Сравнение версий

Старая версия 1

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия 2

changes.mady.by.user Сервисный центр Ethernet

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

ШагОписаниеКомандаКлючи
1Добавить сетевой мост (bridge) в систему и перейти в режим настройки его параметров.

esr(config)# bridge <BRIDGE-ID>

<BRIDGE-ID> – идентификационный номер моста, принимает значения в диапазоне:

  • для ESR-10/12V(F)/
    15/15R/15VF – [1..50];
  • для ESR-20/21/30/31/
    100/200 – [1..250];
  • для ESR-1000/1200/
    1500/1511 (rev.B)/1700/3100/
    3200/3200L/3250/3250/3300/3350/
    3350 – [1..500].

2

Активировать сетевой мост.

esr(config-bridge)# enable


3

Указать экземпляр VRF, в котором будет работать данный интерфейс (необязательно).

esr(config-bridge)# ip vrf forwarding <VRF>

<VRF> – имя VRF, задается строкой до 31 символа.

4

Назначить описание конфигурируемому сетевому мосту (необязательно).

esr(config-bridge)# description <DESCRIPTION>

<DESCRIPTION> – описание сетевого моста, задаётся строкой до 255 символов.

5

Связать саб-интерфейс, qinq-интерфейс, L2GRE-туннель или L2TPv3-туннель с сетевым мостом. Связанные интерфейсы/туннели и сетевые мосты автоматически становятся участниками общего L2-домена (необязательно).

esr(config-if-gi)# bridge-group <BRIDGE-ID>

esr(config-if-l2tpv3)# bridge-group <BRIDGE-ID>

<BRIDGE-ID> – идентификационный номер моста, принимает значения в диапазоне:

  • для ESR-10/12V(F)/
    15/15R/15VF – [1..50];
  • для ESR-20/21/30/
    31/100/200 – [1..250];
  • для ESR-1000/1200/
    1500/1511 (rev.B)/1700/3100/
    3200/3200L/3250/3250/3300/3350/
    3350 – [1..500].

6

Связать текущий сетевой мост с VLAN. Все интерфейсы и L2-туннели, являющиеся членами назначаемого VLAN, автоматически включаются в сетевой мост и становятся участниками общего L2-домена (необязательно).

esr(config-bridge)# vlan <VID>

<VID> – идентификатор VLAN, задаётся в диапазоне [1..4094].

7

Указать размер MTU (Maximum Transmition Unit) пакетов, которые может пропускать данный bridge (необязательно; возможно, если в bridge включен только VLAN).
MTU более 1500 будет активно только в случае применения команды "system jumbo-frames".

esr(config-bridge)# mtu <MTU>

<MTU> – значение MTU, принимает значения в диапазоне:

  • для ESR-10/12V(F)/15/
    15R/15VF – [552..9600];
  • для ESR-20/21/30/
    31 – [552..9500];
  • для ESR-100/200/
    1000/1200/1500/
    1511 (rev.B)/1700/3100/
    3200/3200L/
    3250/3250/3300/3350/
    3350 – [552..10000].

Значение по умолчанию: 1500.

8Указать IPv4/IPv6-адрес и маску подсети для конфигурируемого интерфейса или включить получение IP-адреса динамически.

esr(config-bridge)# ip address <ADDR/LEN> [unit <ID>]

или

esr(config-bridge)# ip address <ADDR/LEN> secondary [unit <ID>]

<ADDR/LEN> – IP-адрес и длина маски подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].

<ID> – номер юнита, принимает значения [1..4].

Ключ secondary указывает, что настроенный адрес является дополнительным IP-адресом. Если это ключевое слово отсутствует, настроенный адрес является основным IP-адресом. Возможно указать до 7 дополнительных IP-адресов.

Дополнительные функции IPv4-адресации см. в разделе Настройка IP-адресации.

esr(config-bridge)# ipv6 address <IPV6-ADDR/LEN> [unit <ID>]

<IPV6-ADDR/LEN> – IP-адрес и префикс подсети, задаётся в виде X:X:X:X::X/EE, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и EE принимает значения [1..128].

<ID> – номер юнита, принимает значения [1..4].

Дополнительные функции IPv6-адресации см. в разделе Настройка IPv6-адресации.

Можно указать несколько IPv4/IPv6-адресов перечислением через запятую. Может быть назначено до 8 IPv4/IPv6-адресов на интерфейс.

esr(config-bridge)# ip address dhcp

Дополнительные функции при работе DHCP-клиента см. в разделе Управление DHCP-клиентом.

9

Отключить на интерфейсе функции Firewall или включить интерфейс в зону безопасности (см. раздел Конфигурирование Firewall).

esr(config-bridge)# ip firewall disable


esr(config-bridge)# security-zone <NAME>

<NAME> – имя зоны безопасности, задаётся строкой до 31 символа.

10Включить запись статистики использования текущего интерфейса (необязательно).

esr(config-bridge)# history statistics


11

Задать интервал времени, за который усредняется статистика о нагрузке на bridge (необязательно).

esr(config-bridge)# load-average <TIME>

<TIME> – интервал в секундах, принимает значения [5..150].

Значение по умолчанию: 5.

12

Задать MAC-адрес сетевого моста, отличный от системного (необязательно).

esr(config-bridge)# mac-address <ADDR>

<ADDR> – МАС-адрес сетевого моста, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].

13

Включить на bridge режим изоляции интерфейсов.
В данном режиме обмен трафиком между членами сетевого моста запрещен (необязательно).

Командой protected-ports exclude {<IF> | <TUN> | <VLAN>} исключаются из списка изолируемых сущности, включенные в сетевой мост.

esr(config-bridge)# protected-ports <MODE> 

  • none – изоляция интерфейсов отключена. В данном режиме коммутация кадров между членами сетевого моста разрешена;
  • local – изоляция интерфейсов включена. В данном режиме коммутация кадров между членами сетевого моста запрещена;
  • radius – изоляция интерфейсов включена. Для использования данного режима требуется настройка Wi-Fi контроллера туннелей в режиме "radius". В данном режиме коммутация кадров между членами сетевого моста запрещена, за исключением SoftGRE DATA туннелей. Для SoftGRE DATA-туннелей параметры изоляции запрашиваются у RADIUS-сервера.
esr(config-bridge)# protected-ports exclude {<IF> | <TUN> | <VLAN>}

<IF> – интерфейс, задается в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.

<TUN> – имя туннеля, задается в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.

<VLAN> – vlan, связанный с сетевым мостом.

14

Запретить коммутацию трафика unknown-unicast (когда MAC-адрес назначения не содержится в таблице коммутации) в данном bridge (необязательно; применимо только на ESR-1000/1200/1500/1511/1700/
3100/3200/3200L/3250/3250/3300/3350/3350).

esr(config-bridge)# unknown-unicast-forwarding disable


15

Установить время жизни IPv4/IPv6-записей в ARP-таблице, изученных на данном bridge (необязательно).

esr(config-bridge)# ip arp reachable-time <TIME>

или

esr(config-bridge)# ipv6 nd reachable-time <TIME>

<TIME> – время жизни динамических MAC-адресов, в миллисекундах. Допустимые значения от 5000 до 100000000 миллисекунд. Реальное время обновления записи варьируется от [0,5;1,5]*<TIME>.

Также для bridge-интерфейса возможно настроить:

...

Scroll Pagebreak
Пример настройки bridge для VLAN и L2TPv3-туннеля

Задача:

Объединить в единый L2-домен интерфейсы маршрутизатора, относящиеся к локальной сети, и L2TPv3-туннель, проходящий по публичной сети. Для объединения использовать VLAN 333.

Image Removed

Решение:

Создадим VLAN 333:

Блок кода
esr(config)# vlan 333
esr(config-vlan)# exit

Создадим зону безопасности «trusted»:

Блок кода
esr(config)# security-zone trusted
esr(config-zone)# exit

Добавим интерфейсы gi1/0/11, gi1/0/12 в VLAN 333:

Блок кода
esr(config)# interface gigabitethernet 1/0/11-12
esr(config-if)# mode switchport
esr(config-if)# switchport general allowed vlan add 333 tagged

Создадим bridge 333, привяжем к нему VLAN 333 и укажем членство в зоне «trusted»:

Блок кода
esr(config)# bridge 333
esr(config-bridge)# vlan 333
esr(config-bridge)# security-zone trusted
esr(config-bridge)# enable

Установим принадлежность L2TPv3-туннеля к мосту, который связан с локальной сетью (настройка L2TPv3-туннеля рассматривается в разделе Настройка L2TPv3-туннелей). В общем случае идентификаторы моста и туннеля не должны совпадать с VID, как в данном примере.

Блок кода
esr(config)# tunnel l2tpv3 333
esr(config-l2tpv3)# bridge-group 333

...

Задача:

Настроить маршрутизацию между VLAN 50 (10.0.50.0/24) и VLAN 60 (10.0.60.0/24). VLAN 50 должен относиться к зоне «LAN1», VLAN 60 – к зоне «LAN2». Необходимо разрешить свободную передачу трафика между зонами.

Image Removed

Решение:

Создадим VLAN 50, 60:

Блок кода
esr(config)# vlan 50,60
esr(config-vlan)# exit

Создадим зоны безопасности «LAN1» и «LAN2»:

Блок кода
esr(config)# security-zone LAN1
esr(config-zone)# exit
esr(config)# security-zone LAN2
esr(config-zone)# exit

Назначим интерфейсам gi1/0/11, gi1/0/12 VLAN 50:

Блок кода
esr(config)# interface gigabitethernet 1/0/11-12
esr(config-if-gi)# switchport general allowed vlan add 50 tagged

Назначим интерфейсу gi1/0/14 VLAN 60:

Блок кода
esr(config)# interface gigabitethernet 1/0/14
esr(config-if-gi)# switchport general allowed vlan add 60 tagged

Создадим bridge 50, привяжем VLAN 50, укажем IP-адрес 10.0.50.1/24 и членство в зоне «LAN1»:

Блок кода
esr(config)# bridge 50
esr(config-bridge)# vlan 50
esr(config-bridge)# ip address 10.0.50.1/24
esr(config-bridge)# security-zone LAN1
esr(config-bridge)# enable

Создадим bridge 60, привяжем VLAN 60, укажем IP-адрес 10.0.60.1/24 и членство в зоне «LAN2»:

Блок кода
esr(config)# bridge 60
esr(config-bridge)# vlan 60
esr(config-bridge)# ip address 10.0.60.1/24
esr(config-bridge)# security-zone LAN2
esr(config-bridge)# enable

Создадим правила в Firewall, разрешающие свободное прохождение трафика между зонами:

Блок кода
esr(config)# security zone-pair LAN1 LAN2
esr(config-zone-pair)# rule 1
esr(config-zone-pair-rule)# action permit
esr(config-zone-pair-rule)# enable
esr(config-zone-pair-rule)# exit
esr(config-zone-pair)# exit
esr(config)# security zone-pair LAN2 LAN1
esr(config-zone-pair)# rule 1
esr(config-zone-pair-rule)# action permit
esr(config-zone-pair-rule)# enable
esr(config-zone-pair-rule)# exit
esr(config-zone-pair)# exit
esr(config)# exit

Посмотреть членство интерфейсов в мосте можно командой:

Блок кода
esr# show interfaces bridge

Пример настройки добавления/удаления второго VLAN-тега

Задача:

На интерфейс gigabitethernet 1/0/1 поступают Ethernet-кадры с различными VLAN-тегами. Необходимо перенаправить их в интерфейс gigabitethernet 1/0/2, добавив второй VLAN-ID 828. При поступлении на интерфейс gigabitethernet 1/0/2 Ethernet-кадров с VLAN-ID 828 данный тег должен быть удален и отправлен в интерфейс gigabitethernet 1/0/1.

Решение:

Создадим на маршрутизаторе bridge без VLAN и без IP-адреса:

Блок кода
esr(config)# bridge 1
esr(config-bridge)# enable 
esr(config-bridge)# exit

Включим интерфейс gigabitethernet 1/0/1 в bridge 1:

Блок кода
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# bridge-group 1
esr(config-if-gi)# exit

Scroll Pagebreak

Включим саб-интерфейс gigabitethernet 1/0/2.828 в bridge 1:

Блок кода
esr(config)# interface gigabitethernet 1/0/2.828
esr(config-if-sub)# bridge-group 1
esr(config-if-sub)# exit
Примечание

При добавлении второго VLAN-тега в Ethernet-кадр его размер увеличивается на 4 байта. На интерфейсе маршрутизатора gigabitethernet 1/0/2 и на всем оборудовании, передающем Q-in-Q кадры, необходимо увеличить MTU на 4 байта или более.

Настройка Dual-Homing

Примечание

В текущей версии ПО функция поддерживается только на маршрутизаторе ESR-1000.

Dual-Homing – технология резервирования соединений, позволяет организовать надежное соединение ключевых ресурсов сети на основе наличия резервных линков.

Алгоритм настройки

...

Шаг

...

Описание

...

Команда

...

Ключи

...

1

...

Указать резервный интерфейс, на который будет происходить переключение при потере связи на основном.

...

esr(config-if-gi)# backup interface<IF> vlan <VID>

...

<IF> – интерфейс, на который будет происходить переключение.

<VID> – идентификационный номер VLAN, задаётся в диапазоне [2…4094].

Можно также задать диапазоном через «-» или перечислением через «,».

...

2

...

Указать количество копий пакетов с одним и тем же MAC-адресом, которые будут отправлены в активный интерфейс при переключении (необязательно).

...

esr(config)# backup-interface mac-duplicate <COUNT>

...

<COUNT> – количество копий пакетов, принимает значение [1..4].

...

3

...

Указать количество пакетов в секунду, которое будет отправлено в активный интерфейс при переключении (необязательно).

...

esr(config)# backup-interfacemac-per-second<COUNT>

...

<COUNT> – количество MAC-адресов в секунду, принимает значение [50..400].

...

4

...

Указать, что необходимо осуществить переключение на основной интерфейс при восстановлении связи (необязательно).

...

esr(config)# backup-interface preemption

Пример настройки

Задача:

Организовать резервирование L2-соединений маршрутизатора ESR для VLAN 50-55 через устройства SW1 и SW2.

Image Removed

Решение:

Предварительно нужно выполнить следующие действия:

Создадим VLAN 50-55:

Блок кода
esr(config)# vlan 50-55

Необходимо отключить STP на интерфейсах gigabitethernet 1/0/9 и gigabitethernet 1/0/10, так как совместная работа данных протоколов невозможна:

Блок кода
esr(config)# interface gigabitethernet 1/0/9-10
esr(config-if-gi)# spanning-tree disable

Интерфейсы gigabitethernet 1/0/9 и gigabitethernet 1/0/10 добавим в VLAN 50-55 в режиме general:

Блок кода
esr(config-if-gi)# switchport general allowed vlan add 50-55
esr(config-if-gi)# exit

Основной этап конфигурирования:

Сделаем интерфейс gigabitethernet 1/0/10 резервным для gigabitethernet 1/0/9:

Блок кода
esr(config)# interface gigabitethernet 1/0/9
esr(config-if-gi)# backup interface gigabitethernet 1/0/10 vlan 50-55

Просмотреть информацию о резервных интерфейсах можно командой:

Блок кода
esr# show interfaces backup

Настройка зеркалирования (SPAN/RSPAN)

Примечание

В текущей версии ПО функция удаленного зеркалирования (RSPAN) поддерживается только на маршрутизаторах ESR-1000/1200/1500/1511/1700.

Зеркалирование трафика – функция маршрутизатора, предназначенная для перенаправления трафика с одного порта маршрутизатора на другой порт этого же маршрутизатора (локальное зеркалирование) или на удаленное устройство (удаленное зеркалирование).

Алгоритм настройки

...

Шаг

...

Описание

...

Команда

...

Ключи

...

1

...

Определить VLAN, по которому будет передаваться отзеркалированный трафик (в случае использования удаленного зеркалирования).

...

esr(config)# port monitor remote vlan <VID> <DIRECTION>

...

<VID> – идентификационный номер VLAN, задаётся в диапазоне [2…4094];

<DIRECTION> – направление трафика:

  • tx – зеркалирование в указанный VLAN только исходящего трафика;
  • rx – зеркалирование в указанный VLAN только входящего трафика.

...

2

...

Включить режим удаленного зеркалирования (в случае использования удаленного зеркалирования).

...

esr(config)# port monitor remote

...

3

...

Определить режим порта, передающего отзеркалированный трафик (необязательно).

...

esr(config)# port monitor mode <MODE>

...

<MODE> – режим:

  • network – совмещенный режим передачи данных и зеркалирование (по умолчанию);
  • monitor-only – только зеркалирование.

...

4

...

В режиме конфигурации интерфейса включить зеркалирование.

...

esr(config-if-gi)# port monitor interface <IF> [ <DIRECTION> ]

...

<IF> – интерфейс, c которого будут зеркалироваться кадры;

<DIRECTION> – направление трафика:

  • tx – зеркалирование только исходящего трафика;
  • rx – зеркалирование только входящего трафика.

Пример настройки

Задача:

Организовать удаленное зеркалирование трафика по VLAN 50 с интерфейса gi1/0/11 для передачи на сервер для обработки.

Image Removed

Решение:

Предварительно нужно выполнить следующие действия:

  • Создать VLAN 50;
  • На интерфейсе gi 1/0/5 добавить VLAN 50 в режиме general.

Основной этап конфигурирования:

Укажем VLAN, по которой будет передаваться зеркалированный трафик:

Блок кода
еsr1000(config)# port monitor remote vlan 50

На интерфейсе gi 1/0/5 укажем порт для зеркалирования:

Блок кода
еsr1000(config)# interface gigabitethernet 1/0/5
еsr1000(config-if-gi)# port monitor interface gigabitethernet 1/0/11

Укажем на интерфейсе gi 1/0/5 режим удаленного зеркалирования:

Блок кода
еsr1000(config-if-gi)# port monitor remote

Настройка LACP

LACP — протокол для агрегирования каналов, позволяет объединить несколько физических каналов в один логический. Такое объединение позволяет увеличивать пропускную способность и надежность канала.

Алгоритм настройки

ШагОписаниеКомандаКлючи
1Установить приоритет системы для протокола LACP.

esr(config)# lacp system-priority <PRIORITY>

<PRIORITY> – приоритет, указывается в диапазоне [1..65535].

Значение по умолчанию: 1.

2

Установить механизм балансировки нагрузки для групп агрегации каналов.

esr(config)# port-channel load-balance { src-dst-mac-ip |
src-dst-mac | src-dst-ip | src-dst-mac-ip-port }

  • src - dst - mac - ip – механизм балансировки основывается на MAC-адресе и IP-адресе отправителя и получателя;
  • src - dst - mac – механизм балансировки основывается на MAC-адресе отправителя и получателя;
  • src - dst - ip – механизм балансировки основывается на IP-адресе отправителя и получателя;
  • src - dst - mac - ip - port – механизм балансировки основывается на MAC-адресе, IP-адресе и порте отправителя и получателя.

3

Установить административный таймаут протокола LACP.

esr(config)# lacp timeout {short | long }

  • long – длительное время таймаута;
  • short – короткое время таймаута.

Значение по умолчанию: long.

4



Создать и перейти в режим конфигурирования агрегированного интерфейса.



esr(config)# interface port-channel { <ID> | <UNIT>/<ID> }

<UNIT> – номер устройства в группе устройств [1..4].

<CH> – порядковый номер группы агрегации каналов, принимает значения [1..12].

esr(config)# interface port-channel { <ID> | <UNIT>/<ID> }.<S-VLAN>

<UNIT> – номер устройства в группе устройств [1..4].

<CH> – порядковый номер группы агрегации каналов, принимает значения [1..12].

<S-VLAN> – идентификатор создаваемого S-VLAN.

esr(config)# interface port-channel { <ID> | <UNIT>/<ID> }.<S-VLAN>.<C-VLAN>
<C-VLAN> – идентификатор создаваемого C-VLAN.

5

Настроить необходимые параметры агрегированного канала.

esr(config-if-port-channel)# mode switchport

Установить интерфейс в режим L2

esr(config-if-port-channel)# mode routerport
Установить интерфейс в режим L3
6Задать скорость (необязательно).esr(config-if-port-channel)# speed <SPEED>

<SPEED> – значение скорости:

  • 10M – значение скорости 10 Мбит/с;
  • 100M – значение скорости 100 Мбит/с;
  • 1000M – значение скорости 1000 Мбит/с;
  • 10G – значение скорости 10 Гбит/с;
  • 25G – значение скорости 25 Гбит/с;
  • 40G – значение скорости 40 Гбит/с;
  • 100G – значение скорости 100 Гбит/с;

Параметр наследуют все физические интерфейсы, принадлежащие данной группе агрегации каналов.

Значение по умолчанию: 1000M

7Изменить размер MTU (MaximumTransmitionUnit). MTU более 1500 будет активно, только если применена команда system jumbo-frames (необязательно).esr(config-if-port-channel)# mtu <MTU>

<MTU> – значение MTU в байтах.

Параметр наследуют все физические интерфейсы, принадлежащие данной группе агрегации каналов.

Значение по умолчанию: 1500.

8

Перейти в режим конфигурирования физического интерфейса.

esr(config)# interface <IF-TYPE><IF-NUM>

<IF-TYPE> – тип интерфейса (gigabitethernet или tengigabitethernet).

<IF-NUM> – U/S/P – U-юнит (1), S – слот (0), P – порт.

9

Включить физический интерфейс в группу агрегации каналов с указанием режима формирования группы агрегации каналов.

esr(config-if-gi)# channel-group <ID> mode <MODE>

<ID> – порядковый номер группы агрегации каналов, принимает значения [1..12].

<MODE> – режим формирование группы агрегации каналов:

  • auto – добавить интерфейс в динамическую группу агрегации с поддержкой протокола LACP;
  • on – добавить интерфейс в статическую группу агрегации.
10

Установить LACP-приоритет интерфейса Ethernet.

esr(config-if-gi)# lacp port-priority <PRIORITY>

<PRIORITY> – приоритет, указывается в диапазоне [1..65535].

Значение по умолчанию: 1.

11

Установить интервал времени, в течение которого собирается статистика о нагрузке на интерфейс (необязательно).

esr(config-if-gi)# load-average <TIME>

<TIME> – интервал в секундах, принимает значения [5..150].

12Включить запись статистики использования текущего интерфейса (необязательно).

esr(config-if-gi)# history statistics


Также для агрегированного интерфейса возможно настроить:

Пример настройки

Задача:

Настроить агрегированный канал между маршрутизатором ESR и коммутатором с помощью tengigabitethernet-интерфейсов со значением MTU 9000 в режиме Trunk для передачи всех VLAN, созданных на маршрутизаторе.


Решение:

Предварительная конфигурация:

...