WLC-Series Documentation 1.26
Дерево страниц

Сравнение версий

Старая версия 1

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия 2

changes.mady.by.user Сервисный центр Wi-Fi

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление
maxLevel4

Настройка участников резервирования

Для облегчения настройки IP-адреса и vrrp-группа указывается в отдельном разделе.

Алгоритм настройки

1Настроить участников резервированияesr(config)# ip failover
2Указать IP-адрес локального устройства esr(config-failover)# local-address <IP><IP> – IP-адрес локального устройства, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
3Указать IP-адрес удаленного устройства esr(config-failover)# remote-address <IP><IP> – IP-адрес удаленного устройства, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
4

Установить принадлежность настроек к группе. Группа предоставляет возможность синхронизировать несколько VRRP-процессов, так если в одном из процессов произойдет смена мастера, то в другом процессе также произойдёт смена ролей.

esr(config-failover)# vrrp-group <GRID>

<GRID> – идентификатор группы VRRP-маршрутизатора, принимает значения [1..32].

5Настройка многоадресного IP-адреса, который будет использоваться для обмена информации при работе резервирования сессий Firewall в multicast-режиме.esr(config-failover)# multicast-address <ADDR><ADDR> – многоадресный IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
6Если резервирование сессий Firewall работает в multicast-режиме, то необходимо настроить идентификатор multicast-группы.esr(config-failover)# multicast-group <GROUP><GROUP> – multicast-группа, указывается в диапазоне [1000..9999].












Пример настройки участников резервирования

Указать IP-адрес, настроенный на интерфейсе локального устройства:

Блок кода
esr(config)# ip failover
esr(config-failover)# local-address 192.168.0.2

Указать IP-адрес, настроенный на интерфейсе удаленного устройства:

Блок кода
esr(config-failover)# remote-address 192.168.0.3

Укажем идентификатор VRRP-группы:

Блок кода
esr(config-failover)# vrrp group 5

Настройка многоадресного IP-адреса, который будет использоваться для обмена информации при работе резервирования сессий Firewall в multicast-режиме.

Блок кода
esr(config-failover)# multicast-address 192.168.0.255
esr(config-failover)# multicast-group 3

Настройка VRRP

VRRP (англ. Virtual Router Redundancy Protocol) — сетевой протокол, предназначенный для увеличения доступности маршрутизаторов, выполняющих роль шлюза по умолчанию. Это достигается путём объединения группы маршрутизаторов в один виртуальный маршрутизатор и назначения им общего IP-адреса, который и будет использоваться как шлюз по умолчанию для компьютеров в сети.

Якорь
Алгоритм настройки VRRP
Алгоритм настройки VRRP
Алгоритм настройки

ШагОписаниеКомандаКлючи
1

Перейти в режим конфигурирования интерфейса/сетевого моста, для которого необходимо настроить протокол VRRP.

esr(config)# interface <IF-TYPE><IF-NUM>

<IF-TYPE> – тип интерфейса;

<IF-NUM> – F/S/P – F-фрейм (1), S – слот (0), P – порт.

esr(config)# tunnel <TUN-TYPE><TUN-NUM>

<TUN-TYPE> – тип туннеля;

<TUN-NUM> – номер туннеля.

esr(config)# bridge <BR-NUM>

<BR-NUM> – номер сетевого моста.
2

Настроить необходимые параметры на интерфейсе/сетевом мосту, включая IP-адрес.

3Включить VRRP-процесс на IP-интерфейсе.

esr(config-if-gi)# vrrp


esr(config-if-gi)# ipv6 vrrp


4Установить виртуальный IP-адрес VRRP-маршрутизатора.

esr(config-if-gi)# vrrp ip <ADDR/LEN> [ secondary ]

<ADDR/LEN> – виртуальный IP-адрес и длина маски, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. Можно указать несколько
IP-адресов перечислением через запятую. Может быть назначено до 8  IP-адресов на интерфейс.
secondary – ключ для установки дополнительного IP-адреса.

esr(config-if-gi)# ipv6 vrrp ip <IPV6-ADDR>

<IPV6-ADDR> – виртуальный IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]. Можно указать до 8 IPv6-адресов перечислением через запятую.

5

Установить идентификатор VRRP-маршрутизатора.

esr(config-if-gi)# vrrp id <VRID>

<VRID> – идентификатор VRRP-маршрутизатора, принимает значения [1..255].

esr(config-if-gi)# ipv6 vrrp id <VRID>

6

Установить приоритет VRRP-маршрутизатора (не обязательно).

esr(config-if-gi)# vrrp priority <PR>

<PR> – приоритет VRRP-маршрутизатора, принимает значения [1..254].

Значение по умолчанию: 100.

esr(config-if-gi)# ipv6 vrrp priority <PR>

7

Установить принадлежность VRRP-маршрутизатора к группе. Группа предоставляет возможность синхронизировать несколько VRRP-процессов, так если в одном из процессов произойдет смена мастера, то в другом процессе также произойдёт смена ролей (не обязательно).

esr(config-if-gi)# vrrp group <GRID>

<GRID> – идентификатор группы VRRP-маршрутизатора, принимает значения [1..32].

esr(config-if-gi)# ipv6 vrrp group <GRID>

8

Установить IP-адрес, который будет использоваться в качестве IP-адреса отправителя для VRRP-сообщений (не обязательно).

esr(config-if-gi)# vrrp source-ip <IP>

<IP> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

esr(config-if-gi)# ipv6 vrrp source-ip <IPV6>

<IPV6> – IPv6-адрес отправителя, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

9

Установить интервал между отправкой VRRP-сообщений (не обязательно).

esr(config-if-gi)# vrrp timers advertise <TIME>

<TIME> – время в секундах, принимает значения [1..40].

Значение по умолчанию: 1 секунда.

esr(config-if-gi)# ipv6 vrrp timers advertise <TIME>

10

Установить интервал, по истечении которого происходит отправка GratuituousARP-сообщения(ий) при переходе маршрутизатора в состояние Master (не обязательно).

esr(config-if-gi)# vrrp timers garp delay <TIME>

<TIME> – время в секундах, принимает значения [1..60].

Значение по умолчанию: 5 секунд.

11

Установить количество GratuituousARP-сообщений, которые будут отправлены при переходе маршрутизатора в состояние Master (не обязательно).

esr(config-if-gi)# vrrp timers garp repeat <COUNT>

<COUNT> – количество сообщений, принимает значения [1..60].

Значение по умолчанию: 5.

12

Установить интервал, по истечении которого будет происходить периодическая отправка GratuituousARP-сообщения(ий), пока маршрутизатор находится в состоянии Master (не обязательно).

esr(config-if-gi)# vrrp timers garp refresh <TIME>

<TIME> – время в секундах, принимает значения [1..65535].

Значение по умолчанию: Периодическая отправка отключена.

13

Установить количество GratuituousARP-сообщений, которые будут отправляться с периодом garprefresh, пока маршрутизатор находится в состоянии Master (не обязательно).

esr(config-if-gi)# vrrp timers garp refresh-repeat <COUNT>

<COUNT> – количество сообщений, принимает значения [1..60].

Значение по умолчанию: 1.

14

Определить, будет ли Backup-маршрутизатор с более высоким приоритетом пытаться перехватить на себя роль Master у текущего Master-маршрутизатора с более низким приоритетом (не обязательно).

esr(config-if-gi)# vrrp preempt disable


esr(config-if-gi)# ipv6 vrrp preempt disable

15

Установить временной интервал, по истечении которого Backup-маршрутизатор с более высоким приоритетом будет пытаться перехватить на себя роль Master у текущего Master-маршрутизатора с более низким приоритетом (не обязательно).

esr(config-if-gi)# vrrp preempt delay <TIME>

<TIME> – время ожидания, определяется в секундах [1..1000].

Значение по умолчанию: 0.

esr(config-if-gi)# ipv6 vrrp preempt delay <TIME>

16

Установить пароль для аутентификации с соседом (не обязательно).

esr(config-if-gi)# vrrp authentication key ascii-text
{ <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> }

<CLEAR-TEXT> – пароль, задаётся строкой от 8 до 16 символов;

<ENCRYPTED-TEXT> – зашифрованный пароль размером от 8 байт до 16 байт (от 16 до 32 символов) в шестнадцатеричном формате (0xYYYY...) или (YYYY...).

17

Определить алгоритм аутентификации (не обязательно).

esr(config-if-gi)# vrrp authentication algorithm <ALGORITHM>

<ALGORITHM> – алгоритм аутентификации:

  • cleartext – пароль, передается открытым текстом;
  • md 5 – пароль хешируется по алгоритму md5.

18

Задать версию VRRP-протокола (не обязательно).

esr(config-if-gi)# vrrp version <VERSION>

<VERSION> – версия VRRP-протокола: 2, 3.

19

Установить режим, когда vrrp IP-адрес остается в состоянии UP вне зависимости от состояния самого интерфейса (не обязательно).

esr(config-if-gi)# vrrp force-up


20

Определить задержку между установлением ipv6 vrrp состояния MASTER и началом рассылки ND-сообщений (не обязательно).

esr(config-if-gi)# ipv6 vrrp timers nd delay <TIME>

<TIME> – время в секундах, принимает значения [1..60].

Значение по умолчанию: 5.

21

Определить период обновления информации протокола ND для ipv6 vrrp в состоянии MASTER (не обязательно).

esr(config-if-gi)# ipv6 vrrp timers nd refresh <TIME>

<TIME> – время в секундах, принимает значения [1..65535].

Значение по умолчанию: 5.

22

Определить количество ND-сообщений отправляемых за период обновления для ipv6 vrrp в состоянии MASTER (не обязательно).

esr(config-if-gi)# ipv6 vrrp timers nd refresh-repeat <NUM>

<NUM> – количество, принимает значения [1..60].

Значение по умолчанию: 0.

23

Определить количество отправок ND-пакетов после установки ipv6 vrrp в состоянии MASTER (не обязательно).

esr(config-if-gi)# ipv6 vrrp timers nd repeat <NUM>

<NUM> – количество, принимает значения [1..60].

Значение по умолчанию: 1.

Пример настройки 1

Задача:

...

Примечание

При использовании IPsec с VRRP рекомендуется настраивать DPD для ускорения перестроения IPsec-туннеля.


Scroll Pagebreak

Настройка tracking

Tracking — механизм позволяющий активировать сущности в зависимости от состояния VRRP/SLA.

Алгоритм настройки

Шаг

Описание

Команда

Ключи

1

Настроить VRRP согласно разделу "Алгоритм настройки VRRP" или настроить SLA.

 


2

Добавить в систему Tracking-объект и перейти в режим настройки параметров Tracking-объекта.

esr(config)#track <ID>

<ID> – номер Tracking-объекта, принимает значения [1..100].

3

Задать правило слежения за VRRP/SLA-процессами, на основании которых Tracking-объект будет переходить в активное состояние.

esr(config-track)# track vrrp id <VRID> state [not] { master | backup | fault } [vrf <VRF> ]

<VRID> – идентификатор отслеживаемого VRRP-маршрутизатора, принимает значения [1..255];
<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

esr(config-track)# track sla test <NUM> [ mode <MODE> ]

<NUM> – номер SLA-теста, задается в диапазоне [1..10000];

<MODE> – режим слежения за sla-тестом, может принимать значения:

  • state – отслеживается состояние sla-теста;
  • reachability – отслеживается состояние канала связи, которое предоставляет sla-тест.

4

Включить Tracking-объект.

esr(config-track)#enable


5Установить задержку смены состояния отслеживаемого объекта (не обязательно).esr(config-track)# delay { down | up } <TIME>
<TIME> – время задержки в секундах, задается в диапазоне [1..300].
6Задать режим работы tracking (не обязательно).esr(config-track)# mode <MODE>

<MODE> – условие нахождения Tracking-объекта в активном состоянии, принимает значения:

  • and – Tracking-объект будет находиться в активном состоянии, если все отслеживаемые условия будут в активном состоянии;
  • or – Tracking-объект будет находиться в активном состоянии, если хотя бы одно отслеживаемое условие будет в активном состоянии.
7Cоздать сущность на ESR, которая будет меняться в зависимости от состояния Tracking-объекта.

7.1

Добавить возможность управления статическим IP-маршрутом к указанной подсети (не обязательно).

esr(config)# ip route [ vrf <VRF> ] <SUBNET> { <NEXTHOP> [ resolve ] |
interface <IF> | tunnel <TUN> | wan load-balance rule <RULE> |
blackhole | unreachable | prohibit } [ <METRIC> ] [ track <TRACK-ID> ]

<VRF> – имя экземпляра VRF, задается строкой до 31 символа;

<SUBNET> – адрес назначения, может быть задан в следующих видах:

AAA.BBB.CCC.DDD – IP-адрес хоста, где каждая часть принимает значения [0..255];

AAA.BBB.CCC.DDD/NN – IP-адрес подсети с маской в виде префикса, где AAA-DDD принимают значения [0..255] и NN принимает значения [1..32].

<NEXTHOP> – IP-адрес шлюза задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

  • resolve – при указании данного параметра IP-адрес шлюза будет рекурсивно вычислен через таблицу маршрутизации. Если при рекурсивном вычислении не удастся найти шлюз из напрямую подключенной подсети, то данный маршрут не будет установлен в систему;

<IF> – имя IP-интерфейса, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора;

<TUN> – имя туннеля, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора;

<RULE> – номер правила wan, задаётся в диапазоне [1..50];

  • blackhole – при указании команды пакеты до данной подсети будут удаляться устройством без отправки уведомлений отправителю;
  • unreachable – при указании команды пакеты до данной подсети будут удаляться устройством, отправитель получит в ответ ICMP Destination unreachable (Host unreachable, code 1);
  • prohibit – при указании команды, пакеты до данной подсети будут удаляться устройством, отправитель получит в ответ ICMP Destination unreachable (Communication administratively prohibited, code 13).

[METRIC] – метрика маршрута, принимает значения [0..255];

<TRACK-ID> – идентификатор Tracking-объекта. Если маршрут привязан к Tracking-объекту, то он появится в системе только при выполнении всех условий, заданных в объекте.

7.2Добавить возможность управления логическим состоянием интерфейса (не обязательно).

esr(config-if-gi)# shutdown track <ID>

<ID> – номер Tracking-объекта, принимает значения [1..100].
7.3Добавить возможность управления приоритетом VRRP-процесса (не обязательно).

esr(config-if-gi)# vrrp priority track <ID> { <PRIO> | increment <INC> | decrement <DEC> }

<ID> – номер Tracking-объекта, принимает значения в диапазоне [1..100];

<PRIO> – приоритет VRRP-процесса, который выставится, если Tracking-объект будет в активном состоянии, принимает значения в диапазоне [1..254];

<INC> – значение на которое увеличится приоритет VRRP-процесса, если Tracking-объект будет в активном состоянии, принимает значения в диапазоне [1..254];

<DEC> – значение на которое уменьшится приоритет VRRP-процесса, если Tracking-объект будет в активном состоянии, принимает значения в диапазоне [1..254].

7.4

Добавить возможность управления Next-Hop для пакетов, которые попадают под критерии в указанном списке доступа (ACL) (не обязательно).

esr(config-route-map-rule)# action set ip next-hop  verify-availability <NEXTHOP><METRIC> track <ID>

<NEXTHOP> – IP-адрес шлюза задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<METRIC> – метрика маршрута, принимает значения [0..255];

<ID> – номер Tracking-объекта, принимает значения [1..100].

7.5

Добавить возможность управления атрибутом BGP AS-Path, которое будет добавляться в начало списка AS-Path (не обязательно).

esr(config-route-map-rule)# action set as-path
prepend <AS-PATH> track <ID>

<AS-PATH> – список номеров автономных систем, который будет добавлен к текущему значению в маршруте. Задаётся в виде AS,AS,AS, принимает значения [1..4294967295];

<ID> – номер Tracking-объекта, принимает значения [1..100].

7.6

Добавить возможность управления атрибутом BGP MED в маршруте, для которого должно срабатывать правило (не обязательно).

esr(config-route-map-rule)# action set metric bgp <METRIC> track <ID>

<METRIC> – значение атрибута BGPMED, принимает значения [0..4294967295];

<ID> – номер Tracking-объекта, принимает значения [1..100].

...

Firewall failover необходим для резервирования сессий firewall.

Алгоритм настройки

Шаг

Описание

Команда

Ключи

1

Выбор режима обмена информацией между маршрутизаторами.

 ip firewall failover sync-type <MODE>

<MODE> – режим обмена информацией:

  • unicast – режим unicast;
  • multicast – режим multicast.
2Выбор IP-адреса сетевого интерфейса, с которого будут отправляться сообщения при работе Firewall в режиме резервирования сессий.ip firewall failover source-address <ADDR><ADDR> – IP-адрес сетевого интерфейса, с которого будут отправляться сообщения, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].Настройка IP-адреса соседа при работе резервирования сессий Firewall в unicast-режиме.ip firewall failover destination-address <ADDR><ADDR> – IP-адрес соседа, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Настройка многоадресного IP-адреса, который будет использоваться для обмена информации при работе резервирования сессий Firewall в multicast-режиме.ip firewall failover multicast-address <ADDR><ADDR> – многоадресный IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
4Если резервирование сессий Firewall работает в multicast-режиме, то необходимо настроить идентификатор multicast-группы.ip firewall failover multicast-group <GROUP><GROUP> – multicast-группа, указывается в диапазоне [1000..9999].
5Настройка номера UDP-порта службы резервирования сессий Firewall, через который происходит обмен информацией при работе в unicast-режиме (не обязательно).ip firewall failover port <PORT><PORT> – номер порта службы резервирования сессий Firewall, указывается в диапазоне [1..65535].
6Привязка VRRP-группы, на основе которой определяется состояние (основной/резервный) маршрутизатора при резервировании сессий Firewall (не обязательно).ip firewall failover vrrp-group <GRID><GRID> – идентификатор группы VRRP-маршрутизатора, принимает значения [1..32].
73Включение резервирования сессий Firewall.ip firewall failover

...

Блок кода
master(config)# ip firewall failover sync-type unicast

Выберем IP-адреса сетевого интерфейса, с которого будут отправляться сообщения при работе Firewall в режиме резервирования сессий:

...

В таком режимe будут назначены адреса из ip failover: locaal-address и remote-address

Блок кода
esr(config)# ip firewallfailover
esr(config-failover)# sourcelocal-address 203192.0.113.1

Настроим IP-адреса соседа при работе резервирования сессий Firewall в unicast-режиме:

Блок кода
master(config)# ip firewall failover destination-address 203.0.113.2168.0.2
esr(config-failover)# remote-address 192.168.0.3

Настроим номер UDP-порта службы резервирования сессий Firewall:

...

Блок кода
backup(config)# ip firewall failover sync-type unicast
backup(config)# ip firewall failover source-address 203.0.113.2
backup(config)# ip firewall failover destination-address 203.0.113.1
backup(config)# ip firewall failover port 3333
backup(config)# ip firewall failover vrrp-group 1
backup(config)# ip firewall failover

Настройка зоны безопасности аналогична настройке на маршрутизаторе ESR-1 (master).

...

DHCP failover используется для резервирования базы IP-адресов, которые были динамически выданы в процессе работы DHCP-server.

Алгоритм настройки

Шаг

Описание

Команда

Ключи

1

Переход в конфигурационное меню DHCP failover для его настройки.

ip dhcp-server failover [ vrf <VRF> ]

<VRF> – имя VRF, задается строкой до 31 символа;

2Выбор режима работы DHCP failover.mode { active-active | active-standby }

active-active – режим работы с двумя активными маршрутизаторами;

active-standby – режим работы с одним активным маршрутизатором и одним резервным.

Настройка IP-адреса, с которого будет работать DHCP failover.local-address <ADDR><ADDR> – IP-адрес соседа, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
4Настройка удаленного IP-адреса соседа, с которым будет работать DHCP failover.remote-address <ADDR>
<ADDR> – IP-адрес соседа, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
5Настройка 3Настройка роли DHCP failover, при работе резервирования в режиме Active-Active.role <ROLE>

<ROLE> – роль DHCP-сервера при работе в режиме резервирования:

  • primary – режим активного DHCP-сервера;
  • secondary – режим резервного DHCP-сервера.
6Привязка VRRP-группы, на основе которой определяется состояние (основной/резервный) маршрутизатора при резервировании сессий в режиме Active-Standby.vrrp-group <GRID><GRID> – идентификатор группы VRRP-маршрутизатора, принимает значения [1..32].
74Включение резервирования DHCP failover.enable

...

Блок кода
master(config)# ip dhcp-server pool LAN
master(config-dhcp-server)# network 192.0.2.0/24
master(config-dhcp-server)# address-range 192.0.2.10-192.0.2.20
master(config-dhcp-server)# exit
master(config)# ip dhcp-server 
master(config)# ip dhcp-server failover 
master(config-dhcp-server-failover)# mode active-standby 
master(config-dhcp-server-failover)# local-address 203.0.113.1
master(config-dhcp-server-failover)# remote-address 203.0.113.2
master(config-dhcp-server-failover)# vrrp-group 1
master(config-dhcp-server-failover)# enable 
master(config-dhcp-server-failover)# exit

...

Блок кода
backup(config)# ip dhcp-server pool LAN
backup(config-dhcp-server)# network 192.0.2.0/24
backup(config-dhcp-server)# address-range 192.0.2.10-192.0.2.20
backup(config-dhcp-server)# exit
backup(config)# ip dhcp-server
backup(config)# ip dhcp-server failover
backup(config-dhcp-server-failover)# mode active-standby
backup(config-dhcp-server-failover)# local-address 203.0.113.2
backup(config-dhcp-server-failover)# remote-address 203.0.113.1
backup(config-dhcp-server-failover)# vrrp-group 1
backup(config-dhcp-server-failover)# enable
backup(config-dhcp-server-failover)# exit

...