Eltex Documentation
Дерево страниц

Сравнение версий

Старая версия 7

changes.mady.by.user Сервисный центр Wi-Fi

Сохранено

по сравнению с

Новая версия 8

changes.mady.by.user Сервисный центр Wi-Fi

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Раскрыть
titleESR VRRP MASTER/BACKUP


Без форматирования
object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit
object-group network MGMT
  ip prefix 192.168.200.16/28
  ip prefix 10.255.252.0/23
exit
object-group network SoftWLC
  ip address-range 100.123.0.2
exit

no spanning-tree

security zone trusted
exit
security zone untrusted
exit
security zone gre
exit
security zone user
exit

vlan 3,10,11,2300-2301,2308
exit

ip dhcp-relay

ip telnet server
ip ssh server


...

Как видно из конфигурации выше настройки различаются только в части IP-адресов и приритетов VRRP.

Настроки роутинга - указываем маршрут по умолчанию и маршрут до подсети первичных адресов ТД:

Раскрыть
titleESR VRRP MASTER/BACKUP


Без форматирования
ip route 0.0.0.0/0 172.16.0.3
ip route 192.168.240.0/23 192.168.200.21


Настраиваем взаимодействие с радиус-сервером:

Раскрыть
titleESR VRRP MASTER


Без форматирования
radius-server host 100.123.0.2
  key ascii-text testing123
  timeout 2
  source-address 100.123.0.173
  auth-port 31812
  acct-port 31813
  retransmit 3
  dead-interval 10
exit
aaa radius-profile PCRF
  radius-server host 100.123.0.2
exit
das-server COA
  key ascii-text testing123
  port 3799
  clients object-group SoftWLC
exit



Раскрыть
titleESR VRRP BACKUP


Без форматирования
radius-server host 100.123.0.2
  key ascii-text testing123
  timeout 2
  source-address 100.123.0.175
  auth-port 31812
  acct-port 31813
  retransmit 3
  dead-interval 10
exit
aaa radius-profile PCRF
  radius-server host 100.123.0.2
exit
das-server COA
  key ascii-text testing123
  port 3799
  clients object-group SoftWLC
exit


Настраиваем функционал wireless-controller:

Раскрыть
titleESR VRRP MASTER


Без форматирования
tunnel softgre 1
  description "mgmt"
  mode management
  local address 192.168.200.17
  default-profile
  enable
exit
tunnel softgre 1.1
  bridge-group 3
  enable
exit
tunnel softgre 2
  description "data"
  mode data
  local address 192.168.200.18
  default-profile
  enable
exit

wireless-controller
  peer-address 100.123.0.175
  nas-ip-address 100.123.0.173
  vrrp-group 1
  data-tunnel configuration radius
  aaa das-profile COA
  aaa radius-profile PCRF
  enable
exit



Раскрыть
titleESR VRRP BACKUP


Без форматирования
tunnel softgre 1
  description "mgmt"
  mode management
  local address 192.168.200.17
  default-profile
  enable
exit
tunnel softgre 1.1
  bridge-group 3
  enable
exit
tunnel softgre 2
  description "data"
  mode data
  local address 192.168.200.18
  default-profile
  enable
exit

wireless-controller
  peer-address 100.123.0.173
  nas-ip-address 100.123.0.175
  vrrp-group 1
  data-tunnel configuration radius
  aaa das-profile COA
  aaa radius-profile PCRF
  enable
exit


Обратим внимание в настройках wireless-controller на параметр "vrrp-group 1". Таким образом роутер находящийся в состоянии VRRP master будет передавать информацию о поднятых туннелях для ТД соседу, указанному в настройке "peer-address", а роутер находящийся в состоянии VRRP backup будет формировать туннели для ТД использую полученную информацию.

Настроим файрвол:

Раскрыть
titleESR VRRP MASTER/BACKUP


Без форматирования
security zone-pair gre self
  rule 1
    action permit
    match protocol gre
    enable
  exit
  rule 2
    action permit
    match protocol icmp
    enable
  exit
  rule 3
    action permit
    match protocol vrrp
    enable
  exit
exit

security zone-pair trusted self
  rule 1
    action permit
    match source-address MGMT
    enable
  exit
  rule 2
    action permit
    match protocol vrrp
    enable
  exit
exit

security zone-pair trusted trusted 
  rule 1
    action permit
    match source-address MGMT
    enable
  exit
exit

security zone-pair trusted user
  rule 1
    action permit
    enable
  exit
exit

security zone-pair trusted gre
  rule 1
    action permit
    enable
  exit
exit

security zone-pair user self
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 2
    action permit
    match protocol vrrp
    enable
  exit
exit

security zone-pair user trusted
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
exit

security zone-pair user untrusted
  rule 1
    action permit
    enable
  exit
exit

security zone-pair untrusted self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
exit


Обратим внимание, что для всех зон безопасности в направлении self разрешается прохождение VRRP трафика.