...
| Примечание |
|---|
|
В случае, если не используется настройка "vrrp preempt disable" необходимо в конфигуарциях VRRP на интерфейсах задать "vrrp preempt delay <время в секундах>" не менее 180 секунд. Это исключит немедленный захват мастерства роутером, имеющим более высокий приоритет после загрузки. В случае, если это не сделать, роутер, захвативший VRRP мастерство после загрузки не успеет синхронизировать состояние тунелей ТД и они будут подниматься заново, по мере срабатывания на ТД механизма gre keepalive. |
Более подробное описание параметров настроек VRRP можно посмотреть: Управление резервированием.
Настраиваем bridge 10:
Обратим внимание на следующие настройки:
- vlan 100 - для корректной работы протокола требуется L2 связность между соответствующими интерфейсами роутеров, для bridge 10 будет использоваться vlan 100.
- к настройке protected-ports local добавиться настройка protected-ports exclude vlan, которая исключает vlan бриджа из изоляции для возможности рассылки VRRP анонсов.
- ports vrrp filtering enable - данная настройка запрещает рассылку VRRP анонсов в интерфейсы бриджа, т.к. клиентам они не нужны.
- ports vrrp filtering exclude vlan - данная настройка исключает vlan бриджа из запрещенных к рассылке VRRP анонсов, т.к. соседний роутер должен их получать.
Настраиваем интерфейс gi1/0/1, он будет настроен одинаково на обоих роутерах:
Настройка ESR
Настройка ESR будет рассматриваться на примере на основе схемы, приведенной на рис. 3. В конфигурации wireless-controller будет использоваться динамический профиль конфигурирования туннелей SoftGRE. Не забываем, что дял доступа к функционала wirless-controller требуется лицензия (подробнее можно прочитать в статье Настройка ESR при подключении ТД через L3 сеть доступа (схема WiFi L3)).
Конфигурируем необходимые первоначальные настройки, они будут одинаковы для обоих ESR:
| Раскрыть |
|---|
| title | ESR VRRP MASTER/BACKUP |
|---|
|
| Без форматирования |
|---|
object-group service dhcp_server
port-range 67
exit
object-group service dhcp_client
port-range 68
exit
object-group network MGMT
ip prefix 192.168.200.16/28
ip prefix 10.255.252.0/23
exit
no spanning-tree
security zone trusted
exit
security zone untrusted
exit
security zone gre
exit
security zone user
exit
vlan 3,10,11,2300-2301,2308
exit
ip dhcp-relay
ip telnet server
ip ssh server |
|
Настраиваем интерфейс port-channel, назначаем ему необходимые vlan и включаем в него физический интерфейсы, данная конфигурация так же будет одинакова на обоих ESR:
| Раскрыть |
|---|
| title | ESR VRRP MASTER/BACKUP |
|---|
|
| Без форматирования |
|---|
interface port-channel 1
mode switchport
switchport forbidden default-vlan
switchport general acceptable-frame-type tagged-only
switchport general allowed vlan add 3,10-11,2300-2301,2308 tagged
exit
interface gigabitethernet 1/0/1
mode switchport
channel-group 1 mode auto
exit
interface gigabitethernet 1/0/2
mode switchport
channel-group 1 mode auto
exit |
|
Далее настроим интерфейсы типа bridge для терминации вланов и работы VRRP:
| Раскрыть |
|---|
|
| Без форматирования |
|---|
bridge 1
vlan 2308
security-zone gre
ip address 192.168.200.19/28
vrrp id 1
vrrp ip 192.168.200.17/32
vrrp ip 192.168.200.18/32 secondary
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp
enable
exit
bridge 3
vlan 3
unknown-unicast-forwarding disable
security-zone trusted
ip address 10.255.252.2/23
ip helper-address 100.123.0.2
vrrp id 3
vrrp ip 10.255.252.1/32
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp
ip tcp adjust-mss 1400
protected-ports local
protected-ports exclude vlan
ports vrrp filtering enable
ports vrrp filtering exclude vlan
enable
exit
bridge 4
vlan 2300
security-zone trusted
ip address 100.123.0.173/24
vrrp id 23
vrrp ip 100.123.0.175/32
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp
ip tcp adjust-mss 1400
enable
exit
bridge 5
vlan 2301
security-zone untrusted
ip address 172.16.0.2/28
vrrp id 5
vrrp ip 172.16.0.4/32
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp
ip tcp adjust-mss 1400
enable
exit
bridge 10
vlan 10
unknown-unicast-forwarding disable
security-zone user
ip firewall disable
ip address 198.18.148.2/22
vrrp id 10
vrrp ip 198.18.148.1/32
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp
ip tcp adjust-mss 1400
location data10
protected-ports radius
protected-ports exclude vlan
ports vrrp filtering enable
ports vrrp filtering exclude vlan
enable
exit
bridge 11
vlan 11
unknown-unicast-forwarding disable
security-zone user
ip firewall disable
ip address 198.18.152.2/22
ip helper-address 100.123.0.2
vrrp id 11
vrrp ip 198.18.152.1/32
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp
ip tcp adjust-mss 1400
location data11
protected-ports radius
protected-ports exclude vlan
ports vrrp filtering enable
ports vrrp filtering exclude vlan
enable
exit |
|
| Раскрыть |
|---|
|
| Без форматирования |
|---|
bridge 1
vlan 2308
security-zone gre
ip address 192.168.200.20/28
vrrp id 1
vrrp ip 192.168.200.17/32
vrrp ip 192.168.200.18/32 secondary
vrrp priority 100
vrrp group 1
vrrp preempt disable
vrrp
enable
exit
bridge 3
vlan 3
unknown-unicast-forwarding disable
security-zone trusted
ip address 10.255.252.3/23
ip helper-address 100.123.0.2
vrrp id 3
vrrp ip 10.255.252.1/32
vrrp priority 100
vrrp group 1
vrrp preempt disable
vrrp
ip tcp adjust-mss 1400
protected-ports local
protected-ports exclude vlan
ports vrrp filtering enable
ports vrrp filtering exclude vlan
enable
exit
bridge 4
vlan 2300
security-zone trusted
ip address 100.123.0.175/24
vrrp id 23
vrrp ip 100.123.0.174/32
vrrp priority 100
vrrp group 1
vrrp preempt disable
vrrp
ip tcp adjust-mss 1400
enable
exit
bridge 5
vlan 2301
security-zone untrusted
ip address 172.16.0.3/28
vrrp id 5
vrrp ip 172.16.0.4/32
vrrp priority 100
vrrp group 1
vrrp preempt disable
vrrp
ip tcp adjust-mss 1400
enable
exit
bridge 10
vlan 10
unknown-unicast-forwarding disable
security-zone user
ip firewall disable
ip address 198.18.148.3/22
vrrp id 10
vrrp ip 198.18.148.1/32
vrrp priority 100
vrrp group 1
vrrp preempt disable
vrrp
ip tcp adjust-mss 1400
location data10
protected-ports radius
protected-ports exclude vlan
ports vrrp filtering enable
ports vrrp filtering exclude vlan
enable
exit
bridge 11
vlan 11
unknown-unicast-forwarding disable
security-zone user
ip firewall disable
ip address 198.18.152.3/22
ip helper-address 100.123.0.2
vrrp id 11
vrrp ip 198.18.152.1/32
vrrp priority 100
vrrp group 1
vrrp preempt disable
vrrp
ip tcp adjust-mss 1400
location data11
protected-ports radius
protected-ports exclude vlan
ports vrrp filtering enable
ports vrrp filtering exclude vlan
enable
exit |
|
Как видно из конфигурации выше настройки различаются только в части IP-адресов и приритетов VRRP.