...
| Блок кода | ||
|---|---|---|
| ||
ESR-1# show high-availability state
DHCP server:
State: Disabled
Last state change: --
crypto-sync:
State: Disabled
Firewall sessions and NAT translations:
VRF: --
Tracking VRRP Group 1
Tracking VRRP Group state: Master
State: Successful synchronization
Fault Reason: --
Last synchronization: 2025-01-09 13:36:13 |
Пример настройки нескольких экземпляров Firewall Failover, каждый в своём VRF
Задача:
Настроить несколько экземпляров Firewall-failover в кластере маршрутизаторов ESR-1 и ESR-2, каждый в своем VRF, со следующими параметрами:
- режим резервирования сессий unicast;
- номер UDP-порта службы резервирования 9999;
- настроить приоритеты у разных Firewall Failover так, чтобы один был Master в одном VRF, а в другом был Backup;
- клиентская подсеть через VRF FRST_ACTIVE : 192.0.2.0/24;
- клиентская подсеть через VRF SEC_ACTIVE : 203.0.113.0/24.
Рисунок 3 — Схема реализации Firewall-failover
Исходная конфигурация кластера:
| Блок кода | ||
|---|---|---|
| ||
cluster
cluster-interface bridge 7
unit 1
mac-address a2:00:00:10:c0:00
exit
unit 2
mac-address a2:00:00:10:d0:00
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
ip vrf FRST_ACTIVE
exit
ip vrf SEC_ACTIVE
exit
security zone SYNC
exit
security zone LAN_F_ACTIVE
ip vrf forwarding FRST_ACTIVE
exit
security zone LAN_S_ACTIVE
ip vrf forwarding SEC_ACTIVE
exit
security zone WAN_F_ACTIVE
ip vrf forwarding FRST_ACTIVE
exit
security zone WAN_S_ACTIVE
ip vrf forwarding SEC_ACTIVE
exit
bridge 7
vlan 1
security-zone SYNC
ip firewall disable
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/1.10
ip vrf forwarding FRST_ACTIVE
security-zone WAN_F_ACTIVE
ip address 128.66.0.5/30
vrrp id 2
vrrp ip 128.66.0.1/30
vrrp group 2
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 1/0/1.20
ip vrf forwarding SEC_ACTIVE
security-zone WAN_S_ACTIVE
ip address 128.66.0.9/30
vrrp id 3
vrrp ip 128.66.0.13/30
vrrp group 3
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 1/0/2.10
ip vrf forwarding FRST_ACTIVE
security-zone LAN_F_ACTIVE
ip address 128.66.0.18/30
vrrp id 4
vrrp ip 192.0.2.1/24
vrrp priority 120
vrrp group 2
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 1/0/2.20
ip vrf forwarding SEC_ACTIVE
security-zone LAN_S_ACTIVE
ip address 128.66.0.22/30
vrrp id 5
vrrp ip 203.0.113.1/24
vrrp priority 110
vrrp group 3
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 1/0/3
mode switchport
exit
interface gigabitethernet 2/0/1.10
ip vrf forwarding FRST_ACTIVE
security-zone WAN_F_ACTIVE
ip address 128.66.0.5/30
vrrp id 2
vrrp ip 128.66.0.1/30
vrrp group 2
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 2/0/1.20
ip vrf forwarding SEC_ACTIVE
security-zone WAN_S_ACTIVE
ip address 128.66.0.9/30
vrrp id 3
vrrp ip 128.66.0.13/30
vrrp group 3
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 2/0/2.10
ip vrf forwarding FRST_ACTIVE
security-zone LAN_F_ACTIVE
ip address 128.66.0.17/30
vrrp id 4
vrrp ip 192.0.2.1/24
vrrp priority 110
vrrp group 2
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 2/0/2.20
ip vrf forwarding SEC_ACTIVE
security-zone LAN_S_ACTIVE
ip address 128.66.0.21/30
vrrp id 5
vrrp ip 203.0.113.1/24
vrrp priority 120
vrrp group 3
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 2/0/3
mode switchport
exit
security zone-pair SYNC self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit
security zone-pair LAN_F_ACTIVE self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit
security zone-pair LAN_S_ACTIVE self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit
security zone-pair WAN_F_ACTIVE self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit
security zone-pair WAN_S_ACTIVE self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit
security zone-pair LAN_F_ACTIVE WAN_F_ACTIVE
rule 1
action permit
enable
exit
exit
security zone-pair LAN_S_ACTIVE WAN_S_ACTIVE
rule 1
action permit
enable
exit
exit |
Решение:
Сконфигурируем object-group для настройки failover-сервисов:
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config)# object-group network DST_FRST_ACTIVE
ESR-1(config-object-group-network)# ip address-range 128.66.0.17 unit 1
ESR-1(config-object-group-network)# ip address-range 128.66.0.18 unit 2
ESR-1(config-object-group-network)# exit
ESR-1(config)# object-group network DST_SEC_ACTIVE
ESR-1(config-object-group-network)# ip address-range 128.66.0.21 unit 1
ESR-1(config-object-group-network)# ip address-range 128.66.0.22 unit 2
ESR-1(config-object-group-network)# exit
ESR-1(config)# object-group network SRC_FRST_ACTIVE
ESR-1(config-object-group-network)# ip address-range 128.66.0.18 unit 1
ESR-1(config-object-group-network)# ip address-range 128.66.0.17 unit 2
ESR-1(config-object-group-network)# exit
ESR-1(config)# object-group network SRC_SEC_ACTIVE
ESR-1(config-object-group-network)# ip address-range 128.66.0.22 unit 1
ESR-1(config-object-group-network)# ip address-range 128.66.0.21 unit 2
ESR-1(config-object-group-network)# exit
|
Перейдем к настойке ip failover для каждого VRF, настроим там local-address/remote-address и укажем привязки к соответствующим VRRP-group, на основе которых будет определяться, кто из маршрутизаторов будет синхронизировать сессии:
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config)# ip failover vrf FRST_ACTIVE
ESR-1(config-failover)# local-address object-group SRC_FRST_ACTIVE
ESR-1(config-failover)# remote-address object-group DST_FRST_ACTIVE
ESR-1(config-failover)# vrrp-group 2
ESR-1(config-failover)# exit
ESR-1(config)# ip failover vrf SEC_ACTIVE
ESR-1(config-failover)# local-address object-group SRC_SEC_ACTIVE
ESR-1(config-failover)# remote-address object-group DST_SEC_ACTIVE
ESR-1(config-failover)# vrrp-group 3
ESR-1(config-failover)# exit |
Перейдем к настройкеFirewall-failover, каждый в своем VRF. Для каждого экземпляра необходимо указать режим синхронизирования unicast, настроить port 9999, а также включить его:
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config)# ip firewall failover vrf FRST_ACTIVE
ESR-1(config-firewall-failover)# sync-type unicast
ESR-1(config-firewall-failover)# port 9999
ESR-1(config-firewall-failover)# enable
ESR-1(config-firewall-failover)# exit
ESR-1(config)# ip firewall failover vrf SEC_ACTIVE
ESR-1(config-firewall-failover)# sync-type unicast
ESR-1(config-firewall-failover)# port 9999
ESR-1(config-firewall-failover)# enable
ESR-1(config-firewall-failover)# exit |
Разрешим в настройках firewall работу Firewall-failover в соответствующих зонах:
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config)# object-group service FAILOVER
ESR-1(config-object-group-service)# port-range 9999
ESR-1(config-object-group-service)# exit
ESR-1(config)# security zone-pair LAN_F_ACTIVE self
ESR-1(config-security-zone-pair)# rule 3
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol udp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group FAILOVER
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit
ESR-1(config)# security zone-pair LAN_S_ACTIVE self
ESR-1(config-security-zone-pair)# rule 3
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol udp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group FAILOVER
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit |
После успешного запуска Firewall-failover можно посмотреть состояние резервирования сессий Firewall с помощью следующей команды:
Просмотреть VRRP статусы в разных VRF можно используя команду, убедимся что в одном VRF устройство находится в статусе Master, а в другом VRF в статусе Backup:
| Блок кода | ||
|---|---|---|
| ||
ESR-1# show vrrp vrf FRST_ACTIVE
Unit 1* 'ESR-1'
---------------
Virtual router Virtual IP Priority Preemption State Inherit Sync group ID
-------------- --------------------------------- -------- ---------- ------ ------- -------------
2 128.66.0.1/30 100 Enabled Master -- 2
4 192.0.2.1/24 120 Enabled Master -- 2
Unit 2 'ESR-2'
--------------
Virtual router Virtual IP Priority Preemption State Inherit Sync group ID
-------------- --------------------------------- -------- ---------- ------ ------- -------------
2 128.66.0.1/30 100 Enabled Backup -- 2
4 192.0.2.1/24 110 Enabled Backup -- 2
ESR-1# show vrrp vrf SEC_ACTIVE
Unit 1* 'ESR-1'
---------------
Virtual router Virtual IP Priority Preemption State Inherit Sync group ID
-------------- --------------------------------- -------- ---------- ------ ------- -------------
3 128.66.0.13/30 100 Enabled Backup -- 3
5 203.0.113.1/24 110 Enabled Backup -- 3
Unit 2 'ESR-2'
--------------
Virtual router Virtual IP Priority Preemption State Inherit Sync group ID
-------------- --------------------------------- -------- ---------- ------ ------- -------------
3 128.66.0.13/30 100 Enabled Master -- 3
5 203.0.113.1/24 120 Enabled Master -- 3 |
Посмотреть состояние резервирования сессий Firewall с помощью следующей команды:
| Блок кода | ||
|---|---|---|
| ||
ESR-1# show ip firewall failover vrf FRST_ACTIVE
Communication interface: gigabitethernet 1/0/2.10
Status: Running
Bytes sent: 14660
Bytes received: 13912
Packets sent: 922
Packets received: 909
Send errors: 0
Receive errors: 0
Resend queue:
Active entries: 0
Errors:
No space left: 0
Hold queue:
Active entries: 0
Errors:
No space left: 0
ESR-1# show ip firewall failover vrf SEC_ACTIVE
Communication interface: gigabitethernet 1/0/2.20
Status: Running
Bytes sent: 14272
Bytes received: 14356
Packets sent: 926
Packets received: 912
Send errors: 0
Receive errors: 0
Resend queue:
Active entries: 1
Errors:
No space left: 0
Hold queue:
Active entries: 0
Errors:
No space left: 0 |
Также возможно узнать текущее состояние Firewall-failover сервиса во всех VRF, выполнив команду:
| Блок кода | ||
|---|---|---|
| ||
ESR-1# show high-availability state
DHCP server:
State: Disabled
Last state change: --
crypto-sync:
State: Disabled
Firewall sessions and NAT translations:
VRF: FRST_ACTIVE
State: Successful synchronization
Fault Reason: --
Last synchronization: 2025-02-06 09:08:30
VRF: SEC_ACTIVE
State: Successful synchronization
Fault Reason: --
Last synchronization: 2025-02-06 09:08:30 |
Сгенерируем по одной клиентской сессии из каждого LAN пула.
Посмотреть вывод текущих сессий на устройстве можно с помощью команды, убедимся что в выводе есть сессия только для того VRF, в котором устройство является в статусе Master:
| Блок кода | ||
|---|---|---|
| ||
ESR-1# show ip firewall sessions vrf FRST_ACTIVE protocol tcp
Codes: E - expected, U - unreplied,
A - assured, C - confirmed
Prot Aging Inside source Inside destination Outside source Outside destination Pkts Bytes Status
----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------
tcp 110 192.0.2.10:40106 128.66.0.2:22 192.0.2.10:40106 128.66.0.2:22 -- -- AC
ESR-1# show ip firewall sessions vrf SEC_ACTIVE protocol tcp |
Посмотреть вывод кэшей, используемых для работы Firewal-failover, на устройстве можно с помощью команды, убедимся что для одного из VRF сессия находится в internal cash, а для второго VRF сессия находится в external cash:
| Блок кода | ||
|---|---|---|
| ||
ESR-1# show ip firewall sessions failover external vrf FRST_ACTIVE
ESR-1# show ip firewall sessions failover internal vrf FRST_ACTIVE
Codes: E - expected, U - unreplied,
A - assured, C - confirmed
Prot Aging Inside source Inside destination Outside source Outside destination Pkts Bytes Status
----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------
tcp 0 192.0.2.10:40106 128.66.0.2:22 128.66.0.2:22 192.0.2.10:40106 -- -- AC
ESR-1# show ip firewall sessions failover external vrf SEC_ACTIVE
Codes: E - expected, U - unreplied,
A - assured, C - confirmed
Prot Aging Inside source Inside destination Outside source Outside destination Pkts Bytes Status
----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------
tcp 0 203.0.113.10:36012 128.66.0.14:22 128.66.0.14:22 203.0.113.10:36012 -- -- AC
ESR-1# show ip firewall sessions failover internal vrf SEC_ACTIVE |
Настройка DHCP-failover
DHCP-failover позволяет обеспечить высокую доступность службы DHCP.
С алгоритмом настройки DHCP-failover можно ознакомиться по ссылке в разделе: Алгоритм настройки DHCP-failover.
Пример настройки
Задача:
Настроить DHCP-failover в кластере маршрутизаторов ESR-1 и ESR-2 со следующими параметрами:
...
Рисунок 4 — Схема реализации DHCP-failover
Исходная конфигурация кластера:
| Блок кода | ||
|---|---|---|
| ||
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone LAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp
enable
exit
interface gigabitethernet 1/0/2
security-zone LAN
ip address 192.0.2.254/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
security-zone LAN
ip address 192.0.2.253/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit |
Решение:
Выполним настройку DHCP-сервера. В качестве default-router и dns-server используется IP-адрес VRRP:
...
Пример настройки нескольких DHCP-failover, каждый в своем VRF
Задача:
Настроить два экземпляра DHCP-failover, каждый в своём VRF, в кластере маршрутизаторов ESR-1 и ESR-2 со следующими параметрами:
...
Рисунок 4 — Схема реализации DHCP-failover
Исходная конфигурация кластера:
| Блок кода | ||
|---|---|---|
| ||
cluster
cluster-interface bridge 7
unit 1
mac-address a2:00:00:10:c0:00
exit
unit 2
mac-address a2:00:00:10:d0:00
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
ip vrf FRST_ACTIVE
exit
ip vrf SEC_ACTIVE
exit
security zone SYNC
exit
security zone FRST_ACTIVE
ip vrf forwarding FRST_ACTIVE
exit
security zone SEC_ACTIVE
ip vrf forwarding SEC_ACTIVE
exit
bridge 7
vlan 1
security-zone SYNC
ip firewall disable
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/2.10
ip vrf forwarding FRST_ACTIVE
security-zone FRST_ACTIVE
ip address 192.0.2.254/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp priority 120
vrrp group 2
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 1/0/2.20
ip vrf forwarding SEC_ACTIVE
security-zone SEC_ACTIVE
ip address 203.0.113.254/24
vrrp id 3
vrrp ip 203.0.113.1/24
vrrp priority 110
vrrp group 3
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 1/0/3
mode switchport
exit
interface gigabitethernet 2/0/2.10
ip vrf forwarding FRST_ACTIVE
security-zone FRST_ACTIVE
ip address 192.0.2.253/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp priority 110
vrrp group 2
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 2/0/2.20
ip vrf forwarding SEC_ACTIVE
security-zone SEC_ACTIVE
ip address 203.0.113.253/24
vrrp id 3
vrrp ip 203.0.113.1/24
vrrp priority 120
vrrp group 3
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 2/0/3
mode switchport
exit
security zone-pair SYNC self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit
security zone-pair FRST_ACTIVE self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit
security zone-pair SEC_ACTIVE self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit |
Решение:
Выполним настройку DHCP-серверов. В качестве default-router и dns-server используется IP-адрес VRRP:
...
Рисунок 5 —Схема реализации SNMP
Задача:
- обеспечить возможность мониторинга сети через management-интерфейс каждого устройства в кластере:
- обеспечить возможность мониторинга состояния сети и внесения изменений в конфигурацию устройства, выполняющего роль VRRP Master;
- устройство управления (MGMT) доступно по IP-адресу 192.0.2.12.
Исходная конфигурация кластера:
| Блок кода |
|---|
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone MGMT
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp
enable
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit |
Решение:
Сконфигурируем необходимые сетевые интерфейсы для подключения к устройству управления с указанием их принадлежности к зоне безопасности:
...
С алгоритмом настройки можно ознакомиться по ссылке в разделе: Алгоритм настройки Source NAT.
Пример настройки
Задача:
- предоставить доступ в Интернет хостам, находящимся в локальной сети;
- клиентская подсеть: 192.0.2.0/24;
публичный IP адрес – VIP адрес на интерфейсе.
...
Рисунок 5 — Схема реализации Source NAT
Исходная конфигурация кластера:
| Блок кода |
|---|
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp
enable
exit
interface gigabitethernet 1/0/2
security-zone LAN
ip address 192.0.2.254/24
vrrp id 3
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
security-zone LAN
ip address 192.0.2.253/24
vrrp id 3
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit |
Решение:
Сконфигурируем необходимые сетевые интерфейсы для подключения к провайдеру с указанием их принадлежности к зоне безопасности:
...
Функция Destination NAT (DNAT) выполняет преобразование IP-адреса назначения в заголовках пакетов, проходящих через сетевой шлюз. DNAT применяется для перенаправления трафика, адресованного на IP-адрес в публичном сегменте сети, на «реальный» IP-адрес сервера, расположенного в локальной сети за шлюзом.
Пример настройки
Задача:
- организовать публичный доступа к серверу, находящемуся в частной сети и не имеющему публичного сетевого адреса;
- сервер доступен по адресу: 192.0.2.12/24;
...
Рисунок 6 — Схема реализации Destination NAT
Исходная конфигурация кластера:
| Блок кода |
|---|
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp
enable
exit
interface gigabitethernet 1/0/2
security-zone LAN
ip address 192.0.2.254/24
vrrp id 3
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
security-zone LAN
ip address 192.0.2.253/24
vrrp id 3
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit |
Решение:
Сконфигурируем необходимые сетевые интерфейсы для подключения к DMZ-серверу с указанием их принадлежности к зоне безопасности:
...
Пример настройки eBGP с общим IP-адресом
Задача:
Настроить BGP-протокол в кластере маршрутизаторов ESR-1 и ESR-2 со следующими параметрами:
...
Рисунок 7 — Схема реализации eBGP с общим IP-адресом
Исходная конфигурация кластера:
| Блок кода | ||
|---|---|---|
| ||
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone LAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/2
security-zone LAN
ip address 192.0.2.254/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
security-zone LAN
ip address 192.0.2.253/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit |
Решение:
Сконфигурируем необходимые сетевые интерфейсы:
...
Пример настройки eBGP с каждым участником кластера по индивидуальным IP-адресам
Задача:
Настроить BGP-протокол в кластере маршрутизаторов ESR-1 и ESR-2 со следующими параметрами:
...
| Блок кода | ||
|---|---|---|
| ||
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone LAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/1.100
security-zone WAN
ip address 192.0.2.9/29
vrrp id 2
vrrp ip 198.51.100.2/30
vrrp group 1
vrrp
wan load-balance nexthop 198.51.100.1
wan load-balance enable
exit
interface gigabitethernet 1/0/1.200
security-zone WAN
ip address 192.0.2.17/29
vrrp id 3
vrrp ip 198.51.100.6/30
vrrp group 1
vrrp
wan load-balance nexthop 198.51.100.5
wan load-balance enable
exit
interface gigabitethernet 1/0/2
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/3
security-zone LAN
ip address 128.66.0.2/24
vrrp id 4
vrrp ip 128.66.0.1/24
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/1.100
security-zone WAN
ip address 192.0.2.10/29
vrrp id 2
vrrp ip 198.51.100.2/30
vrrp group 1
vrrp
wan load-balance nexthop 198.51.100.1
wan load-balance enable
exit
interface gigabitethernet 2/0/1.200
security-zone WAN
ip address 192.0.2.18/29
vrrp id 3
vrrp ip 198.51.100.6/30
vrrp group 1
vrrp
wan load-balance nexthop 198.51.100.5
wan load-balance enable
exit
interface gigabitethernet 2/0/2
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/3
security-zone LAN
ip address 128.66.0.3/24
vrrp id 4
vrrp ip 128.66.0.1/24
vrrp group 1
vrrp
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit |
Решение:
Сконфигурируем необходимые сетевые интерфейсы:
...
Пример настройки в кластере DMVPN Single Hub Dual Cloud схемы
Задача:
Организовать DMVPN между офисами компании, используя mGRE-туннели, NHRP (Next Hop Resolution Protocol), протокол динамической маршрутизации (BGP), IPsec. В данном примере будет HUB-маршрутизатор, который находится в кластере, и два филиала. HUB – это DMVPN-cервер (NHS), а филиалы – DMPVN-клиенты (NHC).
...
| Блок кода | ||
|---|---|---|
| ||
hostname SPOKE-2 security zone LAN exit security zone WAN exit interface gigabitethernet 1/0/1 security-zone WAN ip address 198.51.100.14/30 exit interface gigabitethernet 1/0/2 security-zone LAN ip address 128.66.2.1/24 exit ip route 198.51.100.0/30 198.51.100.13 ip route 198.51.100.4/30 198.51.100.13 ip route 198.51.100.8/30 198.51.100.13 |
Решение:
- Конфигурирование HUB
Создадим туннели mGRE, каждый через свой CLOUD, определим принадлежность к зоне безопасности, настроим NHRP и включим туннель и NHRP командой enable:
...