Сравнение версий

Старая версия 95

changes.mady.by.user Сервисный центр Ethernet

Сохранено

по сравнению с

Новая версия 96

changes.mady.by.user Сервисный центр Ethernet

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.
Комментарий: Оксененко С. Поправил пример для firewall failover

...

Блок кода
titleESR-1
cluster
  cluster-interface bridge 1
  unit 1
    mac-address cc:9d:a2:71:83:78
  exit
  unit 2
    mac-address cc:9d:a2:71:82:38
  exit
  enable
exit

hostname ESR-1 unit 1
hostname ESR-2 unit 2

security zone SYNC
exit
security zone LANWAN
exit
security zone WANLAN
exit

bridge 1
  vlan 1
  security-zone SYNC
  ip address 198.51.100.254/24 unit 1
  ip address 198.51.100.253/24 unit 2
  vrrp id 1
  vrrp ip 198.51.100.1/24
  vrrp group 1
  vrrp authentication key ascii-text encrypted 88B11079B51D
  vrrp authentication algorithm md5
  vrrp
  enable
exit

interface gigabitethernet 1/0/1
  mode switchport
  spanning-tree disable
exit
interface gigabitethernet 1/0/2
  security-zone LANWAN
  ip address 128.66.0.26/30
  vrrp id 23
  vrrp ip 192203.0.113.2.1/2430
  vrrp group 1
  vrrp
exit
interface gigabitethernet 1/0/23
  security-zone WANLAN
  ip address 128.66.0.2/30
  vrrp id 32
  vrrp ip 203192.0.1132.21/3024
  vrrp group 1
  vrrp
exit
interface gigabitethernet 12/0/31
  mode switchport
  spanning-tree disable
exit
interface gigabitethernet 2/0/12
  security-zone LANWAN
  ip address 128.66.0.15/30
  vrrp id 23
  vrrp ip 192203.0.113.2.1/2430
  vrrp group 1
  vrrp
exit
interface gigabitethernet 2/0/23
  security-zone WANLAN
  ip address 128.66.0.1/30
  vrrp id 32
  vrrp ip 203192.0.1132.21/3024
  vrrp group 1
  vrrp
exit
interface gigabitethernet 2/0/3
  mode switchport
  spanning-tree disable
exit

security zone-pair SYNC self
  rule 1
    action permit
    match protocol icmp
    enable
  exit
  rule 2
    action permit
    match protocol vrrp
    enable
  exit
  rule 3
    action permit
    match protocol ah
    enable
  exit
exit
security zone-pair LAN self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
exit
security zone-pair WAN self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
exit
security zone-pair LAN WAN
  rule 1
    action permit
    enable
  exit
exit

ip route 0.0.0.0/0 203.0.113.1

...

Блок кода
titleESR-1
ESR-1(config)# object-group network SYNC_SRC
ESR-1(config-object-group-network)# ip address-range 198.51.100.254 unit 1
ESR-1(config-object-group-network)# ip address-range 198.51.100.253 unit 2
ESR-1(config-object-group-network)# exit
ESR-1(config)# object-group network SYNC_DST
ESR-1(config-object-group-network)# ip address-range 198.51.100.253 unit 1
ESR-1(config-object-group-network)# ip address-range 198.51.100.254 unit 2
ESR-1(config-object-group-network)# exit

Перейдем к настройке общих параметров для failover сервисов, а именно к выбору: IP-адреса сетевого интерфейса, с которого будут отправляться сообщения при работе для синхронизации, IP-адреса получателя сообщений для синхронизации и VRRP-группу, на основе которой определяется состояние (основной/резервный) маршрутизатора при работе failover-сервисов, указав созданную object-group:

Блок кода
titleESR-1
ESR-1(config)# ip failover
ESR-1(config-failover)# local-address object-group SYNC_SRC

Настроим IP-адреса соседа при работе failover-сервисов, указав созданную object-group:

Блок кода
titleESR-1

ESR-1(config-failover)# remote-address object-group SYNC_DST

Укажем VRRP-группу, на основе которой определяется состояние (основной/резервный) маршрутизатора при работе failover-сервисов:

Блок кода
titleESR-1
ESR-1(config-failover)#
ESR-1(config-failover)# vrrp-group 1
ESR-1(config-failover)# exit
Примечание

При включенном кластере использование object-group в настройке failover-сервисов для local/remote адресов обязательно.

Для настройки правил зон безопасности создадим профиль для порта firewall failover:

...

Выполним настройку firewall failover.  Настроим Настроим режим резервирования сессий unicast, номер UDP-порта службы резервирования сессий firewall и включим firewall failover :

Блок кода
titleESR-1
ESR-1(config)# ip firewall failover
ESR-1(config-firewall-failover)# sync-type unicast

Настроим номер UDP-порта службы резервирования сессий firewall:

Блок кода
title

ESR-1
ESR-1(config-firewall-failover)# port 9999

Включим резервирование сессий firewall:

Блок кода
title

ESR-1
ESR-1(config-firewall-failover)# enable 
ESR-1(config-firewall-failover)# exit

...

Блок кода
titleESR-1
ESR-1# show ip firewall sessions failover external 
ESR- internal 
 Codes: E - expected, U - unreplied,
        A - assured, C - confirmed

Prot    Aging        Inside source           Inside destination      Outside source          Outside destination     Pkts         Bytes        Status   
-----   ----------   ---------------------   ---------------------   ---------------------   ---------------------   ----------   ----------   ------   
tcp     0            192.0.2.10:44812        128.66.1.1:22           128.66.1.1:22           192.0.2.10:44812        --           --           AC
Блок кода
titleESR-2
ESR-1# show ip firewall sessions failover internalexternal 
 
 Codes: E - expected, U - unreplied,
        A - assured, C - confirmed

Prot    Aging        Inside source           Inside destination      Outside source          Outside destination     Pkts         Bytes        Status   
-----   ----------   ---------------------   ---------------------   ---------------------   ---------------------   ----------   ----------   ------   
tcp     0            192.0.2.10:44812        128.66.1.1:22           128.66.1.1:22           192.0.2.10:44812        --           --           AC

...