...
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# match protocol tcp |
Укажите совпадение по порту назначения, в качестве которого выступает object-group:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# match destination-port object-group sync |
Включите правило:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# enable
wlc-1(config-security-zone-pair-rule)# exit
wlc-1(config-security-zone-pair)# exit |
...
| Блок кода |
|---|
|
wlc-1(config)# ip firewall failover |
Укажите режим резервирования сессий unicast:
...
| Блок кода |
|---|
|
wlc-1(config-dhcp-server)# no address-range 192.168.2.2-192.168.2.254
wlc-1(config-dhcp-server)# address-range 192.168.2.4-192.168.2.254
wlc-1(config-dhcp-server)# exit |
Перейдите к настройке синхронизации DHCP-сервера между юнитами:
...
| Блок кода |
|---|
|
wlc-1(config)# bridge 2
wlc-1(config-bridge)# wan load-balance nexthop 192.0.3.1
wlc-1(config-bridge)# wan load-balance target-list WAN
wlc-1(config-bridge)# wan load-balance enable
wlc-1(config-bridge)# exit |
Настройте WAN на интерфейсе в сторону провайдера ISP2:
...
| Блок кода |
|---|
|
wlc-1(config)# security ipsec vpn ipsec
wlc-1(config-ipsec-vpn)# ike establish-tunnel route
wlc-1(config-ipsec-vpn)# ike gateway ike_gw
wlc-1(config-ipsec-vpn)# ike ipsec-policy ipsec_pol
wlc-1(config-ipsec-vpn)# enable
wlc-1(config-ipsec-vpn)# exit |
Добавьте статический маршрут до встречной клиентской подсети через VTI туннель:
...
| Блок кода |
|---|
|
wlc-1(config)# object-group service FAILOVER
wlc-1(config-object-group-service)# port-range 9999
wlc-1(config-object-group-service)# exit |
Создайте разрешающее правило для зоны безопасности SYNC, разрешив прохождение трафика трафика Firewall failover:
| Блок кода |
|---|
|
wlc-1(config)# security zone-pair SYNC self
wlc-1(config-security-zone-pair)# rule 4
wlc-1(config-security-zone-pair-rule)# action permit
wlc-1(config-security-zone-pair-rule)# match protocol udp
wlc-1(config-security-zone-pair-rule)# match destination-port object-group FAILOVER
wlc-1(config-security-zone-pair-rule)# enable
wlc-1(config-security-zone-pair-rule)# exit
wlc-1(config-security-zone-pair)# exit |
...
| Примечание |
|---|
Для работы резервирования DHCP-сервера необходимо иметь преднастройки ip failover и object-group network, указанные в конфигурации кластера выше. |
Перейдите к настройке резервирования DHCP-сервера:
...
| Блок кода |
|---|
|
wlc-1# show high-availability state
DHCP server:
VRF: --
Mode: Active-Standby
State: Successful synchronization
Last synchronization: 2025-01-09 12:01:21
crypto-sync:
State: Disabled
Firewall sessions and NAT translations:
State: Disabled |
Выданные адреса DHCP можно посмотреть с помощью команды:
...
| draw.io Diagram |
|---|
| border | true |
|---|
| |
|---|
| diagramName | wlcsnmp |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| links | auto |
|---|
| tbstyle | top |
|---|
| lbox | true |
|---|
| diagramWidth | 986 |
|---|
| revision | 1 |
|---|
|
Схема реализации SNMP
Исходная конфигурация кластера:
...
| Блок кода |
|---|
|
wlc-1(config)# object-group service SNMP
wlc-1(config-object-group-service)# port-range 161
wlc-1(config-object-group-service)# port-range 162
wlc-1(config-object-group-service)# exit |
Добавьте правило, предусматривающее проверку, что порт назначения UDP-пакетов соответствует профилю SNMP-портов:
...
| Блок кода |
|---|
|
wlc-1(config)# security zone-pair users untrusted
wlc-1(config-security-zone-pair)# rule 1
wlc-1(config-security-zone-pair-rule)# action permit
wlc-1(config-security-zone-pair-rule)# match source-address object-group INTERNET_USERS
wlc-1(config-security-zone-pair-rule)# enable
wlc-1(config-security-zone-pair-rule)# exit
wlc-1(config-security-zone-pair)# exit |
Создайте пул исходных NAT-адресов, в который включите виртуальный IP-адрес (VIP), назначенный WAN-интерфейсу:
...
