Дерево страниц

Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.
Комментарий: Оксененко С. Поправил пример для команды "show ip nat translations failover", убрал из раздела описание резервирования Dual Homing

Оглавление
maxLevel4

ip firewall failover

Данной командой включается резервирование сессий Firewall.

Использование отрицательной формы команды (no) выключает резервирование сессий Firewall.

Синтаксис
[no] ip firewall failover
Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
Блок кода
esr(config)# ip firewall failover

ip firewall failover source-address

Данной командой устанавливается IP-адрес сетевого интерфейса, с которого будут отправляться сообщения при работе Firewall в режиме резервирования сессий.

Использование отрицательной формы команды (no) удаляет IP-адрес исходящего интерфейса.

Синтаксис
ip firewall failover source-address <ADDR>
no ip firewall failover source-address
Параметры

<ADDR> – IP-адрес сетевого интерфейса, с которого будут отправляться сообщения, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
Блок кода
esr(config)# ip firewall failover source-address 192.168.1.1

ip firewall failover destination-address

Данной командой устанавливается IP-адрес соседа при работе резервирования сессий Firewall в unicast-режиме.

Использование отрицательной формы команды (no) удаляет IP-адрес соседа.

Синтаксис
ip firewall failover destination-address <ADDR>
no ip firewall failover destination-address
Параметры

<ADDR> – IP-адрес соседа, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
Блок кода
esr(config)# ip firewall failover destination-address 192.168.1.2

ip firewall failover port

Данной командой устанавливается номер UDP-порта службы резервирования сессий Firewall, через который происходит обмен информацией при работе в unicast-режиме.

Использование отрицательной формы команды (no) удаляет номер порта службы резервирования сессий Firewall.

Синтаксис
ip firewall failover port <PORT>
no ip firewall failover port
Параметры

<PORT> – номер порта службы резервирования сессий Firewall, указывается в диапазоне [1..65535].

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
Блок кода
esr(config)# ip firewall failover port 3333

ip firewall failover sync-type

Данной командой определяется режим обмена информацией между основным и резервным маршрутизаторами.

Использование отрицательной формы команды (no) удаляет режим работы резервирования Firewall.

Синтаксис
ip firewall failover sync-type <MODE>
no ip firewall failover sync-type
Параметры

<MODE> – режим обмена информацией:

  • unicast – режим unicast;
  • multicast – режим multicast.
Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
Блок кода
esr(config)# ip firewall failover sync-type multicast

ip firewall failover multicast-address

Данной командой устанавливается многоадресный IP-адрес, который будет использоваться для обмена информации при работе резервирования сессий Firewall в multicast-режиме.

Использование отрицательной формы команды (no) удаляет многоадресный IP-адрес.

Синтаксис
ip firewall failover multicast-address <ADDR>
no ip firewall failover multicast-address
Параметры

<ADDR> – многоадресный IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
Блок кода
esr(config)# ip firewall failover multicast-address 238.0.0.10

ip firewall failover multicast-group

Данной командой устанавливается идентификатор multicast-группы для обмена информацией при работе резервирования сессий Firewall в multicast-режиме.

Использование отрицательной формы команды (no) удаляет идентификатор группы.

Синтаксис
ip firewall failover multicast-group <GROUP>
no ip firewall failover multicast-group
Параметры

<GROUP> – multicast-группа, указывается в диапазоне [1000..9999].

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
Блок кода
esr(config)# ip firewall multicast-group 1028

ip firewall failover vrrp-group

Данной командой определяется VRRP-группа, на основе которой определяется состояние (основной/резервный) маршрутизатора при резервировании сессий Firewall.

Использование отрицательной формы команды (no) удаляет идентификатор VRRP-группы.

Синтаксис
ip firewall failover vrrp-group <GRID>
no ip firewall failover vrrp-group
Параметры

<GRID> – идентификатор группы VRRP-маршрутизатора, принимает значения [1..32].

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
Блок кода
esr(config)# ip firewall failover vrrp-group 10

show high-availability state

Данная команда позволяет посмотреть общее состояние систем резервирования и роль устройства.

Синтаксис
show high-availability state
Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
Блок кода
esr# show high-availability state
DHCP option 82 table:
    State:                         Disabled
    Last state change:             --
DHCP server:
VRF:                               --
    State:                         Successful synchronization
Firewall sessions and NAT translations:
    Tracking VRRP Group            1
    Tracking VRRP Group state:     Master
    State:                         Successful synchronization
    Fault Reason:                  --
    Last synchronization:          13:19:04 25.11.2022

show ip firewall failover

Данная команда позволяет посмотреть состояние резервирования сессий Firewall.

Синтаксис
show ip firewall failover
Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
Блок кода
esr# show ip firewall failover 
Communication interface:                    port-channel 1
Status:                                     Running
Bytes sent:                                 17184
Bytes received:                             13088
Packets sent:                               866
Packets received:                           817
Send errors:                                0
Receive errors:                             0
Internal sessions cache counters:
    Active entries:                         4
    Added:                                  47
    Deleted:                                43
    Updated:                                13
    Failed adding:                          0
        No memory left:                     0
        No space left:                      0
    Failed deleting:                        0
        No entry found:                     0
    Failed updating:                        0
        No entry found:                     0
External sessions cache counters:
    Active entries:                         0
    Added:                                  1
    Deleted:                                6
    Updated:                                0
    Installed to Kernel:                    4
    Failed adding:                          0
        No memory left:                     0
        No space left:                      0
    Failed deleting:                        0
        No entry found:                     0
    Failed updating:                        0
        No entry found:                     0
    Failed installing to Kernel:            0

show ip firewall sessions failover

Данная команда используется для просмотра кешей IP-сессий при работе firewall failover.

Синтаксис
show ip firewall sessions failover { internal | external } [ protocol <TYPE> ] [ inside-source-address <ADDR>] [ outside-source-address <ADDR> ] [ inside-destination-address <ADDR> ] [ outside-destination-address <ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ summary ] [ configuration ] [ expected ]
Параметры

<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;

...

summary – выводит суммарную статистику по IP-сессиям;

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
Блок кода
esr# show ip firewall sessions failover internal
 Codes: E - expected, U - unreplied,
        A - assured, C - confirmed

Prot    Inside source           Inside destination      Outside source          Outside destination     Pkts         
-----   ---------------------   ---------------------   ---------------------   ---------------------   ----------   
udp     10.10.10.2:500          10.10.10.1:500          10.10.10.2:500          10.10.10.1:500          --                

show ip nat translations failover

Данная команда используется для просмотра кеша IP-сессий трансляции при работе nat failover.

Синтаксис
show ip nat translations failover { internal | external } [ protocol <TYPE> ] [ inside-source-address <ADDR> ] [ outiside-source-address <ADDR> ] [ inside-destination-address <ADDR> ] [ outside-destination-address <ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ summary ]
Параметры

summary – выводит суммарную статистику по сессиям трансляции;

...

  • inside-source-address – ключ для указания IP-адреса источника на выходе из маршрутизатора;
  • inside-destination-address – ключ для указания IP-адреса назначения после трансляции;
  • outiside-source-address – ключ для указания IP-адреса источника на входе в маршрутизатор;
  • outside-destination-address – ключ для указания IP-адреса назначения до трансляции;
  • inside-source-port – ключ для указания TCP/UDP порта отправителя до трансляции;

  • outside-source-port – ключ для указания TCP/UDP порта отправителя после трансляции;

  • inside-destination-port – ключ для указания TCP/UDP порта назначения до трансляции;

  • outside-destination-port – ключ для указания TCP/UDP порта назначения после трансляции.

Необходимый уровень привилегий

1

Командный режим

ROOT

...

Пример 

Source NAT

Блок кода
esr# show ip nat translations Prot failover internal
InsideProt source  Inside destination Outside source Outside destination Pkts Bytes ----   ------------  -----------------   ------------   --------------     -----  -----
icmp   115.0.0.10    1.1.0.2             1.1.0.24       1.1.0.2            3      252
Пример 2

Destination NAT

Блок кода
esr#  show ip nat translations
Prot   Inside source  Inside destination Outside source Outside destination Pkts Bytes
----   ------------  -----------------   ------------   --------------     -----  -----  
icmp   1.1.0.2       115.0.0.10          1.1.0.2        1.1.0.16           --     --

Управление Dual-Homing

Примечание
В текущей версии ПО данный функционал поддерживается только на маршрутизаторе ESR-1000.

backup interface

Данной командой указывается резервный интерфейс, на который будет происходить переключение при потере связи на основном. Включение резервирования возможно только на тех интерфейсах, на которых отключен протокол Spanning Tree и включен VLAN Ingress Filtering.

Использование отрицательной формы команды (no) удаляет настройку с интерфейса.

Синтаксис
backup interface <IF> vlan <VID>
no backup interface
Параметры

<IF> – интерфейс, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.

<VID> – идентификационный номер VLAN, задаётся в диапазоне [2…4094]. Можно также задать диапазоном через «-» или перечислением через «,».

Необходимый уровень привилегий

10

Командный режим

CONFIG-GI

CONFIG-TE

CONFIG-PORT-CHANNEL

Пример
Блок кода
esr(config-if-gi)# backup interface gigabitethernet 1/0/15 vlan 10-200

backup-interface mac-duplicate

Данной командой указывается количество копий пакетов с одним и тем же MAC-адресом, которые будут отправлены в активный интерфейс при переключении.

Использование отрицательной формы команды (no) восстанавливает значение по умолчанию.

Синтаксис
backup-interface mac-duplicate <COUNT>
no backup-interface mac-duplicate
Параметры

<COUNT> – количество копий пакетов, принимает значение [1..4].

Значение по умолчанию

1

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
Блок кода
esr(config)# backup-interface mac-duplicate 4

backup-interface mac-per-second

Данной командой указывается количество пакетов в секунду, которое будет отправлено в активный интерфейс при переключении.

Использование отрицательной формы команды (no) восстанавливает значение по умолчанию.

Синтаксис
backup-interface mac-per-second <COUNT>
no backup-interface mac-per-second
Параметры

<COUNT> – количество пакетов в секунду, принимает значение [50..400].

Значение по умолчанию

400

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
Блок кода
esr(config)# backup-interface mac-per-second 200

backup-interface preemption

Данной командой указывается, что необходимо осуществить переключение на основной интерфейс при восстановлении связи. Если настроено восстановление основного интерфейса при активном резервном, то тогда при поднятии линка на основном интерфейсе трафик будет переключен на него.

Использование отрицательной формы команды (no) восстанавливает настройку по умолчанию.

Синтаксис
[no] backup-interface preemption
Параметры

Команда не содержит параметров.

Значение по умолчанию

Переключение отключено

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
Блок кода
esr(config)# backup-interface preemption

show interfaces backup

Данная команды выводит информацию о состоянии основного и резервного интерфейса.

Синтаксис
show interfaces backup
Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
Блок кода
esr# show interfaces backup
   Backup Interface Options:
      Preemption is disabled.
      MAC recovery packets rate 400 pps.
      Recovery packets repeats count 1.
VID    Master Interface            Backup Interface            State
----    Inside destination      Outside source          Outside destination     Pkts          
----   ---------------------   ---------------------   ------------------------------   -------------------------   ------------------------------ 10   
tcp gigabitethernet 1/0/3  192.168.10.10:39268     gigabitethernet 1/0/4217.134.15.73:22        Master Up/Backup Down
----   -------------------------   -------------------------   ------------------------------
11     gigabitethernet 1/0/3       gigabitethernet 1/0/4       Master Up/Backup Down
----   -------------------------   -------------------------   ------------------------------
12     gigabitethernet 1/0/3       gigabitethernet 1/0/4       Master Up/Backup Down222.222.222.2:39268     217.134.15.73:22        --            

Scroll Pagebreak