Beruflich Dokumente
Kultur Dokumente
1 Ejemplo para configurar DHCP y NAT para permitir que los usuarios obtengan
dinámicamente direcciones IP y accedan a Internet
9.2 Asociación de IPSec con NQA para implementar la conmutación rápida entre peers
y enlaces activos y en espera
9.1 Ejemplo para configurar DHCP y NAT para permitir que los usuarios obtengan
dinámicamente direcciones IP y accedan a Internet
Especificaciones
Este ejemplo se aplica a todos los modelos de routers AR que ejecutan todas las
versiones.
Requisitos de red
El router funciona como el gateway de egreso de una empresa. La empresa tiene
departamentos A y B, y planifica dos segmentos de red de direcciones (10.10.1.0/25
y 10.10.1.128/25) y direcciones de gateway (10.10.1.1/25 y 10.10.1.129/25) para
terminales en los dos departamentos respectivamente. En el departamento A, los PC
se utilizan como terminales de oficina, con el contrato de arrendamiento de 30
días, el nombre de dominio huawei.com y la dirección del servidor de DNS 10.10.1.2.
En el departamento B, los ordenadores portátiles de los empleados en viajes de
negocios se utilizan principalmente, con el contrato de arrendamiento de 2 días, el
nombre de dominio huawei.com y la dirección del servidor de DNS 10.10.1.2. Las
direcciones internas de la empresa se planifican como direcciones de red privadas y
los terminales deben acceder a Internet. Por lo tanto, NAT debe configurarse para
implementar la traducción de direcciones de red privadas a direcciones de red
públicas. La dirección IP remota de la interfaz de salida GE0/0/3 conectada al
router es 200.100.1.1/24.
Figura 9-1 Diagrama de redes de configuración de DHCP y NAT para permitir a los
usuarios obtener direcciones IP de manera dinámica y acceder a Internet
Procedimiento
Configure el Router.
#
sysname Router //Modifique el nombre del dispositivo.
#
dhcp enable //Habilite la función de DHCP.
#
acl number 2000 //Configure el segmento de dirección de red interna 10.10.1.0/24
en el cual está permitida NAT.
rule 5 permit source 10.10.1.0 0.0.0.255
#
ip pool ip-pool1
gateway-list 10.10.1.1 //Configure la dirección de gateway.
#
ip pool ip-pool2
gateway-list 10.10.1.129 //Configure la dirección de gateway.
network 10.10.1.128 mask 255.255.255.128 //Configure el rango de direcciones IP
que pueden asignarse dinámicamente en el grupo de direcciones globales.
dns-list 10.10.1.2 //Configure la dirección IP del servidor de DNS utilizado por
el cliente de DHCP.
lease day 2 hour 0 minute 0 //Configure la concesión de la dirección IP a 2 días.
domain-name huawei.com //Configure el nombre de dominio huawei.com.
#
interface GigabitEthernet0/0/1
ip address 10.10.1.1 255.255.255.128
dhcp select global //La interfaz funciona en el modo de pool de direcciones
globales.
#
interface GigabitEthernet0/0/2
ip address 10.10.1.129 255.255.255.128
dhcp select global //La interfaz funciona en el modo de pool de direcciones
globales.
#
interface GigabitEthernet0/0/3
ip address 200.100.1.2 255.255.255.0
nat outbound 2000 //Configure NAT en modo de easy IP en la interfaz de salida
GE0/0/3 para implementar la traducción de direcciones de red privadas a direcciones
de red públicas.
#
ip route-static 0.0.0.0 0.0.0.0 200.100.1.1 //Configure la ruta predeterminada
para garantizar que la ruta desde la interfaz de salida hasta el peer sea
alcanzable.
#
return
Verifique la configuración.
# Ejecute el comando display ip pool en el router para verificar la asignación de
la piscina de direcciones IP. Ejecute el comando display nat outbound para
verificar la configuración de NAT en GE0/0/3. Después de que la configuración sea
exitosa, los terminales pueden obtener dinámicamente direcciones IP y acceder a
Internet.
Notas de configuración
Configure una ACL para determinar cuál segmento de red debe realizarse NAT.
9.2 Asociación de IPSec con NQA para implementar la conmutación rápida entre peers
y enlaces activos y en espera
Introducción de IPSec
Como se muestra en Figura 9-2, IPSec VPN permite a los usuarios conectarse a la VPN
a través de Internet en cualquier modo sin limitaciones geográficas. IPSec VPN se
aplica al acceso de los usuarios y socios de la oficina móvil y se utiliza para la
comunicación entre la sede y la sucursal de la empresa.
Los flujos de datos entre sitios están encriptados y transmitidos de manera segura
a través de túneles de IPSec, aunque se transmiten a través de la red pública.
Puede asociarse IPSec con NQA para verificar si la dirección del peer no es válida
según la prueba de NQA. Si la dirección del peer no es válida, el tráfico se
conmuta rápidamente al otro peer. Esto garantiza que el tráfico se conmute
rápidamente a otro gateway de la sede cuando falla un gateway de la sede. Además,
puede configurarse la conmutación reversiva para garantizar que el tráfico se puede
conmutar nuevamente después de que se recupere el gateway de la sede original.
Figura 9-3 Asociación de IPSec con NQA para implementar conmutación rápida
Notas de configuración
Los dispositivos en el grupo de VRRP se deben configurar con el mismo ID de router
virtual (VRID).
Los algoritmos de autenticación y encriptación de los gateways de la sucursal y la
sede deben ser iguales.
Las ACL en la sucursal y en los gateways de la sede deben espejarse entre sí. Si
las reglas de ACL entre peers no se espejan entre sí, una SA puede establecerse con
éxito sólo cuando el rango definido por la regla de ACL del iniciador es un
subconjunto del rango definido por la regla de ACL del respondedor.
Cuando tanto IPSec como NAT están configurados en un dispositivo, verifique si los
flujos de datos encapsulados por IPSec deben traducirse utilizando NAT.
Si se requiere NAT, la ACL de seguridad debe coincidir con la dirección traducida
por NAT.
Si no se requiere NAT, la ACL de seguridad debe coincidir con la dirección que no
se traduce utilizando NAT. Además, define la acción de denegación en la ACL para
los flujos de datos que deben transmitirse utilizando el túnel de IPSec.
Al configurar IPSec, asegúrese de que la ruta de la red pública sea accesible.
Requisitos de red
Como se muestra en Figura 9-4, HQ1 y HQ2 son gateways de la sede, y AR1 es el
gateway de la sucursal. El servidor DNS analiza los nombres de dominio y el
servidor DDNS actualiza las direcciones IP asignando nombres de dominio.
Cuando el enlace entre HQ1 y AR1 falla, el grupo de VRRP puede detectarlo y
realizar una conmutación activa/en espera. HQ2 luego se hace cargo de los servicios
para reducir el impacto de un fallo de enlace en el reenvío de servicios.
Cuando HQ1 falla, AR1 puede establecer rápidamente un túnel de IPSec con HQ2
mediante negociación para reducir la pérdida de tráfico. Además, cuando HQ1 se
recupera, el tráfico se puede volver a conmutar.
Cuando falla el enlace activo de AR1, los servicios en el túnel de IPSec se pueden
conmutar rápidamente al enlace en espera para reducir la pérdida de tráfico. Al
mismo tiempo, cuando el enlace activo se recupera, el tráfico se puede volver a
conmutar rápidamente.
Figura 9-4 Asociación de IPSec con NQA para implementar conmutación rápida
Parámetro
Descripción
dirección IP
HQ1:
GE2/0/0 10.1.0.1/24
HQ2:
GE2/0/0 10.1.0.2/24
AR1:
GE1/0/0: 10.2.1.2/24
GE2/0/0 10.0.1.1/24
Cellular0/0/0: 2.1.1.2/24
NAT:
GE1/0/0: 1.0.3.1/24
GE2/0/0 10.2.1.1/24
servidor DNS 5.1.1.2/24
Las interfaces GE1/0/0 de HQ1 y HQ2 obtienen la dirección a través de PPPoE.
Grupo de VRRP
Ninguna
Propuesta de IKE
Propuesta de IPSec
Clave precompartida
Administrador: usuario
Ninguna
Archivos de configuración
Configure HQ1.
#
sysname HQ1
#
dns resolve //Habilite la resolución de DNS para resolver la dirección del
gateway de la sede.
dns server 5.1.1.2 //Configure la dirección IP del servidor de DNS.
#
ddns policy ddnspolicy1 //Configure una política de DDNS para actualizar la
dirección IP asignando el nombre de dominio.
url oray://username1:password1@phddnsdev.oray.net //Configure una URL del
servidor de DDNS.
#
ipsec proposal def //Configure una propuesta de IPSec.
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-192
#
ike proposal 1 //Configure una propuesta de IKE.
encryption-algorithm aes-cbc-128 //En V200R008 y versiones posteriores, el
parámetro aes-cbc-128 se cambia a aes-128
authentication-algorithm sha2-256
#
ike peer branch v2 //Los comandos utilizados para configurar IKE peers y el
protocolo de IKE difieren según la versión del software. En versiones anteriores de
V200R008, el comando es ike peer peer-name [ v1 | v2 ]. En V200R008 y versiones
posteriores, el comando es ike peer peer-name y version { 1 | 2 }. Por defecto,
IKEv1 y IKEv2 están habilitados simultáneamente. Un iniciador usa IKEv2 para
iniciar una solicitud de negociación, mientras que un respondedor usa IKEv1 o IKEv2
para responder. Para iniciar una solicitud de negociación usando IKEv1, ejecute el
comando undo version 2.
pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%#
//Configure la clave de autenticación de clave precompartida como "huawei1234" en
texto de cifrado. Este comando en V2R3C00 y versiones anteriores es pre-shared-key
huawei1234, y la contraseña se muestra en texto plano.
ike-proposal 1
nat traversal //Habilite transversal de NAT. En V200R008 y versiones
posteriores, el dispositivo admite transversal de NAT de forma predeterminada, y
este comando no es compatible.
dpd type periodic //Especifique el modo de DPD como periódico.
dpd retransmit-interval 10 //Establezca el intervalo para retransmitir paquetes
de DPD a 10 segundos.
#
ipsec policy-template use1 10 //Configure una plantilla de política de IPSec.
ike-peer branch
proposal def
#
ipsec policy branch 1 isakmp template use1 //Haga referencia a la plantilla de
política de IPSec en la política de IPSec.
#
interface Dialer0 //Configure los parámetros de la interfaz de marcación.
link-protocol ppp
ppp pap local-user user@huawei.com password cipher %@%@ZX}=YK.{rUa.K#7W\==O)+[c%@
%@
ip address ppp-negotiate
dialer user huawei
dialer bundle 1 //Especifique Dialer bundle para la interfaz de marcación de RS-
DCC.
dialer-group 1 //Especifique un grupo de marcación para la interfaz de marcación.