Eltex Documentation
Дерево страниц

Сравнение версий

Старая версия 1

changes.mady.by.user Сервисный центр Wi-Fi

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Сервисный центр Wi-Fi

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Предполагается, что SoftWLC уже настроена для подключения ТД OTT и работе с BRAS (настроены все необходимые сервисы и тарифы, включено взаимодействие) и поэтому описание не затрагивает их настройку.

Для построение тунеля туннеля GRE over IPsec используется тот же ESR, на который строят тунели туннели ТД OTT. Его донастройка не требуется.

Схема подключения предполагает, что будет использоваться локальный выпуск клиентов в сеть Интернет в месте подключения ESR-10, в ядро будет строиться только GRE over IPsec тунель туннель управления, через который будет осуществляться управление ESR-10 и редирект клиентов на портал для авторизации.

...

1. ESR-10 подключается к сети Интернет через роутер клиента. ТД подключаються подключаются к ESR10 через коммутатор, используя отдельный влан для  SSID, к которому подлючаются подключаются клиенты, который терминируется через саб-интерфейс на аплинке ESR-10. ESR-10, выпускает клиентов в сеть Интернет, используя  NAT.

...

Предварительная настройка

Предполагается два варинта варианта подключения ESR-10 в режиме OTT: 

...

2) согласование конфигурации с клиентом, создание привязки инициализации (с указанием индивидуальнйо индивидуальной конфигурации OTT) по MAC-адресу ESR-10, который будет установлен у клиента, вполнение выполнение необходимых настроек в SoftWLC (добавление L2 подсетей, создание тарифа в случае необходимости) - в этом случе случае ESR-10 сразу после установки получит нужную конфигурацию и будет готов к работе.

...

Для успешного подключения и инициализации по дефолтному правилу надо создать для ESR дефолтную конфигурацию в разделе "OTT индивидульная индивидуальная конф.", создать правило инициализации, в дефолтной привязке указать конфигурацию ESR-10 для подключения по дефолтному правилу инициализации.

...

4. Потом в "Менеджере правил инициализации ТД" переходим в "Правила" и нажимаем кнопку "Добавить":

5. В открывшеся открывшемся окне:

Выбираем:

 1) "Тип устройства" - "ESR-10";

...

 10) "Сервис BRAS" - отмечаем галочкой (ESR10 в режиме OTT предполагает работу только с локальным выпуском трафика клиентов, в сеть провайдера, у которого подключается OTT устройтвоустройство).

И нажимаем "Принять".

6. В "Менеджере правил инициализации ТД" переходим в "Привязки" и выбираем дефолтную привязку OTT (предполагается, что она уже была настроена ранее, при настройке подключений ТД OTT):

...

6) "Возможность прохождения IP потоков" - выбираем "Разрешить IP поток в оба направления".

Нажимем Нажмем "Сохранить".

2. Переходим в "Сервисы и тарифы" → "Тарифы", выбираем фильтр "PCRF/BRAS" и нажимаем "Добавить":

...

В этих случаях в логе задачи появиться сообщение "Notify PCRF about IP changed for MAC-based subnets".

В приведенно приведенном примере потребуется создание двух подсетей L2 - для SSID1 и SSID2.

...

4) "Location" - указываем location gi1/0/1.701 (саб-интерфейс, через который прийдет придет трафик от SSID1);

5) "Service домен" - выбираем сервисный домен SSID;

...

2. Откроем "Wireless" → "Менедже Менеджер правил инициализации ТД" → "Привязки" и найдём по привязку:

...

4. В открывшемся окне нажимаем на стрелку справа от "OTT индивидуальная конф." и в открывшемся окне выбираем сответствующую соответствующую этому ESR-10 конфигурацию:

...

5. Встаем на ESR-10 нажимаем его правой кнопкой маши мыши и выбираем "Управление устройством" → "Перезагрузить устройство".

...

В течении некоторого времени устройство перезагрузитьсяперезагрузится, прийдет придет повторно на SA и получит новую конфигурацию.

...

1. Создаем правило инициализации для ESR-10 в режиме OTT. Открываем "Wireless" → "Менеджер правил инициализации ТД" → "ПравиклаПравила" и нажимаем кнопку "Добавить":

...

2) "Ключ" - MAC-адрес ESR-10;

3) "Имя правила" - Выбиораем Выбираем созданное ранее правило инициализации;

4) "Домен узла" - указывемуказываем, в какой домен инициализировать устройство;

...

После включения ESR-10 сразу будет инициализирован в нужный домен и готов к работе.


Приложения

Конфигурирование OTT

...

индивидуальной конфигурации, отдаваемой сервис-активатором

Общее описание

Конфигурация, получаемая ESR-10 от сервис-активатора (далее SA) состоит из двух частей - в первой содержаться параметры соединения IPsec, update-timer и wait-timer, пароль администратора (admin) в формате JSON, во второй чаcти - CLi конфигурация в текстовом формате в виде набора CLi команд. Все параметры передаются в одном файле.

В приложенном  файле можно посмотерть посмотреть дамп обмена данными между ESR-10 и SA: Конфигурирование OTT индивидульной индивидуальной конфигурации, отдаваемой сервис-активатором

Если CLI часть ответа SA прийдёт придёт пустой - это считается ошибкой, такая конфигурация применяться не будет, на SA будет передан код ошибки, после истечения wait-timer ESR-10 обратится на SA повторно.

...

Конфигурация, которую ESR-10 в части CLi конфигурации от SA создается во вкладке "OTT индивидульная индивидуальная конф." менеджера инициализации ТД. Части конфигурации, описывающие uplink, IPsec, GRE должны быть описаны строго определённым образом и их изменение недопустимо, т.к. приведет к неработоспособности конфигурации после применения (в этом случае через wait-timer ESR-10 откатится к factory-config и отправит сообщение об ошибке на SA).

Установкой OTT соединения является наличие 43 опции 15 подопции при получении адреса интерфейсом (это всегда будет bridge 1) управления. Если за время wait-timer, адрес с такой опцией не был получен - попытка установки соединения считается неуспешной. Произойдет возврат конфигурации на factory-config, на сервис-актватор активатор будет передано сообщение об ошибке. Через wait-timer будет произведено повторное обращение на сервис-активатор. 

...

Рекомендуется для терминации клиентов использовать бридж и включать в него саб-интерфейсы или физические интерфейсы. Если брас используется на физическом интерфейсе, либо саб-интерфейсе - то это потребует настройки двух подчетей подсетей L2 для каждого такого интерфейса (в одной будет указан location, настроенный на интерфейс; во второй в качестве location будет указан интерфейс, в формате gi1/0/2 или gi1/0/2.100).

Описание default конфигурации в OTT

...

индивидуальная конфигурация

Для дефолтного правила инициализации создадим конфигурацию default, в которой опишем минимально необходимую конфигурацию для поднятия IPsec, получения адреса управления и отправки трапа присутствия в систему.  Название конфигурации может быть другим. С этой конфигурацией ESR-10 появится в дефолтном домене, им можно будет управлять с помощью EMS, но работа клиентов на этой конфигурации невозможна. Она будет использоваться только для ситуации, когда нам неизвестно, с каким MAC адресом ESR10 будет установлен у клиента. Потом ESR-10 должен быть перенесен в другой домен, для него будет создана индивидуальная привязка, в которой можно быдет будет выбрать другую индивидульную индивидуальную конфигурацию. Либо создать индивидуальную привязку заранее и указать в ней необходимую конфигурацию для клиента.

...

snmp-server enable traps
snmp-server enable traps links
snmp-server enable traps links status
snmp-server enable traps config
snmp-server enable traps config commit
snmp-server enable traps config confirm
snmp-server enable traps environment
snmp-server enable traps environment memory-flash-critical-low
snmp-server enable traps environment memory-flash-low
snmp-server enable traps environment memory-ram-critical-low
snmp-server enable traps environment memory-ram-low
snmp-server enable traps environment cpu-load
snmp-server enable traps environment cpu-critical-temp
snmp-server enable traps environment cpu-overheat-temp
snmp-server enable traps environment cpu-supercooling-temp
snmp-server enable traps file-operations
snmp-server enable traps file-operations successful
snmp-server enable traps file-operations failed
snmp-server enable traps file-operations canceled
snmp-server enable traps interfaces
snmp-server enable traps interfaces rx-utilization-high
snmp-server enable traps interfaces tx-utilization-high
snmp-server enable traps interfaces number-high
snmp-server enable traps screen
snmp-server enable traps screen dest-limit
snmp-server enable traps screen source-limit
snmp-server enable traps screen icmp-threshold
snmp-server enable traps screen udp-threshold
snmp-server enable traps screen syn-flood
snmp-server enable traps screen land
snmp-server enable traps screen winnuke
snmp-server enable traps screen icmp-frag
snmp-server enable traps screen udp-frag
snmp-server enable traps screen icmp-large
snmp-server enable traps screen syn-frag
snmp-server enable traps screen unknown-proto
snmp-server enable traps screen ip-frag
snmp-server enable traps screen port-scan
snmp-server enable traps screen ip-sweep
snmp-server enable traps screen syn-fin
snmp-server enable traps screen fin-no-ack
snmp-server enable traps screen no-flag
snmp-server enable traps screen spoofing
snmp-server enable traps screen reserved
snmp-server enable traps screen quench
snmp-server enable traps screen echo-request
snmp-server enable traps screen time-exceeded
snmp-server enable traps screen unreachable
snmp-server enable traps screen tcp-all-flags
snmp-server enable traps entity
snmp-server enable traps entity config-change
snmp-server enable traps entity-sensor
snmp-server enable traps entity-sensor threshold
snmp-server enable traps envmon
snmp-server enable traps envmon shutdown
snmp-server enable traps envmon temperature
snmp-server enable traps flash
snmp-server enable traps flash insertion
snmp-server enable traps flash removal
snmp-server enable traps snmp
snmp-server enable traps snmp authentication
snmp-server enable traps snmp coldstart
snmp-server enable traps snmp linkdown
snmp-server enable traps snmp linkup
snmp-server enable traps syslog

bridge 1 #bridge 1 всегда будет использоваться для управления, настройки всегда должны быть таким
  security-zone trusted
  ip address dhcp
  ip dhcp client ignore router
  enable
exit

interface gigabitethernet 1/0/1 #Интерфейс gi1/0/1 всегда будет использоваться как аплинк, настройки всегда должны быть такими
  description "UPLink"
  ip address dhcp
  security-zone untrusted
exit
interface gigabitethernet 1/0/2
  shutdown
exit
interface gigabitethernet 1/0/3
  shutdown
exit
interface gigabitethernet 1/0/4
  shutdown
exit
interface gigabitethernet 1/0/5
  shutdown
exit
interface gigabitethernet 1/0/6
  shutdown
exit
interface loopback 1
exit
tunnel gre 1 #Номер GRE тунеля зарезервирован туннеля зарезервирован - изменять нельзя
  mtu 1356 #не указываем - получим от SA (ipsec gre-mtu-offset)
  keepalive retries 3 #не указыаем указываем - получим от SA (ipsec gre-ping-counter)
  keepalive dst-address 10.2.0.1 #не указываем - получим по DHCP в 43 опции 15 подопции
  keepalive dhcp dependent-interface bridge 1
  keepalive dhcp dependent-interface gi1/0/1
  keepalive enable #не указыаем указываем - GRE keepalive будет включен автоматически. при получении по DHCP в 43 опции 15 подопции
  mode ethernet
  local address xauth ipsec_vpn #адрес будет получен по mode-cfg при установке IPsec соединения, имя IPsec VPN зарезервировано и его изменять нельзя
  remote address xauth ipsec_vpn management-ip #адрес будет получен по mode-cfg при установке IPsec соединения, имя IPsec VPN зарезервировано и его изменять нельзя
  enable
exit
tunnel gre 1.1 #Номер sub-GRE тунеля зарезервирован туннеля зарезервирован - изменять нельзя
  bridge-group 1
  mtu 1352 #не указываем - получим от SA (ipsec gre-mtu-offset)
  snmp init-trap
  enable
exit

security zone-pair untrusted self
  rule 1
    action permit
    match protocol icmp
    enable
  exit
exit
security zone-pair trusted self
  rule 1
    action permit
    match source-address SoftWLC
    enable
  exit
exit

access profile acc_p #имя зарезервировано, изменять нельзя
  user a8:f9:4b:ab:81:20 #не указываем - получим от SA (ipsec xauth-user)
    password ascii-text encrypted 9FB30B49E43D47FAC32E0994C89C75B81313F0F038CC02FC # не указываем - получим от SA (ipsec xauth-password)
  exit
exit

security ike proposal ike_prop #имя зарезервировано, изменять нельзя
  authentication algorithm md5 #не указываем - получим от SA (ipsec auth-alg)
  encryption algorithm aes128 #не указываем - получим от SA (ipsec encrypt-alg)
  dh-group 1 #не указываем - получим от SA (ipsec dh-group)
exit

security ike policy ike_pol #имя зарезервировано, изменять нельзя
  lifetime seconds 86400 #не указываем - получим от SA (ipsec lifetime)
  pre-shared-key ascii-text testing123 #не указываем - получим от SA (ipsec password)
  authentication method xauth-psk-key
  authentication mode client
  proposal ike_prop
exit

security ike gateway ike_gw #имя зарезервировано, изменять нельзя
  ike-policy ike_pol
  assign-interface loopback 1
  local interface gigabitethernet 1/0/1
  remote address 100.64.0.1 #не указываем - получим от SA (ipsec remote-gateway)
  remote network dynamic client
  mode policy-based
  dead-peer-detection action restart
  dead-peer-detection interval 10
  dead-peer-detection timeout 60 #не указываем - получим от SA (ipsec dpd-delay)
  xauth access-profile acc_p client a8:f9:4b:ab:81:20 #не указываем - будет сформировано на основе полученного от SA xauth-user
exit

security ipsec proposal ipsec_prop #имя зарезервировано, изменять нельзя
  authentication algorithm md5 #не указываем - получим от SA (ipsec sa-auth-alg)
  encryption algorithm aes128 #не указываем - получим от SA (ipsec sa-encrypt-alg)
exit

security ipsec policy ipsec_pol #имя зарезервировано, изменять нельзя
  lifetime seconds 3600 #не указываем - получим от SA (ipsec sa-lifetime)
  proposal ipsec_prop
exit

...

Дефолтная часть конфигурации, используемой для уставноки уставновки OTT остается неизменной. В нее добавляется интерфейс (бридж) для терминирования клиентов, на котором работает брас. Тегированный трафик от SSID принимается через саб-интерфейсы, который собираются в клиентский бридж - для этого можно использовать любый интерфейсы, в т.ч. и аплинк. Нетегированный трафик от SSID можно принимать в порты gi1/0/2-6 (использовать аплинк gi1/0/1 для этого нельзя) в mode access использую для тегирования трафика тем же влан, что и в настройках бриджа. Клиенты выпускаются в сеть Интернет используя NAT через текущий адрес аплинка.

...

Конфигурация, когда аплинк приходит через gi1/0/1, а ТД можно подключать через интерфейсы gi1/0/2 - тегированный трафик с тегом 701; gi1/0/3 - нетегированный трафкитрафик, который будет протегирован вланом 701.

...

код ошибкиописание
0
Ошибка при применении конфигурации, полученной от SA
3
Некорректные параметры IPsec, в случае, если какие-нибудь из параметров IPsec в ответе SA пришли пустые
16
За время wait-timer, при получении адреса на интерфейс управления не получена 43 опция 15 подопция, содержащая адрес для GRE keepalive dst-address
17
Пустые данные в резделеразделе "OTT индивидуальная конфигурация" ответа, полученного от SA

...