Оглавление

Введение

Организация связи всегда являлась для человека важной задачей. В современном мире любая крупная компания сталкивается с необходимостью организации надежной и эффективной сетевой инфраструктуры. Одним из ключевых элементов такой инфраструктуры являются коммутаторы, обеспечивающие передачу данных между различными устройствами внутри корпоративной сети. Для достижения максимальной производительности и безопасности используется трехуровневая архитектура: доступ, агрегация и ядро. Каждый из этих уровней выполняет свои специфические задачи и имеет определенные особенности.

Приведенная схема представляет сеть усредненного предприятия, решающую задачи предоставления и разграничения доступа для сотрудников, организации связи между отдельными офисами.

Постановка задачи

Целью данного документа является демонстрация построения корпоративной сети с использованием оборудования компании Eltex и практик использования этого оборудования.

Коммутаторы MES, сервисные маршрутизаторы ESR, контроллеры WLC, IP-АТС SMG, телефоны VP, точки доступа WEP и т. д. являются устройствами, отвечающими современным требованиям к построению сетей передачи данных.

Целевая аудитория

Данный документ будет полезен для инженеров, решающих задачи организации связи в отделениях банков и офисах компаний, на производствах. Возможность масштабирования, а также широкий список поддерживаемых протоколов позволяют использовать предложенную схему для решения более широкого круга задач.

Предлагаемая схема сети

Предлагаемое решение представляет собой стандартную трехуровневую архитектуру (доступ, агрегация, ядро) на базе аппаратных и программных решений Eltex.

Преимущества решения

Предлагаемое решение позволяет построить безопасную (за счет таких функций как 802.1x, Dynamic ARP Inspection, IP Source Guard и других) и надежную (физическое резервирование — стек, VPC + VRRP) корпоративную сеть, используя многолетний опыт Eltex в области телекоммуникаций.

Возможные продуктовые решения

Коммутаторы MES

Уровень	Модель	Количество портов	Размер MAC-таблицы	Маршруты IPv4 Unicast
Доступ	MES2300-24	24	16384	4066
Агрегация	MES3300-24	24	16384	13278
Ядро	MES5332A	32	32768	16286
Ядро	MES5410-48	48	131072/262144*	292000/16000*

* — в зависимости от режима распределения системных ресурсов mid-l3-mid-l2/min-l3-max-l2.

Сервисные маршрутизаторы ESR

Модель	Количество портов	Размер MAC-таблицы
ESR-3300	4 × 25G SFP28, 4 ×100G QSFP28	1.7М
ESR-3200	12 × 25G SFP28	1.7М
ESR-3100	8 × 1G, 8 × 10G SFP+	1.7М
ESR-1700	4 × 1G Combo, 8 × 10G SFP+	3М
ESR-3200L	8 × 10G SFP, 4 × 25G SFP28	1.7М

IP-АТС

Модель	VoIP-каналы	E1	HDD
SMG-3016	до 768	16	2

Телефоны VP

Модель	SIP	Дисплей	Опции расширения
VP-17P	4	монохромный	нет
VP-30P	8	цветной	до трёх VP-EXT22

Точки доступа WEP

Модель	Стандарт	Размещение	Количество реальных пользователей на ТД
WEP-3ax	Wi-Fi 6	Indoor	до 100
WEP-30L	Wi-Fi 6	Indoor	до 120

Контроллеры беспроводного доступа WLC

Модель	Количество поддерживаемых точек доступа	Количество клиентов	Схема включения клиентов
WLC-15	50, доступно расширение по лицензии до 100	2000	Сentralized forwarding, local switching
WLC-30	150, доступно расширение по лицензии до 500	5000
WLC-3200	1000, доступно расширение по лицензии до 3000	300005

Версии ПО

Устройство	Версия ПО
ESR-3300	1.34.6
MES5410-48	6.6.8.8
MES5332A rev. C	6.6.8.8
MES2300D-24P	6.6.8.8
MES2300-24	6.6.8.8
SMG-3016 rev. B	3.409
WLC-15	1.30.8
WEP-30L	2.8.10
VP-17P	1.5.7
VP-30P	1.4.5
ECCM	2.5.1
NAICE	v1.0

Параметры окружения и сетевой инфраструктуры

В данном руководстве используются внешние сетевые службы, которые находятся за пределами сети. Фактические настройки определяются текущей конфигурацией вашей сети или предоставляются поставщиками услуг.

Назначение	VID	IP Address
Management VLAN	250	10.250.0.0/24
Пользовательская VLAN	100	10.100.0.0/24
Voice VLAN	101	10.101.0.0/24
Guest VLAN	150	10.150.0.0/24
VLAN управления ТД	110	10.110.0.0/24
VLAN пользователей ТД	115	10.115.0.0/24
ISP 1	1000	203.0.113.2/25
ISP 2	2000	203.0.113.130/25
Внешний NTP-сервер		ISP1, ISP2
Внешний DHCP-сервер	300	192.168.1.30
ECCM (SNMP, Syslog, backup)	250	10.250.0.100
NAICE (Radius, Tacacs+)	250	10.250.0.200

Примечание

icon	false

Система мониторинга и управления ECCM может выступать в рамках Syslog-сервера, хранилищем backup-ов конфигураций для сетевых устройств.

Система контроля сетевого доступа NAICE может выступать в роли внешнего RADIUS и TACACS+ серверов.

В рамках конфигурации устройств, представленных в гайде, данные опции учтены, т.о. в случае использования иных серверов необходимо настроить соответствующую адресацию.

Настройка коммутаторов уровня доступа

Коммутаторы уровня доступа представляют собой первый уровень взаимодействия пользователей с сетью, к ним подключаются конечные устройства, такие как рабочие станции, принтеры и IP-телефоны, что обеспечивает базовый доступ к ресурсам локальной сети. Основные функции этих устройств включают:

Подключение конечных устройств — коммутатор обеспечивает подключение большого количества рабочих станций и других периферийных устройств.
Управление безопасностью — на уровне доступа реализуются базовые механизмы защиты, такие как фильтрация MAC-адресов и контроль доступа к портам.
PoE (Power over Ethernet) — передача питания по Ethernet-кабелю к таким устройствам как IP-телефоны, точки доступа, камеры видеонаблюдения.

Для обеспечения безопасности на уровне доступа применяются следующие функции: DHCP-Snooping, Dynamic ARP Inspection, IP Source Guard, 802.1x, Storm Control, Loopback Detection, Telnet/SSH, Management ACL, Port Isolation, Voice VLAN.

DHCP Snooping

DHCP Snooping позволяет повысить уровень безопасности сетевой инфраструктуры за счет определения доверенных и недоверенных портов для работы протокола DHCP. Также на базе таблицы DHCP Snooping работуют другие функции, например, IP Source Guard.

Блок кода

title	MES2300-24
linenumbers	true
collapse	true

ip dhcp snooping
ip dhcp snooping vlan 100
!
interface range gigabitethernet1/0/1-24
 ip dhcp snooping limit clients {количество клиентов}
exit                                                 
!
interface Port-Channel1
 ip dhcp snooping trust
exit
!

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Включение функционала DHCP Snooping глобально
Указание VLAN, в которой будет работать DHCP Snooping (клиентская VLAN)
 
Переход в режим конфигурирования диапазона интерфейсов gi1/0/1-24
Ограничение количества клиентов за портом, от которых могут быть переданы DHCP-запросы (защита от атаки DHCP starvation)
 
 
Переход в режим конфигурирования Port-Channel 1
Указание, что интерфейс Port-Channel 1 является доверенным, т. е. пришедшие на него "сверху" ответы от DHCP-сервера могут пересылаться "вниз"

Полезные команды для проверки

show ip dhcp snooping binding — просмотр сведений о том, какие IP-адреса выданы клиентам, за какими портами, в каких VLAN они находятся, клиентских MAC-адресах;

show ip dhcp snooping — просмотр сведений о том, в какой VLAN, на каких интерфейсах включена функция DHCP Snooping, какие интерфейсы являются доверенными.

Dynamic ARP Inspection

Dynamic ARP Inspection (DAI) — функция коммутатора, предназначенная для защиты от атак с использованием протокола ARP (например, ARP Spoofing). Функция позволяет сократить риски от атак MITM, когда злоумышленник перехватывает трафик, изменив ARP-таблицу на коммутаторе таким образом, что настоящий IP-адрес клиента соответствует MAC-адресу злоумышленника (отправляя соответствующие ARP-ответы).

Блок кода

title	MES2300-24
linenumbers	true
collapse	true

ip dhcp snooping
ip dhcp snooping vlan 100
ip arp inspection
ip arp inspection vlan 100
!
interface Port-Channel1
 ip arp inspection trust
 ip dhcp snooping trust
exit
!

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Включение функционала DHCP Snooping глобально
Указание VLAN, в которой будет работать DHCP Snooping (клиентская VLAN)
Включение DAI глобально
Указание VLAN, в которой будет работать DAI
 
Переход в режим конфигурирования Port-Channel 1
Указание, что интерфейс Port-Channel 1 является доверенным для DAI
Указание, что интерфейс Port-Channel 1 является доверенным для DHCP Snooping

Полезные команды для проверки

show ip arp inspection — просмотр информации, на каких физических интерфейсах и VLAN работает функция DAI;

show ip arp inspection statistics — просмотр информации о количестве пересланных/отброшенных ARP-пакетах.

IP Source Guard

Функция защиты IP-адреса предназначена для фильтрации IP-трафика, принятого с интерфейса, на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Функционал позволяет защититься от подмены IP-адресов в трафике, приходящем от подключенного клиентского устройства.

Блок кода

title	MES2300-24
linenumbers	true
collapse	true

ip dhcp snooping
ip dhcp snooping vlan 100
ip source guard
!
interface range Gigabitethenet1/0/1-24
  ip source-guard
!
interface Port-Channel1
 ip dhcp snooping trust
exit
!

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Включение функционала DHCP Snooping глобально
Указание VLAN, в которой будет работать DHCP Snooping (клиентская VLAN)
Включение функционала IP Source Guard глобально

Переход в режим конфигурирования диапазона интерфейсов gi1/0/1-24
Включение функционала IP Source Guard 

Переход в режим конфигурирования Port-Channel 1
Указание, что интерфейс Port-Channel 1 является доверенным для DHCP Snooping

Полезные команды для проверки

show ip source-guard configuration — просмотр настройки функции защиты IP-адреса на заданном, либо на всех интерфейсах устройства.

show ip source-guard status — просмотр статуса функции защиты IP-адреса для интерфейса, IP-адреса, МАС-адреса или группы VLAN.

show ip source-guard inactive — просмотр неактивных IP-адресов отправителя.

Якорь
8021x
8021x
802.1x

Использование стандарта 802.1x позволяет обеспечить безопасность сети за счет централизованной авторизации пользователей, в результате чего снижается возможность подключения к инфраструктуре злоумышленников.

Блок кода

title	MES2300-24
linenumbers	true
collapse	true

dot1x system-auth-control
!
radius-server host 100.250.0.100 key {секретный ключ}
!
interface range Gigabitethenet1/0/1-24
 dot1x host-mode multi-sessions
 dot1x guest-vlan enable
 dot1x authentication 802.1x mac
 dot1x radius-attributes vlan static
 dot1x port-control auto
!
interface vlan 150
 dot1x guest-vlan
exit
!

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Включение функционала dot1x на коммутаторе глобально

Указание IP-адреса RADIUS-сервера и секретного ключа

Переход в режим конфигурирования диапазона интерфейсов gi1/0/1-24
Включение режима авторизации каждой сессии за указанным портом
Включение поддержки VLAN на интерфейсе, в которую попадает трафик от неавторизованных клиентов
Указание используемых методов авторизации: 802.1x (логин пароль-TLS-для клиента) и mac-авторизация (для телефона)
Включение обработки опции Tunnel-Private-Group-ID (81) в сообщениях RADIUS-сервера
Использование функционала dot1x для изменения клиента состояния между авторизованным и неавторизованным

Переход в режим конфигурирования интерфейса VLAN 150
Включение функции гостевой VLAN на текущем интерфейсе VLAN

Полезные команды для проверки

show dot1x users — просмотр сведений об авторизованных клиентах;

show dot1x statistics interface {gigabitethernet gi_port | tengigabitethernet te_port} — просмотр статистики по EAP/EAPOL пакетам на интерфейсе;

show dot1x advanced interface {gigabitethernet gi_port | tengigabitethernet te_port} — просмотр расширенной информации по настроенный политике dot1x на интерфейсе;

show mac address-table — просмотр информации, в какой VLAN были изучены MAC-адреса;

show interfaces switchport {gigabitethernet gi_port | tengigabitethernet te_port | port-channel group} — просмотр информации о VLAN на физическом интерфейсе;

show access-lists — просмотр информации о списках контроля доступа.

Storm Control

Функционал предназначен для ограничения скорости BUM трафика (широковещательный (broadcast), многоадресный (multicast) или одноадресный (unknown unicast) трафик) на физическом интерфейсе.

Блок кода

title	MES2300-24
linenumbers	true
collapse	true

errdisable recovery cause storm-control
!
interface range Gigabitethernet1/0/1-24 
 storm-control broadcast kbps 2048 trap
 storm-control unicast kbps 2048 trap
 storm-control multicast kbps 2048 trap
exit
!

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Включение автоматического восстановления интерфейса по причине storm-control

Переход в режим конфигурирования диапазона интерфейсов gi1/0/1-24
Отправка SNMP-trap и лога на внешний Syslog сервер и в консоль при превышении заданного порога для broadcast
Отправка SNMP-trap и лога на внешний Syslog сервер и в консоль при превышении заданного порога для unicast
Отправка SNMP-trap и лога на внешний Syslog сервер и в консоль при превышении заданного порога для multicast

Полезные команды для проверки

show storm-control interface [gigabitethernet gi_port | tengigabitethernet te_port | fortygigabitethernet fo_port] — просмотр конфигурации функции контроля «шторма» для указанного порта либо всех портов.

Loopback Detection

Функционал предназначен для обнаружения петель как на самом устройстве, так и на устройствах, которые подключены к коммутатору. Механизм Loopback Detectin предотвращает и блокирует физические и логические петли как на самом коммутаторе, так и на подключенных к нему устройствах. Настройка loopback-detection возможна и на физическом интерфейсе, и во VLAN. Функционал рекомендован к настройке на всех интерфейсах, к которым подключено клиентское оборудование.

Блок кода

title	MES2300-24
linenumbers	true
collapse	true

errdisable recovery cause loopback-detection
loopback-detection enable
loopback-detection interval 5
!
interface range Gigabitethernet1/0/1-24  
 loopback-detection enable
exit
!

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Включение автоматического восстановления интерфейса по причине loopback detection
Включение функционала loopback-detection глобально
Установление интервала отправки LBD кадров равный 5 секундам

Переход в режим конфигурирования диапазона интерфейсов gi1/0/1-24
Включение функционала lopback-detection на физическом интерфейсе

Полезные команды для проверки

show loopback-detection — просмотр состояния механизма loopback-detection.

Telnet/SSH

Протоколы TELNET и SSH предоставляет возможность удаленно управлять устройством путем передачи текстовых команд. Однако TELNET не шифрует передаваемые данные, что делает его уязвимым. SSH предоставляет безопасный способ удаленного управления устройствами, передачи файлов и выполнения команд, защищая данные от перехвата и несанкционированного доступа.

Блок кода

title	MES2300-24
linenumbers	true
collapse	true

ip ssh server
!
no ip telnet server
!
exit
!

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Разрешение удаленного конфигурирования устройства через SSH.

Выключение работы Telnet, по умолчанию на все коммутаторах MES он включен

Полезные команды для проверки

show ip ssh — просмотр сведений о работе SSH-сервера: статус сервера, используемые алгоритмы шифрования и обмена ключами, информация об активных сессиях.

show ip telnet — просмотр сведений о работе TELNET-сервера: статус сервера, информация об активных сессиях.

Management ACL

Программное обеспечение коммутаторов позволяет разрешить либо ограничить доступ к управлению устройством через определенные порты или группы VLAN. Для этой цели создаются списки доступа (Access Control List, ACL) для управления.

Блок кода

title	MES2300-24
linenumbers	true
collapse	true

management access-list Access
 permit ip-source 10.10.10.10 mask 255.255.255.0 service telnet GigabitEthernet1/0/1
 permit ip-source 10.10.11.0 mask 255.255.255.0 service http GigabitEthernet1/0/1
 permit ip-source 10.10.12.0 mask 255.255.255.0 service https GigabitEthernet1/0/1
 permit ip-source 10.10.13.0 mask 255.255.255.0 service ssh GigabitEthernet1/0/1
 permit ip-source 10.20.10.0 mask 255.255.255.0 service telnet vlan100
 permit ip-source 10.20.11.0 mask 255.255.255.0 service http vlan100
 permit ip-source 10.20.12.0 mask 255.255.255.0 service https vlan100
 permit ip-source 10.20.13.0 mask 255.255.255.0 service ssh vlan100
exit
!                                                     
management access-class Access
!
exit
!

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Создание Manangement ACL
Правило, разрешающее подключение к устройству по Telnet из сети 10.10.10.0 /24 через интерфейс gigabitethernet1/0/1
Правило, разрешающее подключение к устройству по http из сети 10.10.11.0 /24 через интерфейс gigabitethernet1/0/1
Правило, разрешающее подключение к устройству по https из сети 10.10.12.0 /24 через интерфейс gigabitethernet1/0/1
Правило, разрешающее подключение к устройству по ssh из сети 10.10.13.0 /24 через интерфейс gigabitethernet1/0/1
Правило, разрешающее подключение к устройству по Telnet из сети 10.20.10.0 /24 через интерфейсы, на которые добавлен VLAN 100
Правило, разрешающее подключение к устройству по http из сети 10.20.11.0 /24 через интерфейсы, на которые добавлен VLAN 100
Правило, разрешающее подключение к устройству по https из сети 10.20.12.0 /24 через интерфейсы, на которые добавлен VLAN 100
Правило, разрешающее подключение к устройству по ssh из сети 10.20.13.0 /24 через интерфейсы, на которые добавлен VLAN 100


Ограничивает управление устройством по созданному списку доступа и активирует указанный список доступа

Полезные команды для проверки

show management access-class — просмотр информации об активном списке управления .

show management access-list [name] — просмотр списков доступа (access list) для управления.

Port isolation

Функционал предназначен для запрета обмена трафиком между конкретными интерфейсами, находящимися в одном широковещательном домене.

Блок кода

title	MES2300-24
linenumbers	true
collapse	true

interface Gigabitethernet1/0/1
 switchport protected-port 
!
interface Gigabitethernet1/0/2
 switchport protected-port  
exit
!

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Переход в режим конфигурирования интерфейса gi1/0/1 
Включение интерфейса в число режима изоляции внутри группы портов

Переход в режим конфигурирования интерфейса gi1/0/2
Включение интерфейса в число режима изоляции внутри группы портов

Полезные команды для проверки

show interfaces protected-ports — просмотр состояния интерфейсов в отношении функционала изоляции портов.

Voice VLAN

Voice VLAN используется для выделения VoIP-оборудования в отдельную VLAN. Для VoIP-кадров могут быть назначены QoS-атрибуты для приоритизации трафика. Классификация кадров, относящихся к кадрам VoIP-оборудования, базируется на OUI (Organizationall Unique Identifier — первые 24 бита MAC-адреса) отправителя. Назначение Voice VLAN для порта происходит автоматически, когда на порт поступает кадр с OUI из таблицы Voice VLAN. Когда порт определяется, как принадлежащий Voice VLAN — данный порт добавляется во VLAN как tagged.

Блок кода

title	MES2300-24
linenumbers	true
collapse	true

voice vlan id 101
voice vlan state oui-enabled
voice vlan oui-table add 6813e2
!
no lldp med network-policy voice auto
lldp med network-policy 1 voice vlan 101 vlan-type tagged up 4
!
interface GigabitEthernet1/0/11
 switchport mode general
 switchport general allowed vlan add 101 tagged
 switchport general pvid 100
 lldp med network-policy add 1
 voice vlan enable 
exit
!

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Обозначение VLAN для функционала Voice VLAN
Активация Voice VLAN согласно статической OUI таблице
Добавление записи в таблицу  OUI для используемого телефона

Удаление автоматического правила для параметра network-policy
Добавление lldp-med политики с указанием номера voice vlan и приоритета

Переход в режим конфигурирования интерфейса gi1/0/11
Перевод режима работы порта в genera (hybrid)
Разрешение прохождения трафика VLAN 101 в тегированном виде
Настройка, позволяющая поместить весь нетегированный трафик во VLAN 100
Привязка ранее созданной lldp-med политики к интерфейсу
Включение функционала Voice VLAN на интерфейсе

Полезные команды для проверки

show voice vlan — просмотр информации о Voice VLAN.

show voice vlan type oui {физический интерфейс} — просмотр информации о Voice VLAN и OUI таблице.

Syslog

Системные журналы позволяют вести историю событий, произошедших на устройстве, а также контролировать произошедшие события в реальном времени. В журнал заносятся события семи типов: чрезвычайные, сигналы тревоги, критические и не критические ошибки, предупреждения,

уведомления, информационные и отладочные.

Информация
В рамках конфигурации гайда, удаленным Syslog сервером является система мониторинга ECCM.

Блок кода

title	MES
linenumbers	true
collapse	true

logging host 10.250.0.100
logging cli-commands

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Указание IP-адреса внешнего сервера Syslog для передачи аварийных и отладочных сообщений
Включение логирования введенных в CLI команд

Полезные команды для проверки

show logging file — просмотр состояния журнала, аварийных и отладочных сообщений, записанных в файле журнала (локального).

show syslog-servers — просмотр настроек для удаленных Syslog-серверов.

Backup конфигурации на удаленном сервере

Коммутаторы MES позволяют резервировать конфигурацию на TFTP/SFTP/SCP-сервере по таймеру или при сохранении текущей конфигурации. В данной конфигурации будет рассмотрен пример с TFTP.

Примечание

icon	false

В рамках конфигурации гайда, резервирование конфигурации осуществляется на системе мониторинга ECCM (автоматически).

Таким образом, настройка резервирования конфигурации, в случае использования ECCM, на внешний TFTP-сервер для MES не требуется.

Блок кода

title	MES
linenumbers	true
collapse	true

backup server tftp://10.250.0.100
backup auto
backup path backup.conf
backup history enable
backup time-period 500
backup write-memory
no backup reachability-check tftp

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Указание IP-адреса сервера, на который будет производиться резервирование конфигурации
Включение автоматического резервирования конфигурации на сервере
Указание расположения файла на сервере
Включение сохранения истории резервных копий
Указание промежутка времени, по истечении которого будет осуществляться автоматическое резервирование конфигурации
Включение резервирования по сохранению конфигурации пользователем
Отключение отправки пустого пакета для проверки наличия TFTP-сервера

Полезные команды для проверки

show backup — просмотр информации о настройках резервирования конфигурации.

show backup history — просмотр истории успешно сохраненных на сервер конфигураций.

NTP

Функционал предназначен для синхронизации системного времени со стороннего источника. В рамках данного гайда используется синхронизация времени по протоколу NTP.

Информация
В случае данной схемы, NTP-сервером является VRRP-пара сервисных маршрутизаторов ESR. В качестве source IP-адреса указан VIP адрес ESR.

Блок кода

title	MES
linenumbers	true
collapse	true

clock source ntp
ntp server 10.250.0.55

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Включение синхронизации времени по протоколу NTP
Указание IP-адреса NTP сервера, с которого будет происходить синхронизация

Полезные команды для проверки

show ntp — просмотр текущего состояния и статистики службы NTP.

show ntp status — просмотр статуса протокола синхронизации NTP по сети.

Информация

icon	false

Для сохранения конфигурации в энергонезависимую памаять необходимо использовать следующую команду (применимо для линеек MES23xx, MES2300-xx):

console#write memory

Overwrite file [startup-config].... (Y/N)[N] ?Y
30-Dec-2025 17:31:05 %COPY-I-FILECPY: Files Copy - source URL running-config destination URL flash://system/configuration/startup-config

Таким образом, сохраненная конфигурация будет применена на коммутаторе даже в случае перезагрузки устройства, т.к. хранится в энергонезависимой памяти.

Начиная с версии ПО 6.6.9 на коммутаторах линейки MES2300-xx/MES3300-xx/MES53xx реализована поддержка функционала replace config, подробная информация представлена в следующей статье.

Примечание

icon	false

Система мониторинга и управления ECCM может выступать в рамках Syslog-сервера, хранилищем backup-ов конфигураций для сетевых устройств.

Система контроля сетевого доступа NAICE может выступать в роли внешнего RADIUS и TACACS+ серверов.

В рамках конфигурации устройств, представленных в гайде, данные опции учтены, т.о. в случае использования иных серверов необходимо настроить соответствующую адресацию.

Настройка коммутаторов уровня агрегации

Коммутаторы данного уровня выполняют функцию агрегации и распределения трафика, применение сетевых политик, а также обеспечивают дополнительную безопасность и отказоустойчивость всей сети.

Для обеспечения резервирования каналов на уровне агрегации применяются технологии стекирования и агрегирования каналов.

Стекирование

Стекирование коммутаторов — это объединение двух и более (до восьми) коммутаторов согласно матрице стекирования в одно логическое устройство с одним IP-адресом и одним системным МАС-адресом. Данный функционал предназначен для увеличения портовой емкости и для осуществления резервирования. Стек собирается на интерфейсах с наибольшей скоростью, и на максимальной скорости интерфейса.

Возможны две топологии стекирования — кольцевая (ring) и линейная (chain). Топология определяется в зависимости от количества устройств в стеке: в случае двух устройств – линейная, в случае трех и более устройств – кольцевая.

Из нескольких коммутаторов в стеке с ролями Master/Backup - Master-ом станет то устройство, которое первее всех будет загружено.

Для коммутаторов с количеством портов равным 48 для объединения в линейной топологии стековых портов в LAG необходимо использовать интерфейсы te1-8/0/1, te1-8/0/4 или te1-8/0/2,te1-8/0/3. При любых других комбинациях стековых портов один из них будет находиться в резерве и иметь статус Standby

Блок кода

title	MES5332A
linenumbers	true
collapse	true

Master switch
stack configuration links te 3 , te 4  
stack unit-id 1 
 
Backup switch
stack configuration links te 3 , te 4
stack unit-id 2
 
write startup-config
reload

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Настройка коммутатора с ролью Master
Назначить стековыми портами te1/0/3 и te1/0/4
Назначить unit id коммутатора в стеке

Настройка коммутатора с ролью Backup
Назначить стековыми портами te1/0/3 и te1/0/4
Назначить unit id коммутатора в стеке

Далее необходимо сохранить startup конфигурацию и перезагрузить все устройства в стеке.

Примечание

title	Важно!

Для работы функционала, после конфигурации портов и unit id необходимо сохранить конфигурации на устройствах командой write startup, и перезагрузить все устройства, которые будут входить в состав стека.

Агрегация каналов

Агрегирование каналов - технология, которая позволяет объединить несколько физических каналов в один логический. Объединение портов в группу увеличивает пропускную способность канала между взаимодействующими устройствами и повышает отказоустойчивость. Группа портов является для коммутатора одним логическим портом.

Блок кода

title	MES5332A
linenumbers	true
collapse	true

interface Port-Channel1
 switchport mode general
 switchport general allowed vlan add 100-101,250 tagged
 switchport forbidden default-vlan
exit
!
interface Port-Channel2
 switchport mode general
 switchport general allowed vlan add 100-101,250 tagged
 switchport forbidden default-vlan
exit
!
interface TenGigabitEthernet1/0/1
 channel-group 1 mode auto
exit
!
interface TenGigabitEthernet1/0/2
 channel-group 2 mode auto
exit
!
interface GigabitEthernet2/0/1
 channel-group 1 mode auto
!
interface GigabitEthernet2/0/2
 channel-group 2 mode auto
!

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Переход в режим конфигурирования Port-Channel 1
Включение режима работы интерфейса general
Разрешение прохождения трафика VLAN 100-101,250 в тегированном виде, без снятия метки VLAN
Запрет прохождения трафика в дефолтном VLAN (1)


Переход в режим конфигурирования Port-Channel 2
Включение режима работы интерфейса general
Разрешение прохождения трафика VLAN 100-101,250 в тегированном виде, без снятия метки VLAN
Запрет прохождения трафика в дефолтном VLAN (1)


Переход в режим конфигурирования интерфейса te1/0/1 
Добавление интерфейса в члены Port-Channel1, LACP в режиме «active»


Переход в режим конфигурирования интерфейса te1/0/2 
Добавление интерфейса в члены Port-Channel2, LACP в режиме «active»


Переход в режим конфигурирования интерфейса te2/0/1 
Добавление интерфейса в члены Port-Channel1, LACP в режиме «active»

Переход в режим конфигурирования интерфейса te2/0/2
Добавление интерфейса в члены Port-Channel2, LACP в режиме «active»

Полезные команды для проверки

show interfaces channelgroup [group] — просмотр информации о группе каналов.

Настройка коммутаторов уровня ядра

Уровень ядра обеспечивает высокую пропускную способность и маршрутизацию трафика между различными сегментами сети и межсетевыми экранами. На данном уровне для обеспечения резервирования может применяться функционал VPC.

VPC

VPC или Multi-Switch Link Aggregation Group (MLAG) — это технология, которая позволяет двум независимым коммутаторам выглядеть одним логическим коммутатором для других устройств без объединения в стек.

Peer-Link - основной линк между парой коммутаторов в VPC-домене. Через него проходит весь трафик, все vlan должны быть добавлены в конфигурацию данного линка, иначе не будет резервирования. Требует большой пропускной способности.

Peer-Detection — линк обмена служебными сообщениями peer-detection для определения состояния соседнего коммутатора в VPC-домене. Не требует большой пропускной способности (в рассматриваемой схеме для данного функционала используется интерфейс te1/0/1, можно использовать интерфейсы gi1/0/x).

Как и LAG, виртуальные LAG позволяют объединить одну или несколько Ethernet-линий для увеличения скорости и обеспечения отказоустойчивости. MLAG так же известна как VPC (Virtual port-channel). При обычном LAG агрегированные линии должны быть на одном физическом устройстве, в случае же с VPC агрегированные линии находятся на разных физических устройствах.

Блок кода

title	MES5410-48
linenumbers	true
collapse	true

Настройка Primary switch
 
vpc
vpc domain 1 
 peer detection
 peer detection ipaddr 1.1.1.2 1.1.1.1
 peer keepalive
 peer keepalive timeout 2
 role priority 1
 peer link port-channel 1
exit
!
vpc group 2
 domain 1
 vpc-port port-channel 2
exit
!
!
!
interface TwentyFiveGigaEthernet1/0/1
 ip address 1.1.1.1 255.255.255.252
exit
!
interface TwentyFiveGigaEthernet1/0/2                       
 channel-group 1 mode auto
exit
!
interface TwentyFiveGigaEthernet1/0/3
 channel-group 1 mode auto
exit
!
interface TwentyFiveGigaEthernet1/0/10
 channel-group 2 mode auto
exit
!
!
end
 
 
Secondary switch
 
vpc
vpc domain 1
 peer detection
 peer detection ipaddr 1.1.1.1 1.1.1.2
 peer keepalive
 peer keepalive timeout 2
 role priority 2
 peer link port-channel 1
exit
!
vpc group 2
 domain 1
 vpc-port port-channel 2
exit
!
!
!
interface TwentyFiveGigaEthernet1/0/1
 ip address 1.1.1.2 255.255.255.252
exit
!
interface TwentyFiveGigaEthernet1/0/2                       
 channel-group 1 mode auto
exit
!
interface TwentyFiveGigaEthernet1/0/3
 channel-group 1 mode auto
exit
!
interface TwentyFiveGigaEthernet1/0/10
 channel-group 2 mode auto
exit
!
!
end

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Настройка Primary switch

Включение VPC на коммутаторе. Выполняется после конфигурации VPC 
Создание VPC-домена и переход в режим его конфигурирования
Включение peer-detection
Указание destination, source IP-адреса для peer-detection protocol
Включение службы keepalive
Указание времени ожидания ответа на запрос целостности peer-link
Установка приоритета устройства. Устройство с меньшим значением будет назначено Primary
Назначение Port-Channel в качестве peer-link


Создание VPC-группы и переход в режим ее конфигурирования
Указание VPC-домена
Указание Port-Channel, в котором будет работать VPC-группа




Переход в режим конфигурирования интерфейса twe1/0
Назначение IP-адреса для функционала Peer Detection


Переход в режим конфигурирования интерфейса twe1/0/2
Включение физического интерфейса в состав Port Channel 1 в режиме LACP


Переход в режим конфигурирования интерфейса twe1/0/3
Включение физического интерфейса в состав Port Channel 1 в режиме LACP


Переход в режим конфигурирования интерфейса twe1/0/10
Включение физического интерфейса в состав Port Channel 2 в режиме LACP






Настройка Secondary switch

Включение VPC на коммутаторе. Выполняется после конфигурации VPC 
Создание VPC-домена и переход в режим его конфигурирования
Включение peer-detection
Указание destination, source IP-адреса для peer-detection protocol
Включение службы keepalive
Указание времени ожидания ответа на запрос целостности peer-link
Установка приоритета устройства. Устройство с большим значением будет назначено Secondary
Назначение Port-Channel в качестве peer-link


Создание VPC-группы и  переход в режим ее конфигурирования
Указание VPC-домена
Указание Port-Channel, в котором будет работать VPC-группа




Переход в режим конфигурации интерфейса twe1/0/1
Назначение IP-адреса для функционала Peer Detection


Переход в режим конфигурирования интерфейса twe1/0/2
Включение интерфейса в состав Port Channel 1 в режиме LACP


Переход в режим конфигурирования интерфейса twe1/0/3
Включение интерфейса в состав Port Channel 1 в режиме LACP


Переход в режим конфигурирования интерфейса twe1/0/10
Включение интерфейса в состав Port Channel 2 в режиме LACP

Примечание

title	Важно!

При настроенном Peer Detection, в случае падения Peer-link, secondary-коммутатор переводит все порты, состоящие в VPC группах, в состояние errdisable с сообщением:

LINK-W-PORT_SUSPENDED: Port Po2 suspended by vpc

Трафик, при этом, будет ходить через primary-коммутатор.

В случае падения Peer-detection линка не происходит никакой реакции

VPC-N-ROLECHANG: Peer detection protocol no longer detected.

Номер VPC домена должен совпадать на обоих коммутаторах, при этом каждый коммутатор может принадлежать только к одному VPC домену. Сам номер VPС домена используется для генерации system-mac-VPC, который является общим для двух коммутаторов.
Primary коммутатор рассылает BPDU (при этом не обязательно чтобы коммутатор был STP Root).
При настройке VPC на одноранговых коммутаторах должна быть одинаковая версия программного обеспечения.
Не следует использовать настройку switchport forbidden default-vlan на interface Po1, т.к. трафик протокола VPC ходит untagged в default vlan.
Для peer-detection сообщений не рекомендуется использовать основной линк VPC (нет смысла), также при падении данного линка, рассинхронизируется VPC пара, что вызовет простой в сети на время до понятия линка и последующего схождения VPC пары.
В VPC группе в выводе show port-channel отображаются локальный и удаленный порты. В качестве удаленного порта согласно логике работы VPC используется ifindex несуществующего 3-го юнита.

Настройка коммутаторов серверной зоны

В рамках представленной схемы часть схемы с сетевыми устройствами (коммутаторами доступа, агрегации, ядра, сервисными маршрутизаторами) отделена от серверов стеком из коммутаторов, в рамках которого настроен функционал DHCP Relay.

DHCP Relay

Задачей DHCP Relay агента является передача DHCP-пакетов от клиента к серверу и обратно в случае, если DHCP-сервер находится в одной сети, а клиент в другой. Другой функцией является добавление дополнительных опций в DHCP-запросы клиента (например, опции 82).

Исходя из того, что DHCP-сервер находится в подсети, отличной от клиентских посетей IP-телефонов, ПК, точек доступа и их клиентов, данный функционал обязателен к настройке.

Блок кода

title	MES2300-24_stack
linenumbers	true
collapse	true

ip dhcp relay enable
ip dhcp relay address 192.168.1.30
ip dhcp information option
!
interface Port-Channel5
 description to_NAICE-DHCP
 ip dhcp snooping trust
 switchport mode general
 switchport general allowed vlan add 250,300 tagged
!
interface vlan 1
 no ip address dhcp
exit
!
interface vlan 100
name PC
ip address 10.100.0.45 255.255.255.0
ip dhcp relay enable
exit
!
interface vlan 101
name VoIP
ip address 10.101.0.45 255.255.255.0
ip dhcp relay enable 
exit
!
interface vlan 110
name AP
ip address 10.110.0.45 255.255.255.0
ip dhcp relay enable
exit
!
interface vlan 115
name AP_users
ip address 10.115.0.45 255.255.255.0
ip dhcp relay enable
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Включение работы функционала DHCP-Relay глобально
Указание IP-адреса доступного DHCP-сервер
Включение передачи опции dhcp

Переход в режим конфигурации PO, в рамках которого физические интерфейсы подключены к DHCP-серверу
Назначение описания для физического интерфейса
Добавление интерфейса в список «доверенных» при использовании контроля протокола DHCP
Перевод интерфейса в режим работы general
Разрешение прохождения трафика в тегированном виде для VLAN 250 (NAICE) и 300 (DHCP)

Переход в режим конфигурирования интерфейса VLAN 1
Выключение возможности получения IP адреса по DHCP


Переход в режим конфигурирования интерфейса VLAN 100
Назначение описания для VLAN
Назначение IP-адреса VLAN
Включение работы функционала DHCP-Relay в рамках interface VLAN


Переход в режим конфигурирования интерфейса VLAN 101
Назначение описания для VLAN
Назначение IP-адреса VLAN
Включение работы функционала DHCP-Relay в рамках interface VLAN


Переход в режим конфигурирования интерфейса VLAN 110
Назначение описания для VLAN
Назначение IP-адреса VLAN
Включение работы функционала DHCP-Relay в рамках interface VLAN


Переход в режим конфигурирования интерфейса VLAN 115
Назначение описания для VLAN
Назначение IP-адреса VLAN
Включение работы функционала DHCP-Relay в рамках interface VLAN

Полезные команды для проверки

show ip dhcp relay - просмотр информации о настройке функционала DHCP Relay.

Пример конфигурации для isc-dhcp-server, исходя из которого IP-адрес будет раздаваться из того пула, который находится в одном домене с IP-адресом в поле giaddr.

Блок кода

title	isc-dhcp-server
collapse	true

#----------------giaddr for DHCP relay--------------------
class "10.100.0.0" {
    match if (binary-to-ascii(10,8, ".", packet(24,4))) = "10.100.0.45";
}

class "10.101.0.0" {
    match if (binary-to-ascii(10,8, ".", packet(24,4))) = "10.101.0.45";
}

class "10.110.0.0" {
    match if (binary-to-ascii(10,8, ".", packet(24,4))) = "10.110.0.45";
}

class "10.115.0.0" {
    match if (binary-to-ascii(10,8, ".", packet(24,4))) = "10.115.0.45"";
}


#----------Сеть для 100-----------------
subnet 10.100.0.0 netmask 255.255.255.0 {
 pool {
  allow members of "10.100.0.0";
  range 10.100.0.100 10.100.0.150;
  option subnet-mask 255.255.255.0;
  option routers 10.100.0.45;
  }
 }

#----------Сеть для 101-----------------
subnet 10.101.0.0 netmask 255.255.255.0 {
 pool {
  allow members of "10.101.0.0";
  range 10.101.0.101 10.101.0.150;
  option subnet-mask 255.255.255.0;
  option routers 10.101.0.45;
  }
 }

#----------Сеть для 110-----------------
subnet 10.110.0.0 netmask 255.255.255.0 {
 pool {
  allow members of "10.110.0.0";
  range 10.110.0.100 10.110.0.150;
  option subnet-mask 255.255.255.0;
  option routers 10.110.0.45;
  }
host wep-30L_1  {hardware ethernet e4:5a:d4:e8:da:80;
                    fixed-address 10.110.0.111;
                    option domain-name-servers 8.8.8.8;
                    option vendor-encapsulated-options 0c:0a:31:30:2e:31:31:30:2e:30:2e:31:0f:17:68:74:74:70:73:3a:2f:2f:31:30:2e:31:31:30:2e:30:2e:31:3a:38:30:34:33;  #12 and 15 option
                    }

host wep-30L_2  {hardware ethernet 68:13:e2:c2:83:20;
                    fixed-address 10.110.0.112;
                    option domain-name-servers 8.8.8.8;
                    option vendor-encapsulated-options 0c:0a:31:30:2e:31:31:30:2e:30:2e:31:0f:17:68:74:74:70:73:3a:2f:2f:31:30:2e:31:31:30:2e:30:2e:31:3a:38:30:34:33;  #12 and 15 option
                    }
 }

#----------Сеть для 115-----------------
subnet 10.115.0.0 netmask 255.255.255.0 {
 pool {
  allow members of "10.115.0.0";
  range 10.115.0.100 10.115.0.150;
  option subnet-mask 255.255.255.0;
  option routers 10.115.0.45;
  }
 }

Проверка выданных IP-адресов:

Блок кода

title	dhcp-lease-list

user@PC:~$ sudo dhcp-lease-list
To get manufacturer names please download http://standards.ieee.org/regauth/oui/oui.txt to /usr/local/etc/oui.txt
Reading leases from /var/lib/dhcp/dhcpd.leases
MAC                IP              hostname       valid until         manufacturer        
===============================================================================================
68:13:e2:c9:70:ca  10.101.0.102    VP-17P-VI92036 2026-02-11 19:03:32 -NA-                
ec:b1:e0:20:48:4c  10.101.0.103    VP-30P-VIA4005 2026-02-11 21:58:01 -NA- 
ec:b1:e0:c5:4c:00  10.100.0.100    -NA-           2026-03-17 05:07:27 -NA-

В случае данной конфигурации, IP-адреса, выданные точкам доступа не будут отображаться в выводе вышеуказанной команды.

Для более детального просмотра информации по точкам доступа (DORA), можно воспользоваться командой sudo journalctl -u isc-dhcp-server | grep MAC ТД (или IP option router).

Настройка маршрутизаторов

Транспортная сеть — это совокупность всех ресурсов, выполняющих функции транспортирования в телекоммуникационных сетях. Она включает не только системы передачи, но и относящиеся к ним средства контроля, оперативного переключения, резервирования, управления. При организации транспортной сети на маршрутизаторах ESR используется следующий функционал: Syslog, archive, SSH, LLDP, NTP, SNMP, агрегация каналов, VRRP, IP SLA, BGP, SNAT.

Syslog

Функционал предназначен для сохранения сообщений о событиях на маршрутизаторе в файл.

Блок кода

title	ESR-3300
linenumbers	true
collapse	true

syslog max-files 3
syslog file-size 512
syslog sequence-numbers
syslog file flash:syslog/default
  severity info
exit

syslog host ECCM
  remote-address 10.250.0.100
  severity info
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Настройка ротации syslog-файлов
Настройка ограничения размера syslog-файла
Включение нумерации syslog-сообщений
Настройка сохранения syslog-сообщений в файл flash:syslog/default
Определение типа событий, которые будут сохранены в Syslog файле


Создание удаленного хоста для логирования
Указание удаленного IP-адреса для отправки Syslog
Определение типа событий, которые будут отправлена на внешний Syslog

Полезные команды для проверки

show syslog - для просмотра текущей информации о конфигурации syslog-журнала, созданых файлов.

show syslog configuration - просмотр информации о конфигурации syslog-журнала.

show syslog FILE - просмотр конкретного syslog-файла.

SSH

Функционал предназначен для удаленного подключения к маршрутизатору.

Блок кода

title	ESR-3300
linenumbers	true
collapse	true

ip ssh server

security zone-pair MGMT self
  rule 10
    action permit
    match protocol tcp
    match destination-port port-range 22
    enable
  exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Включение работы SSH-сервера на маршрутизаторе

Создание пары зон безопасности, для разрешения SSH в зоне безопасности MGMT
Настройка правила для пары зон безопасности
Задание действия permit для правила 
Задание соответствия протокола
Задание соответствия destination TCP port
Включение работы правила

Полезные команды для проверки

show users — просмотр активных сессий пользователей системы (console, telnet, ssh).

LLDP

Функционал предназначен для динамического обнаружения устройств подключаемых к маршрутизатору в локальной сети, а также помогает устройствам получать дополнительную информацию для правильной настройки.

Блок кода

title	ESR-3300
linenumbers	true
collapse	true

interface TwentyFiveGigabitethernet 1/0/1
  lldp transmit
  lldp receive
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Переход в режим конфигурирования интерфейса twe1/0/1
Включение передачи LLDP кадров
Включение приема LLDP кадров

Полезные команды для проверки

show lldp neighbors — для просмотра информации о подключенных устройствах, от которых получена информация по протоколу LLDP.

NTP

Функционал предназначен для синхронизации внутренних часов оборудования.

Блок кода

title	ESR-3300
linenumbers	true
collapse	true

object-group network ISP_NTP
  ip prefix 10.250.0.0/24
exit
 
security zone-pair MGMT self
  rule 20
    action permit
    match protocol udp
    match destination-port port-range 123
    enable
  exit
exit

clock timezone gmt +7  

ntp enable
ntp object-group serve-only Mgmt_POOL
ntp server 203.0.113.2
  prefer                                                                                                
  minpoll 4 
exit
ntp server 203.0.113.30
exit

Блок кода

title	Пояснения к конфигурации
linenumbers	true
collapse	true

Создание профиля адресов MGMT-сети



Создание правила zone-pair для разрешение прохождения NTP-трафика в зоне безопасности MGMT
Создание правила для зоны безопасности
Задение действия permit для правила 
Задание соответствия протокола
Задание соответствия destination UDP port
Включение работы правила



Задание часового пояса


Включение работы протокола NTP на маршрутизаторе
Разрешение устройствам из MGMT сети синхронизировать время с маршрутизатора
Задание адреса NTP-сервера, с которым маршрутизатор будет синхронизировать время

Задание еще одного NTP-сервера, с которым маршрутизатор будет синхронизировать время

Полезные команды для проверки

show ntp peers — просмотр состояния NTP пиров.

Настройка IP-связности с вышестоящими провайдерами

Для обеспечения связи конечных клиентов с услугой Интернет, необходимо организовать данную связность на уровне маршрутизаторов. Также, благодаря данной конфигурации, будет обеспечена синхронизация времени по протоколу NTP.

Блок кода

title	ESR-3300
linenumbers	true
collapse	true

security zone ISP_NTP
exit
  
interface TwentyFiveGigabitethernet 1/0/1
  description "ISP1"
  security-zone ISP_NTP
  ip address 203.0.113.2/25
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Создание зоны безопасности


Переход в режим конфигурирования интерфейса twe1/0/1
Задание описания для физического интерфейса
Назначение на интерфейс ранее созданной зоны безопасности
Присвоение IP-адреса физическому интерфейсу

SNMP

Функционал предназначен для управления, мониторинга и конфигурирования маршрутизаторов из системы управления сетью. В данном примере рассмотрен пример конфигурации SNMP v2c.

Блок кода

title	ESR-3300
linenumbers	true
collapse	true

snmp-server
snmp-server community public v2c ro
snmp-server community private v2c rw

security zone-pair Management self
 rule 1
  description "SNMP traffic from ECCM"
  action permit
  match protocol udp
  match destination-port port-range 161
  match source-address address-range 10.250.0.100
  enable
  exit
rule 2
  description "SSH traffic from ECCM"
  action permit
  match protocol tcp
  match destination-port port-range 22
  match source-address address-range 10.250.0.100
  enable
  exit
rule 3
 action permit
 match protocol udp 
 match destination-port port-range 67
 enable
 exit
rule 4
 action permit
 match protocol udp 
 match destination-port port-range 68
 enable
 exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Включение SNMP-сервера на маршрутизаторе
Создание коммьюнити public с правами read only
Создание коммьюнити provate с правами read write

Переход в режим конфигурирования группы правил для пары зон безопасности
Создание правила 1 и переход в режим его конфигурации
Создание описания для правила 1
Указание действия, которое будет выполено исходя из условий правила
Указание имени или номера IP-протокола, для которого должно срабатывать правило
Конфигурация профиля TCP/UDP-портов получателя, для которых должно срабатывать правило
Конфигурация профиля IP-адресов отправителя, для которых должно срабатывать правило
Активация работы правила

Создание правила 2 и переход в режим его конфигурации
Создание описания для правила 2
Указание действия, которое будет выполено исходя из условий правила
Указание имени или номера IP-протокола, для которого должно срабатывать правило
Конфигурация профиля TCP/UDP-портов получателя, для которых должно срабатывать правило
Конфигурация профиля IP-адресов отправителя, для которых должно срабатывать правило
Активация работы правила

Создание правила 3 и переход в режим его конфигурации
Указание действия, которое будет выполено исходя из условий правила
Указание имени или номера IP-протокола, для которого должно срабатывать правило
Конфигурация профиля TCP/UDP-портов получателя, для которых должно срабатывать правило
Активация работы правила

Создание правила 4 и переход в режим его конфигурации
Указание действия, которое будет выполено исходя из условий правила
Указание имени или номера IP-протокола, для которого должно срабатывать правило
Конфигурация профиля TCP/UDP-портов получателя, для которых должно срабатывать правило
Активация работы правила

Полезные команды для проверки

show security zone Name — для просмотра интерфейсов, входящих в зону безопасности.

show security zone-pair — для просмотра списка пар зон.

show security zone-pair configuration source zone / destination zone order

Агрегация каналов

Агрегирование каналов — технология, которая позволяет объединить несколько физических каналов в один логический. Объединение портов в группу увеличивает пропускную способность канала между взаимодействующими устройствами и повышает отказоустойчивость. Группа портов является для коммутатора одним логическим портом.

Блок кода

title	ESR-3300
linenumbers	true
collapse	true

interface port-channel 1
exit

interface TwentyFiveGigabitethernet 1/0/3
  mode switchport
  channel-group 1 mode auto
exit

interface port-channel 1.250
  description "MGMT | Management link"
  security-zone MGMT
  ip address 10.250.0.1/24
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Создание логического интерфейса Port-Channel 1


Переход в режим конфигурирования интерфейса twe1/0/3
Переведение интерфейса в режим switchport
Включение интерфейса в состав Port-Channel 1


Терминация интерфейса для управления маршрутизатором Port-Channel1.250
Задание описания для sub-интерфейса
Определение sub-интерфейса в зону безопапсности
Привязка IP-адреса к sub-интерфейсу

Полезные команды для проверки

show interfaces port-channel X — для просмотра информации о членах группы агрегации каналов.

VRRP

Функционал предназначен для увеличения доступности маршрутизаторов, обеспечения отказоустойчивости сетевого шлюза по умолчанию.

Блок кода

title	ESR-3300
linenumbers	true
collapse	true

ROUTER1 (ESR-3300_1)
interface port-channel 1.100
  vrrp 1
    ip address 10.100.0.1/24
    priority 101
    group 1
    enable
  exit

ROUTER2 (ESR-3300_2) 
interface port-channel 1.100
  vrrp 1
    ip address 10.100.0.1/24
    priority 100
    group 1
    enable
  exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Конфигурация ROUTER1, VRRP Master
Создание sub-интерфейса Port-Channel 1.100
Создание VRRP процесса 1 и переход в режим его конфигурирования
Привязка виртуального IP-адреса VRRP-маршрутизатора
Задание приоритета VRRP маршрутизатора
Привязка принадлежности VRRP-процесса к группе 1
Включение фукнционала VRRP


Конфигурация ROUTER1, VRRP Backup
Создание sub-интерфейса Port-Channel 1.100
Создание VRRP процесса 1 и переход в режим его конфигурирования
Привязка виртуального IP-адреса VRRP-маршрутизатора
Задание приоритета VRRP маршрутизатора
Привязка принадлежности VRRP-процесса к группе 1
Включение фукнционала VRRP

Полезные команды для проверки

show vrrp — для просмотра информации о протоколе VRRP.

BGP

Для организации стыка с интернет-провайдером самым распостраненным функционалом является BGP.

Блок кода

title	ESR-3300
linenumbers	true
collapse	true

security zone-pair Untrusted self
  rule 10
    action permit
    match protocol tcp
    match destination-port port-range 179
    enable
  exit
  rule 20
    action permit
    match protocol udp
    match destination-port port-range 3784
    enable
  exit
exit
  
route-map BGP_IN
  rule 10
    match ip address 0.0.0.0/0
  exit
  rule 20
    action deny
  exit
exit
  
router bgp 64515
  neighbor 203.0.113.1
    remote-as 65500
    update-source gigabitethernet 1/0/1
    fall-over bfd
    address-family ipv4 unicast
      route-map BGP_IN in
      enable
    exit
    enable
  exit
  enable
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Настройка пары зон безопасности Untrusted-self, для разрешения прохождения трафика TCP port 179 и UDP port 3784














Настройка маршрутной карты
Создание правила 10 для route-map
Обозначение критерия для совпадения

Создание правила 20 для route-map
Обозначение действия, которое будет выполнено после совпадения по правилу 10



Добавление BGP-процесса в систему
Настройка соседа BGP-процесса
Определение номера автономной системы BGP-соседа
Определение источника в отправляемых обновлениях маршрутной инофрмации BGP
Активация протокола BFD на конфигурируемом BGP-соседе 
Настройка IPv4 адресации BGP процесса
Терминация маршрутной карты, которая будет входить в BGP процесс
Включение address-family ipv4

Включение процесса

Включение функционала BGP

Полезные команды для проверки

show bgp neighbors — проверка установления BGP соседства, необходимо обратить внимание, чтобы маршрут по умолчанию присутствовал на обоих маршрутизаторах.

IP SLA

Функционал предназначен для проверки работоспособности канала связи.

Блок кода

title	ESR-3300
linenumbers	true
collapse	true

ip sla
ip sla logging status
ip sla test 1
  icmp-echo 8.8.4.4 source-ip 203.0.113.2 num-packets 5
  enable
exit
  
ip sla schedule all life forever start-time now

track 1
  description "Check Internet"
  track sla test 1 mode state fail
  enable
exit
  
interface port-channel 1.100
  vrrp priority track 1 decrement 10
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Активация работы функционала
Активация логирования групп событий SLA о смене статуса SLA-агента
Создание SLA-теста 1
Содание icmp-режима тестирования канала связи с заданными параметрами
Включение SLA теста


Создание планировщика расписания работы SLA-тестов, после создания и активации SLA-теста

Создание объекта отслеживания
Задание описания для track 1
Установление слежения за состоянием test 1
Включение SLA track


Переход в режим конфигурирования port-channel 1.100
Добавление условия изменения приоритета VRRP-процесса при активном состоянии track 1, с уменьшением значения равным 10 (decrement)

Полезные команды для проверки:

show ip sla test status — для проверки статуса IP SLA.

show track 1 — для проверки функционала IP SLA по конкретному track-менеджеру.

Source NAT

Функционал используется для подмены адреса источника у пакетов, проходящих через сетевой шлюз. При прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза. Дополнительно к адресу источника может применяться замена порта источника. При прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта.

Блок кода

title	ESR-3300
linenumbers	true
collapse	true

object-group network Customers_POOL
  ip prefix 10.100.0.0/24
exit

object-group network PROXY
  ip address-range 203.0.113.3
exit
 
interface TwentyFiveGigabitethernet 1/0/1
   ip nat proxy-arp PROXY
exit

security zone-pair Customer Untrusted
  rule 10
    action permit
    match source-address object-group Customers_POOL
    enable
  exit
exit

nat source
  pool Customer_Public_IP
    ip address-range 203.0.113.3
  exit
 
  ruleset SNAT
    to zone Untrusted
    rule 10
      match source-address object-group Customers_POOL
      action source-nat pool Customer_Public_IP
      enable
    exit
  exit
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Создание профиля адресов локальной сети, для которых будет выполняться SNAT



Добавление профиля публичных адресов для функционала Proxy-ARP


Переход в режим конфигурирования интерфейса twe1/0/1
Активация работы протокола Proxy-ARP в рамках физического интерфейса


Настройка прохождения клиентского трафика между соответствующими зоноами безопасности







Конфигурация функционала SNAT
Создание пула Customer_Public_IP с определением диапазона IP-адресов



Создание правила SNAT
Определение зоны, в которую необходимо проксировать трафик
Создание правила для SNAT
Настройка соответствия для выполнения правила
Настройка действия для выполнения правила
Включение функционала

Полезные команды для проверки:

show ip nat source rulesets Name — проверка созданного правила SNAT.

show ip nat translations — просмотр IP-сессий трансляции SNAT.

Примечание

icon	false

Все внесенные изменения в конфигурации необходимо записать в постоянную память устройства!

esr-3300#commit (сохранение изменений и запуск таймера)

Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds.

esr-3300#confirm (подтверждение изменений и их применение)

Configuration has been confirmed. Commit timer canceled

Настройка телефонии

В данном разделе рассматривается решение задачи организации внутренней IP телефонии: конфигурация IP АТС, IP-телефонов.

Настройка IP-АТС

На современном предприятии телефонная связь является неотъемлемой частью технологических процессов. В свете повсеместного распространения сетей связи оптимальным видится построение телефонии на базе семейства протоколов TCP/IP.

Для организации телефонной связи рассмотрим IP АТС на базе гибридной платформы SMG-3016. Данное решение поддерживает до 1000 или до 3000 абонентов, в зависимости от лицензии. При росте абонентской базы возможно приобретение лицензии на увеличенное количество абонентов, что позволит распределить инвестиции во времени. Рассмотрим реализацию в отказоустойчивом исполнении в режиме Active+Backup.

Для этого понадобятся:

Шасси цифрового шлюза SMG-3016 — 2 штуки.
Источники питания PM160-220/12 на 220 вольт переменного тока или PM100-48/12 на 48 вольт постоянного тока — одна или две штуки на каждое устройство в любой комбинации в зависимости от требований к электропитанию.
Субмодули SM-VP-M300 для работы с VoIP — от одного до шести на каждое устройство, в зависимости от желаемого количества одновременных VoIP каналов.
Лицензия SMG3-CORP-1000 на активацию функционала IP АТС на 1000 абонентов — 1 штука.
Лицензия SMG3-RESERVE — для активации функционала master-slave - две штуки. В таком варианте при отказе основного устройства резервное будет полноценно обслуживать абонентов в течение 720 часов.

Якорь
EnterToWeb
EnterToWeb
Первоначальный вход в web-интерфейс

1) Войти на web-интерфейс SMG-3016 по default-адресу 192.168.1.2

2) Ввести данные для входа, выбрать русский язык и нажать Войти

Раскрыть

title	Окно входа

Начиная с версии ПО 3.406 при первичной авторизации на устройстве необходима обязательная смена пароля.

Раскрыть

title	Окно смены пароля

Информация

icon	false

Следует учесть, что пользователь admin в web и в CLI — это разные пользователи. На вышеуказанном скриншоте описан пример смены пароля для пользователя admin в web.

Настройка IP-АТС для подключения к коммутаторам

Для обеспечения отказоустойчивости при отказе коммутатора или физического линка между коммутатором и SMG-3016 рекомендуется настроить агрегирование линков с помощью протокола LACP. Настройка LACP на SMG-3016 осуществляется только через CLI. Для настройки необходимо подключиться к SMG через консольный порт, или по протоколу ssh.

Блок кода

title	SMG-3016
linenumbers	true
collapse	true

config
 switch
  interface port-channel 1
   mode lacp
   speed 1000M 
  exit

  interface front-port 1/3 
   channel-group 1 force 
  exit

  interface front-port 1/4
   channel-group 1 force 
  exit

  apply
  confirm
  exit
 
 copy running_to_startup

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Переход в режим конфигурирования
Переход в режим конфигурирования switch
Переход в режим конфигурирования port-channel
Включение протокола LACP
Выбор параметров скорости


Переход в режим конфигурирования интерфейса 1/3
Включение интерфейса в port-channel 1, force - параметр порта для совместимости с группой


Переход в режим конфигурирования интерфейса 1/4
Включение интерфейса в port-channel 1, force - параметр порта для совместимости с группой


Применение конфигурации
Подтверждение конфигурации


Сохранение конфигурации в энергонезависимую память

Якорь
PbxIP
PbxIP
Настройка IP-адреса IP-АТС

Примечание

title	Важно!

Данную настройку можно пропустить, если будет использоваться адрес IP-АТС по умолчанию: 192.168.1.2

В web-интерфейсе:

1) В боковом меню перейти в раздел «Настройки TCP/IP» → «Сетевые интерфейсы».

2) С помощью левой кнопки мыши выбрать строку с интерфейсом eth0.

3) Нажать кнопку Редактировать.

Раскрыть

title	Выбор сетевого интерфейса

4) Если необходимо, изменить поля IP-адрес, маска сети, шлюз.

Раскрыть

title	Окно свойств сетевого интерфейса

5) Нажать кнопку Применить.

6) Зайти в web-интерфейс по новому IP-адресу.

7) Во всплывающем окне нажать кнопку Подтвердить.

Раскрыть

title	Окно подтверждения сетевых настроек

Установка лицензии

1) В боковом меню перейти в раздел «Лицензирование».

2) В вспомогательном меню перейти в блок «Обновить».

3) Сохранить на ПК активный файл лицензии, нажав на кнопку «Скачать» в одноименном блоке. Данный пункт необходим для подстраховки в случае, если новый файл лицензии не удовлетворяет требованиям. Пока текущая лицензия не будет скачана система не даст загрузить новый файл лицензий.

Раскрыть

title	Окно установки лицензии

4) Выбрать и загрузить файл лицензии на устройство, нажать на кнопку «Обновить».

5) В случае корректного файла лицензии, далее необходимо два раза нажать нажать «ОК».

Раскрыть

title	Окна подтверждения установки лицинзии

Настройка сетевой связности между телефонными аппаратами и IP-АТС

1) В боковом меню перейти в раздел «Настройки TCP/IP» → «Сетевые интерфейсы».

2) Нажать кнопку «Добавить».

Раскрыть

title	Добавление сетевого интерфейса

3) В открывшемся окне настроить следующие поля:

Имя сети — опционально;
Тип — Tagged;
VLAN ID — номер VLAN с VoIP трафиком;
Маска сети — в данном случае /24;
Шлюз — опционально, в данном случае — указан default gateway;
Сигнализация SIP;
Передача RTP.

Раскрыть

title	Параметры сетевого интерфейса

Далее нажать кнопку «Применить».

Якорь

	SipProfileName
	SipProfileName

Создание SIP-профиля на IP-АТС
1) В боковом меню перейти в раздел «Маршрутизация» → «Интерфейсы SIP».
2) Во вкладке «Конфигурация» нажать кнопку
Раскрыть
title Меню интерфейсов SIP
3) Если необходимо — изменить поле Название.
4) В поле Режим установить значение «SIP-профиль».
5) Нажать кнопку Применить.
Раскрыть
title Окно добавления интерфейса SIP

Добавление имени домена

1) В боковом меню выбрать «Настройки TCP/IP» → «Список доменных имен».

2) В свободное поле в столбце «Список доменных имен» вписать желаемое имя домена. Например eltex.loc

3) Нажать кнопку «Применить»

Раскрыть

title	Окно добавления домена

Якорь

	SipPass
	SipPass

Создание SIP-абонентов
1) В боковом меню перейти в раздел «Абоненты» → «SIP-абоненты».
2) Во вкладке «Конфигурация» нажать на кнопку .
Раскрыть
title Меню управления SIP-абонентами
3) Заполнить поля:
Число абонентов — количество создаваемых абонентов;
Начальный номер — номер первого создаваемого абонента;
SIP-домен — домен созданный на предыдущем шаге;
SIP-профиль — выбрать ранее созданный профиль;
Авторизация — выбрать «With Register»;
Пароль— пароль авторизации SIP-абонентов;
Раскрыть
title Добавление SIP-абонентов
4) Нажать кнопку Применить.
Будет создано указанное количество абонентов. Каждому последующему абоненту будет присвоен номер, увеличивающийся на 1, начиная с начального номера.
На этом необходимая минимальная настройка IP-АТС завершена. По окончании настройки необходимо сохранить текущую конфигурацию в энергонезависимую память.

Сохранение конфигурации

1) В верхнем меню выбрать «Сервис» → «Сохранить конфигурацию во FLASH».

2) Нажать кнопку ОК во всплывающем окне.

Раскрыть

title	Сохранение конфигурации

Якорь

	Monitoring
	Monitoring

Мониторинг регистрации SIP-абонентов
1) В боковом меню перейти в раздел «Абоненты» → SIP абоненты»
2) Перейти во вкладку «Мониторинг»;
3) Проверить индикатор и значение в столбце «Состояние» соответствующего ТА: если индикатор зеленого цвета, а значение в столбце «Состояние» — «Регистрация активна», то телефонный аппарат зарегистрирован и может совершать звонки.
Раскрыть
title Мониторинг состояния SIP-абонентов

Якорь

	IPPhones
	IPPhones

IP-телефон для работы с IP-АТС должен быть предварительно настроен. Предположим, что IP-адрес телефона получен от DHCP-сервера и известен. Далее будут описаны возможные способы настройки.

Настройка IP-телефона через web-интерфейс

1) Войти в web-интерфейс IP-телефона.

Информация

title	Важно!

Для входа по умолчанию используются:

Логин: admin

Пароль: password

Раскрыть

title	Экран входа

2) В меню «IP-телефония» → «SIP-аккаунты» установить флаг Аккаунт. Отобразятся дополнительные пункты настроек.

3) Заполнить следующие поля:

Номер телефона — номер, созданный на IP-АТС;
Логин — значение такое же, как в предыдущем пункте;
Пароль — пароль, заданный на IP-АТС.

4) В блоке «Адреса SIP-прокси» вписать адрес IP-АТС в поля:

SIP-прокси сервер;
Сервер регистрации;

5) Нажать кнопку Применить в нижней части страницы.

Раскрыть

title	Настройка аккаунта

После выполнения настройки зарегистрированный телефонный аппарат отобразится в разделе Мониторинг.

Информация

title	Важно!

На вышестоящем к IP-телефону и коммутатору доступа оборудовании, а именно коммутаторах агрегации и ядра необходимо разрешить прохождение VLAN ID, настроенного на коммутаторе доступа как Voice VLAN.

Настройка Wi-Fi контроллера серии WLC

В данном разделе будет рассмотрен один из возможных способов реализации сети Wi-Fi на базе Enterprise точек доступа и контроллера беспроводной сети Wi-Fi серии WLC.

Конфигурация, с которой необходимо настраивать контроллер - factory-config, она содержит в себе базовые конфигурации по большинству сервисов, включая syslog, archive, object-group и т.д. Далее необходимо привести сконфигурированный функционал к виду, который представлен в следующем разделе (изменение адресации, добавление security zone-pair, настройка дополнительных блоков).

Для резервирования контроллера предназначен функционал кластера в режиме active-standby, пример настройки приведен в разделе «Управление кластеризацей» руководства по эксплуатации WLC-Series.

Якорь
phys_int
phys_int
Настройка физических интерфейсов

Настройка физических интерфейсов контроллера содержит следующие этапы:

Выбор режима работы сетевого порта:

- switchport — L2-режим. Возможно разрешение VLAN, но запрещает назначение IP-адреса и создание sub-/qinq-интерфейсов;
- routerport — L3-режим. Возможно назначение IP-адреса и создание sub-/qinq-интерфейсов.

Добавление VLAN/sub на интерфейс;
Добавление VLAN/sub в бридж (рекомендуется).

В данном примере будет рассмотрена конфигурация в режиме switchport, сконфигурирован Port-channel в сторону коммутаторов MES.

Настройка физических интерфейсов в режиме switchport, создание Port Channel

Блок кода

title	WLC-15
linenumbers	true
collapse	true

vlan 110,115,250
exit

bridge 10
  vlan 110
  ip firewall disable
  ip address 10.110.0.1/24
  no spanning-tree
  enable
exit

bridge 15
  vlan 115
  ip firewall disable
  ip address 10.115.0.1/24
  no spanning-tree
  enable
exit

bridge 25
  vlan 250
  ip firewall disable
  ip address 10.250.0.1/24
  no spanning-tree
  enable
exit

interface port-channel 1
  mode switchport
  switchport mode trunk
  switchport trunk allowed vlan add 110,250
exit

interface gigabitethernet 1/0/3
  mode switchport
  channel-group 1 mode auto
exit

interface gigabitethernet 1/0/4
  mode switchport
  channel-group 1 mode auto
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Создание VLAN


Создание bridge и переход в режим его конфигурирования
Привязка VLAN к bridge 10
Отключение работы firewall
Указание IP-адреса для подсети управления точками доступа
Отключение работы STP
Активация работы bridge


Создание bridge и переход в режим его конфигурирования
Привязка VLAN к bridge 15
Отключение работы firewall
Указание IP-адреса для подсети с трафиком точек доступа
Отключение работы STP
Активация работы bridge


Создание bridge и переход в режим его конфигурирования
Привязка VLAN к bridge 25
Отключение работы firewall
Указание IP-адреса для подсети с трафиком точек доступа
Отключение работы STP
Активация работы bridge


Переход в режим конфигурирования port-channel 1
Перевод интерфейса в режим switchport
Выбор режима работы интерфейса
Разрешение прохождения трафика в тегированном формате для выбранных VID


Переход в режим конфигурации физического интерфейса
Перевод интерфейса в режим switchport
Включение интерфейса в состав port channel 1 (LACP)


Переход в режим конфигурации физического интерфейса
Перевод интерфейса в режим switchport
Включение интерфейса в состав port channel 1 (LACP)

Терминирование трафика SoftGRE-туннелей

Для терминирования трафика пользователей, передаваемого внутри SoftGRE-туннелей нужно использовать только интерфейс типа bridge, т.к. терминируемые SoftGRE-туннели обеспечивают L2-связность и могут быть включены только в данный тип интерфейсов.

Блок кода

title	WLC-15
linenumbers	true
collapse	true

vlan 115
 force-up
 mtu 1458
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Создание VLAN для трафика пользователей
Включение режима активности VLAN вне зависимости от состояния интерфейсов, на которых прописан данный VLAN
Установление размера MTU 1458 для компенсации туннелирования трафика

Якорь
softgre_tun
softgre_tun
Настройка SoftGRE-туннелей

Настройка данного функционала используется в случае, если выделение и настройка VLAN при подключении новых точек доступа является трудоемкой задачей, особенно если на сети предприятия между точками доступа и контроллером используется большое количество коммутаторов. Такое решение даже в L2-сети позволяет упростить подключение точек доступа, так как отсутствует необходимость прокидывать VLAN для каждого SSID через все коммутаторы, так как предполагает построение SoftGRE data-туннелей для передачи пользовательского трафика.

Настройка SoftGRE-контроллера туннелей

Блок кода

title	WLC-15
linenumbers	true
collapse	true

softgre-controller 
 nas-ip-address 10.110.0.1 
 data-tunnel configuration wlc 
 aaa radius-profile default_radius 
 keepalive-disable 
 service-vlan add 115 
 enable 
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Переход в режим настройки SoftGRE-контроллера
Задание IP-адреса, на который будет заменен NAS IP при проксировании пакетов RADIUS
Установка режима конфигурации wLC
Выбор ААА профиля, созданного в разделе "RADIUS"
Отлючение проверки доступности удаленного шлюза туннеля
Разрешение прохождения пользовательского трафика с VID 115
Активация работы SoftGRE-контроллера

Настройка и включение функционала автоматического поднятия SoftGRE-туннелей

Блок кода

title	WLC-15
linenumbers	true
collapse	true

tunnel softgre 1
 mode data
 local address 10.110.0.1
 default-profile
 enable
exit

Блок кода

title	Посянение к конфигурации
linenumbers	true
collapse	true

Переход в режим настройки SoftGRE-контроллера
Выбор режима работы data = режим данных
Задание IP-адреса локального шлюза туннеля
Активация использования конфигурации этого туннеля для автоматического поднятия туннелей
Активация работы туннеля

Настройка сервисов

Якорь
DHCP_config
DHCP_config
Настройка DHCP

В рассматриваемом решении используется внешний DHCP-сервер для выдачи первоначальной настройки сетевого интерфейса точки доступа и адреса контроллера.

В случае использования внутренней конфигурации DHCP-сервера на контроллере WLC можно воспользоваться примером из статьи «Схемы использования внешнего DHCP».

Якорь
RADIUS_config
RADIUS_config
Настройка RADIUS

Настройка локального RADIUS-сервера

Необходимо настроить NAS IP, которая содержит подсети точек доступа, которые будут обслуживаться локальным RADIUS-сервером при Enterprise-авторищации пользователей Wi-Fi. В рамках настроенной схемы рассмотрена авторизация Enterprise.

Блок кода

title	WLC-15
linenumbers	true
collapse	true

radius-server local
 nas ap
 key ascii-text password
 network 10.250.0.0/24
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Переход в режим конфигурирования локального RADIUS на WLC
Уточнение конфигурации NAS, в данном случае это точки доступа
Задание пароля для проверки подлинности между точками доступа (NAS) и WLC (RADIUS)
Указание подсети, из которой все точки доступа будут использовать указанные настройки

Настройка NAS local применяется при обращении WLC к локальному RADIUS-серверу при построении SoftGRE-туннелей.

Блок кода

title	WLC-15
linenumbers	true
collapse	true

nas local
 key ascii-text password
 network 10.110.0.0/24
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Указание конфигурации NAS, где local - это определение того, что NAS это сам WLC
Задание пароля для проверки подлинности между WLC (NAS) и WLC (RADIUS)
RADIUS-сервер локальный, поэтому казание nas-ip-address 10.110.0.0/24

Далее необходимо создать домен для пользователей, для управления учетными записями. Все пользователи, которые будут аутентифицироваться через этот RADIUS-сервер, будут принадлежать к домену default и к ним будут применяться одни и те же политики.

Блок кода

title	WLC-15
linenumbers	true
collapse	true

radius-server local
 domain default
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Переход в режим конфигурирования локального RADIUS на WLC
Создание домена с именем default

В данном домене необходимо создать учетную запись пользователя Wi-Fi для покдлючения к Enterprise SSID.

Блок кода

title	WLC-15
linenumbers	true
collapse	true

radius-server local
 domain default
  user name1
   password ascii-text password1
   exit
 exit
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Переход в режим конфигурирования локального RADIUS на WLC
Переход в режим конфигурирования домена с именем default
Создание пользователя
Конфигурация пароля для пользователя

Необходимо определить параметры для взаимодействия с RADIUS-сервером: IP-адрес и ключ.

Блок кода

title	WLC-15
linenumbers	true
collapse	true

wlc
 radius-server host 10.250.0.200
 key ascii-text secretap
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Переход в режим конфигурирования контроллера WLC
Конфигурация IP-адреса хоста
Конфигурация пароля

Добавить профиль AAA, указать адрес сервера, который будет использоваться в настройках SSID.

Блок кода

title	WLC-15
linenumbers	true
collapse	true

wlc
 aaa radius-profile default_radius
  radius-server host 10.250.0.200
exit

Блок кода

title	WLC-15
linenumbers	true
collapse	true

wlc
 aaa radius-profile default_radius
  radius-server host 10.250.0.200
exit

Включить RADIUS-сервер

Блок кода

title	WLC-15
linenumbers	true
collapse	true

wlc
 aaa radius-profile defaul_radius
  virtual-server default
   enable
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Переход в режим конфигурирования контроллера
Переход в режим конфигурирования AAA-профиля
Переход в режим конфигурирования виртуального сервера
Активация работы виртуального сервера

Настройка проксирования на внешний RADIUS-сервер

Блок кода

title	WLC-15
linenumbers	true
collapse	true

wlc
 radius-server local
  nas ap
   key ascii-text password
   network 10.110.0.0/24
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Переход в режим конфигурирования контроллера
Переход в режим конфигурирования локального RADIUS на WLC
Уточнение конфигурации NAS, в данном случае это точки доступа
Задание пароля для проверки подлинности между точками доступа (NAS) и WLC (RADIUS)
Указание подсети, из которой все точки доступа будут использовать указанные настройки

Настройка внешнего сервера (virtual-server)

Блок кода

title	WLC-15
linenumbers	true
collapse	true

virtual-server default
 nas-ip-address 10.110.0.1
 mode proxy 
 upstream-pool default 
 enable
 exit
upstream-server eltex
 host 10.250.0.200
 server-type all
 key ascii-text password
 exit
upstream-server default
 upstream-server eltex
 server-type all 
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Переход в режим конфигурации виртуального сервера
Задание nas-ip (адрес контроллера WLC)
Включение proxy-mode для проксирования RADIUS-запросов на внешний сервер
Включение привязки к upstream-pool
Активация работы 

Переход в режим конфигурирования внешнего сервера, задание ему имени
Указание IP-адреса внешнего RADIUS-сервера
Указание типа запросов для проксирования, в данном примере - all
Задание пароля для аутентификации между WLC (контроллером) и внешнийм RADIUS-сервером

Переход в режим конфигурирования upstream-pool
Указание необходимого вышестоящего сервера для проксирования RADIUS-запросов
Указание типа запросов для проксирования, в данном примере - all

Настройка модуля управления конфигурацией точками доступа

Настойка подключения к RADIUS-серверу

Блок кода

title	WLC-15
linenumbers	true
collapse	true

wlc
 radius-profile SSID-radius
  auth-address 10.250.0.200
  auth-password ascii-text password
  acct-address 10.250.0.200
  acct-password ascii-text password
exit

Блок кода

title	WLC-15
linenumbers	true
collapse	true

wlc
 radius-profile SSID-radius
  auth-address 10.110.0.1  
  auth-password ascii-text secretap
  acct-address 10.110.0.1  
  acct-password ascii-text secretap
exit

Настройка и включение отправки аккаунтинга на RADIUS-сервер

Блок кода

title	WLC-15
linenumbers	true
collapse	true

wlc
 radius-profile SSID-radius 
  acct-enable
  auth-acct-id-send
  acct-interval 600
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Переход в режим конфигурации контроллера
Создание RADIUS-профиля и переход в режим его конфигурации
Активация отравки аккаутинга на RADIUS-сервер
Активация отправки индентификатора аутентификации и учета на RADIUS-сервер
Установка интервала отправки идентификатора (в секундах)

Точки доступа: прямое взаимодействие с внешним RADIUS-сервером

Блок кода

title	WLC-15
linenumbers	true
collapse	true

radius-profile external-radius
 auth-address 10.110.0.1 
 auth-password ascii-text secretap
 acct-enable
 acct-address 10.110.0.1 
 acct-password ascii-text secretap
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Переход в режим конфигурации профиля внешнего RADIUS-сервера
Указание IP-адреса внешнего RADIUS-сервера, используемого для аутентификации
Указание пароля для RADIUS-сервера, используемого для аутентификации
Включение аккаутинга
Указание IP-адреса внешнего RADIUS-сервера, используемого для аккаутинга
Указание пароля для RADIUS-сервера, используемого для аккаутинга

Якорь
SSID_conf
SSID_conf
Настройка SSID

Настройка авторизации PSK

Блок кода

title	WLC-15
linenumbers	true
collapse	true

wlc
 ssid-profile default-ssid                   
  description default-ssid      
  ssid TEST_PSK                 
  vlan-id 115                   
  security-mode WPA2            
  key-wpa ascii-text password1! 
  band 2g                       
  band 5g
  enable                        
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Переход в режим конфигурации контроллера
Создание профиля для конфигурации SSID, переход в режим его конфигурации
Присвоение описания для профиля SSID
Указание названия беспроводной сети
Указание VLAN ID для передачи пользовательского трафика
Указание режима безопасности для подключения к беспроводной сети
Указание пароля к сети Wi-Fi
Указание дипазона, в котором будет работать SSID: 2.4 ГГц
Указание дипазона, в котором будет работать SSID: 5 ГГц
Активация профиля SSID

Настройка Enterprise-авторизации

Блок кода

title	WLC-15
linenumbers	true
collapse	true

wlc
 ssid-profile default-ssid                      
  description default-ssid          
  ssid default-ssid                 
  vlan-id 115                       
  security-mode WPA2_1X             
  radius-profile default-radius     
  band 2g                           
  band 5g
  enable                            
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Переход в режим конфигурации контроллера
Создание профиля для конфигурации SSID, переход в режим его конфигурации
Присвоение описания для профиля SSID
Указание названия беспроводной сети
Указание VLAN ID для передачи пользовательского трафика
Указание режима безопасности доступа к беспроводной сети
Указание профиля настроек RADIUS-сервера, который будет использоваться для аторизации пользователей
Указание дипазона, в котором будет работать SSID: 2.4 ГГц
Указание дипазона, в котором будет работать SSID: 5 ГГц
Активация профиля SSID

Настройка портальной авторизации

Встроенного портала на аппаратном контроллере нет, поэтому необходимо настроить портальную авторизации через RADIUS.

Создание белого списка URL, который может содержать URL и/или регулярные выражения RegExp. Доступ к указанным адресам будет разрешен для авторизации.

Блок кода

title	WLC-15
linenumbers	true
collapse	true

wlc
 object-group url white-url
  url eltex-co.ru
  regexp '(.+\.)eltex-co\.com'
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Переход в режим конфигурации контроллера
Создание object-group по URL, переход в режим ее конфигурирования
Указание URL страницы, который будет разрешен
Указание regexp

Создание белого списка IP-адресов, доступ к которым будет разрешен до авторизации. В белый список можно добавлять адреса подсетей, которые нужны для авторизации.

Блок кода

title	WLC-15
linenumbers	true
collapse	true

wlc
 object-group network white_ip
  ip prefix 192.168.0.0/24
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Переход в режим конфигурации контроллера
Создание object-group по URL, переход в режим ее конфигурирования
Указание пула разрешенных IP

Создание portal-profile, где будут указаны все необходимые параметры для перенаправления клиента на внешний портал.

Блок кода

title	WLC-15
linenumbers	true
collapse	true

wlc   
 radius-profile portal_radius                                           
  auth-address 10.110.0.1                              
  auth-password ascii-text secretap  
  auth-acct-id-send                                        
  acct-enable                                              
  acct-address 10.110.0.1                               
  acct-password ascii-text secretap   
  acct-periodic                                            
  acct-interval 300                                        
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Переход в режим конфигурации контроллера
Создание radius-profile, переход в режим его конфигурирования
Указание IP=адреса RADIUS-сервера, который будет указываться для аутентификации пользователей
Конфигурация пароля для связи с RADIUS-сервером в зашифрованном виде
Включение отправки идентификатора аутентификации и учета на RADIUS-сервер
Включение аккаутинга пользователей
Указание IP-адреса RADIUS-сервер для ведения аккаутинга
Конфигурация пароля для RADIUS-сервера для ведения аккаутинга
Активация переодической отправки информации о сессиях подключенных клиентов
Указание интервала отправки информации

Создание ssid-profile.

Блок кода

title	WLC-15
linenumbers	true
collapse	true

wlc
 ssid-profile portal_test                                
  ssid portal_test                           
  radius-profile portal_radius               
  portal-enable                              
  portal-profile portal-pr                  
  vlan-id 115                                
  band 5g                                    
  enable                                     
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Переход в режим конфигурации контроллера
Создание профиля для конфигурации SSID, переход в режим его конфигурации
Указание названия SSID
Указание профиля RADIUS-сервера, указанного выше
Включение Captive Portal
Привязка профиля
Указание VLAN ID для предачи пользовательского трафика
Указание дипазона, в котором будет работать SSID: 5 ГГц
Активация профиля SSID

Добавление ssid-profile в ap-location.

Локация — это группы точек доступа, предназначенная для предоставления сервиса внутри топографического и/или логического сегмента сети, которые, в общем случае, будут конфигурироваться по одним и тем же правилам 9профилям). Локация для точки (ap-locaton) определяется при подключении точки к контроллеру в зависимости от адресного пространства.

Блок кода

title	WLC-15
linenumbers	true
collapse	true

wlc                                                        
 ap-location default-location                           
  ssid-profile portal_test                    
  mode tunnel                             
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Переход в режим конфигурации контроллера
Переход в режим конфигурации локации
Указание, что SSOD в профиле portal_test относятся к данной локации
Настройка режима туннелирования, если в этом есть необходимость

Если есть необходимость с части SSID трафик выпускать локально, то в настройках SSID-profile необходимо указать режим:

local-switching → wlc(config-wlc-ssid-profile)# local-switching

В этом случае весь трафик локации туннелируется, за исключением SSID c указанным режимом.

Настройка AirTune

Основным функционалом сервиса AirTune является Radio Resource Management (RRM).

Radio Resource Management позволяет автоматически оптимизировать характеристики точек доступа в зависимости от текущих условий. Сервис AirTune не заменяет собой процедуры радиопланирования, но позволяет провести финальный этап оптимизации сети, а также осуществлять постоянный контроль.

Также сервис включает в себя функционал роуминга:

Синхронизация списков соседних точек доступа стандарта 802.11k, который позволяет клиенту при ослабевании сигнала с текущей точки доступа искать более подходящую точку доступа из рекомендуемого списка, а не анализируя весь эфир.
Согласование ключей между точками доступа для роуминга стандарта 802.11r, который позволяет значительно ускорять процесс переключения клиента между точками доступа, т. к. клиент проходит на встречной точке доступа только ускоренную авторизацию, без необходимости повторно проходить полную авторизацию.

В контроллере уже присутствует дефолтная конфигурация модуля airtune, которой будет достаточно для полноценной работы сервиса RRM и бесшовного роуминга в рамках определенной локации.

Предупреждение

icon	false

Для работы роуминга стандартов 802.11k/r/v необходима поддержка данных стандартов со стороны клиентов.

Информация

icon	false

Более подробно об алгоритме работы сервиса AirTune можно прочитать в разделе руководства по эксплуатации контроллера Настройка WLC → Настройка AirTune

Применение конфигурации по умолчанию модуля AirTune.

Блок кода

title	WLC-15
linenumbers	true
collapse	true

wlc
 airtune-profile default_airtune
exit
  
wlc
 ap-location default-location
  airtune-profile default_airtune
exit

wlc
 airtune
  enable
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Переход в режим конфигурации контроллера
Создание профиля AirTune, по умолчанию в нем уже указаны оптимальные настройки сервиса


Переход в режим конфигурации контроллера
Переход в режим конфигурации локации
Добавление профиля в локацию


Переход в режим конфигурации контроллера
Переход в режим конфигурации AirTune
Активация функционала AirTune в контроллере

Настройка индивидуального профиля с учетом организации сети W-Fi большого офиса

При необходимости можно изменить необходимые пункты профайла модуля airtune default-location на требуемые. Или создать уникальный профайл (или несколько профайлов) с требуемыми параметрами, которые будут отличаться от параметров по умолчанию, и назначить профайл (или профайлы) на требуемую локацию или локации.

Блок кода

title	WLC-15
linenumbers	true
collapse	true

wlc
 airtune-profile big_office           
  eltex-rrm-scan disable   
  optimization time 02:00  
  optimization mode time   
  hd-mode            
  load-balance disable     
  802.11v disable          
exit                     
 
wlc
 ap-location default-location            
  airtune-profile big_office  
exit                         
  
wlc
 airtune
  enable
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Переход в режим конфигурации контроллера
Создание профиля AirTune, переход в режим его конфигурирования
Выключение ускоренного сканирования
Задание времени включения оптимизации модуля RRM
Выбор типа проведения оптимизации, в данному случае по выше заданному времени
Включение режима управления мощностью точки доступа
Отключение механизма балансировки
Отключение использования протокола 802.11v при бесшовном роуминге


Переход в режим конфигурации контроллера
Переход в режим конфигурирования локации
Применение настроенного профиля


Переход в режим конфигурации контроллера
Переход в режим конфигурации Airtune
Активация функционала AirTune  в контроллере

Предупреждение

title	Важно!

Все внесенные изменения в конфигурации необходимо записать в постоянную память устройства!

wlc-15#commit (сохранение изменений и запуск таймера)

Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds.

wlc-15#confirm (подтверждение изменений и их применение)

Configuration has been confirmed. Commit timer canceled

Информация

icon	false

Описание настройки сервиса Airtune через web-интерфейс контроллера приведено в разделе Настройка AirTune.

Для проверки работы функционала и траблшутинга предназначен гайд WLC Troubleshooting Guide.

Добавление сетевого оборудования в систему мониторинга ECCM

ECCM — система, предназначенная для инвентаризации, управления и мониторинга сетевого оборудования Eltex. Поможет автоматизировать рутинные задачи по конфигурированию и обновлению оборудования, осуществить непрерывный мониторинг работы сети для быстрого реагирования и устранения возникающих неисправностей.

В рамках схемы большого офиса, сервер ECCM выделен в ранее созданный Management VLAN.

Для обеспечения отказоустойчивости системы, представляется возможность настройки резервирования серверов, подробнее по следующей ссылке.

Конфигурирование коммутаторов MES для взаимодействия с ECCM

Блок кода

title	MES
linenumbers	true
collapse	true

snmp-server server
snmp-server community eltex_public ro 10.250.0.100
snmp-server community eltex_private rw 10.250.0.100

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Включение функционала SNMP-сервера на коммутаторе
Создание community public с правами только для чтения и указание IP-адреса сервера ECCM
Создание community private с правами на чтение и запись и указание IP-адреса сервера ECCM

Конфигурирование маршрутизаторов ESR для взаимодействия с ECCM

Блок кода

title	ESR
linenumbers	true
collapse	true

snmp-server
snmp-server community public v2c ro
snmp-server community private v2c rw

security zone-pair Management self
 rule 1
  description "SNMP traffic from ECCM"
  action permit
  match protocol udp
  match destination-port port-range 161
  match source-address address-range 10.250.0.100
  enable
  exit
rule 2
  description "SSH traffic from ECCM"
  action permit
  match protocol tcp
  match destination-port port-range 22
  match source-address address-range 10.250.0.100
  enable
  exit
rule 3
 action permit
 match protocol udp 
 match destination-port port-range 67
 enable
 exit
rule 4
 action permit
 match protocol udp 
 match destination-port port-range 68
 enable
 exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Включение SNMP-сервера на маршрутизаторе
Создание коммьюнити public с правами read only
Создание коммьюнити provate с правами read write

Переход в режим конфигурирования группы правил для пары зон безопасности
Создание правила 1 и переход в режим его конфигурации
Создание описания для правила 1
Указание действия, которое будет выполено исходя из условий правила
Указание имени или номера IP-протокола, для которого должно срабатывать правило
Конфигурация профиля TCP/UDP-портов получателя, для которых должно срабатывать правило
Конфигурация профиля IP-адресов отправителя, для которых должно срабатывать правило
Активация работы правила

Создание правила 2 и переход в режим его конфигурации
Создание описания для правила 2
Указание действия, которое будет выполено исходя из условий правила
Указание имени или номера IP-протокола, для которого должно срабатывать правило
Конфигурация профиля TCP/UDP-портов получателя, для которых должно срабатывать правило
Конфигурация профиля IP-адресов отправителя, для которых должно срабатывать правило
Активация работы правила

Создание правила 3 и переход в режим его конфигурации
Указание действия, которое будет выполено исходя из условий правила
Указание имени или номера IP-протокола, для которого должно срабатывать правило
Конфигурация профиля TCP/UDP-портов получателя, для которых должно срабатывать правило
Активация работы правила

Создание правила 4 и переход в режим его конфигурации
Указание действия, которое будет выполено исходя из условий правила
Указание имени или номера IP-протокола, для которого должно срабатывать правило
Конфигурация профиля TCP/UDP-портов получателя, для которых должно срабатывать правило
Активация работы правила

Конфигурирование контроллера WLC для взаимодействия с ECCM

Блок кода

title	WLC
linenumbers	true
collapse	true

snmp-server server
snmp-server community eltex_public ro 10.250.0.100
snmp-server community eltex_private rw 10.250.0.100

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Включение функционала SNMP-сервера на коммутаторе
Создание community public с правами только для чтения и указание IP-адреса сервера ECCM
Создание community private с правами на чтение и запись и указание IP-адреса сервера ECCM

Пример добавления, мониторинга и управления контроллера WLC в кластере представлено в статье представлен в статье «Мониторинг и конфигурирование WLC в кластере» раздела «Полезные статьи» документации ECCM.

Добавление сетевого оборудования в систему мониторинга ECCM

Автоматическое добавление используется в случае с мониторингом устройств в определенном диапазоне адресов. В случае с представленной схемой - диапазон от 10.250.0.10 до 10.250.0.254.

1) Во вкладке "Добавить устройства" необходимо выбрать вкладку "Обнаружение"

Раскрыть

title	Автоматическое обнаружение устройств в сети

2) Заполнить следующие данные:

Диапазон, поддержан ввод в различных форматах: 10.25.96.1-90 | 10.25.96-97.1-90 | 10.25.96.1-10.25.96.90 | 10.25.96.1/24;
Версия SNMP;
Порт SNMP - по умолчанию 161;
Таймаут обнаружения устройств (мс)
Communities - пароль для доступа к SNMP.

После указания всех данных необходимо нажать на кнопку "Поиск".

3) Отобразится список устройств, обнаруженных по заданным параметарм. Необходимо выбрать устройства или установить флаг "Выбрать все" и нажать на кнопку "Добавить".

Раскрыть

title	Список автоматически обнаруженных устройств в сети

4) После выбора необходимых устройств будет возможным выбрать включение/выключение suslog для всех устройств, или выбранной группы (доступно только для ESR и WLC).

Включение syslog при добавлении устройства в ECCM позволяет сократить время на настройку этой функции отдельно для каждого устройства.

Раскрыть

title	Настройка Syslog

5) После добавления устройства в группу, оно будет доступно для мониторинга и управления. Если статусы не обновились, то, вероятнее всего, данные SSH и SNMP отличаются от стандартных.

В данном случае необходимо изменить данные по SNMP и SSH во вкладке "Доступ", далее нажать кнопку "Определить", чтобы автоматически заполнить поля с информацией или ввести необхоимые данные вручную, затем - нажать кнопку "Применить".

Раскрыть

title	Изменение базовых параметров доступа к устройству

Информация

title	Отображение обновленных статусов

Добавление сетевого оборудования в систему контроля сетевого доступа NAICE

Безопасность инфраструктуры обеспечивается посредством аутентификации клиентов и администраторов оборудования. Eltex предлагает собственное решение — систему контроля и управления доступом NAICE.

Конфигурирование коммутаторов MES для взаимодействия с NAICE

Для того чтобы добавить коммутатор в NAICE, необходимо обеспечить сетевую связность между коммутатором и сервером NAICE. В рамках рассматриваемой схемы, связность обеспечивается в Management VLAN 250.

Инструкция по установке NAICE с учетом резервирования представлена в статье «Установка с резервированием (c использованием VRRP)» раздела «Установка и обновление» документации NAICE. Резервирование Eltex-NAICE выполняется по схеме Active-Active с использованием VRRP-адреса, что позволяет использовать один RADIUS-сервер в настройках сетевых устройств и зарезервировать подключение для сетевых устройств, настройки которых не поддерживают указание нескольких RADIUS-серверов. Также , представляется возможность обеспечения резервирования в статье «Установка с резервированием (без использования VRRP)» раздела «Установка и обновление» документации NAICE.

Блок кода

title	MES
linenumbers	true
collapse	true

radius-server host 10.250.0.100 key {eltex_key}
tacacs-server host 10.250.0.200 key {eltex_key}

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Указание IP-адреса RADIUS-сервера и секретного ключа
Указание IP-адреса TACACS+-сервера и секретного ключа

Настройки клиентских интерфейсов MES приведены в разделе 802.1x.

Порядок настройки NAICE для добавления оборудования описан в разделе «Добавление оборудования в NAICE и настройка MAB-авторизации (Wi-Fi)» гайда «Настройка безопасности Wi-Fi».

Конфигурирование маршрутизаторов ESR для взаимодействия с NAICE

Для того чтобы добавить маршрутизатор в NAICE, необходимо обеспечить сетевую связность между маршрутизатором и сервером NAICE.

Блок кода

title	Конфигурация ESR
linenumbers	true
collapse	true

interface gigabitethernet 1/0/4
  ip firewall disable
  ip address 192.168.1.30/24
exit

aaa authentication login TACACS tacacs
aaa authentication enable TACACS tacacs

tacacs-server host 192.168.1.6 
  key ascii-text encrypted 9DB00E64BE
  source-address 192.168.1.30
exit

line console
  login authentication TACACS
  enable authentication TACACS
exit

Блок кода

title	Пояснение к конфигурации
linenumbers	true
collapse	true

Назначение IP-адреса.




Конфигурируется список способов учета сессий пользователей. Ведение учета активируется и прекращается, когда пользователь входит и отключается от системы, что соответствует значениям «start» и «stop» в сообщениях протоколов RADIUS и TACACS.


Добавляем TACACS-сервер в список используемых серверов и перехода в командный режим TACACS SERVER. Использование отрицательной формы команды (no) удаляет заданный TACACS-сервер.

Переход в режим конфигурирования соответствующего терминала: локальная консоль, удаленная консоль (Telnet), удаленная защищенная консоль (SSH).

Добавление сетевого оборудования в систему контроля сетевого доступа NAICE

Метод авторизации dot1x

Необходимо использовать интеграцию с Open LDAP. Для создания пользователей необходимо выполнить следующие шаги:

В главном меню перейти в раздел Администрирование → Управление идентификацией → Пользователи сети:

Раскрыть

title	Управление идентификацией

2. Нажать на символ добавления нового пользователя (+), заполнить необходимые поля (логин, пароль, подтверждение пароля):

Раскрыть

title	Управление индетификацией

3. Перейти в раздел Группы пользователей сети, создать новую группу пользователей, добавить пользователей в эту группу:

Раскрыть

title	Управление идентификацией

Настройка сетевых ресурсов NAICE

В главном меню перейти в раздел Администрирование → Сетевые ресурсы → Устройства:

Раскрыть

title	Сетевые ресурсы

2. Нажать на символ добавления нового устройства (+), заполнить все необходимые поля (имя устройства, профиль, IP-адрес, секретный ключ RADIUS и TACACS+):

Раскрыть

title	Устройства

Настройка протоколов в NAICE

В главном меню перейти в раздел Политики → Элементы → Разрешенные протоколы:

Раскрыть

title	Результаты

2. Нажать на символ добавления нового элемента (+), указать название сервиса и выбрать используемые для аутентификации протоколы:

Раскрыть

title	Протоколы

Настройка политик в NAICE

1. В главном меню перейти в раздел Политика → Наборы политик:

Раскрыть

title	Наборы политик

2. Нажать на символ добавления новой политики (+), перейти в раздел Условия. В качестве атрибута указать «Service-Type» из словаря «Radius». В качестве Атрибут/значение указать «Framed-User»:

Раскрыть

title	Атрибуты

3. В доступных протоколах выбрать ранее созданный список (dot1x):

Раскрыть

title	dot1x

4. Перейти в режим просмотра созданного набора политик:

Раскрыть

title	Набор политик

5. Добавить новую политику авторизации, заполнить поля Условия (атрибут «Identity group» из словаря «User Identity», атрибут/значение — «Клиенты») и Профили, выбрать необходимый профиль авторизации:

Раскрыть

title	Профили

Настройка MAB-авторизации

Перед началом конфигурации профилей устройств, которые будут проходить авторизацию по MAB, необходимо осуществить настройку профиля устройства, за которым будет подключен клиент.

В данном случае — коммутатор MES.

В главном меню перейти в раздел Администрирование → Сетевые ресурсы → Профили устройств:

Раскрыть

title	Профили устройств

2. Перейти в профиль Eltex MES:

Раскрыть

title	Eltex MES

3. В разделе MAB проставить галочки в пунктах PAP и EAP_MD5:

Раскрыть

title	MAB

Также, при необходимости, в данном профиле можно включить работу протокола TACACS+:

Раскрыть

title	Включение TACACS+

Настройка эндпоинтов в NAICE

1. В главном меню перейти в раздел Администрирование → Управление идентификацией → Эндпоинты:

Раскрыть

title	Эндпоинты

2. Нажать на символ добавления нового эндпоинта (+), заполнить поле MAC-адрес:

Раскрыть

title	Добавление нового эндпоинта

3. Перейти во вкладку Группы эндпоинтов, нажать на символ добавления новой группы эндпоинтов (+):

Раскрыть

title	Группы эндпоинтов

4. Добавить созданные ранее эндпоинты в группу эндпоинтов: нажать на символ добавления эндпоинтов в группу (+), в появившемся окне выбрать необходимые эндпоинты, перенести их в раздел Выбранные, нажать Добавить:

Раскрыть

title	Добавление эндпоинтов в группу

Настройка цепочки идентификации

Перейти во вкладку Цепочки идентификаций, нажать на символ добавления новой цепочки (+) (ниже в качестве примера выбрана существующая цепочка):

Раскрыть

title	Цепочка идентификаций

2. Заполнить название цепочки и перенести в столбец Используемые объект endpoints:

Раскрыть

title	Используемые эндпоинты

Настройка протоколов NAICE

В главном меню перейти в раздел Политика → Элементы → Результаты:

Раскрыть

title	Результаты

2. Нажать на символ добавления нового списка протоколов (+), заполнить название списка, включить MAC Authentication Bypass (MAB):

Раскрыть

title	MAB

Настройка политик в NAICE

1. В главном меню перейти в раздел Политика → Наборы политик:

Раскрыть

title	Наборы политик

2. Нажать на символ добавления новой политики (+), перейти в раздел Условия. В качестве атрибута указать «Service-Type» из словаря «Radius». В качестве Атрибут/значение указать «Call-Check»:

Раскрыть

title	Атрибут/значение

3. В доступных протоколах выбрать ранее созданный список (MAB):

Раскрыть

title	MAB

4. Перейти в режим просмотра созданного набора политик:

Раскрыть

title	Просмотр политик

5. Добавить новую политику авторизации, заполнить поля Условия (атрибут «Endpoint Group» из словаря «Endpoint Identity», атрибут/значение — «MAB») и Профили, выбрать необходимый профиль авторизации:

Раскрыть

title	Добавление политики авторизации

В случае корректной настройки и прохождения авторизации, информацию о пользовательских сессиях можно посмотреть в разделе Мониторинг → RADIUS:

Раскрыть

title	Информация о пользовательских сессиях

Более детализированная информация представлена в блоке "Подробнее":

Раскрыть

title	Подробная информация о сессии авторизации

Примеры конфигураций NAICE с настройкой различных атрибутов представлены в документации NAICE в следующих статьях:

Пример настройки NAICE для контроллера WLC и точек доступа представлен в статье «Настройка Captive Portal» раздела «Быстрый запуск (Quickstart)» документации NAICE.

Также в статье «Настройка 802.1x авторизации в связке с WLC+AP» раздела «Быстрый запуск (Quickstart)» документации NAICE представлен пример настройки 802.1x авторизации в связке контроллера WLC и точек доступа.

Заключение

В рамках данного гайда была рассмотрена типовая аритектура, которая отвечает современным требованиям к организации сетевой архитектуры. Реализованная трехуровневая модель позволяет обеспечить не только высокую производительность и отказоустойчивость, но и легкое масшатбирование.

Использование предложенного комлекса устройств производства компании Eltex покрывает широкий спектр задач: от предоставления клиентам досутпа в сеть до развертывая собственной телефонии и БШПД с использованием собственного NAC-с ервера.

Таким образом, предложенные решения и практики использования оборудования Eltex позволяют создать сбалансированную, защищенную и централизируемую управляему сеть, которая способна обеспечить бесперебойное функционирование бизнес-процессов усредненного предприятия как в текущий момент, так и с учетом перпективы дальнейшего развития.

Общие конфигурации устройств

Блок кода

title	ESR-3300_1
collapse	true

hostname ESR-3300_1
                                                                                                                      
object-group service NTP                                                                                              
  port-range 123                                                                                                      
exit     

object-group network Customers_POOL
  ip prefix 10.100.0.0/24
exit                                                                                                             

object-group network ISP_NTP  
  ip prefix 203.0.113.0/25                                                                                        
exit                                                                                                                  
    
object-group network PROXY
  ip address-range 203.0.113.3
exit

syslog max-files 3                                                                                                    
syslog file-size 512                                                                                                  
syslog sequence-numbers                                                                                               
syslog file flash:syslog/default                                                                                      
  severity info                                                                                                       
exit                                                                                                                  
                                                                                                                      
syslog host ECCM                                                                                                      
  remote-address 10.250.0.100                                                                                        
  severity info                                                                                                       
exit                                                                                                                                                                                                                                 
                                                                                                                      
no spanning-tree                                                                                                      
                                                                                                                      
security zone test                                                                                                    
exit                                                                                                                  
security zone Untrusted                                                                                               
exit                                                                                                                  
security zone Management                                                                                              
exit                                                                                                                  
security zone Customer                                                                                                
exit                                      
security zone ISP_NTP                                                                                                 
exit                                                                                                                  
                                                                                                                      
route-map BGP_IN
  rule 10
    match ip address 0.0.0.0/0
  exit
  rule 20
    action deny
  exit
exit
  
router bgp 64515
  neighbor 203.0.113.1
    remote-as 65500
    update-source twentyfivegigabitethernet 1/0/1
    fall-over bfd
    address-family ipv4 unicast
      route-map BGP_IN in
      enable
    exit
    enable
  exit
  enable
exit                                                                                                                 
                                                                                                                                                                                                                                       
interface port-channel 1                                                                                              
  description to_MES5410-48_VPC_                                                                                                    
  speed 100G                                                                                                          
exit                                                                                                                  
interface port-channel 1.250                                                                                          
  security-zone Management                                                                                            
  ip address 10.250.0.253/24                                                                                          
  vrrp 1                                                                                                             
    ip address 10.250.0.55/24                                                                                         
    priority 101                                                                                                      
    group 1                        
    enable                                                                                                            
  exit                                                                                                                
exit                                                                                                                  
interface port-channel 1.100                                                                                          
  security-zone Customer                                                                                              
  ip address 10.100.0.253/24                                                                                          
  vrrp 2                                                                                                             
    ip address 10.100.0.1/24                                                                                          
    priority 101                                                                                                      
    group 1                       
    enable                                                                                                            
  exit                                                                                                                
exit                                                                                                                  
interface port-channel 1.115                                                                                          
  description "AP_users"                                                                                              
  ip address 10.115.0.253/24                                                                                          
  vrrp 3                                                                                                              
    ip address 10.115.0.1/24                                                                                          
    priority 101                                                                                                      
    group 1                                                                                                  
    enable                                                                                                            
  exit                                                                                                                
exit                                     
interface twentyfivegigabitethernet 1/0/1                                                                             
  description "to_NTP_ISP1"
  speed 1000M
  ip address 203.0.113.3/21
  ip nat proxy-arp PROXY                                                                                        
exit                                                                                                                  
interface hundredgigabitethernet 1/0/1     
  description to_MES5410-48_VPC_1                                                                              
  mode switchport                                                                                                     
  channel-group 1 mode auto                                                                                           
  lldp transmit                                                                                                       
  lldp receive                                                                                                        
exit                                                                                                                  
interface hundredgigabitethernet 1/0/2  
  description to_MES5410-48_VPC_2                                                                                     
  mode switchport                                                                                                     
  channel-group 1 mode auto                                                                                           
  lldp transmit                                                                                                       
  lldp receive                                                                                                        
exit                                                                                                                  
interface oob 1/0/1                                                                                                   
  security-zone test                                                                                                  
  ip address 192.168.1.1/24                                                                                           
exit                                                                                                                  
                                                                                                                      
snmp-server                                                                                                           
snmp-server community public v2c ro                                                                                   
snmp-server community private v2c rw                                                                                  
                                                                                                                      
security zone-pair test self                                                                                          
  rule 10                                                                                                              
    action permit                                                                                                     
    enable                                                                                                            
  exit                                                                                                                
exit                                                                                                                  
security zone-pair Management self                                                                                    
  rule 10                                                                                                              
    description "SNMP traffic from ECCM"                                                                              
    action permit                                                                                                     
    match protocol udp                                                                                                
    match source-address address-range 10.250.0.100                                                                  
    match destination-port port-range 161                                                                             
    enable                                                                                                            
  exit                                                                                                                
  rule 20                                                                                                             
    description "SSH traffic from ECCM"                                                                               
    action permit                                                                                                     
    match protocol tcp                                                                                                
    match source-address address-range 10.250.0.100                                                                   
    match destination-port port-range 22                                                                              
    enable                                                                                                            
  exit                                                                                                                
  rule 30                                                                                                             
    action permit                                                                                                     
    match protocol udp                                                                                                
    match destination-port object-group NTP                                                                           
    enable                                                                                                            
  exit                                                                                                                
  rule 40                                                                                                             
    action permit                                                                                                     
    match protocol udp                                                                                                
    match destination-port port-range 161                                                                             
    enable                                                                                                            
  exit                                                                                                                
  rule 50                                                                                                             
    action permit                                                                                                     
    match protocol icmp                                                                                               
    enable                                                                                                            
  exit                                                                                                                
  rule 60                                                                                                             
    action permit                                                                                                     
    match protocol udp                                                                                                
    match destination-port port-range 67                                                                              
    enable                                                                                                            
  exit                                                                                                                
  rule 70                                                                                                             
    action permit                                                                                                     
    match protocol udp                                                                                                
    match destination-port port-range 68                                                                              
    enable                                                                                                            
  exit                                                                                                                
exit                                                                                                                  
security zone-pair Customer self                                                                                      
  rule 10                                                                                                             
    action permit                                                                                                     
    match protocol udp                                                                                                
    match source-port port-range 68                                                                                   
    match destination-port port-range 67                                                                              
    enable                                                                                                            
  exit                                                                                                                
  rule 20                                                                                                             
    action permit                                                                                                     
    match protocol icmp                                                                                               
    enable                                                                                                            
  exit                                                                                                                
  rule 30                                                                                                             
    action permit                                                                                                     
    match protocol vrrp                                                                                               
  exit                                                                                                                
exit      
security zone-pair Customer ISP_NTP
  rule 10
    action permit
    match source-address object-group Customers_POOL
    enable
  exit
exit                    
security zone-pair ISP_NTP self                                                                                       
  rule 10                                                                                                             
    action permit                                                                                                     
    match protocol udp                                                                                                
    match destination-port port-range 123                                                                             
    enable                                                                                                            
  exit  
  rule 20
    action permit
    match protocol tcp
    match destination-port port-range 179
    enable
  exit
  rule 30
    action permit
    match protocol udp
    match destination-port port-range 3784
    enable
  exit
exit                                                                                                              
exit                                                                                                                  
security zone-pair Customer ISP_NTP                                                                                   
  rule 10                                                                                                             
    action permit                                                                                                     
    match protocol icmp                                                                                               
    enable                                                                                                            
  exit
   rule 20
    action permit
    match source-address object-group Customers_POOL
    enable
  exit                                                                                                               
exit   
 
nat source
  pool Customer_Public_IP
    ip address-range 203.0.113.3
  exit
 
  ruleset SNAT
    to zone ISP_NTP
    rule 10
      match source-address object-group Customers_POOL
      action source-nat pool Customer_Public_IP
      enable
    exit
  exit
exit

ip sla
ip sla logging status
ip sla test 1
  icmp-echo 8.8.4.4 source-ip 203.0.113.2 num-packets 5
  enable
exit
  
ip sla test 2
  icmp-echo 77.88.44.242 source-ip 203.0.113.2 num-packets 5
  enable
exit
  
ip sla schedule all life forever start-time now

ip ssh server                                                                                                         
ip ssh key-exchange time 8                                                                                            
                                                                                                                      
archive                                                                                                               
  type local                                                                                                          
  by-commit                                                                                                           
  count-backup 10                                                                                                     
exit                                                                                                                  
                                                                                                                      
lldp enable                                                                                                           
lldp system-name "ESR-3300_1"                                                                                          
                                                                                                                      
clock timezone gmt +7                                                                                                 
                                                                                                                      
ntp enable                                                                                                            
ntp object-group serve-only ISP_NTP                                                                                   
ntp server 203.0.113.2                                                                                                
  prefer                                                                                                              
  minpoll 4      
exit
ntp server 203.0.113.130                                                                                                     
exit      

track 1
  description "Check Internet"
  track sla test 1 mode state fail
  track sla test 2 mode state fail
  enable
exit

Блок кода

title	ESR-3300_2
collapse	true

hostname ESR-3300_2                                                                                                    

object-group service NTP                                                                                              
  port-range 123                                                                                                      
exit     

object-group network Customers_POOL
  ip prefix 10.100.0.0/24
exit                                                                                                             
    
object-group network ISP_NTP  
  ip prefix 203.0.113.128/25                                                                                        
exit                                                                                                                  
    
object-group network PROXY
  ip address-range 203.0.113.131
exit                                                                                                                  
                                                                                                                      
syslog max-files 3                                                                                                    
syslog file-size 512                                                                                                  
syslog sequence-numbers                                                                                               
syslog file flash:syslog/default                                                                                      
  severity info                                                                                                       
exit                                                                                                                  
                                                                                                                      
syslog host ECCM                                                                                                      
  remote-address 10.250.0.100                                                                                        
  severity info                                                                                                       
exit                                                                                                                  

no spanning-tree                                                                                                      
     
security zone test                                                                                                
exit                                                                                                                  
security zone Management                                                                                              
exit                                                                                                                  
security zone Customer                                                                                                
exit                                                                                                                  
security zone VoIP                                                                                                    
exit                                                                                                                  
security zone ISP_NTP                                                                                                 
exit                                                                                                                  
        
route-map BGP_IN
  rule 10
    match ip address 0.0.0.0/0
  exit
  rule 20
    action deny
  exit
exit
  
router bgp 64515
  neighbor 203.0.113.129
    remote-as 65400
    update-source gigabitethernet 1/0/1
    fall-over bfd
    address-family ipv4 unicast
      route-map BGP_IN in
      enable
    exit
    enable
  exit
  enable
exit                                                                                                                 
                                                                                                                      
interface port-channel 1  
  description to_MES5410-48_VPC                                                                                                    
  speed 100G                                                                                                          
exit                                                                                                                  
interface port-channel 1.250                                                                                          
  description "Mangement"                                                                                             
  security-zone Management                                                                                            
  ip address 10.250.0.254/24                                                                                          
  vrrp 1                                                                                                             
    ip address 10.250.0.55/24                                                                                         
    priority 101                                                                                                      
    group 1                                                                                                  
    enable                                                                                                            
  exit                                                                                                                
exit                                                                                                                  
interface port-channel 1.100                                                                                          
  security-zone Customer                                                                                              
  ip address 10.100.0.254/24                                                                                          
  vrrp 2                                                                                                              
    ip address 10.100.0.1/24                                                                                          
    group 1                                                                                                 
    enable                                                                                                            
  exit                                                                                                                
exit                                                                                                                  
interface port-channel 1.115                                                                                          
  ip address 10.115.0.254/24                                                                                          
  vrrp 3                                                                                                              
    ip address 10.115.0.1/24                                                                                          
    group 1                                                                                                   
    enable                                                                                                            
  exit                                                                                                                
exit                                          
interface twentyfivegigabitethernet 1/0/1                                                                             
  description "to_NTP_ISP2"                                                                                                                                   
  speed 1000M                                                                                                                                                 
  ip address 203.0.113.133/21 
  ip nat proxy-arp PROXY                                                                                         
exit                                                                                                                  
interface hundredgigabitethernet 1/0/1   
  description to_MES5410-48_VPC_1                                                                                     
  mode switchport                                                                                                     
  channel-group 1 mode auto                                                                                           
  lldp transmit                                                                                                       
  lldp receive                                                                                                        
exit                                                                                                                  
interface hundredgigabitethernet 1/0/2   
  description to_MES5410-48_VPC_2                                                                                    
  mode switchport                                                                                                     
  channel-group 1 mode auto                                                                                           
  lldp transmit                                                                                                       
  lldp receive                                                                                                        
exit                                                                                                                  
                                                                                                                      
snmp-server                                                                                                           
snmp-server community public v2c ro                                                                                   
snmp-server community private v2c rw                                                                                  
                                                                                                                      
security zone-pair Management self                                                                                    
  rule 10                                                                                                              
    description "SNMP traffic from ECCM"                                                                              
    action permit                                                                                                     
    match protocol udp                                                                                                
    match source-address address-range 10.250.0.100                                                                  
    match destination-port port-range 161                                                                             
    enable                                                                                                            
  exit                                                                                                                
  rule 20                                                                                                              
    description "SSH traffic from ECCM"                                                                               
    action permit                                                                                                     
    match protocol tcp                                                                                                
    match source-address address-range 10.250.0.100                                                                 
    match destination-port port-range 22                                                                              
    enable                                                                                                            
  exit                                                                                                                
  rule 30                                                                                                             
    action permit                                                                                                     
    match protocol tcp                                                                                                
    match destination-port port-range 22                                                                              
    enable                                                                                                            
  exit                                                                                                                
  rule 40                                                                                                             
    action permit                                                                                                     
    match protocol udp                                                                                                
    match destination-port port-range 161                                                                             
    enable                                                                                                            
  exit                                                                                                                
  rule 50                                                                                                             
    action permit                                                                                                     
    match protocol icmp                                                                                               
    enable                                                                                                            
  exit                                                                                                                
  rule 60                                                                                                             
    action permit                                                                                                     
    match protocol udp                                                                                                
    match destination-port port-range 67                                                                              
    enable                                                                                                            
  exit                                                                                                                
  rule 70                                                                                                             
    action permit                                                                                                     
    match protocol udp                                                                                                
    match destination-port port-range 68                                                                              
    enable                                                                                                            
  exit                                                                                                                
exit                                                                                                                  
security zone-pair Customer self                                                                                      
  rule 10                                                                                                             
    action permit                                                                                                     
    match protocol vrrp                                                                                               
    enable                                                                                                            
  exit                                                                                                                
  rule 20                                                                                                             
    action permit                                                                                                     
    match protocol icmp                                                                                               
    enable                                                                                                            
  exit                                                                                                                
exit                                                                                                                  
security zone-pair ISP_NTP self                                                                                       
  rule 10                                                                                                             
    action permit                                                                                                     
    match protocol udp                                                                                                
    match destination-port port-range 123                                                                             
    enable                                                                                                            
  exit    
  rule 20
    action permit
    match protocol tcp
    match destination-port port-range 179
    enable
  exit
  rule 30
    action permit
    match protocol udp
    match destination-port port-range 3784
    enable
  exit
exit                                                                                                            
exit                                                                                                                  
security zone-pair Customer ISP_NTP                                                                                   
  rule 10                                                                                                             
    action permit                                                                                                     
    match protocol icmp                                                                                               
    enable                                                                                                            
  exit 
   rule 20
    action permit
    match source-address object-group Customers_POOL
    enable
  exit                                                                                                              
exit                                                                                                                  
                                                                                                                      
nat source
  pool Customer_Public_IP
    ip address-range 203.0.113.131
  exit
  
  ruleset SNAT
    to zone ISP_NTP
    rule 10
      match source-address object-group Customers_POOL
      action source-nat pool Customer_Public_IP
      enable
    exit
  exit
exit                                                                             
                                                                                                                      
ip ssh server                                                                                                         
ip ssh key-exchange time 8                                                                                            
                                                                                                                      
archive                                                                                                               
  type local                                                                                                          
  by-commit                                                                                                           
  count-backup 10                                                                                                     
exit                                                                                                                  
                                                                                                                      
lldp enable                                                                                                           
lldp system-name "ESR-3300_2"                                                                                          
                                                                                                                      
clock timezone gmt +7                                                                                                 
                                                                                                                      
ntp enable                                                                                                            
ntp object-group serve-only ISP_NTP                                                                                   
ntp server 203.0.113.130                                                                                              
  prefer                                                                                                              
  minpoll 4                                                                                                           
exit    
ntp server 203.0.113.2
exit

Блок кода

title	MES5410-48_VPC_1
collapse	true

no spanning-tree
!
vlan database
 vlan 100-101,110,250
exit
!
vpc
vpc domain 1
 peer detection
 peer detection ipaddr 1.1.1.2 1.1.1.1
 peer keepalive
 role priority 1
 peer link port-channel 1
exit
!
vpc group 2
 domain 1
 vpc-port port-channel 2
exit
!
vpc group 3
 domain 1
 vpc-port port-channel 3                              
exit
!
vpc group 4
 domain 1
 vpc-port port-channel 4
exit
!
vpc group 5
 domain 1
 vpc-port port-channel 5
exit
!
!
hostname MES5410-48_VPC_1
!
radius-server host 10.250.0.200 key secret
!
tacacs-server host 10.250.0.200 key secret
!
logging host 10.250.0.100
logging cli-commands
!
!
ip ssh server
!
snmp-server server
snmp-server community eltex_public ro 10.250.0.100
snmp-server community eltex_private rw 10.250.0.100
!
clock timezone UTC +7
clock source ntp
!
ntp server 10.250.0.55
!
no ip telnet server
!
interface TwentyFiveGigaEthernet1/0/1
 description to_MES5410-48_VPC_2
 ip address 1.1.1.1 255.255.255.252
exit
!
interface TwentyFiveGigaEthernet1/0/2
 description to_MES2300-24_stack
 channel-group 4 mode auto
exit
!
interface TwentyFiveGigaEthernet1/0/3
 description to_MES2300-24_stack
 channel-group 4 mode auto
exit
!
interface TwentyFiveGigaEthernet1/0/4
 description to_MES5332A_stack
 channel-group 5 mode auto
exit
!
interface TwentyFiveGigaEthernet1/0/5
 description to_MES5332A_stack
 channel-group 5 mode auto
exit
!
interface HundredGigabitEthernet1/0/1
 description to_MES5410-48_VPC_2
 channel-group 1 mode auto
exit
!
interface HundredGigabitEthernet1/0/2
 description to_MES5410-48_VPC_2
 channel-group 1 mode auto
exit
!
interface HundredGigabitEthernet1/0/3
 description to_ESR-3300_1
 channel-group 2 mode auto
exit
!
interface HundredGigabitEthernet1/0/4
 description to_ESR-3300_2
 channel-group 3 mode auto
exit
!
interface Port-Channel1
 description to_MES5410-48_VPC_2
 switchport mode general
 switchport general allowed vlan add 100-101,110,250 tagged
 switchport forbidden default-vlan
exit
!
interface Port-Channel2
 description to_ESR-3300_1
 switchport mode general
 switchport general allowed vlan add 100-101,250 tagged
 switchport forbidden default-vlan
exit
!
interface Port-Channel3
 description to_ESR-3300_2
 speed 100000
 switchport mode general
 switchport general allowed vlan add 100-101,250 tagged
 switchport forbidden default-vlan
exit
!
interface Port-Channel4
 description to_MES2300-24_stack
 speed 10000
 switchport mode general
 switchport general allowed vlan add 100-101,110,250 tagged
 switchport forbidden default-vlan
exit
!
interface Port-Channel5
 description to_MES5332A_stack
 speed 10000
 switchport mode general
 switchport general allowed vlan add 100-101,110,250 tagged
 switchport forbidden default-vlan
exit
!
interface vlan 250
 name ECCM+Naice
 ip address 10.250.0.10 255.255.255.0
exit
!
!
end

Блок кода

title	MES5410-48_VPC_2
collapse	true

no spanning-tree
!
vlan database
 vlan 100-101,110,115,250
exit
!
vpc
vpc domain 1
 peer detection
 peer detection ipaddr 1.1.1.1 1.1.1.2
 peer keepalive
 role priority 2
 peer link port-channel 1
exit
!
vpc group 2
 domain 1
 vpc-port port-channel 2
exit
!
vpc group 3
 domain 1
 vpc-port port-channel 3                              
exit
!
vpc group 4
 domain 1
 vpc-port port-channel 4
exit
!
vpc group 5
 domain 1
 vpc-port port-channel 5
exit
!
!
hostname MES5410-48_VPC_2
!
radius-server host 10.250.0.200 key secret
!
tacacs-server host 10.250.0.200 key secret
!
logging host 10.250.0.100
logging cli-commands
!
ip ssh server
!
snmp-server server
snmp-server community eltex_public ro 10.250.0.100
snmp-server community eltex_private rw 10.250.0.100
!
clock timezone UTC +7
clock source ntp
!
ntp server 10.250.0.55
!
no ip telnet server
!
interface TwentyFiveGigaEthernet1/0/1
 description to_MES5410-48_VPC_1
 ip address 1.1.1.2 255.255.255.252
exit
!
interface TwentyFiveGigaEthernet1/0/2
 description to_MES2300-24_Stack
 channel-group 4 mode auto
exit
!
interface TwentyFiveGigaEthernet1/0/3
 description to_MES2300-24_Stack
 channel-group 4 mode auto
exit
!
interface TwentyFiveGigaEthernet1/0/4
 description to_MES5332A_Stack
 channel-group 5 mode auto
exit
!
interface TwentyFiveGigaEthernet1/0/5
 description to_MES5332A_Stack
 channel-group 5 mode auto
exit
!
interface HundredGigabitEthernet1/0/1
 description to_MES5410-48_VPC_1
 channel-group 1 mode auto
exit
!
interface HundredGigabitEthernet1/0/2
 description to_MES5410-48_VPC_1
 channel-group 1 mode auto
exit
!
interface HundredGigabitEthernet1/0/3
 description to_ESR-3300_1
 channel-group 2 mode auto
exit
!
interface HundredGigabitEthernet1/0/4
 description to_ESR-3300_2
 channel-group 3 mode auto
exit
!
interface Port-Channel1
 description to_MES5410-48_VPC_1
 switchport mode general
 switchport general allowed vlan add 100-101,110,250 tagged
exit
!
interface Port-Channel2
 description to_ESR-3300_1
 speed 100000
 switchport mode general
 switchport general allowed vlan add 100-101,250 tagged
 switchport forbidden default-vlan
exit
!
interface Port-Channel3
  description to_ESR-3300_2
 speed 100000
 switchport mode general
 switchport general allowed vlan add 100-101,250 tagged
 switchport forbidden default-vlan
exit
!
interface Port-Channel4
 description to_MES2300-24_Stack
 speed 10000
 switchport mode general
 switchport general allowed vlan add 100-101,110,250 tagged
 switchport forbidden default-vlan
exit
!
interface Port-Channel5
 description to_MES5332A_Stack
 speed 10000
 switchport mode general
 switchport general allowed vlan add 100-101,110,250 tagged
 switchport forbidden default-vlan
exit
!
interface vlan 250
 name ECCM+Naice
 ip address 10.250.0.11 255.255.255.0
exit
!
!
end

Блок кода

title	MES5332A_Stack
collapse	true

vlan database
 vlan 100-101,110,115,250
exit
!
hostname MES5332A_Stack
!
radius-server host 10.250.0.200 key secret
!
tacacs-server host 10.250.0.200 key secret
!
logging host 10.250.0.100
logging cli-commands
!
ip ssh server
!
snmp-server server
snmp-server community eltex_public ro 10.250.0.100
snmp-server community eltex_private rw 10.250.0.100
!         
clock timezone UTC +7                                            
clock source ntp
!
ntp server 10.250.0.55
!
no ip telnet server
!
interface TenGigabitEthernet1/0/1
 description to_MES2300D-24P_1
 channel-group 1 mode auto
exit
!
interface TenGigabitEthernet1/0/2
 description to_MES2300D-24P_2
 channel-group 2 mode auto
exit
!
interface TenGigabitEthernet1/0/3
 description to_MES5410-48_VPC_1
 channel-group 3 mode auto
exit
!
interface TenGigabitEthernet1/0/4
 description to_MES5410-48_VPC_2
 channel-group 3 mode auto
exit
!
interface TenGigabitEthernet2/0/1
 description to_MES2300D-24P_1
 channel-group 1 mode auto
exit
!
interface TenGigabitEthernet2/0/2
 description to_MES2300D-24P_2
 channel-group 2 mode auto
exit
!
interface TenGigabitEthernet2/0/3
 description to_MES5410-48_VPC_1
 channel-group 3 mode auto
exit
!
interface TenGigabitEthernet2/0/4
 description to_MES5410-48_VPC_2
 channel-group 3 mode auto
exit
!
interface Port-Channel1
 description to_MES2300D-24P_1
 switchport mode general
 switchport general allowed vlan add 100-101,110,250 tagged
 switchport forbidden default-vlan
exit
!
interface Port-Channel2
 description to_MES2300D-24P_2
 switchport mode general
 switchport general allowed vlan add 100-101,110,250 tagged
 switchport forbidden default-vlan
exit
!
interface Port-Channel3
 description to_MES5410-48_VPC
 speed 10000
 switchport mode general
 switchport general allowed vlan add 100-101,110,250 tagged
 switchport forbidden default-vlan
exit
!
interface vlan 250
 name ECCM+Naice
 ip address 10.250.0.20 255.255.255.0
exit
!
!
end

Блок кода

title	MES2300-24_Stack
collapse	true

vlan database
 vlan 100-101,110,115,250,300
exit
!
ip dhcp relay address 192.168.1.30
ip dhcp relay enable
ip dhcp information option
!
hostname MES2300-24_Stack
!
radius-server host 10.250.0.200 key secret
!
tacacs-server host 10.250.0.200 key secret
!
logging host 10.250.0.100
logging cli-commands
!
ip ssh server
!
snmp-server server                                    
snmp-server community eltex_public ro 10.250.0.100
snmp-server community eltex_private rw 10.250.0.100
!
clock timezone UTC +7
clock source ntp
!
ntp server 10.250.0.55
!
interface GigabitEthernet1/0/10
 description to_WLC-15_1
 channel-group 1 mode auto
exit
!
interface GigabitEthernet1/0/11
 description to_WLC-15_2
 channel-group 1 mode auto
exit
!
interface GigabitEthernet1/0/14
 description to_SMG-3016_1
 channel-group 2 mode auto
exit
!
interface GigabitEthernet1/0/15
 description to_SMG-3016_2
 channel-group 3 mode auto
exit
!
interface TenGigabitEthernet1/0/1
 description to_MES5410-48_VPC_1
 channel-group 4 mode auto
exit
!
interface TenGigabitEthernet1/0/2
 description to_MES5410-48_VPC_2
 channel-group 4 mode auto
exit
!
interface TenGigabitEthernet1/0/3
 description to_NAICE-DHCP
 channel-group 5 mode auto
!
interface TenGigabitEthernet1/0/4
 description to_ECCM
 channel-group 6 mode auto
exit
!
interface GigabitEthernet2/0/10
 description to_WLC-15_1
 channel-group 1 mode auto
exit
!
interface GigabitEthernet2/0/11
 description to_WLC-15_2
 channel-group 1 mode auto
!
interface GigabitEthernet2/0/14
 description to_SMG-3016_1
 channel-group 2 mode auto
exit
!
interface GigabitEthernet2/0/15
 description to_SMG-3016_2
 channel-group 3 mode auto
exit
!
interface TenGigabitEthernet2/0/1
 description to_MES5410-48_VPC_1
 channel-group 4 mode auto
exit
!
interface TenGigabitEthernet2/0/2
 description to_MES5410-48_VPC_2
 channel-group 4 mode auto
exit
!
interface TenGigabitEthernet2/0/3
 description to_NAICE-DHCP
 channel-group 5 mode auto
!
interface TenGigabitEthernet2/0/4
 description to_ECCM
 channel-group 6 mode auto
exit
!
interface Port-Channel1
 description to_WLC-15
 switchport mode general
 switchport general allowed vlan add 110,250 tagged
exit
!
interface Port-Channel2
 description to_SMG-3016_1
 switchport mode general
 switchport general allowed vlan add 101,250 tagged
exit
!
interface Port-Channel3
 description to_SMG-3016_2
 switchport mode general
 switchport general allowed vlan add 101,250 tagged
exit
!
interface Port-Channel4
 description to_MES5410-48_VPC
 speed 10000
 switchport mode general
 switchport general allowed vlan add 100-101,110,250 tagged
 switchport forbidden default-vlan
exit
!
interface Port-Channel5
 description to_NAICE-DHCP
 ip dhcp snooping trust
 switchport mode general
 switchport general allowed vlan add 250,300 tagged
exit
interface Port-Channel6
 description to_ECCM
 switchport mode general
 switchport general allowed vlan add 250 tagged
exit
!
interface vlan 1
 no ip address dhcp
exit
!
interface vlan 100
 name PC
 ip address 10.100.0.45 255.255.255.0
 ip dhcp relay enable
exit
!
interface vlan 101
 name VoIP
 ip address 10.101.0.45 255.255.255.0
 ip dhcp relay enable
exit
!
interface vlan 110
 name WiFi_AP_man
 ip address 10.110.0.45 255.255.255.0
 ip dhcp relay enable
exit
!
interface vlan 115
 name WiFi_AP_Users
 ip address 10.115.0.45 255.255.255.0
 ip dhcp relay enable
exit
!
interface vlan 250
 name ECCM+Naice
 ip address 10.250.0.45 255.255.255.0
exit
!
interface vlan 300
 name DHCP_server
 ip address 192.168.1.45 255.255.255.0
exit
!
!
end

Блок кода

title	MES2300D-24P_1
collapse	true

vlan database
 vlan 11,100-101,110,115,150,250
exit
!
voice vlan id 101
voice vlan state oui-enabled
voice vlan oui-table add 6813e2
!
dot1x system-auth-control
!
no lldp med network-policy voice auto
lldp med network-policy 1 voice vlan 101 vlan-type tagged up 4
!
loopback-detection enable
loopback-detection interval 5
!
errdisable recovery cause loopback-detection
!
ip dhcp snooping
ip dhcp snooping vlan 100
!
ip arp inspection
ip arp inspection vlan 100                            
!
hostname MES2300D-24P_1
!
radius-server host 10.250.0.200 key secret
!
tacacs-server host 10.250.0.200 key secret
!
logging host 10.250.0.100
logging cli-commands
!
ip ssh server
!
snmp-server server
snmp-server community eltex_public ro 10.250.0.100
snmp-server community eltex_private rw 10.250.0.100
!
clock timezone utc +7
clock source ntp
!
ntp server 10.250.0.55
!
interface GigabitEthernet1/0/4
 dot1x host-mode single-host
 loopback-detection enable
 dot1x guest-vlan enable
 dot1x radius-attributes vlan static
 dot1x port-control auto
 description to_AP
 ip dhcp snooping limit clients 5
 storm-control broadcast kbps 2048 trap
 storm-control unicast kbps 2048 trap
 storm-control multicast kbps 2048 trap
 spanning-tree disable
 spanning-tree bpdu filtering
 switchport mode general
 switchport general allowed vlan add 110 untagged
 switchport general pvid 110
exit
!
interface GigabitEthernet1/0/14
 dot1x host-mode multi-sessions
 loopback-detection enable
 dot1x guest-vlan enable
 dot1x reauthentication
 dot1x timeout reauth-period 300
 dot1x authentication 802.1x mac
 dot1x radius-attributes vlan static
 dot1x port-control auto
 description to_VP-17P+PC
 ip dhcp snooping limit clients 5
 storm-control broadcast kbps 2048 trap
 storm-control unicast kbps 2048 trap
 storm-control multicast kbps 2048 trap
 spanning-tree disable
 spanning-tree bpdu filtering
 switchport mode general
 switchport general allowed vlan add 100 untagged
 switchport general pvid 100
 switchport protected-port
 lldp med network-policy add 1
 voice vlan enable
exit
!
interface TenGigabitEthernet1/0/1
 description to_MES5332A_Stack
 channel-group 1 mode auto
exit
!
interface TenGigabitEthernet1/0/2
 description to_MES5332A_Stack
 channel-group 1 mode auto
exit
!
interface Port-Channel1
 description to_MES5332A_Stack
 ip arp inspection trust
 ip dhcp snooping trust
 switchport mode general
 switchport general allowed vlan add 100-101,110,115,250 tagged
 switchport forbidden default-vlan
exit
!
interface vlan 100
 name PC
 ip address 10.100.0.30 255.255.255.0
exit
!
interface vlan 101
 name VoIP
 ip address 10.101.0.30 255.255.255.0
exit
!
interface vlan 110
 name WiFi_AP_man
 ip address 10.110.0.30 255.255.255.0
exit
!
interface vlan 115
 name Wifi_AP_users
 ip address 10.115.0.30 255.255.255.0
exit
!
interface vlan 150
 name Guest
 dot1x guest-vlan
exit
!
interface vlan 250
 name ECCM+Naice
 ip address 10.250.0.30 255.255.255.0
exit
!
!
end

Блок кода

title	MES2300D-24P_2
collapse	true

vlan database
 vlan 100-101,110,115,150,250
exit
!
voice vlan id 101
voice vlan state oui-enabled
voice vlan oui-table add ecb1e0
!
dot1x system-auth-control
!
no lldp med network-policy voice auto
lldp med network-policy 1 voice vlan 101 vlan-type tagged up 4
!
loopback-detection enable
loopback-detection interval 5
!
errdisable recovery cause loopback-detection
!
ip dhcp snooping
ip dhcp snooping vlan 100
!
ip arp inspection
ip arp inspection vlan 100                            
!
hostname MES2300D-24P_2
!
radius-server host 10.250.0.200 key secret
!
tacacs-server host 10.250.0.200 key secret
!
logging host 10.250.0.100
logging cli-commands
!
ip ssh server
!
snmp-server server
snmp-server community eltex_public ro 10.250.0.100
snmp-server community eltex_private rw 10.250.0.100
!
clock timezone UTC +7
clock source ntp
!
ntp server 10.250.0.55
!
no ip telnet server
!
interface GigabitEthernet1/0/4
 dot1x host-mode single-host
 loopback-detection enable
 dot1x guest-vlan enable
 dot1x radius-attributes vlan static
 dot1x port-control auto
 description to_AP
 ip dhcp snooping limit clients 5
 storm-control broadcast kbps 2048 trap
 storm-control unicast kbps 2048 trap
 storm-control multicast kbps 2048 trap
 spanning-tree disable
 spanning-tree bpdu filtering
 switchport mode general
 switchport general allowed vlan add 110 untagged
 switchport general pvid 110
exit
!
interface GigabitEthernet1/0/14
 dot1x host-mode multi-sessions
 loopback-detection enable
 dot1x guest-vlan enable
 dot1x reauthentication
 dot1x timeout reauth-period 300
 dot1x authentication 802.1x mac
 dot1x radius-attributes vlan static
 dot1x port-control auto
 description to_VP30P+PC
 ip dhcp snooping limit clients 5
 storm-control broadcast kbps 2048 trap
 storm-control unicast kbps 2048 trap
 storm-control multicast kbps 2048 trap
 spanning-tree disable
 spanning-tree bpdu filtering
 switchport mode general
 switchport general allowed vlan add 100 untagged
 switchport general pvid 100
 switchport protected-port
 lldp med network-policy add 1
 voice vlan enable
exit
!
interface TenGigabitEthernet1/0/1
 description to_MES5332A_Stack
 channel-group 1 mode auto
exit
!
interface TenGigabitEthernet1/0/2
 description to_MES5332A_Stack
 channel-group 1 mode auto
exit
!
interface Port-Channel1
 description to_MES5332A_Stack
 ip arp inspection trust
 ip dhcp snooping trust
 switchport mode general
 switchport general allowed vlan add 100-101,110,115,250 tagged
 switchport forbidden default-vlan
exit
!
interface vlan 100
 name PC
 ip address 10.100.0.31 255.255.255.0
exit
!
interface vlan 101
 name VoIP
 ip address 10.101.0.31 255.255.255.0
exit
!
interface vlan 110
 name WiFi_AP_man
 ip address 10.110.0.31 255.255.255.0
exit
!
interface vlan 115
 name WiFi_AP_users
 ip address 10.115.0.31 255.255.255.0
exit
!
interface vlan 150
 name Guest
 dot1x guest-vlan
exit
!
interface vlan 250
 name ECCM+Naice
 ip address 10.250.0.31 255.255.255.0
exit
!
!
end

Блок кода

title	WLC-15
collapse	true

cluster
cluster-interface bridge 1
unit 1
mac-address 90:54:b7:3a:39:d0
exit
unit 2
mac-address 68:13:e2:e1:f6:fe
exit
enable
exit 

hostname wlc-1 unit 1 
hostname wlc-2 unit 2 

object-group service ssh 
port-range 22 
exit 
object-group service dhcp_server 
port-range 67 
exit 
object-group service dhcp_client 
port-range 68 
exit 
object-group service ntp 
port-range 123 
exit 
object-group service netconf 
port-range 830 
exit 
object-group service radius_auth 
port-range 1812 
exit 
object-group service sa 
port-range 8043-8044 
exit 
object-group service dns 
port-range 53 
exit 
object-group service airtune 
port-range 8099 
exit 
object-group service web 
port-range 443 
exit 

syslog max-files 3 
syslog file-size 512 
syslog file tmpsys:syslog/default 
severity info 
exit 

logging wlc-events 
logging wlc-journal 

syslog host eccm 
remote-address 192.168.71.8 
severity debug 
exit 

radius-server local 
nas ap 
key ascii-text secretap 
network 10.110.0.0/24 
exit 
nas local 
key ascii-text secretap 
network 127.0.0.1/32 
exit 
domain default 
user name1 
password ascii-text secretap 
exit 
exit 
virtual-server default 
mode proxy 
upstream-pool default 
enable 
exit 
upstream-server eltex 
host 10.250.0.200 
server-type all 
key ascii-text secretap 
exit 
upstream-pool default 
server-type all 
upstream-server eltex 
exit 
enable 
exit 
radius-server host 127.0.0.1 
key ascii-text secretap 
exit 
aaa radius-profile default_radius 
radius-server host 127.0.0.1 
exit 

vlan 110 
name "AP_man" 
exit 
vlan 115 
name "AP_users" 
force-up 
exit 
vlan 250 
name "Management" 
exit 

security zone sync 
exit 
security zone trusted 
exit 
security zone untrusted 
exit 
security zone users 
exit 

bridge 1 
vlan 1 
security-zone sync 
ip address 192.51.100.254/24 unit 1 
ip address 192.51.100.253/24 unit 2 
vrrp id 1 
vrrp ip 192.51.100.1/24 
vrrp group 1 
vrrp 
enable 
exit 
bridge 10 
vlan 110 
ip firewall disable 
ip address 10.110.0.1/24 
no spanning-tree 
enable 
exit 
bridge 15 
vlan 115 
mtu 1458 
security-zone users 
ip firewall disable 
ip address 10.115.0.1/24 
no spanning-tree 
enable 
exit 
bridge 25 
vlan 250 
security-zone trusted 
ip firewall disable 
ip address 10.250.0.200/24 unit 1 
ip address 10.250.0.201/24 unit 2 
no spanning-tree 
enable 
exit 

interface port-channel 1 
mode switchport 
switchport mode trunk 
switchport trunk allowed vlan add 110,250 
exit 
interface gigabitethernet 1/0/1 
description vrrp 
mode switchport 
exit 
interface gigabitethernet 1/0/3 
description to_MES2300-24_stack 
mode switchport 
channel-group 1 mode auto 
exit 
interface gigabitethernet 1/0/4 
description to_MES2300-24_stack 
mode switchport 
channel-group 1 mode auto 
exit 
interface gigabitethernet 2/0/1 
description vrrp 
mode switchport 
exit 
interface gigabitethernet 2/0/3 
description to_MES2300-24_stack 
mode switchport 
channel-group 1 mode auto 
exit 
interface gigabitethernet 2/0/4 
description to_MES2300-24_stack 
mode switchport 
channel-group 1 mode auto 
exit 

tunnel softgre 1 
mode data 
local address 10.110.0.1 
default-profile 
enable 
exit 

snmp-server 
snmp-server community public v2c ro 
snmp-server community private v2c rw 

snmp-server host 10.250.0.100 
exit 

snmp-server enable traps snmp 
snmp-server enable traps snmp authentication 
snmp-server enable traps snmp coldstart 
snmp-server enable traps snmp linkdown 
snmp-server enable traps snmp linkup 

security zone-pair sync self 
rule 1 
action permit 
match protocol vrrp 
enable 
exit 
exit 
security zone-pair trusted untrusted 
rule 10 
action permit 
enable 
exit 
rule 20 
action permit 
match protocol tcp 
match destination-port object-group airtune 
enable 
exit 
rule 30 
action permit 
match protocol tcp 
match destination-port object-group web 
enable 
exit 
exit 
security zone-pair trusted trusted 
rule 10 
action permit 
enable 
exit 
exit 
security zone-pair trusted self 
rule 10 
action permit 
match protocol tcp 
match destination-port object-group ssh 
enable 
exit 
rule 20 
action permit 
match protocol icmp 
exit 
rule 30 
action permit 
match protocol udp 
match destination-port object-group ntp 
enable 
exit 
rule 40 
action permit 
match protocol tcp 
match destination-port object-group dns 
enable 
exit 
rule 50 
action permit 
match protocol udp 
match destination-port object-group dns 
enable 
exit 
rule 60 
action permit 
match protocol udp 
match destination-port object-group radius_auth 
enable 
exit 
rule 70 
action permit 
match protocol gre 
enable 
exit 
rule 80 
action permit 
match protocol udp 
match source-address address-range 192.168.71.8 
match destination-port port-range 161 
enable 
exit 
rule 90 
description "SSH traffic from ECCM" 
action permit 
match protocol tcp 
match source-address address-range 192.168.71.8 
match destination-port port-range 22 
enable 
exit 
exit 
security zone-pair users self 
rule 10 
action permit 
match protocol icmp 
enable 
exit 
rule 20 
action permit 
match protocol tcp 
match destination-port object-group dns 
enable 
exit 
rule 30 
action permit 
match protocol udp 
match destination-port object-group dns 
enable 
exit 
exit 
security zone-pair untrusted self 
rule 10 
action permit 
match protocol udp 
match source-port object-group dhcp_server 
match destination-port object-group dhcp_client 
enable 
exit 
exit 
security zone-pair users untrusted 
rule 10 
action permit 
enable 
exit 
exit 

softgre-controller 
nas-ip-address 127.0.0.1 
data-tunnel configuration wlc 
aaa radius-profile default_radius 
keepalive-disable 
service-vlan add 115 
enable 
exit 

wlc 
outside-address 10.110.0.1 
service-activator 
aps join auto 
exit 
airtune 
enable 
exit 
ap-location default-location 
mode tunnel 
ap-profile default_airtune 
airtune-profile big_office
ssid-profile default-ssid 
exit 
airtune-profile default_airtune 
load-balance 
exit 
airtune-profile big_ofice 
eltex-rrm-scan disable 
optimization time 02:00 
optimization mode time 
hd-mode 
802.11v disable 
exit 
airtune-profile big_office 
load-balance 
exit 
ssid-profile default-ssid 
description "default-ssid" 
ssid "default-ssid" 
radius-profile default-radius 
vlan-id 115 
security-mode WPA2_1X 
band 2g 
band 5g 
enable 
exit 
ap-profile default_airtune 
password ascii-text secretap 
exit 
radius-profile SSID-radius 
auth-address 10.110.0.1 
auth-password ascii-text secretap 
auth-acct-id-send 
acct-enable 
acct-address 10.110.0.1 
acct-password ascii-text secretap 
exit 
radius-profile default-radius 
auth-address secretap 
auth-password ascii-text secretap 
exit 
radius-profile external-radius 
auth-address 10.110.0.1 
auth-password ascii-text secretap 
acct-enable 
acct-address 10.110.0.1 
acct-password ascii-text secretap 
exit 
ip-pool default-ip-pool 
ap-location default-location 
exit 
enable 
exit 

ip ssh server 

clock timezone gmt +7 

ntp enable 
ntp server 10.250.0.55 
prefer 
minpoll 4 
exit 

ip https server

Полезные ссылки

Документы и версии ПО для устройств производства компании Eltex

Конфигурация коммутатора средствами replace config на MES2300-xx/MES3300-xx/MES53xxA/MES5310-48/MES5400-xx/MES5410-xx/MES5500-32

Кластеризация контроллера WLC

Схемы использования DHCP-сервера для контроллера WLC

Управление контроллером WLC посредством WEB-интерфейса

WLC troubleshooting guide

Мониторинг и конфигурирования WLC в кластере

Настройка отказоустойчивой системы ECCM

Установка NAC системы NAICE с резервированием (с использованием VRRP)

Установка NAC системы NAICE с резервированием (без использования VRRP)

Настройка выдачи динамического VLAN клиенту (cVLAN) в NAC системе NAICE

Настройка выдачи nACL в NAC системе NAICE

Настройка выдачи динамического ACL клиенту (dACL) в NAC системе NAICE

Настройка Captive Portal на контроллере WLC и в NAC системе NAICE

Настройка 802.1x авторизации в связке WLC+AP в NAC системе NAICE

Дерево страниц

История страницы

Сравнение версий

Старая версия 1

Новая версия 2

Ключ

Введение

Настройка коммутаторов уровня доступа

DHCP Snooping

Dynamic ARP Inspection

IP Source Guard

Якорь8021x8021x802.1x

Storm Control

Loopback Detection

Telnet/SSH

Management ACL

Port isolation

Voice VLAN

Syslog

Backup конфигурации на удаленном сервере

NTP

Настройка коммутаторов уровня агрегации

Стекирование

Агрегация каналов

Настройка коммутаторов уровня ядра

VPC

Настройка коммутаторов серверной зоны

DHCP Relay

Настройка маршрутизаторов

Syslog

Archive

SSH

LLDP

NTP

Настройка IP-связности с вышестоящими провайдерами

SNMP

Агрегация каналов

VRRP

BGP

IP SLA

Source NAT

Настройка телефонии

Настройка IP-АТС

ЯкорьEnterToWebEnterToWeb Первоначальный вход в web-интерфейс

Настройка IP-АТС для подключения к коммутаторам

ЯкорьPbxIPPbxIP Настройка IP-адреса IP-АТС

Установка лицензии

Настройка сетевой связности между телефонными аппаратами и IP-АТС

Создание SIP-профиля на IP-АТС

Добавление имени домена

Создание SIP-абонентов

Сохранение конфигурации

Мониторинг регистрации SIP-абонентов

Настройка IP-телефона через web-интерфейс

Настройка Wi-Fi контроллера серии WLC

Якорьphys_intphys_intНастройка физических интерфейсов

Настройка физических интерфейсов в режиме switchport, создание Port Channel

Терминирование трафика SoftGRE-туннелей

Якорьsoftgre_tunsoftgre_tunНастройка SoftGRE-туннелей

Настройка SoftGRE-контроллера туннелей

Настройка и включение функционала автоматического поднятия SoftGRE-туннелей

Настройка сервисов

ЯкорьDHCP_configDHCP_configНастройка DHCP

ЯкорьRADIUS_configRADIUS_configНастройка RADIUS

Настройка проксирования на внешний RADIUS-сервер

Настройка внешнего сервера (virtual-server)

Настройка модуля управления конфигурацией точками доступа

Точки доступа: прямое взаимодействие с внешним RADIUS-сервером

ЯкорьSSID_confSSID_confНастройка SSID

Настройка авторизации PSK

Настройка Enterprise-авторизации

Настройка портальной авторизации

Настройка AirTune

Добавление сетевого оборудования в систему мониторинга ECCM

Конфигурирование коммутаторов MES для взаимодействия с ECCM

Конфигурирование маршрутизаторов ESR для взаимодействия с ECCM

Конфигурирование контроллера WLC для взаимодействия с ECCM

Добавление сетевого оборудования в систему мониторинга ECCM

Добавление сетевого оборудования в систему контроля сетевого доступа NAICE

Конфигурирование коммутаторов MES для взаимодействия с NAICE

Якорь
8021x
8021x
802.1x

Якорь
EnterToWeb
EnterToWeb
Первоначальный вход в web-интерфейс

Якорь
PbxIP
PbxIP
Настройка IP-адреса IP-АТС

Якорь
phys_int
phys_int
Настройка физических интерфейсов

Якорь
softgre_tun
softgre_tun
Настройка SoftGRE-туннелей

Якорь
DHCP_config
DHCP_config
Настройка DHCP

Якорь
RADIUS_config
RADIUS_config
Настройка RADIUS

Якорь
SSID_conf
SSID_conf
Настройка SSID