當前位置:
首頁 > 最新 > 華為交換機配置通過VPN實例轉發流量

華為交換機配置通過VPN實例轉發流量

最新 07-14

適用產品和版本

CE12800/CE6800/CE5800系列產品V100R001C00或更高版本,CE7800系列產品V100R003C00或更高版本,CE8800系列產品V100R006C00或更高版本,CE12800E系列產品V200R002C50或更高版本。

組網需求

如圖2-49所示,某公司由於業務需要,業務區的伺服器有訪問Internet的需求。業務區的數據伺服器和視頻伺服器通過接入層交換機SwitchB和核心層交換機SwitchA接入出口網關Router與Internet進行通信。

為了保證伺服器到Internet和Internet到伺服器的流量的安全性,在核心交換機SwitchA旁掛一個防火牆,將所有流經SwitchA的流量通過VPN實例重定向到防火牆,防火牆對流量進行過濾從而保證公司內外網路的安全性。

圖2-49 配置通過VPN實例轉發流量組網圖

表2-11列出了圖2-49上設備的基本網路規劃情況

配置思路

採用如下思路配置:

出於安全性考慮,在SwitchA上旁掛一台核心防火牆Firewall,對流量進行安全過濾。

配置VPN實例vrf1,並和相應的介面綁定,使得所有訪問Internet的流量通過vrf1來傳輸。

通過路由方式,將從Internet到伺服器的全部流量定向到防火牆。

操作步驟

創建VLAN並配置各介面,保證二層互通

# 在SwitchB上創建VLAN 100。

system-view

[~HUAWEI] sysname SwitchB

[*HUAWEI] commit

[~SwitchB] vlan batch 100

[*SwitchB] commit

# 將SwitchB介面10GE1/0/1、10GE1/0/2和10GE1/0/3加入VLAN100。

[~SwitchB] interface 10ge 1/0/1

[~SwitchB-10GE1/0/1] port link-type trunk

[*SwitchB-10GE1/0/1] port trunk allow-pass vlan 100

[*SwitchB-10GE1/0/1] quit

[*SwitchB] interface 10ge 1/0/2

[*SwitchB-10GE1/0/2] port link-type access

[*SwitchB-10GE1/0/2] port default vlan 100

[*SwitchB-10GE1/0/2] quit

[*SwitchB] interface 10ge 1/0/3

[*SwitchB-10GE1/0/3] port link-type access

[*SwitchB-10GE1/0/3] port default vlan 100

[*SwitchB-10GE1/0/3] quit

[*SwitchB] commit

# 在SwitchA上創建VLAN100(連接SwitchB)、VLAN101(連接網關Router)、VLAN102(連接Firewall)和VLAN103(連接Firewall)。

system-view

[~HUAWEI] sysname SwitchA

[*HUAWEI] commit

[~SwitchA] vlan batch 100 to 103

[*SwitchA] commit

# 配置SwitchA上介面10GE1/0/1、10GE2/0/2和10GE3/0/3的介面類型為trunk,並加入VLAN。

[~SwitchA] interface 10ge 1/0/1

[~SwitchA-10GE1/0/1] port link-type trunk

[*SwitchA-10GE1/0/1] port trunk allow-pass vlan 100

[*SwitchA-10GE1/0/1] quit

[*SwitchA] interface 10ge 2/0/2

[*SwitchA-10GE2/0/2] port link-type trunk

[*SwitchA-10GE2/0/2] port trunk allow-pass vlan 102 to 103

[*SwitchA-10GE2/0/2] quit

[*SwitchA] interface 10ge 3/0/3

[*SwitchA-10GE3/0/3] port link-type trunk

[*SwitchA-10GE3/0/3] port trunk allow-pass vlan 101

[*SwitchA-10GE3/0/3] quit

[*SwitchA] commit

# 創建VLANIF100~103,假設Firewall上對應的VLANIF102和VLANIF103的IP地址為192.168.10.2/24和192.168.11.2/24。

[~SwitchA] interface vlanif 100

[*SwitchA-Vlanif100] ip address 10.10.10.1 24

[*SwitchA-Vlanif100] quit

[*SwitchA] interface vlanif 101

[*SwitchA-Vlanif101] ip address 202.10.20.193 24

[*SwitchA-Vlanif101] quit

[*SwitchA] interface vlanif 102

[*SwitchA-Vlanif102] ip address 192.168.10.1 24

[*SwitchA-Vlanif102] quit

[*SwitchA] interface vlanif 103

[*SwitchA-Vlanif102] ip address 192.168.11.1 24

[*SwitchA-Vlanif102] quit

[*SwitchA] commit

配置VPN實例vrf1,並和相應的介面綁定,使得所有訪問Internet的流量通過vrf1來傳輸

# 創建VPN實例vrf1。

[~SwitchA] ip vpn-instance vrf1

[*SwitchA-vpn-instance-vrf1] description YeWu

[*SwitchA-vpn-instance-vrf1] ipv4-family

[*SwitchA-vpn-instance-vrf1-af-ipv4] route-distinguisher 100:1

[*SwitchA-vpn-instance-vrf1-af-ipv4] vpn-target 100:1 both

[*SwitchA-vpn-instance-vrf1-af-ipv4] quit

[*SwitchA-vpn-instance-vrf1] quit

[*SwitchA] commit

# 將VLANIF100、VLANIF102和VPN實例綁定,接入VPN用戶。

[~SwitchA] interface vlanif 100

[~SwitchA-Vlanif100] ip binding vpn-instance vrf1

[*SwitchA-Vlanif100] quit

[*SwitchA] interface vlanif 102

[*SwitchA-Vlanif102] ip binding vpn-instance vrf1

[*SwitchA-Vlanif102] quit

[*SwitchA] commit

# 配置靜態路由。

[~SwitchA] ip route-static vpn-instance vrf1 0.0.0.0 0.0.0.0 192.168.10.2

[*SwitchA] commit

通過路由方式(靜態路由或OSPF等),將從Internet到伺服器的全部流量定向到防火牆。本例中以靜態路由為例。

[~SwitchA] ip route-static 10.10.10.0 255.255.255.0 192.168.11.2

[*SwitchA] commit

驗證

執行命令display ip vpn-instance vrf1查看配置的VPN實例的信息。

[~SwitchA] display ip vpn-instance vrf1

VPN-Instance Name RD Address-family

vrf1 100:1 IPv4

執行命令display ip vpn-instance interface查看綁定了VPN實例的介面信息。

[~SwitchA] display ip vpn-instance interface

Total VPN-Instances configured : 1

Total IPv4 VPN-Instances configured : 1

Total IPv6 VPN-Instances configured : 0

VPN-Instance Name and ID : vrf1, 50

Interface Number : 2

Interface list : Vlanif100,

Vlanif102

配置文件

SwitchB的配置文件

#

sysname SwitchB

#

vlan batch 100

#

interface 10GE1/0/1

port link-type trunk

port trunk allow-pass vlan 100

#

interface 10GE1/0/2

port default vlan 100

#

interface 10GE1/0/3

port default vlan 100

#

return

SwitchA的配置文件

#

sysname SwitchA

#

vlan batch 100 to 102

#

ip vpn-instance vrf1

description YeWu

ipv4-family

route-distinguisher 100:1

vpn-target 100:1 export-extcommunity

vpn-target 100:1 import-extcommunity

#

interface Vlanif100

ip binding vpn-instance vrf1

ip address 10.10.10.1 255.255.255.0

#

interface Vlanif101

ip address 202.10.20.193 255.255.255.0

#

interface Vlanif102

ip binding vpn-instance vrf1

ip address 192.168.10.1 255.255.255.0

#

interface Vlanif103

ip address 192.168.11.1 255.255.255.0

#

interface 10GE1/0/1

port link-type trunk

port trunk allow-pass vlan 100

#

interface 10GE2/0/2

port link-type trunk

port trunk allow-pass vlan 101

#

interface 10GE3/0/3

port link-type trunk

port trunk allow-pass vlan 102 to 103

#

ip route-static 10.10.10.0 255.255.255.0 192.168.11.2

ip route-static vpn-instance vrf1 0.0.0.0 0.0.0.0 192.168.10.2

#

return


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 王海軍老師 的精彩文章:

TAG:王海軍老師 |