...
Drawio | ||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Рис. 2.2.1.
Таблица используемой адресации, назначение приведенны ниже в таблице 2.2.1:
AS 64603 | VRF | ESR BRAS L3-1 (Alfa) | ESR BRAS L3-2 (Beta) | |||
назначение | интерфейс / влан | IP адрес | VRRP IP | интерфейс / влан | IP адрес | |
---|---|---|---|---|---|---|
стык с VRF AP (eBGP) | default | gi1/0/1.206 | 100.64.0.34/30 | n/a | gi1/0/1.207 | 100.64.0.38/30 |
стык с VRF backbone (eBGP) | default | gi1/0/1.208 | 100.64.0.42/30 | n/a | gi1/0/1.209 | 100.64.0.46/30 |
стык с VRF NAT (eBGP) | default | gi1/0/1.210 | 100.64.0.50/30 | n/a | gi1/0/1.211 | 100.64.0.54/30 |
внутренний стык с VRF DPI | default | lt 1 | 10.200.200.1/30 | n/a | lt 1 | 10.200.200.5/30 |
терминация GRE трафика от ТД | default | bridge 1 / 101 | 192.168.200.51/28 | 192.168.200.49/32 192.168.200.50/32 | bridge 1 / 101 | 192.168.200.52/28 |
терминация подсети управления ТД | default | bridge 3 / 3 | 198.18.128.2/21 | 198.18.128.1/32 | bridge 3 / 3 | 198.18.128.3/21 |
стыковый адрес с соседним ESR (iBGP) | default | bridge 9 / 9 | 100.64.0.57/30 | n/a | bridge 9 / 9 | 100.64.0.58/30 |
терминация подсети клиентов ТД в дефолтном VRF | default | bridge 10 / 10 | 198.18.192.2/19 | 198.18.192.1/32 | bridge 10 / 10 | 198.18.192.3/19 |
стык с VRF DPI (eBGP в VRF dpi) | dpi | lt 2 | 10.200.200.2/30 | n/a | lt 2 | 10.200.200.6/30 |
внутренний стык с дефолтным VRF | dpi | gi1/0/1.214 | 100.64.0.74/30 | n/a | gi1/0/1.215 | 100.64.0.78/30 |
терминация подсети клиентов ТД в отдельном VRF (dpi) | dpi | bridge 12 / 12 | 198.19.0.2/19 | 198.19.0.1/32 | bridge 12 / 12 | 198.19.0.3/19 |
стыковый адрес c соседним ESR (iBGP в VRF dpi) | dpi | bridge 92 / 92 | 100.64.0.97/30 | n/a | bridge 92 / 92 | 100.64.0.98/30 |
...
Таблица 3.1.
4. Настройка ESR.
4.1. Общие настройки ESR.
Первоначально проверяем и устанавливаем на ESR лицензию BRAS-WiFi (для её получения необходимо обратится в коммерческий отдел предприятия Элтекс). Затем выполняем настройку ip-адресов, BGP, wirelees-controller.
Рекомендуется при первоначальной настройке отключить файрвол (ip firewall disable) на всех ip-интерфейсах для упрощения траблшутинга и решения проблем, возникающих в ходе настройки.
Т.к. схема включения ESR повторяет собой схемы Настройка ESR в режиме wireless-controller с резервированием роутера "последней мили" и Настройка ESR при терминировании одного из саб-туннелей softgre в Bridge в другом VRF - то ниже будет сразу приведена общая конфигурация ESR (без настроек BRAS).
Раскрыть | ||
---|---|---|
| ||
|
Раскрыть | ||
---|---|---|
| ||
|
4.2. Настройка BRAS на ESR.
Портал.
Необходимо включить флаг «Взаимодействие с BRAS».
...
В разделе "Настройки" вкладке "RADIUS клиенты" необходимо добавить в таблицу ESR-1000, выполняющий функции BRAS. После этого RADIUS сервер начнет обрабатывать RADIUS-сообщения от ESR-1000. При добавлении ESR-1000 в таблицу, необходимо указать IP его интерфейса, с которого будут лететь RADIUS пакеты, домен, а также пароль, прописанный также, в конфигурации ESR-1000.
Общая настройка ESR-1000 для работы в режиме BRAS
Добавить в список разрешенных хостов ядра SoftWLC адрес PCRF сервера:
object-group network SoftWLC
ip address-range 10.62.18.20
exit
Добавить адрес RADIUS сервера (PCRF), указать для него ключ безопасности, таймеры обмена и порт 31812, а также source адрес для отправки пакетов:
radius-server host 10.62.18.20
key ascii-text testing123
timeout 10
source-address 10.204.144.1
auth-port 31812
retransmit 5
dead-interval 10
exit
aaa radius-profile bras_radius_servers
radius-server host 10.62.18.20
exit
Добавить в список порт 3799 для обмена RADIUS-COA сообщениями с SoftWLC, указать пароль:
das-server SoftWLC
key ascii-text testing123
port 3799
exit
aaa das-profile bras_das_servers
das-server SoftWLC
exit
Перевести ESR в режим поднятия GRE туннелей по команде с SoftWLC (PCRF сервера), указать настроенный выше профиль взаимодействия при передача COA и RADIUS пакетов
wireless-controller
nas-ip-address 10.204.144.1
data-tunnel configuration radius
aaa das-profile bras_das_servers
aaa radius-profile bras_radius_servers
exit
Добавить в список разрешенных хостов ядра SoftWLC адрес портала:
object-group network SoftWLC
ip address-range 10.62.18.22
exit
Добавить в список портов для внутреннего использования ESR:
object-group service redirect
port-range 3128
port-range 3129
exit
Добавить описание сервиса Интернет, который будет назначаться пользователям после прохождения авторизации:
ip access-list extended INTERNET
rule 10
action permit
match protocol any
match source-address any
match destination-address any
enable
exit
exit
class-map class-internet
match access-group INTERNET
exit
Добавить описание сервиса для не авторизованных пользователей, который будет позволять получать адрес по DHCP и обмен с DNS:
ip access-list extended unauthUSER
rule 1
action permit
match protocol udp
match source-address any
match destination-address any
match source-port 68
match destination-port 67
enable
exit
rule 2
action permit
match protocol udp
match source-address any
match destination-address any
match source-port any
match destination-port 53
enable
exit
exit
class-map default_rule
match access-group unauthUSER
exit
Добавить описание сервиса для авторизованных пользователей, перенаправляемых на страницу WELCOME портала. Это служебный сервис, который будет позволять пользователю взаимодействовать с порталом:
ip access-list extended WELCOME
rule 1
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port 443
enable
exit
rule 2
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port 8443
enable
exit
rule 3
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port 80
enable
exit
rule 4
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port 8080
enable
exit
exit
Указать URL-адрес PCRF сервера для загрузки файлов, содержащих списки URL для фильтрации пользовательского трафика:
subscriber-control filters-server-url http://10.62.18.20:7070/filters/file
Добавить блок конфигурации для взаимодействия с порталом и PCRF серверами, указать созданные ранее профили для обмена COA и RADIUS сообщениями, указать source IP адрес. Сделать привязку к VRRP группе для корректной работы резервирования, включить режим МАС авторизации пользователей. По умолчанию трафик пользователей будет проходить по правилу bypass – unauthUSER (разрешен DHCP и DNS). Описать дефолтный сервис для не авторизованных пользователей, в котором будет разрешен обмен по URL, указанным в файле с именем gosuslugi, а для всех остальных запросов будет выполняться редирект на портал:
subscriber-control
aaa das-profile SoftWLC
aaa sessions-radius-profile bras_radius_servers
aaa services-radius-profile bras_radius_servers
nas-ip-address 10.204.144.1
session mac-authentication
bypass-traffic-acl unauthUSER
vrrp-group 1
default-service
class-map unauthUSER
filter-name remote gosuslugi
filter-action permit
default-action redirect http://10.62.18.22:8080/eltex_portal/
session-timeout 601
exit
enable
exit
Настройка SoftWLC, ESR-1000 и ESR-10 при добавлении нового клиента.
...
Если выбрать несколько тарифных планов, то при регистрации пользователю будет доступен выбор из списка. В списке будут отображаться наименования указанные в поле «название тарифа на портале». Если тариф выбран один, то пользователю не будет отображаться список тарифов и ему, по умолчанию, будет присваиваться выбранный тарифный план.
Конфигурация ESR-10
На ESR-10 реализована возможность автопровиженинга. ESR-10 на основании информации, получаемой по DHCP может скачать с tftp-сервера файл конфигурации. Для настройки DHCP сервера необходимо:
На DHCP сервере добавить VLAN интерфейс для обмена с DHCP-relay, который служит для выдачи адресов для ESR-10,
sudo vconfig add eth0 1107
sudo ifconfig eth0.1107 192.168.107.100/24
sudo route add -net 192.168.109.0/24 gw 192.168.107.10
В конфигурации DHCP сервера (/etc/dhcp/dhcpd.conf) добавить подсеть созданного выше интерфейса, и подсеть для клиентов. Добавить МАС адрес ESR-10 и указать фиксированный IP, который он будет получать, а также указать адрес TFTP сервера и имя файла конфигурации, который будет загружаться на ESR:
subnet 192.168.107.0 netmask 255.255.255.0 {}
subnet 192.168.109.0 netmask 255.255.255.0 {
option routers 192.168.109.1;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.109.255;
default-lease-time 600;
max-lease-time 1200;
option domain-name-servers 8.8.8.8;
host ESR-10-OFFICE2USER1 {
option tftp-server-name "192.168.107.100";
option bootfile-name "conf.txt";
hardware ethernet a8:f9:4b:ab:65:e8;
fixed-address 192.168.109.10;
}
МАС адрес на ESR-10 можно получить с этикетки или при подключении по команде из CLI:
show system
Для подключения клиентов в подсети 192.168.100.32/28
#BRIDGE1
subnet 192.168.100.32 netmask 255.255.255.240 {
option routers 192.168.100.33;
option subnet-mask 255.255.255.240;
option broadcast-address 192.168.100.47;
default-lease-time 600;
max-lease-time 1200;
option domain-name-servers 8.8.8.8;
pool {
range 192.168.100.36 192.168.100.46;
}
}
Для подключения клиентов в подсети 192.168.100.48/28
#BRIDGE2
subnet 192.168.100.48 netmask 255.255.255.240 {
option routers 192.168.100.49;
option subnet-mask 255.255.255.240;
option broadcast-address 192.168.100.63;
default-lease-time 600;
max-lease-time 1200;
option domain-name-servers 8.8.8.8;
pool {
range 192.168.100.52 192.168.100.62;
}
}
Для подключения клиентов в подсети 192.168.100.112/28
#BRIGGE5
subnet 192.168.100.112 netmask 255.255.255.240 {
option routers 192.168.100.113;
option subnet-mask 255.255.255.240;
option broadcast-address 192.168.100.127;
default-lease-time 600;
max-lease-time 1200;
option domain-name-servers 8.8.8.8;
pool {
range 192.168.100.116 192.168.100.126;
}
}
Прописать маршрут для клиентской подсети через ESR-1000
sudo route add -net 192.168.100.0/24 gw 192.168.107.10
Перезапуск DHCP сервера для применения конфигурации:
sudo service isc-dhcp-server restart
На tftp сервере создать файл /tftpboot/conf.txt, в котором указать следующую конфигурацию:
Служебные параметры для загрузки файла
#!/usr/bin/clish
#8
Имя устройства:
...
Создать VLAN (2 – управление, 10 – в него будет попадать трафик пользователей с 3го порта ESR-10, 11 – в него будет попадать трафик пользователей с 4го порта ESR-10)
vlan 2,10-11
exit
Создать зону безопасности firewall
security zone trusted
exit
security zone GRE
exit
Настроить конфигурацию доступа к устройству по протоколу SNMP.
snmp-server
snmp-server community private1 rw
snmp-server community public11 ro
snmp-server host 192.168.107.100
exit
Создать список адресов с которых будет разрешен обмен трафиком с ESR-10 (указать адрес сервера SoftWLC и адрес ESR/BRAS с которым будет подниматься GRE туннель
object-group network MNG
ip address-range 192.168.109.1-192.168.109.4
...
exit
Создать интерфейс bridge 1 – на нем запустить DHCP клиента, для получения адреса. C этого адреса будет подниматься GRE туннель. Для ограничения доступа на нем включен firewall
bridge 1
description "TunnelIP"
vlan 2
ip address dhcp
ip dhcp client ignore router
security-zone GRE
enable
exit
Создать интерфейс bridge2, через который будут идти все пользовательские данные
bridge 2
description "UserDATA"
enable
exit
Создать интерфейс bridge3, через который будет производиться управление ESR-10
bridge 3
description "MNGESR10"
security-zone trusted
ip address dhcp
enable
exit
Настроить порт 1 в режиме access – весь принимаемый трафик будет помечаться VLAN ID2 , что позволит передать его в bridge 2 интерфейс.
interface gigabitethernet 1/0/1
switchport access vlan 2
exit
Настроить порт 2 в режиме trunk, весь принятый трафик с данного порта будет передан в bridge 2 и далее в GRE туннель. Тегированный трафик будет передаваться как есть (дополнительно прописывать vlan не требуется), не тегированный трафик будет передаваться без тега в GRE туннеле.
interface gigabitethernet 1/0/2
switchport mode trunk
bridge-group 2
exit
Настроить порт 3 в режиме access. Тегированный трафик не будет проходить через данный порт, для не тегированного трафика будет добавляться VLANID10 , и с ним передаваться через bridge 1 в GRE туннель
interface gigabitethernet 1/0/3
switchport access vlan 10
bridge-group 2 tagged
exit
Настроить порт 4 в режиме access. Тегированный трафик не будет проходить через данный порт, для не тегированного трафика будет добавляться VLANID11 , и с ним передаваться через bridge 1в GRE туннель
interface gigabitethernet 1/0/4
switchport access vlan 11
bridge-group 2 tagged
exit
Создать GRE туннель 1, установить максимальный размер MTU 1458 байт (так как при передаче в GRE туннеле для пакетов добавляются заголовки Ethernet 14 байт , VLAN – 4 байта, IP- 20 байт, GRE – 4 байта), установть режим работы L2GRE – Ethernet, привязать к bridge интерфейсу 1, по которому будет передаваться клиентский трафик, source адрес GRE туннеля будет браться с bridge 2 интерфейса, адрес удаленного ESR/BRAS 192.168.109.1
tunnel gre 1
mtu 1458
mode ethernet
local interface bridge 1
remote address 192.168.109.1
enable
exit
tunnel gre 1.1
bridge-group 3
snmp init-trap
enable
exit
tunnel gre 2
mtu 1458
mode ethernet
bridge-group 2
local interface bridge 1
remote address 192.168.109.2
enable
exit
Включить ssh сервер, для возможности удаленного подключения к устройству
...
Описать правила приема трафика из зоны trusted на host ESR-10, позволяющее принимать любой трафик с IP адресов указанных в списке MNG.
security zone-pair trusted self
rule 10
action permit
match protocol any
match source-address MNG
match destination-address any
enable
exit
exit
security zone-pair GRE self
rule 10
action permit
match protocol any
match source-address MNG
match destination-address any
enable
exit
exit
Настройка интеграции с HotWiFi
...
- Заходим в Личный Кабинет
- Переходим в меню Настойки → Списки URL, создаем список URL "test_wifi".
Список должен содержать адрес портала http://192.168.107.213:8080/eltex_portal/ и URL для корректной работы рекламной площадки HotWiFi
Пример списка:
URL:
http://192.168.107.213:8080/eltex_portal/
http://connectivitycheck.gstatic.com/generate_204/
https://connectivitycheck.gstatic.com/generate_204/
Шаблоны:
^((https|http):\/\/)(.+\.)?abs\.twimg\.com
^((https|http):\/\/)(.+\.)?accounts\.google\.com
^((https|http):\/\/)(.+\.)?api\.instagram\.com
^((https|http):\/\/)(.+\.)?apple\.com
^((https|http):\/\/)(.+\.)?captive\.apple\.com
^((https|http):\/\/)(.+\.)?facebook\.com
^((https|http):\/\/)(.+\.)?facebook\.net
^((https|http):\/\/)(.+\.)?fbcdn\.net
^((https|http):\/\/)(.+\.)?fbstatic-a\.akamaihd\.net
^((https|http):\/\/)(.+\.)?googleapis\.com
^((https|http):\/\/)(.+\.)?googleusercontent\.com
^((https|http):\/\/)(.+\.)?hot-wifi\.ru
^((https|http):\/\/)(.+\.)?inkedin\.com
^((https|http):\/\/)(.+\.)?instagram\.c10r\.facebook\.com
^((https|http):\/\/)(.+\.)?instagram\\.com
^((https|http):\/\/)(.+\.)?licdn\.com
^((https|http):\/\/)(.+\.)?oauth\.vk\.com
^((https|http):\/\/)(.+\.)?odnoklassniki\.ru
^((https|http):\/\/)(.+\.)?ok\.ru
^((https|http):\/\/)(.+\.)?top-fwz1\.mail\.ru
^((https|http):\/\/)(.+\.)?twimg\.com
^((https|http):\/\/)(.+\.)?twitter\.com
^((https|http):\/\/)(.+\.)?userapi\.com
^((https|http):\/\/)(.+\.)?userapi\\.com
^((https|http):\/\/)(.+\.)?vk\.com
^((https|http):\/\/)(.+\.)?vk\.me
^((https|http):\/\/)(.+\.)?wifiworld\.me
^((https|http):\/\/)(.+\.)?www\.instagram\.com
^((https|http):\/\/)(.+\.)gosuslugi\.ru
^((https|http):\/\/)api\.instagram\.com
^((https|http):\/\/)cdn\.hot-wifi\.ru
^((https|http):\/\/)cp\.hot-wifi\.ru
^((https|http):\/\/)fbstatic-a\.akamaihd\.net
^((https|http):\/\/)instagram\.c10r\.facebook\.commail
^((https|http):\/\/)instagram\.com
^((https|http):\/\/)mc\.yandex\.ru
^((https|http):\/\/)platform\.linkedin\.com
^((https|http):\/\/)ssl\.gstatic\.com
^((https|http):\/\/)static\.licdn\.com
^((https|http):\/\/)www\.instagram\.com
^((https|http):\/\/)www\.linkedin\.com
^((https|http):\/\/)auth-pro\.wifi\.rt\.ru
Актуальный список можно получить по URL http://be.hot-wifi.ru/api/walledgarden/get, но для загрузки его нужно привести к нужному виду, как в примере. - Переходим в меню Сервисы и тарифы → Cервисы PCRF, создаем сервис servhot (любое имя)
Класс трафика: WELCOME (Имя должно совпадать с классом трафика в конфигурации ESR-1000)
Действие по умолчанию: redirect
URL по умолчанию : http://192.168.107.213:8080/eltex_portal/adv-redirect
Фильтр
Действие: permit
Имя фильтра: test_wifi - Переходим в меню Сервисы и тарифы → Тарифы, выбираем фильтр PCRF/BRAS, создаем тарифный план hotwifitp с сервисом servhot
- Переходим в Конструктор порталов
- Создаем портал, переходим в меню "Рекламные площадки", активируем настройку "Включить интеграцию"
- Выбираем рекламную площадку Hot WiFi, заполняем поля
Адрес: адрес в формате http://oauth.hot-wifi.ru, предоставляется сотрудниками Hot WiFi
ID клиента: идентификатор клиента, предоставляется сотрудниками Hot WiFi
Рекламный тарифный план BRAS: выбираем тарифный план созданный в п.4
Тарифный план BRAS после прохождения рекламы: любой тарифный план
Интеграция с HotWiFi работает только в схеме с BRAS. Если активирована рекламная площадка, используются тарифный планы из меню "Рекламные площадки", остальные тарифный планы будут игнорироваться.
Пример перенастройки ESR
Исходная конфигурация ESR (на примере ESR1 филиала Казань)
ip firewall sessions allow-unknown
hostname KAZN-ESR1
tech-support login enable
syslog max-files 3
syslog file-size 512
syslog console debug
syslog monitor none
object-group service telnet
port-range 23
exit
object-group service ssh
port-range 22
exit
object-group service dhcp_server
port-range 67
exit
object-group service dhcp_client
port-range 68
exit
object-group service ntp
port-range 123
exit
object-group service HTTP8080
port-range 8080
exit
object-group service snmp
port-range 161
exit
object-group service sunctun
port-range 1337
exit
object-group service bgp
port-range 179
exit
object-group network AP_GRE
ip prefix 10.203.14.112/28
exit
object-group network INTERNET
ip prefix 100.122.192.0/22
ip prefix 100.122.196.0/22
ip prefix 100.122.200.0/22
ip prefix 100.122.204.0/22
exit
object-group network MNG
ip prefix 10.204.144.0/23
ip prefix 100.122.192.0/22
ip prefix 100.122.196.0/22
ip prefix 100.122.200.0/22
ip prefix 100.122.204.0/22
exit
object-group network SoftWLC
ip address-range 10.62.18.18
exit
vlan 8
name "FTTX_MNG"
exit
vlan 9
name "Inter-BGP"
exit
vlan 301
name "SSID1"
exit
vlan 303
name "SSID2"
exit
vlan 305
name "SSID3"
exit
vlan 307
name "SSID4"
exit
vlan 1264
name "VRF-AP"
exit
vlan 1268
name "VRF-NAT"
exit
vlan 1266
name "VRF-Backbone"
exit
no spanning-tree
spanning-tree bpdu filtering
security zone trusted
exit
security zone untrusted
exit
security zone user
exit
security zone gre
exit
ip prefix-list AP_GRE
permit object-group AP_GRE
exit
ip prefix-list INTERNET
permit object-group INTERNET
exit
ip prefix-list MNG
permit object-group MNG
exit
route-map INPREF
rule 1
action set local-preference 150
action permit
exit
exit
route-map OUTPREFAP
rule 1
match ip address object-group AP_GRE
action set metric bgp 20
action permit
exit
exit
route-map OUTPREFMNG
rule 1
match ip address object-group MNG
action set metric bgp 20
action permit
exit
exit
route-map OUTPREFINTERNET
rule 1
match ip address object-group INTERNET
action set metric bgp 20
action permit
exit
exit
router bgp 65068
address-family ipv4
router-id 10.203.212.221
neighbor 10.203.212.205
remote-as 12389
prefix-list MNG out
route-map INPREF in
route-map OUTPREFMNG out
enable
exit
neighbor 10.203.212.213
remote-as 12389
prefix-list INTERNET out
route-map INPREF in
route-map OUTPREFINTERNET out
enable
exit
neighbor 10.203.212.222
remote-as 65068
next-hop-self
enable
exit
neighbor 10.203.212.197
remote-as 12389
prefix-list AP_GRE out
route-map INPREF in
route-map OUTPREFAP out
enable
exit
enable
exit
exit
snmp-server
snmp-server community private rw
snmp-server community public ro
snmp-server host 10.62.18.18
exit
snmp-server filter links status
bridge 1
description "AP 1264 GRE Tunnels Termination"
vlan 1264
security-zone gre
ip address 10.203.14.115/28
vrrp id 1
vrrp ip 10.203.14.113
vrrp ip 10.203.14.114
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp
enable
exit
bridge 3
description "Management AP"
vlan 8
unknown-unicast-forwarding disable
security-zone trusted
ip address 10.204.144.2/23
ip helper-address 10.62.18.23
ip helper-address 10.62.18.24
vrrp id 3
vrrp ip 10.204.144.1
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp
protected-ports
protected-ports exclude vlan
enable
exit
bridge 9
description "Inter-BGP"
vlan 9
security-zone untrusted
ip firewall disable
ip address 10.203.212.221/30
enable
exit
bridge 5
description "SSID1"
vlan 301
unknown-unicast-forwarding disable
security-zone user
ip address 100.122.192.2/22
ip helper-address 10.62.18.23
ip helper-address 10.62.18.24
vrrp id 10
vrrp ip 100.122.192.1
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp
protected-ports
protected-ports exclude vlan
enable
exit
bridge 6
description "SSID2"
vlan 303
unknown-unicast-forwarding disable
security-zone user
ip address 100.122.196.2/22
ip helper-address 10.62.18.23
ip helper-address 10.62.18.24
vrrp id 11
vrrp ip 100.122.196.1
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp
protected-ports
protected-ports exclude vlan
enable
exit
bridge 7
description "SSID3"
vlan 305
unknown-unicast-forwarding disable
security-zone user
ip address 100.122.200.2/22
ip helper-address 10.62.18.23
ip helper-address 10.62.18.24
vrrp id 12
vrrp ip 100.122.200.1
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp
protected-ports
protected-ports exclude vlan
enable
exit
bridge 8
description "SSID4"
vlan 307
unknown-unicast-forwarding disable
security-zone user
ip address 100.122.204.2/22
ip helper-address 10.62.18.23
ip helper-address 10.62.18.24
vrrp id 13
vrrp ip 100.122.204.1
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp
protected-ports
protected-ports exclude vlan
enable
exit
interface gigabitethernet 1/0/1
description "to esr2"
switchport forbidden default-vlan
switchport general allowed vlan add 8-9,301,303,305,307,1264,1266 tagged
spanning-tree disable
exit
interface tengigabitethernet 1/0/1
description "to KAZN-RGR1 xe-0/2/3"
spanning-tree disable
switchport forbidden default-vlan
exit
interface tengigabitethernet 1/0/1.1264
description "VRF AP GRE"
security-zone gre
ip address 10.203.212.198/30
exit
interface tengigabitethernet 1/0/1.1268
description "VRF NAT"
security-zone untrusted
ip address 10.203.212.214/30
exit
interface tengigabitethernet 1/0/1.1266
description "VRF Backbone"
security-zone trusted
ip address 10.203.212.206/30
exit
tunnel softgre 1
mode management
local address 10.203.14.113
default-profile
enable
exit
tunnel softgre 1.1
bridge-group 3
enable
exit
tunnel softgre 2
mode data
local address 10.203.14.114
default-profile
enable
exit
tunnel softgre 2.301
bridge-group 5
enable
exit
tunnel softgre 2.303
bridge-group 6
enable
exit
tunnel softgre 2.305
bridge-group 7
enable
exit
tunnel softgre 2.307
bridge-group 8
enable
exit
security zone-pair gre self
rule 1
action permit
match protocol gre
match source-address any
match destination-address any
enable
exit
rule 2
action permit
match protocol vrrp
match source-address any
match destination-address any
enable
exit
rule 3
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port sunctun
enable
exit
rule 4
action permit
match protocol icmp
match source-address any
match destination-address any
enable
exit
exit
security zone-pair trusted self
rule 1
action permit
match protocol vrrp
match source-address any
match destination-address any
enable
exit
rule 2
action permit
match protocol udp
match source-address any
match destination-address any
match source-port dhcp_server
match destination-port dhcp_server
enable
exit
rule 3
action permit
match protocol udp
match source-address any
match destination-address any
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
rule 4
action permit
match protocol icmp
match source-address any
match destination-address any
enable
exit
rule 10
action permit
match protocol any
match source-address SoftWLC
match destination-address any
enable
exit
exit
security zone-pair trusted trusted
rule 1
action permit
match protocol any
match source-address any
match destination-address any
enable
exit
exit
security zone-pair gre gre
rule 1
action permit
match protocol any
match source-address any
match destination-address any
enable
exit
exit
security zone-pair user untrusted
rule 1
action permit
match protocol any
match source-address any
match destination-address any
enable
exit
exit
security zone-pair user self
rule 1
action permit
match protocol icmp
match source-address any
match destination-address any
enable
exit
rule 2
action permit
match protocol udp
match source-address any
match destination-address any
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
exit
security zone-pair user trusted
rule 1
action permit
match protocol udp
match source-address any
match destination-address any
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
exit
security zone-pair trusted user
rule 1
action permit
match protocol udp
match source-address any
match destination-address any
match source-port dhcp_server
match destination-port dhcp_client
enable
exit
exit
security zone-pair trusted untrusted
rule 1
action permit
match protocol any
match source-address any
match destination-address any
enable
exit
exit
ip dhcp-relay
wireless-controller
peer-address 10.203.14.116
vrrp-group 1
enable
exit
ip telnet server
ip ssh server
clock timezone gmt +3
ntp enable
ntp server 10.62.18.18
exit
Целевая конфигурация ESR
ip firewall sessions allow-unknown
hostname KAZN-ESR1
tech-support login enable
syslog max-files 3
syslog file-size 512
syslog console debug
syslog monitor none
object-group service telnet
port-range 23
exit
object-group service ssh
port-range 22
exit
object-group service dhcp_server
port-range 67
exit
object-group service dhcp_client
port-range 68
exit
object-group service ntp
port-range 123
exit
object-group service HTTP8080
port-range 8080
exit
object-group service snmp
port-range 161
exit
object-group service sunctun
port-range 1337
exit
object-group service bgp
port-range 179
exit
object-group network AP_GRE
ip prefix 10.203.14.112/28
exit
object-group network INTERNET
ip prefix 100.122.192.0/22
ip prefix 100.122.196.0/22
ip prefix 100.122.200.0/22
ip prefix 100.122.204.0/22
exit
object-group network MNG
ip prefix 10.204.144.0/23
ip prefix 100.122.192.0/22
ip prefix 100.122.196.0/22
ip prefix 100.122.200.0/22
ip prefix 100.122.204.0/22
exit
object-group network SoftWLC
ip address-range 10.62.18.18
exit
object-group service redirect
port-range 3128
port-range 3129
exit
object-group network SoftWLC
ip address-range 10.62.18.20
exit
object-group network SoftWLC
ip address-range 10.62.18.22
exit
radius-server host 10.62.18.20
key ascii-text testing123
timeout 10
source-address 10.204.144.1
auth-port 31812
retransmit 5
dead-interval 10
exit
aaa radius-profile bras_radius_servers
radius-server host 10.62.18.20
exit
das-server SoftWLC
key ascii-text testing123
port 3799
exit
aaa das-profile bras_das_servers
das-server SoftWLC
exit
ip access-list extended INTERNET
rule 10
action permit
match protocol any
match source-address any
match destination-address any
enable
exit
exit
ip access-list extended unauthUSER
rule 1
action permit
match protocol udp
match source-address any
match destination-address any
match source-port 68
match destination-port 67
enable
exit
rule 2
action permit
match protocol udp
match source-address any
match destination-address any
match source-port any
match destination-port 53
enable
exit
exit
ip access-list extended WELCOME
rule 1
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port 443
enable
exit
rule 2
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port 8443
enable
exit
rule 3
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port 80
enable
exit
rule 4
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port 8080
enable
exit
exit
class-map class-internet
match access-group INTERNET
exit
class-map default_rule
match access-group unauthUSER
exit
subscriber-control filters-server-url http://10.62.18.20:7070/filters/file
subscriber-control
aaa das-profile SoftWLC
aaa sessions-radius-profile bras_radius_servers
aaa services-radius-profile bras_radius_servers
nas-ip-address 10.204.144.1
session mac-authentication
bypass-traffic-acl unauthUSER
default-service
class-map unauthUSER
filter-name remote gosuslugi
filter-action permit
default-action redirect http://10.62.18.22:8080/eltex_portal/
session-timeout 601
exit
enable
exit
vlan 8
name "FTTX_MNG"
exit
vlan 9
name "Inter-BGP"
exit
vlan 301
name "SSID1"
exit
vlan 303
name "SSID2"
exit
vlan 305
name "SSID3"
exit
vlan 307
name "SSID4"
exit
vlan 1264
name "VRF-AP"
exit
vlan 1268
name "VRF-NAT"
exit
vlan 1266
name "VRF-Backbone"
exit
no spanning-tree
spanning-tree bpdu filtering
security zone trusted
exit
security zone untrusted
exit
security zone user
exit
security zone gre
exit
ip prefix-list AP_GRE
permit object-group AP_GRE
exit
ip prefix-list INTERNET
permit object-group INTERNET
exit
ip prefix-list MNG
permit object-group MNG
exit
route-map INPREF
rule 1
action set local-preference 150
action permit
exit
exit
route-map OUTPREFAP
rule 1
match ip address object-group AP_GRE
action set metric bgp 20
action permit
exit
exit
route-map OUTPREFMNG
rule 1
match ip address object-group MNG
action set metric bgp 20
action permit
exit
exit
route-map OUTPREFINTERNET
rule 1
match ip address object-group INTERNET
action set metric bgp 20
action permit
exit
exit
router bgp 65068
address-family ipv4
router-id 10.203.212.221
neighbor 10.203.212.205
remote-as 12389
prefix-list MNG out
route-map INPREF in
route-map OUTPREFMNG out
enable
exit
neighbor 10.203.212.213
remote-as 12389
prefix-list INTERNET out
route-map INPREF in
route-map OUTPREFINTERNET out
enable
exit
neighbor 10.203.212.222
remote-as 65068
next-hop-self
enable
exit
neighbor 10.203.212.197
remote-as 12389
prefix-list AP_GRE out
route-map INPREF in
route-map OUTPREFAP out
enable
exit
enable
exit
exit
snmp-server
snmp-server community private rw
snmp-server community public ro
snmp-server host 10.62.18.18
exit
snmp-server filter links status
bridge 1
description "AP 1264 GRE Tunnels Termination"
vlan 1264
security-zone gre
ip address 10.203.14.115/28
vrrp id 1
vrrp ip 10.203.14.113
vrrp ip 10.203.14.114
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp
enable
exit
subscriber-control
vrrp-group 1
exit
bridge 3
description "Management AP"
vlan 8
unknown-unicast-forwarding disable
security-zone trusted
ip address 10.204.144.2/23
ip helper-address 10.62.18.23
ip helper-address 10.62.18.24
vrrp id 3
vrrp ip 10.204.144.1
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp
protected-ports
protected-ports exclude vlan
enable
exit
bridge 9
description "Inter-BGP"
vlan 9
security-zone untrusted
ip firewall disable
ip address 10.203.212.221/30
enable
exit
bridge 5
description "SSID1"
vlan 301
unknown-unicast-forwarding disable
security-zone user
ip address 100.122.192.2/22
ip helper-address 10.62.18.23
ip helper-address 10.62.18.24
vrrp id 10
vrrp ip 100.122.192.1
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp
protected-ports
protected-ports exclude vlan
enable
exit
bridge 6
description "SSID2"
vlan 303
unknown-unicast-forwarding disable
security-zone user
ip address 100.122.196.2/22
ip helper-address 10.62.18.23
ip helper-address 10.62.18.24
vrrp id 11
vrrp ip 100.122.196.1
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp
protected-ports
protected-ports exclude vlan
enable
exit
bridge 7
description "SSID3"
vlan 305
unknown-unicast-forwarding disable
security-zone user
ip address 100.122.200.2/22
ip helper-address 10.62.18.23
ip helper-address 10.62.18.24
vrrp id 12
vrrp ip 100.122.200.1
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp
protected-ports
protected-ports exclude vlan
enable
exit
bridge 8
description "SSID4"
vlan 307
unknown-unicast-forwarding disable
security-zone user
ip address 100.122.204.2/22
ip helper-address 10.62.18.23
ip helper-address 10.62.18.24
vrrp id 13
vrrp ip 100.122.204.1
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp
protected-ports
protected-ports exclude vlan
enable
exit
bridge 5
location SSID1[1]
exit
bridge 6
location SSID2
exit
bridge 7
location SSID3
exit
bridge 8
location SSID4
exit
object-group network MNG
ip prefix 100.122.208.0/24[2]
exit
object-group network INTERNET
ip prefix 100.122.208.0/24
exit
bridge 10
description "SSID5"
vlan 309
unknown-unicast-forwarding disable
security-zone user
ip address 100.122.208.2/24
ip helper-address 10.62.18.23
ip helper-address 10.62.18.24
vrrp id 14
vrrp ip 100.122.208.1
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp
protected-ports
protected-ports exclude vlan
enable
location SSID5
service-subscriber-control any
exit
interface gigabitethernet 1/0/1
description "to esr2"
switchport forbidden default-vlan
switchport general allowed vlan add 8-9,301,303,305,307,1264,1266 tagged
spanning-tree disable
exit
interface tengigabitethernet 1/0/1
description "to KAZN-RGR1 xe-0/2/3"
spanning-tree disable
switchport forbidden default-vlan
exit
interface tengigabitethernet 1/0/1.1264
description "VRF AP GRE"
security-zone gre
ip address 10.203.212.198/30
exit
interface tengigabitethernet 1/0/1.1268
description "VRF NAT"
security-zone untrusted
ip address 10.203.212.214/30
exit
interface tengigabitethernet 1/0/1.1266
description "VRF Backbone"
security-zone trusted
ip address 10.203.212.206/30
exit
tunnel softgre 1
mode management
local address 10.203.14.113
default-profile
enable
exit
tunnel softgre 1.1
bridge-group 3
enable
exit
tunnel softgre 2
mode data
local address 10.203.14.114
default-profile
enable
exit
tunnel softgre 2.301
bridge-group 5
enable
exit
tunnel softgre 2.303
bridge-group 6
enable
exit
tunnel softgre 2.305
bridge-group 7
enable
exit
tunnel softgre 2.307
bridge-group 8
enable
exit
security zone-pair gre self
rule 1
action permit
match protocol gre
match source-address any
match destination-address any
enable
exit
rule 2
action permit
match protocol vrrp
match source-address any
match destination-address any
enable
exit
rule 3
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port sunctun
enable
exit
rule 4
action permit
match protocol icmp
match source-address any
match destination-address any
enable
exit
exit
security zone-pair trusted self
rule 1
action permit
match protocol vrrp
match source-address any
match destination-address any
enable
exit
rule 2
action permit
match protocol udp
match source-address any
match destination-address any
match source-port dhcp_server
match destination-port dhcp_server
enable
exit
rule 3
action permit
match protocol udp
match source-address any
match destination-address any
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
rule 4
action permit
match protocol icmp
match source-address any
match destination-address any
enable
exit
rule 10
action permit
match protocol any
match source-address SoftWLC
match destination-address any
enable
exit
exit
security zone-pair trusted trusted
rule 1
action permit
match protocol any
match source-address any
match destination-address any
enable
exit
exit
security zone-pair gre gre
rule 1
action permit
match protocol any
match source-address any
match destination-address any
enable
exit
exit
security zone-pair user untrusted
rule 1
action permit
match protocol any
match source-address any
match destination-address any
enable
exit
exit
security zone-pair user self
rule 1
action permit
match protocol icmp
match source-address any
match destination-address any
enable
exit
rule 2
action permit
match protocol udp
match source-address any
match destination-address any
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
exit
security zone-pair user trusted
rule 1
action permit
match protocol udp
match source-address any
match destination-address any
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
exit
security zone-pair trusted user
rule 1
action permit
match protocol udp
match source-address any
match destination-address any
match source-port dhcp_server
match destination-port dhcp_client
enable
exit
exit
security zone-pair trusted untrusted
rule 1
action permit
match protocol any
match source-address any
match destination-address any
enable
exit
exit
ip dhcp-relay
wireless-controller
peer-address 10.203.14.116
vrrp-group 1
enable
exit
wireless-controller
nas-ip-address 10.204.144.1
data-tunnel configuration radius
aaa das-profile bras_das_servers
aaa radius-profile bras_radius_servers
exit
ip telnet server
ip ssh server
clock timezone gmt +3
ntp enable
ntp server 10.62.18.18
exit
Резервирование ESR/BRAS
Резервирование по протоколу VRRP
...