Escolar Documentos
Profissional Documentos
Cultura Documentos
Versin: 04 (14-02-2017)
Copyright Huawei Technologies Co., Ltd. 2016. Reservados
todos los derechos.
Quedan terminantemente prohibidas la reproduccin y la divulgacin del
presente documento en todo o en parte, de cualquier forma y por cualquier
medio, sin la autorizacin previa de Huawei Technologies Co., Ltd. otorgada por
escrito.
Aviso
Las funciones, los productos y los servicios adquiridos estn estipulados en el
contrato celebrado entre Huawei y el cliente. Es posible que la totalidad o parte
de los productos, las funciones y los servicios descritos en el presente
documento no se encuentren dentro del alcance de compra o de uso. A menos
que el contrato especifique lo contrario, ninguna de las afirmaciones,
informaciones ni recomendaciones contenidas en este documento constituye
garanta alguna, ni expresa ni implcita.
Antes de comenzar 1
Plan de datos 3
Plan de datos 24
Preguntas frecuentes 55
Referencia 58
1 Antes de comenzar
Este documento lo ayudar a iniciar sesin en los switches de la serie S de Huawei y a
configurarlos rpidamente. Para conocer ms configuraciones de servicios, consulte la
gua de configuracin del switch.
Visite el sitio web de asistencia tcnica para servicios del segmento Empresas de
4
Huawei (http://support.huawei.com/enterprise), a fin de registrar una cuenta. Con
una cuenta, podr buscar o descargar ms documentos de productos, casos y
boletines. Tambin podr disfrutar de nuestros servicios de suscripcin y mensajes
push.
1
2 Redes de campus pequeas
GE0/0/1
Router
GE1/0/0
Troncal Eth 1
Troncal Eth 1
ACC1 Dpto. B
ACC2
Dpto. A
VLAN 10 VLAN 20
En redes pequeas, los switches S2700 y S3700 se despliegan en la capa de acceso, los
modelos S5700 y S6700 se despliegan en la capa de core y un router de la serie AR
funciona como router de egreso.
Los switches de acceso y el switch de core se conectan a travs de una troncal Ethernet
para garantizar la fiabilidad.
En un switch de acceso, cada departamento tiene una VLAN asignada para que los
servicios estn separados por VLAN. La configuracin de una interfaz VLANIF en el switch
de core permite implementar comunicacin de capa 3 entre los distintos departamentos.
El switch de core funciona como servidor DHCP para asignar direcciones IP a los
dispositivos de usuario de la red de campus.
La configuracin de DHCP snooping en los switches de acceso evita que los usuarios de la
intranet conecten un router pequeo a la intranet para asignar direcciones IP. La
configuracin de IPSG en los switches de acceso evita que los usuarios de la intranet
cambien las direcciones IP.
2
2.1 Plan de datos
Antes de configurar el switch y el router, prepare los siguientes datos para usarlos en la
seccin siguiente.
3
Accin Componente Datos Descripcin
Configurar
snooping
Interfaz fiable Troncal Eth 1 No hay
DHCP e
IPSG
4
Configuracin rpida de redes de campus
2.2 pequeas
Siga el procedimiento que se muestra a continuacin para configurar el switch y el router.
Una vez finalizadas las configuraciones, los dispositivos de usuario dentro del campus
podrn comunicarse entre sy los usuarios de la intranet podrn acceder a Internet.
Paso 2. Configurar
la direccin IP de
gestin y la funcin
Telnet.
Paso 8. Verificar los
servicios.
Paso 3. Configurar
las interfaces y las
VLAN.
Paso 7. Configurar
snooping DHCP e
IPSG.
Paso 4. Configurar
el DHCP.
Paso 5. Configurar
Paso 6. Configurar
el enrutamiento del
el router de egreso.
CORE.
5
Volver al
Inicio de sesin en el switch diagrama de red
1 Conecte su ordenador al switch a travs del cable de consola que se entrega junto
con el switch. Si su ordenador no tiene un puerto serie, use un cable adaptador
USB-serie.
Stop bit 1
Data bit 8
6
Volver al
diagrama de red
Username:admin
Password:
7
Volver al
Configuracin de la direccin IP de gestin y de Telnet diagrama de red
Despus de haber configurado la direccin IP de gestin de un switch, podr iniciar
sesin en el switch usando esta direccin. En el ejemplo siguiente, se utiliza el CORE
para mostrar el procedimiento de configuracin de la direccin IP de gestin y de Telnet.
1 Configure la direccin IP de gestin.
<HUAWEI> system-view
[HUAWEI] vlan 5 //Cree la VLAN 5 de gestin.
[HUAWEI-VLAN5] management-vlan
[HUAWEI-VLAN5] quit
[HUAWEI] interface vlanif 5 //Cree la interfaz VLANIF de la
VLAN de gestin.
[HUAWEI-vlanif5] ip address 10.10.1.1 24 //Configure una direccin IP
para la interfaz VLANIF.
[HUAWEI-vlanif5] quit
2 Configure Telnet.
[HUAWEI] telnet server enable //Por defecto, la funcin Telnet viene deshabilitada.
[HUAWEI] user-interface vty 0 4 //Por lo general, un administrador inicia sesin
en el switch a travs de Telnet. Se recomienda la autenticacin AAA.
[HUAWEI-ui-vty0-4] protocol inbound telnet
//La versin V200R006 y las versiones anteriores a esta admiten Telnet. La versin
V200R007 y las versiones posteriores a esta admiten SSH por defecto. Si la versin
del switch es V200R007 o una versin posterior, ejecute este comando antes de
iniciar sesin en el switch a travs de Telnet.
[HUAWEI-ui-vty0-4] authentication-mode aaa
[HUAWEI-ui-vty0-4] quit
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin password irreversible-cipher Helloworld@6789
//Configure el nombre de usuario y la contrasea para el inicio de sesin por
Telnet. El nombre de usuario no es sensible al uso de maysculas y minsculas, en
cambio la contrasea s lo es.
[HUAWEI-aaa] local-user admin privilege level 15 //Establezca 15 (el nivel ms
alto) como nivel de la cuenta de administrador.
8
Volver al
Configuracin de interfaces y VLAN diagrama de red
<HUAWEI> system-view
[HUAWEI] sysname ACC1 //Establezca ACC1 como nombre del switch.
[ACC1] vlan batch 10 //Cree VLAN en lote.
2 Configure la troncal Eth 1, a travs de la cual el ACC1 se conecta con el CORE, para
permitir el paso de los paquetes de la VLAN del departamento A.
9
Volver al
diagrama de red
Configure las interfaces en el ACC1 que conectan los dispositivos de usuario para que
3 los dispositivos de usuario puedan ser aadidos a las VLAN. Configure las interfaces
como puertos de borde.
[ACC1] interface Ethernet 0/0/2 //Configure la interfaz de conexin a PC1.
[ACC1-Ethernet0/0/2] port link-type access
[ACC1-Ethernet0/0/2] port default vlan 10
[ACC1-Ethernet0/0/2] stp edged-port enable
[ACC1-Ethernet0/0/2] quit
[ACC1] interface Ethernet 0/0/3 //Configure la interfaz de conexin al ordenador 2.
[ACC1-Ethernet0/0/3] port link-type access
[ACC1-Ethernet0/0/3] port default vlan 10
[ACC1-Ethernet0/0/3] stp edged-port enable
[ACC1-Ethernet0/0/3] quit
[ACC1] interface Ethernet 0/0/4 //Configure la interfaz de conexin a las
impresoras.
[ACC1-Ethernet0/0/4] port link-type access
[ACC1-Ethernet0/0/4] port default vlan 10
[ACC1-Ethernet0/0/4] stp edged-port enable
[ACC1-Ethernet0/0/4] quit
10
Volver al
diagrama de red
b. Configure el switch de core (CORE).
1 Cree las VLAN para que el CORE se comunique con el ACC1, el ACC2 y el router de
egreso.
<HUAWEI> system-view
[HUAWEI] sysname CORE //Establezca CORE como nombre del switch.
[CORE] vlan batch 10 20 100 //Cree VLAN en lote.
11
Volver al
diagrama de red
4 Despus de configurar las interfaces y las VLAN, ejecute los siguientes comandos
para ver los resultados de la configuracin. Para obtener informacin detallada sobre
el resultado de los comandos, consulte la referencia de comandos.
Partner:
--------------------------------------------------------------------------------
ActorPortName SysPri SystemID PortPri PortNo PortKey PortState
GigabitEthernet0/0/1 32768 0012-3321-2212 32768 2 289 10111100
GigabitEthernet0/0/2 32768 0012-3321-2212 32768 3 289 10111100
12
Volver al
diagrama de red
Partner:
--------------------------------------------------------------------------------
ActorPortName SysPri SystemID PortPri PortNo PortKey PortState
GigabitEthernet0/0/1 32768 0012-3321-2211 32768 2 289 10111100
GigabitEthernet0/0/2 32768 0012-3321-2211 32768 3 289 10111100
13
Volver al
Configurar DHCP diagrama de red
14
Ejecute el comando display ip pool para visualizar la
Volver al
3 informacin de configuracin y uso. El ejemplo detallado
diagrama de red
a continuacin muestra la configuracin del grupo global
de direcciones 10.
-----------------------------------------------------------------------
------
Start End Total Used Idle(Expired) Conflict
Disable
-----------------------------------------------------------------------
------
10.10.10.1 10.10.10.254 253 4 249(0) 0
0
-----------------------------------------------------------------------
------
15
Volver al
diagrama de red
# Deshabilite el STP.
# Configure la interfaz del switch que se conecta a los dispositivos de usuario como un
puerto de borde.
16
Volver al
Configuracin del enrutamiento diagrama de red
1 Configure una ruta esttica predeterminada hacia el gateway de egreso del campus
en el CORE para que el CORE reenve el trfico de intranet al router de egreso.
17
Volver al
Configuracin del router de egreso diagrama de red
1 Configure direcciones IP para las interfaces del router de egreso que se conectan a la
intranet y a Internet.
[Router] interface GigabitEthernet 0/0/1
[Router -GigabitEthernet0/0/0] ip address 202.101.111.2 30
[Router] interface GigabitEthernet 1/0/0
[Router-GigabitEthernet0/0/1] ip address 10.10.100.2 24
Configure una ACL para permitir que los usuarios de algunos segmentos de red
2 accedan a Internet.
Configure la NAT en la interfaz que se conecta a Internet para que los usuarios de la
3 intranet puedan acceder a Internet.
Configure una ruta especfica hacia la intranet y una ruta esttica predeterminada
4 hacia Internet.
[Router] ip route-static 10.10.10.0 255.255.255.0 10.10.100.1
[Router] ip route-static 10.10.10.0 255.255.255.0 10.10.100.1
[Router] ip route-static 0.0.0.0 0.0.0.0 202.101.111.1
18
Volver al
Configuracin de snooping DHCP e IPSG diagrama de red
<ACC1> system-view
[ACC1] dhcp enable //Habilite DHCP.
[ACC1] dhcp snooping enable //Habilite la funcin snooping DHCP.
Habilite el snooping DHCP en las interfaces que se conectan con los dispositivos de
3 usuario.
19
Volver al
diagrama de red
Para evitar que los usuarios cambien las direcciones IP y ataquen la intranet,
habilite IPSG despus de habilitar snooping DHCP en el switch de acceso. En el
ejemplo que se muestra a continuacin, se utiliza ACC1.
[ACC1] vlan 10
[ACC1-vlan10] ip source check user-bind enable //Habilite IPSG.
[ACC1-vlan10] quit
Para obtener detalles sobre cmo configurar el switch para evitar que los usuarios
conecten un router pequeo (servidor DHCP ficticio) a la intranet y cambien las
direcciones IP, consulte las secciones Configuracin de funciones bsicas de
snooping DHCP, Configuracin de IPSG y los ejemplos de configuracin
correspondientes de la gua de configuracin, seccin Seguridad.
20
Volver al
Verificacin de servicios diagrama de red
21
Volver al
Cmo guardar la configuracin diagrama de red
Antes de reiniciar el switch deber guardar los datos en el archivo de configuracin. Los
datos no guardados y configurados a travs de lneas de comandos se perdern despus
de reiniciar el switch.
<CORE> save
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Now saving the current configuration to the slot 0..
Save the configuration successfully.
22
3 Redes de campus pequeas y medianas
Esta seccin usa el modelo S2750 como switch de acceso
(ACC1), el modelo S5700 como switch de core (CORE) y la serie
AR como router de egreso (router) , como ejemplos para
demostrar el procedimiento de configuracin para redes de
campus pequeas y medianas.
Intranet GE0/0/0
empresarial Router
GE0/0/1 GE0/0/2
GE0/0/7 GE0/0/7
VLANIF 100 VLANIF 200
Switch de CORE1 VLANIF 300
agregacin CORE2
GE0/0/1
/core VLANIF 10 GE0/0/5
VLANIF 20
GE0/0/2
Switch de GE0/0/3
acceso
GE0/0/4 Servidores
ACC1
VLAN 50
GE0/0/1 GE0/0/2
Dpto. C ACC2 ACC3 Dpto. D
Dpto. A Dpto. B VLAN 30 ACC4
VLAN 10 VLAN 40
VLAN 20
23
3.1 Plan de datos
Antes de configurar el switch y el router, prepare los siguientes datos para usarlos en la
seccin siguiente.
Direccin IP de la
La direccin IP de gestin se utiliza para iniciar
interfaz de 10.10.1.1/24
Configurar la sesin en el switch.
gestin
direccin IP
de gestin y Ethernet0/0/0 para switches modulares
la funcin VLAN de MEth0/0/1 para S2750, S5700 y S6700
gestin VLAN 5
Telnet En los modelos S2700 y S3700 se crea una interfaz
VLANIF que funcionar como interfaz de gestin.
Agregacin de
El modo de agregacin de vnculos puede ser
vnculos No hay
balanceo de carga o LACP esttico.
24
Accin Componente Datos Descripcin
25
Configuracin rpida de redes de campus
3.2 pequeas y medianas
Siga el procedimiento que se muestra a continuacin para configurar los switches y el
router. Una vez finalizadas las configuraciones, los dispositivos de usuario dentro del
campus podrn comunicarse entre sy los usuarios de la intranet podrn acceder a
Internet.
Paso 2. Configurar la
Paso 9. Configurar el
direccin IP de
servidor NAT y
gestin y la funcin
mltiples interfaces
Telnet.
de egreso.
Paso 7. Configurar la
Paso 4. Configurar el
agregacin de
DHCP.
vnculos.
Paso 6. Configurar la
Paso 5. Configurar el
fiabilidad y el
OSPF.
balanceo de carga.
26
Volver al
Inicio de sesin en el switch diagrama de red
1 Conecte su ordenador al switch a travs del cable de consola que se entrega junto
con el switch. Si su ordenador no tiene un puerto serie, use un cable adaptador
USB-serie.
Stop bit 1
Data bit 8
27
Volver al
diagrama de red
Username:admin
Password:
28
Volver al
Configuracin de la direccin IP de gestin y de Telnet diagrama de red
2 Configure Telnet.
[HUAWEI] telnet server enable //Por defecto, la funcin Telnet viene deshabilitada.
[HUAWEI] user-interface vty 0 4 //Por lo general, un administrador inicia sesin en
el switch a travs de Telnet. Se recomienda la autenticacin AAA.
[HUAWEI-ui-vty0-4] protocol inbound telnet
//La versin V200R006 y las versiones anteriores a esta admiten Telnet. La versin
V200R007 y las versiones posteriores a esta admiten SSH por defecto. Si la versin
del switch es V200R007 o una versin posterior, ejecute este comando antes de iniciar
sesin en el switch a travs de Telnet.
[HUAWEI-ui-vty0-4] authentication-mode aaa
[HUAWEI-ui-vty0-4] quit
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin password irreversible-cipher Helloworld@6789
//Configure el nombre de usuario y la contrasea para el inicio de sesin por Telnet.
El nombre de usuario no es sensible al uso de maysculas y minsculas, en cambio la
contrasea s lo es.
[HUAWEI-aaa] local-user admin privilege level 15 //Establezca 15 (el nivel ms alto)
como nivel de la cuenta de administrador.
29
Volver al
Configuracin de la conectividad de red diagrama de red
Configure las interfaces en el ACC1 que conectan los dispositivos de usuario para
3 que los dispositivos de usuario de los distintos departamentos puedan ser aadidos
a las VLAN.
[ACC1] interface GigabitEthernet 0/0/1 //Configure la interfaz de
conexin al departamento A.
[ACC1-GigabitEthernet0/0/1] port link-type access
[ACC1-GigabitEthernet0/0/1] port default vlan 10
[ACC1-GigabitEthernet0/0/1] quit
[ACC1] interface GigabitEthernet 0/0/2 //Configure la interfaz de
conexin al departamento B.
[ACC1-GigabitEthernet0/0/2] port link-type access
[ACC1-GigabitEthernet0/0/2] port default vlan 20
[ACC1-GigabitEthernet0/0/2] quit
30
Volver al
b. Configure el switch de agregacin/switch de diagrama de red
core (CORE1).
1 Cree las VLAN para que el CORE1 se comunique con los switches de acceso, con el
CORE2 y con el router de egreso.
<HUAWEI> system-view
[HUAWEI] sysname CORE1 //Establezca CORE1 como nombre del
switch.
[CORE1] vlan batch 10 20 30 40 50 100 300 //Cree VLAN en lote.
Configure interfaces del lado del usuario e interfaces VLANIF. Para la comunicacin
2 entre los departamentos se utilizan interfaces VLANIF. Por ejemplo, el CORE1 se
conecta con ACC1 a travs de GE0/0/1. No se menciona aqula configuracin de
otras interfaces.
[CORE1] interface GigabitEthernet0/0/1
[CORE1-GigabitEthernet0/0/1] port link-type trunk //Establezca Trunk como tipo de interfaz
para lograr una transmisin transparente de VLAN.
[ CORE1-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20 //Configure GE0/0/1 para
transmitir de manera transparente las VLAN de servicio en ACC1.
[CORE1-GigabitEthernet0/0/1] quit
[CORE1] interface Vlanif 10 //Configure una interfaz VLANIF 10 para permitir
que el departamento A se comunique con el departamento B a travs de la capa 3.
[CORE1-Vlanif10] ip address 192.168.10.1 24
[CORE1-Vlanif10] quit
[CORE1] interface Vlanif 20 //Configure una interfaz VLANIF 20 para permitir
que el departamento B se comunique con el departamento A a travs de la capa 3.
[CORE1-Vlanif20] ip address 192.168.20.1 24
[CORE1-Vlanif20] quit
Configure las interfaces que se conectan directamente con el CORE2 y configure una
4 interfaz VLANIF.
31
Volver al
c. Observe los resultados de la configuracin. diagrama de red
1 Despus de configurar las interfaces y las VLAN, ejecute los siguientes comandos
para ver los resultados de la configuracin. Para obtener informacin detallada sobre
el resultado de los comandos, consulte la referencia de comandos.
Ejecute el comando display vlan para visualizar la configuracin de VLAN en ACC1.
Se han aadido las interfaces de enlace
[ACC1] display vlan ascendente y enlace descendente de
The total number of VLANs is : 2
ACC1 a las VLAN 10 y 20. Las interfaces
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; de vnculo ascendente transmiten de
UT: Untagged;
MP: Vlan-mapping; manera transparente todas las VLAN de
ST: Vlan-stacking;
#: ProtocolTransparent-vlan; servicio.
*: Management-vlan;
--------------------------------------------------------------------------------
32
Volver al
d. Configure las direcciones IP de las interfaces diagrama de red
del router de egreso.
1 Configure una direccin IP para la interfaz que se conecta a la intranet.
<HUAWEI> system-view
[HUAWEI] sysname Router
[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] ip address 172.16.10.2 24 //Configure una
direccin IP para la interfaz de conexin al CORE1.
[Router-GigabitEthernet0/0/1] quit
[Router] interface GigabitEthernet 0/0/2
[Router-GigabitEthernet0/0/2] ip address 172.16.20.2 24 //Configure una
direccin IP para la interfaz de conexin al CORE2.
[Router-GigabitEthernet0/0/2] quit
33
Volver al
f. Configure el VRRP para que implemente la diagrama de red
redundancia del gateway virtual.
Una vez configurado el VRRP en el CORE1 y en el CORE2, los switches de acceso reenvan el trfico
al CORE1. Si el CORE1 presenta fallos, se produce una conmutacin por fallo del VRRP y el CORE2
pasa a ser el switch principal. A continuacin, los switches de acceso reenvan el trfico al CORE2.
Si no existe un bucle en la red, tambin puede ejecutar el comando stp disable para
deshabilitar STP en el switch de acceso.
[ACC1] stp disable
Warning: The global STP state will be changed. Continue? [Y/N] y
34
Volver al
g. Configure el router de egreso para permitir a diagrama de red
los usuarios de la intranet acceder a Internet.
Configure una ACL para permitir que los usuarios accedan a Internet. El ejemplo que
1 se muestra a continuacin permite a los usuarios de las VLAN 10 y 20 que accedan a
Internet.
2 Configure la NAT en la interfaz que se conecta a Internet para que los usuarios de la
intranet puedan acceder a Internet.
[Router] interface GigabitEthernet 0/0/0
[Router-GigabitEthernet0/0/0] nat outbound 2000
35
Volver al
Configurar DHCP diagrama de red
1 Configure el CORE1 como el servidor DHCP activo para asignar las direcciones IP
dentro del rango de 192.168.10.1 a 192.168.10.127.
<CORE1> system-view
[CORE1] dhcp enable
[CORE1] ip pool 10
[CORE1-ip-pool-10] gateway-list 192.168.10.3 //Configure la
direccin del gateway.
[CORE1-ip-pool-10] network 192.168.10.0 mask 24 //Configure el rango
de direcciones IP asignables.
[CORE1-ip-pool-10] excluded-ip-address 192.168.10.128 192.168.10.254
// Excluya las direcciones IP dentro del rango de 192.168.10.128 a
192.168.10.254.
[CORE1-ip-pool-10] lease day 0 hour 20 minute 0 //Configure el
arrendamiento de direcciones IP.
[CORE1-ip-pool-10] dns-list 202.101.111.195 //Configure la direccin
del servidor DNS.
[CORE1-ip-pool-10] quit
36
Configure el CORE2 como el servidor DHCP standby para Volver al
2 asignar la segunda mitad de todas las direcciones IP del grupo diagrama de red
de direcciones.
<CORE2> system-view
[CORE2] dhcp enable
[CORE2] ip pool 10
[CORE2-ip-pool-10] gateway-list 192.168.10.3
[CORE2-ip-pool-10] network 192.168.10.0 mask 24
[CORE2-ip-pool-10] excluded-ip-address 192.168.10.1 192.168.10.2
[CORE2-ip-pool-10] excluded-ip-address 192.168.10.4 192.168.10.127
[CORE2-ip-pool-10] lease day 0 hour 20 minute 0
[CORE2-ip-pool-10] dns-list 202.101.111.195
[CORE2-ip-pool-10] quit
Ver asignacin de
direcciones IP.
37
Volver al
diagrama de red
# Deshabilite el STP.
# Configure la interfaz del switch que se conecta a los dispositivos de usuario como
un puerto de borde.
[ACC1] interface GigabitEthernet 0/0/1
[ACC1- GigabitEthernet 0/0/1] stp edged-port enable
38
Volver al
b. Configure snooping DHCP e IPSG diagrama de red
<ACC1> system-view
[ACC1] dhcp enable //Habilite DHCP.
[ACC1] dchp snooping enable //Habilite la funcin snooping DHCP.
Configure el snooping DHCP en las interfaces que se conectan con los dispositivos de
2 usuario.
[ACC1] interface GigabitEthernet 0/0/1 //Configure la interfaz de
conexin a los dispositivos de usuario en el departamento A.
[ACC1-GigabitEthernet 0/0/1] dhcp snooping enable
[ACC1-GigabitEthernet 0/0/1] quit
[ACC1] interface GigabitEthernet 0/0/2 //Configure la interfaz de
conexin a los dispositivos de usuario en el departamento B.
[ACC1-GigabitEthernet 0/0/2] dhcp snooping enable
[ACC1-GigabitEthernet 0/0/2] quit
Habilite el snooping DHCP en las interfaces que se conectan con los servidores DHCP
3 y configure las interfaces como interfaces fiables.
[ACC1] interface GigabitEthernet 0/0/3 //Configure la interfaz de conexin a
CORE1.
[ACC1-GigabitEthernet 0/0/3] dhcp snooping enable //Habilite la funcin snooping
DHCP.
[ACC1-GigabitEthernet 0/0/3] dhcp snooping trusted //Configure la interfaz como una
interfaz fiable.
[ACC1-GigabitEthernet 0/0/3] quit
[ACC1] interface GigabitEthernet 0/0/4 //Configure la interfaz de conexin a
CORE2.
[ACC1-GigabitEthernet 0/0/4] dhcp snooping enable
[ACC1-GigabitEthernet 0/0/4] dhcp snooping trusted
[ACC1-GigabitEthernet 0/0/4] quit
39
Volver al
diagrama de red
Para evitar que los usuarios cambien las direcciones IP y ataquen la intranet,
habilite IPSG despus de habilitar snooping DHCP en el switch de acceso. En el
ejemplo que se muestra a continuacin, se utiliza ACC1.
[ACC1] vlan 10
[ACC1-vlan10] ip source check user-bind enable //Habilite IPSG.
[ACC1-vlan10] quit
Para obtener detalles sobre cmo configurar el switch para evitar que los usuarios
conecten un router pequeo (servidor DHCP ficticio) a la intranet y cambien las
direcciones IP, consulte las secciones Configuracin de funciones bsicas de
snooping DHCP, Configuracin de IPSG y los ejemplos de configuracin
correspondientes de la gua de configuracin, seccin Seguridad.
40
Volver al
Configuracin del OSPF diagrama de red
41
Volver al
diagrama de red
Para obtener informacin detallada sobre la configuracin del OSPF y los comandos,
consulte la seccin Configuracin del OSPF y los ejemplos de configuracin
correspondientes de la gua de configuracin, seccin Enrutamiento de unidifusin IP.
42
37
Volver al diagrama
Configuracin de la fiabilidad y del balanceo de carga de red
43
Volver al
diagrama de red
44
Volver al
Configuracin de la agregacin de vnculos diagrama de red
Si el enlace ascendente del CORE1 o del CORE2 falla, el trfico pasa a travs del
vnculo entre el CORE1 y el CORE2. Sin embargo, el ancho de banda del vnculo
podra ser insuficiente, lo que generara prdidas de paquetes. Es posible vincular
mltiples enlaces fsicos a un vnculo lgico para aumentar el ancho de banda y
mejorar la fiabilidad de los vnculos. En el ejemplo que se muestra a continuacin, se
utiliza CORE1.
ISP1 ISP2
45
Volver al
diagrama de red
1 Configure la agregacin de vnculos.
# Configure la prioridad del sistema del CORE1 en 100 para que el CORE1 pase a
ser el Actor.
[CORE1] lacp priority 100
46
Volver al
Configuracin de la limitacin de velocidad diagrama de red
47
Volver al
diagrama de red
1 Configure una ACL en el router de egreso para permitir el paso de los paquetes
provenientes del departamento B.
2 Configure la limitacin de velocidad en las interfaces del lado de la LAN del router de
egreso para limitar la velocidad de acceso a Internet y la velocidad de descarga.
48
Volver al
Configuracin del servidor NAT y de mltiples diagrama de red
interfaces de egreso
a. Configure el servidor NAT.
A medida que los servicios crecen, el servidor web y el servidor FTP en la intranet
deben prestar servicios a los usuarios internos y externos que acceden a los
servidores a travs de direcciones IP pblicas.
1 Configure el router de egreso para permitir que los usuarios externos accedan a los
servidores de intranet a travs de direcciones IP pblicas.
[Router] interface GigabitEthernet 0/0/0
[Router-GigabitEthernet0/0/0] nat server protocol tcp global current-
interface www inside 192.168.50.99 www
Warning:The port 80 is well-known port. If you continue it may cause
function failure.
Are you sure to continue?[Y/N]:y
[Router-GigabitEthernet0/0/0] nat server protocol tcp global current-
interface ftp inside 192.168.50.199 ftp
3 Configure una ACL para permitir que los usuarios de intranet accedan a los
servidores de intranet a travs de direcciones IP pblicas.
4 Configure NAT en las interfaces del router de egreso que se conectan con la intranet.
[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] nat outbound 3333
[Router] interface GigabitEthernet 0/0/2
[Router-GigabitEthernet0/0/2] nat outbound 3333
5 Configure una tabla de mapeo de los servidores internos en las interfaces del router
de egreso que se conectan con la intranet.
[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] nat server protocol tcp global interface
GigabitEthernet 0/0/0 www inside 192.168.50.99 www
[Router-GigabitEthernet0/0/1] nat server protocol tcp global interface
GigabitEthernet 0/0/0 ftp inside 192.168.50.199 ftp
49
Volver al
diagrama de red
El procedimiento de configuracin en la interfaz GE0/0/2 es similar al de la interfaz
GE0/0/1.
50
Volver al
diagrama de red
4 Configure NAT.
[Router] interface Dialer 0
[Router-Dialer0] nat outbound 2015
Establezca 1200 bytes como tamao mximo de segmento (MSS) de los paquetes
5 TCP. Si se usa el valor predeterminado (1460 bytes), es posible que la velocidad de
acceso a Internet sea lenta.
[Router] interface Dialer 0
[Router-Dialer0] tcp adjust-mss 1200
Habilite PPPoE en la interfaz fsica GE1/0/0 que se conecta con el dispositivo del
6 operador.
Configure una ruta esttica predeterminada hacia Internet con marcador 0 como
7 interfaz de salida.
Configure una ACL para hacer coincidir los flujos de datos. No se redirige el trfico
8 intercambiado entre los usuarios internos.
51
Volver al
diagrama de red
11 Configure una poltica de trfico y vincule los clasificadores de trfico con los
comportamientos de trfico que se especifican en la poltica de trfico.
[Router] traffic policy test
[Router-trafficpolicy-test] classifier c0 behavior b0
[Router-trafficpolicy-test] classifier c1 behavior b1
[Router-trafficpolicy-test] classifier c2 behavior b2
[Router-trafficpolicy-test] quit
Aplique la poltica de trfico a las interfaces del router de egreso que se conectan con
12
los switches core.
[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] traffic-policy test inbound
[Router-GigabitEthernet0/0/1] quit
[Router] interface GigabitEthernet 0/0/2
[Router-GigabitEthernet0/0/2] traffic-policy test inbound
[Router-GigabitEthernet0/0/2] quit
Una vez configurado el enrutamiento basado en polticas (PBR), los usuarios de la intranet en
el segmento de red 192.168.10.0 acceden a Internet a travs de la interfaz GE0/0/0, y los
usuarios de la intranet en el segmento de red 192.168.20.0 lo hacen a travs de la interfaz
GE1/0/0 mediante acceso telefnico PPPoE.
Para obtener informacin detallada sobre la configuracin de PBR y los comandos, consulte la
seccin Configuracin de PBR y los ejemplos de configuracin correspondientes de la gua de
configuracin, seccin Enrutamiento de unidifusin IP.
52
Volver al
Cmo verificar los servicios y guardar la diagrama de red
configuracin
a. Verifique los servicios.
Seleccione dos ordenadores de dos departamentos para realizar pruebas de ping y
1
verifique si los dos departamentos se pueden comunicar en la capa 3 a travs de
interfaces VLANIF.
El siguiente ejemplo utiliza dos ordenadores (ordenador 1 y ordenador 2) en los departamentos
A y B. Los dos ordenadores se comunican en la capa 3 a travs del CORE1 (o CORE2). Si
pueden hacer ping entre sexitosamente, significa que la interoperacin de capa 3 es normal.
3 Seleccione dos ordenadores de dos departamentos para hacer ping en una direccin
IP pblica y verifique que los usuarios de intranet de la compaa puedan acceder a
Internet con normalidad.
En el siguiente ejemplo, se utiliza el departamento A. Por lo general, se puede hacer ping a
una direccin de gateway de red pblica desde el ordenador 1 para verificar si este puede
acceder a Internet. La direccin del gateway de red pblica es la direccin IP del
dispositivo del operador al cual se conecta el router de egreso. Si la prueba de ping es
exitosa, los usuarios de intranet pueden acceder a Internet con normalidad. El comando de
ping es similar al del paso 1.
53
Volver al
diagrama de red
b. Guarde la configuracin.
Antes de reiniciar el switch deber guardar los datos en el archivo de configuracin. Los
datos no guardados y configurados a travs de lneas de comandos se perdern despus
de reiniciar el switch.
El siguiente ejemplo muestra el procedimiento para guardar el archivo de configuracin
del CORE1.
<CORE1> save
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Now saving the current configuration to the slot 0..
Save the configuration successfully.
54
4 Preguntas frecuentes
1. Cmo puedo borrar o desactivar las configuraciones y restablecer los
ajustes de fbrica?
55
3. Cmo puedo restablecer la contrasea del puerto de
consola?
Si el nivel de su cuenta Telnet es 3 o superior, puede iniciar sesin en el switch desde un
terminal operativo a travs de Telnet para cambiar la contrasea del puerto de consola.
<HUAWEI> system-view
[HUAWEI] user-interface console 0
[HUAWEI-ui-console0] authentication-mode password
[HUAWEI-ui-console0] set authentication password cipher huawei@123
[HUAWEI-ui-console0] return
Inicie sesin en el switch a travs del puerto de consola para cambiar la contrasea de
Telnet (en el ejemplo que se muestra a continuacin, se utiliza la autenticacin AAA).
<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] local-user user11 password irreversible-cipher huawei@123
56
6. Cmo puedo configurar el arrendamiento?
Por defecto, el arrendamiento vence luego de transcurrido un da. En los casos en que un
usuario est trabajando fuera de su casa o de la oficina, como en un caf o un
aeropuerto, se recomienda el arrendamiento de corto plazo. Si los usuarios estn
trabajando principalmente desde una sola ubicacin, se recomiendan los arrendamientos
de largo plazo.
Mtodo de configuracin:
Ejecute este comando en la interfaz o en la vista de grupo de direcciones de la interfaz:
dhcp server lease { day day [ hour hour [ minute minute ] ] | unlimited }
Ejecute este comando en la vista de grupo global de direcciones: lease { day day [ hour
hour [ minute minute ] ] | unlimited }
Mtodo de configuracin:
Ejecute este comando en la interfaz o en la vista de grupo de direcciones de la interfaz:
dhcp server static-bind ip-address ip-address mac-address mac-address
57
5 Referencia
Para obtener ms informacin sobre nuestros productos y servicios, consulte estos vnculos.
Accin Vnculo
Intercambie informacin
con otros usuarios en http://support.huawei.com/ecommunity/?l=en
nuestro BBS
Enve sus consultas a
nuestra comunidad de http://support.huawei.com/ecommunity/ask/list_1471.html
asistencia para empresas
Ejemplo de configuracin de
dispositivos de egreso para redes
http://support.huawei.com/ecommunity/bbs/10263823.html?p=1#p0
de sucursales o de campus de
pequea y mediana escala
Ejemplo de configuracin de
egreso de un campus de gran
escala (los firewalls se http://support.huawei.com/ecommunity/bbs/10268091.html?p=1#p0
conectan con los switches core
en modo en lnea)
Ejemplo de configuracin de
egreso de un campus de gran
escala (los firewalls se http://support.huawei.com/ecommunity/bbs/10265383.html?p=1#p0
conectan con los switches core
en modo bypass)
58