Сравнение версий

Старая версия 93

changes.mady.by.user Сервисный центр Ethernet

Сохранено

по сравнению с

Новая версия 94

changes.mady.by.user Сервисный центр Ethernet

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.
Комментарий: Оксененко С. Поправил пример для Policy-based IPsec VPN

...

Для проверки работы протокола VRRP выполните следующую команду:

Блок кода
titleESR-1
ESResr-1#30# show vrrp 
Virtual router   Virtual IP                          Priority   Preemption   State    Inherit   Sync group ID   
--------------   ---------------------------------   --------   ----------   ------   
1-------   -----------   
1                 198 198.51.100.1/24  24                     100        Disabled     Backup   --        1  100        Enabled      Backup

Можно увидеть, что устройство приняло состояние Backup. Через 10 секунд устройство примет состояние Master.

...

Блок кода
titleESR-2
ESR-2# 2024-12-27T15:25:04+00:00 %CLUSTER-I-SYNC_CONFIG_INFO: unit 1 'ESR-1' starts a synchronous operation 'commit'
2024-12-27T15:25:09+00:00 %CLUSTER-I-SYNC_CONFIG_INFO: 'commit' successful performed
ESR-2# exit

ESR-2 login: admin
Password: 

********************************************
*            Welcome to ESR                *
********************************************

(Cluster: Yes | Unit: 2 | State: Standby | VRRP id 1: Backup)|ESR-2#


Примечание

Обновление пользовательской сессии необходимо, чтобы настройки Чтобы system prompt применились исключительно для администратора, которому это требуетсякорректно работал, необходимо обновить пользовательскую сессию.

Настройка MultiWAN

Технология MultiWAN позволяет организовать отказоустойчивое соединение с резервированием линков от нескольких провайдеров.

...

Блок кода
cluster
  cluster-interface bridge 1
  unit 1
    mac-address cc:9d:a2:71:83:78
  exit
  unit 2
    mac-address cc:9d:a2:71:82:38
  exit
  enable
exit

hostname ESR-1 unit 1
hostname ESR-2 unit 2

security zone SYNC
exit
security zone WAN
exit
security zone LAN
exit

bridge 1
  vlan 1
  security-zone SYNC
  ip address 198.51.100.254/24 unit 1
  ip address 198.51.100.253/24 unit 2
  vrrp id 1
  vrrp ip 198.51.100.1/24
  vrrp group 1
  vrrp authentication key ascii-text encrypted 88B11079B51D
  vrrp authentication algorithm md5
  vrrp
  enable
exit

interface gigabitethernet 1/0/1
  mode switchport
  spanning-tree disable
exit
interface gigabitethernet 1/0/2
  security-zone LANWAN
  ip address 192128.66.0.2.254/2430
  vrrp id 23
  vrrp ip 192203.0.113.2.1/2430
  vrrp group 1
  vrrp
exit
interface gigabitethernet 1/0/3
  mode switchport
  spanning-tree disable
exit
interface gigabitethernet 2/0/1
  security-zone LAN
  ip address 192.0.2.253254/24
  vrrp id 2
  vrrp ip 192.0.2.1/24
  vrrp group 1
  vrrp
exit
interface gigabitethernet 2/0/31
  mode switchport
  spanning-tree disable
exit
interface gigabitethernet 2/0/2
  security -zone-pair SYNCWAN
 self
 ip rule 1address 128.66.0.1/30
  vrrp id action permit3
  vrrp  match protocol icmpip 203.0.113.2/30
  vrrp group enable1
  vrrp
exit
interface  rulegigabitethernet 2/0/3
  security-zone  action permitLAN
  ip address 192.0.2.253/24
  vrrp id match2
 protocol vrrp ip 192.0.2.1/24
  vrrp group enable1
  vrrp
exit

security zone-pair SYNC self
  rule 31
    action permit
    match protocol ahicmp
    enable
  exit
exit
security zone-pair LAN self
  rule 12
    action permit
    match protocol vrrp
    enable
  exit
exit
Решение:

Сконфигурируем необходимые сетевые интерфейсы для подключения к провайдеру с указанием их принадлежности к зоне безопасности:

...

titleESR-1

...

  rule 3
    action permit
    match protocol ah
    enable
  exit
exit
security zone-pair WAN self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
exit
security zone-pair LAN self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
exit
Решение:

Создадим профиль ISAKMP-портов, необходимых для работы протокола IPsec, включающий разрешение UDP-пакетов на порту 500 (а также на порту 4500 для поддержки NAT-T при необходимости):

...

Добавим правила, разрешающее прохождение пакетов протоколов VRRP и ESP, а также UDP-пакетов с портами 500 и 4500, через IPsec-туннель:

Блок кода
titleESR-1
ESR-1(config)# security zone-pair WAN self
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol vrrp
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-)# security- zone-pair-rule)# exit WAN self
ESR-1(config-security-zone-pair)# rule 2
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol udp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group ISAKMP
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# rule 3
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol esp
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit

Добавим правило, разрешающее прохождение трафика между зонами LAN и WAN для клиентских подсетей:

Блок кода
titleESR-1
ESR-1(config)# object-group network LAN
ESR-1(config-object-group-network)# ip prefix 192.0.2.0/24
ESR-1(config-object-group-network)# exit
ESR-1(config)# object-group network IPSEC
ESR-1(config-object-group-network)# ip prefix 128.66.1.0/24
ESR-1(config-object-group-network)# exit
ESR-1(config)# security zone-pair LAN WAN
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# match source-address object-group LAN 
ESR-1(config-security-zone-pair-rule)# match destination-address object-group IPSEC 
ESR-1(config-security-zone-pair-rule)# action permit 
ESR-1(config-security-zone-pair-rule)# enable 
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit
ESR-1(config)# security zone-pair WAN LAN 
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# match source-address object-group IPSEC 
ESR-1(config-security-zone-pair-rule)# match destination-address object-group LAN 
ESR-1(config-security-zone-pair-rule)# action permit 
ESR-1(config-security-zone-pair-rule)# enable 
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit

...

Создадим шлюз протокола IKE, определив применимую IKE-политику, локальные и удалённые параметры, а также режим перенаправления трафика в туннель. В качестве локального шлюза назначим VIP IP-адрес, настроенный на интерфейсах в сторону зоны WAN, с локальной подсетью 192.0.2.0/24, а удалённым – IP-адрес 203.0.113.1 с удаленной подсетью 128.66.01.0/24. Режим перенаправления трафика установлен как policy-based:

...