...
| Блок кода |
|---|
esr(config-cellular-modem)# profile 1 esr(config-cellular-modem)# enable |
Настройка
...
Spanning Tree Protocol – сетевой протокол, основной задачей которого является приведение сети Ethernet с избыточными соединениями к древовидной топологии, исключающей петли. Сетевые устройства обмениваются конфигурационными сообщениями, используя кадры специального формата, и выборочно включают и отключают передачу на порты.
Rapid (быстрый) STP (RSTP) – является усовершенствованием протокола STP, характеризуется меньшим временем приведения сети к древовидной топологии и имеет более высокую устойчивость.
На маршрутизаторах ESR работа протоколов STP и RSTP реализована в двух режимах: Spanning tree vlan mode и Spanning tree global mode.
Алгоритм настройки Spanning Tree
...
Шаг
...
Описание
...
Команда
...
Ключи
...
1
...
Включить spanning-tree в режиме vlan-aware.
...
esr(config)# spanning-tree
...
2
...
Установить интервал времени, затрачиваемый на прослушивание и изучение
состояний перед переключением в состояние передачи.
...
esr(config)# spanning-tree forward-time <TIME>
...
<TIME> – время в секундах, принимает значения [4..30].
Значение по умолчанию: 15 секунд.
...
3
...
Установить интервал времени между отправкой BPDU-пакетов.
...
esr(config)# spanning-tree hello-time <TIME>
...
<TIME> – время в секундах, принимает значения [1..10].
Значение по умолчанию: 2 секунды.
...
4
...
Установить время жизни связующего дерева STP.
...
esr(config)# spanning-tree max-age <TIME>
...
<TIME> – время в секундах, принимает значения [6..40].
Значение по умолчанию: 20 секунд.
...
5
...
Выбрать поддерживаемый протокол из семейства STP.
...
esr(config)# spanning-tree mode <MODE>
...
<MODE> – протокол семейства STP:
- STP – IEEE 802.1D Spanning Tree Protocol;
- RSTP – IEEE 802.1W Rapid Spanning Tree Protocol;
- MSTP – IEEE 802.1s Multiple Spanning Trees.
Значение по умолчанию: RSTP.
...
6
...
Установить метод определения ценности пути.
...
esr(config)# spanning-tree pathcost method <short | long>
...
long – значение ценности в диапазоне [1..200000000];
short – значение ценности в диапазоне [1..65535].
Значение по умолчанию: short.
...
7
...
Настроить приоритет связующего дерева STP.
...
esr(config)# spanning-tree priority <PRIORITY>
...
<PRIORITY> – приоритет, указывается в диапазоне c шагом 4096 [0..61440].
Значение по умолчанию: 32768.
...
8
...
Перейти в режим конфигурирования интерфейса/туннеля/сетевого моста.
...
esr(config)# interface <IF-TYPE><IF-NUM>
...
<IF-TYPE> – тип интерфейса;
<IF-NUM> – F/S/P – F-фрейм (1), S – слот (0), P – порт.
...
esr(config)# tunnel <TUN-TYPE><TUN-NUM>
...
<TUN-TYPE> – тип туннеля;
<TUN-NUM> – номер туннеля.
...
esr(config)# bridge <BR-NUM>
...
<BR-NUM> – номер bridge.
...
9
...
Включить spanning-tree.
...
esr(config-bridge)# spanning-tree
...
10
...
Установить интервал времени, затрачиваемый на прослушивание и изучение
состояний перед переключением в состояние передачи.
...
esr(config-bridge)# spanning-tree forward-time <TIME>
...
<TIME> – время в секундах, принимает значения [4..30].
Значение по умолчанию: 15 секунд.
...
11
...
Установить интервал времени между отправкой BPDU-пакетов.
...
esr(config-bridge)# spanning-tree hello-time <TIME>
...
<TIME> – время в секундах, принимает значения [1..10].
Значение по умолчанию: 2 секунды.
...
12
...
Установить время жизни связующего дерева STP.
...
esr(config-bridge)# spanning-tree max-age <TIME>
...
<TIME> – время в секундах, принимает значения [6..40].
Значение по умолчанию: 20 секунд.
...
13
...
Выбрать поддерживаемый протокол из семейства STP.
...
esr(config-bridge)# spanning-tree mode <MODE>
...
<MODE> – протокол семейства STP:
- STP – IEEE 802.1D Spanning Tree Protocol;
- RSTP – IEEE 802.1W Rapid Spanning Tree Protocol;
Значение по умолчанию: RSTP.
...
14
...
Настроить приоритет связующего дерева STP.
...
esr(config-bridge)# spanning-tree priority <PRIORITY>
...
<PRIORITY> – приоритет, указывается в диапазоне c шагом 4096 [0..61440].
Значение по умолчанию: 32768.
...
15
...
Запретить работу протокола STP на конфигурируемом интерфейсе.
...
esr(config-if-gi)# spanning-tree disable
...
16
...
Установить метод определения ценности пути.
...
esr(config-if-gi)# spanning-tree cost
...
<COST> – стоимость пути, устанавливается в диапазоне [1..20000000].
Значение по умолчанию: 4.
...
17
...
Разрешить установить этот порт в качестве root.
...
esr(config-if-gi)# spanning-tree guard root
...
18
...
Установить протокол RSTP в передающее состояние и определить тип связи для выбранного порта – «точка-точка», «разветвлённый».
...
esr(config-if-gi)# spanning-tree link-type {point-to-point|shared}
...
point-to-point – команда определяет интерфейс как «точка-точка»;
shared – команда определяет интерфейс как «разветвленный».
Значение по умолчанию: point-to-point.
...
19
...
Установить приоритет интерфейса в связующем дереве STP.
...
esr(config-if-gi)# spanning-tree port-priority <PRIORITY>
...
<PRIORITY> – приоритет, указывается в диапазоне c шагом 16 [0..240].
...
esr(config-if-gi)# spanning-tree portfast
| Примечание |
|---|
Протокол MSTP на данный момент поддержан только на ESR-1000, соответственно команды для настройки MSTP есть только на нем. |
Пример настройки
Задача:
Настроить на маршрутизаторе протокол STP для предотвращения петли с интервалом прослушивания и изучения сети 10 секунд и временем жизни связующего дерева 15 секунд.
Решение:
Для примера разберём схему с маршрутизатором и коммутатором, соединенных двумя линками.
По умолчанию на ESR включен протокол RSTP.
Перейдём в режим конфигурирования:
| Блок кода |
|---|
esr-20# configure |
Зададим протокол по умолчанию STP:
| Блок кода |
|---|
esr-20(config)# spanning-tree mode stp |
Установим время жизни связующего дерева – 15 секунд и интервал прослушивания и изучения сети – 10 секунд:
| Блок кода |
|---|
esr-20(config)# spanning-tree max-age 15
esr-20(config)# spanning-tree forward-time 10 |
Вывод команды show spanning-tree active:
| Блок кода |
|---|
esr-20# show spanning-tree active
Protocol version: STP
Root ID: [32768] a8:f9:4b:ad:5a:00
Root port: [128] gi1/0/1
Pathcost 32768
Message Age 300
Hello time: 2 Max age time: 20 Forward delay: 15
Bridge ID: [32768] a8:f9:4b:ad:8e:5d
Hello time: 2 Max age time: 15 Forward delay: 10
Transmit hold count: 6 Topology change: 0
Time since topology change: 16 Topology change count: 2
Name State Prio.Num Cost Status Role PortFast Type
------------ ----- -------- --------- -------- -------- -------- --------------------
gi1/0/1 en 128.2 32768 FRW Root No STP
gi1/0/2 en 128.3 32768 BLK Altr No STP |
Настройка PPP через E1
PPP (англ. Point-to-Point Protocol) — двухточечный протокол канального уровня, используется для установления прямой связи между двумя узлами сети. Может обеспечить аутентификацию соединения, шифрование и сжатие данных.
...
| Шаг | Описание | Команда | Ключи |
|---|---|---|---|
Предварительная настройка: | |||
| 1 | Необходимо включить поддержку Jumbo- Для вступления изменений в силу требуется перезагрузка устройства. | esr(config)# system jumbo-frames | |
Настройка физического интерфейса: | |||
| 2 | Необходимо выбрать интерфейс, в котором установлен TOPGATE-WAN-E1. | esr(config)# interface gigabitethernet 1/0/3 | |
| 3 | Перевести физический интерфейс в режим коммутации. | esr(config-if-gi)# mode switchport | |
| 4 | Задать режим работы интерфейса E1. | esr(config-if-gi)# switchport mode e1 | |
| 5 | Задать источник синхронизации (не обязательно). | esr(config-if-gi)# switchport e1 clock source <SOURCE> | <SOURCE> – источник синхронизации:
|
| 6 | Указать размер MTU (Maximum Transmition Unit) для физических интерфейсов. | esr(config-if-gi)# mtu <MTU> | <MTU> – значение MTU, для E1- и Multilink-интерфейсов необходимо указать значения в диапазоне [1510..9600]. |
| 7 | Задать хэш-алгоритм проверки кадра (не обязательно). | esr(config-if-gi)# switchport e1 crc <FCS> | <FCS> – последовательность проверки кадра:
|
8 | Задать проверку на наличие ошибок при передаче (не обязательно). | esr(config-if-gi)# switchport e1 framing <CRC> | <CRC> – проверка циклической избыточности:
|
9 | Задать инвертирование передаваемых бит (не обязательно). | esr(config-if-gi)# switchport e1 invert data | |
10 | Задать тип линейного кодирования (не обязательно). | esr(config-if-gi)# switchport e1 linecode <CODE> | <CODE> – тип линейного кодирования;
|
11 | Задать количество тайм-слотов. | esr(config-if-gi)# switchport e1 timeslots <RANGE> | <RANGE> – количество тайм-слотов. |
12 | Использовать Е1 как единую сущность, без тайм-слотов (не обязательно). | esr(config-if-gi)# switchport e1 unframed | |
| Настройка интерфейса E1: | |||
13 | Необходимо выбрать интерфейс E1. | esr(config)# interface e1 1/<SLOT>/1 | <SLOT> – номер слота. |
| 14 | Указать IPv4 и маску подсети для конфигурируемого интерфейса. | esr(config-e1)# ip address <ADDR/LEN> | <ADDR/LEN> – IP-адрес и длина маски подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. |
| 15 | Отключить на интерфейсе функции Firewall или включить интерфейс в зону безопасности (см. раздел Конфигурирование Firewall). | esr(config-e1)# ip firewall disable | |
esr(config-e1)# security-zone <NAME> | <NAME> – имя зоны безопасности, задаётся строкой до 31 символа. | ||
| Дополнительные настройки PPP для E1: | |||
16 | Включить CHAP-аутентификацию для PPP (не обязательно). | esr(config-e1)# ppp authentication chap | |
17 | Задать имя маршрутизатора, которое отправляется удаленной стороне для прохождения CHAP-аутентификации (не обязательно). | esr(config-e1)# ppp chap hostname <NAME> | <NAME> – имя маршрутизатора. |
18 | Задать пароль для аутентификации (не обязательно). | esr(config-e1)# ppp chap password ascii-text <CLEAR-TEXT> | <CLEAR-TEXT> – пароль в открытой форме, задаётся строкой [1 .. 64] символов, может включать символы [0-9a-fA-F]. |
19 | Включить игнорирование аутентификации (не обязательно). | esr(config-e1)# ppp chap refuse | |
20 | Задать имя пользователя для аутентификации (не обязательно). | esr(config-e1)# ppp chap username <NAME> | <NAME> – имя пользователя. |
21 | Разрешается принимать от соседа любой ненулевой IP-адрес в качестве локального IP-адреса (не обязательно). | esr(config-e1)# ppp ipcp accept-address | |
22 | Задать IP-адрес, который отправляется удаленной стороне для последующего его присвоения (не обязательно). | esr(config-e1)# ppp ipcp remote-address <ADDR> | <ADDR> – IP-адрес удаленного шлюза. |
23 | Задать количество попыток отправки Configure-Request пакетов, прежде чем удаленный пир будет признан неспособным ответить (не обязательно). | esr(config-e1)# ppp max-configure <VALUE> | <VALUE> – количество попыток. |
24 | Задать количество попыток отправки Configure-NAK пакетов, прежде чем будут подтверждены все опции (не обязательно). | esr(config-e1)# ppp max-failure <VALUE> | <VALUE> – количество попыток. |
25 | Задать количество попыток отправки Terminate-Request пакетов, прежде чем сессия будет прервана (не обязательно). | esr(config-e1)# ppp max-terminate <VALUE> | <VALUE> – количество попыток. |
26 | Задать размер MRU (Maximum Receive Unit) для интерфейса (не обязательно). | esr(config-e1)# ppp mru <MRU> | <MRU> – значение MRU. |
27 | Задается интервал времени в секундах, по истечении которого маршрутизатор отправляет keepalive-сообщение (не обязательно). | esr(config-e1)# ppp timeout keepalive <TIME> | <TIME> – время в секундах. |
28 | Задается интервал, по истечении которого маршрутизатор повторяет запрос на установление сессии (не обязательно). | esr(config-e1)# ppp timeout retry <TIME> | <TIME> – время в секундах. |
| Включение интерфейса E1 в Multilink PPP: | |||
29 | Добавить в MLPPP-группу (не обязательно). | esr(config-e1)# ppp multilink-group <GROUP-ID> | <GROUP-ID> – номер группы. |
30 | Включение режима MLPPP (не обязательно). | esr(config-e1)# ppp multilink | |
Пример конфигурации
Задача:
Настроить PPP-соединение со встречной стороной с IP-адресом 192.0.2.2/24 через TOPGATE-WAN-E1, используя 1-8 канальные интервалы для передачи данных.
Решение:
Предварительно необходимо настроить system jumbo-frames, сохранить изменения в конфигурации и перезагрузить маршрутизатор:
...
| Шаг | Описание | Команда | Ключи |
| 1 | Настроить группу агрегации. | esr(config)# interface multilink <IF> | <IF> – наименование интерфейса. |
| 2 | Указать описание конфигурируемой группы агрегации (не обязательно). | esr(config-multilink)# description <DESCRIPTION> | <DESCRIPTION> – описание группы агрегации, задаётся строкой до 255 символов. |
| 3 | Задать интервал времени, за который усредняется статистика о нагрузке на группе агрегации (не обязательно). | esr(config-multilink)# load-average <TIME> | <TIME> – интервал в секундах, принимает значения [5..150]. Значение по умолчанию: 5. |
| 4 | Указать размер MTU (Maximum Transmition Unit) для группы агрегации (не обязательно). MTU более 1500 будет активно только в случае применения команды "system jumbo-frames". | esr(config-multilink)# mtu <MTU> | <MTU> – значение MTU, принимает значения в диапазоне [1280..1500]. Значение по умолчанию: 1500. |
| 5 | Включить CHAP-аутентификацию. | esr(config-multilink)# ppp authentication chap | |
| 6 | Включить игнорирование аутентификации (не обязательно). | esr(config-multilink)# ppp chap refuse | |
| 7 | Указать имя маршрутизатора, которое отправляется удаленной стороне для прохождения CHAP-аутентификации. | esr(config-multilink)# ppp chap hostname <NAME> | <NAME> – имя маршрутизатора, задаётся строкой до 31 символа |
| 8 | Указать пароль, который отправляется удаленной стороне вместе с именем маршрутизатора для прохождения CHAP-аутентификации. | esr(config-multilink)# ppp chap password ascii-text | <CLEAR-TEXT> – пароль в открытой форме, задаётся строкой [8 .. 64] символов, может включать символы [0-9a-fA-F]. <ENCRYPTED-TEXT> – пароль в зашифрованной форме, задаётся строкой [16..128] символов. |
| 9 | Разрешить принимать от соседа любой ненулевой IP-адрес в качестве локального IP-адреса (не обязательно). | esr(config-multilink)# ppp ipcp accept-address | |
| 10 | Установить IP-адрес, который отправляется удаленной стороне для последующего его присвоения. | esr(config-multilink)# ppp iccp remote-address <ADDR> | <ADDR> – IP-адрес удаленного шлюза. |
| 11 | Указать пользователя для аутентификации удаленной стороны и перейти в режим конфигурирования указанного пользователя. | esr(config-multilink)# chap username <NAME> | <NAME> – имя пользователя, задаётся строкой до 31 символа. |
| 12 | Установить пароль в открытой или зашифрованной форме определенному пользователю для аутентификации удаленной стороны. | esr(config-ppp-user)# password ascii-text | <CLEAR-TEXT> – пароль в открытой форме, задаётся строкой [8 .. 64] символов, может включать символы [0-9a-fA-F]. <ENCRYPTED-TEXT> – пароль в зашифрованной форме, задаётся строкой [16..128] символов. |
| 13 | Установить количество попыток отправки Configure-Request пакетов, прежде чем удаленный пир будет признан неспособным ответить (не обязательно). | esr(config-multilink)# ppp max-configure <VALUE> | <VALUE> – время в секундах, принимает значения [1..255]. Значение по умолчанию: 10. |
| 14 | Установить количество попыток выслать Configure-NAK пакеты, прежде чем будут подтверждены все опции (не обязательно). | esr(config-multilink)# ppp max-failure <VALUE> | <VALUE> – время в секундах, принимает значения [1..255]. |
| 15 | Установить количество попыток выслать Terminate-Request пакеты, прежде чем сессия будет прервана (не обязательно). | esr(config-multilink)# ppp max-terminate <VALUE> | <VALUE> – время в секундах, принимает значения [1..255]. Значение по умолчанию: 2. |
| 16 | Указать размер MRU (Maximum Receive Unit) для интерфейса. | esr(config-multilink)# ppp mru <MRU> | <MRU> – значение MRU, принимает значения в диапазоне [128..1485]. Значение по умолчанию: 1500. |
| 17 | Указать интервал времени в секундах, по истечении которого маршрутизатор отправляет keepalive-сообщение (не обязательно). | esr(config-multilink)# ppp timeout keepalive <TIME> | <TIME> – время в секундах, принимает значения [1..32767]. Значение по умолчанию: 10. |
| 18 | Установить интервал времени в секундах, по истечении которого маршрутизатор повторяет запрос на установление сессии (не обязательно). | esr(config-multilink)# ppp timeout retry <TIME> | <TIME> – время в секундах, принимает значения [1..255]. Значение по умолчанию: 3. |
| 19 | Определить максимальный размер пакета для MLPP-интерфейса. | esr(config-multilink)# mrru <MRRU> | <MRRU> – максимальный размер принимаемого пакета для MLPP-интерфейса, принимает значение в диапазоне [1500..10000]. |
| 20 | Привязать порт e1 к физическому интерфейсу. | esr(config-if-gi)# switchport e1 <SLOT> | <SLOT> – идентификатор слота, принимает значение в диапазоне [0..3]. |
| 21 | Перевести физический порт в режим работы с SFPe1-модулем. | esr(config-if-gi)# switchport mode e1 | |
| 22 | Включить режим MLPPP на E1-интерфейсе. | esr(config-e1)# ppp multilink | |
| 23 | Включить E1-интерфейс в группу агрегации. | esr(config-e1)# ppp multilink-group <GROUP-ID> | <GROUP-ID> – идентификатор группы, принимает значение [1..4]. |
Пример настройки
Задача:
Настроить MLPPP-соединение с встречной стороной с IP-адресом 192.0.2.2/24 через интерфейсы e1 1/0/1 и e1 1/1/1. Для построения агрегированного канала PPP используются интерфейсы gi 1/0/3 и gi 1/0/4, в которые вставлены TOPGATE-WAN-E1.
Решение:
Предварительно необходимо настроить system jumbo-frames, сохранить изменения в конфигурации и перезагрузить маршрутизатор:
...
После включения данного функционала, пакеты, размер которых меньше 200 байт, не будут фрагментированы. Пакеты с большим размер будут подлежать фрагментации.
...
Настройка
...
Bridge (мост) — это способ соединения двух сегментов Ethernet на канальном уровне без использования протоколов более высокого уровня, таких как IP. Пакеты передаются на основе Ethernet-адресов, а не IP-адресов. Поскольку передача выполняется на канальном уровне (уровень 2 модели OSI), трафик протоколов более высокого уровня прозрачно проходит через мост.
Алгоритм настройки
...
esr(config)# bridge <BRIDGE-ID>
...
<BRIDGE-ID> – идентификационный номер моста, принимает значения в диапазоне:
- для ESR-10/12V(F)/14VF/15 – [1..50];
- для ESR-20/21/30/
100/200 – [1..250]; - для ESR-1000/1200/
1500/1511/1700/3100/
3200 – [1..500].
...
2
...
Активировать сетевой мост.
...
esr(config-bridge)# enable
...
3
...
Указать экземпляр VRF, в котором будет работать данный интерфейс (не обязательно).
...
esr(config-bridge)# ip vrf forwarding <VRF>
...
<VRF> – имя VRF, задается строкой до 31 символа.
...
4
...
Назначить описание конфигурируемому сетевому мосту (не обязательно).
...
esr(config-bridge)# description <DESCRIPTION>
...
<DESCRIPTION> – описание сетевого моста, задаётся строкой до 255 символов.
...
5
...
Связать саб-интерфейс, qinq-интерфейс, L2GRE-туннель или L2TPv3-туннель с сетевым мостом. Связанные интерфейсы/туннели и сетевые мосты автоматически становятся участниками общего L2-домена (не обязательно).
...
esr(config-if-gi)# bridge-group <BRIDGE-ID>
esr(config-if-l2tpv3)# bridge-group <BRIDGE-ID>
...
<BRIDGE-ID> – идентификационный номер моста, принимает значения в диапазоне:
- для ESR-10/12V(F)/14VF/15 – [1..50];
- для ESR-20/21/30/
100/200 – [1..250]; - для ESR-1000/1200/
1500/1511/1700/3100/
3200 – [1..500].
...
6
...
Связать текущий сетевой мост с VLAN. Все интерфейсы и L2-туннели, являющиеся членами назначаемого VLAN, автоматически включаются в сетевой мост и становятся участниками общего L2-домена (не обязательно).
...
esr(config-bridge)# vlan <VID>
...
<VID> – идентификатор VLAN, задаётся в диапазоне [1..4094].
...
7
...
Указать размер MTU (Maximum Transmition Unit) пакетов, которые может пропускать данный bridge (не обязательно; возможно, если в bridge включен только VLAN).
MTU более 1500 будет активно только в случае применения команды "system jumbo-frames".
...
esr(config-bridge)# mtu <MTU>
...
<MTU> – значение MTU, принимает значения в диапазоне:
- для ESR-10/12V(F)/14VF/15 – [552..9600];
- для ESR-20/21/30 – [552..9500];
- для ESR-100/200/
1000/1200/1500/
1511/1700/3100/3200 – [552..10000].
Значение по умолчанию: 1500.
...
esr(config-bridge)# ip address <ADDR/LEN>
...
<ADDR/LEN> – IP-адрес и длина маски подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].
Дополнительные функции IPv4-адресации см. в разделе Настройка IP-адресации.
...
esr(config-bridge)# ipv6 address <IPV6-ADDR/LEN>
...
<IPV6-ADDR/LEN> – IP-адрес и префикс подсети, задаётся в виде X:X:X:X::X/EE, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и EE принимает значения [1..128].
Дополнительные функции IPv6-адресации см. в разделе Настройка IPv6-адресации.
Можно указать несколько IPv4/IPv6-адресов перечислением через запятую. Может быть назначено до 8 IPv4/IPv6-адресов на интерфейс.
...
esr(config-bridge)# ip address dhcp
...
9
...
Отключить на интерфейсе функции Firewall или включить интерфейс в зону безопасности (см. раздел Конфигурирование Firewall).
...
esr(config-bridge)# ip firewall disable
...
esr(config-bridge)# security-zone <NAME>
...
<NAME> – имя зоны безопасности, задаётся строкой до 31 символа.
...
esr(config-bridge)# history statistics
...
11
...
Задать интервал времени, за который усредняется статистика о нагрузке на bridge (не обязательно).
...
esr(config-bridge)# load-average <TIME>
...
<TIME> – интервал в секундах, принимает значения [5..150].
Значение по умолчанию: 5.
...
12
...
Задать MAC-адрес сетевого моста, отличный от системного (не обязательно).
...
esr(config-bridge)# mac-address <ADDR>
...
<ADDR> – МАС-адрес сетевого моста, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].
...
13
...
Включить на bridge режим изоляции интерфейсов.
В данном режиме обмен трафиком между членами сетевого моста запрещен (не обязательно; применимо только на ESR-1000/1200/1500/1511/1700/
3100).
...
esr(config-bridge)# protected-ports [ exclude vlan ]
...
exclude vlan – при указании данного ключа, VLAN (связанный с bridge) исключается из списка изолируемых интерфейсов.
...
14
...
Запретить коммутацию трафика unknown-unicast (когда MAC-адрес назначения не содержится в таблице коммутации) в данном bridge (не обязательно; применимо только на ESR-1000/1200/1500/1511/1700/
3100).
...
esr(config-bridge)# unknown-unicast-forwarding disable
...
15
...
Установить время жизни IPv4/IPv6-записей в ARP-таблице, изученных на данном bridge (не обязательно).
...
esr(config-bridge)# ip arp reachable-time <TIME>
или
esr(config-bridge)# ipv6 nd reachable-time <TIME>
...
<TIME> – время жизни динамических MAC-адресов, в миллисекундах. Допустимые значения от 5000 до 100000000 миллисекунд. Реальное время обновления записи варьируется от [0,5;1,5]*<TIME>.
...
Также для bridge-интерфейса возможно настроить:
- QoS в базовом или расширенном режимах (см. раздел Управление QoS);
- proxy (см. раздел Проксирование HTTP/HTTPS-трафика);
- мониторинг трафика (см. разделы Настройка Netflow и Настройка sFlow);
- функционал протоколов маршрутизации (см. раздел Управление маршрутизацией);
- протокол VRRF (см. раздел Управление резервированием);
- функционал BRAS (см. раздел Управление BRAS (Broadband Remote Access Server));
- функционал IDS/IPS (см. раздел Настройка IPS/IDS).
...
| Scroll Pagebreak |
|---|
Задача:
Объединить в единый L2-домен интерфейсы маршрутизатора, относящиеся к локальной сети, и L2TPv3-туннель, проходящий по публичной сети. Для объединения использовать VLAN 333.
Решение:
Создадим VLAN 333:
| Блок кода |
|---|
esr(config)# vlan 333
esr(config-vlan)# exit |
Создадим зону безопасности «trusted»:
| Блок кода |
|---|
esr(config)# security-zone trusted
esr(config-zone)# exit |
Добавим интерфейсы gi1/0/11, gi1/0/12 в VLAN 333:
| Блок кода |
|---|
esr(config)# interface gigabitethernet 1/0/11-12
esr(config-if)# mode switchport
esr(config-if)# switchport general allowed vlan add 333 tagged |
Создадим bridge 333, привяжем к нему VLAN 333 и укажем членство в зоне «trusted»:
| Блок кода |
|---|
esr(config)# bridge 333
esr(config-bridge)# vlan 333
esr(config-bridge)# security-zone trusted
esr(config-bridge)# enable |
Установим принадлежность L2TPv3-туннеля к мосту, который связан с локальной сетью (настройка L2TPv3-туннеля рассматривается в разделе Настройка L2TPv3-туннелей). В общем случае идентификаторы моста и туннеля не должны совпадать с VID как в данном примере.
| Блок кода |
|---|
esr(config)# tunnel l2tpv3 333
esr(config-l2tpv3)# bridge-group 333 |
...
Задача:
Настроить маршрутизацию между VLAN 50 (10.0.50.0/24) и VLAN 60 (10.0.60.0/24). VLAN 50 должен относиться к зоне «LAN1», VLAN 60 – к зоне «LAN2», разрешить свободную передачу трафика между зонами.
Решение:
Создадим VLAN 50, 60:
| Блок кода |
|---|
esr(config)# vlan 50,60
esr(config-vlan)# exit |
Создадим зоны безопасности «LAN1» и «LAN2»:
| Блок кода |
|---|
esr(config)# security-zone LAN1
esr(config-zone)# exit
esr(config)# security-zone LAN2
esr(config-zone)# exit |
Назначим интерфейсам gi1/0/11, gi1/0/12 VLAN 50:
| Блок кода |
|---|
esr(config)# interface gigabitethernet 1/0/11-12
esr(config-if-gi)# switchport general allowed vlan add 50 tagged |
Назначим интерфейсу gi1/0/14 VLAN 60:
| Блок кода |
|---|
esr(config)# interface gigabitethernet 1/0/14
esr(config-if-gi)# switchport general allowed vlan add 60 tagged |
Создадим bridge 50, привяжем VLAN 50, укажем IP-адрес 10.0.50.1/24 и членство в зоне «LAN1»:
| Блок кода |
|---|
esr(config)# bridge 50
esr(config-bridge)# vlan 50
esr(config-bridge)# ip address 10.0.50.1/24
esr(config-bridge)# security-zone LAN1
esr(config-bridge)# enable |
Создадим bridge 60, привяжем VLAN 60, укажем IP-адрес 10.0.60.1/24 и членство в зоне «LAN2»:
| Блок кода |
|---|
esr(config)# bridge 60
esr(config-bridge)# vlan 60
esr(config-bridge)# ip address 10.0.60.1/24
esr(config-bridge)# security-zone LAN2
esr(config-bridge)# enable |
Создадим правила в Firewall, разрешающие свободное прохождение трафика между зонами:
| Блок кода |
|---|
esr(config)# security zone-pair LAN1 LAN2
esr(config-zone-pair)# rule 1
esr(config-zone-pair-rule)# action permit
esr(config-zone-pair-rule)# enable
esr(config-zone-pair-rule)# exit
esr(config-zone-pair)# exit
esr(config)# security zone-pair LAN2 LAN1
esr(config-zone-pair)# rule 1
esr(config-zone-pair-rule)# action permit
esr(config-zone-pair-rule)# enable
esr(config-zone-pair-rule)# exit
esr(config-zone-pair)# exit
esr(config)# exit |
Посмотреть членство интерфейсов в мосте можно командой:
| Блок кода |
|---|
esr# show interfaces bridge |
Пример настройки добавления/удаления второго VLAN-тега
Задача:
На интерфейс gigabitethernet 1/0/1 поступают Ethernet-кадры с различными VLAN-тегами. Необходимо перенаправить их в интерфейс gigabitethernet 1/0/2, добавив второй VLAN-ID 828. При поступлении на интерфейс gigabitethernet 1/0/2 Ethernet-кадров с VLAN-ID 828, данный тег должен быть удален и отправлен в интерфейс gigabitethernet 1/0/1.
Решение:
Создадим на маршрутизаторе bridge без VLAN и без IP-адреса:
| Блок кода |
|---|
esr(config)# bridge 1
esr(config-bridge)# enable
esr(config-bridge)# exit |
Включим интерфейс gigabitethernet 1/0/1 в bridge 1:
| Блок кода |
|---|
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# bridge-group 1
esr(config-if-gi)# exit |
| Scroll Pagebreak |
|---|
Включим саб-интерфейс gigabitethernet 1/0/2.828 в bridge 1:
| Блок кода |
|---|
esr(config)# interface gigabitethernet 1/0/2.828
esr(config-subif)# bridge-group 1
esr(config-subif)# exit |
| Примечание |
|---|
При добавлении второго VLAN-тега в Ethernet-кадр его размер увеличивается на 4 байта. На интерфейсе маршрутизатора gigabitethernet 1/0/2 и на всем оборудовании, передающем Q-in-Q кадры, необходимо увеличить MTU на 4 байта или более. |
Настройка Dual-Homing
| Примечание |
|---|
В текущей версии ПО данный функционал поддерживается только на маршрутизаторе ESR-1000. |
Dual-Homing – технология резервирования соединений, позволяет организовать надежное соединение ключевых ресурсов сети на основе наличия резервных линков.
Алгоритм настройки
...
Шаг
...
Описание
...
Команда
...
Ключи
...
1
...
Указать резервный интерфейс, на который будет происходить переключение при потере связи на основном.
...
esr(config-if-gi)# backup interface<IF> vlan <VID>
...
<IF> – интерфейс, на который будет происходить переключение.
<VID> – идентификационный номер VLAN, задаётся в диапазоне [2…4094].
Можно также задать диапазоном через «-» или перечислением через «,».
...
2
...
Указать количество копий пакетов с одним и тем же MAC-адресом, которые будут отправлены в активный интерфейс при переключении (не обязательно).
...
esr(config)# backup-interface mac-duplicate <COUNT>
...
<COUNT> – количество копий пакетов, принимает значение [1..4].
...
3
...
Указать количество пакетов в секунду, которое будет отправлено в активный интерфейс при переключении (не обязательно).
...
esr(config)# backup-interfacemac-per-second<COUNT>
...
<COUNT> – количество MAC-адресов в секунду, принимает значение [50..400].
...
4
...
Указать, что необходимо осуществить переключение на основной интерфейс при восстановлении связи (не обязательно).
...
esr(config)# backup-interface preemption
Пример настройки
Задача:
Организовать резервирование L2-соединений маршрутизатора ESR для VLAN 50-55 через устройства SW1 и SW2.
Решение:
Предварительно нужно выполнить следующие действия:
Создадим VLAN 50-55:
| Блок кода |
|---|
esr(config)# vlan 50-55 |
Необходимо отключить STP на интерфейсах gigabitethernet 1/0/9 и gigabitethernet 1/0/10, так как совместная работа данных протоколов невозможна:
| Блок кода |
|---|
esr(config)# interface gigabitethernet 1/0/9-10
esr(config-if-gi)# spanning-tree disable |
Интерфейсы gigabitethernet 1/0/9 и gigabitethernet 1/0/10 добавим в VLAN 50-55 в режиме general:
| Блок кода |
|---|
esr(config-if-gi)# switchport general allowed vlan add 50-55
esr(config-if-gi)# exit |
| Scroll Pagebreak |
|---|
Сделаем интерфейс gigabitethernet 1/0/10 резервным для gigabitethernet 1/0/9:
| Блок кода |
|---|
esr(config)# interface gigabitethernet 1/0/9
esr(config-if-gi)# backup interface gigabitethernet 1/0/10 vlan 50-55 |
Просмотреть информацию о резервных интерфейсах можно командой:
| Блок кода |
|---|
esr# show interfaces backup |
Настройка зеркалирования (SPAN/RSPAN)
| Примечание |
|---|
В текущей версии ПО функциональность удаленного зеркалирования (RSPAN) поддерживается только на маршрутизаторах ESR-1000/1200/1500/1511/1700. |
Зеркалирование трафика – функция маршрутизатора, предназначенная для перенаправления трафика с одного порта маршрутизатора на другой порт этого же маршрутизатора (локальное зеркалирование) или на удаленное устройство (удаленное зеркалирование).
Алгоритм настройки
...
Шаг
...
Описание
...
Команда
...
Ключи
...
1
...
Определить VLAN, по которому будет передаваться отзеркалированный трафик (в случае использования удаленного зеркалирования).
...
esr(config)# port monitor remote vlan <VID> <DIRECTION>
...
<VID> – идентификационный номер VLAN, задаётся в диапазоне [2…4094];
<DIRECTION> – направление трафика:
- tx – зеркалирование в указанный VLAN только исходящего трафика;
- rx – зеркалирование в указанный VLAN только входящего трафика.
...
2
...
Включить режим удаленного зеркалирования (в случае использования удаленного зеркалирования).
...
esr(config)# port monitor remote
...
3
...
Определить режим порта передающего отзеркалированный трафик (не обязательно).
...
esr(config)# port monitor mode <MODE>
...
<MODE> – режим:
- network – совмещенный режим передачи данных и зеркалирование (по умолчанию);
- monitor-only – только зеркалирование.
...
4
...
В режиме конфигурации интерфейса включить зеркалирование.
...
esr(config-if-gi)# port monitor interface <IF> [ <DIRECTION> ]
...
<IF> – интерфейс c которого будут зеркалироваться кадры;
<DIRECTION> – направление трафика:
- tx – зеркалирование только исходящего трафика;
- rx – зеркалирование только входящего трафика.
Пример настройки
Задача:
Организовать удаленное зеркалирование трафика по VLAN 50 с интерфейса gi1/0/11 для передачи на сервер для обработки.
Решение:
Предварительно нужно выполнить следующие действия:
- Создать VLAN 50;
- На интерфейсе gi 1/0/5 добавить VLAN 50 в режиме general.
Основной этап конфигурирования:
Укажем VLAN, по которой будет передаваться зеркалированный трафик:
| Блок кода |
|---|
еsr1000(config)# port monitor remote vlan 50 |
| Scroll Pagebreak |
|---|
| Блок кода |
|---|
еsr1000(config)# interface gigabitethernet 1/0/5
еsr1000(config-if-gi)# port monitor interface gigabitethernet 1/0/11 |
Укажем на интерфейсе gi 1/0/5 режим удаленного зеркалирования:
| Блок кода |
|---|
еsr1000(config-if-gi)# port monitor remote |
Настройка LACP
LACP — протокол для агрегирования каналов, позволяет объединить несколько физических каналов в один логический. Такое объединение позволяет увеличивать пропускную способность и надежность канала.
Алгоритм настройки
...
esr(config)# lacp system-priority <PRIORITY>
...
<PRIORITY> – приоритет, указывается в диапазоне [1..65535].
Значение по умолчанию: 1.
...
2
...
Установить механизм балансировки нагрузки для групп агрегации каналов.
...
esr(config)# port-channel load-balance { src-dst-mac-ip |
src-dst-mac | src-dst-ip | src-dst-mac-ip-port }
...
- src - dst - mac - ip – механизм балансировки основывается на MAC-адресе и IP-адресе отправителя и получателя;
- src - dst - mac – механизм балансировки основывается на MAC-адресе отправителя и получателя;
- src - dst - ip – механизм балансировки основывается на IP-адресе отправителя и получателя;
- src - dst - mac - ip - port – механизм балансировки основывается на MAC-адресе, IP-адресе и порте отправителя и получателя.
...
3
...
Установить административный таймаут протокола LACP.
...
esr(config)# lacp timeout {short | long }
...
- long – длительное время таймаута;
- short – короткое время таймаута.
Значение по умолчанию: long.
...
4
...
Создать и перейти в режим конфигурирования агрегированного интерфейса.
...
esr(config)# interface port-channel <ID>
...
<ID> – порядковый номер группы агрегации каналов, принимает значения [1..12].
...
5
...
Настроить необходимые параметры агрегированного канала.
...
6
...
Перейти в режим конфигурирования физического интерфейса.
...
esr(config)# interface <IF-TYPE><IF-NUM>
...
<IF-TYPE> – тип интерфейса (gigabitethernet или tengigabitethernet).
<IF-NUM> – F/S/P – F-фрейм (1), S – слот (0), P – порт.
...
7
...
Включить физический интерфейс в группу агрегации каналов с указанием режима формирования группы агрегации каналов.
...
esr(config-if-gi)# channel-group <ID> mode <MODE>
...
<ID> – порядковый номер группы агрегации каналов, принимает значения [1..12].
<MODE> – режим формирование группы агрегации каналов:
- auto – добавить интерфейс в динамическую группу агрегации с поддержкой протокола LACP;
- on – добавить интерфейс в статическую группу агрегации.
...
8
...
Установить LACP-приоритет интерфейса Ethernet.
...
esr(config-if-gi)# lacp port-priority <PRIORITY>
...
<PRIORITY> – приоритет, указывается в диапазоне [1..65535].
Значение по умолчанию: 1.
...
9
...
Установить интервал времени, в течение которого собирается статистика о нагрузке на саб-интерфейс (не обязательно).
...
esr(config-subif)# load-average <TIME>
...
<TIME> – интервал в секундах, принимает значения [5..150].
...
10
...
Установить время жизни IPv4/IPv6 записей в ARP-таблице, изученных на данном интерфейсе (не обязательно).
...
esr(config-subif)# ip arp reachable-time <TIME>
или
esr(config-subif)# ipv6 nd reachable-time <TIME>
...
<TIME> – время жизни динамических MAC-адресов, в миллисекундах.
Допустимые значения от 5000 до 100000000 миллисекунд. Реальное время обновления записи варьируется от [0,5;1,5]*<TIME>.
...
11
...
Изменить размер MTU (MaximumTransmitionUnit). MTU более 1500 будет активно, только если применена команда "system jumbo-frames" (не обязательно).
...
esr(config-subif)# mtu <MTU>
...
<MTU> – значение MTU в байтах.
Значение по умолчанию: 1500.
...
esr(config-subif)# history statistics
...
esr(config-subif)# ip tcp adjust-mss <MSS>
esr(config-subif)# ipv6 tcp adjust-mss <MSS>
...
<MSS> – значение MSS, принимает значения в диапазоне [500..1460].
Значение по умолчанию: 1460.
...
Также для агрегированного интерфейса возможно настроить:
- IPv4/IPv6-адресацию (см. в разделах Настройка IP-адресации, Настройка IPv6-адресации и Управление DHCP-клиентом);
- Firewall (см. раздел Конфигурирование Firewall);
- QoS в базовом или расширенном режимах (см. раздел Управление QoS);
- proxy (см. раздел Проксирование HTTP/HTTPS-трафика);
- мониторинг трафика (см. разделы Настройка Netflow и Настройка sFlow);
- функционал протоколов маршрутизации (см. раздел Управление маршрутизацией);
- протокол VRRF (см. раздел Управление резервированием)
- функционал BRAS (см. раздел Управление BRAS (Broadband Remote Access Server));
- функционал IDS/IPS (см. раздел Настройка IPS/IDS).
| Scroll Pagebreak |
|---|
Задача:
Настроить агрегированный канал между маршрутизатором ESR и коммутатором.
Решение:
Предварительно необходимо выполнить следующие настройки:
На интерфейсах gi1/0/1, gi1/0/2 отключить зону безопасности командой «no security-zone».
Основной этап конфигурирования:
Создадим интерфейс port-channel 2:
| Блок кода |
|---|
esr(config)# interface port-channel 2 |
Включим физические интерфейсы gi1/0/1, gi1/0/2 в созданную группу агрегации каналов:
| Блок кода |
|---|
esr(config)# interface gigabitethernet 1/0/1-2
esr(config-if-gi)# channel-group 2 mode auto |
Дальнейшая конфигурация port-channel проводится как на обычном физическом интерфейсе.
Настройка AUX
| Примечание |
|---|
Для модели ESR-21. |
Настройка AUX используется для указания параметров взаимодействия с внешними устройствами, подключенными через последовательные интерфейсы к ESR.
Алгоритм настройки
| Шаг | Описание | Команда | Ключи |
|---|---|---|---|
| 1 | Перейти в режим конфигурирования последовательного интерфейса. | esr(config)# line aux <NUM> | <NUM> – номер последовательного интерфейса, задается в диапазоне [1..3]. |
| 2 | Установить необходимые параметры последовательного интерфейса для взаимодействия с подключенным устройством (не обязательно). Данные параметры, как правило, указаны в инструкции подключаемого устройства. По умолчанию будут использованы стандартные значения. | esr(config-line-aux) databits <BITS> esr(config-line-aux) flowcontrol <FMODE> esr(config-line-aux) parity <PMODE> esr(config-line-aux) speed <SPEED> esr(config-line-aux) stopbits <STOP-BITS> | <BITS> – количество бит данных в посылке [7..8]; Значение по умолчанию: 8. <FMODE> – режим управления потоком. Принимает значения:
Значение по умолчанию: disabled. <PMODE> – режим установки бита четности. Принимает значения:
Значение по умолчанию: none. <SPEED> – скорость работы последовательного интерфейса в бит/с. Принимает значения: 300; 1200; 2400; 4800; 9600; 19200; 38400; 57600; 115200; Значение по умолчанию: <STOP-BITS> – количество стоповых битов в посылке [1..2]; Значение по умолчанию: 1. |
3 | Задать описание последовательного интерфейса (не обязательно). | esr(config-line-aux)# description <DESCRIPTION> | <DESCRIPTION> – описание интерфейса, задаётся строкой до 255 символов. |
| 4 | При использовании подключаемого устройства в качестве модема перевести последовательный интерфейс в режим работы с модемом (не обязательно). Примечание: невозможно использовать совместно с командой "transport telnet port". | esr(config-line-aux)# modem inout | |
| 5 | При использовании ESR в качестве терминального сервера для управления подключенным устройством к последовательному интерфейсу установить номер TCP-порта, который будет использоваться в качестве номера TCP-порта для подключения к ESR по протоколу Telnet (не обязательно). Примечание: невозможно использовать совместно с командой "modem inout". | esr(config-line-aux)# transport telnet port <PORT> | <PORT> – номер TCP-порта для режима консольного сервера. Принимает значения [1..65535]. |
...