top of page
Buscar

Aplicando un poco de todo: Fortigate + Huawei + Aruba

  • jogofus
  • 22 jun 2024
  • 6 Min. de lectura

Hoy voy a tratar de montar un laboratorio a pequeña escala que replique un posible escenario en el que exista "un poco de todo", tal y como podríamos encontrar en una empresa mediana.

Para este laboratorio no he querido ceñirme a una única marca de dispositivos de red, así que he sumado 3 para demostrar lo que, como administradores de sistemas/redes, nos podemos encontrar en nuestra empresa o clientes.


Así pues, vamos a montar algo lo más realista posible con un Fortigate, dos Aruba para el HA y un Huawei CE6800. Este último no está en HA porque se trata de un switch de acceso y, en caso de que este fallara, solo se vería perjudicada una pequeña parte de la plantilla.

Aquí aparece un único switch de acceso con la finalidad de reducir la entrada -que auguro que será larga-, pero en una empresa siempre habrán varios switches de acceso.


Esta entrada va a ser más como un ejemplo que algo divulgativo; espero que os sirva igualmente.


Dicho lo cual, empecemos la configuración.


El escenario

ree


Configuración del firewall: Fortigate desde CLI


-¿Fortigate desde CLI?

+Sí, claro.

-¿Con la interfaz web tan chula que tiene?

+No todo se basa en algo chulo, sino en la velocidad con la que trabajamos y lo que nos pueden ofrecer.


Empezamos creando un LACP que comunique con los switches Aruba. Habíamos dicho que queríamos HA, ¿verdad?

Sí, ya se que nos faltaría un segundo Fortigate para esto...

config system interface
    edit "LACP1"
        set vdom "root"
        set type aggregate
        set member "port1" "port2"
        set lldp-transmission enable
        set role lan
        set snmp-index 6
    next
end

Y como queremos tener una red segmentada, tenemos que configurar las vlan, asignandolas a este puerto virtual, que es el LACP1.

config system interface
    edit "VLAN30"
        set vdom "root"
        set ip 10.0.30.1 255.255.255.0
        set allowaccess ping
        set device-identification enable
        set role lan
        set snmp-index 7
        set interface "LACP1"
        set vlanid 30
    next
    edit "VLAN40"
        set vdom "root"
        set ip 10.0.40.1 255.255.255.0
        set allowaccess ping
        set device-identification enable
        set role lan
        set snmp-index 8
        set interface "LACP1"
        set vlanid 40
    next
    edit "VLAN50"
        set vdom "root"
        set ip 10.0.50.1 255.255.255.0
        set allowaccess ping
        set device-identification enable
        set role lan
        set snmp-index 9
        set interface "LACP1"
        set vlanid 50
    next
end

Vale, ya tenemos creadas nuestras interfaces y se les puede hacer ping desde su propia vlan. Pero quiero que cada vlan tenga un servidor DHCP para simplificar la gestión de la red.

config system dhcp server

edit 2
	set default-gateway 10.0.30.1
    set netmask 255.255.255.0
    set interface "VLAN30"
    config ip-range
      edit 1
        set start-ip 10.0.30.10
        set end-ip 10.0.30.50
      next
     end
    next
edit 3
    set default-gateway 10.0.40.1     
    set netmask 255.255.255.0
    set interface "VLAN40"
    config ip-range
      edit 1
         set start-ip 10.0.40.10
         set end-ip 10.0.40.50            
	  next
     end
    next
edit 4
  set default-gateway 10.0.50.1
  set netmask 255.255.255.0
  set interface "VLAN50"
    config ip-range
       edit 1
          set start-ip 10.0.50.10
          set end-ip 10.0.50.50
       next
     end
    next
end

Ya solo nos falta crear las reglas -básicas para este ejemplo- y ya tendríamos nuestro firewall configurado.

config firewall policy
	edit 1
		set name "VLAN30 a VLAN40 - ALLOW"
		set action accept
		set service PING
		set schedule always
		set srcintf VLAN30
		set dstinft VLAN40
		set srcaddr all
		set dstaddr all
	next
	edit 2
		set name "VLAN30 a VLAN50 - DENY"
		set action deny
		set service PING
		set schedule always
		set srcintf VLAN30
		set dstintf VLAN50
		set srcaddr all
		set dstaddr all
	next
	edit 3
		set name "VLAN40 a VLAN50 - ALLOW"
		set action accept
		set service PING
		set schedule always
		set srcintf VLAN40
		set dstintf VLAN50
		set srcaddr all
		set dstaddr all
	next
end

Configuración de Aruba en HA: vsx al rescate

En una entrada anterior hablé de los Cisco Nexus 9000 y el vPC (virtual port-channel), los cuales nos permitían tener un LAG distribuido entre dos switches distintos.


En Aruba tenemos algo parecido -por no decir lo mismo-, y se llama VSX (virtual switching extension). Sin necesidad de profundizar en cómo funciona o para qué sirve (ya se hizo en la anterior entrada, te recomiendo que le eches un vistazo: Alta disponibilidad con Cisco Nexus: vPC).

ree

Pasamos a configurar. Se va a mostar como configurar uno, siendo lo mismo para el segundo, pero estableciendo su rol como secundario.


Empezamos creando el LAG que unirá ambos switches, y por el que se sincronizará la información entre ambos.


interface lag 100
no shutdown
description Peerlink
no routing
vlan trunk allowed all
lacp mode active
!
interface 1/1/5
no shutdown
description Peerlink port1
mtu 9198
lag 100
!
interface 1/1/6
no shutdown
description Peerlink port2
mtu 9198
lag 100
!

Ahora necesitaremos crear un enlace que nos haga de keepalive y que nos avise de si nuestro vecino está "caído" o no.

Para ello, crearemos primero una vrf totalmente aislada.


vrf keepalive
!
interface 1/1/4
no shutdown
vrf attach keepalive
ip address 10.80.0.1/30
!

Procedemos a crear el entorno VSX. Pero para ello, primero deberemos conocer nuestra MAC y copiarla para poder ponerla cuando nos la solicite.


show system		#copiamos la MAC en formato XX:XX:XX:XX:XX:XX

Ahora sí, vamos con VSX.

vsx
system-mac XX:YY:ZZ:XX:YY:ZZ
inter-switch-link lag 100
role primary
vsx-sync vsx-global ssh snmp icmp-tcp stp-global static-routes
neighbor lldp aaa dns
keepalive peer 10.80.0.2 source 10.80.0.1 vrf keepalive
!

Ahora debemos crearle las VLAN a los switches.

vlan 30,40,50
vsx-sync

Con vsx-sync le decimos que estas VLAN se sincronicen en el entorno vsx en el que nos encontramos.


Para finalizar, crearemos el LAG multi-chassis, lo que en Cisco es el vPC.

interface lag 44 multi-chassis
description LAG de acceso a Huawei
no shutdown
vlan trunk allowed 30,40,50
!
interface lag 88 multi-chassis
no shutdown
no routing
vlan trunk allowed 30,40,50
description LAG a Fortigate
lacp mode active
!
interface 1/1/1
lag 88
no shut
!

Como añadido, vamos a crear interfaces para las VLAN.

interface vlan 30
ip address 10.0.30.2/24
!
interface vlan 40
ip address 10.0.40.2/24
!
interface vlan 50
ip address 10.0.50.2/24
!

¡Arubas configurados! Seguimos...


Configuración de Huawei como switch de acceso

Este switch no tiene mucha complicación, es crear un eth-trunk, las vlan y decir qué tipo de puertos son los que van a participar en este escenario.


system-view
!
sysname huawei1
!
vlan batch 30 40 50
!
interface eth-trunk 76
mode lacp-static
port link-type trunk
port trunk allow-pass vlan 30 40 50
undo shutdown
!
interface GE 1/0/0
description LAG a Aruba - port1
undo shutdown
eth-trunk 76
!
interface GE 1/0/1
description LAG a Aruba - port2
undo shutdown
eth-trunk 76
!
interface GE 1/0/3
description VLAN30
undo shutdown
port link-type access
port default vlan 30
!
interface GE 1/0/4
description VLAN40
undo shutdown
port link-type access
port default vlan 40
!

Para hacer pruebas (y para tener gestión de los switches desde las VLAN, práctica no recomendada, se necesitaría una VLAN de gestión), voy a crear las diferentes interfaces para las vlan.


interface vlanif 30
ip address 10.0.30.4 255.255.255.0
!
interface vlanif 40
ip address 10.0.40.4 255.255.255.0
!
interface vlanif 50
ip address 10.0.50.4 255.255.255.0
!

Comprobamos su funcionamiento

Para empezar, intentamos hacer ping desde todos los dispositivos de red en su misma VLAN y vemos que comunican.

ree
ree

Bueno, parece que sí que comunica, ¿no? Sigamos revisando.


Podemos ver que los equipos cliente han recibido su IP mediante el servidor DHCP que previamente creamos al inicio en el fortigate:

ree
ree
ree

De momento, todo marcha. Vamos a comprobar si las reglas que hemos creado en el firewall funcionan como deberían.

Recordemos que desde VLAN30 podemos acceder por ping a VLAN40, pero no a VLAN50, y desde VLAN40 si que podremos llegar a VLAN50.


VLAN30:

ree

Al hacer ping a la VLAN50, no llegamos. Mirando wireshark nos dice lo siguiente:

ree

Veamos si desde la VLAN40 si que llegamos.


VLAN40:

ree

Pues parece que todo está funcionando correctamente, pero... ¿y si probamos la estabilidad del VSX? Vamos a desconectar uno de los enlaces a ver qué sucede.


Se ha desconectado el puerto 1/1/2 del aruba1 y este ha sido el resultado:

ree

Se ha vuelto a preguntar por saber quién es 10.0.30.1 (ARP) ya que el aruba2 no parecía tenerlo en su tabla ARP.

¿Y qué nos dice el equipo cliente?

ree

Se puede ver que ha tardado 10 segundos más en responder al ping ya que primero ha tenido que hacer la consulta ARP.


Visto lo visto, el escenario de alta disponibilidad está funcional y no ha generado ningún error.



¡Espero que os sirva para futuras implementaciones!


¡Nos vemos!




 
 
 

Comentarios

bottom of page