Eltex Documentation
Дерево страниц

Сравнение версий

Старая версия 16

changes.mady.by.user Сервисный центр Wi-Fi

Сохранено

по сравнению с

Новая версия 17

changes.mady.by.user Сервисный центр Wi-Fi

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление

Общие сведения

Пример реализации отказоустойчивой схемы включения ESR, работающих в режиме wireless-controller, изображен на рис. 1:

...

  • резервирование ESR осуществляется с помощью протокола VRRP, по схеме "Active-Standby";
  • для исключения коммутатора, к которому подключен ESR как единной единой точки отказа, используется включение в стек коммутаторов с использованием агрегирования каналов. Физические линки ESR, использующиеся в агрегированном канале включается в разные коммутаторы стека.

Обработку трафика выполняет ESR VRRP MASTER. В случае его отказа VRRP мастервство мастерство захватывает ESR VRRP BACKUP. Резервирование роутера "последней мили" (роутер NAT на рис. 1) в данной статье не рассматривается. Оно может быть выполнено так же с помощью VRRP или путем использования инной иной схемы включения (с данной схемой можно ознакомится в статье Настройка ESR в режиме wireless-controller с резервированием роутера "последней мили").

При использовании агрегации каналов на ESR нельзя использовать саб-интерфейсы на интерфейсе типа "port-channel".

Схема включения

Схема включения будет рассмотрена на примере реальной адресации, приведенной в таблице 1.

...

  1. Выход в сеть Интернет осуществляется в vlan 2301, используя для маршрута по умолчанию шлюз 172.16.0.1 (Роутер-NAT). Выпуск пользователей осуществляется путем маршрутизации на маршрутизатор router-NAT, который выполняет NAT трансляцию адресов пользователей в сеть Интернет.
  2. Сеть управления ESR находится в vlan 2300, подсеть 100.123.0.0/24, которая так же используется для взаимодействия с комплексом SoftWLC (ip-адрес 100.123.0.2).
  3. ТД получают первичный IP адрес  из сети 192.168.240.0/23  через DHCP-relay коммутатора/маршрутизатора с DHCP-сервера установленного на сервере с SoftWLC. В опции 43 подопции 11 и 12, передаются 2 адреса для поднятия GRE туннелей: 192.168.200.17 и 192.168.200.18 (см. описание опцийv1.1619_Как сконфигурировать 43 опцию и другие особенности настройки DHCP). В этом случае весь трафик от ТД будет нетегированным. ТД поднимают 2 EoGRE туннеля с первичного адреса, полученного по DHCP на адреса  полученные в 11 и 12 подопциях:
        - в Management GRE туннеле на адрес 192.168.200.17 с vlan id = 1, передается трафик управления ТД.
        - в Data GRE туннеле на адрес 192.168.200.18 с vlan id = N, идет передача трафика пользователей, подключенных ТД, на которой настроена SSID (в приведенном примере vlan 10 и 11).
  4. Через Management GRE туннель (vlan id 1) от АР приходят DHCP запросы, которые при помощи DHCP-relay на ESR, перенаправляются на SoftWLC. DHCP сервер, настроенный на SoftWLC, выдает для ТД IP адрес управления из сети 10.255.252.0/23, шлюзом будет выступать VRRP адрес 10.255.252.1 бриджа 3  3 ESR. В опции 43.10 передается адрес SoftWLC сервера: 100.123.0.2, (см. описание опций v1.1619_Как сконфигурировать 43 опцию и другие особенности настройки DHCP). По этому же адресу будет производить обмен служебной информацией между ТД и SoftWLC.
  5. На ТД с помощью комплекса SoftWLC настраиваются SSID 1 и SSID 2, которые будет тегировать трафик пользователя 10 и 11 тегом vlan соответственно. Весь трафик пользователей будет передаваться c vlan 10 и 11 внутри Data GRE туннеля на ESR. DHCP запросы клиента, при помощи DHCP-relay ESR будет перенаправляться на SoftWLC. Пользователи получают адреса из сети bridge 10 ESR 198.18.148.0/22, адрес шлюза 198.18.148.1. Пользователи bridge 11 ESR получают адреса из сети 198.18.152.0/22, адрес шлюза 198.18.152.1.

...

Существуют следующие требования к настройке VRRP:

  • все Все инстансы VRRP должны быть включены в одну группу, в настоящем примере это будет "vrrp group 1". Это приведет к тому, что все инстансы одной группы всегда будут находится в одинаковом состоянии - VRRP MASTER или BACKUP и не допустит неконсистентного допустит неконсистентного состояния VRRP, когда на одном ESR будут различные состояние VRRP на разных интерфейсах.
  • все Все инстансы VRRP каждого роутера должны иметь одинаковый приоритет - в настоящем примере для ESR VRRP MASTER - 200, для ESR VRRP BACKUP 100.
  • в В текущем примере используется настройка "vrrp preempt disable", которая запрещает перехват мастерства более высокоприоритетным инстансом VRRP, в случае, если более низкоприоритеный инстанс уже находится в состоянии "master" - она должна быть настроена одинаково на всех роутерах (можно отказаться от использования этой настройки, но это приведет к тому, что роутер с более высоким приоритетом VRRP всегда будет захватывать мастерство, что может привести к нежелательным переключениям мастерства).

Для включения фукнционала функционала VRRP на каждом бридже ESR Bridge ESR надо будет настроить:

Без форматирования
bridge <№>
  vrrp id <значение приоритета>
  vrrp ip <IP-адрес VRRP>
  vrrp priority <приоритет>
  vrrp group <№ группы>
  vrrp preempt disable
  vrrp
exit

Также на интерфейсах подсети адресов упарвления управления ТД и подсетей пользователей WiFi необходимо включить:

...

Настройка "ports vrrp filtering enable" запретит рассылку VRRP-анонсов в туннели пользователей, а настройка "ports vrrp filtering exclude vlan" разрешит рассылку VRRP-анонсов в влане бриджа для коректной vlan Bridge для корректной работы VRRP.

Примечание
titleВажно!

В случае, если не используется настройка "vrrp preempt disable" необходимо в конфигуарциях конфигурациях VRRP на интерфейсах задать "vrrp preempt delay <время в секундах>" не менее 180 секунд. Это исключит немедленный захват мастерства роутером, имеющим более высокий приоритет после загрузки. В случае, если это не сделать, роутер, захвативший VRRP мастерство после загрузки не успеет синхронизировать состояние тунелей ТД и они будут подниматься заново, по мере срабатывания на ТД механизма gre keepalive.

Более подробное описание параметров настроек VRRP можно посмотреть: Управление резервированием.

Настройка ESR

Настройка ESR будет рассматриваться на примере на основе схемы, приведенной на рис. 3. В конфигурации wireless-controller будет использоваться динамический профиль конфигурирования туннелей SoftGRE. Не забываем,  что дял для доступа к функционала wirless-controller требуется лицензия (подробнее можно прочитать в статье Настройка ESR при подключении ТД через L3 сеть доступа (схема WiFi L3)).

...

Примечание
titleВажно!

Если в конфигурации port-channel изпользуются используются tengigabitethernet интерфейсы - необходимо явно указать скороcть скорость на интерфейсе port-channel:

Раскрыть
titleПример


Без форматирования
interface port-channel 1
  mode switchport
  speed 10G
exit
interface tengigabitethernet 1/0/1
  mode switchport
  channel-group 1 mode auto
exit
interface tengigabitethernet 1/0/2
  mode switchport
  channel-group 1 mode auto
exit


Скорость "speed 1000M" является значением по умолчанию и в конфигурации не отображается.

...

Далее настроим интерфейсы типа bridge для терминации вланов типа Bridge для терминации  vlan и работы VRRP:

Раскрыть
titleESR VRRP MASTER


Без форматирования
bridge 1
  vlan 2308
  security-zone gre
  ip address 192.168.200.19/28
  vrrp id 1
  vrrp ip 192.168.200.17/32
  vrrp ip 192.168.200.18/32 secondary
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
  enable
exit
bridge 3
  vlan 3
  unknown-unicast-forwarding disable
  security-zone trusted
  ip address 10.255.252.2/23
  ip helper-address 100.123.0.2
  vrrp id 3
  vrrp ip 10.255.252.1/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  protected-ports local
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit
bridge 4
  vlan 2300
  security-zone trusted
  ip address 100.123.0.173/24
  vrrp id 23
  vrrp ip 100.123.0.175/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  enable
exit
bridge 5
  vlan 2301
  security-zone untrusted
  ip address 172.16.0.2/28
  vrrp id 5
  vrrp ip 172.16.0.4/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400  
  enable
exit
bridge 10
  vlan 10
  unknown-unicast-forwarding disable
  security-zone user
  ip firewall disable
  ip address 198.18.148.2/22
  vrrp id 10
  vrrp ip 198.18.148.1/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  location data10
  protected-ports radius
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit
bridge 11
  vlan 11
  unknown-unicast-forwarding disable
  security-zone user
  ip firewall disable
  ip address 198.18.152.2/22
  ip helper-address 100.123.0.2
  vrrp id 11
  vrrp ip 198.18.152.1/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  location data11
  protected-ports radius
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit


...

Раскрыть
titleESR VRRP BACKUP


Без форматирования
#!/usr/bin/clish
#18
#1.11.4
hostname esr-backup

object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit

object-group network MGMT
  ip prefix 192.168.200.16/28
  ip prefix 10.255.252.0/23
exit
object-group network SoftWLC
  ip address-range 100.123.0.2
exit

radius-server host 100.123.0.2
  key ascii-text encrypted 88B11079B9014FAAF7B9
  timeout 2
  source-address 100.123.0.175
  auth-port 31812
  acct-port 31813
  retransmit 3
  dead-interval 10
exit
aaa radius-profile PCRF
  radius-server host 100.123.0.2
exit
das-server COA
  key ascii-text encrypted 88B11079B9014FAAF7B9
  port 3799
  clients object-group SoftWLC
exit
aaa das-profile COA
  das-server COA
exit

vlan 3,10-11,2300-2301,2308
exit

no spanning-tree

security zone trusted
exit
security zone untrusted
exit
security zone gre
exit
security zone user
exit


bridge 1
  vlan 2308
  security-zone gre
  ip address 192.168.200.20/28
  vrrp id 1
  vrrp ip 192.168.200.17/32
  vrrp ip 192.168.200.18/32 secondary
  vrrp priority 100
  vrrp group 1
  vrrp preempt disable
  vrrp
  enable
exit
bridge 3
  vlan 3
  unknown-unicast-forwarding disable
  security-zone trusted
  ip address 10.255.252.3/23
  ip helper-address 100.123.0.2
  vrrp id 3
  vrrp ip 10.255.252.1/32
  vrrp priority 100
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  protected-ports local
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit
bridge 4
  vlan 2300
  security-zone trusted
  ip address 100.123.0.175/24
  vrrp id 23
  vrrp ip 100.123.0.174/32
  vrrp priority 100
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  enable
exit
bridge 5
  vlan 2301
  security-zone untrusted
  ip address 172.16.0.3/28
  vrrp id 5
  vrrp ip 172.16.0.4/32
  vrrp priority 100
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  enable
exit
bridge 10
  vlan 10
  unknown-unicast-forwarding disable
  security-zone user
  ip firewall disable
  ip address 198.18.148.3/22
  vrrp id 10
  vrrp ip 198.18.148.1/32
  vrrp priority 100
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  location data10
  protected-ports radius
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit
bridge 11
  vlan 11
  unknown-unicast-forwarding disable
  security-zone user
  ip firewall disable
  ip address 198.18.152.3/22
  ip helper-address 100.123.0.2
  vrrp id 11
  vrrp ip 198.18.152.1/32
  vrrp priority 100
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  location data11
  protected-ports radius
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit

interface port-channel 1
  mode switchport
  switchport forbidden default-vlan
  switchport general acceptable-frame-type tagged-only
  switchport general allowed vlan add 3,10-11,2300-2301,2308 tagged
exit
interface gigabitethernet 1/0/1
  mode switchport
  channel-group 1 mode auto
exit
interface gigabitethernet 1/0/2
  mode switchport
  channel-group 1 mode auto
exit
tunnel softgre 1
  description "mgmt"
  mode management
  local address 192.168.200.17
  default-profile
  enable
exit
tunnel softgre 1.1
  bridge-group 3
  enable
exit
tunnel softgre 2
  description "data"
  mode data
  local address 192.168.200.18
  default-profile
  enable
exit

security zone-pair gre self
  rule 1
    action permit
    match protocol gre
    enable
  exit
  rule 2
    action permit
    match protocol icmp
    enable
  exit
  rule 3
    action permit
    match protocol vrrp
    enable
  exit
exit
security zone-pair trusted self
  rule 1
    action permit
    match source-address MGMT
    enable
  exit
  rule 2
    action permit
    match protocol vrrp
    enable
  exit
exit
security zone-pair trusted trusted
  rule 1
    action permit
    match source-address MGMT
    enable
  exit
exit
security zone-pair trusted user
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted gre
  rule 1
    action permit
    enable
  exit
exit
security zone-pair user self
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 2
    action permit
    match protocol vrrp
    enable
  exit
exit
security zone-pair user trusted
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
exit
security zone-pair user untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair untrusted self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
exit


ip dhcp-relay

ip route 192.168.240.0/23 192.168.200.21
ip route 0.0.0.0/0 172.16.0.1

wireless-controller
  peer-address 100.123.0.173
  nas-ip-address 100.123.0.175
  vrrp-group 1
  data-tunnel configuration radius
  aaa das-profile COA
  aaa radius-profile PCRF
  enable
exit
ip telnet server
ip ssh server


Добавление ESR в дерево EMS

В дерево EMS необходимо добавить оба ESR c реальным адресом интерфейса - 100.123.0.173 и 100.123.0.175 соответсвенносоответственно. Адрес VRRP 100.123.0.174 будет использоваться в качестве шлюза для маршрутов к подсетям управления ТД и пользователей WiFi, в EMS он нигде фигурировать не будет.

...

  • "Файловый протокол" - выбираем "FTP".
  • "Read community" - указываем имя SNMP RO community, настроенное ранее "public11".
  • "Write community" - указываем имя SNMP RW community, настроенное ранее "private1".
  • "Получение статуса VRRP" - отмечаем галочкой. Данную настройку требуется обязательно включить при использовании резервирвоания резервирования с помощью VRRP для корректной работы функционала по разрушению туннелей к ТД на ESR.

...

Аналогичным образом добавляем ESR-VRRP-BACKUP, используя его реальный адрес 100.123.0.175.

Возможные варианты отказа сети

Ниже будут рассмотрены возможные варианты прохождения трафика пользователя при штатной работе и возникновении аварии на сети.

Рабочее состояние сети

На рис. 7 изображено рабочее состояние сети:

...

Трафик пользователей WiFi, подключенных  к SSID, ТД инкапсулирует в GRE, маршрутизируется на ESR VRRP MASTER (который находится в состоянии VRRP MASTER), где происходит декапсуляция трафика. Потом он маршрутизируется в сеть Интернет. ESR VRRP BACKUP в обработке трафика не участвует.

Отказ одного из коммутаторов стека

На рис. 8 изображено состояние при отказе одного из коммутаторов стека, к которому подключены ESR VRRP MASTER и BACKUP:

...

В данной ситуации произойдет отключение одного из физических интерфейсов (gi1/0/1 или gi1/0/2), входящих в port-channel на обоих ESR. Но, т.к. оставшиеся интерфейсы, принадлежщие port-channel, подключенные к другому коммутатору стека останутся в работе - работоспособность схему полностью сохранится, изменений в прохождении трафика по сравнению с состоянием перед аварией не будет.

Отказ ESR, находящегося в состоянии VRRP master

На рис. 9 изображено состояние при отказе ESR, находящегося в состоянии VRRP MASTER:

...

В данной ситуации, ESR VRRP BACKUP, обнаружив отсутствие VRRP анонсов, выполнит переключение в состояние VRRP MASTER и начнет обрабатывать трафик, таким же образом,  как ранее это делал VRRP ESR MASTER.

Восстановление после отказ ESR, имеющего более высокий приоритет VRRP

На рис. 10 изображена ситуация, когда ESR VRRP MASTER вернулся в работу после отказа:

...

После восстановления работоспособности и загрузки ESR VRRP MASTER, обнаружив VRRP анонсы от ESR VRRP BACKUP, который находится в состоянии VRRP master, благодаря настройке "vrrp preempt disable" на интерфейсах VRRP, будет находится в состоянии VRRP backup не будет пытаться выполнить захват мастерства. Трафик продолжит проходит преждним предним образом.

Приложения

На коммутаторах, к которым подключается ESR, может использоваться различные версии семейства протоколов spanning-tree. В этом случае возможна ситуация, что после загрузки ESR, порты коммутатора, в которые он включен не сразу перейдут в состояние "forwarding" и разрешат передачу трафика. ESR при этом успеет перейти в состояние VRRP MASTER, что приведет к тому, что после того как начнется передача трафика, ESR у которого приоритет VRRP выше захватит мастерство. Что бы этого избежать можно использовать два варианта:

...