...
Шаг | Описание | Команда | Ключи |
|---|---|---|---|
| 1 | Сменить юнит у устройства, при необходимости. (смена юнита устройства вступает в силу после перезагрузки) | esr# set unit id <ID> | <ID> – номер юнита, принимает значения [1..2]. |
| 2 | Перейти в режим конфигурирования сетевого моста, который будет использован в качестве кластерного интерфейса. | esr(config)# bridge <BR-NUM> | <BR-NUM> – номер сетевого моста. |
| 3 | Указать IPv4-адрес и маску подсети для кластерного интерфейса. Необходимо установить адреса для всех юнитов кластера. (для работы кластерного интерфейса поддерживается только IPv4-адресация) | esr(config-bridge)# ip address <ADDR/LEN> [unit <ID>] | <ADDR/LEN> – IP-адрес и длина маски подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. <ID> – номер юнита, принимает значения [1..2]. Дополнительные функции IPv4-адресации см. в разделе Настройка IP-адресации. |
| 4 | Установить идентификатор VRRP-маршрутизатора. | 192.esr(config-bridge)# vrrp id <VRID> | <VRID> – идентификатора VRRP-маршрутизатора, принимает значения [1..255]. |
| 5 | Установить виртуальный IP-адрес VRRP-маршрутизатора (адрес должен быть из той же подсети, что и ip address у юнитов). | esr(config-bridge)# vrrp ip <ADDR/LEN> [ secondary ] | <ADDR/LEN> – виртуальный IP-адрес и длина маски, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. Можно указать несколько IP-адресов перечислением через запятую. Может быть назначено до 8 IP-адресов на интерфейс. secondary – ключ для установки дополнительного IP-адреса. |
| 6 | Установить принадлежность VRRP-маршрутизатора к группе. Группа предоставляет возможность синхронизировать несколько VRRP-процессов, так если в одном из процессов произойдет смена мастера, то в другом процессе также произойдёт смена ролей. | esr(config-bridge)# vrrp group <GRID> | <GRID> – идентификатор группы VRRP-маршрутизатора, принимает значения [1..32] |
| 7 | Включить VRRP-процесс на IP-интерфейсе. | esr(config-bridge)# vrrp | |
| 8 | Активировать сетевой мост. | esr(config-bridge)# enable | |
9 | Перейти в режим конфигурирования кластера. | esr(config)# cluster | |
| 10 | Установить интерфейс, через который будет происходить обмен служебными сообщениями между юнитами в кластере. | esr(config-cluster)# cluster-interface bridge [<BRIDGE-ID>] | <BRIDGE-ID> – идентификационный номер моста, задается в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора. |
| 11 | Отключить синхронизацию конфигураций в кластере между юнитами (не обязательно). | esr(config-cluster)# sync config disable | |
| 12 | Перейти в режим конфигурирования юнита в кластере. | esr(config-cluster)# unit <ID> | <ID> – номер юнита, принимает значения [1..2]. |
| 13 | Настроить MAC-адрес для определенного юнита. | esr(config-cluster-unit)# mac-address <ADDR> | <ADDR> – МАС-адрес сетевого моста, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. |
| 14 | Включить работу кластера. | esr(config-cluster)# enable |
...
- обеспечить резервирование линков от нескольких провайдеров;
- обеспечить балансировку трафика в соотношении 70/30.
Схема реализации MultiWAN
...
- Настроить IPsec туннель. Туннель необходимо поднять между адресами: кластер – 203.0.113.252 (VIP адрес), ответная сторона – 203.0.113.1;
IKE:
- группа Диффи-Хэллмана: 2;
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5.
IP sec:
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5.
Схема реализации Route-based IPsec VPN
...
- Настроить IPsec туннель. Туннель необходимо поднять между адресами: кластер – 203.0.113.2 (VIP адрес), ответная сторона – 203.0.113.1. Туннель необходим для организации доступа между клиентскими подсетями 192.0.2.0/24 и 128.66.1.0/24;
IKE:
- группа Диффи-Хэллмана: 2;
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5.
IP sec:
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5.
Схема реализации Policy-based IPsec VPN
...
- режим резервирования сессий unicast;
- номер UDP-порта службы резервирования 9999;
- клиентская подсеть: 192.0.2.0/24.
Схема реализации firewall failover
...
- режим резервирования сессий unicast;
- номер UDP-порта службы резервирования 9999;
- настроить приоритеты у разных firewall failover так, чтобы один из юнитов кластера был Master в одном VRF, а в другом был Backup;
- клиентская подсеть через VRF FRST_ACTIVE : 192.0.2.0/24;
- клиентская подсеть через VRF SEC_ACTIVE : 203.0.113.0/24.
Схема реализации firewall failover в нескольких VRF
...
- в качестве default-router используется IP-адрес VRRP;
- в качестве dns-server используется IP-адрес VRRP;
- установить в качестве необходимого режима работы резервирования active-standby;
- клиентская подсеть: 192.0.2.0/24.
...
Схема реализации DHCP failover
...
- в качестве default-router используется IP-адрес VRRP;
- в качестве dns-server используется IP-адрес VRRP;
- установить в качестве необходимого режима работы резервирования active-standby;
- настроить приоритеты у разных DHCP failover так, чтобы один из юнитов кластера был Master в одном VRF, а в другом был Backup;
- клиентская подсеть в VRF FRST_ACTIVE: 192.0.2.0/24;
- клиентская подсеть в VRF SEC_ACTIVE: 203.0.113.0/24.
Схема реализации DHCP failover в нескольких VRF
...
С более детальной настройкой можно ознакомиться по ссылке в разделе: Настройка SNMP-сервера и отправки SNMP TRAP.
Пример настройки
Схема реализации SNMP
Задача:
...
- предоставить доступ в Интернет хостам, находящимся в локальной сети;
- клиентская подсеть: 192.0.2.0/24;
публичный IP адрес – VIP адрес на интерфейсе.
...
Схема реализации Source NAT
...
- организовать публичный доступа к серверу, находящемуся в частной сети и не имеющему публичного сетевого адреса;
- сервер доступен по адресу: 192.0.2.12/24;
...
Схема реализации Destination NAT
...
- соседство устанавливается только с Active устройством;
- клиентская подсеть: 192.0.2.0/24;
- анонсирование подсетей, подключенных напрямую;
- собственная AS 64500;
- соседство – подсеть 203.0.113.0/24, vrrp IP-адрес для подключения 203.0.113.1, IP-адрес соседа 203.0.113.2, 64501.
...
Схема реализации eBGP с общим IP-адресом
...
- соседство устанавливается с каждым маршрутизатором в кластере индивидуально;
- клиентская подсеть: 192.0.2.0/24;
- анонсирование подсетей, подключенных напрямую;
- собственная AS 64500;
- соседство для ESR-1 – подсеть 203.0.113.0/30, IP-адрес для подключения 203.0.113.1, IP-адрес соседа 203.0.113.2, 64501;
- соседство для ESR-2 – подсеть 203.0.113.4/30, IP-адрес для подключения 203.0.113.5, IP-адрес соседа 203.0.113.6, 64502.
...
Схема реализации eBGP с каждым участником кластера по индивидуальным IP-адресам
...
- группа Диффи-Хэллмана: 19;
- алгоритм шифрования: AES256;
- алгоритм аутентификации: SHA2-256.
...
Схема реализации DMVPN Single Hub Dual Cloud в кластере
...