...

Предварительная настройка

Предполагается два варинта варианта подключения ESR-10 в режиме OTT: 

...

2) согласование конфигурации с клиентом, создание привязки инициализации (с указанием индивидуальнйо индивидуальной конфигурации OTT) по MAC-адресу ESR-10, который будет установлен у клиента, вполнение выполнение необходимых настроек в SoftWLC (добавление L2 подсетей, создание тарифа в случае необходимости) - в этом случе случае ESR-10 сразу после установки получит нужную конфигурацию и будет готов к работе.

...

Для успешного подключения и инициализации по дефолтному правилу надо создать для ESR дефолтную конфигурацию в разделе "OTT индивидульная индивидуальная конф.", создать правило инициализации, в дефолтной привязке указать конфигурацию ESR-10 для подключения по дефолтному правилу инициализации.

...

 9) Режим ESR - "StationCE" (введён новый признак, который означает, что устройство взаимодействует с PCRF и на него/для него не надо строить тунелитуннели);

 10) "Сервис BRAS" - отмечаем галочкой (ESR10 в режиме OTT предполагает работу только с локальным выпуском трафика клиентов, в сеть провайдера, у которого подключается OTT устройтвоустройство).

И нажимаем "Принять".

6. В "Менеджере правил инициализации ТД" переходим в "Привязки" и выбираем дефолтную привязку OTT (предполагается, что она уже была настроена ранее, при настройке подключений ТД OTT):

...

Так же нам может быть либо неизвестен, либо известен MAC ESR-10, который мы установим клиенту. Вероятнее всего он будет неизвестен, поэтому в приведённом ниже примере рассматриваем схему подключения, когда при первом подключении ESR-10, будет попадать в дефолтный домен по дефолтной привязке, затем будет сделан его перенос в нужный домен, прикрипление прикрепление индивидуальной конфигурации к появившейся привязке и перезагрузка, что бы он получил новую конфигурацию.

...

6) "Возможность прохождения IP потоков" - выбираем "Разрешить IP поток в оба направления".

Нажимем Нажимаем "Сохранить".

2. Переходим в "Сервисы PCRF" → "Тарифы", выбираем фильтр "PCRF/BRAS" и нажимаем "Добавить":

...

В этих случаях в логе задачи появиться сообщение "Notify PCRF about IP changed for MAC-based subnets".

В приведенно приведенном примере потребуется создание двух подсетей L2 - для SSID1 и SSID2.

...

4) "Location" - указываем location gi1/0/1.701 (саб-интерфейс, через который прийдет придет трафик от SSID1);

5) "Service домен" - выбираем сервисный домен SSID;

...

2. Откроем "Wireless" → "Менедже Менеджер правил инициализации ТД" → "Привязки" и найдём по привязку:

...

4. В открывшемся окне нажимаем на стрелку справа от "OTT индивидуальная конф." и в открывшемся окне выбираем сответствующую соответствующую этому ESR-10 конфигурацию:

...

В течении некоторого времени устройство перезагрузитьсяперезагрузится, прийдет придет повторно на SA и получит новую конфигурацию.

...

 9) Режим ESR - "StationCE" (введён новый признак, который означает, что устройство взаимодействует с PCRF и на него/для него не надо строить тунелитуннели);

 10) "Сервис BRAS" - отмечаем галочкой (ESR10 в режиме OTT предполагает работу только с локальным выпуском трафика клиентов, в сеть провайдера, у которого подключается OTT устройтвоустройство).

И нажимаем "Принять".

2. Открываем "Wireless" → "Менеджер правил инициализации ТД" → "Привязки" и нажимаем кнопку "Добавить":

...

2) "Ключ" - MAC-адрес ESR-10;

3) "Имя правила" - Выбиораем Выбираем созданное ранее правило инициализации;

4) "Домен узла" - указывемуказываем, в какой домен инициализировать устройство;

...

После включения ESR-10 сразу будет инициализирован в нужный домен и готов к работе.

Приложения

Конфигурирование OTT

...

индивидуальной конфигурации, отдаваемой сервис-активатором

Общее описание

Конфигурация, получаемая ESR-10 от сервис-активатора (далее SA) состоит из двух частей - в первой содержаться параметры соединения IPsec, update-timer и wait-timer, пароль администратора (admin) в формате JSON, во второй чаcти - CLi конфигурация в текстовом формате в виде набора CLi команд. Все параметры передаются в одном файле.

В приложенном  файле можно посмотерть посмотреть дамп обмена данными между ESR-10 и SA: Конфигурирование OTT индивидульной индивидуальной конфигурации, отдаваемой сервис-активатором

Если CLI часть ответа SA прийдёт придёт пустой - это считается ошибкой, такая конфигурация применяться не будет, на SA будет передан код ошибки, после истечения wait-timer ESR-10 обратится на SA повторно.

...

Конфигурация, которую ESR-10 в части CLi конфигурации от SA создается во вкладке "OTT индивидульная индивидуальная конф." менеджера инициализации ТД. Части конфигурации, описывающие uplink, IPsec, GRE должны быть описаны строго определённым образом и их изменение недопустимо, т.к. приведет к неработоспособности конфигурации после применения (в этом случае через wait-timer ESR-10 откатится к factory-config и отправит сообщение об ошибке на SA).

Установкой OTT соединения является наличие 43 опции 15 подопции при получении адреса интерфейсом (это всегда будет bridge 1) управления. Если за время wait-timer, адрес с такой опцией не был получен - попытка установки соединения считается неуспешнойне успешной. Произойдет возврат конфигурации на factory-config, на сервис-актватор активатор будет передано сообщение об ошибке. Через wait-timer будет произведено повторное обращение на сервис-активатор. 

...

snmp-server enable traps
snmp-server enable traps config
snmp-server enable traps config commit
snmp-server enable traps config confirm
snmp-server enable traps environment
snmp-server enable traps environment memory-flash-critical-low
snmp-server enable traps environment memory-flash-low
snmp-server enable traps environment memory-ram-critical-low
snmp-server enable traps environment memory-ram-low
snmp-server enable traps environment cpu-load
snmp-server enable traps environment cpu-critical-temp
snmp-server enable traps environment cpu-overheat-temp
snmp-server enable traps environment cpu-supercooling-temp
snmp-server enable traps file-operations
snmp-server enable traps file-operations successful
snmp-server enable traps file-operations failed
snmp-server enable traps file-operations canceled
snmp-server enable traps interfaces
snmp-server enable traps interfaces rx-utilization-high
snmp-server enable traps interfaces tx-utilization-high
snmp-server enable traps interfaces number-high
snmp-server enable traps screen
snmp-server enable traps screen dest-limit
snmp-server enable traps screen source-limit
snmp-server enable traps screen icmp-threshold
snmp-server enable traps screen udp-threshold
snmp-server enable traps screen syn-flood
snmp-server enable traps screen land
snmp-server enable traps screen winnuke
snmp-server enable traps screen icmp-frag
snmp-server enable traps screen udp-frag
snmp-server enable traps screen icmp-large
snmp-server enable traps screen syn-frag
snmp-server enable traps screen unknown-proto
snmp-server enable traps screen ip-frag
snmp-server enable traps screen port-scan
snmp-server enable traps screen ip-sweep
snmp-server enable traps screen syn-fin
snmp-server enable traps screen fin-no-ack
snmp-server enable traps screen no-flag
snmp-server enable traps screen spoofing
snmp-server enable traps screen reserved
snmp-server enable traps screen quench
snmp-server enable traps screen echo-request
snmp-server enable traps screen time-exceeded
snmp-server enable traps screen unreachable
snmp-server enable traps screen tcp-all-flags
snmp-server enable traps entity
snmp-server enable traps entity config-change
snmp-server enable traps entity-sensor
snmp-server enable traps entity-sensor threshold
snmp-server enable traps envmon
snmp-server enable traps envmon shutdown
snmp-server enable traps envmon temperature
snmp-server enable traps flash
snmp-server enable traps flash insertion
snmp-server enable traps flash removal
snmp-server enable traps snmp
snmp-server enable traps snmp authentication
snmp-server enable traps snmp coldstart
snmp-server enable traps snmp linkdown
snmp-server enable traps snmp linkup
snmp-server enable traps syslog

bridge 1 #bridge 1 всегда будет использоваться для управления, настройки всегда должны быть таким
  security-zone trusted
  ip address dhcp
  ip dhcp client ignore router
  enable
exit

interface gigabitethernet 1/0/1 #Интерфейс gi1/0/1 всегда будет использоваться как аплинк, настройки всегда должны быть такими
  description "UPLink"
  ip address dhcp
  security-zone untrusted
exit
interface gigabitethernet 1/0/2
  shutdown
exit
interface gigabitethernet 1/0/3
  shutdown
exit
interface gigabitethernet 1/0/4
  shutdown
exit
interface gigabitethernet 1/0/5
  shutdown
exit
interface gigabitethernet 1/0/6
  shutdown
exit
interface loopback 1
exit
tunnel gre 1 #Номер GRE тунеля туннеля зарезервирован - изменять нельзя
  mtu 1356 #не указываем - получим от SA (ipsec gre-mtu-offset)
  keepalive retries 3 #не указыаем указываем - получим от SA (ipsec gre-ping-counter)
  keepalive dst-address 10.2.0.1 #не указываем - получим по DHCP в 43 опции 15 подопции
  keepalive dhcp dependent-interface bridge 1
  keepalive dhcp dependent-interface gi1/0/1
  keepalive enable #не указыаем указываем - GRE keepalive будет включен автоматически. при получении по DHCP в 43 опции 15 подопции
  mode ethernet
  local address xauth ipsec_vpn #адрес будет получен по mode-cfg при установке IPsec соединения, имя IPsec VPN зарезервировано и его изменять нельзя
  remote address xauth ipsec_vpn management-ip #адрес будет получен по mode-cfg при установке IPsec соединения, имя IPsec VPN зарезервировано и его изменять нельзя
  enable
exit
tunnel gre 1.1 #Номер sub-GRE тунеля туннеля зарезервирован - изменять нельзя
  bridge-group 1
  mtu 1352 #не указываем - получим от SA (ipsec gre-mtu-offset)
  snmp init-trap
  enable
exit

security zone-pair untrusted self
  rule 1
    action permit
    match protocol icmp
    enable
  exit
exit
security zone-pair trusted self
  rule 1
    action permit
    match source-address SoftWLC
    enable
  exit
exit

access profile acc_p #имя зарезервировано, изменять нельзя
  user a8:f9:4b:ab:81:20 #не указываем - получим от SA (ipsec xauth-user)
    password ascii-text encrypted 9FB30B49E43D47FAC32E0994C89C75B81313F0F038CC02FC # не указываем - получим от SA (ipsec xauth-password)
  exit
exit

security ike proposal ike_prop #имя зарезервировано, изменять нельзя
  authentication algorithm md5 #не указываем - получим от SA (ipsec auth-alg)
  encryption algorithm aes128 #не указываем - получим от SA (ipsec encrypt-alg)
  dh-group 1 #не указываем - получим от SA (ipsec dh-group)
exit

security ike policy ike_pol #имя зарезервировано, изменять нельзя
  lifetime seconds 86400 #не указываем - получим от SA (ipsec lifetime)
  pre-shared-key ascii-text testing123 #не указываем - получим от SA (ipsec password)
  authentication method xauth-psk-key
  authentication mode client
  proposal ike_prop
exit

security ike gateway ike_gw #имя зарезервировано, изменять нельзя
  ike-policy ike_pol
  assign-interface loopback 1
  local interface gigabitethernet 1/0/1
  remote address 100.64.0.1 #не указываем - получим от SA (ipsec remote-gateway)
  remote network dynamic client
  mode policy-based
  dead-peer-detection action restart
  dead-peer-detection interval 10
  dead-peer-detection timeout 60 #не указываем - получим от SA (ipsec dpd-delay)
  xauth access-profile acc_p client a8:f9:4b:ab:81:20 #не указываем - будет сформировано на основе полученного от SA xauth-user
exit

security ipsec proposal ipsec_prop #имя зарезервировано, изменять нельзя
  authentication algorithm md5 #не указываем - получим от SA (ipsec sa-auth-alg)
  encryption algorithm aes128 #не указываем - получим от SA (ipsec sa-encrypt-alg)
exit

security ipsec policy ipsec_pol #имя зарезервировано, изменять нельзя
  lifetime seconds 3600 #не указываем - получим от SA (ipsec sa-lifetime)
  proposal ipsec_prop
exit

...

Дефолтная часть конфигурации, используемой для уставноки установки OTT остается неизменной. В нее добавляется интерфейс (бридж) для терминирования клиентов, на котором работает брас. Тегированный трафик от SSID принимается через саб-интерфейсы, который собираются в клиентский бридж - для этого можно использовать любый интерфейсы, в т.ч. и аплинк. Нетегированный трафик от SSID можно принимать в порты gi1/0/2-6 (использовать аплинк gi1/0/1 для этого нельзя) в mode access использую для тегирования трафика тем же влан, что и в настройках бриджа. Клиенты выпускаются в сеть Интернет используя NAT через текущий адрес аплинка.

...