...
В данном файле содержится информация о максимальном количестве точек доступа ОТТ, которые могут быть подключены к данному типу ESR. Когда на Сервис-Активатор приходит очередная точка доступа, то Сервис-Активатор находит в домене ESR OTT и проверяет, какое количество точек доступа к нему привязано. Если это количество равно или превышает количество точек доступа, указанное в данном файле для этого типа ESR, то Сервис-Активатор считает этот ESR загруженным максимально и начинает искать в этом домене или в доменах выше другой, более свободный ESR.
Имя параметра | Значения | Рекомендуемое значение дл эксплуатации | Описание |
---|---|---|---|
subtype | 100, 200, 1000, 1200, 1700 | Тип ESR (ESR-100, ESR-200, ESR-1000, ESR-1200, ESR-1700) | |
max | Максимальное количество точек ОТТ для данного ESR | ||
param name, default, regex, description | Название, дефолтное значение, регулярное выражение и описание параметров, содержащихся в профиле ОТТ. |
Минимальные требования к серверу сервис-активатора.
...
- Физически используется один порт.
- Для взаимодействия с сетью Интернет используется стыковый саб-интерфейс bridge1. . Для экономии адресного пространства на нём можно использовать подсеть с маской /31. Через него ходит трафик по дефолтному маршруту.
- IPsec прослушивает входящие подключения через bridge 1на адресе этого саб-интерфейса.
- IPsec подключение от ТД разбирается в bridge 1саб-интерфейсе. GRE-пакеты передаются в bridge 2бридж терминации GRE.
- Из GRE пакеты с VLAN управления ТД передаются в bridge 6бридж, на котором настроена подсеть управления ТД.
- Клиентский трафик приходит в bridge 7 и из него согласно опции route-map свой бридж, и которого согласно настроек PBR маршрутизация осуществляется на соседний роутер, через который клиенты будут выходить в Интернет.
...
- Роутеры ESR1 и ESR2, на которых терминируется IPsec, подключены через два линка к разным роутерам каждый к отдельному роутеру PE1, PE2.
- ESR1, ESR2 анонсируют свои подсети управления, клиентов, IPsec-шлюза, используя BGP , с разными метриками, соответственно на PE1 и PE2.
- PE1, PE2 анонсируют маршруты по умолчанию, подсети, необходимые для связи с SoftWLC.
- При отказе одного из линков ESR1 или ESR2 маршруты перестраиваются и подсети становятся доступными через оставшийся линк.
- При отказе одного из PE – аналогично. Маршруты перестроятся через второй.
- При отказе одного из ESR он становится PE, ESR становиться недоступен. Точки доступа, определив, что IPsec соединение не устанавливается, обращаются к сервис-активатору, который видит аварию одного из ESR и передает параметры подключения ко второму. Точки доступа подключаются к новому ESR.
- При отказе одного из ESR реализуется тоже сценарий, что и в п. 4.
- На каждом ESR используются разные пулы IP адресов для управления точками доступа и для абонентов Wi-Fi.
...
- IPsec Remote Gateway – IP-адрес шлюза или доменное имя (xxx.xxx.xxx.xxx / Доменное имя).
IPsec Operational Status – включение IPsec.
- XAUTH User – имя пользователя XAUTH, работает при "Use ISAKMP Mode Config On" (Диапазон: 4-16 символов).
- XAUTH Password – пароль пользователя XAUTH, работает при "Use ISAKMP Mode Config On" (Диапазон: 4-16 символов).
- IKE Authentication Algorithm – алгоритмы хеширования, предназначенные для проверки целостности данных (md5, sha1).
- IKE DH Group – группа алгоритмов Диффи-Хеллмана, чтобы установить общий секрет по незащищенной сети (1,2,5).
- IKE Encryption Algorithm – алгоритм шифрования для фазы 1 подключения IPsec (AES128, DES, 3DES).
- Use ISAKMP Mode Config – если «On» – игнорировать «GRE Over IPsec Mgmt», «GRE Over IPsec Data», «Локальный адрес IPsec», «Удаленная сеть IPsec», «Параметры IPsec Remote Mask».
- IKE Lifetime – IKE SA (жизненный цикл фазы 1) перед повторной аутентификацией. Должен быть идентичен по обе стороны туннеля IKE/IPsec (раздел, диапазон: 180–86400).
- Use NAT-T – установите этот флажок, если клиент за NAT.
- IPsec NAT Keepalive – интервал между пакетами keepalive NAT (Sec, Range: 1-300).
- IPsec Password – пароль с общим доступом для подключения IKE/ISPEC (диапазон: 8-48 символов).
- IPsec Local Address – адрес клиента, который используется как локальная сеть IKE с маской подсети 255.255.255.255 (/ 32). Значение игнорируется, если используется «Использовать режим режима ISAKMP Config On» (xxx.xxx.xxx.xxx).
- IPsec Remote Network – удаленная подсеть IKE. Значение игнорируется, если используется «Использовать режим режима ISAKMP Config On» (xxx.xxx.xxx.xxx).
- IPsec Remote Mask – IKE удаленная маска подсети. Значение игнорируется, если используется «Использовать режим режима ISAKMP Config On» (xxx.xxx.xxx.xxx).
- IPsec Authentication Algorithm – хеширующие алгоритмы, предназначенные для проверки целостности данных (md5, sha1).
- IPsec DH Group – алгоритмы Диффи-Хеллмана создают общий секрет по незащищенной сети. Значение 0 позволяет использовать секретный ключ из соединения IKE (0,1,2,5).
- IPsec Encryption Algorithm – алгоритм шифрования для фазы 1 подключения IPsec (AES128, DES, 3DES).
- IPsec DPD Delay – время через которое ESR будет слать пакеты точке доступа, с целью проверки ее доступности (диапазон: 5-600)
- IPsec Chaild Child SA Lifetime – срок службы IPsec VPN SA (жизненный цикл фазы 2) перед повторной аутентификацией. Должно быть одинаковым с обеих сторон туннеля IKE/IPsec. Должен быть меньше, чем IKE Lifetime (Sec, Range: 180-86400).
- Force Establish Tunnel – включить или отключить GRE через IPsec. Поскольку локальный IP-адрес GRE использует локальный адрес IPsec.
- GRE Over IPsec Mgmt – удаленный IP-адрес GRE для туннеля управления (xxx.xxx.xxx.xxx).
- GRE Over IPsec Data – удаленный IP-адрес GRE для туннеля управления данными (xxx.xxx.xxx.xxx).
- GRE MTU Offset – MTU устройства.Расчитывается как стандартное значение MTU - GRE MTU Offset.
GRE Ping Counter – количество пингов к gre-managment-ip, по неответу которых IPsec-соединение будет перезапущено. Пинг посылается каждые 10 сек. Параметр принимает значение от 3 до 60. По умолчанию 3.
Предупреждение Значение параметра IPsec child SA lifetime должно быть меньше значения параметра IKE lifetime. Кроме того они должны быть кратны. По умолчанию значение IKE lifetime установлено 86400 (сутки), а значение IPsec child SA lifetime 3600 (час). Получается за сутки ключ IPsec поменяется 24 раза, в то время как ключ IKE поменятеся один раз.
...
Блок кода |
---|
hostname 1700-ipsec tech-support login enable root login enable syslog max-files 3 syslog file-size 512 object-group service telnet port-range 23 exit object-group service ssh port-range 22 exit object-group service dhcp_server port-range 67 exit object-group service dhcp_client port-range 68 exit object-group service ntp port-range 123 exit object-group service ipsec_ports port-range 500 port-range 4500 exit object-group service snmp port-range 161-162 exit object-group service COA port-range 3799 port-range 31812-31813 port-range 1812-1813 exit object-group service redirect port-range 3128 port-range 3129 exit object-group network SoftWLC ip address-range 101.0.0.24 exit object-group network ipsec_remote_address ip prefix 172.31.250.0/24 exit object-group network gre_termination ip prefix 192.168.7.0/30 exit object-group url defaultserv url http://eltex-co.ru exit #Настраиваем взаимодействие с радиус-сервером, для динамического управления data-тунелями точек доступа. radius-server timeout 10 radius-server retransmit 5 radius-server host 101.0.0.24 key ascii-text testing123 timeout 11 priority 20 source-address 101.0.0.171 auth-port 31812 acct-port 31813 retransmit 10 dead-interval 10 exit aaa radius-profile PCRF radius-server host 101.0.0.24 exit #Настраиваем ESR, что бы с ним мог взаимодействовать радиус-сервер. das-server COA key ascii-text testing123 port 3799 clients object-group SoftWLC exit aaa das-profile COA das-server COA exit vlan 2 force-up exit vlan 7 name "mgmt" force-up exit vlan 100 name "user" force-up exit vlan 808 name "GRE" force-up exit vlan 1001 name "from_SoftWLC" force-up exit vlan 1108 force-up exit vlan 4094 force-up exit security zone trusted exit security zone user exit security zone mgmt exit security zone gre exit security zone ipsec exit security zone clients_inet exit #Настраиваем подсеть адресов клиентов, которые будем передавать на другой маршрутизатор, используя policy-based routing. ip access-list extended users_filter rule 1 action permit match protocol any match source-address 172.31.239.64 255.255.255.192 match destination-address any enable exit exit #DHCP-request для продления адреса от клиентов надо будет передавать на DHCP-сервер, он находится на том же ip, что и SotfWLC. ip access-list extended clients_dhcp rule 1 action permit match protocol udp match source-address 172.31.239.64 255.255.255.192 match destination-address 101.0.0.24 255.255.255.255 match source-port 68 match destination-port 67 enable exit exit #Настраиваем route-map, указываем маршрутизаторы, на которые будет передаваться клиентский трафик. route-map clients_br7 rule 1 #DHCP-request от клиентов передаем на DHCP сервер. match ip access-group clients_dhcp action set ip next-hop verify-availability 101.0.0.24 10 action permit exit rule 2 #Остальной трафик клиентов передаем на другой роутер, через который у них организован доступ в Интернет. match ip access-group users_filter action set ip next-hop verify-availability 10.12.12.2 10 action permit exit exit snmp-server snmp-server system-shutdown #разрешаем перезагрузку ESR по SNMP-команде от EMS. snmp-server community "private1" rw snmp-server community "public11" ro snmp-server host 101.0.0.24 exit #Интерфейс, который смотрит в Интернет, терминирует IPSec подключения точек доступа. bridge 1 vlan 1108 security-zone ipsec ip address 192.168.108.171/24 enable exit #Интерфейс административной подсети управления, необязателен. bridge 2 vlan 2 security-zone trusted ip address 192.168.110.37/24 enable exit #Интерфейс для взаимодействия с SoftWLC. bridge 3 description "SoftWLC" vlan 1001 security-zone mgmt ip address 101.0.0.171/24 enable exit #Интерфейс терминации GRE подключений точек доступа. bridge 5 vlan 808 security-zone gre ip address 192.168.7.1/30 ip address 192.168.7.2/30 enable exit #Интерфейс управления точками доступа. bridge 6 vlan 7 security-zone mgmt ip address 172.31.239.1/26 ip helper-address 101.0.0.24 ip tcp adjust-mss 1312 protected-ports protected-ports exclude vlan enable exit #Интерфейс, клиентов точек доступа. bridge 7 vlan 100 security-zone user ip address 172.31.239.65/26 ip helper-address 101.0.0.24 ip policy route-map clients_br7 #Включаем policy-based routing на интерфейсе. ip tcp adjust-mss 1312 location testing2 protected-ports protected-ports exclude vlan enable exit #Интерфейс, через который доступен роутер, на который будет отправляться трафик клиентов точек доступа. bridge 94 vlan 4094 security-zone clients_inet ip address 10.12.12.1/30 ip tcp adjust-mss 1312 enable exit interface port-channel 1 switchport forbidden default-vlan switchport general acceptable-frame-type tagged-only switchport general allowed vlan add 2,1001,1108,4094 tagged exit interface gigabitethernet 1/0/1 channel-group 1 mode auto exit interface gigabitethernet 1/0/2 channel-group 1 mode auto exit interface gigabitethernet 1/0/3 shutdown security-zone trusted ip firewall disable exit interface gigabitethernet 1/0/4 shutdown security-zone trusted ip firewall disable exit interface tengigabitethernet 1/0/1 shutdown ip firewall disable switchport forbidden default-vlan exit interface tengigabitethernet 1/0/2 shutdown ip firewall disable switchport forbidden default-vlan exit exit tunnel softgre 1 description "mgmt" mode management local address 192.168.7.1 default-profile enable exit tunnel softgre 1.1 bridge-group 6 enable exit tunnel softgre 2 description "data" mode data local address 192.168.7.2 default-profile enable exit security zone-pair trusted self rule 1 action permit match protocol tcp match source-address any match destination-address any match source-port any match destination-port ssh enable exit rule 2 action permit match protocol tcp match source-address any match destination-address any match source-port any match destination-port telnet enable exit rule 3 action permit match protocol icmp match source-address SoftWLC match destination-address any enable exit rule 4 action permit match protocol udp match source-address SoftWLC match destination-address any match source-port any match destination-port COA enable exit exit security zone-pair user self rule 10 action permit match protocol udp match source-address any match destination-address any match source-port dhcp_client match destination-port dhcp_server enable exit rule 20 action permit match protocol tcp match source-address any match destination-address any match source-port any match destination-port redirect enable exit exit security zone-pair clients_inet self rule 10 action permit match protocol any match source-address any match destination-address any exit exit security zone-pair user clients_inet rule 1 action permit match protocol any match source-address any match destination-address any enable exit exit security zone-pair ipsec self rule 1 action permit match protocol udp match source-address any match destination-address any match source-port ipsec_ports match destination-port ipsec_ports enable exit rule 2 action permit match protocol esp match source-address any match destination-address any enable exit rule 3 #Т.к. трафик GRE появится из IPSec пакетов, то он будет считаться пришедшим из тоже зоны, что и родительский пакет. action permit match protocol gre match source-address ipsec_remote_address match destination-address gre_termination enable exit rule 4 action permit match protocol icmp match source-address ipsec_remote_address match destination-address gre_termination enable exit exit security zone-pair mgmt self rule 1 action permit match protocol tcp match source-address any match destination-address any match source-port any match destination-port ssh enable exit rule 2 action permit match protocol tcp match source-address any match destination-address any match source-port any match destination-port telnet enable exit rule 3 action permit match protocol icmp match source-address SoftWLC match destination-address any enable exit rule 4 action permit match protocol udp match source-address SoftWLC match destination-address any match source-port any match destination-port snmp enable exit rule 5 action permit match protocol udp match source-address SoftWLC match destination-address any match source-port any match destination-port COA enable exit rule 6 action permit match protocol tcp match source-address SoftWLC match destination-address any match source-port any match destination-port COA enable exit rule 7 action permit match protocol icmp match source-address any match destination-address any enable exit rule 10 action permit match protocol udp match source-address any match destination-address any match source-port dhcp_client match destination-port dhcp_server enable exit rule 11 action permit match protocol udp match source-address any match destination-address any match source-port dhcp_server match destination-port dhcp_server enable exit exit security zone-pair mgmt mgmt rule 1 action permit match protocol icmp match source-address any match destination-address any enable exit rule 10 action permit match protocol udp match source-address any match destination-address any match source-port dhcp_client match destination-port dhcp_server enable exit rule 20 action permit match protocol udp match source-address SoftWLC match destination-address any match source-port any match destination-port snmp enable exit rule 21 action permit match protocol udp match source-address any match destination-address SoftWLC match source-port any match destination-port snmp enable exit rule 22 action permit match protocol tcp match source-address SoftWLC match destination-address any match source-port any match destination-port snmp enable exit rule 23 action permit match protocol tcp match source-address any match destination-address SoftWLC match source-port any match destination-port snmp exit rule 30 action permit match protocol tcp match source-address any match destination-address any match source-port any match destination-port telnet enable exit rule 31 action permit match protocol tcp match source-address any match destination-address any match source-port any match destination-port ssh enable exit rule 49 action permit match protocol udp match source-address any match destination-address SoftWLC match source-port any match destination-port ntp enable exit rule 50 action permit match protocol udp match source-address any match destination-address SoftWLC match source-port any match destination-port COA enable exit exit security zone-pair mgmt user rule 10 action permit match protocol udp match source-address SoftWLC match destination-address any match source-port dhcp_server match destination-port dhcp_server enable exit exit security zone-pair gre ipsec rule 1 action permit match protocol any match source-address gre_termination match destination-address ipsec_remote_address enable exit exit #Настраиваем пул адресов, которые будут выдаваться ТД используя mode config. address-assignment pool ipsec_pool_1 ip prefix 172.31.250.0/24 #Пул адресов, которые будут выдаваться точкам доступа #и использоваться как локальный ip (tunnel ip) для GRE тунелей. #Адреса не должны пересекаться с другими tunnel ip в EMS. data-tunnel address 192.168.7.2 #Адрес, на который точка доступа будет строить GRE data тунель. management-tunnel address 192.168.7.1 #Адрес, на который точка доступа будет строить GRE тунель управления. exit #Настраиваем IKE предложение: алгоритм хэширования MD5, группа Диффи-Хэллмана DH1, алгоритм шифрования aes128. security ike proposal dh1_md5_aes128 authentication algorithm md5 encryption algorithm aes128 exit #Настраиваем политику IKE. security ike policy psk_xauth1 lifetime seconds 86400 #Время жизни основного соединения (по истечению будет произведена повторная авторизация). pre-shared-key ascii-text testing123 #Пароль authentication method xauth-psk-key #Включаем использование расширеной авторизации XAUTH. authentication mode radius #Используем радиус-сервер для расширеной авторизации. proposal dh1_md5_aes128 #Используем настроенное выше предложение. exit #Настраиваем шлюзы, используемые подсети. security ike gateway ike1_from_inet ike-policy psk_xauth1 #Используем настроенную выше политику IKE. local address 192.168.108.171 #Адрес, на котором ждем IPSec клиентов. local network 192.168.7.0/30 #Локальная подсеть, трафик из которой будет заворачиваться в IPSec пакеты. remote address any #Адрес удаленных клиентов IPSec - разрешаем подключения с любых адресов. remote network dynamic pool ipsec_pool_1 #Для назначения клиенту параметров используем настроенный выше пул. mode policy-based #Используем режим policy-based dead-peer-detection action clear #В случае обнаружения недоступного клиента IPSec убираем его подключение. dead-peer-detection interval 60 #Интервал отправки dead-peer-detection пакетов. dead-peer-detection interval 180 #Время, по истечению которого, удаленный клиент IPSec считается недоступным, #если от него не приходят ответы на DPD пакеты. exit #Настраиваем предложение IPSec: алгоритм хэширования MD5, алгоритм шифрования AES128, протокол инкапсуляции пакетов ESP. security ipsec proposal md5_aes128_esp authentication algorithm md5 encryption algorithm aes128 exit #Настраиваем политику IPSec. security ipsec policy vpn1_pol1 lifetime seconds 3600 #Время жизни IPSec сhaild SA (по истечению будет произведена повторная авторизация). proposal md5_aes128_esp #Используемое предложение IPSec, настроенное выше. exit #Настраиваем IPSec VPN, к которому будут подсключаться точки доступа. security ipsec vpn for_INET_1 mode ike #Используем IKE. ike establish-tunnel by-request #Соединение IPSec устанавливается по запросу удаленной стороны. ike gateway ike1_from_inet #Используем настройки шлюза, подсетей, настроенных в IKE. ike ipsec-policy vpn1_pol1 #используем политику IPSec, настоенную выше. enable exit ip dhcp-relay ip route 0.0.0.0/0 192.168.108.1 200 wireless-controller nas-ip-address 101.0.0.171 data-tunnel configuration radius #Используем динамическое поднятие data-тунелей aaa das-profile COA aaa radius-profile PCRF enable exit ip telnet server ip ssh server clock timezone gmt +7 ntp enable ntp server 101.0.0.24 prefer exit |
...