...
| Примечание |
|---|
Чтобы system prompt корректно работал, необходимо обновить пользовательскую сессию. |
| Scroll Pagebreak |
|---|
Настройка MultiWANНастройка MultiWAN
Технология MultiWAN позволяет организовать отказоустойчивое соединение с резервированием линков от нескольких провайдеров.
...
- обеспечить резервирование линков от нескольких провайдеров;
- обеспечить балансировку трафика в соотношении 70/30.
Схема реализации MultiWAN
...
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config)# ip failover vrf PAIR_ONE ESR-1(config-failover)# local-address object-group SRC_PAIR_ONE ESR-1(config-failover)# remote-address object-group DST_PAIR_ONE ESR-1(config-failover)# vrrp-group 2 ESR-1(config-failover)# exit ESR-1(config)# ip failover vrf PAIR_TWO ESR-1(config-failover)# local-address object-group SRC_PAIR_TWO ESR-1(config-failover)# remote-address object-group DST_PAIR_TWO ESR-1(config-failover)# vrrp-group 3 ESR-1(config-failover)# exit |
Перейдем к настройке
...
firewall failover, каждый в своем VRF. Для каждого экземпляра необходимо указать режим синхронизирования unicast, настроить port 9999, а также включить его:
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config)# ip firewall failover vrf PAIR_ONE ESR-1(config-firewall-failover)# sync-type unicast ESR-1(config-firewall-failover)# port 9999 ESR-1(config-firewall-failover)# enable ESR-1(config-firewall-failover)# exit ESR-1(config)# ip firewall failover vrf PAIR_TWO ESR-1(config-firewall-failover)# sync-type unicast ESR-1(config-firewall-failover)# port 9999 ESR-1(config-firewall-failover)# enable ESR-1(config-firewall-failover)# exit |
...
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config)# object-group service FAILOVER ESR-1(config-object-group-service)# port-range 9999 ESR-1(config-object-group-service)# exit ESR-1(config)# security zone-pair LAN_ONE self ESR-1(config-security-zone-pair)# rule 3 ESR-1(config-security-zone-pair-rule)# action permit ESR-1(config-security-zone-pair-rule)# match protocol udp ESR-1(config-security-zone-pair-rule)# match destination-port object-group FAILOVER ESR-1(config-security-zone-pair-rule)# enable ESR-1(config-security-zone-pair-rule)# exit ESR-1(config-security-zone-pair)# exit ESR-1(config)# security zone-pair LAN_TWO self ESR-1(config-security-zone-pair)# rule 3 ESR-1(config-security-zone-pair-rule)# action permit ESR-1(config-security-zone-pair-rule)# match protocol udp ESR-1(config-security-zone-pair-rule)# match destination-port object-group FAILOVER ESR-1(config-security-zone-pair-rule)# enable ESR-1(config-security-zone-pair-rule)# exit ESR-1(config-security-zone-pair)# exit |
| Scroll Pagebreak |
|---|
Просмотреть VRRP-статусы в разных VRF можно используя команду команду show vrrp. Убедимся что в одном VRF устройство находится в статусе Master, а в другом VRF – в статусе Backup:
...
| Блок кода | ||
|---|---|---|
| ||
ESR-1# show ip firewall failover vrf PAIR_ONE
Communication interface: gigabitethernet 1/0/2.2
Status: Running
Bytes sent: 7420
Bytes received: 7200
Packets sent: 465
Packets received: 460
Send errors: 0
Receive errors: 0
Resend queue:
Active entries: 1
Errors:
No space left: 0
Hold queue:
Active entries: 0
Errors:
No space left: 0
ESR-1# show ip firewall failover vrf PAIR_TWO
Communication interface: gigabitethernet 1/0/2.3
Status: Running
Bytes sent: 7320
Bytes received: 7380
Packets sent: 468
Packets received: 464
Send errors: 0
Receive errors: 0
Resend queue:
Active entries: 1
Errors:
No space left: 0
Hold queue:
Active entries: 0
Errors:
No space left: 0 |
| Scroll Pagebreak |
|---|
Также возможно узнать текущее состояние firewall failover сервисов во всех VRF, выполнив команду:
...
| Примечание |
|---|
Для работы в кластере необходимо использовать режим active-standby. |
| Scroll Pagebreak |
|---|
Создадим разрешающие правило для зоны безопасности SYNC, разрешив прохождение необходимого трафика для работы DHCP failoverDHCP failover:
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config)# object-group service SYNC ESR-1(config-object-group-service)# port-range 873 ESR-1(config-object-group-service)# exit ESR-1(config)# security zone-pair SYNC self ESR-1(config-security-zone-pair)# rule 4 ESR-1(config-security-zone-pair-rule)# action permit ESR-1(config-security-zone-pair-rule)# match protocol tcp ESR-1(config-security-zone-pair-rule)# match destination-port object-group SYNC ESR-1(config-security-zone-pair-rule)# enable ESR-1(config-security-zone-pair-rule)# exit ESR-1(config-security-zone-pair)# exit |
...
| Блок кода | ||
|---|---|---|
| ||
ESR-1# show high-availability state
AP Tunnels:
State: Disabled
Last state change: --
DHCP option 82 table:
State: Disabled
Last state change: --
DHCP server:
VRF: --
Mode: Active-Standby
State: Successful synchronization
Last synchronization: 2025-02-12 07:56:36
crypto-sync:
State: Disabled
Firewall sessions and NAT translations:
State: Disabled |
| Scroll Pagebreak |
|---|
Выданные адреса DHCP можно просмотреть с помощью команды:
| Блок кода | ||
|---|---|---|
| ||
ESR-1# show ip dhcp binding IP address MAC / Client ID Binding type Lease expires at ---------------- ------------------------------------------------------------- ------------ -------------------- 192.0.2.10 e4:5a:d4:01:18:04 active 2025-02-13 07:56:09 |
...
Пример настройки нескольких экземпляров DHCP failover, каждый в своем VRF
...