente 802.1X en el terminal e introduzca el nombre de usuario y la


4. Después de que el usuario se conecte, puede ejecutar el comando display access-user
access-type dot1x en el dispositivo para verificar la información del usuario 802.1X en
línea.
----Fin
#
sysname Switch
#
vlan batch 10 20
#
domain isp1
#
#
radius-server shared-key cipher %^%#Q75cNQ6IF(e#L4WMxP~%^7'u17,]D87GO{"[o]`D%^%#
#
aaa
domain isp1
radius-server rd1
#
interface Vlanif10
ip address 192.168.1.10 255.255.255.0
#
#
#
return




poca seguridad.

NOTA
Requisitos de redes
Como se muestra Figura 11-37, los terminales en el departamento de control de acceso físico
están conectados a la red interna de la compañía a través de Switch. El acceso no autorizado a
la red interna puede dañar el sistema de servicio de la empresa y provocar la fuga de
información clave. Por lo tanto, el administrador requiere que Switch debe controlar los
derechos de acceso a la red de los usuarios para garantizar la seguridad de la red interna.
Figura 11-37 Configuración de la autenticación de dirección MAC para controlar el acceso

del usuario
Impresora
Servidor RADIUS
192.168.2.30
Departamento
de control de
acceso físico GE1/0/1 GE1/0/2 Red
VLAN 10 VLAN 20
……
LAN Switch Switch
Impresora


servidor RADIUS.

2. Habilite la autenticación de la dirección MAC para que Switch pueda controlar los
acceso físico.
NOTA
Procedimiento

NOTA
autenticación.


RADIUS.
[Switch] aaa


[Switch-aaa] quit

Paso 3 Configure la autenticación de dirección MAC en Switch.

NOTA
# Habilite la autenticación de dirección MAC en la interfaz GE1/0/1.

[Switch-GigabitEthernet1/0/1] authentication mac-authen

2222-1111-1234

1. Ejecute el comando display mac-authen para verificar la configuración de la
autenticación de dirección MAC. La salida del comando (MAC address authentication
is enabled) muestra que la autenticación de dirección MAC se ha habilitado en la
interfaz GE1/0/1.
2. Después de que el usuario inicie el terminal, el dispositivo obtiene automáticamente la
dirección MAC del terminal y la usa como nombre de usuario y contraseña para la
autenticación.
3. El usuario puede acceder a la red después de que la autenticación sea exitosa.
access-type mac-authen en el dispositivo para verificar la información de usuario de
autenticación de dirección MAC en línea.
----Fin
#
sysname Switch

#
vlan batch 10 20
#
domain isp1
#
#
#
aaa
domain isp1
radius-server rd1
#
#
#
return

compleja.



NOTA
Requisitos de redes
red interna de la compañía a través de Switch. El acceso no autorizado a la red interna puede
Figura 11-38 Configuración de la autenticación Portal para controlar el acceso del usuario
Visitante
Servidor RADIU
192.168.2.30
Áreas de
visitantes
GE1/0/1 GE1/0/2 Red
VLAN 10 VLAN 20
……
LAN Switch Switch
Visitante Servidor Portal

192.168.2.20


servidor RADIUS.

2. Habilite la autenticación Portal para que Switch pueda controlar los derechos de acceso a
la red de los visitantes en las áreas de visitantes.
3. Configure una plantilla de servidor Portal para que el dispositivo pueda comunicarse con
el servidor Portal.
NOTA
Procedimiento

NOTA
autenticación.


RADIUS.
[Switch] aaa



[Switch-aaa] quit

Paso 3 Configure la autenticación Portal en Switch.

NOTA
# Habilite la autenticación Portal en la interfaz GE1/0/1.

[Switch-GigabitEthernet1/0/1] authentication portal
# Cree y configure una plantilla de servidor Portal abc.

[Switch-web-auth-server-abc] url http://192.168.2.20:8080/webagent
NOTA
Asegúrese de que el número de puerto configurado en el dispositivo sea el mismo que el utilizado por el
servidor Portal.
# Enlace la plantilla del servidor Portal abc a la interfaz GE1/0/1.

[Switch-GigabitEthernet1/0/1] web-auth-server abc direct
NOTA
a través de DHCP y el servidor DHCP está conectado a Switch en sentido de enlace ascendente, use el
comando authentication free-rule para crear reglas sin autenticación y asegúrese de que el servidor DHCP
esté incluido en las reglas sin autenticación.
Además, si el URL del servidor Portal debe ser analizado por DNS y el servidor DNS está conectado a
Switch en sentido de enlace ascendente, también debe crear reglas sin autenticación y asegurarse de que el
servidor DNS esté incluido en las reglas sin autenticación.

2222-1111-1234

1. Ejecute los comandos display portal y display web-auth-server configuration para

verificar la configuración de autenticación Portal . La salida del comando (web-auth-
server layer2(direct)) muestra que la plantilla del servidor Portal se ha vinculado a la
interfazGE1/0/1.
2. Después de iniciar el navegador e introducir cualquier dirección de red, se redirige al
usuario a la página de autenticación Portal. El usuario luego introduce el nombre de
usuario y la contraseña para la autenticación.
red.
access-type portal en el dispositivo para verificar la información del usuario de
autenticación Portal en línea.
----Fin
#
sysname Switch
#
vlan batch 10 20
#
domain isp1
#
#
web-auth-server abc
server-ip 192.168.2.20
port 50200
shared-key cipher %^%#t:hJ@gD7<+G&,"Y}Y[VP4\foQ&og/Gg(,J4#\!gD%^
%#
url http://192.168.2.20:8080/webagent
#
aaa
domain isp1
radius-server rd1
#
interface Vlanif10
ip address 192.168.1.10 255.255.255.0
#
web-auth-server abc direct
#
#
return

11.5.4 Ejemplo para configurar múltiples modos de autenticación

Descripción general de múltiples modos de autenticación
En la implementación de la red NAC, para proporcionar una autenticación flexible, el
dispositivo admite la implementación concurrente de la autenticación 802.1X, la autenticación
de dirección MAC y la autenticación Portal en las interfaces conectadas a los usuarios. En
este caso, los usuarios pueden acceder a la red usando cualquier modo de autenticación.



NOTA
Requisitos de redes
Como se muestra Figura 11-39, los terminales en una compañía están conectados a la red

Figura 11-39 Configuración de los múltiples modos de autenticación para controlar el acceso
del usuario
Usuario
Servidor RADIUS
192.168.2.30
……
GE1/0/1 GE1/0/2 Red

VLAN 10 VLAN 20
Usuario LAN Switch Switch
Servidor Portal
192.168.2.20
Impresora

servidor RADIUS.
2. Habilite la autenticación 802.1X, la autenticación de dirección MAC y la autenticación
Portal para que Switch pueda controlar los derechos de acceso a la red de los empleados
internos, terminales tontos, y visitantes. Además, configure la autenticación 802.1X para
que tenga prioridad porque hay más empleados que terminales tontos y visitantes.
4. Configure una plantilla de servidor Portal para que el dispositivo pueda comunicarse con
el servidor Portal.
NOTA
Procedimiento


NOTA
autenticación.

RADIUS.
[Switch] aaa

[Switch-aaa] quit

Paso 3 Configure la autenticación 802.1X, la autenticación de dirección MAC y la autenticación

Portal en Switch.
NOTA
# Habilite la autenticación 802.1X, la autenticación de dirección MAC y la autenticación

Portal en la interfaz GE1/0/1.


[Switch-GigabitEthernet1/0/1] authentication dot1x mac-authen portal

NOTA
servidor Portal.
# Enlace la plantilla del servidor Portal abc a la interfaz GE1/0/1.

[Switch-GigabitEthernet1/0/1] web-auth-server abc direct

2222-1111-1234

1. Ejecute los comandos display dot1x, display mac-authen, display portal, y display
web-auth-server configuration . La salida del comando muestra que la autenticación
802.1X, la autenticación de dirección MAC y la autenticación Portal se han habilitado en
la interfazGE1/0/1.
2. El usuario puede acceder a la red después de pasar la autenticación 802.1X, la
autenticación de dirección MAC, o la autenticación Portal.
3. Una vez que el usuario se conecte, puede ejecutar el comando display access-user
interface gigabitethernet1/0/1 en el dispositivo para verificar toda la información del
usuario en línea.
----Fin
#
sysname Switch
#
vlan batch 10 20
#
domain isp1
#
#
web-auth-server abc
server-ip 192.168.2.20
port 50200


%#
#
aaa
domain isp1
radius-server rd1
#
interface Vlanif10
ip address 192.168.1.10 255.255.255.0
#
authentication dot1x mac-authen portal
#
#
return
11.6 Configuración típica de NAC (modo común)


centralizada de usuarios, y estrictos requisitos de seguridad de la información. Además, la
autenticación 802.1X admite la autenticación bypass de dirección MAC para que los
terminales tontos en las redes de autenticación 802.1X se puedan conectar después de pasar la
autenticación.
Este ejemplo se aplica a todos los switches de la serie S en V100R006C05, V200R001C00 o
una versión posterior.

NOTA
Requisitos de redes
Figura 11-40 Diagrama de redes para configurar la autenticación 802.1X
Usuario Servidor RADIUS

192.168.2.30
……
GE1/0/1 GE1/0/2
Intranet
VLAN 10 VLAN 20
Usuario LAN Switch Switch
Impresora

servidor RADIUS.
2. Configure la autenticación 802.1X en Switch.
a. Habilite la autenticación 802.1X para controlar los derechos de acceso a la red de
los empleados en la oficina.
b. Habilite la autenticación bypass de dirección MAC para autenticar terminales
(como impresoras) que no pueden instalar el software de cliente de autenticación
802.1X.

NOTA
Antes de configurar este ejemplo, asegúrese de que los dispositivos se puedan comunicar entre ellos en
la red.
En este ejemplo, el switch LAN existe entre el switch de acceso Switch y los usuarios. Para garantizar
que los usuarios puedan pasar la autenticación 802.1X, debe configurar la función de transmisión
transparente del paquete EAP en el switch LAN.
l Método 1: El S5300 se usa como un ejemplo del switch LAN. Realice las siguientes operaciones:
c200-0003 group-mac 0100-0000-0002 en la vista del sistema del switch LAN para
configurar el switch LAN para transmitir transparentemente paquetes EAP.
2. Ejecute el comando l2protocol-tunnel user-defined-protocol 802.1x enable en la interfaz
que conecta a los usuarios y la interfaz que se conecta al switch de acceso para habilitar la
función de transmisión transparente del protocolo de Capa 2.
l Método 2: Este método se recomienda cuando existe una gran cantidad de usuarios o se requiere
un alto rendimiento de la red. Solo S5320EI, S5320HI, S6320HI y S6320EI son compatibles con
este método.
2. (Este paso es obligatorio cuando cambia del método 1 al método 2.) Ejecute el comando undo
l2protocol-tunnel user-defined-protocol 802.1x enable en la vista de interfaz para eliminar
la configuración de transmisión transparente de los paquetes de protocolo 802.1x.
Procedimiento
Paso 1 Cree las VLAN y configure la VLAN permitida por la interfaz para garantizar la

# En Switch, establezca GE1/0/1 conectándose a los usuarios como una interfaz de acceso y
agregue GE1/0/1 a la VLAN 10.
NOTA
Configure el tipo de interfaz y las VLAN según la situación real. En este ejemplo, los usuarios se
# En Switch, establezca GE1/0/2 conectándose al servidor RADIUS como una interfaz de

acceso, y agregue GE1/0/2 a la VLAN 20.

autenticación.

# Cree esquema AAA abc y establezca el modo de autenticación a RADIUS.

[Switch] aaa
# Cree el dominio de autenticación isp1, y enlace el esquema AAA abc y la plantilla de

servidor RADIUS rd1 al dominio de autenticación isp1.
[Switch-aaa] quit
# Configure el dominio predeterminado isp1 en la vista del sistema. Cuando un usuario

introduzca el nombre de usuario en el formato de user@isp1, el usuario se autentica en el
dominio de autenticación isp1. Si el nombre de usuario no lleva el nombre de dominio o lleva
un nombre de dominio inexistente, el usuario se autentica en el dominio predeterminado.
Paso 3 Configure la autenticación 802.1X.
# Cambie el modo NAC a modo común. Este paso se aplica solo a los switches en
Warning: Switching the authentication mode will take effect after system restart
. Some configurations are invalid after the mode is switched. For the invalid co
mmands, see the user manual. Save the configuration file and reboot now? [Y/N] y
NOTA
l Por defecto, se utiliza el modo unificado NAC.

l Después de que el modo unificado se cambie al modo común, debe guardar la configuración y reiniciar el
dispositivo para que todas las funciones en el nuevo modo de configuración entren en vigor. En versiones
anteriores a V200R007C00, debe ejecutar manualmente los comandos para guardar la configuración y
reiniciar el dispositivo.
# Habilite la autenticación 802.1X globalmente y en una interfaz.

[Switch] dot1x enable
[Switch-GigabitEthernet1/0/1] dot1x authentication-method eap
# Configure la autenticación bypass de dirección MAC.

[Switch-GigabitEthernet1/0/1] dot1x mac-bypass

1. Ejecute el comando display dot1x para verificar la configuración de autenticación

802.1X. La salida del comando (802.1x protocol is Enabled) muestra que la
autenticación 802.1X se ha habilitado en la interfazGE1/0/1.
2. El usuario inicia el cliente 802.1X en el terminal e introduzca el nombre de usuario y la
4. Después de que el usuario se conecte, puede ejecutar el comando display access-user en
el dispositivo para verificar la información del usuario 802.1X en línea.
----Fin
#
sysname Switch
#
vlan batch 10 20
#
#
domain isp1
#
dot1x enable
#
#
aaa
domain isp1
radius-server rd1
#
dot1x mac-bypass
#
#
return


poca seguridad.

Este ejemplo se aplica a todos los switches de la serie S en V100R006C05, V200R001C00 o
una versión posterior.
NOTA
Requisitos de redes
Como se muestra Figura 11-41, los terminales en el departamento de control de acceso físico
están conectados a la red interna de la compañía a través de Switch. El acceso no autorizado a
la red interna puede dañar el sistema de servicio de la empresa y provocar la fuga de
información clave. Por lo tanto, el administrador requiere que Switch debe controlar los
derechos de acceso a la red de los usuarios para garantizar la seguridad de la red interna.
Figura 11-41 Configuración de la autenticación de dirección MAC para controlar el acceso

del usuario
Impresora
Servidor RADIUS
192.168.2.30
Departamento
de control de
acceso físico
GE1/0/1 GE1/0/2
Network
……
VLAN 10 VLAN 20
LAN Switch Switch
Impresora



servidor RADIUS.
2. Habilite la autenticación de la dirección MAC para que Switch pueda controlar los
acceso físico.
NOTA
Procedimiento
NOTA

autenticación.

[Switch] aaa



[Switch-aaa] quit

Paso 3 Configure la autenticación de dirección MAC.

NOTA

# Habilite la autenticación de dirección MAC globalmente y en la interfaz.

[Switch] mac-authen
[Switch-GigabitEthernet1/0/1] mac-authen

1. Ejecute el comando display mac-authen para verificar la configuración de la
autenticación de dirección MAC. La salida del comando (MAC address authentication
is enabled) muestra que la autenticación de dirección MAC se ha habilitado en la
interfaz GE1/0/1.
2. Después de que el usuario inicie el terminal, el dispositivo obtiene automáticamente la
dirección MAC del terminal y la usa como nombre de usuario y contraseña para la
autenticación.
3. El usuario puede acceder a la red después de que la autenticación sea exitosa.
el dispositivo para verificar la información de usuario de autenticación de dirección
MAC en línea.
----Fin
#
sysname Switch
#
vlan batch 10 20
#


#
domain isp1
#
mac-authen
#
#
aaa
domain isp1
radius-server rd1
#
mac-authen
#
#
return


compleja.
Tabla 11-35 Modelos de productos y versiones de software aplicables

producto
S2300 S2320EI V200R011C10, V200R012C00


producto
S3300 S3300SI, V100R006C05

S3300EI
S3300HI V200R001C00
S5300 S5300SI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C02)
S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5310EI V200R002C00, V200R003C00, V200R005(C00&C02)
S5300HI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320SI V200R008(C00&C10), V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5330SI V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10, V200R012C00
S5320LI V200R010C00, V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S6320SI V200R011C10, V200R012C00
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320HI V200R012C00
S9300 S9303, V200R001C00, V200R002C00, V200R003C00,

S9306, V200R005C00SPC300, V200R006C00, V200R007C00,
S9312 V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10, V200R012C00
S9300X S9310X V200R010C00, V200R011C10, V200R012C00
S9300E S9303E, V200R001C00, V200R002C00, V200R003C00,

S9306E, V200R005C00SPC300, V200R006C00, V200R007C00,
S9312E V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA

Requisitos de redes
red interna de la compañía a través de Switch. El acceso no autorizado a la red interna puede
Figura 11-42 Configuración de la autenticación Portal para controlar el acceso del usuario
Visitante
Servidor RADIUS
192.168.2.30
Áreas de
visitantes
GE1/0/1 GE1/0/2
Network
……
VLAN 10 VLAN 20
LAN Switch Switch
Servidor Portal
192.168.2.20
Visitante

servidor RADIUS.
2. Configure la autenticación Portal para que el dispositivo pueda controlar los derechos de
acceso a la red de los visitantes en las áreas de visitantes.
a. Cree y configure una plantilla de servidor Portal para garantizar el intercambio de
información normal entre el dispositivo y el servidor Portal.
b. Habilite la autenticación Portal para autenticar a los usuarios de acceso.
c. Configure una clave compartida que el dispositivo usa para intercambiar
información con el servidor Portal para mejorar la seguridad de la comunicación.
NOTA
Procedimiento

NOTA

autenticación.

[Switch] aaa

[Switch-aaa] quit

Paso 3 Configure la autenticación Portal.


NOTA


NOTA
servidor Portal.

[Switch-Vlanif10] web-auth-server abc direct
# Establezca la clave compartida en texto de cifrado a Huawei@123.

NOTA
a través de DHCP y el servidor DHCP está conectado en sentido de enlace ascendente a Switch, use el
comando portal free-rule para crear reglas sin autenticación y asegúrese de que el servidor DHCP esté
incluido en las reglas sin autenticación.
En versiones anteriores a V200R012C00, si la URL del servidor Portal debe analizarse por DNS y el servidor
DNS está en la red de enlace ascendente del dispositivo NAS, también debe crear reglas sin autenticación y
asegurarse de que el servidor DNS esté incluido en las reglas sin autenticación. En V200R012C00 y versiones
posteriores, el dispositivo NAS automáticamente permite el paso de los paquetes DNS y no se requiere una
regla sin autenticación en la autenticación Portal.

1. Ejecute los comandos display portal y display web-auth-server configuration para
verificar la configuración de autenticación Portal. La salida del comando (web-auth-
server layer2(direct)) muestra que la plantilla del servidor Portal se ha vinculado a la
interfaz vlanif10.
2. Después de iniciar el navegador e introducir cualquier dirección de red, se redirige al
usuario a la página de autenticación Portal. El usuario luego introduce el nombre de
usuario y la contraseña para la autenticación.
red.
el dispositivo para verificar la información del usuario de autenticación Portal en línea.
----Fin

#
sysname Switch
#
vlan batch 10 20
#
#
domain isp1
#
#
web-auth-server abc
server-ip 192.168.2.20
port 50200
%#
#
aaa
domain isp1
radius-server rd1
#
interface Vlanif10
#
#
#
return

Ejemplos típicos de configuración 12 Configuración de seguridad típica
12 Configuración de seguridad típica
12.1 Configuración típica de ACL

12.2 Configuración típica de seguridad ARP
12.3 Configuración típica de DHCP Snooping
12.4 Configuración típica de IPSG
12.5 Ejemplo para configurar la seguridad del puerto
12.1 Configuración típica de ACL

12.1.1 Ejemplo de uso de una ACL para restringir los derechos de
acceso FTP
Descripción general de la ACL

Una Lista de control de acceso (ACL) consiste en una regla o un conjunto de reglas que
describen las condiciones de coincidencia de paquetes. Estas condiciones incluyen direcciones
de origen, direcciones de destino y números de puerto de paquetes.
Una ACL filtra paquetes basados en reglas. Un dispositivo con una ACL configura coincidir
con paquetes basados en las reglas para obtener los paquetes de un cierto tipo, y luego decide
reenviar o descartar estos paquetes de acuerdo con las políticas utilizadas por el módulo de
Según los métodos de definición de reglas, las ACL incluyen ACL básica, ACL avanzada y
ACL de Capa 2. Una ACL básica define reglas para filtrar paquetes IPv4 en función de
información como direcciones IP de origen, información de fragmento y rangos de tiempo. Si
solo necesita filtrar paquetes en función de las direcciones IP de origen, puede configurar una
ACL básica.
En este ejemplo, se aplica una ACL básica al módulo FTP para permitir que solo los clientes
especificados accedan al servidor FTP, mejorando la seguridad del servidor FTP.

l En este ejemplo, la contraseña del usuario local está en modo de irreversible-cipher, lo
que indica que la contraseña se cifra utilizando el algoritmo irreversible. Los usuarios no
autorizados no pueden obtener la contraseña a través del descifrado. Por lo tanto, este
algoritmo es seguro. Este modo de contraseña solo se aplica a V200R003C00 y versiones
posteriores. En versiones anteriores a V200R003C00, las contraseñas de los usuarios
locales solo pueden estar en modo de cipher, lo que indica que las contraseñas se cifran
utilizando el algoritmo reversible. Los usuarios no autorizados pueden obtener las
contraseñas a través del descifrado. Este algoritmo es menos seguro.
Requisitos de red
Como se muestra en Figura 12-1, el Switch funciona como un servidor FTP. Los requisitos
son los siguientes:
l Todos los usuarios en la subred 1 (172.16.105.0/24) son permitidos para acceder al

servidor FTP en cualquier momento.
l Todos los usuarios en la subred 2 (172.16.107.0/24) son permitidos para acceder al
servidor FTP solo durante el período de tiempo especificado.
l Otros usuarios no pueden acceder al servidor FTP.
Las rutas accesibles existen entre los Switch y subredes. Debe configurar el Switch para
limitar el acceso del usuario al servidor FTP.
Figura 12-1 Uso de las ACL básicas para restringir los derechos de acceso FTP
PC1
172.16.105.111/24
Servidor FTP
PC2
Network
172.16.107.111/24
Switch
172.16.104.110/24
PC3
10.10.10.1/24
Procedimiento
Paso 1 Configure un rango de tiempo.
[Switch] time-range ftp-access from 0:0 2014/1/1 to 23:59 2014/12/31 //Cree un
rango de tiempo absoluto para una ACL.
[Switch] time-range ftp-access 14:00 to 18:00 off-day //Cree un rango de
tiempo periódico para una ACL. El rango de tiempo es de 14:00-18:00 todos los
fines de semana. El período de validez de ftp-access es la superposición de los
dos rangos de tiempo.

Paso 2 Configure una ACL básica.

[Switch] acl number 2001
[Switch-acl-basic-2001] rule permit source 172.16.105.0 0.0.0.255 //Permita a
los usuarios del segmento de red 172.16.105.0/24 acceder al servidor FTP en
cualquier momento.
[Switch-acl-basic-2001] rule permit source 172.16.107.0 0.0.0.255 time-range ftp-
access //Permita a los usuarios del segmento de red 172.16.107.0/24 acceder al
servidor FTP solo en el rango de tiempo de ftp-access.
[Switch-acl-basic-2001] rule deny source any //Evite que otros usuarios accedan
al servidor FTP.
Paso 3 Configure funciones FTP básicas.

[Switch] ftp server enable //Habilite el servidor FTP para permitir que los
usuarios inicien sesión en el dispositivo a través de FTP.
[Switch] aaa
[Switch-aaa] local-user huawei password irreversible-cipher
SetUserPassword@123 //Configure el nombre de usuario y contraseña de FTP. La
contraseña en modo de irreversible-cipher solo se aplica a V200R003C00 y las
versiones posteriores. En versiones anteriores a V200R003C00, solo se pueden usar
las contraseñas en modo de cipher.
[Switch-aaa] local-user huawei privilege level 15 //Establezca el nivel de
usuario de FTP.
[Switch-aaa] local-user huawei service-type ftp //Establezca el tipo de servicio
de usuario de FTP.
[Switch-aaa] local-user huawei ftp-directory cfcard:/ //Configure el directorio
de trabajo de FTP, que debe configurarse como flash:/ en un switch fijo.
[Switch-aaa] quit
Paso 4 Configure los permisos de acceso en el servidor FTP.

[Switch] ftp acl 2001 //Aplique una ACL al módulo FTP.

Ejecute el comando ftp 172.16.104.110 en el PC1 (172.16.105.111/24) en la subred 1. El PC1
se puede conectar al servidor FTP.
Ejecute el comando ftp 172.16.104.110 en el PC2 (172.16.107.111/24) en la subred 2 el lunes
de 2014. El PC2 no se puede conectar al servidor FTP. Ejecute el comando ftp
172.16.104.110 en el PC2 (172.16.107.111/24) en la subred 2 a las 15:00 un sábado de 2014.
La PC2 se puede conectar al servidor FTP.
Ejecute el comando ftp 172.16.104.110 en el PC3 (10.10.10.1/24). PC3 no se puede conectar
al servidor FTP.
----Fin
#
sysname Switch
#
FTP server enable
FTP acl 2001
#
time-range ftp-access 14:00 to 18:00 off-day
time-range ftp-access from 00:00 2014/1/1 to 23:59 2014/12/31
#
acl number 2001
rule 10 permit source 172.16.107.0 0.0.0.255 time-range ftp-access
rule 15 deny
#

aaa
local-user huawei password irreversible-cipher %^%#uM-!TkAaGB5=$$6SQuw$#batog!
R7M_d^!o{*@N9g'e0baw#%^%#
local-user huawei privilege level 15
local-user huawei ftp-directory cfcard:/
local-user huawei service-type ftp
#
return
12.1.2 Ejemplo de uso de ACL para controlar el acceso al servidor

especificado en el rango de tiempo especificado
Descripción general de ACL
ACL de Capa 2. Una ACL avanzada define reglas para filtrar paquetes IPv4 basados en
direcciones IP de origen, direcciones de destino, tipos de protocolo IP, números de puerto de
origen/destino de TCP, números de puerto de origen/destino de UDP, información de
fragmento y rangos de tiempo. En comparación con una ACL básica, una ACL avanzada es
más precisa, flexible y ofrece más funciones. Por ejemplo, si desea filtrar paquetes en función
de las direcciones IP de origen y destino, configure una ACL avanzada.
En este ejemplo, las ACL avanzadas se aplican al módulo de política de tráfico para que el
dispositivo pueda filtrar los paquetes enviados por los usuarios al servidor especificado y así
restringir el acceso al servidor especificado durante un rango de tiempo.
NOTA
Los siguientes comandos e información de salida se obtienen de S9306 ejecutando V200R007C00.
Requisitos de red
Como se muestra en Figura 12-2, los departamentos de una empresa están conectados a
través del Switch. Los departamentos de I+D y marketing no pueden acceder al servidor de
consulta salarial en 10.164.9.9 en horas de trabajo (08:00 a 17:30), mientras que la oficina del
presidente puede acceder al servidor en cualquier momento.

Figura 12-2 Usar ACL para controlar el acceso al servidor especificado en el rango de tiempo
especificado
LAN SwitchA
VLAN10
Servidor de consulta salarial
GE1/0/1 10.164.9.9/24
VLANIF 10
Oficina de presidente 10.164.1.1/24 GE2/0/1
10.164.1.0/24 VLANIF 100
LAN SwitchB 10.164.9.1/24
VLAN20 GE1/0/2
Internet
VLANIF 20
10.164.2.1/24 Switch Router
Marketing
10.164.2.0/24 GE1/0/3
VLANIF 30
VLAN30 10.164.3.1/24
LAN SwitchC
I+D
10.164.3.0/24

Las siguientes configuraciones se realizan en Switch. La hoja de ruta de la configuración es la
siguiente:
1. Configure el rango de tiempo, la ACL avanzada y el clasificador de tráfico basado en
ACL para filtrar los paquetes de los usuarios al servidor en el intervalo de tiempo
especificado. De esta forma, puede restringir el acceso de diferentes usuarios al servidor
en el rango de tiempo especificado.
2. Configure un comportamiento de tráfico para descartar los paquetes que coincidan con la
ACL.
3. Configure y aplique una política de tráfico para que la ACL y el comportamiento del
tráfico entren en vigencia.
Procedimiento
Paso 1 Agregue interfaces a VLAN y asigne direcciones IP a las interfaces VLANIF.
# Agregue GE 1/0/1 a través de GE1/0/3 a VLAN 10, 20 y 30 respectivamente, agregue
GE2/0/1 a VLAN 100, y asigne direcciones IP a las interfaces VLANIF. Las configuraciones
en GE 1/0/1 y VLANIF 10 se usan como ejemplo aquí. Las configuraciones en GE1/0/2,
GE1/0/3, y GE2/0/1 son similares a las configuraciones en GE 1/0/1, y las configuraciones en
VLANIF 20, VLANIF 30 y VLANIF 100 son similares a las configuraciones en VLANIF 10.


Paso 2 Configure el rango de tiempo.

# Configure el rango de tiempo de 8:00 a 17:30.
[Switch] time-range satime 8:00 to 17:30 working-day //Configure un rango de
tiempo periódico para una ACL.

# Configure una ACL para el departamento de marketing accediendo al servidor de consultas
salariales.
[Switch] acl 3002
[Switch-acl-adv-3002] rule deny ip source 10.164.2.0 0.0.0.255 destination
10.164.9.9 0.0.0.0 time-range satime //Evite que el departamento de marketing
acceda al servidor de consultas salariales en el rango de tiempo de satime.
# Configure una ACL para el departamento de I+D que accede al servidor de consultas
salariales.
[Switch] acl 3003
10.164.9.9 0.0.0.0 time-range satime //Evite que el departamento de I+D acceda
al servidor de consultas salariales en el rango de tiempo de satime.
Paso 4 Configure los clasificadores de tráfico basados en ACL.

# Configure el clasificador de tráfico c_market para clasificar los paquetes que coinciden con
ACL 3002.
[Switch] traffic classifier c_market //Cree un clasificador de tráfico.
[Switch-classifier-c_market] if-match acl 3002 //Asocie una ACL con el
clasificador de tráfico.
[Switch-classifier-c_market] quit
# Configure el clasificador de tráfico c_rd para clasificar los paquetes que coinciden con ACL
3003.
[Switch] traffic classifier c_rd //Cree un clasificador de tráfico.
[Switch-classifier-c_rd] if-match acl 3003 //Asocie una ACL con el clasificador
de tráfico.
[Switch-classifier-c_rd] quit

# Configure el comportamiento del tráfico b_market para rechazar paquetes.
[Switch] traffic behavior b_market //Cree un comportamiento de tráfico.
[Switch-behavior-b_market] deny //Establezca la acción del comportamiento del
tráfico para denegar.
[Switch-behavior-b_market] quit
# Configure el comportamiento del tráfico b_rd para rechazar paquetes.

[Switch] traffic behavior b_rd //Cree un comportamiento de tráfico.
[Switch-behavior-b_rd] deny //Establezca la acción del comportamiento del
tráfico para denegar.
[Switch-behavior-b_rd] quit
Paso 6 Configure políticas de tráfico.

# Configure la política de tráfico p_market y asocie el clasificador de tráfico c_market y el

comportamiento del tráfico b_market con la política de tráfico.
[Switch] traffic policy p_market //Cree una política de tráfico.
[Switch-trafficpolicy-p_market] classifier c_market behavior b_market //Asocie
el clasificador de tráfico c_market con el comportamiento del tráfico b_market.
[Switch-trafficpolicy-p_market] quit
# Configure la política de tráfico p_rd y asocie el clasificador de tráfico c_rd y el

comportamiento de tráfico b_rd con la política de tráfico.
[Switch] traffic policy p_rd //Cree una política de tráfico.
[Switch-trafficpolicy-p_rd] classifier c_rd behavior b_rd //Asocie el
clasificador de tráfico c_rd con el comportamiento de tráfico b_rd.
[Switch-trafficpolicy-p_rd] quit
Paso 7 Aplique la política de tráfico.

# Los paquetes del departamento de marketing al servidor son recibidos por GE1/0/2; por lo
tanto, aplique la política de tráfico p_market a la dirección de salida de GE1/0/2.
[Switch-GigabitEthernet1/0/2] traffic-policy p_market inbound //Aplique la
política de tráfico a la dirección de entrada de una interfaz.
# Los paquetes del departamento de I+D al servidor son recibidos por GE1/0/3; por lo tanto,
aplique la política de tráfico p_rd a la dirección de entrante de GE1/0/3.
[Switch-GigabitEthernet1/0/3] traffic-policy p_rd inbound //Aplique la política
de tráfico a la dirección de entrada de una interfaz.

# Compruebe la configuración de las reglas de ACL.
[Switch] display acl all
Total nonempty ACL number is 2

Acl's step is 5
rule 5 deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0 time-range
satime (match-counter 0)(Active)

Acl's step is 5
satime (match-counter 0)(Active)

[Switch] display traffic classifier user-defined
Classifier: c_market
Precedence: 5
Operator: OR
Classifier: c_rd
Precedence: 10
Operator: OR

[Switch] display traffic policy user-defined

Policy: p_market
Classifier: c_market
Operator: OR
Behavior: b_market
Deny
Policy: p_rd
Classifier: c_rd
Operator: OR
Behavior: b_rd
Deny
Total policy number is 2
# Compruebe los registros de la aplicación de la política de tráfico.

[Switch] display traffic-policy applied-record
#
-------------------------------------------------
Policy Name:
p_market
Policy Index:
0
Classifier:c_market
Behavior:b_market
-------------------------------------------------
*interface GigabitEthernet1/0/2
traffic-policy p_market
inbound
slot 1 :
success
-------------------------------------------------
Policy total applied times:

1.
-------------------------------------------------
Policy Name:
p_rd
Policy Index:
1
Classifier:c_rd
Behavior:b_rd
-------------------------------------------------
*interface
traffic-policy p_rd
inbound
slot 1 :
success

-------------------------------------------------

1.
# Los departamentos de I+D y marketing no pueden acceder al servidor de consultas salariales

en horas de trabajo (08:00 a 17:30).
----Fin
#
sysname Switch
#
vlan batch 10 20 30 100
#
time-range satime 08:00 to 17:30 working-day
#
acl number 3002
satime
acl number 3003
satime
#
traffic classifier c_market operator or precedence 5
if-match acl 3002
traffic classifier c_rd operator or precedence 10
if-match acl 3003
#
traffic behavior b_market
deny
traffic behavior b_rd
deny
#
traffic policy p_market match-order config
classifier c_market behavior b_market
traffic policy p_rd match-order config
classifier c_rd behavior b_rd
#
interface Vlanif10
ip address 10.164.1.1 255.255.255.0
#
interface Vlanif20
ip address 10.164.2.1 255.255.255.0
#
interface Vlanif30
ip address 10.164.3.1 255.255.255.0
#
interface Vlanif100
ip address 10.164.9.1 255.255.255.0
#
#
traffic-policy p_market inbound
#


traffic-policy p_rd inbound
#

#
return
12.1.3 Ejemplo de uso de una ACL para bloquear el acceso a la red

de los usuarios especificados
ACL de Capa 2. Una ACL de Capa 2 define reglas para filtrar paquetes IPv4 e IPv6 basados
en información de trama Ethernet, como direcciones MAC de origen, direcciones MAC de
destino, VLAN y tipos de protocolo de Capa 2. Las ACL básicas y las ACL avanzadas filtran
los paquetes según la información de Capa 3 y Capa 4, mientras que las ACL de Capa 2
filtran los paquetes según la información de Capa 2. Por ejemplo, si desea filtrar paquetes
basados en direcciones MAC y VLAN, configure una ACL de Capa 2.
En este ejemplo, se aplica una ACL de Capa 2 al módulo de política de tráfico para que el
dispositivo pueda filtrar los paquetes enviados desde usuarios con ciertas direcciones MAC a
Internet y así evitar que estos usuarios accedan a Internet.
NOTA
Los siguientes comandos e información de salida se obtienen de S9306 que ejecuta V200R007C00.
Requisitos de red
Como se muestra en Figura 12-3, el Switch que funciona como gateway está conectada a PC,
y hay rutas accesibles a todas las subredes en Switch. El administrador desea bloquear el
acceso a la red de PC1 después de detectar que PC1 (00e0-f201-0101) es un usuario no
autorizado.

Figura 12-3 Usar ACL de Capa 2 para bloquear el acceso a la red de los usuarios
especificados
GE2/0/1 GE1/0/1
PC1
Internet
00e0-f201-0101
SwitchA Switch Router
PC2
00e0-f201-0102

siguiente:
1. Configure un ACL de Capa 2 y un clasificador de tráfico basado en ACL para descartar
paquetes de la dirección MAC 00e0-f201-0101 (impidiendo que el usuario con esta
dirección MAC acceda a la red).
2. Configure un comportamiento de tráfico para descartar los paquetes que coinciden con la
ACL.
Procedimiento
Paso 1 Configure una ACL.
# Configure una ACL de Capa 2 para cumplir con el requisito anterior.
[Switch] acl 4000
[Switch-acl-L2-4000] rule deny source-mac 00e0-f201-0101 ffff-ffff-ffff //
Rechace los paquetes de la dirección MAC de origen 00e0-f201-0101.
[Switch-acl-L2-4000] quit
Paso 2 Configure un clasificador de tráfico basado en ACL.

# Configure el clasificador de tráfico tc1 para clasificar los paquetes que coincidan con ACL
4000.
[Switch] traffic classifier tc1 //Cree un clasificador de tráfico.
[Switch-classifier-tc1] if-match acl 4000 //Asocie una ACL con el clasificador
de tráfico.
[Switch-classifier-tc1] quit
Paso 3 Configure el comportamiento del tráfico.

# Configure el comportamiento de tráfico tb1 para rechazar los paquetes.
[Switch] traffic behavior tb1 //Cree un comportamiento de tráfico.
[Switch-behavior-tb1] deny //Establezca la acción del comportamiento del tráfico

para denegar.
[Switch-behavior-tb1] quit
Paso 4 Configure la política de tráfico.

# Configure la política de tráfico tp1 y asocie tc1 y tb1 con la política de tráfico.
[Switch] traffic policy tp1 //Cree una política de tráfico.
[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1 //Asocie el clasificador
de tráfico tc1 con el comportamiento de tráfico tb1.
[Switch-trafficpolicy-tp1] quit

# Los paquetes de PC1 a Internet son recibidos por GE2/0/1; por lo tanto, aplique la política
de tráfico tp1 a la dirección de entrante de GE2/0/1.
[Switch-GigabitEthernet2/0/1] traffic-policy tp1 inbound //Aplique la política

# Compruebe la configuración de la regla de ACL.
[Switch] display acl 4000
L2 ACL 4000, 1 rule
Acl's step is 5
rule 5 deny source-mac 00e0-f201-0101

Classifier: tc1
Precedence: 5
Operator: OR

[Switch] display traffic policy user-defined tp1
Policy: tp1
Classifier: tc1
Operator: OR
Behavior: tb1
Deny

#
-------------------------------------------------
Policy Name:
tp1
Policy Index:
0
Classifier:tc1
Behavior:tb1
-------------------------------------------------

*interface
traffic-policy tp1
inbound
slot 2 :
success
-------------------------------------------------

1.
# El usuario con la dirección MAC 00e0-f201-0101 no puede acceder a Internet.
----Fin
#
sysname Switch
#
acl number 4000
rule 5 deny source-mac 00e0-f201-0101
#
traffic classifier tc1 operator or precedence 5
if-match acl 4000
#
traffic behavior tb1
deny
#
traffic policy tp1 match-order config
classifier tc1 behavior tb1
#
traffic-policy tp1 inbound
#
return
12.1.4 Ejemplo de uso de ACL reflexiva para implementar control

de acceso unidireccional
Descripción general de la ACL reflexiva

ACL reflexiva es un tipo de ACL dinámico. El dispositivo crea una ACL reflexiva
intercambiando las direcciones IP de origen/destino y los números de puerto de origen/destino
de una ACL. Una ACL reflexiva tiene un tiempo de envejecimiento. Si los paquetes que
pasan por la interfaz coinciden con la ACL reflexiva dentro del tiempo de envejecimiento,
esta ACL reflectiva se mantiene en el siguiente rango de tiempo de envejecimiento. Si ningún
paquete que pasa la interfaz coincide con la ACL reflexiva dentro del tiempo de
envejecimiento, se borrará la ACL reflexiva. Este mecanismo mejora la seguridad del
dispositivo.
ACL reflexiva implementa control de acceso unidireccional. Un host externo puede acceder a
un host interno solo después de que el host interno acceda al host externo. Por lo tanto, la

ACL reflexiva protege las redes internas de las empresas contra los ataques iniciados por
usuarios externos.
En este ejemplo, se usa una ACL reflexiva y avanzada para evitar que los servidores en
Internet establezcan activamente conexiones UDP con hosts internos antes de que los hosts
internos se conecten a los servidores externos. ACL reflexiva implementa control de acceso
unidireccional entre redes internas y externas.
Este ejemplo se aplica a todas las versiones de switches modulares, pero no se aplica a los
switches fijos.
Requisitos de red
Como se muestra en Figura 12-4, Switch funciona como gateway para conectar los PC a La
Internet. Hay rutas accesibles entre los dispositivos. Para garantizar la seguridad de la red
interna, el administrador permite que los servidores en Internet establezcan conexiones UDP
con PC internos solo después de que los PC internos hayan establecido conexiones UDP con
los servidores externos.
Figura 12-4 Uso de ACL reflexiva para implementar control de acceso unidireccional
Servidor
192.168.1.2
PC1 GE1/0/1 GE2/0/1 Internet

10.1.1.2/24
PC2
10.1.1.3/24

siguiente:
1. Configure una ACL avanzada según lo cual el dispositivo generará una ACL reflectante.
2. Configure la función reflexiva de ACL para permitir que el PC1 interna establezca una
conexión UDP con un servidor en Internet y evite que el servidor externo establezca
activamente una conexión UDP con hosts internos.
Procedimiento
Paso 1 Configure una ACL avanzada.
# Cree ACL avanzada 3000 y configure una regla para permitir paquetes UDP.

[Switch] acl 3000
[Switch-acl-adv-3000] rule permit udp //Permita que los paquetes de UDP pasen.
Paso 2 Configure la función reflexiva de ACL.

# Los paquetes de Internet se reciben por GE2/0/1; por lo tanto, configure la función reflexiva
de ACL en la dirección de salida de GE2/0/1 para que Switch pueda generar ACL reflectiva
para paquetes UDP.
[Switch-GigabitEthernet2/0/1] traffic-reflect outbound acl 3000 //Aplique la ACL
reflexiva a la dirección de salida de una interfaz.

Ejecute el comando display traffic-reflect para comprobar la información de ACL reflexiva.
[Switch] display traffic-reflect outbound acl 3000
Proto SP DP DIP SIP Count Timeout Interface
------------------------------------------------------------------------------
UDP 2 80 192.168.1.2 10.1.1.2 9 300(s)
------------------------------------------------------------------------------
* Total <1> flows accord with condition, <1> items was displayed.
------------------------------------------------------------------------------
* Proto=Protocol,SIP=Source IP,DIP=Destination IP,Timeout=Time to cutoff,
* SP=Source port,DP=Destination port,Count=Packets count(data).
La información anterior se mostrará solo después de que los hosts internos hayan establecido
conexiones UDP con servidores externos. La información anterior muestra que se ha generado
una ACL reflexiva en GE2/0/1 para los paquetes UDP entre el PC1 y el servidor
(192.168.1.2), y proporciona estadísticas de paquetes.
----Fin
#
sysname Switch
#
acl number 3000
rule 5 permit udp
#
traffic-reflect outbound acl 3000
#
return
12.1.5 Ejemplo para permitir que ciertos usuarios accedan a

Internet en el rango de tiempo especificado
Descripción general del rango de tiempo de ACL

Una ACL define muchas condiciones de coincidencia para filtrar la mayoría de los paquetes
transmitidos en una red; sin embargo, no puede filtrar paquetes en el rango de tiempo
especificado.

Puede configurar un rango de tiempo y asociar el rango de tiempo con una regla de ACL para
filtrar los paquetes según el tiempo. Esto especifica diferentes políticas para usuarios en
diferentes rangos de tiempo.
En este ejemplo, se aplica una ACL básica asociada con un rango de tiempo al módulo de
política de tráfico para que el dispositivo pueda filtrar los paquetes enviados desde los
usuarios internos a Internet en el rango de tiempo especificado. Como resultado, los usuarios
pueden acceder a Internet solo en el rango de tiempo especificado.
NOTA
Requisitos de red
través de Switch. La empresa permite a todos los empleados acceder a Internet en días de
trabajo (de lunes a viernes) y solo a los gerentes para acceder a Internet los fines de semana
(sábados y domingos).
Figura 12-5 Permitir que ciertos usuarios accedan a Internet en el rango de tiempo
especificado
LAN SwitchA
VLAN 10
GE1/0/1
VLANIF 10
10.1.1.1/24
I+D: 10.1.1.0/24
Host de gerente de I+D: GE2/0/1
10.1.1.11 Internet
Switch Router
GE1/0/2
VLAN 20 VLANIF 20
Marketing: 10.1.2.0/24
Host de gerente de
Marketing: 10.1.2.12

siguiente:
1. Configure el rango de tiempo, la ACL básica y el clasificador de tráfico basado en ACL
para filtrar los paquetes enviados desde los usuarios internos a Internet y, por lo tanto,
permitir que solo ciertos usuarios accedan a Internet en el rango de tiempo especificado.
2. Configure un comportamiento de tráfico para permitir que los paquetes coincidan con la
regla de permiso de ACL.

Procedimiento
Paso 1 Configure las VLAN y las direcciones IP para las interfaces.
Configure GE1/0/1 y GE1/0/2 de Switch como interfaces trunk y agréguelos a la VLAN 10 y

VLAN 20 respectivamente. Configure GE2/0/1 deSwitch como una interfaz trunk y agréguela
a la VLAN 10 y a la VLAN 20.
# Cree VLANIF 10 y VLANIF 20 y les asigne direcciones IP.


# Configure el rango de tiempo periódico de sábado a domingo.
[Switch] time-range rest-time 0:00 to 23:59 off-day //Configure un rango de
tiempo periódico para una ACL.

# Cree ACL básica 2001 y configure reglas para que permitan a los gerentes de I+D y
marketing (10.1.1.11 y 10.1.2.12) acceder a Internet en cualquier momento y evitar que otros
empleados accedan a Internet los sábados y domingos. Es decir, solo los gerentes de los
departamentos de I+D y marketing pueden acceder a Internet los sábados y domingos.
[Switch] acl 2001
[Switch-acl-basic-2001] rule permit source 10.1.1.11 0 //Permita que el gerente
del departamento de I+D acceda a Internet en cualquier momento.
[Switch-acl-basic-2001] rule permit source 10.1.2.12 0 //Permita que el gerente
del departamento de marketing acceda a Internet en cualquier momento.
[Switch-acl-basic-2001] rule deny time-range rest-time //Evite que otros
usuarios accedan a Internet los sábados y domingos.
Paso 4 Configure el clasificador de tráfico basado en ACL básico.

2001.


[Switch-classifier-tc1] if-match acl 2001 //Asocie ACL con el clasificador de
tráfico.
# Configure el comportamiento del tráfico tb1 y configure la acción para permitir (valor
predeterminado).
NOTA
Los paquetes que coinciden con la ACL se descartan siempre que exista una acción deny en una regla de
ACL o en el comportamiento del tráfico.
# Defina la política de tráfico y asocie el clasificador de tráfico y el comportamiento del

tráfico con la política de tráfico.
Paso 7 Aplique la política de tráfico a una interfaz.
# Los paquetes de los hosts internos se envían a Internet a través de GE2/0/1; por lo tanto,
aplique la política de tráfico tp1 a la dirección de salida deGE2/0/1.
[Switch-GigabitEthernet2/0/1] traffic-policy tp1 outbound //Aplique la política
de tráfico a la dirección de salida de una interfaz.

Basic ACL 2001, 3 rules
Acl's step is 5
rule 5 permit source 10.1.1.11 0 (match-counter 0)
rule 10 permit source 10.1.2.12 0 (match-counter 0)
rule 15 deny time-range rest-time(match-counter 0) (Inactive)

Classifier: tc1
Precedence: 5
Operator: OR

Policy: tp1
Classifier: tc1
Operator: OR
Behavior: tb1

Permit
# Todos los empleados pueden acceder a Internet en días laborables. Solo los
gerentes(10.1.1.11 y 10.1.2.12) de los departamentos de I+D y marketing pueden acceder a
Internet los fines de semana.
----Fin
#
sysname Switch
#
vlan batch 10 20
#
time-range rest-time 00:00 to 23:59 off-day
#
acl number 2001
rule 15 deny time-range rest-time
#
if-match acl 2001
#
permit
#
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif20
ip address 10.1.2.1 255.255.255.0
#
#
#
traffic-policy tp1 outbound
#
return
12.1.6 Ejemplo de uso de ACL para restringir el acceso mutuo

entre segmentos de red


En este ejemplo, las ACL avanzadas se aplican al módulo de política de tráfico para que el
dispositivo pueda filtrar los paquetes entre diferentes segmentos de red y, por lo tanto,
restringir el acceso mutuo entre los segmentos de red.
Este ejemplo se aplica a todas las versiones y modelos.
NOTA
Requisitos de red
través de Switch. Para facilitar la gestión de la red, el administrador asigna las direcciones IP
en dos segmentos de red a los departamentos de I+D y marketing, respectivamente. Los dos
departamentos pertenecen a diferentes VLAN. El acceso mutuo entre dos segmentos de red
debe controlarse para garantizar la seguridad de la información.
Figura 12-6 Uso de ACL avanzadas para restringir el acceso mutuo entre segmentos de red
LAN SwitchA
VLAN10
GE1/0/1
VLANIF 10
10.1.1.1/24
I+D
10.1.1.0/24 GE2/0/1
Internet
Switch Router
VLAN20 GE1/0/2
VLANIF 20
10.1.2.1/24
LAN SwitchB
Marketing
10.1.2.0/24


siguiente:
1. Configure una ACL avanzada y un clasificador de tráfico basado en ACL para filtrar los
paquetes intercambiados entre los departamentos de I+D y de marketing.
2. Configure un comportamiento de tráfico para descartar los paquetes que coincidan con la
ACL.
Procedimiento

Configure GE 1/0/1 y GE1/0/2 de Switch como interfaces troncales y agréguelos a la VLAN

10 y VLAN 20 respectivamente.

# Cree ACL avanzada 3001 y configure reglas para que la ACL bloquee los paquetes del
departamento de I+D al departamento de marketing.
[Switch] acl 3001
[Switch-acl-adv-3001] rule deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0
0.0.0.255 //Impida que el departamento de I+D acceda al departamento de
marketing.
# Cree ACL avanzada 3002 y configure reglas para que la ACL bloquee los paquetes del
departamento de marketing al departamento de I+D.
[Switch] acl 3002
[Switch-acl-adv-3002] rule deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0
0.0.0.255 //Impida que el departamento de marketing acceda al departamento de I
+D.

Paso 3 Configure el clasificador de tráfico basado en ACL avanzado.

3001 y ACL 3002.
tráfico.
tráfico.

para denegar.


# Los paquetes del departamento de I+D y el departamento de marketing son recibidos por
GE1/0/1 y GE1/0/2 respectivamente; por lo tanto, aplique la política de tráfico a la dirección
entrante de GE1/0/1 y GE1/0/2.

Acl's step is 5
rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 (match-
counter 0)
Acl's step is 5
rule 5 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 (match-
counter 0)

Classifier: tc1
Precedence: 5
Operator: OR


if-match acl 3002

Policy: tp1
Classifier: tc1
Operator: OR
Behavior: tb1
Deny
# Los segmentos de red donde residen los departamentos de I+D y marketing no pueden
accederse entre sí, pero pueden acceder a los segmentos de red de otros departamentos.
----Fin
Archivo de configuración deSwitch
#
sysname Switch
#
vlan batch 10 20
#
acl number 3001
rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
acl number 3002
#
if-match acl 3001
if-match acl 3002
#
deny
#
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif20
ip address 10.1.2.1 255.255.255.0
#
#
#
return
12.1.7 Ejemplo de uso de una ACL para evitar que los hosts
internos accedan a Internet


ACL básica.
En este ejemplo, se aplica una ACL básica al módulo de política de tráfico para que el
dispositivo pueda filtrar los paquetes de los hosts internos a Internet y así evitar que los hosts
internos accedan a Internet.
Este ejemplo se aplica a todas las versiones y modelos.
NOTA
Requisitos de red
través de Switch. El Switchdebe evitar que algunos hosts de los departamentos de I+D y
marketing accedan a Internet para proteger la seguridad de la información de la empresa.
Figura 12-7 Usar una ACL para evitar que los hosts internos accedan a Internet
LAN SwitchA
VLAN 10 GE1/0/1
VLANIF 10
I+D: 10.1.1.0/24 10.1.1.1/24
Dirección IP denegada:
10.1.1.11 GE2/0/1
Internet
Switch Router
GE1/0/2
VLAN 20 VLANIF 20
10.1.2.1/24
LAN SwitchB
Marketing: 10.1.2.0/24
Dirección IP denegada: 10.1.2.12


siguiente:
1. Configure un clasificador de tráfico basado en ACL y ACL básico para filtrar paquetes
de los hosts especificados de los departamentos de I+D y marketing.
2. Configure un comportamiento de tráfico para descartar los paquetes que coinciden con la
ACL.
Procedimiento
Configure GE1/0/1 y GE1/0/2 de Switch como interfaces trunk y agréguelos a la VLAN 10 y

VLAN 20 respectivamente. Configure GE2/0/1 deSwitch como una interfaz trunk y agréguela
a la VLAN 10 y a la VLAN 20.


# Cree ACL básica 2001 y configure reglas para rechazar los paquetes de los hosts 10.1.1.11 y
10.1.2.12.
[Switch] acl 2001
[Switch-acl-basic-2001] rule deny source 10.1.1.11 0 //Evite que el host con la
dirección IP 10.1.1.11 acceda a Internet.
[Switch-acl-basic-2001] rule deny source 10.1.2.12 0 //Evite que el host con la
dirección IP 10.1.2.12 acceda a Internet.
Paso 3 Configure el clasificador de tráfico basado en ACL básico.

2001.


tráfico.

para denegar.


# Los paquetes de los hosts internos se envían a Internet a través de GE2/0/1; por lo tanto,
aplique la política de tráfico a la dirección de salida de GE2/0/1.
[Switch-GigabitEthernet2/0/1] traffic-policy tp1 outbound //Aplique la política
de tráfico a la dirección de salida de una interfaz.

Basic ACL 2001, 2 rules
Acl's step is 5
rule 5 deny source 10.1.1.11 0 (match-counter 0)
rule 10 deny source 10.1.2.12 0 (match-counter 0)

Classifier: tc1
Precedence: 5
Operator: OR

Policy: tp1
Classifier: tc1
Operator: OR
Behavior: tb1
Deny
# Los hosts en 10.1.1.11 y 10.1.2.12 no pueden acceder a Internet, y otros hosts pueden
acceder a Internet.
----Fin

#
sysname Switch
#
vlan batch 10 20
#
acl number 2001
rule 5 deny source 10.1.1.11 0
rule 10 deny source 10.1.2.12 0
#
if-match acl 2001
#
deny
#
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif20
ip address 10.1.2.1 255.255.255.0
#
#
#
traffic-policy tp1 outbound
#
return
12.1.8 Ejemplo de uso de una ACL para evitar que los hosts
externos accedan a los servidores internos


En este ejemplo, se aplica una ACL avanzada al módulo de política de tráfico para que el
dispositivo pueda filtrar los paquetes enviados desde los hosts externos a los servidores
internos y, por lo tanto, restringir el acceso de los hosts externos a los servidores internos.
NOTA
Requisitos de red
través de Switch. La empresa solo permite que los hosts internos accedan al servidor de
finanzas, evitando que los hosts externos accedan al servidor.
Figura 12-8 Usar una ACL para evitar que los hosts externos accedan a los servidores
internos
LAN SwitchA Servidor de finanza

10.164.4.4/24
VLAN 10 GE1/0/1
VLANIF 10
Oficina de 10.164.1.1/24 GE2/0/1
presidente: VLANIF 100
10.164.1.0/24
GE1/0/2
VLAN 20 Internet
VLANIF 20
10.164.2.1/24 Switch Router
Marketing:
10.164.2.0/24
GE1/0/3
VLANIF 30
VLAN 30 10.164.3.1/24
LAN SwitchC
I+D:
10.164.3.0/24

siguiente:
1. Configure un clasificador de tráfico basado en ACL y ACL avanzado para filtrar los
paquetes de los hosts externos al servidor de finanzas y así evitar que los hosts externos
accedan a este servidor.

2. Configure un comportamiento de tráfico para permitir que los paquetes coincidan con la
regla de permiso de ACL.
Procedimiento
Paso 1 Agregue interfaces a VLAN y asigne direcciones IP a las interfaces VLANIF.
# Agregue GE 1/0/1 a través de GE1/0/3 a VLAN 10, 20 y 30 respectivamente, agregue

GE2/0/1 a VLAN 100, y asigne direcciones IP a las interfaces VLANIF. Las configuraciones
en GE 1/0/1 y VLANIF 10 se usan como ejemplo aquí. Las configuraciones en GE1/0/2,
GE1/0/3, y GE2/0/1 son similares a las configuraciones en GE 1/0/1, y las configuraciones en
VLANIF 20, VLANIF 30 y VLANIF 100 son similares a las configuraciones en VLANIF 10.
# Cree ACL 3002 avanzada y configure reglas para permitir que los paquetes de la oficina del
presidente, del departamento de I+D y el departamento de marketing lleguen al servidor de
finanzas y bloqueen los paquetes enviados desde los servidores externos al servidor de
finanzas.
[Switch] acl 3002
10.164.4.4 0.0.0.0 //Permita que la oficina del presidente acceda al servidor de
finanzas.
10.164.4.4 0.0.0.0 //Permita que el departamento de marketing acceda al servidor
de finanzas.
10.164.4.4 0.0.0.0 //Permita que el departamento de I+D acceda al servidor de
finanzas.
[Switch-acl-adv-3002] rule deny ip destination 10.164.4.4 0.0.0.0 //Evite que
otros usuarios accedan al servidor de finanzas.
Paso 3 Configure un clasificador de tráfico basado en ACL.
# Configure el clasificador de tráfico c_network para clasificar los paquetes que coinciden
con ACL 3002.
[Switch] traffic classifier c_network //Cree un clasificador de tráfico.
[Switch-classifier-c_network] if-match acl 3002 //Asocie ACL con el clasificador
de tráfico.
[Switch-classifier-c_network] quit
Paso 4 Configure un comportamiento de tráfico.
# Configure el comportamiento del tráfico b_network y mantenga la acción establecida para

permitir (valor predeterminado).

NOTA
Los paquetes que coinciden con la ACL se descartan siempre que exista una acción deny en una regla de
ACL o en el comportamiento del tráfico.
[Switch] traffic behavior b_network //Cree un comportamiento de tráfico.
[Switch-behavior-b_network] quit

# Configure la política de tráfico p_network y asocie el clasificador de tráfico c_network y
el comportamiento del tráfico c_network con la política de tráfico.
[Switch] traffic policy p_network //Cree una política de tráfico.
[Switch-trafficpolicy-p_network] classifier c_network behavior b_network //
Asocie el clasificador de tráfico c_network con el comportamiento del tráfico
b_network.
[Switch-trafficpolicy-p_network] quit

# Los paquetes de los hosts internos y externos se envían al servidor de finanzas a través de
GE2/0/1; por lo tanto, aplique la política de tráfico p_network a la dirección de salida
deGE2/0/1.
[Switch-GigabitEthernet2/0/1] traffic-policy p_network outbound //Aplique la
política de tráfico a la dirección de salida de una interfaz.

Acl's step is 5
rule 5 permit ip source 10.164.1.0 0.0.0.255 destination 10.164.4.4 0 (match-
counter 0)
counter 0)
counter 0)
rule 20 deny ip destination 10.164.4.4 0 (match-counter 0)

Classifier: c_network
Precedence: 5
Operator: OR

Policy: p_network
Classifier: c_network
Operator: OR
Behavior: b_network
Permit


#
-------------------------------------------------
Policy Name:
p_network
Policy Index:
0
Classifier:c_network
Behavior:b_network
-------------------------------------------------
traffic-policy p_network
outbound
slot 2 :
success
-------------------------------------------------

1.
# La oficina del presidente, el departamento de marketing y el departamento de I+D pueden

acceder al servidor de finanzas, pero los servidores externos no pueden.
----Fin
Archivo de configuración deSwitch
#
sysname Switch
#
vlan batch 10 20 30 100
#
acl number 3002
rule 5 permit ip source 10.164.1.0 0.0.0.255 destination 10.164.4.4 0
#
traffic classifier c_network operator or precedence 5
if-match acl 3002
#
traffic behavior b_network
permit
#
traffic policy p_network match-order config
classifier c_network behavior b_network
#
interface Vlanif10
ip address 10.164.1.1 255.255.255.0
#
interface Vlanif20
ip address 10.164.2.1 255.255.255.0
#
interface Vlanif30
ip address 10.164.3.1 255.255.255.0

#
interface Vlanif100
ip address 10.164.4.1 255.255.255.0
#
#
#
#
traffic-policy p_network outbound
#
return
12.1.9 Ejemplo para aplicar ACL a SNMP para filtrar NMS
Descripción general de ACL

ACL básica.
En este ejemplo, se aplica una ACL básica al módulo SNMP para que solo el NMS
especificado pueda acceder al switch. Esto mejora la seguridad del switch.
NOTA
Requisitos de red
Como se muestra en Figura 12-9, se agrega un nuevo switch en el mismo segmento de red
como NMS a la red de una empresa, y usa SNMPv1 para comunicarse con el NMS. Para
mejorar la seguridad del switch, el switch solo puede ser gestionado por el NMS existente en
la red.

Figura 12-9 Aplicación de ACL básicas a SNMP para filtrar NMS

GE1/0/1
10.1.1.1/24 VLAN10
10.1.1.2/24
NMS Switch

1. Configure SNMPv1 en el switch para que el NMS que ejecuta SNMPv1 pueda
2. Configure el control de acceso para que solo el NMS con la dirección IP especificada
pueda realizar operaciones de leer/escribir en los objetos MIB especificados del switch.
3. Configure un nombre de comunidad según el cual el switch permite el acceso del NMS.
4. Configure un host de trap y habilite el switch para enviar traps automáticamente al NMS.
5. Agregue el switch al NMS. El nombre de la comunidad configurado en el switch debe
ser el mismo que el utilizado por el NMS; de lo contrario, el NMS no puede gestionar el
cambio.
Procedimiento
Paso 1 Configure SNMPv1 en el switch para que el NMS que ejecuta SNMPv1 pueda administrar el
switch.
[Switch] snmp-agent sys-info version v1 //Por defecto, SNMPv3 es compatible.
Paso 2 Configure el control de acceso para que solo el NMS con la dirección IP especificada pueda
realizar operaciones de leer/escribir en los objetos MIB especificados del switch.
# Configure una ACL para permitir que solo el NMS 10.1.1.1 acceda al switch.
[Switch] acl 2001
[Switch-acl-basic-2001] rule deny
# Configure la vista de MIB para especificar los objetos MIB a los que puede acceder el
NMS.
[Switch] snmp-agent mib-view included isoview01 system //Configure la vista de
MIB isoview01 para acceder al subárbol del sistema.
[Switch] snmp-agent mib-view included isoview02 interfaces //Configure la vista
de MIB isoview02 para acceder al subárbol de interfaces.
Paso 3 Configure un nombre de comunidad según el cual el switch permite el acceso del NMS,
aplique la ACL para que la función de control de acceso se ponga en vigor.
[Switch] snmp-agent community read adminnms01 mib-view isoview01 acl 2001 //
Otorgue adminnms01 con el permiso de solo leer en el subárbol del sistema.
[Switch] snmp-agent community write adminnms02 mib-view isoview02 acl 2001 //
Otorgue adminnms02 con el permiso de leer/escribir en el subárbol de interfaz.
Paso 4 Configure un host de trap y habilite el switch para enviar traps automáticamente al NMS.
[Switch] snmp-agent trap enable
Warning: All switches of SNMP trap/notification will be open. Continue? [Y/

N]:y //Habilite todas las funciones de trap en el switch. Por defecto, solo
algunas funciones de trap están habilitadas. Puede ejecutar el el comando display
snmp-agent trap all para comprobar el estado del trap.
[Switch] snmp-agent target-host trap address udp-domain 10.1.1.1 params
securityname adminnms01 v1
Paso 5 Agregue el switch al NMS.

# Inicie sesión en eSight y seleccione Resource > Add Resource > Add Resource.
Establezca los parámetros de SNMP basados en Tabla 12-1 y haga clic en OK. Se agrega un
switch y se puede administrar con eSight. El switch enviará proactivamente mensajes de trap
a eSight.
Tabla 12-1 Parámetros de SNMP

Parámetro Configuración
Select discovery protocol SNMP
IP address 10.1.1.2
SNMP Editar parámetros de SNMP
Version V1
Read community adminnms01
Write community adminnms02
Port 161
NOTA
La configuración de los parámetros en el NMS y el switch debe ser la misma; de lo contrario, el switch
no se puede agregar al NMS.
Si se requiere autenticación para inicios de sesión remotos en el switch, los parámetros de Telnet deben
configurarse para que el NMS pueda administrar el switch. En este ejemplo, los administradores pueden
iniciar sesión remotamente en el switch utilizando Telnet, se usa autenticación de contraseña y la
contraseña es huawei2012.
----Fin

#
sysname Switch
#
acl number 2001
rule 10 deny
#
snmp-agent
snmp-agent local-engineid 800007DB03360102101100
snmp-agent community read cipher %^%#Pqp'RXi))/y\KgEtwP9A3x2z5_FgxG1v'D/
8>=G,D9<yMC^RAM_YB:F0BZlF="bHXg%lH*L"Jq'lea`S%^%# mib-view isoview acl 2001
snmp-agent community write cipher %^%#.T|&Whvyf$<Gd"I,wXi5SP_6~Nakk6<<+3H:N-
h@aJ6d,l0md%HCeAY8~>X=>xV\JKNAL=124r839v<*%^%# mib-view isoview acl 2001
snmp-agent sys-info version v1 v3
snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname
cipher %^%#uq/!YZfvW4*vf[~C|.:Cl}UqS(vXd#wwqR~5M(rU%%^%#
snmp-agent mib-view included isoview01 system
snmp-agent mib-view included isoview02 interfaces
snmp-agent trap enable
#
return
12.2 Configuración típica de seguridad ARP

12.2.1 Ejemplo para configurar funciones de seguridad ARP
Descripción general de seguridad de ARP

La seguridad del Protocolo de resolución de direcciones (ARP) protege los dispositivos de red
contra los ataques de ARP al aprender las entradas de ARP, limitar la velocidad de paquetes
de ARP y comprobar los paquetes de ARP. Además de prevenir los ataques del protocolo
ARP, la seguridad ARP también previene los ataques de escaneo de red basados en ARP.
Las siguientes son amenazas ARP comunes para las redes:

1. Cuando los hosts de los usuarios se conectan directamente a gateway, el atacante falsifica
un paquete ARP de gateway y envía el paquete ARP a los hosts del usuario. Los hosts
del usuario consideran que el atacante es gateway y registra los mapeos incorrectas de la
dirección de gateway en sus tablas de ARP. Luego el tráfico destinado a la gateway es
recibido por el atacante. De esta forma, el atacante intercepta los datos enviados por los
hosts del usuario.
2. Un host de usuario envía una gran cantidad de paquetes IP con direcciones IP de destino
irresolubles (la tabla de enrutamiento contiene las entradas de enrutamiento que
coinciden con las direcciones IP de destino de los paquetes, pero el dispositivo no tiene
las entradas de ARP que coinciden con las direcciones de salto siguiente de las entradas
de enrutamiento) al dispositivo, lo que hace que el dispositivo genere una gran cantidad
de paquetes de ARP Miss. Los paquetes de IP (paquetes de Miss ARP) que activan los
mensajes de ARP Miss se envían a la CPU para su procesamiento. El dispositivo genera
y entrega muchas entradas ARP temporales de acuerdo con los mensajes de ARP Miss y
envía una gran cantidad de paquetes de solicitud de ARP a la red de destino. Esto
aumenta el uso de CPU del dispositivo y consume mucho ancho de banda de red.
3. El dispositivo recibe una gran cantidad de paquetes de ataque de ARP y necesita
procesarlos todos. Como resultado, la CPU del dispositivo puede estar sobrecargada.

Se pueden tomar las siguientes medidas de seguridad de ARP para proteger la red contra
ataques de ARP:
l Para evitar el primer ataque (el atacante se presenta como la gateway para interceptar la
información del host), configure la anticolisión del gateway de ARP.
l Para evitar el segundo ataque, configure la limitación de la velocidad de ARP Miss para
reducir la carga de la CPU y ahorrar ancho de banda en la red de destino.
l Para evitar el tercer ataque, configure la limitación de la velocidad de paquetes de ARP
para proteger los recursos de la CPU.
l Este ejemplo se aplica a todos los modelos y versiones de switch modulares.
l Que los modelos y versiones de switches fijos a los que se aplica este ejemplo son los
siguientes.
Tabla 12-2 Anticolisión de gateway de ARP

Produc Modelo Versión del software
to del
Producto
S2300 S2300SI V100R006C05
S2300EI V100R006C05
S2352P-EI V100R006C05
S3300 S3300SI y V100R006C05

S3300EI
S3300HI V200R001C00
S5300 S5300SI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C02)
S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5310EI V200R003C00, V200R005(C00&C02)
S5300HI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320SI V200R008(C00&C10), V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)


to del
Producto
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320SI V200R011C10, V200R012C00
S6320HI V200R012C00
Tabla 12-3 Limitación de la velocidad de mensajes de ARP Miss (basada en las

direcciones IP de origen)

to del
Producto
S2300 S2300SI V100R006C05
S2300EI V100R006C05
S2352P-EI V100R006C05
S3300 S3300SI y V100R006C05

S3300EI
S3300HI V200R001C00
S5300 S5300SI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C02)
S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5310EI V200R003C00, V200R005(C00&C02)
S5300HI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320SI V200R008(C00&C10), V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00


to del
Producto
S6320SI V200R011C10, V200R012C00
S6320HI V200R012C00
Tabla 12-4 Limitación de velocidad de paquete de ARP (basado en direcciones MAC de

origen)
to del
Producto
S3300 S3300HI V200R001C00
S5300 S5310EI V200R002C00, V200R003C00, V200R005(C00&C02)
S5300HI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5306 V200R001C00, V200R002C00, V200R003C00,

V200R005C00
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320HI V200R012C00
Tabla 12-5 Límite de velocidad de paquete ARP (basado en direcciones IP de origen)

to del
Producto
S2300 S2300SI V100R006C05
S2300EI V100R006C05
S2320EI V200R011C10, V200R012C00
S2352P-EI V100R006C05


to del
Producto

V200R008C00, V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S3300 S3300SI y V100R006C05

S3300EI
S3300HI V200R001C00

V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5300SI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C02)
S5300EI V200R001C00, V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5310EI V200R003C00, V200R005(C00&C02)
S5300HI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S5306 V200R002C00, V200R003C00, V200R005C00
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320SI V200R008(C00&C10), V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S5320LI V200R010C00, V200R011C10, V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01), V200R002C00, V200R003C00,

V200R005(C00&C01&C02)
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320SI V200R011C10, V200R012C00
S6320HI V200R012C00
NOTA

Requisitos de red
Como se muestra en Figura 12-10, el switch que funciona como gateway se conecta a un
servidor utilizando GE 1/0/3 y se conecta a cuatro usuarios en VLAN 10 y VLAN 20 usando
GE 1/0/1 y GE 1/0/2, respectivamente. Las siguientes amenazas ARP existen en una red:
l El atacante se presenta como la gateway para enviar un paquete ARP al switch, por lo
que los hosts de los usuarios consideran que el atacante es la gateway. Como resultado,
el atacante recibe el tráfico destinado a la gateway de los hosts de los usuarios y el
atacante intercepta los datos de los hosts de los usuarios.
l Los atacantes envían una gran cantidad de paquetes IP con direcciones IP de destino
irresolubles al switch, lo que provoca una sobrecarga de la CPU.
l El User1 envía una gran cantidad de paquetes ARP con direcciones MAC fijas pero con
direcciones IP de fuente variable al switch. Como resultado, la CPU disponible del
switch es insuficiente para procesar otros servicios.
l El User3 envía una gran cantidad de paquetes ARP con direcciones IP de fuente fija al
switch. Como resultado, la CPU disponible del switch es insuficiente para procesar otros
servicios.
El administrador desea evitar los ataques de ARP anteriores y proporcionar a los usuarios
servicios estables en una red segura.
Figura 12-10 Redes para configurar funciones de seguridad ARP

VLAN 30
VLANIF 30
10.10.10.2/24 10.10.10.3/24
Switch
GE1/0/3
Gateway
Servidor GE1/0/1 GE1/0/2

VLANIF 10 VLANIF 20
10.8.8.4/24 10.9.9.4/24
VLAN10 VLAN20
User1 User2 User3 User4

10.8.8.2/24 10.8.8.3/24 10.9.9.2/24 10.9.9.3/24
1-1-1 2-2-2 3-3-3 4-4-4

1. Configure la anticolisión de la gateway de ARP para evitar que los atacantes se hagan
pasar por la gateway para interceptar los datos.

2. Configure la limitación de velocidad de ARP Miss basada en las direcciones IP de origen

para evitar que los atacantes del lado del usuario envíen una gran cantidad de paquetes IP
no resueltos, desencadenando mensajes de ARP Miss y formando ataques de inundación
ARP. Además, asegúrese de que el switch pueda procesar los paquetes ARP de los
servidores porque la comunicación de red no estará disponible si dichos paquetes se
descartan.
3. Configure la limitación de velocidad ARP en función de las direcciones MAC de origen
para evitar que el Usuario1 envíe una gran cantidad de paquetes ARP con diferentes
direcciones IP de origen y una dirección MAC fija para formar ataques de inundación
ARP. Los ataques de inundación de ARP sobrecargarán la CPU del switch.
4. Configure la limitación de velocidad en los paquetes ARP en función de la dirección IP
de origen. Esta función defiende contra los ataques de inundación ARP del Usuario3 con
una dirección IP fija y evita la sobrecarga de la CPU.
Procedimiento
Paso 1 Cree VLAN, agregue interfaces a las VLAN y configure las interfaces VLANIF.
# Cree VLAN 10, VLAN 20, VLAN 30 y agregue GE1/0/1 a VLAN 10, GE1/0/2 a VLAN 20
y GE1/0/3 a VLAN 30.
# Cree VLANIF 10, VLANIF 20 y VLANIF 30 y les asigne direcciones IP.

Paso 2 Configure la anticolisión de la gateway de ARP.

[Switch] arp anti-attack gateway-duplicate enable //Configure la anticolisión de
gateway de ARP
Paso 3 Configure la limitación de velocidad en mensajes de ARP Miss basados en la dirección IP de

origen.
# Establezca la velocidad máxima de mensajes de ARP Miss activados por el servidor con la
dirección IP 10.10.10.2 a 40 pps, y establezca la velocidad máxima de mensajes de ARP Miss
activados por otros hosts a 20 pps.
[Switch] arp-miss speed-limit source-ip maximum 20 //Configure la limitación de
velocidad en mensajes de ARP Miss basados en la dirección IP de origen

[Switch] arp-miss speed-limit source-ip 10.10.10.2 maximum 40 //Configure la

limitación de velocidad en las mensajes ARP Miss basados en la dirección IP de
origen
Paso 4 Configure la limitación de velocidad en los paquetes ARP según la dirección MAC de origen.
# Establezca la velocidad máxima de paquetes ARP del Usuario1 con la dirección MAC de
origen 0001-0001-0001 a 10 pps.
[Switch] arp speed-limit source-mac 0001-0001-0001 maximum 10 //Configure la
limitación de velocidad en los paquetes de ARP según la dirección MAC de origen
Paso 5 Configure la limitación de velocidad en los paquetes ARP según la dirección IP de origen.
# Establezca la velocidad máxima de paquetes ARP del Usuario3 con la dirección IP de

origen 10.9.9.2 a 10 pps.
[Switch] arp speed-limit source-ip 10.9.9.2 maximum 10 //Configure la limitación
de velocidad en los paquetes de IP según la dirección MAC de origen
# Ejecute el comando display arp anti-attack configuration all para comprobar la

configuración del ARP anti-ataque.
[Switch] display arp anti-attack configuration all
......
ARP anti-attack entry-check mode:
Vlanif Mode
-------------------------------------------------------------------------------
All disabled
-------------------------------------------------------------------------------
ARP rate-limit configuration:

-------------------------------------------------------------------------------
Global configuration:
Interface configuration:
Vlan configuration:
-------------------------------------------------------------------------------
ARP miss rate-limit configuration:

-------------------------------------------------------------------------------
Global configuration:
Interface configuration:
Vlan configuration:
-------------------------------------------------------------------------------
ARP speed-limit for source-MAC configuration:

MAC-address suppress-rate(pps)(rate=0 means function disabled)
-------------------------------------------------------------------------------
0001-0001-0001 10
Others 0
-------------------------------------------------------------------------------
The number of configured specified MAC address(es) is 1, spec is 1024.
ARP speed-limit for source-IP configuration:

IP-address suppress-rate(pps)(rate=0 means function disabled)
-------------------------------------------------------------------------------
10.9.9.2 10
Others 30
-------------------------------------------------------------------------------
The number of configured specified IP address(es) is 1, spec is 1024.
ARP miss speed-limit for source-IP configuration:

IP-address suppress-rate(pps)(rate=0 means function disabled)
-------------------------------------------------------------------------------
10.10.10.2/32 40
Others 20

-------------------------------------------------------------------------------
The number of configured specified IP address(es) is 1, spec is 1024.
# Ejecute el comando de display arp packet statistics para comprobar las estadísticas en los
paquetes basados en ARP.
[Switch] display arp packet statistics
ARP Pkt Received: sum 8678904
ARP-Miss Msg Received: sum 183
ARP Learnt Count: sum 37
ARP Pkt Discard For Limit: sum 146
ARP Pkt Discard For SpeedLimit: sum
40529
ARP Pkt Discard For Proxy Suppress: sum 0
ARP Pkt Discard For Other: sum 8367601
ARP-Miss Msg Discard For SpeedLimit: sum 20
ARP-Miss Msg Discard For Other: sum 104
En la salida del comando anterior, se muestran los números de paquetes ARP y mensajes de
ARP Miss descartados por el switch, lo que indica que las funciones de seguridad ARP han
surtido efecto.
----Fin
# Archivo de configuración de Switch
#
sysname Switch
#
vlan batch 10 20 30
#
arp-miss speed-limit source-ip 10.10.10.2 maximum 40
arp speed-limit source-ip 10.9.9.2 maximum 10
arp speed-limit source-mac 0001-0001-0001 maximum 10
arp anti-attack gateway-duplicate enable
#
arp-miss speed-limit source-ip maximum 20
#
interface Vlanif10
ip address 10.8.8.4 255.255.255.0
#
interface Vlanif20
ip address 10.9.9.4 255.255.255.0
#
interface Vlanif30
ip address 10.10.10.3 255.255.255.0
#
#
#
#
return

12.2.2 Ejemplo para configurar defensa contra ataques ARP

MITM
Descripción general de DAI
La seguridad del Protocolo de resolución de direcciones (ARP) protege los dispositivos de red
contra los ataques de ARP al aprender las entradas de ARP, limitar la velocidad de paquetes
de ARP y comprobar los paquetes de ARP. Además de prevenir los ataques del protocolo
ARP, la seguridad ARP también previene los ataques de escaneo de red basados en ARP.
El ataque Man-in-the-middle (MITM) es un ataque ARP que se lanza con frecuencia. El
atacante funciona como el "Man-in-the-middle" para interceptar datos.
Para defenderse de los ataques MITM, despliegue la inspección ARP dinámica (DAI) en el
dispositivo.
DAI defiende de ataques MITM utilizando entradas de vinculación. Cuando un dispositivo
recibe un paquete ARP, compara la dirección IP de origen, la dirección MAC de origen, la
información de la interfaz y la ID de VLAN del paquete ARP con las entradas de vinculación.
Si el paquete ARP coincide con una entrada de vinculación, el dispositivo considera que el
paquete ARP es válido y permite que el paquete pase. Si el paquete ARP no coincide con
ninguna entrada de vinculación, el dispositivo considera que el paquete ARP no es válido y
descarta el paquete.
NOTA
El dispositivo habilitado con DHCP snooping genera entradas de vinculación DHCP snooping cuando los
usuarios de DHCP se conectan. Si un usuario usa una dirección IP estática, debe configurar manualmente una
entrada de vinculación estática para el usuario.
En V100R006C05, S2300SI no es compatible con la función de espionaje DHCP. Este
ejemplo se aplica a todos los modelos en otras versiones.
Requisitos de red
Como se muestra en Figura 12-11, SwitchA se conecta al servidor DHCP usando GE2/0/1, se
conecta a los clientes UsuarioA y UsuarioB de DHCP usando GE1/0/1 y GE1/0/2, y se
conecta al UsuarioC configurado con una dirección IP estática usando GE1/0/3. GE1/0/1,
GE1/0/2, GE1/0/3, yGE2/0/1 en SwitchA todos pertenecen a la VLAN 10. El administrador
desea evitar los ataques ARP MITM y el robo en la información del usuario autorizado, y
conocer la frecuencia y el rango de los ataques de ARP MITM.

Figura 12-11 Diagrama de redes para defenderse contra ataques ARP MITM
SwitchB
DHCP Server
GE2/0/1
SwitchA
GE1/0/1
GE1/0/2 GE1/0/3
UserA UserB UserC
IP:10.0.0.2/24
DHCP Client DHCP Client
MAC:0001-0001-0001
VLAN ID:10

1. Habilite DHCP snooping y configure una entrada de vinculación estática.
2. Habilite DAI para que SwitchA compare la dirección IP de origen, la dirección MAC de
origen, la información de interfaz y la ID de VLAN del paquete ARP con las entradas de
vinculación. Esto previene los ataques de ARP MITM.
Procedimiento
Paso 1 Cree una VLAN y agregue interfaces a la VLAN.
# Cree VLAN 10 y agregue GE1/0/1, GE1/0/2, GE1/0/3, y GE2/0/1 a VLAN 10.


Paso 2 Configure DHCP snooping.
# Habilite DHCP snooping globalmente.

[SwitchA] dhcp snooping enable
# Habilite DHCP snooping en VLAN 10.

[SwitchA] vlan 10
[SwitchA-vlan10] dhcp snooping enable
# Configure GE2/0/1 como interfaz de confianza.

[SwitchA-GigabitEthernet2/0/1] dhcp snooping trusted
# Configure una tabla de vinculación estática.

[SwitchA] user-bind static ip-address 10.0.0.2 mac-address 0001-0001-0001
interface gigabitethernet 1/0/3 vlan 10
Paso 3 Habilite DAI.
# Habilite DAI en GE1/0/1, GE1/0/2, y GE1/0/3. GE1/0/1 se usan como un ejemplo.

Configuraciones de GE1/0/2 y GE1/0/3 son similares a la configuración de GE1/0/1, y no se
mencionan aquí.
[SwitchA-GigabitEthernet1/0/1] arp anti-attack check user-bind enable //
Habilite la inspección ARP dinámica (compruebe los paquetes ARP contra una tabla
vinculada).
# Ejecute el comando de display arp anti-attack configuration check user-bind interface

para verificar la configuración de DAI en cada interfaz. GE1/0/1 se usan como un ejemplo.
[SwitchA] display arp anti-attack configuration check user-bind interface
arp anti-attack check user-bind enable
# Ejecute el comando de display arp anti-attack statistics check user-bind interface para
comprobar la cantidad de paquetes ARP descartados basada en DAI. GE1/0/1 se usan como
un ejemplo.
[SwitchA] display arp anti-attack statistics check user-bind interface
Dropped ARP packet number is 966
Dropped ARP packet number since the latest warning is 605
En el resultado de comando anterior, se muestra la cantidad de paquetes ARP descartados en

GE1/0/1, lo que indica que la defensa contra los ataques ARP MITM ha tenido efecto.
Cuando ejecuta el comando display arp anti-attack statistics check user-bind interface
para varias veces en cada interfaz, el administrador puede conocer la frecuencia y el rango de
los ataques ARP MITM en función de la cantidad de paquetes ARP descartados.
----Fin

# Archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 10
#
dhcp enable
#
user-bind static ip-address 10.0.0.2 mac-address 0001-0001-0001 interface
GigabitEthernet1/0/3 vlan 10
#
vlan 10
#
#
#
#
#
return
12.3 Configuración típica de DHCP Snooping
12.3.1 Ejemplo para configurar DHCP Snooping para evitar

ataques al servidor DHCP falso
Descripción general de DHCP Snooping
Durante un proceso en el cual un cliente DHCP obtiene dinámicamente una dirección IP,
DHCP snooping analiza y filtra los paquetes DHCP entre el cliente y el servidor. La
configuración adecuada de DHCP snooping implementa el filtrado de los servidores no
autorizados, evitando que los clientes obtengan direcciones proporcionadas por el servidor
DHCP no autorizado y que no puedan acceder a la red.
DHCP snooping se puede usar cuando se producen ataques de suplantación del servidor
DHCP en la red. Los ejemplos de escenarios son los siguientes:
l Algunos terminales en la red usan Windows Server 2003 o 2008 y están habilitados para
asignar direcciones IP usando DHCP de forma predeterminada.
l Algunas interfaces en la capa de acceso están conectadas al router inalámbrico que está
habilitado para asignar direcciones IP usando DHCP.

Se recomienda implementar DHCP snooping en un switch de acceso. El control de la interfaz

es preciso si implementa DHCP snooping en un switch más cercano al PC. Cada interfaz del
switch debe conectarse a un solo PC. Si una determinada interfaz está conectada a múltiples
PC a través de un hub, los ataques de DHCP snooping que se producen en el hub no se
pueden evitar porque los paquetes de snooping se reenvían directamente entre las interfaces
del hub y no se pueden controlar a través de DHCP snooping implementado en el switch de
acceso.
En V100R006C05, el S2300SI no es compatible con DHCP snooping. Todos los modelos en
otras versiones son aplicables a este ejemplo.
Requisitos de redes
Como se muestra en Figura 12-12, SwitchA es un switch de acceso y su PC conectado
obtiene una dirección IP a través de DHCP. SwitchB como un switch de core se implementa
con la función del servidor DHCP. DHCP snooping debe configurarse para evitar que los
servidores DHCP no autorizados, como los routers inalámbricos incorporados desde el acceso
a la red. Si un servidor DHCP no autorizado está conectado a la red, los usuarios común
obtienen direcciones incorrectas y no pueden acceder a la red o obtienen direcciones
conflictivas.
Figura 12-12 Diagrama de redes para configurar DHCP snooping para evitar ataques al
servidor DHCP falso
Servidor DHCP
Switch de core
SwitchB
GE0/0/1
VLANIF10
10.1.1.1/24
GE0/0/1
Switch de acceso VLANIF10
SwitchA
GE0/0/2 GE0/0/3
VLAN 10 VLAN 10
PC1 Atacador


1. Implemente la función del servidor DHCP en SwitchB.

2. Habilite DHCP snooping global en SwitchA, enable DHCP snooping on the interface
connected to the PC, y configure the interface connected to SwitchB as a trusted
interface. (La interfaz confiable recibe los paquetes de respuesta de DHCP del servidor
DHCP. SwitchA envía los paquetes de solicitud de DHCP desde el PC a SwitchB solo a
través de la interfaz confiada.
Procedimiento
Paso 1 Configure la función del servidor DHCP.
# Configure la función del servidor DHCP en SwitchB.
[SwitchB-Vlanif10] ip address 10.1.1.1 255.255.255.0
[SwitchB-Vlanif10] dhcp select interface //Habilite el dispositivo que asigne
direcciones IP en función del grupo de direcciones de la interfaz.
Paso 2 Configure DHCP snooping.

# Configure DHCP snooping en SwitchA.
[SwitchA] dhcp snooping enable ipv4 //Habilite DHCP snooping global, y configure
el dispositivo para procesar solo paquetes DHCPv4 para ahorrar el uso de la CPU.
[SwitchA-GigabitEthernet0/0/2] dhcp snooping enable //Habilite DHCP snooping en
la interfaz en el lado de usuario.
[SwitchA-GigabitEthernet0/0/3] dhcp snooping enable
[SwitchA-GigabitEthernet0/0/1] dhcp snooping trusted //Configure la interfaz
como una interfaz de confianza para que el switch de acceso pueda procesar solo
paquetes de Response del servidor DHCP recibidos desde la interfaz.

# Ejecute el comando display dhcp snooping configuration en SwitchA para verificar la
configuración de DHCP snooping.

[SwitchA] display dhcp snooping configuration

#
dhcp snooping enable ipv4
#
#
#
#
# Ejecuta el comando display ip pool interface vlanif10 used en SwitchB para verificar las
direcciones IP usadas en el grupo de direcciones.
[SwitchB] display ip pool interface vlanif10 used
Pool-No : 1
Domain-name : -
DNS-server0 : -
NBNS-server0 : -
Netbios-type : -
Gateway-0 : 10.1.1.1
Network : 10.1.1.0
Mask : 255.255.255.0
VPN instance : --
-----------------------------------------------------------------------------
Start End Total Used Idle(Expired) Conflict Disable
-----------------------------------------------------------------------------
10.1.1.1 10.1.1.254 253 1 252(0) 0 0
-----------------------------------------------------------------------------
Network section :
-----------------------------------------------------------------------------
Index IP MAC Lease Status
-----------------------------------------------------------------------------
253 10.1.1.254 0021-cccf-b67f 46 Used
-----------------------------------------------------------------------------
# Ejecute el comando display dhcp snooping user-bind all en SwitchA para verificar la tabla
de enlace de DHCP snooping.
[SwitchA] display dhcp snooping user-bind all
DHCP Dynamic Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address MAC Address VSI/VLAN(O/I/P) Interface Lease
--------------------------------------------------------------------------------
10.1.1.254 0021-cccf-b67f 10 /-- /-- GE0/0/2 2014.09.21-09:33
--------------------------------------------------------------------------------
Print count: 1 Total count: 1
Las direcciones IP obtenidas por todos los PC subsiguientes a través de DHCP solo pueden
ser asignadas por SwitchB.
----Fin
#
sysname SwitchA
#
vlan batch 10

#
dhcp enable
#
dhcp snooping enable ipv4
#
#
#
#
return

#
sysname SwitchB
#
vlan batch 10
#
dhcp enable
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
#
return
12.4 Configuración típica de IPSG
12.4.1 Ejemplo para configurar IPSG para evitar que los hosts con
direcciones IP estáticas cambien sus propias direcciones IP
Descripción general de IPSG

Como se muestra en Figura 12-13, un hacker (Host_2) usa las direcciones IP y MAC de
Host_1, que pertenece a un ingeniero de I+D, para construir paquetes IP para atacar la
intranet. El administrador de red piensa que el ingeniero de I+D es el atacante. Tales ataques
pueden prevenirse configurando IPSG. En el switch de acceso, después de habilitar una tabla
de vinculación estática y comprobar el paquete IP en las interfaces conectadas a los
terminales, solo los paquetes que coinciden con las entradas de vinculación estática pueden
acceder a la intranet e Internet, y los paquetes que no coinciden con las entradas se descartan .
Este ejemplo se aplica a todas las versiones y modelos, excepto los siguientes:
l S2300SI de V100R006C05 no es compatible con IPSG.

l Después de que el reenvío de Capa 3 basado en hardware para paquetes IPv4 está
habilitado en las siguientes versiones, los switches no son compatibles con IPSG:
– V200R007C00 y V200R008C00: S2350EI y S5300-10P-LI-AC
– V200R008C10: S5300-10P-PWR-LI-AC
– V200R009C00 y versiones posteriores: S2350EI, S5300-10P-LI-AC, y S5300-10P-
PWR-LI-AC
Requisitos de red
Como se muestra en Figura 12-13, el gateway del usuario está configurado en el switch de
core (Core). Una ACL está configurada en el Core para permitir que los hosts fijos puedan
acceder a Internet. Los hosts conectados al switch de acceso (ACC) usan direcciones IP
configuradas estáticamente. El administrador requiere que los hosts solo puedan usar
direcciones IP fijas para acceder a Internet. Los usuarios no pueden cambiar sus propias
direcciones IP para acceder a Internet.
Figura 12-13 Configurar IPSG para evitar que los hosts con direcciones IP estáticas cambien
sus propias direcciones IP
Internet
Router
GE0/0/2
Core
GE0/0/1
GE0/0/3
ACC VLAN 10
GE0/0/1 GE0/0/2
Host_1 Host_2
IP:10.0.0.2/24 IP:10.0.0.5/24
MAC:0002-0002-0002 MAC:0005-0005-0005
Plan de datos
Para realizar la configuración, necesita los siguientes datos.

Tabla 12-6 Plan de datos

VLAN l ACC: Ninguna

VLAN ID: 10, incluidas
las interfaces GE0/0/1,
GE0/0/2 y GE0/0/3
l Core:
VLAN ID: 10, incluida
la interfaz GE0/0/1
Gateway dirección IP de los VLANIF10: 10.0.0.1/24 Ninguna

hosts
Direcciones IP de los hosts 10.0.0.2, 10.0.0.3 Ninguna

permitidos para acceder a la
red.

1. Configure una ACL en la Gateway del usuario (Core) para permitir que los hosts con
direcciones IP 10.0.0.2 y 10.0.0.3 accedan a Internet.
2. Cree entradas de vinculación estática en los hosts en el ACC para fijar los mapeos entre
las direcciones IP y MAC.
3. Habilite IPSG en las interfaces del ACC conectadas a los hosts de los usuarios para que
los hosts solo puedan usar las direcciones IP fijas para acceder a la red. Host_1 puede
acceder a Internet, y Host_2 no puede acceder a Internet, incluso si cambia su dirección
IP.
Procedimiento
[Quidway] sysname Core
[Core] vlan batch 10
[Core] interface gigabitethernet 0/0/1
[Core-GigabitEthernet0/0/1] port link-type trunk
[Core-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[Core-GigabitEthernet0/0/1] quit
[Core] interface vlanif 10 //Configure la dirección de gateway.
[Core-Vlanif10] ip address 10.0.0.1 255.255.255.0
[Core-Vlanif10] quit
[Core] acl number 3001 //Configure ACL.
[Core-acl-adv-3001] rule permit ip source 10.0.0.2 0
[Core-acl-adv-3001] rule permit ip source 10.0.0.3 0
[Core-acl-adv-3001] rule deny ip source 10.0.0.0 0.0.0.255
[Core-acl-adv-3001] quit
[Core] traffic classifier c1 //Configure un clasificador de tráfico basado en
ACL.
[Core-classifier-c1] if-match acl 3001
[Core-classifier-c1] quit
[Core] traffic behavior b1 //Configure un comportamiento de tráfico.
[Core-behavior-b1] permit
[Core-behavior-b1] quit

[Core] traffic policy p1 //Configure una política de tráfico.

[Core-trafficpolicy-p1] classifier c1 behavior b1
[Core-trafficpolicy-p1] quit
[Core-GigabitEthernet0/0/2] traffic-policy p1 outbound //Aplique la política de
tráfico.
Paso 2 Crea entradas de vinculación estática para los hosts.

[Quidway] sysname ACC
[ACC] vlan batch 10 //Configure una VLAN para conectarse a los hosts.
[ACC] interface gigabitethernet 0/0/1
[ACC-GigabitEthernet0/0/1] port link-type access
[ACC-GigabitEthernet0/0/1] port default vlan 10
[ACC-GigabitEthernet0/0/1] quit
[ACC-GigabitEthernet0/0/3] port link-type trunk
[ACC-GigabitEthernet0/0/3] port trunk allow-pass vlan 10
[ACC] user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 interface
gigabitethernet 0/0/1 //Cree una entrada de vinculación estática para Host_1.
gigabitethernet 0/0/2 //Cree una entrada de vinculación estática para Host_2.
Paso 3 Habilite IPSG.

# Habilite IPSG en GE0/0/1 conectado a Host_1.
[ACC-GigabitEthernet0/0/1] ip source check user-bind enable
# Habilite IPSG en GE0/0/2 conectado a Host_2.

[ACC-GigabitEthernet0/0/2] ip source check user-bind enable

Ejecute el comando display dhcp static user-bind all en el ACC para ver las entradas de
vinculación estática.
[ACC] display dhcp static user-bind all
DHCP static Bind-table:
IP Address MAC Address VSI/VLAN(O/I/P) Interface
--------------------------------------------------------------------------------
10.0.0.2 0002-0002-0002 -- /-- /-- GE0/0/1
10.0.0.5 0005-0005-0005 -- /-- /-- GE0/0/2
--------------------------------------------------------------------------------
Ejecute el comando display dhcp static user-bind all verbose en el ACC para ver el estado
de IPSG. Si el estado es effective, la entrada estática ha tenido efecto.
[ACC] display dhcp static user-bind all verbose
--------------------------------------------------------------------------------
IP Address : 10.0.0.2
MAC Address : 0002-0002-0002
VSI : --
VLAN(O/I/P) : -- /-- /--

Interface : GE0/0/1
IPSG Status : effective slot: <0>
--------------------------------------------------------------------------------
IP Address : 10.0.0.5
MAC Address : 0005-0005-0005
VSI : --
VLAN(O/I/P) : -- /-- /--
Interface : GE0/0/2
IPSG Status : effective slot: <0>
--------------------------------------------------------------------------------
Host_1 puede acceder a Internet y Host_2 no puede acceder a Internet. Después de que la
dirección IP de Host_2 se cambie a 10.0.0.3, Host_2 no puede acceder a Internet y a la
intranet.
----Fin
l Archivo de configuración del Core
#
sysname Core
#
vlan batch 10
#
acl number 3001
rule 5 permit ip source 10.0.0.2 0
rule 10 permit ip source 10.0.0.3 0
rule 15 deny ip source 10.0.0.0 0.0.0.255
#
if-match acl 3001
#
traffic behavior b1
permit
#
#
interface Vlanif10
ip address 10.0.0.1 255.255.255.0
#
#
traffic-policy p1 outbound
#
return
l Archivo de configuración del ACC

#
sysname ACC
#
vlan batch 10
#
#
ip source check user-bind enable

#
#
#
return
12.4.2 Ejemplo para configurar IPSG para evitar que los hosts con
direcciones IP dinámicas cambien sus propias direcciones IP

IPSG es una tecnología de filtrado de direcciones IP de origen aplicada a las interfaces de
Capa 2. Filtra paquetes IP basados en la tabla de vinculación de un switch. Una entrada en la
tabla de vinculación contiene la dirección IP, la dirección MAC, ID de VLAN y la interfaz.
Las entradas de vinculación incluyen entradas estáticas y dinámicas. Se crea manualmente
una tabla de vinculación estática, una tabla de vinculación dinámica es la tabla de vinculación
snooping DHCP. Cuando los hosts obtienen direcciones IP dinámicas, el switch genera
automáticamente las entradas de vinculación dinámica de acuerdo con los paquetes de
respuesta DHCP. Después de crear una tabla de vinculación, el switch coincide los paquetes
recibidos por las interfaces habilitadas por IPSG con las entradas de vinculación. Si los
paquetes coinciden con las entradas de vinculación, se reenvían; de lo contrario, son
descartados. Las opciones de paquetes coincidentes pueden ser una combinación de dirección
IP, dirección MAC, ID de VLAN e interfaz. Por ejemplo, el switch solo coincide con
direcciones IP, direcciones IP y direcciones MAC, o una combinación de direcciones IP,
direcciones MAC, ID de VLAN e interfaces de los paquetes.
Por lo tanto, IPSG proporciona dos funciones:

l Evite que los hosts maliciosos roben las direcciones IP de los hosts autorizados para
hacerse pasar por los hosts autorizados.
l Evite que los hosts no autorizados cambien sus propias direcciones IP a direcciones IP
estáticas para acceder o atacar la red.
Por ejemplo, en una red donde los hosts obtienen direcciones IP de un DHCP server, los hosts
pueden acceder a la red utilizando solo las direcciones IP dinámicas y no pueden usar
direcciones IP estáticas para acceder a la red, a menos que el administrador cree entradas de
vinculación estática para ellos.
– V200R008C10: S5300-10P-PWR-LI-AC
PWR-LI-AC

Requisitos de red
Como se muestra en Figura 12-14, los hosts acceden a la intranet a través de ACC y el Core
funciona como un DHCP server para asignar direcciones IP a los hosts. La impresora usa una
dirección IP estática. El gateway es el dispositivo de salida de la intranet. El administrador no
quiere que los hosts accedan a la intranet usando las direcciones IP configuradas
estáticamente por ellos mismos.
Figura 12-14 Configurar IPSG para evitar que los hosts con direcciones IP dinámicas
cambien sus propias direcciones IP
Internet
Gateway
Core
(DHCP Server)
GE0/0/1
GE0/0/4
VLAN 10
ACC
GE0/0/1 GE0/0/3
GE0/0/2
Host_1 Host_2 Printer

IP: dynamic IP: dynamic IP: 10.1.1.2/24
MAC: 0001-0001-0001 MAC: 0002-0002-0002 MAC: 0003-0003-0003
Plan de datos

VLAN l ACC: Ninguna

GE0/0/2, GE0/0/3 y
GE0/0/4
l Core:
VLAN ID: 10, incluida
la interfaz GE0/0/1
Grupo de direcciones 10.1.1.0/24 Ninguna

Dirección IP de gateway de VLANIF10: 10.1.1.1/24 Ninguna

los hosts

1. Configure el DHCP server en el Core para asignar direcciones IP a los hosts.
2. Configure DHCP snooping en el ACC para garantizar que los hosts puedan obtener
direcciones IP del DHCP Server válido y el DHCP Server puede generar entradas de
vinculación dinámica de DHCP snooping, que registran las vinculaciones de direcciones
IP, direcciones MAC, VLAN e interfaces de hosts.
3. Cree una entrada de vinculación estática para la impresora en el ACC para garantizar el
acceso seguro de la impresora.
4. Habilite IPSG en la VLAN a la que pertenecen los hosts en el ACC para evitar que los
hosts accedan a la intranet con direcciones IP modificadas.
Procedimiento
Paso 1 Configure el DHCP server en el Core.
[Quidway] sysname Core
[Core] vlan batch 10
[Core-GigabitEthernet0/0/1] port link-type trunk
[Core-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[Core] dhcp enable
[Core] ip pool 10
[Core-ip-pool-10] network 10.1.1.0 mask 24
[Core-ip-pool-10] gateway-list 10.1.1.1
[Core-ip-pool-10] quit
[Core] interface vlanif 10
[Core-Vlanif10] ip address 10.1.1.1 255.255.255.0
[Core-Vlanif10] dhcp select global
[Core-Vlanif10] quit
Paso 2 Configure DHCP snooping en el ACC.

# Especifique la VLAN a la que pertenecen las interfaces.
[Quidway] sysname ACC
[ACC] vlan batch 10

[ACC-GigabitEthernet0/0/4] port link-type trunk

[ACC-GigabitEthernet0/0/4] port trunk allow-pass vlan 10
# Habilite DHCP snooping y configure GE0/0/4 conectado al DHCP server como una interfaz
de confianza.
[ACC] dhcp enable //Habilite DHCP
[ACC] dhcp snooping enable //Habilite DHCP Snooping globalmente
[ACC] vlan 10
[ACC-vlan10] dhcp snooping enable //Habilite DHCP Snooping en VLAN 10
[ACC-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/4 //Configure
una interfaz de confianza
[ACC-vlan10] quit
Paso 3 Cree una entrada de vinculación estática para la impresora.

gigabitethernet 0/0/3 vlan 10
Paso 4 Habilite IPSG en la VLAN 10 en el ACC.

[ACC] vlan 10
[ACC-vlan10] ip source check user-bind enable //Habilite IPSG
[ACC-vlan10] quit

Después de que los hosts se conecten, ejecute el comando display dhcp snooping user-bind
all en el ACC para ver las entradas de vinculación dinámica de los hosts.
[ACC] display dhcp snooping user-bind all
DHCP Dynamic Bind-table:
IP Address MAC Address VSI/VLAN(O/I/P) Interface Lease
--------------------------------------------------------------------------------
10.1.1.254 0001-0001-0001 10 /-- /-- GE0/0/1 2014.08.17-07:31
10.1.1.253 0002-0002-0002 10 /-- /-- GE0/0/2 2014.08.17-07:34
--------------------------------------------------------------------------------
Ejecute el comando display dhcp static user-bind all en el ACC para ver la entrada de
vinculación estática de la impresora.
[ACC] display dhcp static user-bind all
--------------------------------------------------------------------------------
10.1.1.2 0003-0003-0003 10 /-- /-- GE0/0/3
--------------------------------------------------------------------------------
Los hosts pueden acceder a la intranet utilizando las direcciones IP asignadas dinámicamente
por el DHCP server. Después de que las direcciones IP dinámicas de los hosts se cambian a
direcciones IP configuradas estáticamente que son diferentes de las dinámicas, los hosts no
pueden acceder a la intranet.
----Fin
l Archivo de configuración del Core
#
sysname Core
#

vlan batch 10
#
dhcp enable
#
ip pool 10
network 10.1.1.0 mask 255.255.255.0
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
dhcp select global
#
#
return
l Archivo de configuración del ACC
#
sysname ACC
#
vlan batch 10
#
dhcp enable
#
GigabitEthernet0/0/3 vlan 10
#
vlan 10
dhcp snooping trusted interface GigabitEthernet0/0/4
#
#
#
#
#
return
12.4.3 Ejemplo para configurar IPSG basado en la tabla de

vinculación estática para evitar que los hosts no autorizados
accedan a la intranet

IPSG es una tecnología de filtrado de direcciones IP de origen aplicada a las interfaces de
Capa 2. Filtra paquetes IP basados en la tabla de vinculación de un switch. Una entrada en la
tabla de vinculación contiene la dirección IP, la dirección MAC, ID de VLAN y la interfaz.
Las entradas de vinculación incluyen entradas estáticas y dinámicas. Se crea manualmente
una tabla de vinculación estática, una tabla de vinculación dinámica es la tabla de vinculación

snooping DHCP. Cuando los hosts obtienen direcciones IP dinámicas, el switch genera
automáticamente las entradas de vinculación dinámica de acuerdo con los paquetes de
respuesta DHCP. Después de crear una tabla de vinculación, el switch coincide los paquetes
recibidos por las interfaces habilitadas por IPSG con las entradas de vinculación. Si los
paquetes coinciden con las entradas de vinculación, se reenvían; de lo contrario, son
descartados. Las opciones de paquetes coincidentes pueden ser una combinación de dirección
IP, dirección MAC, ID de VLAN e interfaz. Por ejemplo, el switch solo coincide con
direcciones IP, direcciones IP y direcciones MAC, o una combinación de direcciones IP,
direcciones MAC, ID de VLAN e interfaces de los paquetes.
Por lo tanto, IPSG proporciona dos funciones:
l Evite que los hosts maliciosos roben las direcciones IP de los hosts autorizados para
hacerse pasar por los hosts autorizados.
l Evite que los hosts no autorizados cambien sus propias direcciones IP a direcciones IP
estáticas para acceder o atacar la red.
Por ejemplo, cuando todos los hosts en una intranet usan direcciones IP estáticas, deben usar
las direcciones IP fijas asignadas por el administrador de red y acceder a la intranet a través de
interfaces fijas. Para garantizar la seguridad de la intranet, los hosts externos no pueden
acceder a la intranet sin permiso.
– V200R008C10: S5300-10P-PWR-LI-AC
PWR-LI-AC
Requisitos de red
Como se muestra en Figura 12-15, los hosts acceden a la intranet de la empresa a través del
switch. El gateway es el dispositivo de salida de la intranet de la empresa. Los hosts usan
direcciones IP estáticas. El administrador ha configurado la limitación de la velocidad de
interfaz en switch y requiere que los hosts usen direcciones IP fijas para acceder a la intranet a
través de puertos fijos. Para garantizar la seguridad de la red, el administrador no permite que
los hosts externos accedan a la intranet sin permiso.

Figura 12-15 Configuración de IPSG basada en la tabla de vinculación estática para evitar
que los hosts no autorizados accedan a la intranet
Internet
Gateway
GE0/0/4
GE0/0/3
Switch
GE0/0/1 GE0/0/2
Host externo Host_3
IP:10.0.0.3/24
MAC:0003-0003-0003
Host_1 Host_2
IP:10.0.0.1/24 IP:10.0.0.2/24
MAC:0001-0001-0001 MAC:0002-0002-0002
VLAN 10
Plan de datos
VLAN l Switch: Ninguna

GE0/0/2, GE0/0/3 y
GE0/0/4
l Gateway:
VLAN ID: 10
Direcciones IP de los hosts 10.0.0.1, 10.0.0.2 Ninguna

permitidos para acceder a la
red.

El requisito del administrador se puede cumplir configurando IPSG en el Switch. La hoja de
ruta de la configuración es la siguiente:
1. Especifique la VLAN a la que pertenecen las interfaces.

2. Configure entradas de vinculación estática para Host_1 y Host_2 para fijar las
vinculaciones entre direcciones IP, direcciones MAC e interfaces.
3. # Configure GE0/0/4 como interfaz de confianza. Switch no realiza una comprobación
de IPSG en los paquetes recibidos por esta interfaz de confianza, por lo que los paquetes
devueltos por la gateway no se descartarán.
4. Habilite IPSG en la VLAN conectada a los hosts de usuario para que Host_1 y Host_2
accedan a la intranet utilizando direcciones IP fijas a través de puertos fijos. Además, el
host externo Host_3 no puede acceder a la intranet.
Procedimiento
Paso 1 Especifique la VLAN a la que pertenecen las interfaces.
Paso 2 Cree entradas de vinculación estática para Host_1 y Host_2.

[Switch] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001
interface gigabitethernet 0/0/1 //Cree una entrada de vinculación estática para
Host_1.
[Switch] user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002
interface gigabitethernet 0/0/2 //Cree una entrada de vinculación estática para
Host_2.
Paso 3 Configure la interfaz de vínculo ascendente GE0/0/4 como una interfaz de confianza.
[Switch] dhcp enable //Habilite DHCP
[Switch] dhcp snooping enable //Habilite DHCP Snooping globalmente
[Switch-GigabitEthernet0/0/4] dhcp snooping trusted //Configure una interfaz de
confianza
Paso 4 Habilite IPSG en VLAN 10 conectado a hosts.

[Switch] vlan 10
[Switch-vlan10] ip source check user-bind enable

Ejecute el comando display dhcp static user-bind all en Switch para ver las entradas de
vinculación de Host_1 y Host_2.
[Switch] display dhcp static user-bind all
--------------------------------------------------------------------------------

10.0.0.1 0001-0001-0001 -- /-- /-- GE0/0/1

10.0.0.2 0002-0002-0002 -- /-- /-- GE0/0/2
--------------------------------------------------------------------------------
Host_1 y Host_2 pueden acceder a la intranet. Después de que las direcciones IP de los hosts
se cambian o los hosts se conectan a otras interfaces, no pueden acceder a la intranet.
Cuando Host_3 con la dirección IP 10.0.0.3 se conecta con GE0/0/3, Host_3 no puede
acceder a la intranet, lo que indica que los hosts externos no pueden acceder a la intranet sin
permiso. Si Host_3 necesita acceder a la intranet, agregue la entrada de Host_3 a la tabla de
vinculación estática.
----Fin
#
sysname Switch
#
vlan batch 10
#
dhcp enable
#
#
vlan 10
#
#
#
#
#
return
12.5 Ejemplo para configurar la seguridad del puerto

Descripción general de la seguridad del puerto
La seguridad del puerto cambia las direcciones MAC dinámicas aprendidas en una interfaz en
direcciones MAC seguras (incluidas direcciones MAC seguras dinámicas y estáticas, y
direcciones MAC adhesivas). Esta función evita que usuarios no autorizados se comuniquen
con el switch mediante esta interfaz. En general, la seguridad del puerto se configura en los

dispositivos de acceso para vincular a los usuarios a las interfaces y controlar a los usuarios de
acceso en las interfaces.
En comparación con la entrada de dirección MAC estática y user-bind utilizados para

vincular a los usuarios estáticamente, la seguridad del puerto vincula dinámicamente a los
usuarios a las interfaces.
En comparación con DHCP snooping que también vincula dinámicamente a los usuarios con
la interfaz, la seguridad del puerto es más fácil de configurar. Además, la seguridad del puerto
puede limitar la cantidad de usuarios de acceso.
l Después de que la limitación de la dirección MAC está configurada en una interfaz, la
seguridad del puerto no se puede configurar en la interfaz.
Requisitos de red
Como se muestra en Figura 12-16, PC1, PC2 y PC3 se conectan a la red de la empresa a
través del switch. Para mejorar la seguridad de acceso de los usuarios, la seguridad del puerto
se habilita en la interfaz del switch para que los usuarios externos no puedan usar sus PC para
acceder a la red de la empresa.
Figura 12-16 Redes para configurar la seguridad del puerto
Intranet
SwitchA
Switch
GE1/0/1 GE1/0/3
GE1/0/2
VLAN 10
PC1 PC2 PC3

1. Cree una VLAN para implementar el reenvío de Capa 2.

2. Configure la seguridad del puerto y habilite la función MAC adhesiva para que las
entradas de la dirección MAC no se pierdan después de que se haya guardado la
configuración del dispositivo y se haya reiniciado.

Procedimiento
Paso 1 Cree una VLAN en el switch y agregue interfaces a la VLAN. Las configuraciones de
GE1/0/2 and GE1/0/3 son similares a la configuración de 1/0/1, y no se mencionan aquí.
[Switch-GigabitEthernet1/0/1] port link-type access //El tipo de enlace de la
interfaz conectada al PC debe ser acceso. El tipo de enlace predeterminado de una
interfaz no es acceso, por lo que debe configurar manualmente el tipo de enlace
de la interfaz a acceso.
Paso 2 Configure la seguridad del puerto en GE1/0/1. Las configuraciones de GE1/0/2 and GE1/0/3
son similares a la configuración de GE1/0/1, y no se mencionan aquí.
[Switch-GigabitEthernet1/0/1] port-security enable //Habilite la seguridad del
puerto.
[Switch-GigabitEthernet1/0/1] port-security mac-address sticky //La función
sticky MAC se puede habilitar solo después de que la seguridad del puerto esté
habilitada.
[Switch-GigabitEthernet1/0/1] port-security max-mac-num 1 //Una vez que se
habilita la seguridad del puerto, una interfaz puede aprender solo una entrada de
dirección MAC predeterminadamente. Si un usuario necesita ser limitado, ignore
esta configuración.
NOTA
l Una interfaz puede aprender solo una entrada de dirección MAC segura por defecto. Si varias PC se
conectan a la red de la empresa usando una interfaz, ejecute el comando port-security max-mac-
num para cambiar la cantidad máxima de direcciones MAC seguras.
l Si una PC se conecta al switch utilizando un teléfono IP, establezca la cantidad máximo de
direcciones MAC seguras en 3 porque el teléfono IP ocupa dos entradas de dirección MAC y el PC
ocupa una entrada de dirección MAC. Las ID de VLAN en dos entradas de dirección MAC
utilizadas por el teléfono IP son diferentes. Las dos VLAN se utilizan para transmitir paquetes de
voz y datos, respectivamente.

Si PC1, PC2 y PC3 son reemplazados por otras PC, los PC no pueden acceder a la red de la
empresa.
----Fin
#
sysname Switch
#
vlan batch 10
#
port-security enable
port-security mac-address sticky
#

#
#
return

Ejemplos típicos de configuración 13 Configuración típica de QoS
13 Configuración típica de QoS
13.1 Ejemplo para configurar el remarcado prioritario y la planificación de colas

13.2 Ejemplo para configurar la limitación de tasa basada en interfaz en un Switch fijo
13.3 Ejemplo para configurar la limitación de tasa basada en la interfaz en un switch modular
13.4 Ejemplo para configurar una política de tráfico para implementar la limitación de tasa
13.5 Ejemplo para configurar la limitación de velocidad en un rango de tiempo especificado
13.6 Ejemplo para configurar la limitación de tasa basados en ID de VLAN
13.7 Ejemplo para configurar el modelado del tráfico (Uso del mapeo de prioridades basado
en el dominio DiffServ)
13.8 Ejemplo para configurar el modelado de tráfico (Basado en 802.1p Priority Trust)
13.9 Ejemplo para configurar la gestión de la congestión (modo de plantilla de planificación)
13.10 Ejemplo para configurar la evitación de congestión y la gestión de congestión
(mediante la planificación de WRR y una política de SRED)
13.11 Ejemplo para configurar la evitación de congestión y la gestión de congestión (mediante
la planificación PQ+WDRR y un perfil WERD)
13.12 Ejemplo para configurar una política de tráfico para evitar que algunos usuarios
accedan a Internet en el tiempo especificado
13.13 Ejemplo para configurar una política de tráfico para recopilar estadísticas en paquetes
ping
13.14 Ejemplo para configurar una política de tráfico para implementar estadísticas de tráfico
13.15 Ejemplo para limitar el acceso basado en el ID de flujo
13.16 Ejemplo para configurar una política de tráfico para limitar el acceso entre segmentos
de red
13.17 Ejemplo para configurar HQoS

13.1 Ejemplo para configurar el remarcado prioritario y la

planificación de colas
El dispositivo asigna o modifica las prioridades de las agrupaciones recibidas en función de
las reglas y planifica los servicios según prioridades asignadas o modificadas.
El remarcado prioritario permite al dispositivo volver a marcar las prioridades de los
paquetes. Puede establecer o modificar manualmente las prioridades de paquetes para
controlar la planificación de paquetes y mejorar la capacidad de reenvío de paquetes del
dispositivo.

S2300 S2352P-EI V100R006C05
S2320EI V200R011C10, V200R012C00
S2350EI V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S3300 S3300SI y S3300EI V100R006C05
S3300HI V200R001C00
S5300 S5300LI V200R001C00, V200R002C00,

V200R003(C00&C02),
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5300SI V200R001C00, V200R002C00,

V200R003C00,
V200R005(C00&C02)
S5300EI V200R001C00, V200R002C00,

V200R003C00,
V200R005(C00&C01&C02)

S5300HI V200R001(C00&C01),
V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S5306 V200R001C00, V200R002C00,

V200R003C00, V200R005C00
S5310EI V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320LI V200R010C00, V200R011C10,

V200R012C00
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320EI V200R007C00, V200R008C00,

V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01),

V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S6320SI V200R011C10, V200R012C00
S6320EI V200R008C00, V200R009C00,

V200R010C00, V200R011C10,
V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306 y S9312 V200R001C00, V200R002C00,

V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10,

V200R012C00
S9300X S9310X V200R010C00, V200R011C10,

V200R012C00

S9300E S9303E, S9306E y V200R001C00, V200R002C00,

S9312E V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Requisitos de red
En Figura 13-1, una empresa tiene tres servicios: consulta de datos, procesamiento de correo
electrónico y transferencia de archivos. Los tres servicios tienen diferentes prioridades.
Cuando los servidores de acceso de HostA y HostB de los tres servicios, los servicios deben
procesarse en orden de prioridad descendente. El remarcado prioritario y la planificación de
colas pueden lograr esto.
Figura 13-1 Redes de remarcado prioritario y planificación de colas
Internet Servidor de
datos
192.168.1.10
HostA GE1/0/1 GE1/0/2
SwitchA Servidor de
correo
192.168.1.11
HostB
Servidor FTP
192.168.1.12

1. Configure clasificadores de tráfico para clasificar paquetes basados en las direcciones IP
de los servidores.

2. Configure los comportamientos de tráfico y defina el remarcado de prioridad.

3. Configure una política de tráfico y vincule la política de tráfico con los clasificadores de
tráfico y el comportamiento del tráfico, y aplique la política de tráfico a GE1/0/1 en la
dirección de entrada para marcar de nuevo las prioridades de los paquetes entrantes.
4. Configure PQ en GE1/0/2 para planificar paquetes en orden descendente de prioridad.
Procedimiento
Paso 1 Configure ACL para clasificar paquetes basados en las direcciones IP de los servidores.
# Configure la ACL avanzada 3001 para clasificar paquetes con la dirección IP de destino de
192.168.1.10.
[SwitchA] acl 3001
[SwitchA-acl-adv-3001] rule permit ip destination 192.168.1.10 0.0.0.0
192.168.1.11.
[SwitchA] acl 3002
192.168.1.12.
[SwitchA] acl 3003
Paso 2 Configure clasificadores de tráfico para clasificar paquetes basados en direcciones IP de

destino.
# Configure un clasificador de tráfico denominado dbserver para hacer coincidir paquetes
con la dirección IP de destino de 192.168.1.10.
[SwitchA] traffic classifier dbserver operator and
[SwitchA-classifier-dbserver] if-match acl 3001 //Configure el dispositivo para
que coincida con los paquetes con la dirección IP de destino de 192.168.1.10.
[SwitchA-classifier-dbserver] quit
# Configure un clasificador de tráfico denominado mailserver para hacer coincidir paquetes

[SwitchA] traffic classifier mailserver operator and
[SwitchA-classifier-mailserver] if-match acl 3002 //Configure el dispositivo
para que coincida con los paquetes con la dirección IP de destino de 192.168.1.11.
[SwitchA-classifier-mailserver] quit
# Configure un clasificador de tráfico denominado ftpserver para hacer coincidir paquetes

[SwitchA] traffic classifier ftpserver operator and
[SwitchA-classifier-ftpserver] if-match acl 3003 //Configure el dispositivo para
que coincida con los paquetes con la dirección IP de destino de 192.168.1.12.
[SwitchA-classifier-ftpserver] quit
Paso 3 Configure los comportamientos de tráfico y defina el remarcado de prioridad.

# Configure un comportamiento de tráfico denominado dbserver para volver a marcar los
paquetes destinados a 192.168.1.10 con 4.

[SwitchA] traffic behavior dbserver

[SwitchA-behavior-dbserver] remark local-precedence 4 //Configure el dispositivo
para volver a marcar la prioridad local de los paquetes destinados a 192.168.1.10
con 4.
[SwitchA-behavior-dbserver] quit
# Configurar un comportamiento de tráfico denominado mailserver para volver a marcar los

[SwitchA] traffic behavior mailserver
[SwitchA-behavior-mailserver] remark local-precedence 3 //Configure el
dispositivo para volver a marcar la prioridad local de los paquetes destinados a
192.168.1.11 con 3.
[SwitchA-behavior-mailserver] quit
# Configure un comportamiento de tráfico denominado ftpserver para volver a marcar los

[SwitchA] traffic behavior ftpserver
[SwitchA-behavior-ftpserver] remark local-precedence 2 //Configure el
dispositivo para volver a marcar la prioridad local de los paquetes destinados a
192.168.1.12 con 2.
[SwitchA-behavior-ftpserver] quit
Paso 4 Configure una política de tráfico y vincule los clasificadores de tráfico y el comportamiento
del tráfico con la política de tráfico.
[SwitchA] traffic policy policy1
[SwitchA-trafficpolicy-policy1] classifier dbserver behavior dbserver
[SwitchA-trafficpolicy-policy1] classifier mailserver behavior mailserver
[SwitchA-trafficpolicy-policy1] classifier ftpserver behavior ftpserver
[SwitchA-trafficpolicy-policy1] quit
Paso 5 Aplique la política de tráfico a GE1/0/1 para remarcar las prioridades de los paquetes
entrantes.
[SwitchA-GigabitEthernet1/0/1] traffic-policy policy1 inbound //Aplique la
política de tráfico en la dirección de entrada.
Paso 6 Configure PQ en GE1/0/2 para planificar paquetes en orden descendente de prioridad.

l En S9300, S9300E, S9300X, S2352P-EI, S3300SI, S3300EI, S3300HI, S5300EI,
S5310EI, S5320EI, S5306, S5300HI, S5320HI, S6300EI, S6320EI, y S6320HI , realice
las siguientes configuraciones.
[SwitchA-GigabitEthernet1/0/2] qos pq //Configure la planificación de PQ en
la interfaz. En el modo PQ, el dispositivo primero planifica los paquetes de
alta prioridad.
l En S2320EI, S2350EI, S5300LI, S5300SI, S5320LI, S5320SI, S5330SI, y S6320SI

realice las siguientes configuraciones.
[SwitchA] qos schedule-profile pqtemplate //Cree un perfil de planificación.
[SwitchA-qos-schedule-profile-pqtemplate] qos pq //Configure la
planificación de PQ.
[SwitchA-qos-schedule-profile-pqtemplate] quit
[SwitchA-GigabitEthernet1/0/2] qos schedule-profile pqtemplate //Aplique el
perfil de planificación a la interfaz.

[SwitchA] display traffic policy user-defined

Policy: policy1
Classifier: dbserver
Operator: AND
Behavior: dbserver
Remark:
Remark local-precedence af4
Classifier: mailserver
Operator: AND
Behavior: mailserver
Remark:
Classifier: ftpserver
Operator: AND
Behavior: ftpserver
Remark:
# Compruebe el registro de la política de tráfico. La política de tráfico se aplicó con éxito a

GE1/0/1.
[SwitchA] display traffic-policy applied-record policy1
-------------------------------------------------
Policy Name: policy1
Policy Index: 0
Classifier:dbserver Behavior:dbserver
Classifier:mailserver Behavior:mailserver
Classifier:ftpserver Behavior:ftpserver
-------------------------------------------------
slot 1 : success
-------------------------------------------------
Policy total applied times: 1.
----Fin
l Archivo de configuración de Switch (aplicable a S9300, S9300E, S9300X, S2352P-EI,
S3300SI, S3300EI, S3300HI, S5300EI, S5310EI, S5320EI, S5306, S5300HI, S5320HI,
S6300EI, S6320EI, y S6320HI )
#
sysname SwitchA
#
acl number 3001
acl number 3002
acl number 3003
#
traffic classifier dbserver operator and
if-match acl 3001
traffic classifier ftpserver operator and
if-match acl 3003
traffic classifier mailserver operator and
if-match acl 3002
#
traffic behavior dbserver
remark local-precedence af4
traffic behavior ftpserver
traffic behavior mailserver
#

classifier dbserver behavior dbserver

classifier mailserver behavior mailserver
classifier ftpserver behavior ftpserver
#
#
qos pq
#
return
l Archivo de configuración de Switch (aplicable a S2320EI, S2350EI, S5300LI, S5300SI,

S5320LI, S5320SI, S5330SI, y S6320SI)
#
sysname SwitchA
#
acl number 3001
acl number 3002
acl number 3003
#
traffic classifier dbserver operator and
if-match acl 3001
traffic classifier ftpserver operator and
if-match acl 3003
traffic classifier mailserver operator and
if-match acl 3002
#
traffic behavior dbserver
traffic behavior ftpserver
traffic behavior mailserver
#
traffic policy policy1
classifier dbserver behavior dbserver
classifier mailserver behavior mailserver
classifier ftpserver behavior ftpserver
#
#
qos schedule-profile pqtemplate
#
qos schedule-profile pqtemplate
qos pq
#
return
13.2 Ejemplo para configurar la limitación de tasa basada

en interfaz en un Switch fijo
La limitación de tasa basada en la interfaz es fácil de configurar y limita la tasa de todos los
paquetes enviados o recibidos en una interfaz, independientemente del tipo de paquete. Una
interfaz habilitada con esta función se le puede asignar ancho de banda fijo.

La limitación de tasa basada en la interfaz en las direcciones de entrada y de salida puede

configurarse simultáneamente o separadamente.
S2300 S2352P-EI V100R006C05
S2320EI V200R011C10, V200R012C00
S2350EI V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S3300 S3300SI y S3300EI V100R006C05
S3300HI V200R001C00
S5300 S5300LI V200R001C00, V200R002C00,

V200R003(C00&C02),
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5300SI V200R001C00, V200R002C00,

V200R003C00,
V200R005(C00&C02)
S5300EI V200R001C00, V200R002C00,

V200R003C00,
V200R005(C00&C01&C02)
S5300HI V200R001(C00&C01),
V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S5306 V200R001C00, V200R002C00,

V200R003C00, V200R005C00
S5310EI V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320LI V200R010C00, V200R011C10,

V200R012C00
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00

S5320EI V200R007C00, V200R008C00,

V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01),

V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S6320SI V200R011C10, V200R012C00
S6320EI V200R008C00, V200R009C00,

V200R010C00, V200R011C10,
V200R012C00
S6320HI V200R012C00
NOTA
Requisitos de red
En Figura 13-2, el Switch conecta al router a través de GE0/0/3, y los departamentos
empresariales 1 y 2 están conectados a Switch a través de GE0/0/1 y GE0/0/2 respectivamente
y acceden Internet a través deSwitch y router.
Los servicios son singulares y, por lo tanto, no es necesario diferenciarlos. Con ancho de
banda de red finito, el ancho de banda de cada departamento de la empresa debe ser limitado.
El departamento de empresa 1 requiere el CIR de 8 Mbit/s en la dirección de salida, y el
departamento de empresa 2 requiere el CIR de 5 Mbit/s en la dirección de salida.

Figura 13-2 Redes de limitación de tasa basada en interfaz
Red
Router
GE0/0/3 Dirección
de tráfico
GE0/0/1 GE0/0/2
Switch
SwitchA SwitchB
Departamento 1 Departamento 2

1. Configure las interfaces de Switch que los usuarios puedan acceder a Internet.
2. Configure la limitación de tasa basada en GE en 0/0/1 y GE 0/0/2 del Switchen la
dirección entrante.
Procedimiento
Paso 1 Cree VLAN y configure las interfaces de Switch.
# Cree VLAN 100, VLAN 200 y VLAN 300.
# Configure GE0/0/1, GE0/0/2 y GE0/0/3 como trunk interfaces, y configure GE0/0/1 para
permitir la VLAN 100, GE0/0/2 para permitir la VLAN 200 y GE0/0/3 para permitir VLAN
100, VLAN 200 y VLAN 300.
[Switch-GigabitEthernet0/0/1] port link-type trunk //Establezca el tipo de
enlace de la interfaz en el enlace trunk. El tipo de enlace predeterminado de la
interfaz no es trunk.
# Cree VLANIF 300 y establezca su dirección IP en 192.168.1.1/24.


NOTA
En el router, establezca la dirección IP de la interfaz conectada a Switch a 192.168.1.2/24 y configure las

subinterfaces en la interfaz para terminar las VLAN.
Paso 2 Configure la limitación de tasa basada en la interfaz.

# Configure la limitación de tasa en GE0/0/1 en la dirección de entrada y configure el CIR en
8192 kbit/s.
[Switch-GigabitEthernet0/0/1] qos lr inbound cir 8192 //Establezca el CIR del
departamento 2 en la dirección de salida a 8 Mbit/s.
# Configure la limitación de tasa en GE0/0/2 en la dirección de entrada y configure el CIR a

5120 kbit/s.
[Switch-GigabitEthernet0/0/2] qos lr inbound cir 5120 //Establezca el CIR del
departamento 2 en la dirección de salida a 5 Mbit/s.

# Compruebe la configuración de limitación de tasa basada en la interfaz.
[Switch] display qos lr inbound interface gigabitethernet 0/0/1
GigabitEthernet0/0/1 lr inbound:
cir: 8192 Kbps, cbs: 1024000 Byte
[Switch] display qos lr inbound interface gigabitethernet 0/0/2
GigabitEthernet0/0/2 lr inbound:
cir: 5120 Kbps, cbs: 640000 Byte
# GE0/0/1 se usa como ejemplo. Cuando la tasa de tráfico en la interfaz en la dirección de

entrada es mayor que 8 Mbit/s, se produce la pérdida de paquetes. La tasa de tráfico está
limitada dentro de 8 Mbit/s.
[Switch] display qos statistics interface gigabitethernet 0/0/1 inbound
---------------------------------------------------------
Item Value
---------------------------------------------------------
Passed packets 30,715
Passed bytes -
Dropped packets 16,555
Dropped bytes -
---------------------------------------------------------
----Fin
#
sysname Switch
#
#
interface Vlanif300
ip address 192.168.1.1 255.255.255.0
#


qos lr inbound cir 8192 cbs 1024000
#
qos lr inbound cir 5120 cbs 640000
#
#
return
13.3 Ejemplo para configurar la limitación de tasa basada

en la interfaz en un switch modular
La limitación de tasa basada en la interfaz es fácil de configurar y limita la tasa de todos los
paquetes enviados o recibidos en una interfaz, independientemente del tipo de paquete. Una
interfaz habilitada con esta función se le puede asignar ancho de banda fijo.
La limitación de tasa basada en la interfaz en las direcciones de entrada y de salida puede
configurarse simultáneamente o separadamente.

S9300 S9303, S9306 y S9312 V200R001C00, V200R002C00,

V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10,

V200R012C00
S9300X S9310X V200R010C00, V200R011C10,

V200R012C00
S9300E S9303E, S9306E y S9312E V200R001C00, V200R002C00,

V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00

NOTA
Requisitos de red
En Figura 13-3, el Switch conecta al router a través de GE2/0/1, y los departamentos
empresariales 1 y 2 están conectados a Switch a través de GE1/0/1 y GE1/0/2 respectivamente
y acceden a Internet a través de Switch y el router.
Solo los servicios de datos se transmiten por la red, por lo que no es necesario diferenciar los
servicios. Con ancho de banda de red finito, el ancho de banda de cada departamento de la
empresa debe ser limitado. El departamento empresarial 1 requiere el CIR de 8 Mbit/s y el
PIR de 10 Mbit/s, y el departamento empresarial 2 requiere el CIR de 5 Mbit/s y el PIR de 8
Mbit/s.
Figura 13-3 Redes de limitación de tasa basada en interfaz
Red
Router
GE2/0/1 Dirección
de tráfico
GE1/0/1 GE1/0/2
Switch
SwitchA SwitchB

1. Cree VLAN y configure las interfaces para que los usuarios puedan acceder a Internet a
través de Switch.
2. Cree diferentes perfiles de CAR y configure los CIR y PIR en los perfiles de CAR, y
aplique los perfiles de CAR a GE1/0/1 y GE1/0/2 en Switch en la dirección de entrada
para limitar la tasa de paquetes de diferentes departamentos empresariales.
Procedimiento
Paso 1 Cree VLAN y configure las interfaces de Switch.

# Configure GE1/0/1, GE1/0/2 y GE2/0/1 como trunk interfaces, y agregue GE1/0/1 a VLAN
100, GE1/0/2 a VLAN 200 y GE2/0/1 a VLAN 100 y VLAN 200.
enlace de la interfaz en el enlace trunk. El tipo de enlace predeterminado de la
interfaz no es trunk.
Paso 2 Configure los perfiles de CAR
# Cree perfiles de CAR y car1 y car2 en Switch para limitar la tasa de tráfico de los
departamentos empresariales 1 y 2.
[Switch] qos car car1 cir 8192 pir 10240 //Configure el CIR a 8 Mbit/s y PIR a
10 Mbit/s en el perfil de CAR car1.
[Switch] qos car car2 cir 5120 pir 8192 //Configure el CIR a 5 Mbit/s y PIR a 8
Mbit/s en el perfil de CAR car2.
Paso 3 Aplique los perfiles de CAR
# Aplique los perfiles de CAR a GE1/0/1 y GE1/0/2 en Switch en la dirección entrante

respectivamente, para limitar la tasa de tráfico de los departamentos empresariales 1 y 2.
[Switch-GigabitEthernet1/0/1] qos car inbound car1
[Switch-GigabitEthernet1/0/2] qos car inbound car2
[Switch] quit
# Compruebe la configuración del perfil de CAR.

<Switch> display qos car all
----------------------------------------------------------------
CAR Name : car1
CAR Index : 0
car cir 8192 (Kbps) pir 10240 (Kbps) cbs 1024000 (byte) pbs 1280000 (byte)
----------------------------------------------------------------
CAR Name : car2
CAR Index : 1
car cir 5120 (Kbps) pir 8192 (Kbps) cbs 640000 (byte) pbs 1024000 (byte)
# Envíe tráfico a tasa de 6000 kbit/s, 9000 kbit/s y 11 000 kbit/s a GE1/0/1 y GE1/0/2, y
ejecute el comando de display qos car statistics para ver las estadísticas de tráfico. Cuando
los paquetes se envían a GE1/0/1 y GE1/0/2 a una tasa de 6000 kbit/s, todos los paquetes se
envían. Cuando los paquetes se envían a GE1/0/1 y GE1/0/2 a una tasa de 9000 kbit/s, todos
los paquetes en GE1/0/1 se envían y algunos paquetes en GE1/0/2 se descartan. Cuando los

paquetes se envían a GE1/0/1 y GE1/0/2 a una tasa de 11 000 kbit/s, algunos paquetes en
GE1/0/1 y GE1/0/2 se descartan.
----Fin
#
sysname Switch
#
vlan batch 100 200
#
qos car car1 cir 8192 pir 10240 cbs 1024000 pbs 1280000
qos car car2 cir 5120 pir 8192 cbs 640000 pbs 1024000
#
qos car inbound car1
#
qos car inbound car2
#
#
return
13.4 Ejemplo para configurar una política de tráfico para

implementar la limitación de tasa
En una política de tráfico, las reglas de la Lista de control de acceso (ACL) se pueden usar
para clasificar paquetes. Las ACL se clasifican como ACL básica, avanzada y de Capa 2. Una
ACL básica define reglas basadas en la dirección IP de origen, el indicador de fragmento y el
rango de tiempo. La vigilancia del tráfico se configura en el comportamiento del tráfico para
limitar la tasa de paquetes coincidentes.
Una Lista de control de acceso (ACL) consiste en una o más reglas. Las reglas determinan si
los paquetes coinciden con las condiciones, como las direcciones de origen, las direcciones de
destino y los números de puerto de los paquetes.
S2300 S2352P-EI V100R006C05

S2320EI V200R011C10, V200R012C00
S2350EI V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S3300 S3300SI y S3300EI V100R006C05
S3300HI V200R001C00
S5300 S5300LI V200R001C00, V200R002C00,

V200R003(C00&C02),
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5300SI V200R001C00, V200R002C00,

V200R003C00,
V200R005(C00&C02)
S5300EI V200R001C00, V200R002C00,

V200R003C00,
V200R005(C00&C01&C02)
S5300HI V200R001(C00&C01),
V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S5306 V200R001C00, V200R002C00,

V200R003C00, V200R005C00
S5310EI V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320LI V200R010C00, V200R011C10,

V200R012C00
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320EI V200R007C00, V200R008C00,

V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5330SI V200R011C10, V200R012C00

S6300 S6300EI V200R001(C00&C01),

V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S6320SI V200R011C10, V200R012C00
S6320EI V200R008C00, V200R009C00,

V200R010C00, V200R011C10,
V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306 y S9312 V200R001C00, V200R002C00,

V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10,

V200R012C00
S9300X S9310X V200R010C00, V200R011C10,

V200R012C00
S9300E S9303E, S9306E y V200R001C00, V200R002C00,

S9312E V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Requisitos de red
En Figura 13-4, la empresa tiene dos departamentos, que pertenecen a VLAN 10 y VLAN
20, respectivamente. Algunos servidores se despliegan en la VLAN 10 y se requiere un ancho
de banda alto; los empleados solo necesitan acceder a Internet en la VLAN 20 y no existen
grandes requisitos para el ancho de banda. La compañía compra una línea arrendada de 10
Mbit/s. La compañía requiere que el ancho de banda para el acceso a Internet en la VLAN 20
esté entre 2 Mbit/s y 4 Mbit/s, y el tráfico que exceda 4 Mbit/s se descarte.

Figura 13-4 Configurar una política de tráfico para implementar la limitación de tasa
VLAN 10
192.168.1.0/24 GE1/0/1
10.1.20.1/24
GE1/0/3 GE1/0/2
Red
GE0/0/1
VLAN 20 GE1/0/2
192.168.2.0/24
Dispositivo Interfaz VLAN Interfaz de Dirección IP

Capa 3
SwitchA GigabitEthernet VLAN 10 - -

1/0/1
GigabitEthernet VLAN 20 - -
1/0/2
GigabitEthernet VLAN 10 y - -
1/0/3 VLAN 20
Switch GigabitEthernet VLAN 10 y VLANIF 10 y VLANIF 10:

1/0/1 VLAN 20 VLANIF 20 192.168.1.1/24
VLANIF 20:
192.168.2.1/24
GigabitEthernet VLAN 30 VLANIF 30 10.1.20.2/24

1/0/2

1. Cree VLAN y configure interfaces y un protocolo de enrutamiento para implementar el
interfuncionamiento entre la empresa y la red externa.
2. Configure una ACL en el Switch para hacer coincidir el tráfico de un segmento de red
específico.
3. Configure un clasificador de tráfico en Switch para clasificar paquetes basados en la
ACL.
4. Configure un comportamiento de tráfico en el Switch para limitar la tasa de tráfico
coincidente.
5. Configure una política de tráfico en el Switch, vincule la política de tráfico con el
clasificador de tráfico y el comportamiento del tráfico, y aplique la política de tráfico a
GE1/0/1 conectada a SwitchA en la dirección entrante para implementar la limitación de
tasa.

Procedimiento
Paso 1 Cree VLAN y configure interfaces y un protocolo de enrutamiento.
[Switch] vlan batch 10 20 30 //Cree VLAN 10, VLAN 20 y VLAN 30.
enlace de la interfaz en el enlace trunk.
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 20 //Agregue la
enlace de la interfaz a acceso.
[Switch-GigabitEthernet1/0/2] port default vlan 30 //Agregue la interfaz a la
VLAN 30.
[Switch] interface vlanif 10 //Cree una interfaz VLANIF.
[Switch-Vlanif10] ip address 192.168.1.1 255.255.255.0 //Configure una dirección
IP para la interfaz VLANIF. La dirección IP es la dirección de puerta de enlace
del segmento de red 192.168.1.0/24.
[Switch] interface vlanif 30 //Crea una interfaz VLANIF.
IP a la interfaz VLANIF para conectarse con el router.
[Switch] ip route-static 0.0.0.0 0 10.1.20.1 //Configure una ruta estática
apuntanda a la red externa para implementar el interfuncionamiento.
[SwitchA-GigabitEthernet1/0/1] port link-type access //Establezca el tipo de
[SwitchA-GigabitEthernet1/0/1] port default vlan 10 //Agregue la interfaz a la
VLAN 10.
[SwitchA-GigabitEthernet1/0/3] port link-type trunk //Establezca el tipo de
enlace de la interfaz en el enlace trunk.
[SwitchA-GigabitEthernet1/0/3] port trunk allow-pass vlan 10 20 //Agregue la
# Configure el router.
Configure la dirección IP de 10.1.20.1/24 para la interfaz del router conectado al switch.
# Configure una ACL en el Switch para que coincida con el tráfico del segmento de red
192.168.2.0/24.

[Switch] acl 3000

Paso 3 Configure un clasificador de tráfico.

# Configure un clasificador de tráfico en Switch para clasificar los paquetes basados en la
ACL.
[Switch] traffic classifier c1 operator and

# Configure un comportamiento de tráfico en el Switch para limitar la tasa de tráfico
coincidente.
[Switch-behavior-b1] car cir 2048 pir 4096 //Establezca el CIR a 2 Mbit/s y PIR
a 4 Mbit/s.
[Switch-behavior-b1] statistic enable
# Cree una política de tráfico en el Switch, vincule el comportamiento del tráfico y el
clasificador de tráfico a la política de tráfico, y aplique la política de tráfico a la dirección
entrante de GE1/0/1 conectado a SwitchA.

Acl's step is 5
rule 5 permit ip source 192.168.2.0 0.0.0.255 (match-counter 0)

[Switch] display traffic policy user-defined p1
Policy: p1
Classifier: c1
Operator: AND
Behavior: b1
Permit
Committed Access Rate:
CIR 2048 (Kbps), PIR 4096 (Kbps), CBS 256000 (byte), PBS 512000 (byte)
Color Mode: color Blind
Conform Action: pass
Yellow Action: pass
Exceed Action: discard
Statistic: enable
# Compruebe la política de tráfico que se aplica a la interfaz. Cuando la tasa de paquetes del
segmento de red 192.168.2.0/24 es mayor que 4 Mbit/s, se produce la pérdida de paquetes. La
tasa de paquetes del segmento de red está limitada dentro de 4 Mbit/s.
[Switch] display traffic policy statistics interface gigabitethernet 1/0/1 inbound

Interface: GigabitEthernet1/0/1
Traffic policy inbound: p1
Rule number: 3
Current status: success
Statistics interval: 300
---------------------------------------------------------------------
Board : 1
---------------------------------------------------------------------
Matched | Packets: 82,455
| Bytes: -
| Rate(pps): 0
| Rate(bps): -
---------------------------------------------------------------------
Passed | Packets: 53,385
| Bytes: -
| Rate(pps): 0
| Rate(bps): -
---------------------------------------------------------------------
Dropped | Packets: 29,070
| Bytes: -
| Rate(pps): 0
| Rate(bps): -
---------------------------------------------------------------------
Filter | Packets: 0
| Bytes: -
---------------------------------------------------------------------
Car | Packets: 29,070
| Bytes: -
---------------------------------------------------------------------
----Fin
#
sysname Switch
#
vlan batch 10 20 30
#
acl number 3000
#
traffic classifier c1 operator and precedence 5
if-match acl 3000
#
traffic behavior b1
permit
car cir 2048 pir 4096 cbs 256000 pbs 512000 mode color-blind green pass
yellow pass red discard
statistic enable
#
#
interface Vlanif10
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif20
ip address 192.168.2.1 255.255.255.0
#
interface Vlanif30
ip address 10.1.20.2 255.255.255.0
#

#
#
ip route-static 0.0.0.0 0.0.0.0 10.1.20.1
#
return

#
sysname SwitchA
#
vlan batch 10 20
#
#
#
#
return
13.5 Ejemplo para configurar la limitación de velocidad en

un rango de tiempo especificado
Una ACL contiene varias condiciones de coincidencia. Puede configurar un rango de tiempo
y referenciarlo en las reglas de ACL en el dispositivo. Esto permite que el dispositivo haga
coincidir los paquetes según el rango de tiempo, y el administrador puede aplicar diferentes
políticas a los paquetes en diferentes rangos de tiempo.
En este ejemplo, una ACL básica define un rango de tiempo y el módulo de política de tráfico
hace referencia a la ACL básica para limitar la tasa de acceso a Internet durante el intervalo de
tiempo especificado.

S2300 S2352P-EI V100R006C05
S2320EI V200R011C10, V200R012C00

S2350EI V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S3300 S3300SI y S3300EI V100R006C05
S3300HI V200R001C00
S5300 S5300LI V200R001C00, V200R002C00,

V200R003(C00&C02),
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5300SI V200R001C00, V200R002C00,

V200R003C00,
V200R005(C00&C02)
S5300EI V200R001C00, V200R002C00,

V200R003C00,
V200R005(C00&C01&C02)
S5300HI V200R001(C00&C01),
V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S5306 V200R001C00, V200R002C00,

V200R003C00, V200R005C00
S5310EI V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320LI V200R010C00, V200R011C10,

V200R012C00
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320EI V200R007C00, V200R008C00,

V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5330SI V200R011C10, V200R012C00

S6300 S6300EI V200R001(C00&C01),

V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S6320SI V200R011C10, V200R012C00
S6320EI V200R008C00, V200R009C00,

V200R010C00, V200R011C10,
V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306 y S9312 V200R001C00, V200R002C00,

V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10,

V200R012C00
S9300X S9310X V200R010C00, V200R011C10,

V200R012C00
S9300E S9303E, S9306E y V200R001C00, V200R002C00,

S9312E V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Requisitos de red
En Figura 13-5, los usuarios empresariales conectan a dispositivos de red externos a través de
GE2/0/1 del switch.
Durante las horas de trabajo de 8:30 a 18:00, la tasa de acceso a Internet de los empleados
debe limitarse a 4 Mbit/s.

Figura 13-5 Redes para configurar la limitación de velocidad en un rango de tiempo

específico
IP: 192.168.1.10/24
HostA
IP: 192.168.1.11/24 GE1/0/1 GE2/0/1

Internet
HostB LSW Switch Router
IP: 192.168.1.12/24
Red de campus Dirección del

HostC
empresarial tráfico

La política de tráfico basada en el rango de tiempo se usa para implementar la limitación de
velocidad. La hoja de ruta de la configuración es la siguiente:
1. Configure las interfaces para que los usuarios empresariales puedan acceder a Internet a
través deSwitch.
2. Configure un rango de tiempo y haga referencia al rango de tiempo en una ACL.
3. Configure una ACL para coincidir con el tráfico que pasa el dispositivo en el rango de
tiempo especificado.
4. Configure una política de tráfico para limitar la tasa de paquetes que coinciden con las
reglas de ACL.
5. Aplique la política de tráfico a GE1/0/1 en la dirección de entrada.
Procedimiento
Paso 1 Cree una VLAN y configure las interfaces.
# Cree VLAN 10 en el Switch.
[Switch] vlan 10
# Configure GE1/0/1 y GE 2/0/1 en la Switch como trunk interfaces y agréguelos a la VLAN

10.

NOTA
Configure la interfaz del LSW conectado al Switch como trunk interfaz y agréguela a la VLAN 10.

NOTA
En el router, establezca la dirección IP de la interfaz conectada a Switch a 192.168.1.2/24 y configure las

sub interfaces en la interfaz para terminar las VLAN.
Paso 2 Cree un rango de tiempo periódico working_time que defina horas de trabajo de 8:30 a
18:00.
[Switch] time-range working_time 08:30 to 18:00 working-day //Defina las horas
de trabajo.
Paso 3 Configure ACL 2001 y defina tres reglas para limitar el ancho de banda de los paquetes de
192.168.1.10, 192.168.1.11 y 192.168.1.12 durante las horas de trabajo.
[Switch-acl-basic-2001] rule permit source 192.168.1.10 0 time-range
working_time //Limite la tasa de paquetes de 192.168.1.10 en las horas de
trabajo.
trabajo.
trabajo.
Paso 4 Referencia ACL 2001 en un clasificador de tráfico para clasificar paquetes.

[Switch] traffic classifier c1
Paso 5 Configure un comportamiento de tráfico para establecer el límite de velocidad en 4 Mbit/s.

[Switch-behavior-b1] car cir 4096 //Limite la velocidad de accedar a Internet a
4 Mbit/s en las horas de trabajo.
Paso 6 Configure una política de tráfico y aplique la política de tráfico a GE1/0/1 en la dirección de
entrada.

[Switch] display traffic classifier user-defined c1
Classifier: c1
Precedence: 5
Operator: OR


Policy: p1
Classifier: c1
Operator: OR
Behavior: b1
Permit
Yellow Action: pass
Statistic: enable
# Compruebe la política de tráfico que se aplica a la interfaz. Durante las horas de trabajo,
cuando la tasa de paquetes de cada segmento de red en GE1/0/1 en la dirección de entrada es
mayor que 4 Mbit/s, ocurre la pérdida de paquetes. La tasa de paquetes de cada segmento de
red está limitada dentro de 4 Mbit/s.
Rule number: 3
---------------------------------------------------------------------
Board : 1
---------------------------------------------------------------------
| Bytes: -
| Rate(pps): 0
| Rate(bps): -
---------------------------------------------------------------------
| Bytes: -
| Rate(pps): 0
| Rate(bps): -
---------------------------------------------------------------------
| Bytes: -
| Rate(pps): 0
| Rate(bps): -
---------------------------------------------------------------------
Filter | Packets: 0
| Bytes: -
---------------------------------------------------------------------
| Bytes: -
---------------------------------------------------------------------
----Fin
#
sysname Switch
#
vlan batch 10
#
time-range working_time 08:30 to 18:00 working-day
#
acl number 2001
rule 5 permit source 192.168.1.10 0 time-range working_time


#
if-match acl 2001
#
traffic behavior b1
permit
car cir 4096 pir 4096 cbs 770048 pbs 1282048 mode color-blind green pass yellow
pass red discard
statistic enable
#
#
interface Vlanif10
ip address 192.168.1.1 255.255.255.0
#
#
#
return
13.6 Ejemplo para configurar la limitación de tasa basados

en ID de VLAN
Además de una ACL, un clasificador de tráfico en MQC define muchas reglas de coincidencia
de Capa 2 y Capa 3, como la ID de VLAN, la prioridad 802.1p, la prioridad DSCP, la
dirección MAC de origen y la dirección MAC de destino. Puede configurar diferentes
clasificadores de tráfico en el dispositivo para identificar paquetes y configurar acciones para
ellos, como la limitación de tasa, estadísticas o duplicación.
En este ejemplo, los clasificadores de tráfico se configuran en base a ID de VLAN y se
configuran diferentes valores de CIR para que el dispositivo asigna diferentes anchos de
banda a los flujos de servicio.

S2300 S2352P-EI V100R006C05
S2320EI V200R011C10, V200R012C00

S2350EI V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S3300 S3300SI y S3300EI V100R006C05
S3300HI V200R001C00
S5300 S5300LI V200R001C00, V200R002C00,

V200R003(C00&C02),
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5300SI V200R001C00, V200R002C00,

V200R003C00,
V200R005(C00&C02)
S5300EI V200R001C00, V200R002C00,

V200R003C00,
V200R005(C00&C01&C02)
S5300HI V200R001(C00&C01),
V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S5306 V200R001C00, V200R002C00,

V200R003C00, V200R005C00
S5310EI V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320LI V200R010C00, V200R011C10,

V200R012C00
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320EI V200R007C00, V200R008C00,

V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5330SI V200R011C10, V200R012C00

S6300 S6300EI V200R001(C00&C01),

V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S6320SI V200R011C10, V200R012C00
S6320EI V200R008C00, V200R009C00,

V200R010C00, V200R011C10,
V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306 y S9312 V200R001C00, V200R002C00,

V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10,

V200R012C00
S9300X S9310X V200R010C00, V200R011C10,

V200R012C00
S9300E S9303E, S9306E y V200R001C00, V200R002C00,

S9312E V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Requisitos de red
En Figura 13-6, el Switch conecta al router mediante GE 2/0/1 , y la empresa se conecta a
Internet a través de Switch y router.
Los servicios de voz, video y datos se transmiten en VLAN 120, VLAN 110 y VLAN 100,
respectivamente.
La vigilancia del tráfico debe configurarse en Switcha los paquetes policiales de diferentes
servicios para que el tráfico esté limitado dentro de un rango adecuado, garantizando el ancho
de banda de cada servicio.
Los servicios de voz, video y datos tienen requisitos de QoS en orden de prioridad
descendente. El Switch necesita de volver a marcar las prioridades de DSCP en diferentes
paquetes de servicio para que el router de vínculo descendente procese en función de las
prioridades, asegurando la QoS de diferentes servicios.

Tabla 13-7 describe los requisitos de QoS.
Tabla 13-7 Garantía QoS para el tráfico del enlace ascendente en Switch
Tipo de tráfico CIR (kbit/s) PIR (kbit/s) Prioridad DSCP
Voz 2000 10000 46
Video 4000 10000 30
Datos 4000 10000 14
Figura 13-6 Redes de vigilancia del tráfico
Teléfono
VLAN 120
PC GE1/0/1 GE2/0/1
Red
VLAN 100 LSW Switch Router
TV
Red de campus
empresarial Dirección de tráfico
VLAN 110

1. Cree una VLAN y configure interfaces para que la empresa pueda acceder a Internet a
través de Switch.
2. Configure clasificadores de tráfico en Switch para clasificar paquetes basados en ID de
VLAN.
3. Configure comportamientos de tráfico en Switch para limitar la tasa de paquetes y volver
a marcar las prioridades de DSCP de los paquetes.
4. Configure una política de tráfico Switch, vincule los comportamientos de tráfico y
clasificadores de tráfico, y aplique la política de tráfico a la interfaz en Switch conectado
al LSW.
Procedimiento
Paso 1 Cree VLAN y configure interfaces.
# Cree VLAN 100, VLAN 110 y VLAN 120 en elSwitch.

Configure GE1/0/1 y GE2/0/1 como trunk interfaces y agréguelos a la VLAN 100, VLAN
110, y VLAN 120.

# Configure los clasificadores de tráfico c1, c2, y c3 en Switch para clasificar los diferentes
flujos de servicios empresariales basados en las ID de VLAN.
[Switch-classifier-c1] if-match vlan-id 120 //Configure una regla coincidente
para coincidir los paquetes con la VLAN 120.

# Configure los comportamientos de tráfico b1, b2, y b3 en Switch para controlar los flujos
del servicio y volver a marcar las prioridades de los flujos del servicio, y configure las
estadísticas de tráfico.
[Switch-behavior-b1] car cir 2000 pir 10000 green pass //Establezca el CIR de
paquetes con VLAN 120 a 2000 kbit/s.
[Switch-behavior-b1] remark dscp 46 //Configure el dispositivo para volver a
marcar las prioridades DSCP de los paquetes de la VLAN 120 con 46.
[Switch-behavior-b1] statistic enable //Habilite las estadísticas de tráfico.
[Switch-behavior-b2] car cir 4000 pir 10000 green pass
[Switch-behavior-b2] remark dscp 30
[Switch-behavior-b3] car cir 4000 pir 10000 green pass
[Switch-behavior-b3] remark dscp 14
# Cree una política de tráfico p1 en Switch, vincule los clasificadores de tráfico y los
comportamientos de tráfico a la política de tráfico, y aplique el tráfico política a GE1/0/1 en la
dirección de entrada para proteger los paquetes de la empresa y volver a marcar las
prioridades del paquete.



Classifier: c2
Precedence: 10
Operator: AND
Rule(s) : if-match vlan-id 110
Classifier: c3
Precedence: 15
Operator: AND
Classifier: c1
Precedence: 5
Operator: AND
# Compruebe la configuración de la política de tráfico p1.

Policy: p1
Classifier: c2
Operator: AND
Behavior: b2
Permit
Yellow Action: pass
Remark:
Remark DSCP af33
Statistic: enable
Classifier: c3
Operator: AND
Behavior: b3
Permit
Yellow Action: pass
Remark:
Remark DSCP af13
Statistic: enable
Classifier: c1
Operator: AND
Behavior: b1
Permit
Yellow Action: pass


Remark:
Remark DSCP ef
Statistic: enable
# Compruebe la información sobre la política de tráfico que se aplica a la interfaz. Los

paquetes de voz en GE1/0/1 se usan como ejemplo. Cuando la tasa de los paquetes es mayor
que 10 000 kbit/s, se produce la pérdida de paquetes. La tasa de los paquetes de voz está
limitada a 10 000 kbit/s.
[Switch] display traffic policy statistics interface gigabitethernet 1/0/1
inbound verbose classifier-base class c1
Rule number: 3
---------------------------------------------------------------------
Board : 1
---------------------------------------------------------------------
| Bytes: -
| Rate(pps): 0
| Rate(bps): -
---------------------------------------------------------------------
| Bytes: -
| Rate(pps): 0
| Rate(bps): -
---------------------------------------------------------------------
| Bytes: -
| Rate(pps): 0
| Rate(bps): -
---------------------------------------------------------------------
Filter | Packets: 0
| Bytes: -
---------------------------------------------------------------------
| Bytes: -
---------------------------------------------------------------------
----Fin
#
sysname Switch
#
#
if-match vlan-id 120
#
traffic behavior b1
permit
pass red discard
remark dscp ef
statistic enable
traffic behavior b2

permit
pass red discard
remark dscp af33
statistic enable
traffic behavior b3
permit
pass red discard
remark dscp af13
statistic enable
#
#
#
#
return
13.7 Ejemplo para configurar el modelado del tráfico (Uso

del mapeo de prioridades basado en el dominio DiffServ)
El modelado del tráfico ajusta la tasa del tráfico saliente para garantizar una transmisión
pareja. El modelado del tráfico utiliza el búfer y token bucket para controlar el tráfico.
Cuando los paquetes se envían a una tasa alta, el modelado del tráfico guarda en caché los
paquetes en el búfer y luego envía uniformemente estos paquetes almacenados en caché según
token bucket.
El modelado del tráfico a menudo se configura en el dispositivo de vínculo descendente para

evitar la pérdida de paquetes causada por la congestión. Por ejemplo, la sede se conecta a su
sucursal a través de una línea arrendada que tiene un ancho de banda finito. La vigilancia del
tráfico se configura en el dispositivo de borde de la sede para limitar la tasa de envío de
paquetes. En esta situación, el modelado del tráfico se puede configurar en el dispositivo de
borde de sucursal para almacenar en caché el exceso de paquetes, evitando la pérdida de
paquetes.
S5300 S5300HI V200R001(C00&C01),

V200R002C00, V200R003C00,
V200R005(C00&C01&C02)

S5306 V200R001C00, V200R002C00,

V200R003C00, V200R005C00
S5310EI V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320EI V200R007C00, V200R008C00,

V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01),

V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S6320EI V200R008C00, V200R009C00,

V200R010C00, V200R011C10,
V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306 y S9312 V200R001C00, V200R002C00,

V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10,

V200R012C00
S9300X S9310X V200R010C00, V200R011C10,

V200R012C00
S9300E S9303E, S9306E y V200R001C00, V200R002C00,

S9312E V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Requisitos de red
En Figura 13-7, el Switch está conectado al router a través de GE2/0/1. Las prioridades
802.1p de los servicios de voz, video y datos son 6, 5 y 2, respectivamente, y estos servicios

pueden llegar a los usuarios residenciales a través del router y Switch. La tasa de transmisión
del tráfico desde la red del campus empresarial es superior que la tasa de transmisión del
tráfico del router; por lo tanto, puede haber trepidación en GE2/0/1. Para evitar la trepidación
y garantizar el ancho de banda de los servicios, asegúrese de que:
l El CIR de la interfaz es de 10 000 kbit/s.

l El CIR y el PIR para el servicio de voz son 3000 kbit/s y 5000 kbit/s, respectivamente.
l El CIR y el PIR para el servicio de video son 5000 kbit/s y 8000 kbit/s respectivamente.
l El CIR y el PIR para el servicio de datos son 2000 kbit/s y 3000 kbit/s, respectivamente.
Figura 13-7 Redes del modelado de tráfico
Teléfono
802.1p=6
PC GE1/0/1 GE2/0/1
Red
802.1p=2 SwitchA Switch Router
TV
Red de campus
empresarial Dirección del tráfico
802.1p=5

1. Cree VLAN y configure las interfaces para que los usuarios puedan acceder a Internet a
través de Switch.
2. Configure el mapeo de prioridad para asignar las prioridades 802.1p de diferentes
paquetes de servicio a PHB.
3. Configure el modelado del tráfico en una interfaz para limitar el ancho de banda total de
la interfaz.
4. Configure el modelado del tráfico en las colas de la interfaz para limitar el ancho de
banda de los servicios de voz, video y datos.
Procedimiento
# Cree VLAN 10.

# Configure GE1/0/1 y GE2/0/1 como trunk interfaces y agréguelos a la VLAN 10.


NOTA
En el router, establezca la dirección IP de la interfaz conectada a Switch a 10.10.10.1/24, y configure las

Paso 2 Configure el mapeo de prioridad.

# Cree un dominio DiffServ ds1 para asignar las prioridades 6, 5 y 2 de 802.1p a los PHB
CS7, EF y AF2 respectivamente.
[Switch] diffserv domain ds1
[Switch-dsdomain-ds1] 8021p-inbound 6 phb cs7 //Mapee las prioridades 802.1p en
diferentes flujos de servicio a PHB para que los flujos de servicio entren en
colas diferentes.
[Switch-dsdomain-ds1] 8021p-inbound 5 phb ef
[Switch-dsdomain-ds1] 8021p-inbound 2 phb af2
[Switch-dsdomain-ds1] quit
[Switch-GigabitEthernet1/0/1] trust upstream ds1
Paso 3 Configure el modelado de tráfico en una interfaz.

# Configure el modelado del tráfico en una interfaz de Switch para limitar el CIR de la
interfaz a 10 000 kbit/s.
[Switch-GigabitEthernet2/0/1] qos lr cir 10000 outbound //Configure la
limitación de tasa basada en la interfaz en la dirección de salida para limitar
el ancho de banda total.
Paso 4 Configure el modelado del tráfico en las colas de la interfaz.

# Configure el modelado del tráfico en las colas de la interfaz en Switch para establecer los
valores de CIR de voz, video y servicios de datos a 3000 kbit/s, 5000 kbit/s, y 2000 kbit/s
respectivamente y sus valores PIR a 5000 kbit/s, 8000 kbit/s, y 3000 kbit/s respectivamente.
[Switch-GigabitEthernet2/0/1] qos queue 7 shaping cir 3000 pir 5000 //Establezca
el ancho de banda de los paquetes de voz que ingresan a la cola 7 a 3000 kbit/s
de acuerdo con el mapeo predeterminado entre los PHB y las prioridades locales.
[Switch-GigabitEthernet2/0/1] qos queue 5 shaping cir 5000 pir 8000
[Switch] quit

# Compruebe la configuración del dominio DiffServ ds1.

<Switch> display diffserv domain name ds1

diffserv domain name:ds1
8021p-inbound 0 phb be green
8021p-inbound 1 phb af1 green
8021p-inbound 5 phb ef green
8021p-inbound 6 phb cs7 green
8021p-outbound be green map 0
......
# Después de completar la configuración, el CIR de paquetes enviados desde GE2/0/1 es 10

000 kbit/s; el CIR de los paquetes de servicios de voz es 3000 kbit/s y el PIR es 5000 kbit/s; el
CIR de los paquetes del servicio de video es 5000 kbit/s y el PIR es 8000 kbit/s; el CIR de los
paquetes del servicio de datos es 2000 kbit/s y el PIR es 3000 kbit/s.
----Fin
#
sysname Switch
#
vlan batch 10
#
diffserv domain ds1
#
interface Vlanif10
ip address 10.10.10.2 255.255.255.0
#
trust upstream ds1
#
qos lr cir 10000 cbs 1250000 outbound
qos queue 2 shaping cir 2000 pir 3000
#
return
13.8 Ejemplo para configurar el modelado de tráfico

(Basado en 802.1p Priority Trust)
El modelado del tráfico ajusta la tasa del tráfico saliente para garantizar una transmisión
pareja. El modelado del tráfico utiliza el búfer y token bucket para controlar el tráfico.
Cuando los paquetes se envían a una tasa alta, el modelado del tráfico guarda en caché los
paquetes en el búfer y luego envía uniformemente estos paquetes almacenados en caché según
token bucket.

El modelado del tráfico a menudo se configura en el dispositivo de vínculo descendente para

evitar la pérdida de paquetes causada por la congestión. Por ejemplo, la sede se conecta a su
sucursal a través de una línea arrendada que tiene un ancho de banda finito. La vigilancia del
tráfico se configura en el dispositivo de borde de la sede para limitar la tasa de envío de
paquetes. En esta situación, el modelado del tráfico se puede configurar en el dispositivo de
borde de sucursal para almacenar en caché el exceso de paquetes, evitando la pérdida de
paquetes.

S2300 S2352P-EI V100R006C05
S2320EI V200R011C10, V200R012C00
S2350EI V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S3300 S3300SI y S3300EI V100R006C05
S3300HI V200R001C00
S5300 S5300LI V200R001C00, V200R002C00,

V200R003(C00&C02),
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5300SI V200R001C00, V200R002C00,

V200R003C00,
V200R005(C00&C02)
S5300EI V200R001C00, V200R002C00,

V200R003C00,
V200R005(C00&C01&C02)
S5320LI V200R010C00, V200R011C10,

V200R012C00
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6320SI V200R011C10, V200R012C00

NOTA
Requisitos de red
En Figura 13-8, la Switch está conectada al router a través de GE0/0/2. Las prioridades
pueden llegar a los usuarios residenciales a través del router y Switch. La tasa de transmisión
del tráfico desde la red del campus empresarial es superior que la tasa de transmisión del
tráfico del router; por lo tanto, puede haber trepidación en GE0/0/2. Para evitar la trepidación
y garantizar el ancho de banda de los servicios, asegúrese de que:
l El CIR de la interfaz es de 10 000 kbit/s.

l El CIR y el PIR para el servicio de voz son 3000 kbit/s y 5000 kbit/s, respectivamente.
l El CIR y el PIR para el servicio de video son 5000 kbit/s y 8000 kbit/s respectivamente.
l El CIR y el PIR para el servicio de datos son 2000 kbit/s y 3000 kbit/s, respectivamente.
Figura 13-8 Redes del modelado de tráfico
Teléfono
8021p=6
PC GE0/0/1 GE0/0/2
Red
8021p=2 SwitchA Switch Router
TV
Red de campus
empresarial Dirección del
8021p=5 tráfico

1. Cree una VLAN y configure las interfaces para que los usuarios puedan acceder a
Internet a través de Switch.
2. Configure una interfaz para confiar en las prioridades 802.1p de los paquetes.
3. Configure el modelado del tráfico en una interfaz para limitar el ancho de banda de la
interfaz.
4. Configure el modelado del tráfico en las colas de la interfaz para limitar el ancho de
banda de los servicios de voz, vídeo y datos.

Procedimiento
# Cree VLAN 10.

# Configure GE 0/0/1 y GE 0/0/2 como trunk interfaces y agréguelos a la VLAN 10.


NOTA
En el router, establezca la dirección IP de la interfaz conectada a Switch a 10.10.10.1/24, y configure las

Paso 2 Configure una interfaz para confiar en las prioridades de los paquetes.
# Configure una interfaz para confiar en las prioridades 802.1p de los paquetes.

[Switch-GigabitEthernet0/0/1] trust 8021p //Configure la interfaz para confiar
en las prioridades 802.1p. Es decir, los paquetes entran en las colas diferentes
de acuerdo con el mapeo predeterminado entre las prioridades 802.1p y las
prioridades locales.
Paso 3 Configure el modelado de tráfico en una interfaz.
# Configure el modelado del tráfico en una interfaz de Switch para limitar el CIR de la
interfaz a 10 000 kbit/s.
[Switch-GigabitEthernet0/0/2] qos lr outbound cir 10000 //Configure la
limitación de tasa basada en la interfaz en la dirección de salida para limitar
el ancho de banda total.
Paso 4 Configure el modelado del tráfico en las colas de la interfaz.
# Configure el modelado del tráfico en las colas de la interfaz en Switch para establecer los
valores de CIR de voz, video y servicios de datos a 3000 kbit/s, 5000 kbit/s y 2000 kbit/s
respectivamente y sus valores PIR a 5000 kbit/s, 8000 kbit/s y 3000 kbit/s respectivamente.
[Switch-GigabitEthernet0/0/2] qos queue 6 shaping cir 3000 pir 5000 //Establezca
el CIR de paquetes de voz en la cola 6 a 3000 kbit/s.

# Después de completar la configuración, el CIR de paquetes enviados desde GE 0/0/2 es 10

000 kbit/s; el CIR de los paquetes de servicios de voz es 3000 kbit/s y el PIR es 5000 kbit/s; el
CIR de los paquetes del servicio de video es 5000 kbit/s y el PIR es 8000 kbit/s; el CIR de los
paquetes del servicio de datos es 2000 kbit/s y el PIR es 3000 kbit/s.
----Fin
#
sysname Switch
#
vlan batch 10
#
interface Vlanif10
ip address 10.10.10.2 255.255.255.0
#
trust 8021p
#
qos lr outbound cir 10000 cbs 1250000
#
return
13.9 Ejemplo para configurar la gestión de la congestión

(modo de plantilla de planificación)
La gestión de la congestión implementa las colas y la planificación cuando se envían flujos de
paquetes. El dispositivo proporciona las siguientes tecnologías de gestión de congestión:
Colas prioritarias (PQ), Round robin de déficit ponderado (WDRR), Round robin redondeado
(WRR), PQ+WDRR y PQ+WRR. El dispositivo tiene ocho colas en cada interfaz en la
dirección de salida, cual se identifican mediante los números de índice de 0 a 7. Basado en los
mapeos entre las prioridades locales y las colas, el dispositivo envía los paquetes clasificados
a las colas y luego planifica los paquetes mediante la planificación en cola mecanismos.
Este ejemplo usa PQ+WRR para implementar la gestión de la congestión. En la planificación
de WRR, el dispositivo realiza la planificación en una votación de acuerdo con la ponderación
de cada cola. El número de veces que los paquetes están planificados en cada cola es
directamente proporcional a la ponderación de la cola. Una ponderación mayor indica más
tiempos de planificación de paquetes.


S2300 S2320EI V200R011C10, V200R012C00
S2350EI V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S5300 S5300LI V200R001C00, V200R002C00,

V200R003(C00&C02),
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5300SI V200R001C00, V200R002C00,

V200R003C00,
V200R005(C00&C02)
S5320LI V200R010C00, V200R011C10,

V200R012C00
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6320SI V200R011C10, V200R012C00
NOTA
Requisitos de red
pueden llegar a los usuarios residenciales a través del router y Switch. Para reducir el impacto
de la congestión de la red y asegurar el ancho de banda para los servicios de alta prioridad y
sensibles a la demora, establezca los parámetros de acuerdo con la siguiente tabla.

Tabla 13-11 Parámetros de gestión de la congestión

Tipo de servicio Valor CoS Ponderación WRR
Voz CS7 0
Video EF 20
Datos AF2 10
Figura 13-9 Redes de gestión de la congestión
Red
Router
GE0/0/3
GE0/0/1 GE0/0/2
Switch
PC TV
802.1p=2 LSW LSW 802.1p=5
802.1p=5 802.1p=7 802.1p=2 802.1p=7
TV Teléfono PC Teléfono

1. Configure una VLAN para cada interfaz para que los dispositivos puedan comunicarse
entre sí en la capa de enlace.
3. Configure un perfil de planificación y aplique el perfil de planificación a la interfaz.
Procedimiento
Paso 1 Configure una VLAN para cada interfaz para que los dispositivos puedan comunicarse entre
sí en la capa de enlace.


Paso 2 Configure una interfaz para confiar en las prioridades 802.1p de los paquetes.
en las prioridades de 802.1p. Es decir, los paquetes entran en las colas
diferentes de acuerdo con el mapeo predeterminads entre las prioridades 802.1p y
las prioridades locales.
Paso 3 Configure la gestión de la congestión.

# Cree un perfil de planificación y establezca los parámetros de planificación de la cola. Por
defecto, se usa WRR.
[Switch] qos schedule-profile p1
[Switch-qos-schedule-profile-p1] qos queue 7 wrr weight 0 //Establezca la
ponderación de la cola 7 a 0 y configure PQ para la cola 7.
ponderación WRR de la cola 5 a 20.
ponderación WRR de la cola 2 a 10. La proporción de ponderación de la cola 5 y la
cola 2 es 2: 1.
[Switch-qos-schedule-profile-p1] quit
# Aplique el perfil de planificación a GE 0/0/1 y GE 0/0/2 de Switch.

[Switch-GigabitEthernet0/0/1] qos schedule-profile p1 //Aplique el perfil de
planificación a GE0/0/1.
[Switch-GigabitEthernet0/0/2] qos schedule-profile p1 //Aplique el perfil de
planificación a GE0/0/1.

# Compruebe el perfil de planificación y los parámetros de planificación de la cola.
[Switch] qos schedule-profile p1
[Switch-qos-schedule-profile-p1] display this
#
qos schedule-profile p1
qos queue 2 wrr weight 10
#
return
----Fin

#
sysname Switch
#
vlan batch 10 20 30
#
#
#
trust 8021p
#
#
return
13.10 Ejemplo para configurar la evitación de congestión y

la gestión de congestión (mediante la planificación de
WRR y una política de SRED)
paquetes. El dispositivo proporciona las siguientes tecnologías de gestión de congestión:
Priority Queuing (PQ), Weighted Deficit Round Robin (WDRR), Weighted Round Robin
(WRR), PQ+WDRR y PQ+WRR.. El dispositivo tiene ocho colas en cada interfaz en la
dirección de salida, cual se identifican mediante los números de índice de 0 a 7. Basado en los
mapeos entre las prioridades locales y las colas, el dispositivo envía los paquetes clasificados
a las colas y luego planifica los paquetes mediante la planificación en cola mecanismos.
La evitación de la congestión es un mecanismo de control de flujo. Un sistema configurado
con evitación de la congestión monitorea el uso de los recursos de la red, como las colas y los
búferes de memoria. Cuando la congestión ocurre o se agrava, el sistema descarta los
paquetes. La evitación de la congestión utiliza políticas de caída de cola y caída aleatoria para
descartar paquetes. Las políticas de caída aleatoria incluyen Simple Random Early Detection
(SRED) y Weighted Random Early Detection (WRED).
Este ejemplo utiliza la planificación de WRR para implementar la gestión de congestión. En
la planificación de WRR, el dispositivo realiza la planificación en una votación de acuerdo
con la ponderación de cada cola. El número de veces que se planifican los paquetes en cada
cola es directamente proporcional a la ponderación de esta cola. Una ponderación mayor
indica más veces que los paquetes están planificados. SRED está configurado para
implementar la prevención de la congestión. El dispositivo descarta el exceso de tráfico según
la probabilidad de caída máxima.


S2300 S2352P-EI V100R006C05
S3300 S3300SI y S3300EI V100R006C05
S5300 S5300EI V200R001C00, V200R002C00,

V200R003C00,
V200R005(C00&C01&C02)
NOTA
Requisitos de red
pueden llegar a los usuarios residenciales a través del router y Switch. Para reducir el impacto
de la congestión de la red y asegurar el ancho de banda para los servicios de alta prioridad y
sensibles a la demora, establezca los parámetros de acuerdo con la siguiente tabla.
Tabla 13-13 Parámetros para la evitación de la congestión

Tipo de servicio Color Umbral de caída Probabilidad de
inferior caída máxima
Voz Amarillo 1000 0.78125%
Rojo 500 6.25%
Video Amarillo 1000 0.78125%
Rojo 500 6.25%
Datos Amarillo 1000 0.78125%
Rojo 500 6.25%

Tipo de servicio Valor CoS Ponderación WRR
Voz CS7 0
Video EF 20
Datos AF2 10

Figura 13-10 Redes de evitación de congestión y gestión de congestión
Red
Router
GE0/0/3
GE0/0/1 GE0/0/2
Switch
PC TV
802.1p=2 LSW LSW 802.1p=5
802.1p=5 802.1p=7 802.1p=2 802.1p=7

3. Establezca los parámetros de planificación de colas.
4. Establezca los umbrales de caída de SRED y la probabilidad de caída máxima de las
colas.
Procedimiento


Paso 2 Configure una interfaz para confiar en las prioridades 802.1p de los paquetes.
en las prioridades 802.1p. Es decir, los paquetes entran en las colas diferentes
de acuerdo con el mapeo predeterminado entre las prioridades 802.1p y las
prioridades locales.
Paso 3 Configure la evitación de congestión.

# Establezca los umbrales de caída de SRED y la probabilidad de caída máxima de las colas.
[Switch] qos sred queue 2 red 500 discard-probability 1 yellow 1000 discard-
probability 4 //Establezca el umbral de caída y la probabilidad de caída máxima
para los paquetes rojos y amarillos en la cola 2. Es decir, cuando hay más de 500
paquetes rojos, el dispositivo descarta los paquetes rojos adicionales según la
proporción de 6,25 %. Cuando hay más de 1000 paquetes amarillos, el dispositivo
descarta los paquetes amarillos adicionales de acuerdo con la proporción de
0,78125 %.
probability 4
probability 4

# Establezca el modo de planificación de cada cola en GE0/0/1 y GE0/0/2 en elSwitch. Por
defecto, se usa WRR.
[Switch-GigabitEthernet0/0/1] qos queue 7 wrr weight 0 //Establezca el
ponderación WRR de la cola 7 a 0 y use la planificación PQ.
ponderación WRR de la cola 5 a 20.
ponderación WRR de la cola 2 a 10. El dispositivo planifica los paquetes en la
cola 5 y la cola 2 según la proporción de 2:1.
[Switch-GigabitEthernet0/0/2] qos queue 7 wrr weight 0

# Compruebe la configuración global de SRED de la cola de interfaz en la dirección de salida.
[Switch] display qos sred
Current sred configuration:
qos sred queue-index 2 red 500 discard-probability 1 yellow 1000 discard-
probability 4
probability 4
probability 4
----Fin
#
sysname Switch

#
vlan batch 10 20 30
#
qos sred queue 2 red 500 discard-probability 1 yellow 1000 discard-probability 4
#
#
#
trust 8021p
#
return
13.11 Ejemplo para configurar la evitación de congestión y

la gestión de congestión (mediante la planificación PQ
+WDRR y un perfil WERD)
paquetes. En función de las políticas de colas y planificación, el dispositivo proporciona las
siguientes tecnologías de gestión de la congestión: Priority Queuing (PQ), Weighted Deficit
Round Robin (WDRR), Weighted Round Robin (WRR), PQ+WDRR y PQ+WRR. El
dispositivo tiene ocho colas en cada interfaz en la dirección de salida, cual se identifican
mediante los números de índice de 0 a 7. Basado en los mapeos entre las prioridades locales y
las colas, el dispositivo envía los paquetes clasificados a las colas y luego planifica los
paquetes mediante los mecanismos de planificación de cola.
La evitación de la congestión es un mecanismo de control de flujo. Un sistema configurado
con evitación de la congestión monitorea el uso de los recursos de la red, como las colas y los
búferes de memoria. Cuando la congestión ocurre o se agrava, el sistema descarta los
paquetes. La evitación de la congestión utiliza políticas de caída de cola y caída aleatoria para
descartar paquetes. Las políticas de caída aleatoria incluyen la Simple Random Early
Detection (SRED) y Weighted Random Early Detection (WRED).
Este ejemplo utiliza la planificación PQ+WDRR para implementar la gestión de la
congestión. En la planificación de WRR, el número de veces que se planifican los paquetes en
cada cola es directamente proporcional a la ponderación de esta cola. Una ponderación mayor
indica más veces que los paquetes están planificados. WRR planifica paquetes basados en la
cantidad de paquetes. Es decir, es más probable que los paquetes de gran tamaño se planifican
y obtengan más ancho de banda. WDRR planifica paquetes teniendo en cuenta la longitud del
paquete, asegurando que los paquetes se planifican con la misma probabilidad. WRED está

configurado para implementar la evitación de la congestión. El dispositivo descarta el exceso

de tráfico según la probabilidad de caída máxima.

S3300 S3300HI V200R001C00
S5300 S5300HI V200R001(C00&C01),

V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S5306 V200R001C00, V200R002C00,

V200R003C00, V200R005C00
S5310EI V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320EI V200R007C00, V200R008C00,

V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01),

V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S6320EI V200R008C00, V200R009C00,

V200R010C00, V200R011C10,
V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306 y S9312 V200R001C00, V200R002C00,

V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10,

V200R012C00
S9300X S9310X V200R010C00, V200R011C10,

V200R012C00

S9300E S9303E, S9306E y V200R001C00, V200R002C00,

S9312E V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Requisitos de red
En Figura 13-11, Switch está conectado al router a través de GE2/0/1. Las prioridades 802.1p
de los servicios de voz, video y datos son 6, 5 y 2, respectivamente, y estos servicios pueden
llegar a los usuarios residenciales a través del router y Switch. En el Switch, la tasa de
GE2/0/1 (interfaz de entrada) es superior que las tasas de GE1/0/1 y GE1/0/2 (interfaces de
salida), por lo que la congestión puede ocurrir en las dos interfaces de salida.
Para reducir el impacto de la congestión de la red y asegurar el ancho de banda para los
servicios de alta prioridad y sensibles a la demora, establezca los parámetros de acuerdo con
Tabla 13-16 y Tabla 13-17.
Tabla 13-16 Parámetros para la evitación de la congestión

Tipo de Color Umbral de Umbral de Probabilidad
servicio caída inferior caída de caída
(%) superior(%) máxima
Voz Verde 80 100 10
Video Amarillo 60 80 20
Datos Rojo 40 60 40

Tipo de servicio Valor CoS WDRR
Voz EF 0
Video AF3 100
Datos AF1 50

Figura 13-11 Redes de evitación de congestión y gestión de congestión
Internet
Router
GE2/0/1
GE1/0/1 GE1/0/2
Switch
PC TV
802.1p=2 LSW LSW 802.1p=5
802.1p=5 802.1p=6 802.1p=2 802.1p=6

2. Cree un dominio DiffServ en Switch para mapear prioridades 802.1p de paquetes de
servicio diferentes a PHB y colores, y vincule el dominio DiffServ a la interfaz de
entrada de Switch.
3. Configure un perfil de WRED en Switch y aplique el perfil de WRED a las interfaces de
salida.
4. Establezca los parámetros de planificación de cada cola en la interfaz de salida de
Switch.
Procedimiento



# Cree un dominio DiffServ ds1 para mapear las prioridades 802.1p de 6, 5, 2 a los PHB de
EF, AF3 y AF1 y los colores de verde, amarillo y rojo, respectivamente.
[Switch-dsdomain-ds1] 8021p-inbound 6 phb ef green //Cree un dominio DiffServ
para mapear las prioridades 802.1p de los diferentes paquetes de servicio a PHB
para que los paquetes ingresen en diferentes colas.
[Switch-dsdomain-ds1] 8021p-inbound 5 phb af3 yellow
[Switch-dsdomain-ds1] 8021p-inbound 2 phb af1 red
# Vincule el dominio DiffServ a GE2/0/1 de Switch.

[Switch-GigabitEthernet2/0/1] trust upstream ds1 //Aplique el dominio DiffServ a
la interfaz.
[Switch-GigabitEthernet2/0/1] trust 8021p inner //Configure la interfaz para
confiar en las prioridades 802.1p.
Paso 3 Configure la evitación de la congestión.

# Cree un perfil WRED wred1 en Switch y establezca los parámetros de planificación en el
perfil WRED.
[Switch] drop-profile wred1
[Switch-drop-wred1] color green low-limit 80 high-limit 100 discard-percentage
10 //Configure un perfil de caída WRED y establezca el umbral de caída superior
e inferior y la probabilidad de caída máxima para los paquetes verdes.
[Switch-drop-wred1] color yellow low-limit 60 high-limit 80 discard-percentage
20 //Cuando el porcentaje de la longitud del paquete amarillo alcanza el 60 % de
la longitud de la cola, el dispositivo comienza a descartar los paquetes con una
probabilidad de caída máxima del 20 %. Cuando el porcentaje de la longitud del
paquete amarillo alcanza el 80 % de la longitud de la cola, el dispositivo
descarta todos los paquetes nuevos.
[Switch-drop-wred1] color red low-limit 40 high-limit 60 discard-percentage 40
[Switch-drop-wred1] quit
# Aplique el perfil WRED wred1 a GE1/0/1 y GE1/0/2 en el Switch.

[Switch-GigabitEthernet1/0/1] qos wred wred1
[Switch-GigabitEthernet1/0/1] qos queue 5 wred wred1
[Switch-GigabitEthernet1/0/2] qos wred wred1

# Establezca los parámetros de planificación de cada cola en GE1/0/1 y GE1/0/2 de Switch.
Los siguientes pasos son aplicables solo al switch del chasis.
[Switch-GigabitEthernet1/0/1] qos pq 5 //Configure la planificación PQ para la
cola 5.

[Switch-GigabitEthernet1/0/1] qos drr 0 to 4 //Configure la planificación WDRR

para las colas de 0 a 4.
[Switch-GigabitEthernet1/0/1] qos queue 3 drr weight 100 //Establezca la
ponderación WDRR de la cola 3 a 100.
ponderación WDRR de la cola 1 a 50. El dispositivo planifica los paquetes en la
cola 1 y la cola 3 de acuerdo con la proporción de 1:2.
[Switch-GigabitEthernet1/0/2] qos pq 5
[Switch-GigabitEthernet1/0/2] qos drr 0 to 4
[Switch-GigabitEthernet1/0/2] qos queue 3 drr weight 100
Los siguientes pasos son aplicables solo al switch de caja.

[Switch-GigabitEthernet1/0/1] qos drr //Configure WDRR en la interfaz. Por
defecto, WRR se usa en una interfaz.
ponderación WDRR de la cola 5 a 0 y use la planificación PQ.
ponderación WDRR de la cola 3 a 100.
ponderación WDRR de la cola 1 a 50. El dispositivo planifica los paquetes en la
cola 3 y la cola 1 de acuerdo con la proporción de 2:1.
[Switch-GigabitEthernet1/0/2] qos drr

# Compruebe la configuración del dominio DiffServ ds1.
[Switch] display diffserv domain name ds1
diffserv domain name:ds1
8021p-inbound 0 phb be green
8021p-inbound 2 phb af1 red
8021p-inbound 5 phb af3 yellow
8021p-outbound be green map 0
......
# Compruebe la configuración del perfil WRED.

[Switch] display drop-profile name wred1
Drop-profile[1]: wred1
Queue depth : default
Color Low-limit High-limit Discard-percentage
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Green 80 100 10
Yellow 60 80 20
Red 40 60 40
Non-tcp 100 100 100
-----------------------------------------------------------------
----Fin

l Archivo de configuración de Switch (switch modular)
#
sysname Switch
#
vlan batch 2 5 to 6
#
diffserv domain ds1
#
drop-profile wred1
color green low-limit 80 high-limit 100 discard-percentage 10
color yellow low-limit 60 high-limit 80 discard-percentage 20
color red low-limit 40 high-limit 60 discard-percentage 40
#
qos wred wred1
qos pq 5 to 7 drr 0 to 4
qos queue 1 drr weight 50
qos queue 1 wred wred1
#
qos wred wred1
qos pq 5 to 7 drr 0 to 4
#
trust upstream ds1
trust 8021p inner
#
return
l Archivo de configuración de Switch (switch fijo)

#
sysname Switch
#
vlan batch 2 5 to 6
#
diffserv domain ds1
#
drop-profile wred1
#
qos drr


qos wred wred1
#
qos drr
qos wred wred1
#
trust upstream ds1
trust 8021p inner
#
return

evitar que algunos usuarios accedan a Internet en el
tiempo especificado
La interfaz de línea de comandos QoS modular (MQC) permite que el dispositivo clasifique el
tráfico por tipo, proporcionando el mismo servicio para paquetes del mismo tipo y servicios
diferenciados para paquetes de diferentes tipos. El filtrado del tipo especificado de paquetes
solo se puede implementar a través de MQC.
Cuando los paquetes de un tipo se consideran no confiables, MQC se puede usar para
diferenciar los paquetes de otros tipos de paquetes y descartarlos. Cuando los paquetes de un
tipo se consideran confiables, MQC se puede usar para diferenciar los paquetes de otros tipos
de paquetes y permitir que pasen.
En comparación con la lista negra, el filtrado de paquetes basado en MQC clasifica los
paquetes de una manera más precisa y es más flexible de deslegar.
S2300 S2352P-EI V100R006C05
S2320EI V200R011C10, V200R012C00

S2350EI V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S3300 S3300SI y S3300EI V100R006C05
S3300HI V200R001C00
S5300 S5300LI V200R001C00, V200R002C00,

V200R003(C00&C02),
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5300SI V200R001C00, V200R002C00,

V200R003C00,
V200R005(C00&C02)
S5300EI V200R001C00, V200R002C00,

V200R003C00,
V200R005(C00&C01&C02)
S5300HI V200R001(C00&C01),
V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S5306 V200R001C00, V200R002C00,

V200R003C00, V200R005C00
S5310EI V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320LI V200R010C00, V200R011C10,

V200R012C00
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320EI V200R007C00, V200R008C00,

V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5330SI V200R011C10, V200R012C00

S6300 S6300EI V200R001(C00&C01),

V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S6320SI V200R011C10, V200R012C00
S6320EI V200R008C00, V200R009C00,

V200R010C00, V200R011C10,
V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306 y S9312 V200R001C00, V200R002C00,

V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10,

V200R012C00
S9300X S9310X V200R010C00, V200R011C10,

V200R012C00
S9300E S9303E, S9306E y V200R001C00, V200R002C00,

S9312E V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
En switches fijos excepto los siguientes en versiones especificadas, si la acción de permiso se

configura en la vista de comportamiento de tráfico, CPCAR puede quedar invalidada:
l S5320EI y S6320EI en V200R008C00 y versiones posteriores
l S5320HI en V200R009C00 y versiones posteriores
l S6320HI en V200R012C00
Requisitos de red
20, respectivamente. Los servidores se implementan en la VLAN 10 para proporcionar
servicios a usuarios internos y externos, y los servicios de oficina de los empleados se
transmiten en la VLAN 20. La compañía requiere que los empleados de la VLAN 20 solo
accedan a servidores en la VLAN 10 durante el horario de trabajo (8:00 a 18:00).

Figura 13-12 Evitar que los empleados accedan a Internet en el momento especificado
RouterA
10.1.20.1/24
VLAN 10
192.168.1.0/24 GE1/0/1 GE1/0/2
GE0/0/3 Red
GE1/0/1
VLAN 20 SwitchA Switch GE1/0/3
192.168.2.0/24 GE1/0/2
RouterB
10.1.30.1/24

Capa 3
SwitchA GigabitEthernet VLAN 10 - 192.168.1.1/24

1/0/1
GigabitEthernet VLAN 20 - 192.168.2.1/24

1/0/2
GigabitEthernet VLAN 10 y - 192.168.3.1/24

1/0/3 VLAN 20

1/0/1 VLAN 20 VLANIF 20 192.168.1.1/24
VLANIF 20:
192.168.2.1/24

1/0/2

1/0/3

2. En el Switch, configure un rango de tiempo de 8:00 a 18:00 de lunes a viernes para que
el dispositivo pueda controlar el tráfico en función del rango de tiempo.
3. En el Switch, configure una ACL para que coincida con el tráfico cuando los empleados
de la VLAN 20 accedan a los servidores en la VLAN 10 en función del rango de tiempo,
ACL.
5. Configure un comportamiento de tráfico en Switch para permitir el paso del tráfico
coincidente.

6. Configure una política de tráfico en el Switch, vincule la política de tráfico con el

clasificador de tráfico y el comportamiento del tráfico, y aplique la política de tráfico a la
dirección entrante de GE1/0/1 conectada a Switch A para que los empleados de la VLAN
20 no puedan acceder al Internet durante el horario de trabajo y puede acceder a Internet
durante el tiempo no laborable.
Procedimiento
[Switch] vlan batch 10 20 30 40 //Cree VLAN 10 a VLAN 40.
enlace de la interfaz a trunk.
VLAN 30.
IP para la interfaz VLANIF. La dirección IP es la dirección de gateway del
segmento de red 192.168.1.0/24.
IP a la interfaz VLANIF para conectarse con RouterA.
apuntando a la red externa para implementar el interfuncionamiento y configure el
balanceo de carga.
VLAN 10.


Configure la dirección IP de 10.1.20.1/24 para la interfaz del RouterA conectada al switch.
Configure la dirección IP de 10.1.30.1/24 para la interfaz del RouterB conectada al switch.
# Configure un rango de tiempo de 8:00-18:00 de lunes a viernes en Switch.
[Switch] time-range worktime 8:00 to 18:00 working-day

# Configure una ACL en el Switchy defina reglas que permitan y rechacen el tráfico.
[Switch] acl 3000
192.168.1.0 0.0.0.255 time-range worktime //Configure una regla de ACL para
permitir que los usuarios de la VLAN 20 accedan a los servidores de la VLAN 10
durante el tiempo de trabajo.
[Switch-acl-adv-3000] rule deny ip source 192.168.2.0 0.0.0.255 time-range
worktime //Configure una regla de ACL para evitar que los usuarios de la VLAN 20
accedan a la red pública durante el tiempo de trabajo.

# Configure un clasificador de tráfico en Switch para clasificar paquetes basados en la ACL.

# Configure un comportamiento de tráfico en el Switch y defina la acción de permiso.
# Cree una política de tráfico en Switch, vincule el comportamiento del tráfico y el

Acl's step is 5


time-range worktime (match-counter 0)(Active)
rule 10 deny ip source 192.168.2.0 0.0.0.255 time-range worktime (match-counter
0)(Active)
NOTA
Si la hora del dispositivo está dentro del rango de tiempo definido, el rango de tiempo en la regla de
ACL se muestra como Active; de lo contrario, el rango de tiempo en la regla de ACL se muestra como
Inactive.

Policy: p1
Classifier: c1
Operator: AND
Behavior: b1
Permit
# Los empleados en la VLAN 20 no pueden acceder a la red pública durante el horario de

trabajo y pueden acceder en los servidores en la VLAN 10.
----Fin
#
sysname Switch
#
vlan batch 10 20 30 40
#
time-range worktime 08:00 to 18:00 working-day
#
acl number 3000
0.0.0.255 time-range worktime
rule 10 deny ip source 192.168.2.0 0.0.0.255 time-range worktime
#
if-match acl 3000
#
traffic behavior b1
permit
#
#
interface Vlanif10
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif20
ip address 192.168.2.1 255.255.255.0
#
interface Vlanif30
ip address 10.1.20.2 255.255.255.0
#
interface Vlanif40
ip address 10.1.30.2 255.255.255.0
#
#


#
#
ip route-static 0.0.0.0 0.0.0.0 10.1.20.1
ip route-static 0.0.0.0 0.0.0.0 10.1.30.1
#
return

#
sysname SwitchA
#
vlan batch 10 20
#
#
#
#
return

recopilar estadísticas en paquetes ping
Durante la rectificación de fallos de red, los dispositivos no pueden hacer ping entre sí. Puede
configurar el dispositivo para recopilar estadísticas sobre paquetes ping para reducir el ámbito
de búsqueda y localizar puntos de fallo rápidamente.
Los paquetes ping son paquetes ICMP, por lo que puede definir ICMP en una ACL avanzada
para que coincida con los paquetes ping. Cuando se usa una política de tráfico para recopilar
estadísticas sobre paquetes de ping, una ACL se usa para clasificar paquetes y la acción de
estadísticas de tráfico se define para los paquetes coincidentes. Los resultados estadísticos
permiten a localizar fallos.
l Si los números de paquetes ping recibidos y reenviados en un dispositivo son los
mismos, los paquetes ping se reenvían normalmente y no se produce la pérdida de
paquetes. Si la cantidad de paquetes ping recibidos es mayor que la cantidad de paquetes
ping enviados, la pérdida de paquetes ocurre en el dispositivo.
l Si el número de paquetes de ping recibidos es igual al número de paquetes ping recibidos
en una interfaz, los paquetes de ping se reenvían normalmente y no se produce la pérdida
de paquetes en el enlace de la interfaz. Si la cantidad de paquetes ping enviados es mayor
que la cantidad de paquetes ping recibidos en la interfaz, la pérdida de paquetes se
produce en el enlace de la interfaz. En este caso, el dispositivo remoto debe configurarse
para recopilar estadísticas de paquetes para la ubicación de fallos.


S2300 S2352P-EI V100R006C05
S2320EI V200R011C10, V200R012C00
S2350EI V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S3300 S3300SI y S3300EI V100R006C05
S3300HI V200R001C00
S5300 S5300LI V200R001C00, V200R002C00,

V200R003(C00&C02),
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5300SI V200R001C00, V200R002C00,

V200R003C00,
V200R005(C00&C02)
S5300EI V200R001C00, V200R002C00,

V200R003C00,
V200R005(C00&C01&C02)
S5300HI V200R001(C00&C01),
V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S5306 V200R001C00, V200R002C00,

V200R003C00, V200R005C00
S5310EI V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320LI V200R010C00, V200R011C10,

V200R012C00
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320EI V200R007C00, V200R008C00,

V200R009C00, V200R010C00,
V200R011C10, V200R012C00

S5320HI V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01),

V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S6320SI V200R011C10, V200R012C00
S6320EI V200R008C00, V200R009C00,

V200R010C00, V200R011C10,
V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306 y S9312 V200R001C00, V200R002C00,

V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10,

V200R012C00
S9300X S9310X V200R010C00, V200R011C10,

V200R012C00
S9300E S9303E, S9306E y V200R001C00, V200R002C00,

S9312E V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Requisitos de red
En Figura 13-13, el PC no puede acceder al servidor. El dispositivo donde pasan los flujos de
datos debe configurarse para recopilar estadísticas sobre los paquetes de ping para que se
pueda ubicar el punto de fallo.

Figura 13-13 Configurar una política de tráfico para recopilar estadísticas sobre paquetes
ping
GE1/0/1 GE1/0/2
VLAN 10 VLAN 10
PC Switch Router Servidor

VLAN 10 10.1.2.10/24
10.1.1.1/24

1. Cree VLAN y configure interfaces para garantizar la conectividad de la red.
2. Configure las ACL para que coincidan con los paquetes ICMP intercambiados entre el
PC y el servidor.
3. Configure clasificadores de tráfico para clasificar paquetes basados en las ACL.
4. Configure comportamientos de tráfico y defina la acción de estadísticas de tráfico.
5. Configure políticas de tráfico, vincule los clasificadores de tráfico y el comportamiento
del tráfico con las políticas de tráfico, y aplique las políticas de tráfico a las direcciones
entrantes y salientes de GE1/0/1 y GE1/0/2 deSwitch.
Procedimiento
# Configurar elSwitch.
VLAN 10.
# Configure la dirección de gateway del PC 10.1.1.2/24 para la interfaz del router conectado a
Switch, y configure la dirección IP 10.1.2.1/24 para la interfaz del router conectado al
servidor.
# Configure las reglas de ACL en Switch para que coincida con los paquetes ICMP
intercambiados entre el PC y el servidor.
[Switch] acl 3001
[Switch-acl-adv-3001] rule permit icmp source 10.1.1.1 0 destination 10.1.2.10
0 //Configure una regla de ACL para permitir los paquetes desde el PC al

servidor.
[Switch] acl 3002
[Switch-acl-adv-3002] rule permit icmp source 10.1.2.10 0 destination 10.1.1.1
0 //Configure una regla de ACL para permitir los paquetes desde el servidor al
PC.

# Configure los clasificadores de tráfico en Switch para clasificar paquetes basados en la
ACL.

# Configure los comportamientos de tráfico en Switch y defina la acción de estadísticas de
tráfico en los comportamientos de tráfico.
Paso 5 Configure las políticas de tráfico y aplique las políticas de tráfico a las interfaces.
# Cree las políticas de tráfico p1 y p2 en Switch, enlace los comportamientos de tráfico y los
clasificadores de tráfico a las políticas de tráfico, aplique la política de tráfico p1 a la
dirección de entrada de GE1/0/1 y la dirección saliente de GE1/0/2, y aplique la política de
tráfico p2 a la dirección de salida de GE1/0/1 y la dirección de entrada de GE1/0/2.
[Switch-GigabitEthernet1/0/1] traffic-policy p2 outbound
[Switch-GigabitEthernet1/0/2] traffic-policy p1 outbound

# Compruebe la configuración de ACL en elSwitch.

Acl's step is 5
rule 5 permit icmp source 10.1.1.1 0 destination 10.1.2.10 0 (match-counter 0)

Acl's step is 5
rule 5 permit icmp source 10.1.2.10 0 destination 10.1.1.1 0 (match-counter 0)

# Compruebe la configuración de la política de tráfico enSwitch.

Policy: p2
Classifier: c2
Operator: AND
Behavior: b2
Permit
Statistic: enable
Policy: p1
Classifier: c1
Operator: AND
Behavior: b1
Permit
Statistic: enable
# Haga ping al servidor desde el PC y compruebe las estadísticas de tráfico en las direcciones
entrantes y salientes deGE1/0/1 y GE1/0/2 en el Switch. Aquí, compruebe las estadísticas de
tráfico en la dirección entrante de GE1/0/1.
Rule number: 1
---------------------------------------------------------------------
Board : 1
---------------------------------------------------------------------
Matched | Packets: 0
| Bytes: 0
| Rate(pps): 0
| Rate(bps): 0
---------------------------------------------------------------------
Passed | Packets: 0
| Bytes: 0
| Rate(pps): 0
| Rate(bps): 0
---------------------------------------------------------------------
Dropped | Packets: 0
| Bytes: 0
| Rate(pps): 0
| Rate(bps): 0
---------------------------------------------------------------------
Filter | Packets: 0
| Bytes: 0
---------------------------------------------------------------------
Car | Packets: 0
| Bytes: 0
---------------------------------------------------------------------
Matched indica el número de paquetes y bytes que coinciden con el clasificador de tráfico, y
Passed indica el número de paquetes reenviados y bytes que coinciden con el clasificador de
tráfico. La siguiente tabla describe las estadísticas de tráfico.

Estadísticas de tráfico en Estadísticas de tráfico en Descripción

GigabitEthernet1/0/1 GigabitEthernet1/0/2
display traffic policy display traffic policy l Si las estadísticas son 0,

statistics interface statistics interface los paquetes de solicitud
gigabitethernet 1/0/1 gigabitethernet 1/0/2 de ping no llegan a
inbound outbound Switch.
l Si las estadísticas son
consistentes y no son 0,
los paquetes de solicitud
de ping se reenvían
normalmente.
l Si las estadísticas en la
dirección de entrada de
GigabitEthernet1/0/1 son
más que las estadísticas
en la dirección de salida
de GigabitEthernet1/0/2,
de ping se descartan en
Switch y Switch es el
punto de fallo.
display traffic policy display traffic policy l Si las estadísticas son 0,

statistics interface statistics interface los paquetes de respuesta
gigabitethernet 1/0/1 gigabitethernet 1/0/2 de ping no llegan a
outbound inbound Switch.
l Si las estadísticas son
consistentes y no son 0,
los paquetes de respuesta
de ping se reenvían
normalmente.
l Si las estadísticas en la
dirección de entrada de
GigabitEthernet1/0/2 son
más que las estadísticas
en la dirección de salida
de GigabitEthernet1/0/1,
de ping se descartan en
Switch ySwitch es el
punto de fallo.
----Fin
#
sysname Switch
#

vlan batch 10
#
acl number 3001
rule 5 permit icmp source 10.1.1.1 0 destination 10.1.2.10 0
acl number 3002
rule 5 permit icmp source 10.1.2.10 0 destination 10.1.1.1 0
#
if-match acl 3001
if-match acl 3002
#
traffic behavior b1
permit
statistic enable
traffic behavior b2
permit
statistic enable
#
#
#
#
return

implementar estadísticas de tráfico
Después de que MQC se usa para implementar estadísticas de tráfico, el dispositivo recopila
estadísticas sobre paquetes y bytes de paquetes que coinciden con las reglas de clasificación
de tráfico. Las estadísticas sobre los paquetes reenviados y descartados después de aplicar una
política de tráfico le ayudan a verificar si la política de tráfico se aplica correctamente y
ubicar las fallas.
Las estadísticas de tráfico basadas en la interfaz en las direcciones de entrada y de salida
pueden configurarse simultáneamente o separadamente. El dispositivo recopila las estadísticas
de tráfico en las direcciones de entrada y de salida separadamente.

S2300 S2352P-EI V100R006C05

S2320EI V200R011C10, V200R012C00
S2350EI V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S3300 S3300SI y S3300EI V100R006C05
S3300HI V200R001C00
S5300 S5300LI V200R001C00, V200R002C00,

V200R003(C00&C02),
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5300SI V200R001C00, V200R002C00,

V200R003C00,
V200R005(C00&C02)
S5300EI V200R001C00, V200R002C00,

V200R003C00,
V200R005(C00&C01&C02)
S5300HI V200R001(C00&C01),
V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S5306 V200R001C00, V200R002C00,

V200R003C00, V200R005C00
S5310EI V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320LI V200R010C00, V200R011C10,

V200R012C00
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320EI V200R007C00, V200R008C00,

V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5330SI V200R011C10, V200R012C00

S6300 S6300EI V200R001(C00&C01),

V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S6320SI V200R011C10, V200R012C00
S6320EI V200R008C00, V200R009C00,

V200R010C00, V200R011C10,
V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306 y S9312 V200R001C00, V200R002C00,

V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10,

V200R012C00
S9300X S9310X V200R010C00, V200R011C10,

V200R012C00
S9300E S9303E, S9306E y V200R001C00, V200R002C00,

S9312E V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Requisitos de red
20, respectivamente. El administrador de la red desea determinar si el host de
192.168.2.200/24 en la VLAN 20 puede acceder al servidor de 192.168.1.100/24 en la VLAN
10.

Figura 13-14 Configurar una política de tráfico para implementar estadísticas de tráfico
VLAN 10
192.168.1.0/24 GE1/0/1 10.1.20.1/24
GE0/0/3 GE1/0/2
Red
GE1/0/1
VLAN 20 GE1/0/2
192.168.2.0/24

Capa 3

1/0/1
1/0/2
GigabitEthernet VLAN 10 y - -
1/0/3 VLAN 20

1/0/1 VLAN 20 VLANIF 20 192.168.1.1/24
VLANIF 20:
192.168.2.1/24

1/0/2

interfuncionamiento.
2. Configure una ACL en Switchpara coincidir con el tráfico especificado.
ACL.
4. Configure un comportamiento de tráfico en Switchpara recopilar estadísticas sobre
paquetes coincidentes.
5. Configure una política de tráfico en Switch, vincule la política de tráfico con el
GE1/0/1conectado a SwitchA en la dirección entrante.
Procedimiento

[Switch] vlan batch 10 20 30 //Cree VLAN 10, VLAN 20 y VLAN 30.
VLAN 30.
apuntando a la red externa para implementar el interfuncionamiento.
VLAN 10.
Configure la dirección IP de 10.1.20.1/24 para la interfaz del router conectado al switch.
# Configure una regla de ACL en la Switchpara hacer coincidir el tráfico con la dirección IP
de origen de 192.168.2.200 y la dirección IP de destino de 192.168.1.100.
[Switch] acl 3000
192.168.1.100 0.0.0.0

# Configure un clasificador de tráfico en Switchpara clasificar los paquetes basados en la

ACL.

# Configure un comportamiento de tráfico en Switch y defina la acción de estadísticas de
tráfico en el comportamiento del tráfico.

Acl's step is 5
rule 5 permit ip source 192.168.2.200 0 destination 192.168.1.100 0 (match-
counter 0)

Policy: p1
Classifier: c1
Operator: AND
Behavior: b1
Permit
Statistic: enable
# Compruebe las estadísticas de tráfico.

Interface:
Rule number: 1
Current status:
success
---------------------------------------------------------------------
Board : 1
---------------------------------------------------------------------
Matched | Packets: 0
| Bytes: 0
| Rate(pps): 0
| Rate(bps): 0

---------------------------------------------------------------------
Passed | Packets: 0
| Bytes: 0
| Rate(pps): 0
| Rate(bps): 0
---------------------------------------------------------------------
Dropped | Packets: 0
| Bytes: 0
| Rate(pps): 0
| Rate(bps): 0
---------------------------------------------------------------------
Filter | Packets: 0
| Bytes: 0
---------------------------------------------------------------------
Car | Packets: 0
| Bytes: 0
---------------------------------------------------------------------
Matched indica el número de paquetes y bytes que coinciden con el clasificador de tráfico, y
Passed indica el número de paquetes reenviados y bytes que coinciden con el clasificador de
tráfico. Si los valores de Matched y Passed no son 0, el host de 192.168.2.200 en la VLAN
20 ha accedido al servidor de 192.168.1.100 en la VLAN 10.
----Fin
l Archivo de configuración deSwitch
#
sysname Switch
#
vlan batch 10 20 30
#
acl number 3000
rule 5 permit ip source 192.168.2.200 0 destination 192.168.1.100 0
#
if-match acl 3000
#
traffic behavior b1
permit
statistic enable
#
#
interface Vlanif10
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif20
ip address 192.168.2.1 255.255.255.0
#
interface Vlanif30
ip address 10.1.20.2 255.255.255.0
#
#
#
ip route-static 0.0.0.0 0.0.0.0 10.1.20.1
#
return


#
sysname SwitchA
#
vlan batch 10 20
#
#
#
#
return
13.15 Ejemplo para limitar el acceso basado en el ID de

flujo
Cuando se deben configurar las mismas reglas de clasificación de tráfico y se deben tomar las
mismas medidas para los paquetes que coinciden con las reglas de clasificación de tráfico en
diferentes interfaces o en diferentes VLAN, para guardar los recursos de ACL, configure el
dispositivo para clasificar paquetes según las reglas de ACL, para volver a marcar el ID de
flujo de cada tipo de paquetes, y luego para clasificar paquetes basados en el ID de flujo y
para procesar paquetes que coincidan con el mismo ID de flujo de la misma manera.
Supongamos que M ACL están configuradas en el dispositivo para distinguir los servicios, y
cada ACL contiene N reglas de ACL. Los clasificadores de tráfico clasifican los paquetes
según las reglas de ACL y la política de tráfico que contiene las reglas de ACL se aplica a las
X interfaces. Si la acción de volver a marcar las ID de flujo y las reglas de coincidencia
basadas en las ID de flujo no están configuradas, la aplicación de la política de tráfico ocupa
los M*N*X recursos de ACL. Si se configura la acción de volver a marcar las ID de flujo y las
reglas de coincidencia basadas en ID de flujo, la aplicación de la política de tráfico ocupa solo
M*(N+X) recursos de ACL.
En este ejemplo, el dispositivo está configurado para volver a marcar las ID de flujo de
paquetes que coinciden con las reglas de ACL, para clasificar paquetes basados en ID de flujo
y para permitir o denegar paquetes que coincidan con reglas para limitar el acceso.
S5300 S5320EI V200R008C00, V200R009C00,

V200R010C00, V200R011C10,
V200R012C00

S6300 S6320EI V200R008C00, V200R009C00,

V200R010C00, V200R011C10,
V200R012C00
S9300 S9303, S9306 y S9312 V200R008 (C00 y C10),

V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10,

V200R012C00
S9300X S9310X V200R010C00, V200R011C10,

V200R012C00
S9300E S9303E, S9306E y V200R008 (C00 y C10),

S9312E V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Requisitos de red
En Figura 13-15, Switchconecta a SwitchA, y SwitchA se conecta al router. Los invitados
pueden conectarse a la red de la empresa en las áreas de invitados de los edificios de oficinas
1, 2 y 3. Los invitados pueden acceder al servidor de archivos externos e Internet, pero no
pueden acceder al servidor de archivos confidenciales y al servidor del departamento
financiero.

Figura 13-15 Redes de vigilancia del tráfico
Servidor de archivo Servidor de archivos

confidencial externo
Área de invitados del 10.1.5.0/24 10.1.6.0/24
edificio de oficinas 1
10.1.1.0/24
Área de invitados del

edificio de oficinas 2 GE1/0/1
10.1.2.0/24
GE1/0/2 GE1/0/3
GE1/0/2 GE1/0/4 GE1/0/5 Internet
Área de invitados del Switch GE1/0/1 SwitchA Router

edificio de oficinas 3
10.1.3.0/24
GE1/0/3 GE1/0/4
Servidor del
departamento financiero
Red de campus 10.1.7.0/24
empresarial Dirección
del tráfico

Capa 3
Switch GigabitEthernet VLAN 10 VLANIF 10 10.1.1.1/24

1/0/1

1/0/2

1/0/3

1/0/4
SwitchA GigabitEthernet VLAN 40 VLANIF 40 10.1.4.2/24

1/0/1

1/0/2

1/0/3

1/0/4


Capa 3

1/0/5

1. Cree VLAN y configure interfaces y un protocolo de enrutamiento para que la empresa
pueda acceder a Internet.
2. Configure las ACL en Switch para coincidir las paquetes de áreas invitadas.
3. Configure los clasificadores de tráfico en Switch para clasificar paquetes basados en
ACL.
4. Configure los comportamientos de tráfico en Switch para volver a marcar los ID de flujo
de los paquetes que coinciden con las ACL.
5. Configure una política de tráfico que contenga remarcación de ID de flujo en Switch,
vincule los comportamientos de tráfico y los clasificadores de tráfico a la política de
tráfico, y aplique la política de tráfico aSwitch globalmente en la dirección entrante.
6. Configure los clasificadores de tráfico en Switch para clasificar los paquetes de las áreas
de los invitados en función de los ID de flujo.
7. Configure los comportamientos de tráfico en Switch para permitir o rechazar paquetes de
las áreas de invitados para implementar el control de acceso.
8. Configure una política de tráfico para el control de acceso en el Switch, vincule los
comportamientos de tráfico y los clasificadores de tráfico con la política de tráfico y
aplique la política de tráfico a las interfaces en el Switch conectadas a las áreas de
invitados en la dirección entrante.
Procedimiento
Paso 1 Cree VLAN y configure interfaces y un protocolo de enrutamiento (la ruta estática se usa
aquí).
# Configurar elSwitch.
[Switch-GigabitEthernet1/0/1] port link-type access //Configure la interfaz como
una interfaz de acceso.
[Switch-GigabitEthernet1/0/4] port link-type trunk //Configure la interfaz como
una interfaz trunk.

[Switch-GigabitEthernet1/0/4] port trunk allow-pass vlan 10 20 30 40

[Switch-Vlanif10] ip address 10.1.1.1 255.255.255.0 //Configure una dirección IP
para la interfaz VLANIF.
[Switch] ip route-static 10.1.5.0 255.255.255.0 10.1.4.2 //Configure una ruta
estática.
[Switch] ip route-static 10.1.6.0 255.255.255.0 10.1.4.2
[SwitchA] vlan batch 40 50 60 70 80 //Cree VLAN 40 a VLAN 80.
[SwitchA-GigabitEthernet1/0/1] port link-type trunk //Configure la interfaz como
una interfaz trunk.
[SwitchA-GigabitEthernet1/0/1] port trunk allow-pass vlan 40 50 60 70 80
como una interfaz de acceso.
[SwitchA] interface vlanif 40 //Cree una interfaz VLANIF.
[SwitchA-Vlanif40] ip address 10.1.4.2 255.255.255.0 //Configure una dirección
IP para la interfaz VLANIF.
[SwitchA] ip route-static 10.1.1.0 255.255.255.0 10.1.4.1 //Configure una ruta
estática.

# Configure una regla de ACL para coincidir los paquetes enviados desde el área de invitados
al servidor de archivos confidenciales.
[Switch] acl name non-access-file
[Switch-acl-adv-non-access-file] rule permit tcp destination 10.1.5.0 0.0.0.255
destination-port eq 20 //Configure una regla para permitir que los paquetes de
datos FTP se envíen desde el área de invitados al servidor de archivos
confidencial.
[Switch-acl-adv-non-access-file] rule permit tcp destination 10.1.5.0 0.0.0.255
destination-port eq 21 //Configure una regla para permitir que los paquetes del
protocolo FTP se envíen desde el área de invitados al servidor de archivos
confidencial.
[Switch-acl-adv-non-access-file] quit
al servidor del departamento financiero.
[Switch] acl name non-access-finance
[Switch-acl-adv-non-access-finance] rule permit tcp destination 10.1.7.0
0.0.0.255 destination-port eq 20 //Configure una regla para permitir que los
paquetes de datos FTP se envíen desde el área de invitados al servidor del
departamento financiero.
[Switch-acl-adv-non-access-finance] rule permit tcp destination 10.1.7.0
0.0.0.255 destination-port eq 21 //Configure una regla para permitir que los
paquetes del protocolo FTP se envíen desde el área de invitados al servidor del
departamento financiero.
[Switch-acl-adv-non-access-finance] quit
al servidor de archivos público.
[Switch] acl name access-file
[Switch-acl-adv-access-file] rule permit tcp destination 10.1.6.0 0.0.0.255
destination-port eq 20 //Configure una regla para permitir que los paquetes de
datos FTP se envíen desde el área de invitados al servidor de archivos públicos.
[Switch-acl-adv-access-file] rule permit tcp destination 10.1.6.0 0.0.0.255
destination-port eq 21 //Configure una regla para permitir que los paquetes del
protocolo FTP se envíen desde el área de invitados al servidor de archivos
públicos.
[Switch-acl-adv-access-file] quit
a la red externa.
[Switch] acl name access-internet
[Switch-acl-adv-access-internet] rule permit tcp destination-port eq 80
[Switch-acl-adv-access-internet] quit
# Configure clasificadores de tráfico en el Switchpara clasificar paquetes de áreas de invitados

basadas en ACL.
[Switch] traffic classifier non-access-file operator and
[Switch-classifier-non-access-file] if-match acl non-access-file //Configure el
dispositivo para que coincida los paquetes enviados desde el área de invitados al
servidor de archivos confidenciales.
[Switch-classifier-non-access-file] quit
[Switch] traffic classifier non-access-finance operator and
[Switch-classifier-non-access-finance] if-match acl non-access-finance //
Configure el dispositivo para que coincida con los paquetes enviados desde el
área de invitados al servidor del departamento financiero.
[Switch-classifier-non-access-finance] quit
[Switch] traffic classifier access-file operator and
[Switch-classifier-access-file] if-match acl access-file //Configure el
dispositivo para que coincida los paquetes enviados desde el área de invitados al
servidor de archivos público.
[Switch-classifier-access-file] quit
[Switch] traffic classifier access-internet operator and

[Switch-classifier-access-internet] if-match acl access-internet //Configure el

dispositivo para que coincida con los paquetes enviados desde el área de
invitados a la red externa.
[Switch-classifier-access-internet] quit

# Cree comportamientos de tráfico en el Switch para volver a marcar ID de flujo de paquetes.
[Switch] traffic behavior non-access-file
[Switch-behavior-non-access-file] remark flow-id 1 //Configure el dispositivo
para volver a marcar el ID de flujo de los paquetes enviados desde el área de
invitados al servidor de archivos confidenciales con 1.
[Switch-behavior-non-access-file] quit
[Switch] traffic behavior non-access-finance
[Switch-behavior-non-access-finance] remark flow-id 2 //Configure el dispositivo
invitados al servidor del departamento financiero con 2.
[Switch-behavior-non-access-finance] quit
[Switch] traffic behavior access-file
[Switch-behavior-access-file] remark flow-id 3 //Configure el dispositivo para
volver a marcar el ID de flujo de los paquetes enviados desde el área de
invitados al servidor de archivos públicos con 3.
[Switch-behavior-access-file] quit
[Switch] traffic behavior access-internet
[Switch-behavior-access-internet] remark flow-id 4 //Configure el dispositivo
invitados a la red externa con 4.
[Switch-behavior-access-internet] quit
Paso 5 Configure una política de tráfico que contenga remarcado de ID de flujo y aplique la política
de tráfico globalmente en la dirección entrante.
# Cree la flow-id de la política de tráfico en el Switch, vincule los clasificadores de tráfico y
los comportamientos de tráfico a la política de tráfico, y aplique la política de tráfico
globalmente en la dirección entrante.
[Switch] traffic policy flow-id
[Switch-trafficpolicy-flow-id] classifier non-access-file behavior non-access-file
[Switch-trafficpolicy-flow-id] classifier non-access-finance behavior non-access-
finance
[Switch-trafficpolicy-flow-id] classifier access-file behavior access-file
[Switch-trafficpolicy-flow-id] classifier access-internet behavior access-internet
[Switch-trafficpolicy-flow-id] quit
[Switch] traffic-policy flow-id global inbound

# Configure clasificadores de tráfico en elSwitch para clasificar paquetes de áreas de invitados
basadas en ID de flujo.
[Switch] traffic classifier flow-id1 operator and
[Switch-classifier-flow-id1] if-match flow-id 1 //Configure el dispositivo para
que coincida los paquetes con la ID de flujo de 1, es decir, los paquetes se
envían desde el área de invitados al servidor de archivos confidenciales.
[Switch-classifier-flow-id1] quit
envían desde el área de invitados al servidor del departamento financiero.
envían desde el área de invitados al servidor de archivos públicos.


envían desde el área de invitados a la red externa.

# Crea comportamientos de tráfico en el Switch para permitir o rechazar paquetes
coincidentes.
[Switch] traffic behavior flow-id1
[Switch-behavior-flow-id1] deny //Configure el dispositivo para rechazar los
paquetes con la ID de flujo de 1.
[Switch-behavior-flow-id1] quit
[Switch-behavior-flow-id2] deny //Configure el dispositivo para rechazar los
paquetes con la ID de flujo de 2.
[Switch-behavior-flow-id3] permit //Configure el dispositivo para permitir el
paso de paquetes con la ID de flujo de 3.
[Switch-behavior-flow-id4] permit //Configure el dispositivo para permitir el
paso de paquetes con la ID de flujo de 4.
Paso 8 Configure una política de tráfico para control de acceso y aplique la política de tráfico a una
interfaz.
# Cree la política de tráfico access_policy en elSwitch, vincule los comportamientos de
tráfico y los clasificadores de tráfico a la política de tráfico, y aplique la política de tráfico a
GE1/0/1, GE1/0/2 y GE1/0/3 en la dirección entrante para limitar el acceso de las áreas de
invitados.
[Switch] traffic policy access_policy
[Switch-trafficpolicy-access_policy] classifier flow-id1 behavior flow-id1
[Switch-trafficpolicy-access_policy] quit
[Switch-GigabitEthernet1/0/1] traffic-policy access_policy inbound

Advanced ACL access-internet 3996, 1 rule

Acl's step is 5
rule 5 permit tcp destination-port eq www (match-counter 0)
Advanced ACL access-file 3997, 2 rules

Acl's step is 5
rule 5 permit tcp destination 10.1.6.0 0.0.0.255 destination-port eq ftp-data
(match-counter 0)
rule 10 permit tcp destination 10.1.6.0 0.0.0.255 destination-port eq ftp (match-
counter 0)

Advanced ACL non-access-finance 3998, 2 rules

Acl's step is 5
(match-counter 0)
counter 0)
Advanced ACL non-access-file 3999, 2 rules

Acl's step is 5
(match-counter 0)
counter 0)

Classifier: flow-id1
Precedence: 25
Operator: AND
Rule(s) : if-match flow-id 1
Precedence: 30
Operator: AND
Precedence: 35
Operator: AND
Precedence: 40
Operator: AND
Classifier: non-access-file
Precedence: 5
Operator: AND
Rule(s) : if-match acl non-access-file
Classifier: non-access-finance
Precedence: 10
Operator: AND
Rule(s) : if-match acl non-access-finance
Classifier: access-file
Precedence: 15
Operator: AND
Rule(s) : if-match acl access-file
Classifier: access-internet
Precedence: 20
Operator: AND
Rule(s) : if-match acl access-internet

Policy: flow-id
Classifier: non-access-file
Operator: AND
Behavior: non-access-file
Permit
Remark:

Remark flow-id 1
Classifier: non-access-finance
Operator: AND
Behavior: non-access-finance
Permit
Remark:
Remark flow-id 2
Classifier: access-file
Operator: AND
Behavior: access-file
Permit
Remark:
Remark flow-id 3
Classifier: access-internet
Operator: AND
Behavior: access-internet
Permit
Remark:
Remark flow-id 4
Policy: access_policy
Operator: AND
Behavior: flow-id1
Deny
Operator: AND
Behavior: flow-id2
Deny
Operator: AND
Behavior: flow-id3
Permit
Operator: AND
Behavior: flow-id4
Permit
----Fin
#
sysname Switch
#
#
acl name access-internet 3996
rule 5 permit tcp destination-port eq www
acl name access-file 3997
rule 10 permit tcp destination 10.1.6.0 0.0.0.255 destination-port eq ftp
acl name non-access-finance 3998
acl name non-access-file 3999
#
traffic classifier access-file operator and precedence 15
if-match acl access-file
traffic classifier access-internet operator and precedence 20
if-match acl access-internet
traffic classifier flow-id1 operator and precedence 25
if-match flow-id 1


if-match flow-id 2
if-match flow-id 3
if-match flow-id 4
traffic classifier non-access-file operator and precedence 5
if-match acl non-access-file
traffic classifier non-access-finance operator and precedence 10
if-match acl non-access-finance
#
traffic behavior access-file
permit
remark flow-id 3
traffic behavior access-internet
permit
remark flow-id 4
traffic behavior flow-id1
deny
deny
permit
permit
traffic behavior non-access-file
permit
remark flow-id 1
traffic behavior non-access-finance
permit
remark flow-id 2
#
traffic policy access_policy match-order config
classifier flow-id1 behavior flow-id1
traffic policy flow-id match-order config
classifier non-access-file behavior non-access-file
classifier non-access-finance behavior non-access-finance
classifier access-file behavior access-file
classifier access-internet behavior access-internet
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif20
ip address 10.1.2.1 255.255.255.0
#
interface Vlanif30
ip address 10.1.3.1 255.255.255.0
#
interface Vlanif40
ip address 10.1.4.1 255.255.255.0
#
traffic-policy access_policy inbound
#
#

#
port trunk allow-pass vlan 10 20 30 40
#
ip route-static 10.1.5.0 255.255.255.0 10.1.4.2
ip route-static 10.1.6.0 255.255.255.0 10.1.4.2
ip route-static 10.1.7.0 255.255.255.0 10.1.4.2
ip route-static 10.1.8.0 255.255.255.0 10.1.4.2
#
traffic-policy flow-id global inbound
#
return

#
sysname SwitchA
#
vlan batch 40 50 60 70 80
#
interface Vlanif40
ip address 10.1.4.2 255.255.255.0
#
interface Vlanif50
ip address 10.1.5.1 255.255.255.0
#
interface Vlanif60
ip address 10.1.6.1 255.255.255.0
#
interface Vlanif70
ip address 10.1.7.1 255.255.255.0
#
interface Vlanif80
ip address 10.1.8.1 255.255.255.0
#
port trunk allow-pass vlan 40 50 60 70 80
#
#
#
#
#
ip route-static 10.1.1.0 255.255.255.0 10.1.4.1
ip route-static 10.1.2.0 255.255.255.0 10.1.4.1
ip route-static 10.1.3.0 255.255.255.0 10.1.4.1
#
return


limitar el acceso entre segmentos de red
La interfaz de línea de comandos QoS modular (MQC) permite que el dispositivo clasifique el
tráfico por tipo, proporcionando el mismo servicio para paquetes del mismo tipo y servicios
diferenciados para paquetes de diferentes tipos.
Una ACL avanzada puede usar las direcciones IP de origen y de destino para definir los flujos
de datos permitidos o rechazados. Un clasificador de tráfico hace referencia a una ACL para
clasificar paquetes, y la acción de permiso o denegación se especifica para procesar paquetes
coincidentes. Aquí, MQC se usa para implementar control de acceso entre segmentos de red.

S2300 S2352P-EI V100R006C05
S2320EI V200R011C10, V200R012C00
S2350EI V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S3300 S3300SI y S3300EI V100R006C05
S3300HI V200R001C00
S5300 S5300LI V200R001C00, V200R002C00,

V200R003(C00&C02),
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5300SI V200R001C00, V200R002C00,

V200R003C00,
V200R005(C00&C02)
S5300EI V200R001C00, V200R002C00,

V200R003C00,
V200R005(C00&C01&C02)

S5300HI V200R001(C00&C01),
V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S5306 V200R001C00, V200R002C00,

V200R003C00, V200R005C00
S5310EI V200R002C00, V200R003C00,

V200R005(C00&C02)
S5320LI V200R010C00, V200R011C10,

V200R012C00
S5320SI V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320EI V200R007C00, V200R008C00,

V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S5330SI V200R011C10, V200R012C00
S6300 S6300EI V200R001(C00&C01),

V200R002C00, V200R003C00,
V200R005(C00&C01&C02)
S6320SI V200R011C10, V200R012C00
S6320EI V200R008C00, V200R009C00,

V200R010C00, V200R011C10,
V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306 y S9312 V200R001C00, V200R002C00,

V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9300 S9310 V200R010C00, V200R011C10,

V200R012C00
S9300X S9310X V200R010C00, V200R011C10,

V200R012C00

S9300E S9303E, S9306E y V200R001C00, V200R002C00,

S9312E V200R003C00,
V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Una ACL a menudo se usa con una política de tráfico. Una política de tráfico está vinculada
al clasificador de tráfico que coincide con una ACL y el comportamiento del tráfico, como
permitir o denegar, asociado con el clasificador de tráfico.
Las acciones de permiso y denegación en una ACL y un comportamiento de tráfico en la
política de tráfico se utilizan de la siguiente manera.
ACL Behavior del tráfico en la Acción final tomada para
política de tráfico paquetes combinados
permit permit permit
permit deny deny
deny permit deny
deny deny deny
Por defecto, el switch permite todos los paquetes. Para rechazar paquetes entre segmentos de
red, defina los paquetes que se rechazarán en la ACL. Si se usa el comando de rule permit,
todos los paquetes coinciden con esta regla. Si el comportamiento del tráfico define la acción
de denegación, el switch filtra todos los paquetes y provoca interrupciones del servicio.
Requisitos de red
En Figura 13-16, la empresa tiene tres departamentos, que pertenecen a VLAN 10, VLAN 20
y VLAN 30, respectivamente. Para garantizar la seguridad, los usuarios de la VLAN 10 solo
accedan a la VLAN 20 pero no a la VLAN 30. Los tres departamentos necesitan acceder a
Internet y no existen otras limitaciones.

Figura 13-16 Control de acceso entre segmentos de red

VLAN 10
192.168.1.0/24
GE1/0/1 10.1.20.1/24
VLAN 20 GE1/0/2 GE1/0/4 GE1/0/2
192.168.2.0/24 Red
GE1/0/1
GE1/0/3 SwitchA Switch Router
VLAN 30
192.168.3.0/24

Capa 3

1/0/1
1/0/2
1/0/3
GigabitEthernet VLAN 10, - -

1/0/4 VLAN 20 y
VLAN 30
Switch GigabitEthernet VLAN 10, VLANIF 10, VLANIF 10:

1/0/1 VLAN 20 y VLANIF 20 y 192.168.1.1/24
VLAN 30 VLANIF 30 VLANIF 20:
192.168.2.1/24
VLANIF 30:
192.168.3.1/24

1/0/2

2. Configure las reglas de ACL en Switch para definir los flujos de datos que están
permitidos o rechazados.
ACL.

4. Configure un comportamiento de tráfico en Switch y defina la acción de permiso (la

ACL define los flujos de datos que se rechazan).
5. Configure una política de tráfico en Switch, vincule la política de tráfico con el
GE1/0/1 conectada a SwitchA en la dirección entrante para implementar el control de
acceso entre los segmentos de red.
Procedimiento
Paso 1 Cree VLAN y configure interfaces y un protocolo de enrutamiento.
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 20 30 //Agregue la
interfaz a VLAN 10, VLAN 20 y VLAN 30.
VLAN 40.
apuntando a la red externa para implementar el interfuncionamiento.
[SwitchA] vlan batch 10 20 30 //Cree VLAN 10 a VLAN 30.
VLAN 10.


[SwitchA-GigabitEthernet1/0/4] port trunk allow-pass vlan 10 20 30
Configure la dirección IP de 10.1.20.1/24 para la interfaz del router conectado al Switch.
# Configure las reglas de ACL en Switch para definir los flujos de datos que están permitidos
o rechazados.
[Switch] acl 3000
192.168.3.0 0.0.0.255 //Configure una regla de ACL para rechazar los flujos de
datos de la VLAN 10 a la VLAN 30.
192.168.2.0 0.0.0.255 //Configure una regla de ACL para permitir el flujo de
datos desde la VLAN 10 y la VLAN 20.
[Switch-acl-adv-3000] rule permit ip source any //Si hay muchos segmentos de red
internos, configure una ACL para permitir cualquier flujo de datos.
# Configure un clasificador de tráfico en Switch para clasificar los paquetes basados en la

ACL.
# Configure un comportamiento de tráfico en Switch y defina la acción de permiso.



Acl's step is 5
(match-counter 0)
(match-counter 0)
rule 15 permit ip (match-counter 0)


Policy: p1
Classifier: c1
Operator: AND
Behavior: b1
Permit
# Los dispositivos de usuario en el segmento de red 192.168.1.0/24 pueden hacer ping a los
dispositivos del usuario en el segmento de red 192.168.2.0/24, es decir, los usuarios de la
VLAN 10 pueden acceder a los usuarios en la VLAN 20.
# Los dispositivos de usuario en el segmento de red 192.168.1.0/24 pueden hacer ping a los
dispositivos del usuario en el segmento de red 192.168.3.0/24, es decir, los usuarios de la
VLAN 10 pueden acceder a los usuarios en la VLAN 30.
# Los dispositivos de los usuarios en los segmentos de red 192.168.1.0/24, 192.168.2.0/24 y
192.168.3.0/24 pueden hacer ping a la dirección IP 10.1.20.1/24 de la interfaz en el router, lo
que indica que los usuarios de los tres departamentos pueden acceder Internet.
----Fin
#
sysname Switch
#
#
acl number 3000
0.0.0.255
rule 15 permit ip
#
if-match acl 3000
#
traffic behavior b1
permit
#
#
interface Vlanif10
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif20
ip address 192.168.2.1 255.255.255.0
#
interface Vlanif30
ip address 192.168.3.1 255.255.255.0
#
interface Vlanif40
ip address 10.1.20.2 255.255.255.0
#
#


#
ip route-static 0.0.0.0 0.0.0.0 10.1.20.1
#
return

#
sysname SwitchA
#
vlan batch 10 20 30
#
#
#
#
#
return
13.17 Ejemplo para configurar HQoS
HQoS utiliza múltiples niveles de colas para diferenciar en mayor grado el tráfico del
servicio, y proporciona una gestión unificada y una planificación jerárquica para los objetos
de transmisión, como usuarios y servicios. HQoS permite que los dispositivos de red
controlen los recursos internos con el hardware existente, proporcionando garantía de QoS
para usuarios avanzados a la vez que se reduce el costo de construcción de la red.
El switch utiliza colas de flujo y suscriptor para implementar HQoS.
. Solo la tarjeta LE1D2S04SEC0, las tarjetas de la serie X1C, las tarjetas de la serie X1L y las
tarjetas de la serie X1E del switch del chasis admiten esta configuración.

S5300 S5320HI V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S9300 S9303, S9306 y S9312 V200R006C00, V200R007C00,

V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00

S9300 S9310 V200R010C00, V200R011C10,

V200R012C00
S9300X S9310X V200R010C00, V200R011C10,

V200R012C00
S9300E S9303E, S9306E y V200R006C00, V200R007C00,

S9312E V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
NOTA
Requisitos de red
Los servicios de voz, video y datos de múltiples usuarios se transmiten en una red de campus
empresarial, y las prioridades 802.1p de servicios de voz, video y datos son 6, 5 y 2,
respectivamente. Se debe garantizar el ancho de banda para los servicios de voz, video y datos
en orden descendente de prioridad. Tabla 13-24 y Tabla 13-25 describen los requisitos de
configuración.
Debido a que el ancho de banda es finito, el dispositivo necesita diferenciar las prioridades del
servicio y modelar al tráfico de diferentes usuarios para proporcionar un ancho de banda
diferente. Tabla 13-26 describe el requisito de configuración.
Tabla 13-24 Parámetros para la evitación de la congestión de las colas de flujo

Tipo de Color Umbral de Umbral de Probabilidad
servicio caída inferior caída superior de caída
(Service (Lower Drop (Upper Drop máxima
Type) Threshold) Threshold) (Maximum
(%) (%) Drop
Probability)
Voz (Voice) Verde (Green) 80 100 10
Video (Video) Amarillo 60 80 20

(Yellow)
Datos (Data) Rojo (Red) 40 60 40
Tabla 13-25 Parámetros de gestión de la congestión de las colas de flujo

Tipo de servicio Valor CoS
Voz (Voice) EF
Video (Video) AF3

Tipo de servicio Valor CoS
Datos (Data) AF1
Tabla 13-26 Parámetros de modelado de tráfico de colas de suscriptores

Usuario PIR
Usuarios en VLAN 10 8000 kbit/s
Usuarios en VLAN 20 5000 kbit/s
Figura 13-17 Red de HQoS
Vídeo, dato, voz

Dirección de
GE1/0/1 tráfico
User 1
GE1/0/2
Vídeo, dato, voz GE2/0/1
SwitchA
VLAN 10 GE1/0/1 GE2/0/1
User 2 GE1/0/1
Internet
GE1/0/2 GE2/0/1
Vídeo, dato, voz Switch SwitchC Router
GE1/0/1
User 3 GE2/0/1
GE1/0/2
Vídeo, dato, voz SwitchB
VLAN 20
User 4

1. Cree VLAN y configure interfaces para que la empresa pueda acceder a Internet a través
de Switch.
2. Cree un dominio DiffServ en Switch para mapear prioridades 802.1p de paquetes de
servicio diferentes a PHB y colores, y vincule el dominio DiffServ a la interfaz de
entrada de Switch.
3. Configure el perfil de cola de flujo WRED, el perfil de cola de flujo y los parámetros de
perfil enSwitch, de modo queSwitch proporcione diferentes prioridades de planificación,
parámetros de perfil de caída y parámetros de modelado de tráfico para diferentes
servicios.
4. Configure las ACL en Switch para diferenciar el tráfico del servicio de diferentes
usuarios según las ID de VLAN.

5. Configure las colas de suscriptores y los parámetros de modelado del tráfico en Switch, y
haga referencia al perfil de cola de flujo de WRED y el perfil de cola de flujo para
implementar HQoS.
Procedimiento
# Cree VLAN 10 en SwitchA, configure GE1/0/1 y GE1/0/2 como access interfaces y

agréguelas a la VLAN 10, y configure GE2/0/1 como una trunk interfaz y agréguela a la
VLAN 10.
# Cree VLAN 20 enSwitchB, configure GE1/0/1 y GE1/0/2 como access interfaces y

agréguelas a la VLAN 20, configure GE2/0/1 como una trunk interfaz y agréguela a la VLAN
20.
[SwitchB-GigabitEthernet1/0/1] port link-type access
[SwitchB-GigabitEthernet1/0/1] port default vlan 20
[SwitchB-GigabitEthernet1/0/2] port link-type access
# Cree VLAN 10 y VLAN 20 en SwitchC, configure GE1/0/1 como una trunk interfaz y
agréguela a VLAN 10 y VLAN 20, y configure GE2/0/1 como una trunk interfaz y agréguela
a VLAN 10 y VLAN 20 .
[SwitchC] vlan batch 10 20

# Cree VLAN 10 y VLAN 20 en Switch, configure GE1/0/1, GE1/0/2 y GE2/0/1 como trunk
interfaces, y agregue GE1/0/1 a VLAN 10, GE1/0/2 a VLAN 20, y GE2/0/1 a VLAN 10 y
VLAN 20.
# Cree un dominio DiffServ ds1 para mapear las prioridades 802.1p de 6, 5, 2 a EF, AF3 y
AF1, respectivamente, y los paquetes de color verde, amarillo y rojo, respectivamente.
[Switch-dsdomain-ds1] 8021p-inbound 6 phb ef green //Cree un dominio DiffServ
para mapear las prioridades 802.1p de diferentes paquetes de servicio a PHB para
que los paquetes ingresen en diferentes colas.
[Switch-dsdomain-ds1] 8021p-inbound 5 phb af3 yellow
[Switch-dsdomain-ds1] 8021p-inbound 2 phb af1 red
# Vincule el dominio DiffServ a GE1/0/1 y GE1/0/2 en elSwitch.

la interfaz.
la interfaz.
Paso 3 Configure un perfil de la cola de flujo de WRED y defina parámetros en el perfil.
# Cree un perfil de la cola de flujo de WRED llamado wred1 en Switch y establezca los
parámetros de los paquetes verde, amarillo y rojo en lun perfil de la cola de flujo de WRED.
[Switch] flow-wred-profile wred1 //Configure un perfil de caída WRED.
[Switch-flow-wred-wred1] color green low-limit 80 high-limit 100 discard-
percentage 10 //Configure un perfil de caída WRED y establezca el umbral de
caída superior e inferior y la probabilidad de caída máxima para los paquetes
verdes.
[Switch-flow-wred-wred1] color yellow low-limit 60 high-limit 80 discard-
percentage 20 //Cuando el porcentaje de la longitud del paquete amarillo
alcanza el 60 % de la longitud de la cola, el dispositivo comienza a descartar
los paquetes con una probabilidad de caída máxima del 20 %. Cuando el porcentaje
de la longitud del paquete amarillo alcanza el 80 % de la longitud de la cola, el
dispositivo descarta todos los paquetes nuevos.
[Switch-flow-wred-wred1] color red low-limit 40 high-limit 60 discard-percentage
40
[Switch-flow-wred-wred1] quit

Paso 4 Configure un perfil de cola de flujo y defina parámetros en el perfil.

# Configure un perfil de cola de flujo denominado flow1 en Switch, vincule el perfil de la
cola de flujo flow1 a un perfil de la cola de flujo de WRED wred1, y configure diferentes
parámetros de planificación.
[Switch] flow-queue-profile flow1 //Configure un perfil de cola de flujo.
[Switch-flow-queue-flow1] qos queue 5 pq flow-wred-profile wred1 //Configure la
planificación de PQ para la cola 5 y haga referencia al perfil de caída WRED
wred1.
[Switch-flow-queue-flow1] qos queue 3 wfq weight 20 flow-wred-profile wred1 //
Configure la planificación de WFQ para la cola 3, establezca el ponderación de
WFQ en 20 y haga referencia al perfil de caída de WRED wred1.
[Switch-flow-queue-flow1] qos queue 1 wfq weight 10 flow-wred-profile wred1 //
Configure la planificación de WFQ para la cola 1, establezca la ponderación de
WFQ en 10 y haga referencia al perfil de caída WRED wred1.
[Switch-flow-queue-flow1] quit

# Configure ACL 4001 y ACL 4002 en Switch, y configure las reglas de ACL basadas en
VLAN 10 y VLAN 20.
[Switch-acl-L2-4001] rule 1 permit vlan-id 10 //Configure una regla ACL para
coincidir los paquetes con VLAN 10.
[Switch-acl-L2-4002] rule 1 permit vlan-id 20 //Configure una regla ACL para
coincidir los paquetes con VLAN 20.
Paso 6 Configure colas y parámetros de suscriptor.

# Configure las colas de suscriptores basadas en ACL 4001 y ACL 4002 en Switch y hace
referencia en el perfil de cola de flujo flow1.
[Switch-GigabitEthernet2/0/1] traffic-user-queue outbound acl 4001 pir 8000 flow-
queue-profile flow1 //Cree una cola de suscriptor que haga referencia a ACL
4001, configure el PIR a 8000 kbit/s y haga referencia a la cola de flujo flow1.
[Switch-GigabitEthernet2/0/1] traffic-user-queue outbound acl 4002 pir 5000 flow-
queue-profile flow1 //Cree una cola de suscriptor que haga referencia a ACL
4002, configure el PIR a 5000 kbit/s y haga referencia a la cola de flujo flow1.
[Switch] quit

# Compruebe la configuración del perfil de una cola de flujo de WRED, incluido el nombre
del perfil, los umbrales de caída superior e inferior de los paquetes verde, amarillo y rojo, y la
probabilidad de caída máxima.
<Switch> display flow-wred-profile name wred1
Flow-wred-profile[1]: wred1
Queue depth : 1048576
Color Low-limit High-limit Discard-percentage
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Green 80 100 10
Yellow 60 80 20
Red 40 60 40
-----------------------------------------------------------------
# Compruebe la configuración del perfil de la cola de flujo, incluido el nombre del perfil y las
ponderaciones WFQ.
<Switch> display flow-queue-profile name flow1
Flow-queue-profile[1]: flow1
Queue Schedule(Weight) Shaping flow-wred-profile

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
0 PQ None default
1 WFQ(10) None wred1
2 PQ None default
3 WFQ(20) None wred1
4 PQ None default
5 PQ None wred1
6 PQ None default
7 PQ None default
-----------------------------------------------------------------------
# Compruebe las estadísticas de tráfico en las colas de suscriptores.

<Switch> display traffic-user-queue statistics interface gigabitethernet 2/0/1
outbound acl 4001
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
Queue ID | Statistics
information
--------------------------------------------------------------------------------
0 | packets: pass:
4,127
| drop:
2,798,787,076
| bytes: pass:
610,796
| drop:
414,220,487,248
--------------------------------------------------------------------------------
information
--------------------------------------------------------------------------------
1 | packets: pass:
4,127
| drop:
5,597,436,717
| bytes: pass:
610,796
| drop:
828,420,634,116
--------------------------------------------------------------------------------
information
--------------------------------------------------------------------------------
2 | packets: pass:
0
| drop:
0
| bytes: pass:
0
| drop:
0
--------------------------------------------------------------------------------
information
--------------------------------------------------------------------------------
3 | packets: pass:
4,127
| drop:
5,597,436,713
| bytes: pass:

610,796
| drop:
828,420,633,524
--------------------------------------------------------------------------------
information
--------------------------------------------------------------------------------
4 | packets: pass:
4,127
| drop:
2,798,716,293
| bytes: pass:
610,796
| drop:
414,210,011,364
--------------------------------------------------------------------------------
information
--------------------------------------------------------------------------------
5 | packets: pass:
4,127
| drop:
2,798,716,294
| bytes: pass:
610,796
| drop:
414,210,011,512
--------------------------------------------------------------------------------
information
--------------------------------------------------------------------------------
6 | packets: pass:
0
| drop:
0
| bytes: pass:
0
| drop:
0
--------------------------------------------------------------------------------
information
--------------------------------------------------------------------------------
7 | packets: pass:
1,119,509,460
| drop:
1,679,210,961
| bytes: pass:
165,687,400,080
| drop:
248,523,222,228
--------------------------------------------------------------------------------
<Switch> display traffic-user-queue statistics interface gigabitethernet 2/0/1

outbound acl 4002
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
information

--------------------------------------------------------------------------------
0 | packets: pass:
4,125
| drop:
5,218,026
| bytes: pass:
610,500
| drop:
772,267,848
--------------------------------------------------------------------------------
information
--------------------------------------------------------------------------------
1 | packets: pass:
4,125
| drop:
10,440,178
| bytes: pass:
610,500
| drop:
1,545,146,344
--------------------------------------------------------------------------------
information
--------------------------------------------------------------------------------
2 | packets: pass:
0
| drop:
0
| bytes: pass:
0
| drop:
0
--------------------------------------------------------------------------------
information
--------------------------------------------------------------------------------
3 | packets: pass:
4,125
| drop:
10,440,178
| bytes: pass:
610,500
| drop:
1,545,146,344
--------------------------------------------------------------------------------
information
--------------------------------------------------------------------------------
4 | packets: pass:
4,125
| drop:
5,218,027
| bytes: pass:
610,500
| drop:
772,267,996
--------------------------------------------------------------------------------

information
--------------------------------------------------------------------------------
5 | packets: pass:
4,125
| drop:
5,218,027
| bytes: pass:
610,500
| drop:
772,267,996
--------------------------------------------------------------------------------
information
--------------------------------------------------------------------------------
6 | packets: pass:
0
| drop:
0
| bytes: pass:
0
| drop:
0
--------------------------------------------------------------------------------
information
--------------------------------------------------------------------------------
7 | packets: pass:
2,092,988
| drop:
3,129,165
| bytes: pass:
309,762,224
| drop:
463,116,420
--------------------------------------------------------------------------------
----Fin
#
sysname SwitchA
#
vlan batch
10
#
interface
port link-type
access
port default vlan
10
#
interface
port link-type
access
port default vlan
10

interface
port link-type
trunk
10
#
return
#
sysname SwitchB
#
vlan batch
20
#
interface
port link-type
access
port default vlan
20
#
interface
port link-type
access
port default vlan
20
#
interface
port link-type
trunk
20
#
return
#
sysname SwitchC
#
vlan batch 10
20
#
interface
port link-type
trunk
20
#
interface
port link-type
trunk
20

#
return

#
sysname Switch
#
vlan batch 10 20
#
diffserv domain ds1
#
acl number 4001
rule 1 permit vlan-id 10
acl number 4002
rule 1 permit vlan-id 20
#
flow-wred-profile wred1
#
flow-queue-profile flow1
qos queue 1 wfq weight 10 flow-wred-profile wred1
qos queue 3 wfq weight 20 flow-wred-profile wred1
qos queue 5 flow-wred-profile wred1
#
interface
port link-type
trunk
10
trust upstream
ds1
trust 8021p
inner
#
interface
port link-type
trunk
20
trust upstream
ds1
trust 8021p
inner
#
interface
port link-type
trunk
20
traffic-user-queue outbound acl 4001 pir 8000 flow-queue-profile flow1
traffic-user-queue outbound acl 4002 pir 5000 flow-queue-profile flow1
#
return

Ejemplos típicos de configuración 14 Configuración típica de gestión y vigilancia de red
14 Configuración típica de gestión y

vigilancia de red
14.1 Configuración típica de SNMP

14.2 Configuración típica de NetStream
14.3 Configuración típica de espejado
14.4 Configuración típica de iPCA
14.1 Configuración típica de SNMP

14.1.1 Ejemplo para configurar un dispositivo para comunicarse
con el NMS mediante SNMPv1
Descripción general de SNMP

Simple Network Management Protocol (SNMP) es un protocolo estándar de administración
de red ampliamente utilizado en redes TCP/IP. SNMP gestiona los elementos de red mediante
el uso de un ordenador central (una estación de administración de red) que ejecuta el software
de administración de red.
SNMP tiene las siguientes ventajas:
l Gestión de configuración automática:

un administrador de red puede usar SNMP para consultar rápidamente información,
modificar datos, localizar fallas, etc. en cualquier agente de SNMP. SNMP mejora en
gran medida la eficiencia del trabajo de los administradores de red.
l Gestión de múltiples proveedores:
SNMP blinda las diferencias físicas entre dispositivos de diferentes proveedores. SNMP
proporciona solo un conjunto de funciones básicas, por lo que las tareas administradas se
separan de las características físicas administradas y las tecnologías de interconexión de

capa inferior. Por lo tanto, SNMP puede administrar de manera uniforme dispositivos de
múltiples proveedores simultáneamente.
SNMP está disponible en tres versiones. SNMPv1 es la versión inicial de SNMP. Proporciona
autenticación basada en nombres de comunidad. SNMPv1 tiene mala seguridad y solo puede
devolver unos pocos códigos de error. SNMPv2c emitido por IETF es la segunda versión de
SNMP. SNMPv2c tiene mejor capacidad de soportar los códigos de error estándar, tipos de
datos (Contador 64 y Contador 32) y operaciones que incluyen GetBulk e Inform. SNMPv2c
no mejora la seguridad, por lo que IETF emitió SNMPv3 que proporciona autenticación y
cifrado basados en el Modelo de seguridad de usuario (USM) y el control de acceso basado en
el Modelo de control de acceso basado en la vista (VACM).
SNMPv1 es aplicable a redes pequeñas con redes simples y requisitos de baja seguridad o
redes pequeñas con buena seguridad y estabilidad, como redes de campus y redes de pequeñas
empresas.
Este ejemplo de configuración se aplica a todos los switches de todas las versiones.
En este ejemplo, eSight que ejecuta V300R007C00 se usa como NMS. eSight solo puede
gestionar switches modulares, pero no switches fijos.
Requisitos de redes
Como se muestra en Figura 14-1, el servidor NMS administra todos los dispositivos en la
red. La red es pequeña y no es probable que sea atacada, por lo que SNMPv1 está configurado
en switches para comunicarse con el servidor NMS. Se agrega un nuevo switch a la red. El
administrador de red desea utilizar los recursos de red existentes para administrar el nuevo
switch y localizar y eliminar rápidamente las fallas de la red.
Figura 14-1 Configurar un dispositivo para comunicarse con el NMS mediante SNMPv1
GE1/0/1
10.1.1.1/24 VLAN10
10.1.1.2/24
NMS Switch

cambio.

Procedimiento
switch.
[Switch] snmp-agent sys-info version v1 //Por defecto, SNMPv3 es compatible.
[Switch] acl 2001
NMS.
Warning: All switches of SNMP trap/notification will be open. Continue? [Y/
N]:y //Habilite todas las funciones de trap en el switch. Por defecto, solo
algunas funciones de trap están habilitadas. Puede ejecutar el el comando display
snmp-agent trap all para comprobar el estado del trap.
securityname adminnms01 v1

a eSight.

IP address 10.1.1.2
Version V1

Port 161
NOTA
----Fin
#
sysname Switch
#
acl number 2001
rule 10 deny
#
snmp-agent
snmp-agent sys-info version v1 v3
cipher %^%#uq/!YZfvW4*vf[~C|.:Cl}UqS(vXd#wwqR~5M(rU%%^%#
#
return


con el NMS mediante SNMPv2c


SNMPv2c es aplicable a redes medianas y grandes con requisitos de baja seguridad o con alta
seguridad (por ejemplo, VPN) pero en los servicios que están tan ocupados que la congestión
del tráfico puede ocurrir.
Requisitos de redes
red. La red es grande y segura, pero el volumen de tráfico de servicio en la red es alto. Por lo
tanto, los dispositivos en la red usan SNMPv2c para comunicarse con el servidor NMS. Para
la expansión de la capacidad, se agrega un nuevo switch a la red. El administrador de red
desea utilizar los recursos de red existentes para administrar el nuevo switch y localizar y
eliminar rápidamente las fallas de la red.

Figura 14-2 Configurar un dispositivo para comunicarse con el NMS mediante SNMPv2c
GE1/0/1
10.1.1.1/24 VLAN10
10.1.1.2/24
NMS Switch

1. Configure SNMPv2c en el switch para que el NMS que ejecuta SNMPv2c pueda
cambio.
Procedimiento
Paso 1 Configure SNMPv2c en el switch para que el NMS que ejecuta SNMPv2c pueda administrar
el switch.
[Switch] snmp-agent sys-info version v2c //Por defecto, SNMPv3 es compatible.
[Switch] acl 2001
NMS.
Warning: All switches of SNMP trap/notification will be open. Continue? [Y/N]:y //

Habilite todas las funciones de trap en el switch. Por defecto, solo algunas
funciones de trap están habilitadas. Puede ejecutar el el comando display snmp-
agent trap all para comprobar el estado del trap.
securityname adminnms01 v2c //Configure un host de trap. Por defecto, los traps
son enviados por el puerto UDP 162.

a eSight.

IP address 10.1.1.2
Version V2c
Port 161
NOTA
----Fin

#
sysname Switch
#
acl number 2001
rule 10 deny
#
snmp-agent
snmp-agent sys-info version v2c v3
cipher %^%#uq/!YZfvW4*vf[~C|.:Cl}UqS(vXd#wwqR~5M(rU%%^%# v2c
#
return

con el NMS mediante SNMPv3



SNMPv3 es aplicable a redes de varias escalas, especialmente redes que tienen estrictos
requisitos de seguridad y que solo pueden ser administradas por administradores de red
autorizados. Por ejemplo, SNMPv3 se puede usar si los datos entre el NMS y el dispositivo
administrado deben ser transmitidos a través de una red pública.
Requisitos de redes
red. La red es grande y es propensa al ataque. Por lo tanto, los dispositivos en la red usan
SNMPv3 para comunicarse con el servidor NMS. Se agrega un nuevo switch a la red. El
administrador de red desea utilizar los recursos de red existentes para administrar el nuevo
switch y localizar y eliminar rápidamente las fallas de la red.
Figura 14-3 Configurar un dispositivo para comunicarse con el NMS mediante SNMPv3
GE1/0/1
10.1.1.1/24 VLAN10
10.1.10.2/24
Red IP
NMS Switch

3. Configure un grupo de usuarios y un usuario según el cual el switch permite el acceso
del NMS.
5. Agregue el switch al NMS. El grupo de usuarios y el usuario configurados en el switch
deben ser los mismos que los utilizados por el NMS; de lo contrario, el NMS no puede
gestionar el cambio.
Procedimiento
switch.
[Switch] snmp-agent sys-info version v3 //Por defecto, SNMPv3 es compatible. Si
SNMPv3 no está deshabilitado, omita este comando.

[Switch] acl 2001
NMS.
[Switch] snmp-agent mib-view included isoview iso //Configure la vista de MIB
isoview para acceder al subárbol iso.
Paso 3 Configure un grupo de usuarios y un usuario según el cual el switch permite el acceso del
NMS.
# Configure el grupo de usuarios group001, establezca el nivel de seguridad en privacy y
configure el control de acceso para restringir el acceso de NMS al switch.
[Switch] snmp-agent group v3 group001 privacy write-view isoview acl 2001 //
Configure un grupo de usuarios y aplique una ACL para que la función de control
de acceso entre en vigencia.
# Configure el usuario user001.

[Switch] snmp-agent usm-user v3 user001 group group001 //Configure un nombre de
usuario y agregue el nombre de usuario al grupo de usuarios especificado.
# Configure la contraseña de autenticación en Authe@1234.

[Switch] snmp-agent usm-user v3 user001 authentication-mode sha //Establezca un
modo de autenticación para mejorar la seguridad del switch administrado que
ejecuta SNMPv3.
Please configure the authentication password (8-64)
Enter Password: //Introduzca la contraseña de autenticación. Es
Authe@1234 en este ejemplo.
Confirm Password: //Confirme la contraseña. Es Authe@1234 en este
ejemplo.
# Configure la contraseña de cifrado en Priva@1234.

[Switch] snmp-agent usm-user v3 user001 privacy-mode aes128 //Establezca un modo
de cifrado para mejorar la seguridad del switch administrado que ejecuta SNMPv3.
Please configure the privacy password (8-64)
Enter Password: //Introduzca la contraseña de cifrado. Es
Priva@1234 en este ejemplo.
Confirm Password: //Confirme la contraseña. Es Priva@1234 en este
ejemplo.
NOTA
En versiones anteriores que V200R003C00, el nombre de usuario se configura usando snmp-agent usm-user
v3 user001 group001 authentication-mode sha Authe@1234 privacy-mode des56 Priva@1234.
Warning: All switches of SNMP trap/notification will be open. Continue? [Y/N]:y //
Habilite todas las funciones de trap en el switch. Por defecto, solo algunas
funciones de trap están habilitadas. Puede ejecutar el el comando display snmp-
agent trap all para comprobar el estado del trap.
securityname user001 v3 privacy //Configure un host de trap. Por defecto, los
traps son enviados por el puerto UDP 162. El nombre de seguridad debe ser el
mismo que el nombre de usuario; de lo contrario, el NMS no puede administrar el
dispositivo.


a eSight.

IP address 10.1.1.2
Version V3
Security name user001
Port 161
Authentication protocol HMAC_SHA
Authentication password Authe@1234
Privacy protocol AES_128
Encryption password Priva@1234
NOTA
----Fin

#
sysname Switch
#
acl number 2001
rule 10 deny
#
snmp-agent
snmp-agent sys-info version v3
snmp-agent group v3 group001 privacy write-view isoview acl 2001
user001 v3 privacy
snmp-agent mib-view included isoview iso
snmp-agent usm-user v3 user001
snmp-agent usm-user v3 user001 group group001
snmp-agent usm-user v3 user001 authentication-mode sha cipher %^%#*2C
%=4LZn1L>ni9xaybHdbXFW&[c_Wv0m!0MpTj!%^%#
snmp-agent usm-user v3 user001 privacy-mode aes128 cipher %^%#i\Fv-cC(u)
+x26S2'rEX<.;V+e~nP)*.J$Ulr($/%^%#
#
return
14.2 Configuración típica de NetStream

14.2.1 Ejemplo para configurar la exportación de estadísticas de
flujo original
Descripción general de NetStream

NetStream es una tecnología que recopila estadísticas y análisis del tráfico del servicio en las
redes. NetStream facilita hacer la cuenta y la vigilancia de red.
Tiene las siguientes ventajas:
l NetStream recopila estadísticas sobre múltiples tipos de información en paquetes.

Proporciona una potente función de recopilación de estadísticas y resultados estadísticos
detallados.
l NetStream se puede desplegar con bajo costo. No se requiere ningún dispositivo
dedicado para recopilar información de tráfico y no está ocupada ninguna interfaz del
dispositivo.
Las estadísticas de flujo original se exportan cuando sobrepasa el tiempo de envejecimiento

del flujo. Las estadísticas de cada flujo se exportan al servidor de NetStream. El servidor de
NetStream obtiene estadísticas detalladas sobre cada flujo.
Para los switches modulares, NetStream solo es compatible con las tarjetas de la serie B, las
tarjetas de la serie E (excepto la tarjeta LE2D2X48SEC0), la tarjeta LE1D2S04SEC0, la
tarjeta LE1D2X32SEC0, la tarjeta LE1D2H02QEC0 y las tarjetas de la serie X.

NetStream entra en conflicto con IP Source Trail en switches modulares, por lo que no debe
configurarlos simultáneamente.

cto producto
S5300 S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S9300 S9303, S9306, V200R001C00, V200R002C00, V200R003C00,

S9312 V200R005C00SPC300, V200R006C00, V200R007C00,
V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9310 V200R010C00, V200R011C10, V200R012C00
S9300 S9310X V200R010C00, V200R011C10, V200R012C00

X
S9300 S9303E, S9306E, V200R001C00, V200R002C00, V200R003C00,

E S9312E V200R005C00SPC300, V200R006C00, V200R007C00,
V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S6300 S6320HI V200R012C00
Requisitos de redes
Como se muestra en Figura 14-4, El Departamento 1 y el Departamento 2 se conectan a
Internet a través de SwitchA. Los administradores de red desean vigilar la comunicación entre
los dos departamentos e Internet, y hacer la cuenta para cada departamento.

Figura 14-4 Diagrama de redes para configurar la exportación de estadísticas de flujo original
Internet
GE1/0/1 GE1/0/2 Servidor

VLANIF100 VLANIF200 NetStream
10.1.1.1/24 10.1.2.1/24 10.1.2.2/24
GE1/0/4
GE1/0/3
VLANIF400
SwitchA VLANIF300
10.1.4.1/24
10.1.3.1/24

Pueden configurar las estadísticas de flujo original de IPv4 exportando en GE1/0/1 de
SwitchA. Configure SwitchA para recopilar estadísticas sobre el tráfico entrante y saliente en
la interfaz, y para enviar las estadísticas al servidor de NetStream para un análisis posterior.
De esta manera, se puede vigilar la comunicación entre los dos departamentos e Internet, y
hacer la cuenta para cada departamento.
1. Configure las direcciones IP para las interfaces en SwitchA.
2. Configure el muestreo de NetStream.
3. Configure el envejecimiento del flujo de NetStream.
4. Configure las exportaciones de estadísticas de flujo original.
5. Configure la versión de los paquetes exportados.
6. Habilite la recopilación de estadísticas de flujo de NetStream en GE1/0/1.
Procedimiento
Paso 1 Configure las direcciones IP para las interfaces en SwitchA según Figura 14-4.
# Configure las direcciones IP para las interfaces en SwitchA.


Paso 2 Configure el muestreo de NetStream.

# Configure el muestreo de NetStream en GE1/0/1, configure la proporción de muestreo en
1200.
[SwitchA-GigabitEthernet1/0/1] ip netstream sampler fix-packets 1200 inbound
[SwitchA-GigabitEthernet1/0/1] ip netstream sampler fix-packets 1200 outbound
Paso 3 Configure el envejecimiento del flujo de NetStream.

# Establezca el tiempo de envejecimiento inactivo en 100 segundos y habilite el
envejecimiento basado en FIN y RST.
[SwitchA] ip netstream timeout inactive 100
[SwitchA] ip netstream tcp-flag enable
Paso 4 Configure la exportación de estadísticas de flujo original de NetStream.

# Configure la dirección IP de origen de los paquetes exportados que llevan las estadísticas de
flujo original en 10.1.2.1, la dirección IP de destino en 10.1.2.2 y el número de puerto de
destino en 6000.
[SwitchA] ip netstream export source 10.1.2.1
[SwitchA] ip netstream export host 10.1.2.2 6000
Paso 5 Configure la versión de los paquetes exportados.

# Establezca la versión de paquetes exportados a V9.
[SwitchA] ip netstream export version 9
Paso 6 Habilite la recopilación de estadísticas de flujo de NetStream en GE1/0/1.

# Habilite la recopilación de estadísticas de flujo de NetStream en GE1/0/1.
[SwitchA-GigabitEthernet1/0/1] ip netstream inbound
[SwitchA-GigabitEthernet1/0/1] ip netstream outbound
[SwitchA] quit


# Una vez completada la configuración, el servidor de NetStream puede recibir paquetes de
estadísticas de SwitchA. Ejecute el comando display ip netstream statistics en SwitchA para
ver las estadísticas de flujo de NetStream.
<SwitchA> display ip netstream statistics slot 1
===== Netstream statistics: =====
Origin/Flexible ingress entries : 35
Origin/Flexible ingress packets : 381920
Origin/Flexible ingress octets : 125269760
Origin/Flexible egress entries : 0
Origin/Flexible egress packets : 0
Origin/Flexible egress octets : 0
Origin/Flexible total entries : 35
Handle origin entries : 35
Handle As aggre entries : 0
Handle ProtPort aggre entries : 0
Handle SrcPrefix aggre entries : 0
Handle DstPrefix aggre entries : 0
Handle Prefix aggre entries : 0
Handle AsTos aggre entries : 0
Handle ProtPortTos aggre entries : 0
Handle SrcPreTos aggre entries : 0
Handle DstPreTos aggre entries : 0
Handle PreTos aggre entries : 0
----Fin
El archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 100 200 300 400
#
ip netstream timeout inactive 100
ip netstream export version 9
ip netstream export source 10.1.2.1
ip netstream export host 10.1.2.2 6000
#
ip netstream tcp-flag enable
#
interface Vlanif100
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif200
ip address 10.1.2.1 255.255.255.0
#
interface Vlanif300
ip address 10.1.3.1 255.255.255.0
#
interface Vlanif400
ip address 10.1.4.1 255.255.255.0
#
ip netstream inbound
ip netstream outbound
ip netstream sampler fix-packets 1200 inbound
ip netstream sampler fix-packets 1200 outbound
#

#
#
#
return

flujo de agregación


detallados.
dispositivo.
En las estadísticas de flujo de agregación que se exportan, el dispositivo resume los flujos con
las mismas palabras claves de agregación y obtiene estadísticas sobre el flujo de agregación.
Las estadísticas de flujo de agregación obviamente reducen la ocupación del ancho de banda.

cto producto
S5300 S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S9300 S9303, S9306, V200R001C00, V200R002C00, V200R003C00,

S9312 V200R005C00SPC300, V200R006C00, V200R007C00,
V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9310 V200R010C00, V200R011C10, V200R012C00


cto producto
S9300 S9310X V200R010C00, V200R011C10, V200R012C00

X
S9300 S9303E, S9306E, V200R001C00, V200R002C00, V200R003C00,

V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S6300 S6320HI V200R012C00
Requisitos de redes
los dos departamentos e Internet.
Figura 14-5 Diagrama de redes para configurar exportaciones de estadísticas de flujo de

agregación
Internet

10.1.1.1/24 10.1.2.1/24 10.1.2.2/24
GE1/0/4
GE1/0/3
VLANIF400
SwitchA VLANIF300
10.1.4.1/24
10.1.3.1/24

Pueden configurar las estadísticas de flujo de agregación de IPv4 exportando en GE1/0/1 de
De esta manera, se puede vigilar la comunicación entre los dos departamentos e Internet.


2. Configure las exportaciones de estadísticas de flujo de agregación de NetStream.
3. Configure la versión de los paquetes exportados.
4. Habilite la recopilación de estadísticas de flujo de NetStream en GE1/0/1.
Procedimiento
Paso 2 Configure las exportaciones de estadísticas de flujo de agregación de NetStream.

# Configure protocol-port de palabra clave de agregación y establezca la dirección IP de
origen de los paquetes exportados en 10.1.2.1, la dirección IP de destino en 10.1.2.2 y el
número de puerto de destino en 6000.
[SwitchA] ip netstream aggregation protocol-port
[SwitchA-aggregation-protport] ip netstream export source 10.1.2.1
[SwitchA-aggregation-protport] ip netstream export host 10.1.2.2 6000
[SwitchA-aggregation-protport] enable
Paso 3 Configure la versión de los paquetes exportados.

# Establezca la versión de los paquetes exportados que llevan las estadísticas de flujo de
agregación a V9.
[SwitchA-aggregation-protport] export version 9
[SwitchA-aggregation-protport] quit

Paso 4 Habilite la recopilación de estadísticas de flujo de NetStream en GE1/0/1.

# Habilite la recopilación de estadísticas de flujo de NetStream en GE1/0/1.
[SwitchA] quit

----Fin
#
sysname SwitchA
#
vlan batch 100 200 300 400
#
interface Vlanif100
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif200
ip address 10.1.2.1 255.255.255.0
#
interface Vlanif300
ip address 10.1.3.1 255.255.255.0
#
interface Vlanif400
ip address 10.1.4.1 255.255.255.0
#
#


#
#
#
ip netstream aggregation protocol-port
enable
export version 9
#
return

flujo flexible

detallados.
dispositivo.
En la exportación de estadísticas de flujo flexible, los flujos se establecen según las reglas
personalizadas. Pueden personalizar los flujos según el tipo de protocolo, la prioridad de
DSCP, la dirección IP de origen, la dirección IP de destino, el número de puerto de origen, el
número de puerto de destino o la etiqueta de flujo, si es necesario. Las estadísticas de flujo
flexibles se envían al servidor de NetStream. Comparada con la recopilación de estadísticas
de flujo original, la recopilación de estadísticas de flujo flexible ocupa menos tráfico y es más
flexible.


cto producto
S5300 S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S9300 S9303, S9306, V200R001C00, V200R002C00, V200R003C00,

S9312 V200R005C00SPC300, V200R006C00, V200R007C00,
V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S9310 V200R010C00, V200R011C10, V200R012C00
S9300 S9310X V200R010C00, V200R011C10, V200R012C00

X
S9300 S9303E, S9306E, V200R001C00, V200R002C00, V200R003C00,

V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S6300 S6320HI V200R012C00
Requisitos de redes
los dos departamentos e Internet.
Figura 14-6 Diagrama de redes para configurar exportaciones de estadísticas de flujo flexible
Internet

10.1.1.1/24 10.1.2.1/24 10.1.2.2/24
GE1/0/4
GE1/0/3
VLANIF400
SwitchA VLANIF300
10.1.4.1/24
10.1.3.1/24


Pueden configurar las estadísticas de flujo flexible de IPv4 exportando en GE1/0/1 de
De esta manera, se puede vigilar la comunicación entre los dos departamentos e Internet.
2. Configure una plantilla de estadísticas de flujo flexible.
3. Configure la exportación de estadísticas de flujo flexible de NetStream.
4. Habilite la recopilación de estadísticas de flujo flexible en GE1/0/1.
Procedimiento
Paso 2 Configure una plantilla de estadísticas de flujo flexible.

# Cree una plantilla de estadísticas de flujo flexible test para agregar flujos según la dirección
IP de destino y el número de puerto de destino, y configure los paquetes exportados para que
contengan el número de bytes y paquetes y los índices de las interfaces de entrada y salida.
[SwitchA] ip netstream record test
[SwitchA-record-test] match ip destination-address

[SwitchA-record-test] match ip destination-port

[SwitchA-record-test] collect interface input
[SwitchA-record-test] collect interface output
[SwitchA-record-test] collect counter bytes
[SwitchA-record-test] collect counter packets
[SwitchA-record-test] quit
Paso 3 Configure la exportación de estadísticas de flujo flexible de NetStream.

# Configure la dirección IP de origen de los paquetes exportados que llevan las estadísticas de
flujo flexible en 10.1.2.1, la dirección IP de destino en 10.1.2.2 y el número de puerto de
destino en 6000.
[SwitchA] ip netstream export source 10.1.2.1
[SwitchA] ip netstream export host 10.1.2.2 6000
Paso 4 Habilite la recopilación de estadísticas de flujo flexible en GE1/0/1.

# Habilite la recopilación de estadísticas de flujo flexible en GE1/0/1 y aplique la plantilla de
estadísticas de flujo flexible test a GE1/0/1.
[SwitchA] interface gigabitEthernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port ip netstream record test
[SwitchA] quit

Record test handle entries : 10
----Fin
#
sysname SwitchA
#
vlan batch 100 200 300 400
#


#
ip netstream record test
match ip destination-address
match ip destination-port
collect counter packets
collect counter bytes
collect interface input
collect interface output
#
interface Vlanif100
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif200
ip address 10.1.2.1 255.255.255.0
#
interface Vlanif300
ip address 10.1.3.1 255.255.255.0
#
interface Vlanif400
ip address 10.1.4.1 255.255.255.0
#
port ip netstream record test
#
#
#
#
return
14.3 Configuración típica de espejado
14.3.1 Ejemplo para configurar el espejado de puerto local

(espejado 1:1)
Descripción general del espejado de puertos locales

En el espejado de puertos locales, un puerto de observación se conecta directamente a un
dispositivo de vigilancia y reenvía directamente los paquetes copiados desde un puerto
espejado al dispositivo de vigilancia para la localización de fallas y la vigilancia del servicio.
l Un puerto de observación está dedicado a reenviar tráfico espejado. No configure otros
servicios en un puerto de observación; de lo contrario, el tráfico espejado y el tráfico de
otros servicios interfieren entre sí.

l Si la función de espejado se despliega en muchos puertos de un dispositivo, se ocupará

una gran cantidad de ancho de banda de reenvío interno, lo que afecta el reenvío de otros
servicios. Además, si el ancho de banda del puerto espejado es mayor que el ancho de
banda del puerto de observación, por ejemplo, 1000 Mbit/s en un puerto espejado y 100
Mbit/s en un puerto de observación, el puerto de observación no podrá reenviar todos los
paquetes espejados a tiempo debido a la insuficiencia de ancho de banda, lo que ocurre la
pérdida de paquetes.
l En todos los modelos de switch modular de la serie S de Huawei, Eth-Trunks se pueden
configurar como puertos de observación. En los siguientes modelos de switch fijo de la
serie S de Huawei, Eth-Trunks se pueden configurar como puertos de observación en
V200R005 y versiones posteriores: S5300EI, S5300HI, S5306, S5310EI, S5320EI,
S5320HI, S6300EI, S6320EI, y S6320HI.
l Ambas interfaces físicas y Eth-Trunks se pueden configurar como puertos espejados. Si
un Eth-Trunk está configurado como un puerto espejado, sus puertos de miembros no se
pueden configurar como puertos de observación.
l Este ejemplo se aplica a todas las versiones de los switches de la serie S.
Requisitos de redes
Como se muestra en Figura 14-7, el departamento administrativo de una compañía accede a
Internet a través del Switch, y el Server del dispositivo de vigilancia está directamente
conectado al Switch.
El tráfico de acceso a Internet del departamento administrativo debe ser vigilado a través del
Server.

Figura 14-7 Redes de espejado de puertos locales
Internet
Switch Servidor
GE1/0/2
GE1/0/1
Departamento
administrativo
HostA HostB HostC
Puerto espejado
Puerto de observación local
Paquetes originales
Paquetes espejados

1. Configure GE1/0/2 del Switch como un puerto de observación local para reenviar
paquetes espejados al Server.
2. Configure GE1/0/1 del Switch como un puerto espejado para copiar el tráfico de acceso
a Internet del departamento administrativo al puerto de observación local.
Procedimiento
Paso 1 Configure un puerto de observación.
# Configure GE1/0/2 de Switch como un puerto de observación local.

[Switch] observe-port 1 interface gigabitethernet 1/0/2 //Configure GE1/0/2
como un puerto de observación local 1.
Paso 2 Configure un puerto espejado.
# Configure GE1/0/1 del Switch como un puerto espejado para copiar los paquetes recibidos
por el puerto espejado al puerto de observación local.


[Switch-GigabitEthernet1/0/1] port-mirroring to observe-port 1 inbound //
Espeje los paquetes entrantes en GE1/0/1 al puerto de observación 1.

# Compruebe la configuración del puerto de observación.
<Switch> display observe-port
----------------------------------------------------------------------
Index : 1
Untag-packet : No
Interface : GigabitEthernet1/0/2
----------------------------------------------------------------------
# Compruebe la configuración del puerto espejado.

<Switch> display port-mirroring
----------------------------------------------------------------------
Observe-port 1 : GigabitEthernet1/0/2
----------------------------------------------------------------------
Port-mirror:
----------------------------------------------------------------------
Mirror-port Direction Observe-port
----------------------------------------------------------------------
1 GigabitEthernet1/0/1 Inbound Observe-port 1
----------------------------------------------------------------------
----Fin
l Archivo de configuración del Switch
#
sysname Switch
#
observe-port 1 interface GigabitEthernet1/0/2
#
port-mirroring to observe-port 1 inbound
#
return

(espejado 1:N en la que los puertos de observación se configuran
uno por uno)
Descripción general del espejado 1:N

En el espejado 1:N, los paquetes en un puerto espejado se copian a puertos N de observación
para que los paquetes se puedan copiar en diferentes dispositivos de vigilancia para su análisis
y procesamiento.
En el espejado 1:N, múltiples puertos de observación deben ser configurados y conectados a
diferentes dispositivos de vigilancia. Los puertos de observación se pueden configurar uno por
uno o en un lote. Los modos de configuración individual y por lotes se pueden usar
simultáneamente. Los puertos de observación configurados en un lote pueden vincularse al
mismo puerto espejado para simplificar la configuración del espejado 1:N. Por lo tanto, se
recomienda la configuración por lotes en espejado 1:N.

S5320HI, S6300EI, S6320EI, y S6320HI.
configuración.

cto producto
S5300 S5300HI V200R005 (C00&C01&C02)
S5310EI V200R005 (C00&C02)
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S6300 S6300EI V200R005 (C00&C01&C02)
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00


cto producto
S9300 S9303, V200R001C00, V200R002C00, V200R003C00,

S9306, S9312 V200R005C00SPC300, V200R006C00, V200R007C00,
V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
Las versiones anteriores que V200R005 admiten espejado
1:N en la dirección de entrada; sin embargo, el sistema
admite un espejado máximo de 1:2 y las tarjetas de serie
FC y SA no son compatibles con el espejado 1:N. En
V200R005 y versiones posteriores, las tarjetas de serie SA
(excepto las tarjetas de serie SA de 10GE) no admiten
espejado 1:N, tarjetas de LE1D2S04SEC0,
LE1D2X32SEC0 y LE1D2H02QEC0, y las tarjetas de la
serie X no admiten espejado 1:N en la que los puertos de
observación están configurados uno por uno, y otras
tarjetas admiten espejado 1:N en las direcciones de entrada
y de salida.
S9310 V200R010C00, V200R011C10, V200R012C00

las tarjetas de serie SA (excepto las tarjetas de la serie SA
de 10GE) no admiten espejado 1:N, tarjetas de
LE1D2S04SEC0, LE1D2X32SEC0 y LE1D2H02QEC0, y
las tarjetas de la serie X no admiten espejado 1:N en la que
los puertos de observación están configurados uno por uno,
y otras tarjetas admiten espejado 1:N en las direcciones de
entrada y de salida.
S9300 S9310X V200R010C00, V200R011C10, V200R012C00

X las tarjetas de serie SA (excepto las tarjetas de la serie SA
de 10GE) no admiten espejado 1:N, tarjetas de
LE1D2S04SEC0, LE1D2X32SEC0 y LE1D2H02QEC0, y
las tarjetas de la serie X no admiten espejado 1:N en la que
los puertos de observación están configurados uno por uno,
y otras tarjetas admiten espejado 1:N en las direcciones de
entrada y de salida.


cto producto
S9300 S9303E, V200R001C00, V200R002C00, V200R003C00,

E S9306E, V200R005C00SPC300, V200R006C00, V200R007C00,
S9312E V200R008(C00&C10), V200R009C00, V200R010C00,
V200R011C10, V200R012C00
Las versiones anteriores que V200R005 admiten espejado
1:N en la dirección de entrada; sin embargo, el sistema
admite un espejado máximo de 1:2 y las tarjetas de serie
FC y SA no son compatibles con el espejado 1:N. En
V200R005 y versiones posteriores, las tarjetas de serie SA
(excepto las tarjetas de serie SA de 10GE) no admiten
espejado 1: N, tarjetas de LE1D2S04SEC0,
LE1D2X32SEC0 y LE1D2H02QEC0, y las tarjetas de la
serie X no admiten espejado 1:N en la que los puertos de
observación están configurados uno por uno, y otras
tarjetas admiten espejado 1:N en las direcciones de entrada
y de salida.
NOTA
Requisitos de redes
Como se muestra en Figura 14-8, el departamento de I+D de una compañía accede a Internet
a través del Switch, y los dispositivos de vigilancia Server1, Server2 y Server3 están
conectados directamente al Switch.
El tráfico de acceso a Internet del departamento de I+D debe ser espejado en diferentes
Servers para diferentes propósitos de vigilancia y análisis.

Figura 14-8 Redes de puerto espejado local
Internet
Server 1
4
1 /0/
GE Server2
Switch
GE1/0/3
GE1/0/1 GE
1/0
/2 Server3
Departamento
I+D
HostA HostB HostC
Puerto espejado
Paquetes originales
Paquetes espejados

1. Configure GE1/0/2 a través de GE1/0/4 del Switch como puertos de observación locales
para reenviar paquetes espejados a diferentes Servers.
2. Configure GE1/0/1 del Switch como un puerto espejado para copiar el tráfico que lo pasa
a diferentes puertos de observación locales.
Procedimiento
Paso 1 Configure los puertos de observación.
# Configure GE1/0/2 a través de GE1/0/4 del Switch como puertos de observación local uno
por uno.
como un puerto de observación local con el índice 1.
como un puerto de observación local con el índice 2.

por el puerto espejado a los puertos de observación locales.
Espeje el tráfico entrante en GE1/0/1 al puerto de observación 1.
[Switch-GigabitEthernet1/0/1] port-mirroring to observe-port 3 inbound
[Switch-GigabitEthernet1/0/1] return //Espeje el tráfico entrante en GE1/0/1
al puerto de observación 3.

----------------------------------------------------------------------
Index : 1
Untag-packet : No
----------------------------------------------------------------------
Index : 2
Untag-packet : No
----------------------------------------------------------------------
Index : 3
Untag-packet : No
----------------------------------------------------------------------

----------------------------------------------------------------------
----------------------------------------------------------------------
Port-mirror:
----------------------------------------------------------------------
----------------------------------------------------------------------
----------------------------------------------------------------------
----Fin
l Archivo de configuración del Switch
#
sysname Switch
#
#
#
return


(espejado 1:N en la que los puertos de observación se configuran
en un lote)
Descripción general del espejado 1:N

En el espejado 1:N, los paquetes en un puerto espejado se copian a puertos N de observación
para que los paquetes se puedan copiar en diferentes dispositivos de vigilancia para su análisis
y procesamiento.
En el espejado 1:N, múltiples puertos de observación deben ser configurados y conectados a

diferentes dispositivos de vigilancia. Los puertos de observación se pueden configurar uno por
uno o en un lote. Los modos de configuración individual y por lotes se pueden usar
simultáneamente. Los puertos de observación configurados en un lote pueden vincularse al
mismo puerto espejado para simplificar la configuración del espejado 1:N. Por lo tanto, se
recomienda la configuración por lotes en espejado 1:N.
S5320HI, S6300EI, S6320EI, y S6320HI.
l En el espejado 1:N, si se configura que los paquetes entrantes o salientes se copien desde
un puerto espejado en múltiples puertos de observación por lotes, los paquetes no pueden
copiarse en otros puertos de observación.
configuración.

producto
S5300 S5300HI V200R005 (C00&C01&C02)


producto
S5310EI V200R005 (C00&C02)
S5320EI V200R007C00, V200R008C00, V200R009C00,

V200R010C00, V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00, V200R011C10,

V200R012C00
S6300 S6300EI V200R005 (C00&C01&C02)
S6320EI V200R008C00, V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320HI V200R012C00
S9300 S9303, S9306 V200R005C00SPC300, V200R006C00,

y S9312 V200R007C00, V200R008 (C00&C10),
V200R009C00, V200R010C00, V200R011C10
Las tarjetas de la serie SA (excepto las tarjetas de la
serie SA de 10GE) no son compatibles con el espejado
1:N.
S9310 V200R010C00, V200R011C10, V200R012C00

1:N.
S9300X S9310X V200R010C00, V200R011C10, V200R012C00

1:N.
S9300E S9303E, V200R005C00SPC300, V200R006C00,

S9306E y V200R007C00, V200R008 (C00&C10),
S9312E V200R009C00, V200R010C00, V200R011C10
1:N.
NOTA
Requisitos de redes
Como se muestra en Figura 14-9, el departamento de I+D de una compañía accede a Internet
a través del Switch, y los dispositivos de vigilancia Server1, Server2 y Server3 están
conectados directamente al Switch.
El tráfico de acceso a Internet del departamento de I+D debe ser espejado en diferentes
servidores para diferentes propósitos de vigilancia y análisis.

Internet
Server 1
4
1 /0/
GE Server2
Switch
GE1/0/3
GE1/0/1 GE
1/0
/2 Server3
Departamento
I+D
HostA HostB HostC
Puerto espejado
Paquetes originales
Paquetes espejados

1. Configure GE1/0/2 a través de GE1/0/4 del Switch como puertos de observación locales
para reenviar paquetes espejados a diferentes Servers.
2. Configure GE1/0/1 del Switch como un puerto espejado para copiar el tráfico que lo pasa
a diferentes puertos de observación locales.
Procedimiento
# Configure GE1/0/2 a través de GE1/0/4 del Switch como puertos de observación local en un
lote.
[Switch] observe-port 1 interface-range gigabitethernet 1/0/2 to gigabitethernet
1/0/4 //Configure GE1/0/2 a través de GE1 0/4 como puertos de observación
locales por lote y comparta el mismo puerto de observación 1.
por el puerto espejado a los puertos de observación locales.



----------------------------------------------------------------------
Index : 1
Untag-packet : No
Interface-range: GigabitEthernet1/0/2 to GigabitEthernet1/0/4
----------------------------------------------------------------------

----------------------------------------------------------------------
Observe-port 1 : GigabitEthernet1/0/2 to GigabitEthernet1/0/4
----------------------------------------------------------------------
Port-mirror:
----------------------------------------------------------------------
----------------------------------------------------------------------
----------------------------------------------------------------------
----Fin
#
sysname Switch
#
observe-port 1 interface-range GigabitEthernet1/0/2 to GigabitEthernet1/0/4
#
#
return

(Espejado N:1)
Descripción general de espejado N:1

En el espejado N: 1, los paquetes en puertos N espejados se copian en un puerto de
observación para que los paquetes en puertos diferentes puedan copiarse en el mismo
dispositivo de vigilancia para su análisis.

S5320HI, S6300EI, S6320EI, y S6320HI.
l Este ejemplo se aplica a todas las versiones de los switches de la serie S.
Requisitos de redes
Como se muestra en Figura 14-10, tres departamentos (departamento 1 de ciencia y
tecnología, departamento 2 de ciencia y tecnología y departamento administrativo) de una
compañía accede a Internet a través del Switch y el Server del dispositivo de vigilancia está
directamente conectado al Switch.
El tráfico de acceso a Internet de los tres departamentos debe ser vigilado a través del Server.
Internet
Servidor
GE1/0/4
Switch
/1
G
/0
GE1/0/2
E1
E1
/0
G
/3
Departamento Departamento Departamento

de ciencia y de ciencia y administrativo
tecnología 1 tecnología 2
HostA HostB HostC HostD HostE HostF
Puerto espejado
Paquetes originales
Paquetes espejados


1. Configure GE1/0/4 del Switch como un puerto de observación local para reenviar
paquetes espejados al Server.
2. Configure GE1/0/1 a través de GE1/0/3 del Switch como puertos espejados para copiar
el tráfico de acceso a Internet de los tres departamentos al puerto de observación local.
Procedimiento
Paso 1 Configure un puerto de observación.
# Configure GE1/0/4 del Switch como un puerto de observación local.

Paso 2 Configure puertos espejados.
Configure GE1/0/1 a través de GE1/0/3 del Switch como puertos espejados para copiar los
paquetes recibidos por los puertos espejados en el puerto de observación local.

----------------------------------------------------------------------
Index : 1
Untag-packet : No
----------------------------------------------------------------------

----------------------------------------------------------------------
----------------------------------------------------------------------
Port-mirror:
----------------------------------------------------------------------
----------------------------------------------------------------------
----------------------------------------------------------------------
----Fin

#
sysname Switch
#
#
#
#
#
return

(espejado M:N)
Descripción general del espejado M:N

En el espejado M:N, los paquetes en los puertos M espejados se copian en puertos N de
observación para que los paquetes en puertos múltiples puedan copiarse en diferentes
dispositivos de vigilancia para su análisis y procesamiento.
Una regla espejada M:N es equivalente a múltiples reglas espejadas 1:N y también requiere
múltiples puertos de observación para ser configurados y conectados a diferentes dispositivos
de vigilancia. Los puertos de observación se pueden configurar uno por uno o en un lote. Los
modos de configuración individual y por lotes se pueden usar simultáneamente. La
observación de puertos configurados en un lote puede vincularse al mismo puerto espejado
para simplificar la configuración del espejado M:N. Por lo tanto, se recomienda la
configuración por lotes en espejado M:N.
S5320HI, S6300EI, S6320EI, y S6320HI.


l En el espejado M:N, si se configura que los paquetes entrantes o salientes se copien
desde un puerto espejado en múltiples puertos de observación por lotes, los paquetes no
pueden copiarse en otros puertos de observación.
l En este ejemplo de configuración, los puertos de observación se configuran en un lote,
por lo que los productos y versiones aplicables de este ejemplo son los mismos que
14.3.3 Ejemplo para configurar el espejado de puerto local (espejado 1:N en la que
los puertos de observación se configuran en un lote). Si los puertos de observación se
configuran uno por uno, los productos y versiones aplicables del ejemplo de
configuración son los mismos que 14.3.2 Ejemplo para configurar el espejado de
puerto local (espejado 1:N en la que los puertos de observación se configuran uno
por uno).
Requisitos de redes
Como se muestra en Figura 14-11, tres departamentos (departamento 1 de I+D, departamento
2 de I+D y departamento de Marketing) de una compañía acceden a Internet a través del
Switch y los dispositivos de vigilancia Server1 y Server2 están directamente conectados al
Switch.
El tráfico de acceso a Internet de los tres departamentos debe ser espejado en diferentes
servidores para diferentes propósitos de vigilancia y análisis.
Internet
Server1 Switch Server2

GE1/0/4 GE1/0/5
/1
G
/0
GE1/0/2
E1
E1
/0
G
/3
Departamento Departamento Departamento

de I+D 1 de I+D 2 de Marketing
HostA HostB HostC HostD HostE HostF
Puerto espejado
Paquetes originales
Paquetes espejados


1. Configure GE1/0/4 y GE1/0/5 del Switch como puertos de observación locales para
reenviar paquetes espejados a diferentes Servers.
2. Configure GE1/0/1 a través de GE1/0/3 del Switch como puertos espejados para copiar
el tráfico que lo pasa a través de los puertos espejados a diferentes puertos de
observación locales.
Procedimiento
# Configure GE1/0/4 y GE1/0/5 del Switch como puertos de observación locales en un lote.
[Switch] observe-port 1 interface-range gigabitethernet 1/0/4 gigabitethernet
1/0/5 //Configure GE1/0/4 y GE1/0/5 como puertos de observación locales en un
lote y comparten el puerto de observación 1
Paso 2 Configure puertos espejados.
# Configure GE1/0/1 a través de GE1/0/3 del Switch como puertos espejados para copiar los
paquetes recibidos por los puertos espejados a diferentes puertos de observación locales.
Espeje el tráfico entrante en GE GE1/0/1 al puerto de observación 1.

----------------------------------------------------------------------
Index : 1
Untag-packet : No
Interface-range: GigabitEthernet1/0/4 to GigabitEthernet1/0/5
----------------------------------------------------------------------

----------------------------------------------------------------------
Observe-port 1 : GigabitEthernet1/0/4 to GigabitEthernet1/0/5
----------------------------------------------------------------------
Port-mirror:
----------------------------------------------------------------------
----------------------------------------------------------------------


----------------------------------------------------------------------
----Fin
#
sysname Switch
#
observe-port 1 interface-range GigabitEthernet1/0/4 to GigabitEthernet1/0/5
#
#
#
#
return
14.3.6 Ejemplo para configurar el espejado de puerto remoto de

Capa 2
Descripción general del espejado de puerto remoto de Capa 2

En el espejado de puerto remoto de Capa 2, un puerto de observación se conecta a un
dispositivo de vigilancia a través de una red de Capa 2. Después de que el puerto de
observación reciba paquetes espejados de un puerto espejado, el puerto de observación agrega
una etiqueta VLAN correspondiente a la red de Capa 2 a los paquetes y los reenvía a la red de
Capa 2. Un dispositivo intermedio de Capa 2 luego envía los paquetes al dispositivo de
vigilancia.
S5320HI, S6300EI, S6320EI, y S6320HI.

l El parámetro vlan vlan-id se especificará durante la configuración de un puerto de

observación remoto de Capa 2, lo que indica que el puerto de observación remoto de
Capa 2 puede enviar paquetes espejados al dispositivo de vigilancia a través de la VLAN
especificada. En esta situación, el puerto de observación remoto de Capa 2 no se debe
agregar a la VLAN especificada.
l Todos los modelos de switch de Huawei excepto S2300SI de V100R006C05 admiten el
espejado de puertos remotos de Capa 2.
Requisitos de redes
Como se muestra en Figura 14-12, el departamento administrativo de una compañía accede a
Internet a través del SwitchA, y el Server del dispositivo de vigilancia está directamente
conectado al SwitchA por SwitchB.
El tráfico de acceso a Internet del departamento administrativo debe ser vigilado a través del
Server.
Figura 14-12 Redes de puerto espejado remoto de Capa 2
Internet
SwitchA SwitchB
GE1/0/2 GE1/0/2
VLAN10
GE1/0/1 GE1/0/1
Departamento
administrativo
Servidor
HostA HostB HostC
Puerto común
Puerto espejado
Puerto de observación remoto
Paquetes originales
Paquetes espejados

1. Configure GE1/0/2 del SwitchA como un puerto de observación remoto de Capa 2 para
reenviar paquetes espejados a la VLAN especificada.

2. Configure GE1/0/1 del SwitchA como un puerto espejado para copiar el tráfico de
acceso a Internet del departamento administrativo al puerto de observación remoto de
Capa 2.
3. Cree una VLAN en SwitchB, desactive el aprendizaje de direcciones MAC en esta
VLAN y agregue puertos a la VLAN para reenviar los paquetes espejados que se envían
desde el puerto de observación al Server.
Procedimiento
Paso 1 Configure un puerto de observación en SwitchA.
Configure GE1/0/2 del SwitchA como un puerto de observación remoto de Capa 2 y vincule
el puerto de observación a la VLAN 10.
[SwitchA] observe-port 1 interface gigabitethernet 1/0/2 vlan 10 //Configure
GE1/0/2 como el puerto de observación remoto 1 de Capa 2 y añádalo a la VLAN 10.
Una vez completada la configuración, el puerto de observación reenvía los paquetes espejados
a la VLAN 10, no se debe agregar el puerto de observación a la VLAN.
Paso 2 Configure un puerto espejado en SwitchA.
# Configure GE1/0/1 del SwitchA como un puerto espejado para copiar los paquetes recibidos
por el puerto espejado al puerto de observación remoto de Capa 2 .
[SwitchA-GigabitEthernet1/0/1] port-mirroring to observe-port 1 inbound //
[SwitchA-GigabitEthernet1/0/1] return
Paso 3 Cree una VLAN en SwitchB y agregue puertos a la VLAN.

# Cree VLAN 10 en SwitchB, deshabilite el aprendizaje de direcciones MAC en esta VLAN,
y agregue GE1/0/1 y GE1/0/2 a VLAN 10.
NOTA
Aquí, la VLAN 10 se usa para reenviar solo paquetes espejados. Si la VLAN 10 ya existe y ha
aprendido las entradas de la dirección MAC, ejecute el comando undo mac-address vlan vlan-id en la
vista del sistema para eliminar todas las entradas de la dirección MAC en la VLAN 10.
[SwitchB] vlan 10
[SwitchB-vlan10] mac-address learning disable //Deshabilite el aprendizaje de
direcciones MAC en esta VLAN.
[SwitchB-GigabitEthernet1/0/1] port link-type access //Establezca el tipo de
enlace de la interfaz en el dispositivo de vigilancia a access. El tipo de enlace
predeterminado de las interfaces no es access.
[SwitchB-GigabitEthernet1/0/2] port link-type trunk //Establezca el tipo de
enlace de la interfaz en el lado de la red a Trunk. El tipo de enlace
predeterminado de las interfaces no es Trunk.
[SwitchB-GigabitEthernet1/0/2] return


<SwitchA> display observe-port

----------------------------------------------------------------------
Index : 1
Untag-packet : No
Vlan : 10
----------------------------------------------------------------------

<SwitchA> display port-mirroring
----------------------------------------------------------------------
----------------------------------------------------------------------
Port-mirror:
----------------------------------------------------------------------
----------------------------------------------------------------------
----------------------------------------------------------------------
----Fin
#
sysname SwitchA
#
observe-port 1 interface GigabitEthernet1/0/2 vlan 10
#
#
return

#
sysname SwitchB
#
vlan batch 10
#
vlan 10
mac-address learning disable
#
#
#
return
14.3.7 Ejemplo para configurar el espejado de tráfico local basado

en MQC
Descripción general del espejado de tráfico local

En el espejado de tráfico local, el tráfico de servicio que coincide con las reglas configuradas
se copia a un puerto de observación que está conectado directamente a un dispositivo de
vigilancia para su análisis y vigilancia.

Pueden configurar el espejado de tráfico utilizando la Interfaz de línea de comando de calidad

de servicio modular (MQC) y la ACL. El espejado de tráfico basado en MQC es compleja
para configurar, pero admite más reglas de coincidencia y se puede aplicar a las direcciones
de entrada y de salida. El espejado de tráfico basada en ACL es fácil para configurar, pero
admite menos reglas de coincidencia que el de tráfico basado en MQC.
S5320HI, S6300EI, S6320EI, y S6320HI.
configuración.

Modelo del Versión del software Notas
producto
S2320EI V200R011C10, V200R012C00 Solo admite el espejado

de tráfico entrante.
S2350EI V200R003C00, V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008C00, V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S2352P-EI V100R006C05
S3300SI V100R006C05
S3300EI V100R006C05
S3300HI V200R001C00


producto
S5300LI V200R001C00, V200R002C00,

V200R003(C00&C02),
V200R005C00SPC300, V200R006C00,
V200R007C00, V200R008(C00&C10),
V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5300SI V200R001C00, V200R002C00,

V200R003C00, V200R005(C00&C02)
S5320LI V200R010C00, V200R011C10,

V200R012C00
S5320SI V200R008(C00&C10), V200R009C00,

V200R010C00, V200R011C10,
V200R012C00
S5330SI V200R011C10, V200R012C00
S6320SI V200R011C10, V200R012C00
S5300EI V200R001C00, V200R002C00, El espejado de tráfico

V200R003C00, saliente se admite desde
V200R005(C00&C01&C02) la versión V200R005.
S5310EI V200R002C00, V200R003C00,

V200R005(C00&C02)
S5300HI V200R001(C00&C01), V200R002C00,

V200R003C00,
V200R005(C00&C01&C02)
S6300EI V200R001(C00&C01), V200R002C00,

V200R003C00,
V200R005(C00&C01&C02)
S5320EI V200R007C00, V200R008C00, -

V200R009C00, V200R010C00,
V200R011C10, V200R012C00
S5320HI V200R009C00, V200R010C00,

V200R011C10, V200R012C00
S6320EI V200R008C00, V200R009C00,

V200R010C00, V200R011C10,
V200R012C00
S6320HI V200R012C00


producto
S9303, S9306, V200R001C00, V200R002C00,

S9312 V200R003C00, V200R005C00SPC300,
V200R006C00, V200R007C00,
V200R008(C00&C10), V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
S9310 V200R010C00, V200R011C10,

V200R012C00
S9310X V200R010C00, V200R011C10,

V200R012C00
S9303E, V200R001C00, V200R002C00,

S9306E, V200R003C00, V200R005C00SPC300,
S9312E V200R006C00, V200R007C00,
V200R008(C00&C10), V200R009C00,
V200R010C00, V200R011C10,
V200R012C00
NOTA
Requisitos de redes
Como

Sx300 Switches de La Serie Ejemplos Tipi

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Sx300 Switches de La Serie Ejemplos Tipi

Cargado por

Copyright:

Formatos disponibles

Sx300 Switches de la serie

Ejemplos típicos de configuración

HUAWEI TECHNOLOGIES CO., LTD.

Huawei Technologies Co., Ltd.

Página web: http://www.huawei.com

Versión 02 (2018-08-13) Material confidencial de Huawei i

Acerca de este documento

Indica una situación potencialmente

NOTE Llama la atención sobre la información

Boldface Las palabras clave de una línea de comando están en

Versión 02 (2018-08-13) Material confidencial de Huawei ii

Italic Los argumentos del comando están en italics.

[] Los ítems (palabras clave o argumentos) entre corchetes [ ]

{ x | y | ... } Los ítems opcionales se agrupan entre llaves y separados

[ x | y | ... ] Los ítems opcionales se agrupan entre paréntesis y

{ x | y | ... }* Los ítems opcionales se agrupan entre llaves y separados

[ x | y | ... ]* Los ítems opcionales se agrupan entre paréntesis y

&<1-n> El parámetro antes del signo & se puede repetir por 1 a n

# Una línea que comienza con el signo # es comentarios.

Convenios de numeración de interfaz

Versión 02 (2018-08-13) Material confidencial de Huawei iii

Versión 02 (2018-08-13) Material confidencial de Huawei iv

Acerca de este documento.............................................................................................................. ii

Versión 02 (2018-08-13) Material confidencial de Huawei v

3 Configuración básica típica..................................................................................................... 232

4 Configuración típica para gestión de dispositivos............................................................. 294

Versión 02 (2018-08-13) Material confidencial de Huawei vi

4.1.3.5 Soporte de apilamiento del puerto de servicio de S5300HI................................................................................. 310

Versión 02 (2018-08-13) Material confidencial de Huawei vii

4.3.4 Ejemplo para configurar SVF (S9300 como el parent)........................................................................................... 437

5 Configuración típica de interfaz Ethernet............................................................................ 484

6 Configuración típica de conmutación Ethernet................................................................... 501

Versión 02 (2018-08-13) Material confidencial de Huawei viii

6.5 Ejemplos típicos de MSTP/RRPP/SEP/VBST........................................................................................................... 609

7 Configuración típica del servicio de IP................................................................................. 727

8 Configuración típica de enrutamiento.................................................................................. 779

Versión 02 (2018-08-13) Material confidencial de Huawei ix

8.2.3 Ejemplo para configurar una NSSA de OSPF.........................................................................................................819

9 Configuración típica de MPLS y VPN...................................................................................847

10 Configuración de confiabilidad típica................................................................................ 953

11 Configuración típica de acceso y autenticación de usuarios.........................................1012

Versión 02 (2018-08-13) Material confidencial de Huawei x

12 Configuración de seguridad típica.....................................................................................1243

Versión 02 (2018-08-13) Material confidencial de Huawei xi

13 Configuración típica de QoS............................................................................................... 1310

14 Configuración típica de gestión y vigilancia de red....................................................... 1420

Versión 02 (2018-08-13) Material confidencial de Huawei xii

15 Configuración típica de Free Mobility y servicio de encadenamiento....................... 1528

Versión 02 (2018-08-13) Material confidencial de Huawei xiii

1 Ejemplo de configuración integral

Acerca de este capítulo

1.1 Configuración típica del módulo de NGFW

1.1 Configuración típica del módulo de NGFW

1.1.1 Espera en caliente del balanceo de carga de Capa 2 en los

Versión 02 (2018-08-13) Material confidencial de Huawei 1

Eth-Trunk0 Eth-Trunk5 Eth-Trunk0

GE1/0/1 XGE1/1/0/1 SwitchB XGE2/1/0/1 GE1/0/1

Usuarios de Intranet Área de servidor

Solución del despliegue

Versión 02 (2018-08-13) Material confidencial de Huawei 2

3. Los módulos de NGFW implementan Espera en caliente en el modo de balanceo de

Figura 1-2 Configuración de Espera en caliente en los módulos de NGFW

VLANIF 301 VLANIF 302

Usuarios de Intranet Server Area