...
| Примечание |
|---|
В версии 1.28 не поддержана синхронизация шифрованных поддержано синхронное шифрование паролей, вводимых не в encryption виде. Такие пароли будут зашифрованы каждым из участников кластера самостоятельно. |
...
| Блок кода |
|---|
|
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone SYNCLAN
exit
security zone WAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/31
mode switchport
spanning-tree disable
exit
interface gigabitethernet 21/0/2.3
modesecurity-zone switchportWAN
ip spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit |
Создадим локальную зону безопасности и зону безопасности в сторону интернета:
| Блок кода |
|---|
|
ESR-1(config)# security zone LAN
ESR-1(config-security-zone)# exit
ESR-1(config)# security zone WAN
ESR-1(config-security-zone)# exit |
Создадим список IP-адресов для проверки целостности соединения:
| Блок кода |
|---|
|
ESR-1(config)# wan load-balance target-list WAN
ESR-1(config-wan-target-list)# target 1
ESR-1(config-wan-target)# resp-time 1
ESR-1(config-wan-target)# ip address 128.66.0.17
ESR-1(config-wan-target)# enable
ESR-1(config-wan-target)# exit
ESR-1(config-wan-target-list)# exit |
Настроим интерфейсы в зону LAN:
| Блок кода |
|---|
|
ESR-1(config)# interface gigabitethernet 1/0/1
ESR-1(config-if-gi)# security-zone LAN
ESR-1(config-if-gi)# ip address 192.0.2.254/24
ESR-1(config-if-gi)# vrrp id 2
ESR-1(config-if-gi)# vrrp ip 192.0.2.1/24
ESR-1(config-if-gi)# vrrp group 1
ESR-1(config-if-gi)# vrrp
ESR-1(config-if-gi)# exit
ESR-1(config)# interface gigabitethernet 2/0/1
ESR-1(config-if-gi)# security-zone LAN
ESR-1(config-if-gi)#address 128.66.0.6/30
vrrp id 3
vrrp ip 128.66.0.2/30
vrrp group 1
vrrp
exit
interface gigabitethernet 1/0/2.4
security-zone WAN
ip address 128.66.0.10/30
vrrp id 4
vrrp ip 128.66.0.14/30
vrrp group 1
vrrp
exit
interface gigabitethernet 1/0/3
security-zone LAN
ip address 192.0.2.254/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2.3
security-zone WAN
ip address 128.66.0.5/30
vrrp id 3
vrrp ip 128.66.0.2/30
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/2.4
security-zone WAN
ip address 128.66.0.9/30
vrrp id 4
vrrp ip 128.66.0.14/30
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/3
security-zone LAN
ip address 192.0.2.253/24
ESR-1(config-if-gi)# vrrp id 2
ESR-1(config-if-gi)# vrrp ip 192.0.2.1/24
ESR-1(config-if-gi)# vrrp group 1
ESR-1(config-if-gi)# vrrp
ESR-1(config-if-gi)# exit |
Настроим интерфейсы в сторону провайдера ISP1:
| Блок кода |
|---|
|
ESR-1(config)# interface gigabitethernet 1/0/2.3
ESR-1(config-if-sub)# security-zone WAN
ESR-1(config-if-sub)# ip address 128.66.0.6/30
ESR-1(config-if-sub)# vrrp id 3
ESR-1(config-if-sub)# vrrp ip 128.66.0.2/30
ESR-1(config-if-sub)# vrrp group 1
ESR-1(config-if-sub)# vrrp
ESR-1(config-if-sub)# wan load-balance nexthop 128.66.0.1
ESR-1(config-if-sub)# wan load-balance target-list WAN
ESR-1(config-if-sub)# wan load-balance enable
ESR-1(config-if-sub)# exit
ESR-1(config)# interface gigabitethernet 2/0/2.3
ESR-1(config-if-sub)# security-zone WAN
ESR-1(config-if-sub)# ip address 128.66.0.5/30
ESR-1(config-if-sub)# vrrp id 3
ESR-1(config-if-sub)# vrrp ip 128.66.0.2/30
ESR-1(config-if-sub)# vrrp group 1
ESR-1(config-if-sub)# vrrp
ESR-1(config-if-sub)# wan load-balance nexthop 128.66.0.1
ESR-1(config-if-sub)# wan load-balance target-list WAN
ESR-1(config-if-sub)# wan load-balance enable
ESR-1(config-if-sub)# exit |
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
security zone-pair WAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit |
Создадим список IP-адресов для проверки целостности соединения:Настроим интерфейсы в сторону провайдера ISP2:
| Блок кода |
|---|
|
ESR-1(config)# interface gigabitethernet 1/0/2.4
ESR-1(config-if-sub)# security-zonewan load-balance target-list WAN
ESR-1(config-wan-iftarget-sublist)# ip address 128.66.0.10/30
ESR-1(config-if-sub)# vrrp id 4target 1
ESR-1(config-ifwan-subtarget)# vrrpip ipaddress 128.66.0.14/3017
ESR-1(config-ifwan-subtarget)# vrrp group 1enable
ESR-1(config-ifwan-subtarget)# vrrp
ESR-1(config-if-sub)# wan load-balance nexthop 128.66.0.13exit
ESR-1(config-if-sub)# wan load-balance target-list WAN
ESR-1(config-if-sub)# wan load-balance enable
ESR-1(config-if-sub)# exit
)# exit |
Настроим WAN на интерфейсе в сторону провайдера ISP1:
| Блок кода |
|---|
|
ESR-1(config)# interface gigabitethernet 21/0/2.4
ESR-1(config-if-sub)# security-zone WAN2.3
ESR-1(config-if-sub)# wan ipload-balance addressnexthop 128.66.0.9/301
ESR-1(config-if-sub)# wan vrrp id 4load-balance target-list WAN
ESR-1(config-if-sub)# vrrpwan ip 128.66.0.14/30load-balance enable
ESR-1(config-if-sub)# vrrp group 1exit
ESR-1(config-if-sub)# vrrp interface gigabitethernet 2/0/2.3
ESR-1(config-if-sub)# wan load-balance nexthop 128.66.0.131
ESR-1(config-if-sub)# wan load-balance target-list WAN
ESR-1(config-if-sub)# wan load-balance enable
ESR-1(config-if-sub)# exit |
Укажем статический маршрут и создадим правило для балансировки трафика:Настроим WAN на интерфейсе в сторону провайдера ISP2:
| Блок кода |
|---|
|
ESR-1(config)# ip route 0.0.0.0/0 wan load-balance rule 1 10
ESR-1(config)# wan load-balance rule 1
ESR-1(config-wan-rule)# outbound interface gigabitethernet 1/0/2.3 704
ESR-1(config-wanif-rulesub)# outboundwan interfaceload-balance gigabitethernet 1/0/2.4 30nexthop 128.66.0.13
ESR-1(config-wanif-rulesub)# outboundwan interface gigabitethernet 2/0/2.3 70load-balance target-list WAN
ESR-1(config-wanif-rulesub)# outbound interface gigabitethernet 2/0/2.4 30
ESR-1(config-wan-rule)# enable
ESR-1(config-wan-rule)# exit |
Разрешим работу протокола VRRP в зоне WAN и LAN:
| Блок кода |
|---|
|
wan load-balance enable
ESR-1(config-if-sub)# security zone-pair WAN selfexit
ESR-1(config-security-zone-pair)# interface rule 1gigabitethernet 2/0/2.4
ESR-1(config-security-zone-pair-ruleif-sub)# action permitwan load-balance nexthop 128.66.0.13
ESR-1(config-security-zone-pair-ruleif-sub)# wan match protocol vrrpload-balance target-list WAN
ESR-1(config-security-zone-pair-rule)#if-sub)# wan load-balance enable
ESR-1(config-security-zone-pair-ruleif-sub)# exit
|
Укажем статический маршрут и создадим правило для балансировки трафика:
| Блок кода |
|---|
|
ESR-1(config-security-zone-pair)# exit ip route 0.0.0.0/0 wan load-balance rule 1 10
ESR-1(config)# securitywan zoneload-pairbalance LANrule self1
ESR-1(config-securitywan-zone-pairrule)# ruleoutbound interface gigabitethernet 1/0/2.3 70
ESR-1(config-security-zone-pairwan-rule)# action permit outbound interface gigabitethernet 1/0/2.4 30
ESR-1(config-securitywan-zone-pair-rule)# outbound interface match protocol vrrpgigabitethernet 2/0/2.3 70
ESR-1(config-security-zonewan-pair-rule)# enable outbound interface gigabitethernet 2/0/2.4 30
ESR-1(config-security-zone-pairwan-rule)# exitenable
ESR-1(config-securitywan-zone-pairrule)# exit |
Проверить состояние работы MultiWAN можно с помощью команды:
...
Также состояние работы MultiWAN можно проверить с помощью команды:
| Блок кода |
|---|
|
ESR-1# show wan interfaces status
Interface Nexthop Status Uptime/Downtime
(d,h:m:s)
-------------------- ----------------------- -------- --------------------
gi1/0/2.3 128.66.0.1 Active 00,00:00:44
gi1/0/2.4 128.66.0.13 Active 00,00:00:45 |
...
