...
Шаг | Описание | Команда | Ключи |
|---|
| 1 | Сменить юнит у устройства, при необходимости. (смена юнита устройства вступает в силу после перезагрузки) | esr# set unit id <ID> | <ID> – номер юнита, принимает значения [1..2]. |
| 2 | Перейти в режим конфигурирования сетевого моста, который будет использован в качестве кластерного интерфейса. | esr(config)# bridge <BR-NUM> | <BR-NUM> – номер сетевого моста. |
| 3 | Указать IPv4-адрес и маску подсети для кластерного интерфейса. Необходимо установить адреса для всех юнитов кластера. (для работы кластерного интерфейса поддерживается только IPv4-адресация) | esr(config-bridge)# ip address <ADDR/LEN> [unit <ID>] | <ADDR/LEN> – IP-адрес и длина маски подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. <ID> – номер юнита, принимает значения [1..2]. Дополнительные функции IPv4-адресации см. в разделе Настройка IP-адресации. |
| 4 | Установить идентификатор VRRP-маршрутизатора. | 192.esr(config-bridge)# vrrp id <VRID> | <VRID> – идентификатора VRRP-маршрутизатора, принимает значения [1..255]. |
| 5 | Установить виртуальный IP-адрес VRRP-маршрутизатора (адрес должен быть из той же подсети, что и ip address у юнитов). | esr(config-bridge)# vrrp ip <ADDR/LEN> [ secondary ] | <ADDR/LEN> – виртуальный IP-адрес и длина маски, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. Можно указать несколько
IP-адресов перечислением через запятую. Может быть назначено до 8 IP-адресов на интерфейс.
secondary – ключ для установки дополнительного IP-адреса. |
| 6 | Установить принадлежность VRRP-маршрутизатора к группе. Группа предоставляет возможность синхронизировать несколько VRRP-процессов, так если в одном из процессов произойдет смена мастера, то в другом процессе также произойдёт смена ролей. | esr(config-bridge)# vrrp group <GRID> | <GRID> – идентификатор группы VRRP-маршрутизатора, принимает значения [1..32] |
| 7 | Включить VRRP-процесс на IP-интерфейсе. | esr(config-bridge)# vrrp |
|
| 8 | Активировать сетевой мост. | esr(config-bridge)# enable |
|
9 | Перейти в режим конфигурирования кластера. | esr(config)# cluster |
|
| 10 | Установить интерфейс, через который будет происходить обмен служебными сообщениями между юнитами в кластере. | esr(config-cluster)# cluster-interface bridge [<BRIDGE-ID>] | <BRIDGE-ID> – идентификационный номер моста, задается в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора. |
| 11 | Отключить синхронизацию конфигураций в кластере между юнитами (не обязательно). | esr(config-cluster)# sync config disable |
|
| 12 | Перейти в режим конфигурирования юнита в кластере. | esr(config-cluster)# unit <ID> | <ID> – номер юнита, принимает значения [1..2]. |
| 13 | Настроить MAC-адрес для определенного юнита. | esr(config-cluster-unit)# mac-address <ADDR> | <ADDR> – МАС-адрес сетевого моста, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. |
| 14 | Включить работу кластера. | esr(config-cluster)# enable |
|
...
Технология MultiWAN позволяет организовать отказоустойчивое соединение с резервированием линков от нескольких провайдеров, а также решает проблему балансировки трафика между резервными линками.
С С алгоритмом настройки MultiWAN можно ознакомиться по ссылке в разделе: Алгоритм настройки MultiWAN.
...
| Блок кода |
|---|
|
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit |
...
| Блок кода |
|---|
|
ESR-1(config)# security zone TRUSTEDLAN
ESR-1(config-security-zone)# exit
ESR-1(config)# security zone ISP1_ISP2WAN
ESR-1(config-security-zone)# exit |
...
| Блок кода |
|---|
|
ESR-1(config)# wan load-balance target-list ISP1_ISP2WAN
ESR-1(config-wan-target-list)# target 1
ESR-1(config-wan-target)# resp-time 1
ESR-1(config-wan-target)# ip address 8128.866.80.817
ESR-1(config-wan-target)# enable
ESR-1(config-wan-target)# exit
ESR-1(config-wan-target-list)# exit |
Настроим интерфейсы в зону TRUSTEDLAN:
| Блок кода |
|---|
|
ESR-1(config)# interface gigabitethernet 1/0/2
ESR-1(config-if-gi)# description "Network: TRUSTED"
ESR-1(config-if-gi)# security-zone TRUSTEDLAN
ESR-1(config-if-gi)# ip address 192.0.2.254/24
ESR-1(config-if-gi)# vrrp id 32
ESR-1(config-if-gi)# vrrp ip 192.0.2.1/24
ESR-1(config-if-gi)# vrrp group 1
ESR-1(config-if-gi)# vrrp
ESR-1(config-if-gi)# exit
ESR-1(config)# interface gigabitethernet 2/0/2
ESR-1(config-if-gi)# description "Network: TRUSTED"
ESR-1(config-if-gi)# security-zone TRUSTEDLAN
ESR-1(config-if-gi)# ip address 192.0.2.253/24
ESR-1(config-if-gi)# vrrp id 32
ESR-1(config-if-gi)# vrrp ip 192.0.2.1/24
ESR-1(config-if-gi)# vrrp group 1
ESR-1(config-if-gi)# vrrp
ESR-1(config-if-gi)# exit |
Настроим интерфейсы в зону сторону провайдера ISP1:
| Блок кода |
|---|
|
ESR-1(config)# interface gigabitethernet 1/0/2.3.111
ESR-1(config-subif)# description "Network: ISP1"
ESR-1(config-subifif-sub)# security-zone ISP1_ISP2WAN
ESR-1(config-subifif-sub)# ip address 203128.66.0.112.2546/2430
ESR-1(config-if-subifsub)# vrrp id 1113
ESR-1(config-subifif-sub)# vrrp ip 203128.66.0.112.2/2430
ESR-1(config-if-subifsub)# vrrp group 1
ESR-1(config-if-subifsub)# vrrp
ESR-1(config-if-subifsub)# wan load-balance nexthop 203128.66.0.112.1
ESR-1(config-subif)# wan load-balance success-count 1
ESR-1(config-subifif-sub)# wan load-balance target-list ISP1_ISP2WAN
ESR-1(config-if-subifsub)# wan load-balance enable
ESR-1(config-subifif-sub)# exit
ESR-1(config)# interface gigabitethernet 2/0/2.3.111
ESR-1(config-if-subifsub)# description "Network: ISP1"security-zone WAN
ESR-1(config-if-subifsub)# security-zone ISP1_ISP2
ESR-1(config-subif)# ip address 203.0.112.253/24ip address 128.66.0.5/30
ESR-1(config-if-subifsub)# vrrp id 1113
ESR-1(config-if-subifsub)# vrrp ip 203128.66.0.112.2/2430
ESR-1(config-if-subifsub)# vrrp group 1
ESR-1(config-if-subifsub)# vrrp
ESR-1(config-if-subifsub)# wan load-balance nexthop 203128.66.0.112.1
ESR-1(config-subif)# wan load-balance success-count 1
ESR-1(config-subifif-sub)# wan load-balance target-list ISP1_ISP2WAN
ESR-1(config-if-subifsub)# wan load-balance enable
ESR-1(config-if-subifsub)# exit |
Настроим интерфейсы в зону сторону провайдера ISP2:
| Блок кода |
|---|
|
ESR-1(config)# interface gigabitethernet 1/0/32.2224
ESR-1(config-subif)# description "Network: ISP2"
ESR-1(config-subifif-sub)# security-zone ISP1_ISP2WAN
ESR-1(config-if-subifsub)# ip address 203128.66.0.113.25410/2430
ESR-1(config-if-subifsub)# vrrp id 2224
ESR-1(config-if-subifsub)# vrrp ip 203128.66.0.113.214/2430
ESR-1(config-if-subifsub)# vrrp group 1
ESR-1(config-subifif-sub)# vrrp
ESR-1(config-if-subifsub)# wan load-balance nexthop 203128.66.0.113.113
ESR-1(config-subif)# wan load-balance success-count 1
ESR-1(config-subifif-sub)# wan load-balance target-list ISP1_ISP2WAN
ESR-1(config-if-subifsub)# wan load-balance enable
ESR-1(config-if-subifsub)# exit
ESR-1(config)# interface gigabitethernet 2/0/32.2224
ESR-1(config-subif)# description "Network: ISP2"
ESR-1(config-subifif-sub)# security-zone ISP1_ISP2WAN
ESR-1(config-if-subifsub)# ip address 203128.66.0.113.2539/2430
ESR-1(config-subifif-sub)# vrrp id 2224
ESR-1(config-if-subifsub)# vrrp ip 203128.66.0.113.214/2430
ESR-1(config-if-subifsub)# vrrp group 1
ESR-1(config-if-subifsub)# vrrp
ESR-1(config-if-subifsub)# wan load-balance nexthop 203128.66.0.113.113
ESR-1(config-subif)# wan load-balance success-count 1
ESR-1(config-subifif-sub)# wan load-balance target-list ISP1_ISP2WAN
ESR-1(config-subifif-sub)# wan load-balance enable
ESR-1(config-if-subifsub)# exit |
Укажем статический маршрут и создадим правило для балансировки трафика:
| Блок кода |
|---|
|
ESR-1(config)# ip route 0.0.0.0/0 wan load-balance rule 1 10
ESR-1(config)# wan load-balance rule 1
ESR-1(config-wan-rule)# outbound interface gigabitethernet 1/0/2.3.111 70
ESR-1(config-wan-rule)# outbound interface gigabitethernet 1/0/32.2224 30
ESR-1(config-wan-rule)# outbound interface gigabitethernet 2/0/2.3.222 3070
ESR-1(config-wan-rule)# outbound interface gigabitethernet 2/0/32.1114 7030
ESR-1(config-wan-rule)# enable
ESR-1(config-wan-rule)# exit |
Разрешим работу протокола VRRP и протокола ICMP в зоне ISP1_ISP2 WAN и TRUSTEDLAN:
| Блок кода |
|---|
|
ESR-1(config)# security zone-pair ISP1_ISP2WAN self
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol icmp
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# rule 2
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol vrrp
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit
ESR-1(config)# security zone-pair TRUSTEDLAN self
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol icmpvrrp
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# rule 2
exit |
Проверить состояние работы MultiWAN можно с помощью команды:
| Блок кода |
|---|
| (config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol vrrp
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit |
ESR-1# show wan rules
Rule 1 detailed information:
VRF: default
Failover: Disabled
Network: 0.0.0.0/0 Metric: 10
gi1/0/2.3 Weight: 70 Nexthop: 128.66.0.1 [Active]
gi1/0/2.4 Weight: 30 Nexthop: 128.66.0.13 [Active] |
Также состояние работы MultiWAN Проверить состояние можно с помощью команды:
| Блок кода |
|---|
|
ESR-1# show wan interfaces status
Interface Nexthop Status Uptime/Downtime
(d,h:m:s)
-------------------- ----------------------- -------- ------------------------------------------
gi1/0/2.3.111 203128.66.0.112.1 Active 7 minute and 58 seconds00,00:00:44
gi1/0/2.4
gi1/0/3.222128.66.0.13 203.0.113.1 Active 00,00:00:45 Active 7 minute and 58 seconds |
Настройка IPsec VPN
IPsec — это набор протоколов, обеспечивающих защиту данных, передаваемых по протоколу IP. Данный набор протоколов позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и шифрование IP-пакетов, а также включает в себя протоколы для защищённого обмена ключами в сети Интернет.
IPsec представляет собой совокупность протоколов, предназначенных для защиты данных, передаваемых по IP. Данный набор обеспечивает аутентификацию, проверку целостности и шифрование IP-пакетов, а также включает механизмы для безопасного обмена ключами в сети Интернет.
С алгоритмом настройки IPsec VPN можно ознакомиться по ссылке в разделе: Алгоритм настройки IPsec VPN.
Пример настройки Route-based IPsec VPN
Route-based IPsec VPN использует виртуальный туннельный интерфейс (VTI), через который трафик маршрутизируется в VPN-туннель. Такой подход позволяет интегрировать туннель в таблицу маршрутизации, поддерживать динамические протоколы маршрутизации и обеспечивает более гибкое управление трафиком.
С алгоритмом настройки Route-based IPsec VPN можно ознакомиться по ссылке в разделе: Алгоритм настройки Route-based IPsec VPN.
Задача:
- Настроить IPsec туннель. Туннель необходимо поднять между адресами: кластер – 203.0.113.252 (VIP адрес), ответная сторона – 203.0.113.1;
IKE:
- группа Диффи-Хэллмана: 2;
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5.
IP sec:
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5
- обеспечить безопасность данных, передаваемых между LAN-сетями, посредством использования протокола IPsec, предоставляющего аутентификацию, проверку целостности и шифрование IP-пакетов;
- обеспечить, чтобы IPsec применялся для шифрования VTI-туннеля;
- создать зашифрованный IPsec-туннель, основанный на VIP IP-адресе;
- метод направления трафика в туннель — Route-based
Рисунок 3 — Схема реализации Route-based IPsec VPN
...
| Блок кода |
|---|
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone WANLAN
exit
security zone TUNNEL
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/1
security-zone LAN
ip address 192.0.2.254/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/1
security-zone LAN
ip address 192.0.2.253/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit |
Решение:
Сконфигурируем необходимые сетевые интерфейсы для подключения к провайдеру с указанием их принадлежности к зоне безопасности:
| Блок кода |
|---|
|
ESR-1(config)# interfacesecurity gigabitethernet 1/0/1zone WAN
ESR-1(config-ifsecurity-gizone)# security-zone WANexit
ESR-1(config-if-gi)# ipinterface addressgigabitethernet 192.0.3.1/241/0/2
ESR-1(config-if-gi)# vrrp id 2security-zone WAN
ESR-1(config-if-gi)# vrrpip ipaddress 203128.66.0.113.2522/2430
ESR-1(config-if-gi)# vrrp groupid 13
ESR-1(config-if-gi)# vrrp authentication key ascii-text encrypted 88B11079B51Dip 203.0.113.2/30
ESR-1(config-if-gi)# vrrp authenticationgroup algorithm md51
ESR-1(config-if-gi)# vrrp
ESR-1(config-if-gi)# exit
ESR-1(config)# interface gigabitethernet 2/0/12
ESR-1(config-if-gi)# security-zone WAN
ESR-1(config-if-gi)# ip address 192128.66.0.3.21/2430
ESR-1(config-if-gi)# vrrp id 23
ESR-1(config-if-gi)# vrrp ip 203.0.113.2522/2430
ESR-1(config-if-gi)# vrrp group 1
ESR-1(config-if-gi)# vrrp authentication key ascii-text encrypted 88B11079B51D
ESR-1(config-if-gi)# vrrp authentication algorithm md5
ESR-1(config-if-gi)# vrrp
ESR-1(config-if-gi)# exit |
Создадим профиль ISAKMP-портов, необходимых для работы протокола IPsec, включающий разрешение UDP-пакетов на порту 500 (а также на порту 4500 для поддержки NAT-T при необходимости), что обеспечит корректный обмен ключами и установление защищённого туннеля:
| Блок кода |
|---|
|
ESR-1(config)# object-group service ISAKMP
ESR-1(config-object-group-service)# port-range 500
ESR-1(config-object-group-service)# port-range 4500
ESR-1(config-object-group-service)# exit |
Добавим правилоправила, разрешающее прохождение пакетов протокола протоколов VRRP и ESP, а также UDP-пакетов с портами 500 и 4500, через IPsec-туннель:
| Блок кода |
|---|
|
ESR-1(config)# security zone-pair WAN self
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol udpvrrp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group ISAKMPenable
ESR-1(config-security-zone-pair-rule)# enableexit
ESR-1(config-security-zone-pair-rule)# rule exit2
ESR-1(config-security-zone-pair-rule)# ruleaction 2permit
ESR-1(config-security-zone-pair-rule)# actionmatch protocol permitudp
ESR-1(config-security-zone-pair-rule)# match protocol espdestination-port object-group ISAKMP
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# rule 3
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol icmpesp
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit |
Создадим туннель VTI, через который будет перенаправляться трафик в IPsec-туннель. В качестве локального шлюза назначим VIP IP-адрес, настроенный на интерфейсах в сторону зоны WAN, а в качестве удалённого шлюза – IP-адрес соответствующего интерфейса:
| Блок кода |
|---|
|
ESR-1(config)# tunnel vti 1
ESR-1(config-vti)# security-zone TUNNELIPSEC
ESR-1(config-vti)# local address 203.0.113.2522
ESR-1(config-vti)# remote address 203.0.113.1
ESR-1(config-vti)# ip address 192128.16866.0.16/30
ESR-1(config-vti)# enable
ESR-1(config-vti)# exit |
Добавим правило, разрешающее прохождение ICMP-трафика через туннельтрафика между зонами LAN и IPSEC:
| Блок кода |
|---|
|
ESR-1(config)# security zone-pair TUNNELLAN selfIPSEC
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol icmpenable
ESR-1(config-security-zone-pair-rule)# enableexit
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-)# security- zone-pair IPSEC LAN
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit |
Создадим профиль протокола IKE, в котором зададим следующие параметры безопасности: группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit и алгоритм аутентификации MD5. Данные настройки обеспечивают надежную защиту IKE-соединения:
...
| Блок кода |
|---|
|
ESR-1(config)# security ipsec vpn ipsec
ESR-1(config-ipsec-vpn)# ike establish-tunnel route
ESR-1(config-ipsec-vpn)# ike gateway ike_gw
ESR-1(config-ipsec-vpn)# ike ipsec-policy ipsec_pol
ESR-1(config-ipsec-vpn)# enable
ESR-1(config-ipsec-vpn)# exit |
Добавим статический маршрут до встречной клиентской подсети через VTI туннель:
| Блок кода |
|---|
|
ESR-1(config)# ip route 128.66.1.0/24 128.66.0.5 |
| Примечание |
|---|
Аналогичную настройку требуется выполнить на устройстве, находящемся на другой стороне туннеля |
Просмотр Просмотреть состояния VTI туннеля осуществляется можно с помощью следующей команды:
| Блок кода |
|---|
|
ESR-1# show tunnels status
Tunnel Admin Link MTU Local IP Remote IP Last change
state state (d,h:m:s)
---------------- ----- ----- ------ ---------------- ---------------- -------------
vti 1 Up Up 1500 203.0.113.2522 203.0.113.1 00,0300:3405:0059 |
Посмотреть состояние IPsec-туннеля можно с помощью команды:
| Блок кода |
|---|
|
ESR-1# show security ipsec vpn status
Name Local host Remote host Initiator spi Responder spi State
------------------------------- --------------- --------------- ------------------ ------------------ -----------
ipsec 203.0.113.2522 203.0.113.1 0x1c0c2099fb85d30b0x65212b7585c59b50 0x3af77a1a17302fb90x53028e1afc23a024 Established |
Посмотреть список и параметры подключившихся к IPsec-VPN-клиентов можно с помощью команды:
| Блок кода |
|---|
|
ESR-1# show security ipsec vpn authentication ipsec
Local host Remote host Local subnet Remote subnet Authentication State
--------------- --------------- ------------------- ------------------- ----------------------------------------- -----------
203.0.113.252 203.0.113.1 no child SA no child SA Pre-shared key Established |
Посмотреть конфигурацию IPsec-VPN можно с помощью следующей команды:
Пример настройки Policy-based IPsec VPN
С алгоритмом настройки Policy-based IPsec VPN можно ознакомиться по ссылке в разделе: Алгоритм настройки Policy-based IPsec VPN.
Задача:
- Настроить IPsec туннель. Туннель необходимо поднять между адресами: кластер – 203.0.113.2 (VIP адрес), ответная сторона – 203.0.113.1. Туннель необходим для организации доступа между клиентскими подсетями 192.0.2.0/24 и 128.66.1.0/24;
IKE:
- группа Диффи-Хэллмана: 2;
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5.
IP sec:
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5.
Image Added
Рисунок 3 — Схема реализации Policy-based IPsec VPN
Исходная конфигурация кластера:
| Блок кода |
|---|
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone LAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/1
security-zone LAN
ip address 192.0.2.254/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/1
security-zone LAN
ip address 192.0.2.253/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit |
Решение:
Сконфигурируем необходимые сетевые интерфейсы для подключения к провайдеру с указанием их принадлежности к зоне безопасности:
| Блок кода |
|---|
|
ESR-1(config)# security zone WAN
ESR-1(config-security-zone)# exit
ESR-1(config)# interface gigabitethernet 1/0/2
ESR-1(config-if-gi)# security-zone WAN
ESR-1(config-if-gi)# ip address 128.66.0.2/30
ESR-1(config-if-gi)# vrrp id 3
ESR-1(config-if-gi)# vrrp ip 203.0.113.2/30
ESR-1(config-if-gi)# vrrp group 1
ESR-1(config-if-gi)# vrrp
ESR-1(config-if-gi)# exit
ESR-1(config)# interface gigabitethernet 2/0/2
ESR-1(config-if-gi)# security-zone WAN
ESR-1(config-if-gi)# ip address 128.66.0.1/30
ESR-1(config-if-gi)# vrrp id 3
ESR-1(config-if-gi)# vrrp ip 203.0.113.2/30
ESR-1(config-if-gi)# vrrp group 1
ESR-1(config-if-gi)# vrrp
ESR-1(config-if-gi)# exit |
Создадим профиль ISAKMP-портов, необходимых для работы протокола IPsec, включающий разрешение UDP-пакетов на порту 500 (а также на порту 4500 для поддержки NAT-T при необходимости):
| Блок кода |
|---|
|
ESR-1(config)# object-group service ISAKMP
ESR-1(config-object-group-service)# port-range 500
ESR-1(config-object-group-service)# port-range 4500
ESR-1(config-object-group-service)# exit |
Добавим правила, разрешающее прохождение пакетов протоколов VRRP и ESP, а также UDP-пакетов с портами 500 и 4500, через IPsec-туннель:
| Блок кода |
|---|
|
ESR-1(config)# security zone-pair WAN self
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol vrrp
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# rule 2
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol udp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group ISAKMP
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# rule 3
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol esp
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit |
Добавим правило, разрешающее прохождение трафика между зонами LAN и WAN:
| Блок кода |
|---|
|
ESR-1(config)# security zone-pair LAN WAN
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit
ESR-1(config)# security zone-pair WAN LAN
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit |
Создадим профиль протокола IKE, в котором зададим следующие параметры безопасности: группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit и алгоритм аутентификации MD5. Данные настройки обеспечивают надежную защиту IKE-соединения:
| Блок кода |
|---|
|
ESR-1(config)# security ike proposal ike_prop
ESR-1(config-ike-proposal)# dh-group 2
ESR-1(config-ike-proposal)# authentication algorithm md5
ESR-1(config-ike-proposal)# encryption algorithm aes128
ESR-1(config-ike-proposal)# exit |
Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:
| Блок кода |
|---|
|
ESR-1(config)# security ike policy ike_pol
ESR-1(config-ike-policy)# pre-shared-key ascii-text password
ESR-1(config-ike-policy)# proposal ike_prop
ESR-1(config-ike-policy)# exit |
Создадим шлюз протокола IKE, определив применимую IKE-политику, локальные и удалённые параметры, а также режим перенаправления трафика в туннель. В качестве локального шлюза назначим VIP IP-адрес, настроенный на интерфейсах в сторону зоны WAN, с локальной подсетью 192.0.2.0/24, а удалённым – IP-адрес 203.0.113.1 с удаленной подсетью 128.66.0.0/24. Режим перенаправления трафика установлен как policy-based:
| Блок кода |
|---|
|
ESR-1(config)# security ike gateway ike_gw
ESR-1(config-ike-gw)# ike-policy ike_pol
ESR-1(config-ike-gw)# local address 203.0.113.2
ESR-1(config-ike-gw)# local network 192.0.2.0/24
ESR-1(config-ike-gw)# remote address 203.0.113.1
ESR-1(config-ike-gw)# remote network 128.66.1.0/24
ESR-1(config-ike-gw)# mode policy-based
ESR-1(config-ike-gw)# exit |
Создадим профиль параметров безопасности для IPsec-туннеля, в котором укажем алгоритм шифрования AES 128 bit и алгоритм аутентификации MD5, обеспечивая надежную защиту передаваемых данных:
| Блок кода |
|---|
|
ESR-1(config)# security ipsec proposal ipsec_prop
ESR-1(config-ipsec-proposal)# authentication algorithm md5
ESR-1(config-ipsec-proposal)# encryption algorithm aes128
ESR-1(config-ipsec-proposal)# exit |
Создадим политику для IPsec-туннеля, в которой укажем перечень профилей IPsec-туннеля, используемых для согласования параметров безопасности между узлами:
| Блок кода |
|---|
|
ESR-1(config)# security ipsec policy ipsec_pol
ESR-1(config-ipsec-policy)# proposal ipsec_prop
ESR-1(config-ipsec-policy)# exit |
Создадим IPsec VPN, в котором задаются следующие параметры: шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения:
| Блок кода |
|---|
|
ESR-1(config)# security ipsec vpn ipsec
ESR-1(config-ipsec-vpn)# ike establish-tunnel route
ESR-1(config-ipsec-vpn)# ike gateway ike_gw
ESR-1(config-ipsec-vpn)# ike ipsec-policy ipsec_pol
ESR-1(config-ipsec-vpn)# enable
ESR-1(config-ipsec-vpn)# exit |
Добавим статический маршрут до встречной клиентской подсети через IPsec туннель:
| Блок кода |
|---|
|
ESR-1(config)# ip route 128.66.1.0/24 203.0.113.1 |
| Примечание |
|---|
Аналогичную настройку требуется выполнить на устройстве, находящемся на другой стороне туннеля |
Посмотреть состояние IPsec-туннеля можно с помощью команды:
| Блок кода |
|---|
|
ESR-1# show security ipsec vpn status
Name |
| Блок кода |
|---|
|
ESR-1# show security ipsec vpn configuration ipsec
VRF: --
Description: --
State: Enabled
IKE:
Establish tunnel: route
IPsec policy: ipsec_pol
IKE gateway: ike_gw
IKE DSCP: 63
IKE idle-time: Local host 0s
IKE rekeying:Remote host Initiator spi Enabled
Responder spi Margin time: State
------------------------------- --------------- 540s
Margin kilobytes: --------------- ------------------ ------------------ -----------
ipsec 0
Margin packets: 0
203.0.113.2 Randomization:203.0.113.1 0x201602ebcafb809b 0x4556a21a7012d2c0 Established 100% |
Пример настройки Policy-based IPsec VPN
Настройка Firewall/NAT failover
Firewall failover необходим для резервирования сессий firewall.
С алгоритмом настройки firewall/NAT failover Policy-based IPsec VPN реализуется через задание криптомап или политик, определяющих, какой трафик (на основе IP-адресов, портов и протоколов) подлежит шифрованию. Этот подход не предполагает наличие виртуального туннельного интерфейса и подходит для статичных сценариев, где трафик четко определён.
С алгоритмом настройки Policy-based IPsec VPN можно ознакомиться по ссылке в разделе: Алгоритм настройки Policy-based IPsec VPN. Алгоритм настройки firewall failover.
Пример настройки firewall failover
Задача:
- обеспечить безопасность данных, передаваемых между LAN-сетями, посредством использования протокола IPsec, предоставляющего аутентификацию, проверку целостности и шифрование IP-пакетов;
- обеспечить маршрутизацию удаленных подсетей через IPsec VPN, настроив соответствующие маршруты для безопасной передачи трафика через защищённый туннель;
- создать зашифрованный IPsec-туннель, основанный на VIP IP-адресе;
- метод направления трафика в туннель — Policy-based.
...
Настроить firewall failover в кластере маршрутизаторов ESR-1 и ESR-2 со следующими параметрами:
- режим резервирования сессий unicast;
- номер UDP-порта службы резервирования 9999;
- клиентская подсеть: 192.0.2.0/24.
Image Added
Рисунок 3 — Схема реализации Policy-based IPsec VPNfirewall failover
Исходная конфигурация кластера:
| Блок кода |
|---|
|
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone WANLAN
exit
security zone TUNNELWAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp
authentication enable
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exitkey ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 21/0/31
mode switchport
spanning-tree disable
exit
security zone-pair SYNC selfsecurity-zone LAN
ruleip 1
action permitaddress 128.66.0.2/30
vrrp match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit |
Решение:
Сконфигурируем необходимые сетевые интерфейсы для подключения к провайдеру с указанием их принадлежности к зоне безопасности:
| Блок кода |
|---|
|
ESR-1(config)# id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp
exit
interface gigabitethernet 1/0/1
ESR-1(config-if-gi)#2
security-zone WAN
ESR-1(config-if-gi)# ip address 192128.66.0.3.12/24
ESR-1(config-if-gi)#30
vrrp id 2
ESR-1(config-if-gi)#3
vrrp ip 203.0.113.2522/24
ESR-1(config-if-gi)#30
vrrp group 1
ESR-1(config-if-gi)# vrrp
exit
interface authentication key ascii-text encrypted 88B11079B51D
ESR-1(config-if-gi)# vrrp authentication algorithm md5
ESR-1(config-if-gi)# vrrp
ESR-1(config-if-gi)# exit
ESR-1(config)# gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/1
ESR-1(config-if-gi)# security-zone WAN
ESR-1(config-if-gi)#LAN
ip address 192128.66.0.3.2/24
ESR-1(config-if-gi)#1/30
vrrp id 2
ESR-1(config-if-gi)# vrrp ip 203192.0.1132.2521/24
ESR-1(config-if-gi)# vrrp group 1
ESR-1(config-if-gi)# vrrp authentication key ascii-text encrypted 88B11079B51D
ESR-1(config-if-gi)# vrrp authentication algorithm md5
ESR-1(config-if-gi)# vrrp
ESR-1(config-if-gi)# exit |
Создадим профиль ISAKMP-портов, необходимых для работы протокола IPsec, включающий разрешение UDP-пакетов на порту 500 (а также на порту 4500 для поддержки NAT-T при необходимости), что обеспечит корректный обмен ключами и установление защищённого туннеля:
| Блок кода |
|---|
|
ESR-1(config)# object-group service ISAKMP
ESR-1(config-object-group-service)# port-range 500
ESR-1(config-object-group-service)# port-range 4500
ESR-1(config-object-group-service)# exit |
Добавим правило, разрешающее прохождение пакетов протокола ESP, а также UDP-пакетов с портами 500 и 4500, через IPsec-туннель:
| Блок кода |
|---|
|
ESR-1(config)#
exit
interface gigabitethernet 2/0/2
security-zone WAN
ip address 128.66.0.1/30
vrrp id 3
vrrp ip 203.0.113.2/30
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
security zone-pair WANSYNC self
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol udp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group ISAKMP
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# rule 2
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol esp
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# rule 3
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol icmp
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit |
Создадим профиль протокола IKE, в котором зададим следующие параметры безопасности: группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit и алгоритм аутентификации MD5. Данные настройки обеспечивают надежную защиту IKE-соединения:
| Блок кода |
|---|
|
ESR-1(config)# security ike proposal ike_prop
ESR-1(config-ike-proposal)# dh-group 2
ESR-1(config-ike-proposal)# authentication algorithm md5
ESR-1(config-ike-proposal)# encryption algorithm aes128
ESR-1(config-ike-proposal)# exit |
...
icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair LAN WAN
rule 1
action permit
enable
exit
exit
ip route 0.0.0.0/0 203.0.113.1 |
Решение:
Сконфигурируем object-group для настройки failover-сервисов:
| Блок кода |
|---|
|
ESR-1(config)# securityobject-group ikenetwork policy ikeSYNC_polSRC
ESR-1(config-ikeobject-group-policynetwork)# pre-shared-key ascii-text passwordip address-range 198.51.100.254 unit 1
ESR-1(config-object-ikegroup-policynetwork)# proposal ike_propip address-range 198.51.100.253 unit 2
ESR-1(config-object-ikegroup-policynetwork)# exit |
Создадим шлюз протокола IKE, определив применимую IKE-политику, локальные и удалённые параметры, а также режим перенаправления трафика в туннель. В качестве локального шлюза используется IP-адрес 203.0.113.252 с подсетью 172.16.0.0/24, а удалённым — IP-адрес 203.0.113.1 с подсетью 10.0.0.0/24. Режим перенаправления трафика установлен как policy-based:
| Блок кода |
|---|
|
ESR-1(config)# object-group network SYNC_DST
ESR-1(config-object-group-network)# ip security ike gateway ike_gwaddress-range 198.51.100.253 unit 1
ESR-1(config-object-ikegroup-gwnetwork)# ip ike-policy ike_poladdress-range 198.51.100.254 unit 2
ESR-1(config-object-ikegroup-gw)# local address 203.0.113.252
network)# exit |
Перейдем к выбору IP-адреса сетевого интерфейса, с которого будут отправляться сообщения при работе failover-сервисов, указав созданную object-group:
| Блок кода |
|---|
|
ESR-1(config-ike-gw)# local network 172.16.0.0/24ip failover
ESR-1(config-ike-gwfailover)# remote address 203.0.113.1
local-address object-group SYNC_SRC |
Настроим IP-адреса соседа при работе failover-сервисов, указав созданную object-group:
| Блок кода |
|---|
|
ESR-1(config-ike-gwfailover)# remote-address object-group SYNC_DST |
Укажем VRRP-группу, на основе которой определяется состояние (основной/резервный) маршрутизатора при работе failover-сервисов:
| Блок кода |
|---|
|
network 10.0.0.0/24
ESR-1(config-ike-gwfailover)# mode policy-basedvrrp-group 1
ESR-1(config-ike-gwfailover)# exit |
...
| Примечание |
|---|
При включенном кластере использование object-group в настройке failover-сервисов обязательно. |
Для настройки правил зон безопасности создадим профиль для порта firewall failover:
| Блок кода |
|---|
|
ESR-1(config)# securityobject-group ipsec proposal ipsec_propservice FAILOVER
ESR-1(config-object-ipsecgroup-proposalservice)# authentication algorithm md5port-range 9999
ESR-1(config-ipsec-proposal)# encryption algorithm aes128
ESR-1(config-ipsec-proposalobject-group-service)# exit |
Создадим
...
разрешающие правило для зоны безопасности SYNC, разрешив прохождение необходимого трафика для работы firewall failover:
| Блок кода |
|---|
|
ESR-1(config)# security zone-pair ipsecSYNC policyself ipsec_pol
ESR-1(config-security-ipseczone-policypair)# proposalrule ipsec_prop4
ESR-1(config-security-zone-ipsecpair-policyrule)# exit |
Создадим IPsec VPN, в котором задаются следующие параметры: шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения:
| Блок кода |
|---|
|
action permit
ESR-1(config-security-zone-pair-rule)# securitymatch ipsecprotocol vpnudp ipsec
ESR-1(config-security-zone-ipsecpair-vpnrule)# match ikedestination-port establishobject-tunnelgroup routeFAILOVER
ESR-1(config-security-ipseczone-pair-vpnrule)# ike gateway ike_gwenable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-ipsec-vpn-security-zone-pair)# exit |
Выполним настройку firewall failover. Настроим режим резервирования сессий unicast:
| Блок кода |
|---|
|
ESR-1(config)# ikeip ipsec-policy ipsec_polfirewall failover
ESR-1(config-ipsecfirewall-vpnfailover)# enable
sync-type unicast |
Настроим номер UDP-порта службы резервирования сессий firewall:
| Блок кода |
|---|
|
ESR-1(config-ipsecfirewall-vpnfailover)# port exit9999 |
Включим резервирование сессий firewallДобавим маршрут до удалённой LAN сети через WAN в IPsec-туннеле:
| Блок кода |
|---|
|
ESR-1(config-firewall-failover)# ip route 10.0.0.0/24 203.0.113.1 |
| Примечание |
|---|
Аналогичную настройку требуется выполнить на устройстве, находящемся на другой стороне туннеля |
enable
ESR-1(config-firewall-failover)# exit |
После успешного запуска firewall failover можно посмотреть информацию о сервисе Посмотреть состояние IPsec-туннеля можно с помощью команды:
| Блок кода |
|---|
|
ESR-1# show security ipsec vpn status
Name Local host Remote host Initiator spi Responder spi State
------------------------------- --------------- --------------- ------------------ ------------------ -----------
ipsec-1# show ip firewall failover
Communication interface: bridge 1
Status: 203.0.113.252 203.0.113.1 Running
Bytes sent: 0xde4f4a8b137b89e3 0x39c30f0ef9b753bd Established |
Посмотреть список и параметры подключившихся к IPsec-VPN-клиентов можно с помощью команды:
| Блок кода |
|---|
|
ESR-1# show security ipsec vpn authentication ipsec
Local host Remote host 3420
Bytes received: Local subnet Remote subnet Authentication 3320
Packets sent: State
--------------- --------------- ------------------- ------------------- ----------------------------------------- -----------
203.0.113.252 203.0.113.1209
Packets received: 209
Send errors: 172.16.0.0/24 10.0.0.0/24 Pre-shared key0
Receive errors: Established |
Посмотреть конфигурацию IPsec-VPN можно с помощью следующей команды:
| Блок кода |
|---|
|
ESR-1# show security ipsec vpn configuration ipsec
VRF0
Resend queue:
Active entries: -- 1
Description: Errors:
No space --
Stateleft: Enabled0
IKEHold queue:
EstablishActive tunnelentries: route
IPsec policy: 0
Errors:
ipsec_pol
IKENo space gateway:left: 0 |
Также возможно узнать текущее состояние firewall failover сервиса, выполнив команду:
| Блок кода |
|---|
|
ESR-1# show high-availability state
AP Tunnels:
ike_gw
IKE DSCP:State: 63Disabled
Last IKEstate idle-timechange: 0s
IKE rekeying:--
DHCP option 82 table:
State: Enabled
Margin time: Disabled
Last state change: 540s
Margin kilobytes:--
DHCP server:
State: 0
Margin packets: 0Disabled
Last state Randomizationchange: 100% |
Настройка Firewall-failover
Firewall failover необходим для резервирования сессий Firewall.
...
...
-
crypto-sync:
State: Disabled
Firewall sessions and NAT translations:
VRF: --
Tracking VRRP Group 1
Tracking VRRP Group state: Master
State: Successful synchronization
Fault Reason: --
Last synchronization: 2025-02-12 07:05:47 |
Сгенерируем одну клиентскую сессии из LAN в WAN.
Посмотреть firewall сессии, которые синхронизируются между устройствами, можно командами:
| Блок кода |
|---|
|
ESR-1# show ip firewall sessions failover external
ESR-1# show ip firewall sessions failover internal
Codes: E - expected, U - unreplied,
A - assured, C - confirmed
Prot Aging Inside source Inside destination Outside source Outside destination Pkts Bytes Status
----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------
tcp 0 192.0.2.10:44812 128.66.1.1:22 128.66.1.1:22 192.0.2.10:44812 -- -- AC |
Посмотреть счетчики для кэшей firewall failover можно командой
...
Пример настройки
Задача:
Настроить Firewall-failover в кластере маршрутизаторов ESR-1 и ESR-2 со следующими параметрами:
- режим резервирования сессий unicast;
- номер UDP-порта службы резервирования 9999;
- клиентская подсеть: 192.0.2.0/24.
Image Removed
Рисунок 3 — Схема реализации Firewall-failover
Исходная конфигурация кластера:
| Блок кода |
|---|
|
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone LAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp
enable
exit
interface gigabitethernet 1/0/2
security-zone LAN
ip address 192.0.2.254/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
security-zone LAN
ip address 192.0.2.253/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
enable
exit
exit |
Решение:
Сконфигурируем object-group для настройки failover-сервисов:
| Блок кода |
|---|
|
ESR-1(config)# object-group network SYNC_SRC
ESR-1(config-object-group-network)# ip address-range 198.51.100.254 unit 1
ESR-1(config-object-group-network)# ip address-range 198.51.100.253 unit 2
ESR-1(config-object-group-network)# exit
ESR-1(config)# object-group network SYNC_DST
ESR-1(config-object-group-network)# ip address-range 198.51.100.253 unit 1
ESR-1(config-object-group-network)# ip address-range 198.51.100.254 unit 2
ESR-1(config-object-group-network)# exit |
Перейдем к выбору IP-адреса сетевого интерфейса, с которого будут отправляться сообщения при работе failover-сервисов, указав созданную object-group:
| Блок кода |
|---|
|
ESR-1(config)# ip failover
ESR-1(config-failover)# local-address object-group SYNC_SRC |
Настроим IP-адреса соседа при работе failover-сервисов, указав созданную object-group:
| Блок кода |
|---|
|
ESR-1(config-failover)# remote-address object-group SYNC_DST |
Укажем VRRP-группу, на основе которой определяется состояние (основной/резервный) маршрутизатора при работе failover-сервисов:
| Блок кода |
|---|
|
ESR-1(config-failover)# vrrp-group 1
ESR-1(config-failover)# exit |
| Примечание |
|---|
При включенном кластере использование object-group в настройке failover-сервисов обязательно. |
Для настройки правил зон безопасности создадим профиль для порта Firewall-failover:
| Блок кода |
|---|
|
ESR-1(config)# object-group service FAILOVER
ESR-1(config-object-group-service)# port-range 9999
ESR-1(config-object-group-service)# exit |
Создадим разрешающие правило для зоны безопасности SYNC, разрешив прохождение трафика Firewall-failover:
| Блок кода |
|---|
|
ESR-1(config)# security zone-pair SYNC self
ESR-1(config-security-zone-pair)# rule 4
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol udp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group FAILOVER
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit |
Выполним настройку Firewall-failover. Настроим режим резервирования сессий unicast:
| Блок кода |
|---|
|
ESR-1(config)#1# show ip firewall failover
ESR-1(config-firewall-failover)# sync-type unicast |
Настроим номер UDP-порта службы резервирования сессий Firewall:
| Блок кода |
|---|
|
ESR-1(config-firewall-failover)# port 9999 |
Включим резервирование сессий Firewall:
| Блок кода |
|---|
|
ESR-1(config-firewall-failover)# enable
ESR-1(config-firewall-failover)# exit |
После успешного запуска Firewall-failover можно посмотреть состояние резервирования сессий Firewall с помощью следующей команды:
| Блок кода |
|---|
|
ESR-1# show ip firewall failover
Communication interface: cache
Internal sessions cache counters:
Active entries: 1
Added: 5
Deleted: bridge 1
Status: 4
Updated: 4
Failed adding: Running
Bytes sent: 0
No 1200
Bytesmemory receivedleft: 0
1168
Packets sentNo space left: 0
Failed deleting: 76
Packets received: 0
No 77
Sendentry errorsfound: 0
Failed updating: 0
Receive errors: No entry found: 0
Resend queue: External sessions cache counters:
Active entries: 10
ErrorsAdded:
No space left: 0
Hold queueDeleted:
Active entries: 0
ErrorsUpdated:
No space left: 0
Installed 0 |
Также возможно узнать текущее состояние Firewall-failover сервиса, выполнив команду:
| Блок кода |
|---|
|
ESR-1# show high-availability state
DHCP server:
State:to Kernel: 0
Failed adding: Disabled0
LastNo statememory changeleft: --
crypto-sync:
0
State: No space left: Disabled
Firewall sessions and NAT translations:
VRF: 0
Failed deleting: --0
Tracking VRRP Group No entry found: 1
Tracking VRRP Group state: Master0
Failed Stateupdating: 0
Successful synchronization
No Faultentry Reasonfound: --0
Last synchronizationFailed installing to Kernel: 2025-01-09 13:36:13 0 |
Пример настройки нескольких экземпляров
...
firewall failover, каждый – в своём VRF
Задача:
Настроить несколько экземпляров Firewall-firewall failover в кластере маршрутизаторов ESR-1 и ESR-2, каждый в своем VRF, со следующими параметрами:
- режим резервирования сессий unicast;
- номер UDP-порта службы резервирования 9999;
- настроить приоритеты у разных Firewall Failover firewall failover так, чтобы один из юнитов кластера был Master в одном VRF, а в другом был Backup;
- клиентская подсеть через VRF FRST_ACTIVE : 192.0.2.0/24;
- клиентская подсеть через VRF SEC_ACTIVE : 203.0.113.0/24.
...
| Блок кода |
|---|
|
ESR-1(config)# object-group network DST_FRST_ACTIVE
ESR-1(config-object-group-network)# ip address-range 128.66.0.17 unit 1
ESR-1(config-object-group-network)# ip address-range 128.66.0.18 unit 2
ESR-1(config-object-group-network)# exit
ESR-1(config)# object-group network DST_SEC_ACTIVE
ESR-1(config-object-group-network)# ip address-range 128.66.0.21 unit 1
ESR-1(config-object-group-network)# ip address-range 128.66.0.22 unit 2
ESR-1(config-object-group-network)# exit
ESR-1(config)# object-group network SRC_FRST_ACTIVE
ESR-1(config-object-group-network)# ip address-range 128.66.0.18 unit 1
ESR-1(config-object-group-network)# ip address-range 128.66.0.17 unit 2
ESR-1(config-object-group-network)# exit
ESR-1(config)# object-group network SRC_SEC_ACTIVE
ESR-1(config-object-group-network)# ip address-range 128.66.0.22 unit 1
ESR-1(config-object-group-network)# ip address-range 128.66.0.21 unit 2
ESR-1(config-object-group-network)# exit
|
Перейдем к настойке ip failover для каждого VRF, настроим там local-address/remote-address и укажем привязки к соответствующим VRRP-group, на основе которых будет определяться, кто из маршрутизаторов будет синхронизировать сессии:
| Блок кода |
|---|
|
ESR-1(config)# ip failover vrf FRST_ACTIVE
ESR-1(config-failover)# local-address object-group SRC_FRST_ACTIVE
ESR-1(config-failover)# remote-address object-group DST_FRST_ACTIVE
ESR-1(config-failover)# vrrp-group 2
ESR-1(config-failover)# exit
ESR-1(config)# ip failover vrf SEC_ACTIVE
ESR-1(config-failover)# local-address object-group SRC_SEC_ACTIVE
ESR-1(config-failover)# remote-address object-group DST_SEC_ACTIVE
ESR-1(config-failover)# vrrp-group 3
ESR-1(config-failover)# exit |
Перейдем к настройке Firewall-firewall failover, каждый в своем VRF. Для каждого экземпляра необходимо указать режим синхронизирования unicast, настроить port 9999, а также включить его:
...
Разрешим в настройках firewall работу Firewall-firewall failover в соответствующих зонах:
| Блок кода |
|---|
|
ESR-1(config)# object-group service FAILOVER
ESR-1(config-object-group-service)# port-range 9999
ESR-1(config-object-group-service)# exit
ESR-1(config)# security zone-pair LAN_F_ACTIVE self
ESR-1(config-security-zone-pair)# rule 3
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol udp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group FAILOVER
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit
ESR-1(config)# security zone-pair LAN_S_ACTIVE self
ESR-1(config-security-zone-pair)# rule 3
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol udp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group FAILOVER
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit |
После успешного запуска Firewall-failover можно посмотреть состояние резервирования сессий Firewall с помощью следующей команды:
Просмотреть VRRP статусы в разных VRF можно используя команду show vrrp, убедимся что в одном VRF устройство находится в статусе Master, а в другом VRF в статусе Backup:
| Блок кода |
|---|
|
ESR-1# show vrrp vrf FRST_ACTIVE
Unit 1* 'ESR-1'
---------------
Virtual router Virtual IP Priority Preemption State Inherit Sync group ID
-------------- --------------------------------- -------- ---------- ------ ------- -------------
2 128.66.0.1/30 100 Enabled Master -- 2
4 192.0.2.1/24 120 Enabled Master -- 2
Unit 2 'ESR-2'
--------------
Virtual router Virtual IP Priority Preemption State Inherit Sync group ID
-------------- --------------------------------- -------- ---------- ------ ------- -------------
2 128.66.0.1/30 100 Enabled Backup -- 2
4 192.0.2.1/24 110 Enabled Backup -- 2
ESR-1# show vrrp vrf SEC_ACTIVE
Unit 1* 'ESR-1'
---------------
Virtual router Virtual IP Priority Preemption State Inherit Sync group ID
-------------- --------------------------------- -------- ---------- ------ ------- -------------
3 128.66.0.13/30 100 Enabled Backup -- 3
5 203.0.113.1/24 110 Enabled Backup -- 3
Unit 2 'ESR-2'
--------------
Virtual router Virtual IP Priority Preemption State Inherit Sync group ID
-------------- --------------------------------- -------- ---------- ------ ------- -------------
3 128.66.0.13/30 100 Enabled Master -- 3
5 203.0.113.1/24 120 Enabled Master -- 3 |
Посмотреть состояние резервирования сессий Firewall информацию о сервисе firewall failover в каждом VRF можно с помощью следующей команды:
...
Также возможно узнать текущее состояние Firewall-failover сервиса состояние firewall failover сервисов во всех VRF, выполнив команду:
...
Посмотреть вывод текущих сессий на устройстве можно с помощью команды show ip firewall sessions, убедимся что в выводе есть сессия только для того VRF, в котором устройство является в статусе Master:
| Блок кода |
|---|
|
ESR-1# show ip firewall sessions vrf FRST_ACTIVE protocol tcp
Codes: E - expected, U - unreplied,
A - assured, C - confirmed
Prot Aging Inside source Inside destination Outside source Outside destination Pkts Bytes Status
----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------
tcp 110 192.0.2.10:40106 128.66.0.2:22 192.0.2.10:40106 128.66.0.2:22 -- -- AC
ESR-1# show ip firewall sessions vrf SEC_ACTIVE protocol tcp |
Посмотреть вывод кэшейактивный синхронизируемых сессий, используемых для работы Firewal-firewal failover, на устройстве можно с помощью команды show ip firewall session failover external/internal, убедимся что для одного из VRF сессия находится в internal cash, а для второго VRF сессия находится в external cash:
| Блок кода |
|---|
|
ESR-1# show ip firewall sessions failover external vrf FRST_ACTIVE
ESR-1# show ip firewall sessions failover internal vrf FRST_ACTIVE
Codes: E - expected, U - unreplied,
A - assured, C - confirmed
Prot Aging Inside source Inside destination Outside source Outside destination Pkts Bytes Status
----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------
tcp 0 192.0.2.10:40106 128.66.0.2:22 128.66.0.2:22 192.0.2.10:40106 -- -- AC
ESR-1# show ip firewall sessions failover external vrf SEC_ACTIVE
Codes: E - expected, U - unreplied,
A - assured, C - confirmed
Prot Aging Inside source Inside destination Outside source Outside destination Pkts Bytes Status
----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------
tcp 0 203.0.113.10:36012 128.66.0.14:22 128.66.0.14:22 203.0.113.10:36012 -- -- AC
ESR-1# show ip firewall sessions failover internal vrf SEC_ACTIVE |
Настройка DHCP
...
failover
DHCP-failover позволяет обеспечить высокую доступность службы DHCP.
С алгоритмом настройки DHCP-failover можно настройки DHCP failover можно ознакомиться по ссылке в разделе: Алгоритм настройки DHCP - failover.
Пример настройки
Задача:
Настроить DHCP-Настроить DHCP failover в кластере маршрутизаторов ESR-1 и ESR-2 со следующими параметрами:
...
| Блок кода |
|---|
|
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone LAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/21
security-zone LAN
ip address 192128.66.0.2.254/2430
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/21
security-zone LAN
ip address 192128.66.0.2.2531/2430
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit |
Решение:
Выполним настройку DHCP-сервера. В качестве default-router и dns-server используется IP-адрес VRRP:
...
| Блок кода |
|---|
|
ESR-1(config)# object-group service DHCP_SERVER
ESR-1(config-object-group-service)# port-range 67
ESR-1(config-object-group-service)# exit
ESR-1(config)# object-group service DHCP_CLIENT
ESR-1(config-object-group-service)# port-range 68
ESR-1(config-object-group-service)# exit
ESR-1(config)# security zone-pair LAN self
ESR-1(config-security-zone-pair)# rule 12
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol udp
ESR-1(config-security-zone-pair-rule)# match source-port object-group DHCP_CLIENT
ESR-1(config-security-zone-pair-rule)# match destination-port object-group DHCP_CLIENT SERVER
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit |
Сконфигурируем object-group для настройки failover-сервисов:
| Блок кода |
|---|
|
ESR-1(config)# object-group network SYNC_SRC
ESR-1(config-object-group-network)# ip address-range 198.51.100.254 unit 1
ESR-1(config-object-group-network)# ip address-range 198.51.100.253 unit 2
ESR-1(config-securityobject-zonegroup-pair-rulenetwork)# match destination-portexit
ESR-1(config)# object-group network DHCPSYNC_SERVER DST
ESR-1(config-securityobject-zonegroup-pair-rulenetwork)# enable ip address-range 198.51.100.253 unit 1
ESR-1(config-securityobject-zonegroup-pair-rulenetwork)# exit ip address-range 198.51.100.254 unit 2
ESR-1(config-securityobject-zonegroup-pairnetwork)# exit |
Сконфигурируем object-group для настройки Перейдем к выбору IP-адреса сетевого интерфейса, с которого будут отправляться сообщения при работе failover-сервисов, указав созданную object-group:
| Блок кода |
|---|
|
ESR-1(config)# ip failover
ESR-1(config-failover)# local-address object-group network SYNC_SRC
|
Настроим IP-адреса соседа при работе failover-сервисов, указав созданную object-group:
| Блок кода |
|---|
|
ESR-1(config-failover)# remote-address object-group SYNC_DST |
Укажем VRRP-группу, на основе которой определяется состояние (основной/резервный) маршрутизатора при работе failover-сервисов:
| Блок кода |
|---|
|
-network)# ip address-range 198.51.100.254 unit 1
ESR-1(config-object-group-networkfailover)# ip addressvrrp-range 198.51.100.253 unit 2group 1
ESR-1(config-object-group-network)# exit
failover)# exit |
Перейдем к настройке резервирования DHCP-сервера:
| Блок кода |
|---|
|
ESR-1(config)# objectip dhcp-groupserver networkfailover SYNC_DST
|
Установим режим работы резервирования:
| Блок кода |
|---|
|
ESR-1(config-objectdhcp-groupserver-networkfailover)# ipmode addressactive-standby |
| Примечание |
|---|
Для работы в кластере необходимо использовать режим active-standby. |
Включим DHCP failover:
| Блок кода |
|---|
|
range 198.51.100.253 unit 1
ESR-1(config-objectdhcp-groupserver-networkfailover)# ip address-range 198.51.100.254 unit 2enable
ESR-1(config-objectdhcp-groupserver-networkfailover)# exit |
Перейдем к выбору IP-адреса сетевого интерфейса, с которого будут отправляться сообщения при работе failover-сервисов, указав созданную object-groupСоздадим разрешающие правило для зоны безопасности SYNC, разрешив прохождение необходимого трафика для работы DHCP failover:
| Блок кода |
|---|
|
ESR-1(config)# object-group ipservice failoverSYNC
ESR-1(config-object-group-failoverservice)# localport-addressrange object-group SYNC_SRC |
Настроим IP-адреса соседа при работе failover-сервисов, указав созданную object-group:
| Блок кода |
|---|
|
873
ESR-1(config-object-group-service)# exit
ESR-1(config-failover)# remote-addresssecurity objectzone-grouppair SYNC_DST |
Укажем VRRP-группу, на основе которой определяется состояние (основной/резервный) маршрутизатора при работе failover-сервисов:
| Блок кода |
|---|
|
self
ESR-1(config-security-zone-pair)# rule 4
ESR-1(config-failoversecurity-zone-pair-rule)# vrrp-groupaction 1permit
ESR-1(config-failoversecurity-zone-pair-rule)# exit |
Перейдем к настройке резервирования DHCP-сервера:
| Блок кода |
|---|
|
match protocol tcp
ESR-1(config-security-zone-pair-rule)# ipmatch dhcpdestination-serverport failoverobject-group
|
Установим режим работы резервирования:
| Блок кода |
|---|
| title | SYNC
ESR-1 | ESR-1(config-security-dhcpzone-serverpair-failoverrule)# mode active-standby |
|---|
| Примечание |
|---|
Для работы в кластере необходимо использовать режим active-standby. |
Включим DHCP-failover:
| Блок кода |
|---|
|
enable
ESR-1(config-security-dhcpzone-serverpair-failoverrule)# enableexit
ESR-1(config-dhcpsecurity-serverzone-failoverpair)# exit |
Посмотреть состояние резервирования DHCP-сервера можно с помощью команды:
| Блок кода |
|---|
|
ESR-1# show ip dhcp server failover
VRF: dhcp server failover
VRF: --
Mode: Active-Standby
Role: Master
State: Synchronized
Last synchronization: 2025-02-12 07:56:40 |
Посмотреть состояние резервирования сессий DHCP можно с помощью команды:
| Блок кода |
|---|
|
ESR-
1# show high-availability state Mode
AP Tunnels:
State: Active-Standby
Role: Disabled
Last state change: --
DHCP option 82 Mastertable:
State: SynchronizedDisabled
Last synchronizationstate change: 2025-01-09 12:00:57 |
Посмотреть состояние резервирования сессий DHCP можно с помощью команды:
| Блок кода |
|---|
|
ESR-1# show high-availability state --
DHCP server:
VRF: --
Mode: Active-Standby
State: Successful synchronization
Last synchronization: 2025-0102-0912 1207:0156:2136
crypto-sync:
State: Disabled
Firewall sessions and NAT translations:
State: Disabled |
...
| Блок кода |
|---|
|
ESR-1# show ip dhcp binding
IP address MAC / Client ID Binding type Lease expires at
---------------- ------------------------------------------------------------- ------------ --------------------
192.0.2.10 02e4:005a:00d4:6901:9118:1204 active 2025-0102-0913 23:58:36
192.0.2.11 02:00:00:2a:a6:85 active 2025-01-09 23:58:3907:56:09 |
Пример настройки нескольких экземпляров DHCP
...
failover, каждый в своем VRF
Задача:
Настроить два экземпляра DHCP - failover, каждый в своём VRF, в кластере маршрутизаторов ESR-1 и ESR-2 со следующими параметрами:
- в качестве default-router используется IP-адрес VRRP;
- в качестве dns-server используется IP-адрес VRRP;
- установить в качестве необходимого режима работы резервирования active-standby;
- настроить приоритеты у разных DHCP - failover так, чтобы один из юнитов кластера был Master в одном VRF, а в другом был Backup;
- клиентская подсеть в VRF FRST_ACTIVE: 192.0.2.0/24;
- клиентская подсеть в VRF SEC_ACTIVE: 203.0.113.0/24.
...
Перейдем к настройке DHCP - failover, каждый в своем VRF. Для каждого экземпляра необходимо указать режим работы Active-Standby, а также включить его:
...
С алгоритмом настройки можно ознакомиться по ссылке в разделе: Настройка SNMP-сервера и отправки SNMP TRAP.
Пример настройки
Рисунок 5 —Схема реализации SNMP
...
С алгоритмом настройки можно ознакомиться по ссылке в разделе: Алгоритм настройки Source NAT.
Пример настройки
Задача:
- предоставить доступ в Интернет хостам, находящимся в локальной сети;
- клиентская подсеть: 192.0.2.0/24;
публичный IP адрес – VIP адрес на интерфейсе.
...
Функция Destination NAT (DNAT) выполняет преобразование IP-адреса назначения в заголовках пакетов, проходящих через сетевой шлюз. DNAT применяется для перенаправления трафика, адресованного на IP-адрес в публичном сегменте сети, на «реальный» IP-адрес сервера, расположенного в локальной сети за шлюзом.
Пример настройки
Задача:
- организовать публичный доступа к серверу, находящемуся в частной сети и не имеющему публичного сетевого адреса;
- сервер доступен по адресу: 192.0.2.12/24;
...
