Оглавление

printable	false

Транспортная сеть — это совокупность всех ресурсов, выполняющих функции транспортирования в телекоммуникационных сетях. Она включает не только системы передачи, но и относящиеся к ним средства контроля, оперативного переключения, резервирования, управления.

При организации транспортной сети на оборудовании ELTEX Eltex используется следующий функционал (на сервисных маршрутизаторах ESR):

Firewall
Агрегирование каналов
VRRP

Приведем схему и пример настройки:

draw.io Diagram

border	true

diagramName	Transpset
simpleViewer	false
width	400
links	auto
tbstyle	top
lbox	true
diagramWidth	893
revision	1

Настройка IP-связности с вышестоящими провайдерами

Блок кода

title	ESR1
collapse	true

security zone Untrusted
exit
 
interface gigabitethernet 1/0/1
  description "ISP1"
  security-zone Untrusted
  ip address 203.0.113.2/25
exit

Блок кода

title	ESR2
collapse	true

security zone Untrusted
exit
 
interface gigabitethernet 1/0/1
  description "ISP2"
  security-zone Untrusted
  ip address 203.0.113.130/25
exit

Блок кода

title	Пояснение
collapse	true

Создаем зону безопасности


Назначаем на интерфейс ранее созданную зону, присваиваем IP-адрес

Для взаимодействия с коммутатором ядра выполним агрегацию каналов. Для этого воспользуемся протоколом LACP, который позволяет объединять несколько физических каналов в один логический. Такое объединение позволяет увеличивать пропускную способность и надежность канала. Далее произведем терминацию MGMT-трафика, которая будет осуществляться на соответствующем саб-интерфейсе агрегированного канала.

Блок кода

title	ESR1
collapse	true

interface port-channel 1
exit
 
interface gigabitethernet 1/0/3
  mode switchport
  channel-group 1 mode auto
exit
 
interface gigabitethernet 1/0/4
  mode switchport
  channel-group 1 mode auto
exit

security zone MGMT
exit

interface port-channel 1.250
  description "MGMT"
  security-zone MGMT
  ip address 10.250.0.1/24
exit

Блок кода

title	ESR2
collapse	true

interface port-channel 1
exit
 
interface gigabitethernet 1/0/3
  mode switchport
  channel-group 1 mode auto
exit
 
interface gigabitethernet 1/0/4
  mode switchport
  channel-group 1 mode auto
exit

security zone MGMT
exit

interface port-channel 1.250
  description "MGMT"
  security-zone MGMT
  ip address 10.250.0.2/24
exit

Блок кода

title	Пояснение
collapse	true

Создаем логический интерфейс


Добавляем соответствующие интерфейсы в группу агрегации













Терминируем интерфейс для управления маршрутизатором

Настройка коммутаторов уровня ядра

На уровне ядра необходимо настроить прохождение трафика к сервисным маршрутизаторам и коммутаторам уровня агрегации и IP-адрес из сети управления.

Блок кода

title	MES_Ядро_1
collapse	true

vlan database
 vlan 250
exit
!
interface vlan 250
 name Management
 ip address 10.250.0.10 /24
exit
!

Блок кода

title	MES_Ядро_2
collapse	true

vlan database
 vlan 250
exit
!
interface vlan 250
 name Management
 ip address 10.250.0.11 /24
exit
!

Блок кода

title	Пояснения
collapse	true

Создание необходимых VLAN
 
 
 
Переход в режим конфигурации интерфейса VLAN
Добавление описания
Конфигурация IP-адреса для управления

Настройка каналов в сторону сервисных маршрутизаторов ESR (вверх) и в сторону коммутаторов агрегации (вниз).

Блок кода

title	MES_Ядро_1
collapse	true

interface TenGigabitEthernet1/0/4
 channel-group 2 mode auto
exit
!
interface TenGigabitEthernet1/0/5
 channel-group 3 mode auto
exit
!
interface TenGigabitEthernet1/0/6
 channel-group 4 mode auto
exit
!
interface TenGigabitEthernet1/0/7
 channel-group 5 mode auto
exit
!
interface range Port-Channel1-5
 switchport mode general
 switchport general allowed vlan add 250 tagged
exit
!
interface range Port-Channel2-5
 switchport forbidden default-vlan
exit
!

Блок кода

title	MES_Ядро_2
collapse	true

interface TenGigabitEthernet1/0/4
 channel-group 2 mode auto
exit
!
interface TenGigabitEthernet1/0/5
 channel-group 3 mode auto
exit
!
interface TenGigabitEthernet1/0/6
 channel-group 4 mode auto
exit
!
interface TenGigabitEthernet1/0/7
 channel-group 5 mode auto
exit
!
interface range Port-Channel1-5
 switchport mode general
 switchport general allowed vlan add 250 tagged
 switchport forbidden default-vlan
exit
!
interface range Port-Channel2-5
 switchport forbidden default-vlan
exit
!

Блок кода

title	Пояснения
collapse	true

 
Port-Channel 2 будет использован для организации связности с сервисным маршрутизатором ESR1
 
 
 
Port-Channel 3 будет использован для организации связности с сервисным маршрутизатором ESR2
 
 
 
Port-Channel 4 будет использован для организации связности с коммутаторами уровня агрегации
 
 
 
Port-Channel 5 будет использован для организации связности с коммутаторами уровня агрегации
 
 
Переход в режим конфигурации нескольких интерфейсов одновременно
Перевод интерфейса в режим general
Указание VLAN id, которые будут проходить через интерфейс



Запрет добавления дефолтной VLAN на интерфейсах, кроме Peer-Link

Для обеспечения резервирования в данной схеме на уровне ядра применяется технология VPC.

Блок кода

title	MES_Ядро_1
collapse	true

interface TenGigabitEthernet1/0/1
 ip address 1.1.1.1 255.255.255.252
exit
!
interface TenGigabitEthernet1/0/2
 channel-group 1 mode auto
exit
!
interface TenGigabitEthernet1/0/3
 channel-group 1 mode auto
exit
!
vpc domain 1
 peer detection
 peer detection ipaddr 1.1.1.2 1.1.1.1
 peer keepalive
 peer keepalive timeout 5
 role priority 1
 peer link port-channel 1
exit
!
vpc
!
vpc group 2
 domain 1
 vpc-port port-channel 2
exit
!
vpc group 3
 domain 1
 vpc-port port-channel 3
exit
!
vpc group 4
 domain 1
 vpc-port port-channel 4
exit
!
vpc group 5
 domain 1
 vpc-port port-channel 5
exit
!

Блок кода

title	MES_Ядро_2
collapse	true

interface TenGigabitEthernet1/0/1
 ip address 1.1.1.2 255.255.255.252
exit
!
interface TenGigabitEthernet1/0/2
 channel-group 1 mode auto
exit
!
interface TenGigabitEthernet1/0/3
 channel-group 1 mode auto
exit
!
vpc domain 1
 peer detection
 peer detection ipaddr 1.1.1.2 1.1.1.1
 peer keepalive
 peer keepalive timeout 5
 role priority 2
 peer link port-channel 1
exit
!
vpc
!
vpc group 2
 domain 1
 vpc-port port-channel 2
exit
!
vpc group 3
 domain 1
 vpc-port port-channel 3
exit
!
vpc group 4
 domain 1
 vpc-port port-channel 4
exit
!
vpc group 5
 domain 1
 vpc-port port-channel 5
exit
!

Блок кода

title	Пояснения
collapse	true

Настройка IP-адреса для Peer-detection



Добавление интерфейса в Port-Channel 1 (будет использован для Peer-Link)







Создание VPC-домена
Включение peer-detection
Указание destination, source IP-адреса для peer-detection protocol
Включение службы keepalive
Указание времени ожидания ответа на запрос целостности peer-link
Установка приоритета устройства. Устройство с меньшим значением будет назначено Primary
Назначение Port-Channel 1 в качестве peer-link
 
 
Включение VPC на коммутаторе

Создание VPC-группы
Указание VPC-домена
Указание Port-Channel, в котором будет работать VPC-группа

Настройка коммутаторов уровня агрегации

В качестве технологии резервирования на уровне агрегации в рассматриваемой схеме применяется стекирование.

Примечание

Перед базовой конфигурацией коммутаторов уровня агрегации (в рассматриваемой схеме) необходимо настроить стекирование.

После конфигурации cтековых настроек устройства необходимо перезагрузить, чтобы настройки применились. Перезагрузку лучше начать с юнита 1.

Подсказка
Устройства в стеке управляются через Master.

Блок кода

title	Конфигурация MES_Агрегация_1
collapse	true

stack configuration unit-id 1
!
stack configuration links te1-2
!
stack nsf

Блок кода

title	Конфигурация MES_Агрегация_2
collapse	true

stack configuration unit-id 2
!
stack configuration links te1-2
!
stack nsf

Блок кода

title	Пояснения
collapse	true

Конфигурация unit-id внутри стека

Конфигурация стековых линков. Стекирование будет осуществляться через интерфейсы TenGigabitEthernet1 и TenGigabitEthernet2

Включение функционала Non-Stop Forwarding

Настройка управления коммутаторов уровня агрегации. Т. к. коммутаторы на данном уровне работают в стеке, то они являются одним логическим устройством.

Блок кода

title	Конфигурация_MES_Агрегация_Stack
collapse	true

vlan database
 vlan 250
exit
!
interface vlan 250
 name Management
 ip address 10.250.0.20 /24
exit

Блок кода

title	Пояснения
collapse	true

Создание необходимых VLAN
  
  
  
Переход в режим конфигурации интерфейса VLAN
Добавление описания
Конфигурация IP-адреса для управления

Настройка каналов в сторону коммутаторов ядра (вверх) и в сторону коммутаторов доступа (вниз).

Блок кода

title	Конфигурация_MES_Агрегация_Stack
collapse	true

interface GigabitEthernet1/0/1
 channel-group 1 mode auto
exit
!
interface GigabitEthernet2/0/1
 channel-group 1 mode auto
exit
!
interface GigabitEthernet1/0/2
 channel-group 2 mode auto
exit
!
interface GigabitEthernet2/0/2
 channel-group 2 mode auto
exit
!
interface GigabitEthernet1/0/3
 channel-group 3 mode auto
exit
!
interface GigabitEthernet2/0/3
 channel-group 3 mode auto
exit
!
interface GigabitEthernet1/0/4
 channel-group 4 mode auto
exit
!
interface TenGigabitEthernet2/0/4
 channel-group 4 mode auto
exit
!
interface range Port-Channel1-4
 switchport mode general
 switchport general allowed vlan add 250 tagged
 switchport forbidden default-vlan 
exit
!

Блок кода

title	Пояснения
collapse	true

Port-Channel 1 будет использоваться для организации связности с комммутаторами уровня ядра
 
 
 
 
 
 
Port-Channel 2 будет использоваться для организации связности с комммутаторами уровня ядра
 
 
 
 
 
 
 
Port-Channel 3 будет использоваться для организации связности с комммутаторами уровня доступа
 
 
 
 
 
 
 
Port-Channel 4 будет использоваться для организации связности с комммутаторами уровня доступа

Настройка коммутаторов уровня доступа

Блок кода

title	Конфигурация MES_Доступ
collapse	true

vlan database
 vlan 250
exit
!
interface vlan 250
 name Management
 ip address 10.250.0.30 /24
exit
!
!
end

Блок кода

title	Пояснения
collapse	true

Создание необходимых VLAN
 
 
 
Переход в режим конфигурации интерфейса VLAN
Добавление описания
Конфигурация IP-адреса для управления

Настройка каналов в сторону коммутаторов агрегации (вверх).

Блок кода

title	Конфигурация MES_Доступ
collapse	true

interface TenGigabitEthernet1/0/1
 channel-group 1 mode auto
exit
!
interface TenGigabitEthernet1/0/2
 channel-group 1 mode auto
exit
!
interface Port-Channel1
 switchport mode general
 switchport general allowed vlan add 250 tagged
 switchport forbidden default-vlan 
exit
!

Блок кода

title	Пояснения
collapse	true

Port-Channel 1 будет использоваться для организации связности с комммутаторами уровня агрегации

Настройка клиентских портов.

Блок кода

title	Конфигурация_MES_Доступ
collapse	true

interface range GigabitEthernet1/0/1-24
 switchport mode general
exit
!

Блок кода

title	Пояснения
collapse	true

Перевод клиентских портов в режим General

Настройка безопасности транспортной сети на клиентских портах

Loopback Detection

Функционал предназначен для обнаружения петель как на самом устройстве, так и на устройствах, которые подключены к коммутатору.

Блок кода

title	Конфигурация_MES_Доступ
collapse	true

errdisable recovery cause loopback-detection
!
loopback-detection mode multicast-mac-addr
loopback-detection interval 1
!
loopback-detection enable
!
interface range gigabitethernet1/0/1-24
 loopback-detection enable
 spanning-tree disable
 spanning-tree bpdu filtering
exit

Блок кода

title	Пояснения
collapse	true

Включение автоматического восстановления интерфейса после административного отключения из-за LBD

Для LBD-кадров использовать MAC-адрес Multicast как MAC-адрес назначения
Установка интервала отправки LBD-кадров (в секундах)

Глобальное включение функционала LBD

Переход в режим конфигурирования группы интерфейсов
Включение функционала LBD на клиентском порту
Отключение функционала spanning tree на клиентском порту
Включение функционала BPDU Filtering на клиентском порту

Storm Control

Функционал предназначен для ограничения скорости BUM (широковещательного (broadcast), многоадресного (multicast) или одноадресного (unknown unicast)) трафика на физическом интерфейсе.

Блок кода

title	Конфигурация_MES_Доступ
collapse	true

traffic-limiter mode kbps
!
interface range gigabitethernet1/0/1-24
storm-control broadcast kbps 2048 trap
storm-control unicast kbps 2048 trap  
storm-control multicast kbps 2048 trap  
exit

Блок кода

title	Пояснения
collapse	true

Указание единиц измерения, которые будет использовать Storm Control. По умолчанию используются kbps, также возможно использовать pps

Переход в режим конфигурации группы интерфейсов
Конфигурация уровня трафика. При превышении указанной величины в журнал событий вносится соответствующая запись

Port Isolation

Функционал необходим для изоляции портов (запрета прохождения трафика) в одном широковещательном домене.

Блок кода

title	Конфигурация_MES_Доступ
collapse	true

interface range gigabitethernet1/0/1-24
 switchport protected-port
exit

Блок кода

title	Пояснения
collapse	true

Перевод порта в режим изоляции

Дерево страниц

Сравнение версий

Старая версия 2

Новая версия 3

Ключ

Настройка IP-связности с вышестоящими провайдерами

Настройка коммутаторов уровня ядра

Настройка коммутаторов уровня агрегации

Настройка коммутаторов уровня доступа

Настройка безопасности транспортной сети на клиентских портах

Loopback Detection

Storm Control

Port Isolation

Дерево страниц

История страницы

Сравнение версий

Старая версия 2

Новая версия 3

Ключ

Настройка IP-связности с вышестоящими провайдерами

Настройка коммутаторов уровня ядра

Настройка коммутаторов уровня агрегации

Настройка коммутаторов уровня доступа

Настройка безопасности транспортной сети на клиентских портах

Loopback Detection

Storm Control

Port Isolation