...
| Примечание |
|---|
При использовании в конфигурации ESBC файлов сертификатов и ключей, например, в конфигурации криптопрофилей ESBC, загружаемых на устройство пользователем, необходимо наличие данных файлов на обоих юнитах в кластере. |
Загрузить файлы можно отдельно на каждый юнит кластера или использовать механизм синхронизации crypto-sync.
| Scroll Pagebreak |
|---|
Пример настройки crypto-sync
...
Задача.:
Использовать сертификаты CA.pem, CERT.pem и приватный ключ PRIVATE_KEY.key в конфигурации криптопрофиля ESBC.
Решение. :
- После описанной выше настройки кластера, настройте ip failover:
- Создайте две object-group, укажите в которых указать них IP-адреса кластерных интерфейсов обоих юнитов:
Блок кода ESBC-1# ESBC-1# configure ESBC-1(config)# object-group network SYNC_DST ESBC-1(config-object-group-network)# ip address-range 192.18.1.20 unit 1 ESBC-1(config-object-group-network)# ip address-range 192.18.1.10 unit 2 ESBC-1(config-object-group-network)# exit ESBC-1(config)# object-group network SYNC_SRC ESBC-1(config-object-group-network)# ip address-range 192.18.1.10 unit 1 ESBC-1(config-object-group-network)# ip address-range 192.18.1.20 unit 2 ESBC-1(config-object-group-network)# exit ESBC-1(config)#
- Настройте ip failover:
Блок кода ESBC-1(config)# ip failover ESBC-1(config-failover)# local-address object-group SYNC_SRC ESBC-1(config-failover)# remote-address object-group SYNC_DST ESBC-1(config-failover)# vrrp-group 2 ESBC-1(config-failover)# exit ESBC-1(config)#
- Создайте две object-group, укажите в которых указать них IP-адреса кластерных интерфейсов обоих юнитов:
- Включите синхронизацию файлов crypto и применить примените настройки:
Блок кода ESBC-1(config)# crypto-sync ESBC-1(config-crypto-sync)# remote-delete ESBC-1(config-crypto-sync)# enable ESBC-1(config-crypto-sync)# exit ESBC-1(config)# do commit ESBC-1(config)# do confirm
- Загрузите сертификаты и приватный ключ на мастер, используя, например, tftp:
Блок кода ESBC-1# ESBC-1# copy tftp://192.168.1.1:/CA.pem crypto:cert/CA.pem |******************************************| 100% (1277B) Crypto file loaded successfully! ESBC-1# ESBC-1# copy tftp://192.168.1.1:/CERT.pem crypto:cert/CERT.pem |******************************************| 100% (1155B) Crypto file loaded successfully! ESBC-1# ESBC-1# copy tftp://192.168.1.1:/PRIVATE_KEY.key crypto:private-key/PRIVATE_KEY.key |******************************************| 100% (1675B) Crypto file loaded successfully!
| Scroll Pagebreak |
|---|
4. Проверьте, что файлы сертификатов и приватного ключа были скопированы на второй юнит:
| Блок кода |
|---|
#Проверка состояния синхронизации crypto на мастер-юните:
ESBC-1# sh crypto-sync
Role: Master
State: Synchronized
Last synchronization: 2026-03-04 08:56:10
#Проверка наличия файлов на втором юните:
ESBC-2# dir crypto:cert/
Name |
...
Type Size Last modified
|
...
--------------------------------------- |
...
---------- -------- -- -------------------------
CA.pem |
...
File |
...
1.13 KB Wed Mar 4 08:37:43 2026 default_ca.pem File |
...
1.38 KB Wed Feb 25 11:06:17 2026 default_cert.pem |
...
|
...
File 1.22 KB Wed Feb 25 11:06:17 2026
CERT.pem |
...
File |
...
|
...
1.25 KB Wed Mar 4 08:37:25 2026
ESBC-2# dir crypto:private-key/
Name |
...
|
...
Type Size Last modified |
...
-------------------------------------- |
...
---------- -------- -- -------------------------
default_ca_key.pem |
...
File 1.66 KB Wed Feb 25 11:06:17 2026
default_cert_key.pem |
...
|
...
File 1.66 KB Wed Feb 25 11:06:17 2026
PRIVATE_KEY.key |
...
File 1.64 KB Wed Mar 4 08:38:04 2026
|
| Scroll Pagebreak |
|---|
5. Настройте криптопрофиль с загруженными сертификатами и приватным ключем на мастер-устройстве:
| Блок кода |
|---|
ESBC-1# ESBC-1# configure ESBC-1(config)# esbc ESBC-1(config-esbc)# crypto profile TEST ESBC-1(config-esbc-crypto-profile)# ca CA.pem ESBC-1(config-esbc-crypto-profile)# cert CERT.pem ESBC-1(config-esbc-crypto-profile)# private-key PRIVATE_KEY.key ESBC-1(config-esbc-crypto-profile)# exit ESBC-1(config-esbc)# exit ESBC-1(config)# do commit Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 120 seconds. ESBC-1(config)# do confirm Configuration has been confirmed. Commit timer canceled. vesbc1(config)# |
...
Развернуть кластер из двух vESBC в среде виртуализации VirtualBox 7.1.0.
Схема:
| Scroll Pagebreak |
|---|
Решение:
- Создайте виртуальную машину в VirtualBox, подробно описано в разделе Создание виртуальных машин Руководства по установке vESBC в среде виртуализации VirtualBox.
- Установите vESBC, подробно описано в разделе Установка vESBC Руководства по установке vESBC в среде виртуализации VirtualBox.
- Настройте сетевые интерфейсы:
- Настройка внешнего интерфейса(ов):
- Перейдите в настройки виртуальной машины, на которой установлен vESBC.
- Откройте меню "Сеть" и перейдите к настройкам "Адаптер 1".
- Включите сетевой интерфейс.
- Выберите тип подключения "Сетевой мост".
- Выберите, через какой физический интерфейс хостовой системы будет происходить подключение.
- Выберите тип адаптера "Intel PRO/1000MT Server (82545EM)".
- Выберите "Неразборчивый режим: Разрешить всё".
- Настройка кластерного интерфейса:
- Перейдите к настройкам второго интерфейса "Адаптер 2".
- Включите сетевой интерфейс.
- Выберите тип подключения "Внутренняя сеть".
- Укажите имя сети (по умолчанию intnet). При настройке второй виртуальной машины.
- Выберите тип адаптера "Паравитуальная сеть (virtio-net)".
- Выберите "Неразборчивый режим: Разрешить всё".
- Нажмите кнопку "OK"
- Настройка внешнего интерфейса(ов):
- Выполните пункты 1-3 для второй виртуальной машины vESBC.
...
| Примечание |
|---|
Для объединения в кластер vESBC предварительно необходимо сделать разные системные MAC-адреса на устройствах путем смены серийного номера. |
| Scroll Pagebreak |
|---|
Пример настройки кластера vESBC в гипервизоре QEMU/KVM
...
Развернуть кластер из двух vESBC в среде виртуализации QEMU/KVM на базе ОС Ubuntu 20.04.6 TLS.
Схема:
Решение:
- Создайте виртуальную машину в QEMU/KVM и установите vESBC удобным для Вас способом. Подробное описание создания виртуальной машины и процесс установки vESBC приведены в разделе документации Установка vESBC в системе виртуализации QEMU/KVM.
- Настройте сетевые интерфейсы:
- Настройка внешнего интерфейса(ов):
- Подключите сетевой интерфейс к виртуальной машине в одном из режимов, описанных в документации.
Примечание Не используйте режим интерфейса macvtap при организации каластера vESBC, т. к. при использовании протокола VRRP MAC-адрес vESBC будет отличаться отMAC-адреса сетевого интерфейса, и трафик не будет передаваться в виртуальную машину из-за особенностей реализации драйвера macvtap.
- Подключите сетевой интерфейс к виртуальной машине в одном из режимов, описанных в документации.
- Настройка кластерного интерфейса:
- Подключение кластерного интерфейса осуществляется аналогично с внешним интерфейсом. Для организации кластерного соединения двух vESBC можно использовать изолированный бридж хоста (без привязки физического интерфейса).
- Настройка внешнего интерфейса(ов):
- Выполните пункты 1-2 для второй виртуальной машины vESBC.
...
| Блок кода | ||
|---|---|---|
| ||
vesbc(config)# bridge 1 vesbc(config-bridge)# vlan 1 vesbc(config-bridge)# ip address dhcp vesbc(config-bridge)# enable vesbc(config-bridge)# do commit vesbc(config-bridge)# do confirm |
| Scroll Pagebreak |
|---|
Через несколько секунд после применения изменений начнётся процедура синхронизации:
...
| Блок кода | ||
|---|---|---|
| ||
vesbc-slave# show cluster status Unit Hostname Role MAC address State IP address ---- -------------------- ---------- ----------------- -------------- --------------- 1 vesbc-master Active aa:00:00:03:90:00 Joined 192.168.16.10 2* vesbc-slave Standby aa:00:00:04:10:00 Joined 192.168.16.20 vesbc-slave# show cluster sync status System part Synced ---------------------- ------ candidate-config Yes running-config Yes SW version Yes licence Yes licence (After reboot) Yes date Yes E-SBC version Yes |
| Scroll Pagebreak |
|---|