ESR-series Documentation 1.18.0
Дерево страниц

Сравнение версий

Старая версия 2

changes.mady.by.user Сервисный центр Ethernet

Сохранено

по сравнению с

Новая версия 3

changes.mady.by.user Сервисный центр Ethernet

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.
Комментарий: Оксененко С. Добавил пример для DHCP failover, поправил описание у firewall failover

...

Блок кода
master# show vrrp 
Virtual router   Virtual IP                          Priority   Preemption   State    
--------------   ---------------------------------   --------   ----------   ------   
1                192.0.2.1/24                        20         Enabled      Master   
3                198.51.100.1/24                     20         Enabled      Master

Посмотреть состояние резервирования сессий Firewall есть возможность с помощью следующей команды:

...

Настройка зоны безопасности аналогична настройки на маршрутизаторе ESR-1 (master).

Настройка DHCP failover

DHCP failover используется для резервирования базы IP-адресов, которые были динамически выданы в процессе работы DHCP-server.

Алгоритм настройки

Шаг

Описание

Команда

Ключи

1

Переход в конфигурационное меню DHCP failover для его настройки.

ip dhcp-server failover [ vrf <VRF> ]

<VRF> – имя VRF, задается строкой до 31 символа;

2Выбор режима работы DHCP failover.mode { active-active | active-standby }

active-active – режим работы с двумя активными маршрутизаторами;

active-standby – режим работы с одним активным маршрутизатором и одним резервным.

Настройка IP-адреса, с которого будет работать DHCP failover.local-address <ADDR><ADDR> – IP-адрес соседа, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
4Настройка удаленного IP-адреса соседа, с которым будет работать DHCP failover.remote-address <ADDR>
<ADDR> – IP-адрес соседа, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
5Настройка роли DHCP failover, при работе резервирования в режиме Active-Active.role <ROLE>

<ROLE> – роль DHCP-сервера при работе в режиме резервирования:

  • primary – режим активного DHCP-сервера;
  • secondary – режим резервного DHCP-сервера.
6Привязка VRRP-группы, на основе которой определяется состояние (основной/резервный) маршрутизатора при резервировании сессий в режиме Active-Standby.vrrp-group <GRID><GRID> – идентификатор группы VRRP-маршрутизатора, принимает значения [1..32].
7Включение резервирования DHCP failover.enable


Примечание

Режим active-standby не поддержан в VRF.

Пример настройки

Задача:

Настроить резервирование DHCP-сервера в режиме Active-Standby.  Необходимо организовать резервирование для двух подсетей с помощью протокола VRRP, синхронизировать vrrp-процессы на маршрутизаторах.

Image Added

Основные этапы решения задачи:

1) Необходимо настроить vrrp-процессы на маршрутизаторах. Для master будем использовать vrrp priority 20, для backup будем использовать vrrp priority 10.

2) Необходимо настроить DHCP failover в режиме Active-Standby.

3) Необходимо настроить зону безопасности для протоколов vrrp, udp и tcp.

Решение:

        1. Настройка маршрутизатора ESR-1 (master).

Scroll Pagebreak
Предварительно на интерфейсах настроим  IP-адрес и определим принадлежность к зоне безопасности. 

Блок кода
master(config)# interface gigabitethernet 1/0/1
master(config-if-gi)# security-zone trusted
master(config-if-gi)# ip address 192.0.2.3/24
master(config-if-gi)# exit
master(config)# interface gigabitethernet 1/0/2
master(config-if-gi)# security-zone trusted
master(config-if-gi)# ip address 203.0.113.1/30
master(config-if-gi)# exit
master(config)# interface gigabitethernet 1/0/3
master(config-if-gi)# security-zone trusted
master(config-if-gi)# ip address 198.51.100.3/24
master(config-if-gi)# exit

Настроим vrrp-процессы на интерфейсах. Необходимо настроить следующие параметры на интерфейсах маршрутизатора: идентификатор VRRP,  ip-адрес VRRP, приоритет VRRP, принадлежность VRRP-маршрутизатора к группе.

После чего необходимо включить vrrp-процесс с помощью команды "vrrp".

Примечание

Также, вместо настройки vrrp preempt delay есть возможность выбрать режим работы vrrp preempt disable, в результате которого маршрутизатор с более высоким vrrp-приоритетом не будет забирать мастерство у маршрутизатора с более низким vrrp-приоритетом после возвращения в работу. 


Примечание

На маршрутизаторе необходимо установить принадлежность vrrp-процессов к одной группе для синхронизации состоянии vrrp-процессов (master, backup).


Блок кода
master(config)# interface gigabitethernet 1/0/1
master(config-if-gi)# vrrp id 1
master(config-if-gi)# vrrp ip 192.0.2.1/24
master(config-if-gi)# vrrp priority 20
master(config-if-gi)# vrrp group 1
master(config-if-gi)# vrrp
master(config-if-gi)# exit
master(config)# interface gigabitethernet 1/0/3
master(config-if-gi)# vrrp id 3
master(config-if-gi)# vrrp ip 198.51.100.1/24
master(config-if-gi)# vrrp priority 20
master(config-if-gi)# vrrp group 1
master(config-if-gi)# vrrp
master(config-if-gi)# exit

Настроим DHCP failover. Для DHCP failover необходимо настроить следующие параметры: mode,  local-address, remote-address, принадлежность VRRP-маршрутизатора к группе.

Блок кода
master(config)# ip dhcp-server pool LAN
master(config-dhcp-server)# network 192.0.2.0/24
master(config-dhcp-server)# address-range 192.0.2.10-192.0.2.20
master(config-dhcp-server)# exit
master(config)# ip dhcp-server 
master(config)# ip dhcp-server failover 
master(config-dhcp-server-failover)# mode active-standby 
master(config-dhcp-server-failover)# local-address 203.0.113.1
master(config-dhcp-server-failover)# remote-address 203.0.113.2
master(config-dhcp-server-failover)# vrrp-group 1
master(config-dhcp-server-failover)# enable 
master(config-dhcp-server-failover)# exit


Примечание

Для запуска DHCP failover необходимо предварительно настроить и включить DHCP-server, который будет резервироваться.

Для настройки правил зон безопасности потребуется создать профиль для порта DHCP failover:

Блок кода
master(config)# object-group service dhcp_failover
master(config-object-group-service)# port-range 873
master(config-object-group-service)# exit


Примечание

DHCP failover для синхронизации использует TCP-порт 873, его необходимо разрешить при настройке firewall.

Дополнительно в security zone-pair trusted self необходимо разрешить следующие протоколы:

Блок кода
master(config)# security zone-pair trusted self
master(config-zone-pair)# rule 66
master(config-zone-pair-rule)# action permit
master(config-zone-pair-rule)# match protocol vrrp
master(config-zone-pair-rule)# enable
master(config-zone-pair-rule)# exit
master(config-zone-pair)# rule 67
master(config-zone-pair-rule)# action permit
master(config-zone-pair-rule)# match protocol tcp
master(config-zone-pair-rule)# match destination-port dhcp_failover
master(config-zone-pair-rule)# enable
master(config-zone-pair-rule)# exit
master(config-zone-pair)# rule 68                                                 
master(config-zone-pair-rule)# action permit
master(config-zone-pair-rule)# match protocol udp 
master(config-zone-pair-rule)# enable 
master(config-zone-pair-rule)# exit

Scroll Pagebreak
Посмотреть статус vrrp-процессов есть возможность с помощью следующей команды:

Блок кода
master# show vrrp 
Virtual router   Virtual IP                          Priority   Preemption   State    
--------------   ---------------------------------   --------   ----------   ------   
1                192.0.2.1/24                        20         Enabled      Master   
3                198.51.100.1/24                     20         Enabled      Master

Посмотреть состояние резервирования сессий Firewall есть возможность с помощью следующей команды:

Блок кода
master# show ip dhcp server failover 
VRF:       --
    State: Successful

Посмотреть состояние систем резервирования устройства есть возможность с помощью следующей команды:

Блок кода
master# show high-availability state 
AP Tunnels:
    State:                         Disabled
    Last state change:             --
DHCP option 82 table:
    State:                         Disabled
    Last state change:             --
DHCP server:
VRF:                               --
    State:                         Successful synchronization
    State:                         Disabled
    Last synchronization:          --


Примечание

Для успешной синхронизации сервиса DHCP failover на устройствах должно быть выставлено одинаковое время.

        2. Настройка маршрутизатора ESR-2 (backup).

Настройка интерфейсов:

Блок кода
backup(config)# interface gigabitethernet 1/0/1
backup(config-if-gi)#   security-zone trusted
backup(config-if-gi)#   ip address 192.0.2.2/24
backup(config-if-gi)#   vrrp id 1
backup(config-if-gi)#   vrrp ip 192.0.2.1/24
backup(config-if-gi)#   vrrp priority 20
backup(config-if-gi)#   vrrp group 1
backup(config-if-gi)#   vrrp
backup(config-if-gi)# exit
backup(config)# interface gigabitethernet 1/0/2
backup(config-if-gi)#   security-zone trusted
backup(config-if-gi)#   ip address 203.0.113.2/30
backup(config-if-gi)# exit
backup(config)# interface gigabitethernet 1/0/3
backup(config-if-gi)#   security-zone trusted
backup(config-if-gi)#   ip address 198.51.100.2/24
backup(config-if-gi)#   vrrp id 3
backup(config-if-gi)#   vrrp ip 198.51.100.1/24
backup(config-if-gi)#   vrrp priority 10
backup(config-if-gi)#   vrrp group 1
backup(config-if-gi)#   vrrp
backup(config-if-gi)# exit

Настройка DHCP failover: 

Блок кода
backup(config)# ip dhcp-server pool LAN
backup(config-dhcp-server)#   network 192.0.2.0/24
backup(config-dhcp-server)#   address-range 192.0.2.10-192.0.2.20
backup(config-dhcp-server)# exit
backup(config)# ip dhcp-server
backup(config)# ip dhcp-server failover
backup(config-dhcp-server-failover)#   mode active-standby
backup(config-dhcp-server-failover)#   local-address 203.0.113.2
backup(config-dhcp-server-failover)#   remote-address 203.0.113.1
backup(config-dhcp-server-failover)#   vrrp-group 1
backup(config-dhcp-server-failover)#   enable
backup(config-dhcp-server-failover)# exit

Настройка зоны безопасности аналогична настройки на маршрутизаторе ESR-1 (master).