...
Раскрыть |
---|
title | ESR VRRP MASTER/BACKUP |
---|
|
Без форматирования |
---|
object-group service dhcp_server
port-range 67
exit
object-group service dhcp_client
port-range 68
exit
object-group network MGMT
ip prefix 192.168.200.16/28
ip prefix 10.255.252.0/23
exit
object-group network SoftWLC
ip address-range 100.123.0.2
exit
no spanning-tree
security zone trusted
exit
security zone untrusted
exit
security zone gre
exit
security zone user
exit
vlan 3,10,11,2300-2301,2308
exit
ip dhcp-relay
ip telnet server
ip ssh server |
|
...
Как видно из конфигурации выше настройки различаются только в части IP-адресов и приритетов VRRP.
Настроки роутинга - указываем маршрут по умолчанию и маршрут до подсети первичных адресов ТД:
Раскрыть |
---|
title | ESR VRRP MASTER/BACKUP |
---|
|
Без форматирования |
---|
ip route 0.0.0.0/0 172.16.0.3
ip route 192.168.240.0/23 192.168.200.21 |
|
Настраиваем взаимодействие с радиус-сервером:
Раскрыть |
---|
|
Без форматирования |
---|
radius-server host 100.123.0.2
key ascii-text testing123
timeout 2
source-address 100.123.0.173
auth-port 31812
acct-port 31813
retransmit 3
dead-interval 10
exit
aaa radius-profile PCRF
radius-server host 100.123.0.2
exit
das-server COA
key ascii-text testing123
port 3799
clients object-group SoftWLC
exit |
|
Раскрыть |
---|
|
Без форматирования |
---|
radius-server host 100.123.0.2
key ascii-text testing123
timeout 2
source-address 100.123.0.175
auth-port 31812
acct-port 31813
retransmit 3
dead-interval 10
exit
aaa radius-profile PCRF
radius-server host 100.123.0.2
exit
das-server COA
key ascii-text testing123
port 3799
clients object-group SoftWLC
exit |
|
Настраиваем функционал wireless-controller:
Раскрыть |
---|
|
Без форматирования |
---|
tunnel softgre 1
description "mgmt"
mode management
local address 192.168.200.17
default-profile
enable
exit
tunnel softgre 1.1
bridge-group 3
enable
exit
tunnel softgre 2
description "data"
mode data
local address 192.168.200.18
default-profile
enable
exit
wireless-controller
peer-address 100.123.0.175
nas-ip-address 100.123.0.173
vrrp-group 1
data-tunnel configuration radius
aaa das-profile COA
aaa radius-profile PCRF
enable
exit |
|
Раскрыть |
---|
|
Без форматирования |
---|
tunnel softgre 1
description "mgmt"
mode management
local address 192.168.200.17
default-profile
enable
exit
tunnel softgre 1.1
bridge-group 3
enable
exit
tunnel softgre 2
description "data"
mode data
local address 192.168.200.18
default-profile
enable
exit
wireless-controller
peer-address 100.123.0.173
nas-ip-address 100.123.0.175
vrrp-group 1
data-tunnel configuration radius
aaa das-profile COA
aaa radius-profile PCRF
enable
exit |
|
Обратим внимание в настройках wireless-controller на параметр "vrrp-group 1". Таким образом роутер находящийся в состоянии VRRP master будет передавать информацию о поднятых туннелях для ТД соседу, указанному в настройке "peer-address", а роутер находящийся в состоянии VRRP backup будет формировать туннели для ТД использую полученную информацию.
Настроим файрвол:
Раскрыть |
---|
title | ESR VRRP MASTER/BACKUP |
---|
|
Без форматирования |
---|
security zone-pair gre self
rule 1
action permit
match protocol gre
enable
exit
rule 2
action permit
match protocol icmp
enable
exit
rule 3
action permit
match protocol vrrp
enable
exit
exit
security zone-pair trusted self
rule 1
action permit
match source-address MGMT
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
exit
security zone-pair trusted trusted
rule 1
action permit
match source-address MGMT
enable
exit
exit
security zone-pair trusted user
rule 1
action permit
enable
exit
exit
security zone-pair trusted gre
rule 1
action permit
enable
exit
exit
security zone-pair user self
rule 1
action permit
match protocol udp
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
exit
security zone-pair user trusted
rule 1
action permit
match protocol udp
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
exit
security zone-pair user untrusted
rule 1
action permit
enable
exit
exit
security zone-pair untrusted self
rule 1
action permit
match protocol vrrp
enable
exit
exit |
|
Обратим внимание, что для всех зон безопасности в направлении self разрешается прохождение VRRP трафика.