Сравнение версий

Старая версия 16

changes.mady.by.user Сервисный центр Ethernet

Сохранено

по сравнению с

Новая версия 17

changes.mady.by.user Шарипова Людмила Дамировна

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Схема реализации HA Cluster из 2 юнитов

Схема реализации HA Cluster из 3 юнитов

Примечание

В примере настройки кластера будет рассмотрен HA Cluster из 2 юнитов. 

Для настройки более чем 2 юнитов в кластере необходимо дополнить конфигурацию юнитизированными командами по аналогии с указанным примером.

...

Примечание

Аналогичную настройку требуется выполнить на устройстве, находящемся на другой стороне туннеля.

Посмотреть состояние IPsec-туннеля можно с помощью команды:

...

Блок кода
titleESR-2
ESR-2# show ip firewall sessions failover external vrf PAIR_ONE 
 Codes: E - expected, U - unreplied,
        A - assured, C - confirmed

Prot    Aging        Inside source           Inside destination      Outside source          Outside destination     Pkts         Bytes        Status   
-----   ----------   ---------------------   ---------------------   ---------------------   ---------------------   ----------   ----------   ------   
tcp     0            192.0.2.10:47406        203.0.113.1:22          203.0.113.1:22          192.0.2.10:47406        --           --           AC       
ESR-2# show ip firewall sessions failover internal vrf PAIR_ONE 
ESR-2# show ip firewall sessions failover external vrf PAIR_TWO 
ESR-2# show ip firewall sessions failover internal vrf PAIR_TWO 
 Codes: E - expected, U - unreplied,
        A - assured, C - confirmed

Prot    Aging        Inside source           Inside destination      Outside source          Outside destination     Pkts         Bytes        Status   
-----   ----------   ---------------------   ---------------------   ---------------------   ---------------------   ----------   ----------   ------   
tcp     0            128.66.0.10:59108       203.0.113.5:22          203.0.113.5:22          128.66.0.10:59108       --           --           AC

Пример настройки firewall failover для кластера из 3

...

юнитов

Задача:

Настроить firewall failover в кластере маршрутизаторов ESR-1, ESR-2 и ESR-3 со следующими параметрами:

  • режим резервирования сессий multicast;
  • номер UDP-порта службы резервирования 2000;
  • клиентская подсеть: 192.0.2.0/24.

 

Image Modified

Схема реализации Firewall failover для кластера из 3-х юнитов

...

Перейдем к настройке общих параметров для failover-сервисов, а именно к выбору: IP-адреса. с которого будут отправляться сообщения для синхронизации, multicast-группу и , multicast IP-адрес, на который будут отправляться сообщения для синхронизации, и VRRP-группу, на основе которой определяется состояние (основной/резервный) маршрутизатора при работе failover-сервисов:

...

Подробный алгоритм настройки SNMP описан в разделе Настройка SNMP-сервера и отправки SNMP TRAP.

Пример настройки

Схема реализации SNMP

Задача:
  • обеспечить возможность мониторинга сети через management-интерфейс каждого устройства в кластере:
  • обеспечить возможность мониторинга состояния сети и внесения изменений в конфигурацию устройства, выполняющего роль VRRP Master;
  • устройство управления (MGMT) доступно по IP-адресу 192.0.2.10.

...

Войдем в режим конфигурирования функции DNAT и создадим пул адресов, в которые будут транслироваться адреса пакетов, поступающие на адрес 1.2.3.4 из внешней сети^сети:

Блок кода
titleESR-1
ESR-1(config)# nat destination 
ESR-1(config-dnat)# pool DMZ
ESR-1(config-dnat-pool)# ip address 192.0.2.10
ESR-1(config-dnat-pool)# exit

...

Создадим туннели mGRE, каждый через свой CLOUD, определим принадлежность к зоне безопасности, настроим NHRP и включим туннель и NHRP командой enable:

Блок кода
HUB-1(config)# security zone DMVPN_C_ONE
HUB-1(config-security-zone)# exit
HUB-1(config)# security zone DMVPN_C_TWO
HUB-1(config-security-zone)# exit
HUB-1(config)# tunnel gre 1
HUB-1(config-gre)# key 1000
HUB-1(config-gre)# ttl 64
HUB-1(config-gre)# mtu 1400
HUB-1(config-gre)# multipoint
HUB-1(config-gre)# security-zone DMVPN_C_ONE
HUB-1(config-gre)# local address 198.51.100.2
HUB-1(config-gre)# ip address 203.0.113.1/25
HUB-1(config-gre)# ip tcp adjust-mss 1360
HUB-1(config-gre)# ip nhrp redirect
HUB-1(config-gre)# ip nhrp multicast dynamic
HUB-1(config-gre)# ip nhrp enable
HUB-1(config-gre)# enable
HUB-1(config-gre)# exit
HUB-1(config)# tunnel gre 2
HUB-1(config-gre)# key 2000
HUB-1(config-gre)# ttl 64
HUB-1(config-gre)# mtu 1400
HUB-1(config-gre)# multipoint
HUB-1(config-gre)# security-zone DMVPN_C_TWO
HUB-1(config-gre)# local address 198.51.100.6
HUB-1(config-gre)# ip address 203.0.113.129/25
HUB-1(config-gre)# ip tcp adjust-mss 1360
HUB-1(config-gre)# ip nhrp redirect
HUB-1(config-gre)# ip nhrp multicast dynamic
HUB-1(config-gre)# ip nhrp enable
HUB-1(config-gre)# enable
HUB-1(config-gre)# exit

...

Произведём настройку протокола динамической маршрутизации для SPOKE-1. В примере это будет eBGP, для которого необходимо явно разрешить анонсирование подсетей. Анонсируем LAN-подсети в сторону HUB, используя network в address-family.

...

Произведём настройку IPsec для SPOKE-1, настроим ike proposal, ike policy и ike gateway. В ike gateway дополнительно настроим dpd, для ускорения перестроения туннелей, в случае если выйдет из строя Active-устройство:

...