Сравнение версий

Старая версия 114

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия 115

changes.mady.by.user Отдел Документации

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Варианты настройки system prompt, включая доступные параметры и синтаксис команды, приведены в разделе разделе Настройка общесистемных параметров.

...

Технология MultiWAN позволяет организовать отказоустойчивое соединение с резервированием линков от нескольких провайдеров.

С алгоритмом настройки MultiWAN можно ознакомиться по ссылке Алгоритм настройки MultiWAN описан в разделе: Алгоритм настройки MultiWAN.

...

Пример настройки Route-based IPsec VPN

С алгоритмом Алгоритм настройки Route-based IPsec VPN можно ознакомиться по ссылке описан в разделе: Алгоритм настройки Route-based IPsec VPN.

...

Пример настройки Policy-based IPsec VPN

С алгоритмом Алгоритм настройки Policy-based IPsec VPN можно ознакомиться по ссылке описан в разделе: Алгоритм настройки Policy-based IPsec VPN.

...

Добавим статический маршрут до встречной клиентской подсети через IPsec-туннель:

Блок кода
titleESR-1
ESR-1(config)# ip route 128.66.1.0/24 203.0.113.1

...

Блок кода
titleESR-1
ESR-1# show security ipsec vpn status 
Name                              Local host        Remote host       Initiator spi        Responder spi        State         
-------------------------------   ---------------   ---------------   ------------------   ------------------   -----------   
ipsec                             203.0.113.2       203.0.113.6       0x201602ebcafb809b   0x4556a21a7012d2c0   Established

Настройка

...

firewall/NAT failover

Firewall failover необходим для резервирования сессий firewall.  

С алгоритмом Алгоритм настройки firewall/NAT failover можно ознакомиться по ссылке описан в разделе: Алгоритм настройки firewall failover.

...

  • режим резервирования сессий unicast;
  • номер UDP-порта службы резервирования 9999;
  • клиентская подсеть: 192.0.2.0/24.

 

Схема реализации firewall Firewall failover

Исходная конфигурация кластера:

...

Перейдем к настройке общих параметров для failover-сервисов, а именно к выбору: IP-адреса с которого будут отправляться сообщения для синхронизации, IP-адреса получателя сообщений для синхронизации и VRRP-группу, на основе которой определяется состояние (основной/резервный) маршрутизатора при работе failover-сервисов:

...

Примечание

При включенном кластере использование object-group в настройке failover-сервисов для local-/remote-адресов обязательно.

Для настройки правил зон безопасности создадим профиль для порта firewall failover:

...

Сгенерируем одну клиентскую сессии из LAN в WAN.

Посмотреть firewall-сессии, которые синхронизируются между устройствами, можно командами:    

...

  • режим резервирования сессий unicast;
  • номер UDP-порта службы резервирования 9999;
  • настроить приоритеты у разных firewall failover так, чтобы один из юнитов кластера был Master в одном VRF, а в другом был Backup;
  • клиентская подсеть через первый VRF: 192.0.2.0/24;
  • клиентская подсеть через второй VRF: 128.66.0.0/24.

 

Image Modified

Схема реализации firewall failover в нескольких VRF

...

Перейдем к настойке ip failover для каждого VRF, настроим там local-address/remote-address и укажем привязки к соответствующим VRRP-group, на основе которых будет определяться, кто какой из маршрутизаторов будет синхронизировать сессии:

...

Просмотреть VRRP статусы в разных VRF можно используя команду show vrrp, убедимся . Убедимся что в одном VRF устройство находится в статусе Master, а в другом VRF в статусе Backup:

Блок кода
titleESR-1
ESR-1# show vrrp vrf PAIR_ONE 

   Unit 1* 'ESR-1'
   ---------------
Virtual router   Virtual IP                          Priority   Preemption   State    Inherit   Sync group ID   
--------------   ---------------------------------   --------   ----------   ------   -------   -------------   
2                203.0.113.2/30                      100        Enabled      Master   --        2               
4                192.0.2.1/24                        120        Enabled      Master   --        2               


   Unit 2 'ESR-2'
   --------------
Virtual router   Virtual IP                          Priority   Preemption   State    Inherit   Sync group ID   
--------------   ---------------------------------   --------   ----------   ------   -------   -------------   
2                203.0.113.2/30                      100        Enabled      Backup   --        2               
4                192.0.2.1/24                        110        Enabled      Backup   --        2               

ESR-1# show vrrp vrf PAIR_TWO

   Unit 1* 'ESR-1'
   ---------------
Virtual router   Virtual IP                          Priority   Preemption   State    Inherit   Sync group ID   
--------------   ---------------------------------   --------   ----------   ------   -------   -------------   
3                203.0.113.6/30                      100        Enabled      Backup   --        3               
5                128.66.0.1/24                       110        Enabled      Backup   --        3               


   Unit 2 'ESR-2'
   --------------
Virtual router   Virtual IP                          Priority   Preemption   State    Inherit   Sync group ID   
--------------   ---------------------------------   --------   ----------   ------   -------   -------------   
3                203.0.113.6/30                      100        Enabled      Master   --        3               
5                128.66.0.1/24                       120        Enabled      Master   --        3

...

Сгенерируем по одной клиентской сессии из каждого LAN-пула.

Посмотреть вывод текущих сессий на устройстве можно с помощью команды show ip firewall sessions, убедимся . Убедимся что в выводе есть сессия только для того VRF, в котором устройство является в статусе Master:

...

Посмотреть вывод активный синхронизируемых сессий, используемых для работы firewal failover, на устройстве можно с помощью команды show ip firewall session failover external/internal, убедимся . Убедимся что для одного из VRF сессия находится в internal cash, а для второго VRF сессия находится в external cash:

...

DHCP-failover позволяет обеспечить высокую доступность службы DHCP.

С алгоритмом Алгоритм настройки DHCP failover можно ознакомиться по ссылке описан в разделе Алгоритм настройки DHCP failover.

...

Перейдем к настройке общих параметров для failover-сервисов, а именно к выбору: IP-адреса с которого будут отправляться сообщения для синхронизации, IP-адреса получателя сообщений для синхронизации и VRRP-группу, на основе которой определяется состояние (основной/резервный) маршрутизатора при работе failover-сервисов:

...

  • в качестве default-router используется IP-адрес VRRP;
  • установить в качестве необходимого режима работы резервирования active-standby;
  • настроить приоритеты у разных DHCP failover так, чтобы один из юнитов кластера был Master в одном VRF, а в другом был Backup;
  • клиентская подсеть в первом VRF: 192.0.2.0/24;
  • клиентская подсеть в втором VRF: 128.66.0.0/24.

Image Modified

Схема реализации DHCP failover в нескольких VRF

...

Протокол SNMP (Simple Network Management Protocol) реализует модель «менеджер–агент» для централизованного управления сетевыми устройствами: агенты, установленные на устройствах, собирают данные, структурированные в MIB, а менеджер запрашивает информацию, мониторит состояние сети, контролирует производительность и вносит изменения в конфигурацию оборудования.

С более детальной настройкой можно ознакомиться по ссылке Подробный алгоритм настройки SNMP описан в разделе : Настройка SNMP-сервера и отправки SNMP TRAP.

Пример настройки

Схема реализации SNMP

...