...
| Примечание |
|---|
Объединение устройств в кластер невозможно, если они относятся к одному и тому же юниту. |
| Примечание |
|---|
Для объединения в кластер vESR предварительно необходимо сделать разные системные MAC-адреса на устройствах путем смены серийного номера. |
Настройка кластерного интерфейса
...
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config-bridge)# ip address 198.51.100.254/24 unit 1 ESR-1(config-bridge)# ip address 198.51.100.253/24 unit 2 |
| Примечание |
|---|
Для работы кластерного интерфейса поддерживается только IPv4-адресация. На cluster-интерфейсе необходима настройка адресов с привязкой к unit. |
...
- Настроить IPsec туннель. Туннель необходимо поднять между адресами: кластер – 203.0.113.252 2 (VIP адрес), ответная сторона – 203.0.113.16;
IKE:
- группа Диффи-Хэллмана: 2;
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5.
IP sec:
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5.
...
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config)# security zone IPSEC ESR-1(config-security-zone)# exit ESR-1(config)# tunnel vti 1 ESR-1(config-vti)# security-zone IPSEC ESR-1(config-vti)# local address 203.0.113.2 ESR-1(config-vti)# remote address 203.0.113.16 ESR-1(config-vti)# ip address 128.66.0.6/30 ESR-1(config-vti)# enable ESR-1(config-vti)# exit |
...
| Блок кода | ||
|---|---|---|
| ||
ESR-1# show tunnels status
Tunnel Admin Link MTU Local IP Remote IP Last change
state state (d,h:m:s)
---------------- ----- ----- ------ ---------------- ---------------- -------------
vti 1 Up Up 1500 203.0.113.2 203.0.113.16 00,00:05:59 |
Посмотреть состояние IPsec-туннеля можно с помощью команды:
| Блок кода | ||
|---|---|---|
| ||
ESR-1# show security ipsec vpn status Name Local host Remote host Initiator spi Responder spi State ------------------------------- --------------- --------------- ------------------ ------------------ ----------- ipsec 203.0.113.2 203.0.113.16 0x65212b7585c59b50 0x53028e1afc23a024 Established |
...
- Настроить IPsec туннель. Туннель необходимо поднять между адресами: кластер – 203.0.113.2 (VIP адрес), ответная сторона – 203.0.113.16. Туннель необходим для организации доступа между клиентскими подсетями 192.0.2.0/24 и 128.66.1.0/24;
IKE:
- группа Диффи-Хэллмана: 2;
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5.
IP sec:
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5.
...
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config)# security ike gateway ike_gw ESR-1(config-ike-gw)# ike-policy ike_pol ESR-1(config-ike-gw)# local address 203.0.113.2 ESR-1(config-ike-gw)# local network 192.0.2.0/24 ESR-1(config-ike-gw)# remote address 203.0.113.16 ESR-1(config-ike-gw)# remote network 128.66.1.0/24 ESR-1(config-ike-gw)# mode policy-based ESR-1(config-ike-gw)# exit |
...
| Блок кода | ||
|---|---|---|
| ||
ESR-1# show security ipsec vpn status Name Local host Remote host Initiator spi Responder spi State ------------------------------- --------------- --------------- ------------------ ------------------ ----------- ipsec 203.0.113.2 203.0.113.16 0x201602ebcafb809b 0x4556a21a7012d2c0 Established |
...
С более детальной настройкой можно ознакомиться по ссылке в разделе: Настройка SNMP-сервера и отправки SNMP TRAP.
Пример настройки
Схема реализации SNMP
...
- соседство устанавливается только с Active устройством;
- клиентская подсеть: 192.0.2.0/24;
- анонсирование подсетей, подключенных напрямую;
- собственная AS 64500;
- соседство – подсеть 203.0.113.0/24, vrrp IP-адрес для подключения 203.0.113.1, IP-адрес соседа 203.0.113.2, 64501.
Схема реализации eBGP с общим IP-адресом
...
- соседство устанавливается с каждым маршрутизатором в кластере индивидуально;
- клиентская подсеть: 192.0.2.0/24;
- анонсирование подсетей, подключенных напрямую;
- собственная AS 64500;
- соседство для ESR-1 – подсеть 203.0.113.0/30, IP-адрес для подключения 203.0.113.1, IP-адрес соседа 203.0.113.2, 64501;
- соседство для ESR-2 – подсеть 203.0.113.4/30, IP-адрес для подключения 203.0.113.5, IP-адрес соседа 203.0.113.6, 64502.
Схема реализации eBGP с каждым участником кластера по индивидуальным IP-адресам
...
Организовать DMVPN между офисами компании, используя mGRE-туннели, NHRP (Next Hop Resolution Protocol), протокол динамической маршрутизации (BGP), IPsec. В данном примере будет HUB-маршрутизатор, который находится в кластере, и два филиала. HUB – это DMVPN-cервер (NHS), а филиалы – DMPVN-клиенты (NHC).
HUB внешний IP-адрес — 150.115.0.5через Cloud_one — 198.51.100.2/30;
HUB внешний IP-адрес через Cloud_two — 198.51.100.6/30;
SPOKE-1 внешний IP-адрес — 180198.51.100.0.10/30;
SPOKE-2 внешний IP-адрес — 140198.11451.0100.414/30.
Параметры IPsec VPN:
IKE:
...
- группа Диффи-Хэллмана: 19;
- алгоритм шифрования: AES256;
- алгоритм аутентификации: SHA2-256.
Схема реализации DMVPN Single Hub Dual Cloud в кластере
...
| Блок кода | ||
|---|---|---|
| ||
cluster
cluster-interface bridge 1
unit 1
mac-address a2:00:00:10:a0:00
exit
unit 2
mac-address a2:00:00:10:b0:00
exit
enable
exit
hostname HUB-1 unit 1
hostname HUB-2 unit 2
security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit
ip access-list extended LOCAL_1
rule 1
action permit
match source-address 198.51.100.2 255.255.255.255
enable
exit
exit
ip access-list extended LOCAL_2
rule 1
action permit
match source-address 198.51.100.6 255.255.255.255
enable
exit
exit
route-map PBR_LOCAL
rule 1
match ip access-group LOCAL_1
action set ip next-hop verify-availability 198.51.100.1 1
exit
rule 2
match ip access-group LOCAL_2
action set ip next-hop verify-availability 198.51.100.5 1
exit
exit
route-map DMVPN_BGP_OUT_CLOUD_TWO
rule 1
match ip address 0.0.0.0/0
action set metric bgp 2000
exit
exit
route-map DMVPN_BGP_OUT_CLOUD_ONE
rule 1
match ip address 0.0.0.0/0
action set metric bgp 1000
exit
exit
ip local policy route-map PBR_LOCAL
bridge 1
vlan 1
security-zone SYNC
ip address 192.0.2.5/29 unit 1
ip address 192.0.2.6/29 unit 2
vrrp id 1
vrrp ip 192.0.2.1/29
vrrp group 1
vrrp
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/2.100
security-zone WAN
ip address 192.0.2.9/29
vrrp id 2
vrrp ip 198.51.100.2/30
vrrp group 1
vrrp
wan load-balance nexthop 198.51.100.1
wan load-balance enable
exit
interface gigabitethernet 1/0/12.200
security-zone WAN
ip address 192.0.2.17/29
vrrp id 3
vrrp ip 198.51.100.6/30
vrrp group 1
vrrp
wan load-balance nexthop 198.51.100.5
wan load-balance enable
exit
interface gigabitethernet 1/0/2
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/3
security-zone LAN
ip address 128.66.0.2/24
vrrp id 4
vrrp ip 128.66.0.1/24
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2.100
security-zone WAN
ip address 192.0.2.10/29
vrrp id 2
vrrp ip 198.51.100.2/30
vrrp group 1
vrrp
wan load-balance nexthop 198.51.100.1
wan load-balance enable
exit
interface gigabitethernet 2/0/12.200
security-zone WAN
ip address 192.0.2.18/29
vrrp id 3
vrrp ip 198.51.100.6/30
vrrp group 1
vrrp
wan load-balance nexthop 198.51.100.5
wan load-balance enable
exit
interface gigabitethernet 2/0/2
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/3
security-zone LAN
ip address 128.66.0.3/24
vrrp id 4
vrrp ip 128.66.0.1/24
vrrp group 1
vrrp
exit
security zone-pair SYNC self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
rule 3
action permit
match protocol icmp
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit
security zone-pair WAN self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit
ip route 0.0.0.0/0 wan load-balance rule 1
wan load-balance rule 1
outbound interface gigabitethernet 1/0/12.100
outbound interface gigabitethernet 1/0/12.200
outbound interface gigabitethernet 2/0/12.200
outbound interface gigabitethernet 2/0/12.100
enable
exit |
Исходная конфигурация SPOKE-1:
...