...
В данном файле содержится информация о максимальном количестве точек доступа ОТТ, которые могут быть подключены к данному типу ESR. Когда на Сервис-Активатор приходит очередная точка доступа, то Сервис-Активатор находит в домене ESR OTT и проверяет, какое количество точек доступа к нему привязано. Если это количество равно или превышает количество точек доступа, указанное в данном файле для этого типа ESR, то Сервис-Активатор считает этот ESR загруженным максимально и начинает искать в этом домене или в доменах выше другой, более свободный ESR.
| Имя параметра | Значения | Рекомендуемое значение дл эксплуатации | Описание |
|---|---|---|---|
| subtype | 100, 200, 1000, 1200, 1700 | Тип ESR (ESR-100, ESR-200, ESR-1000, ESR-1200, ESR-1700) | |
| max | Максимальное количество точек ОТТ для данного ESR | ||
| param name, default, regex, description | Название, дефолтное значение, регулярное выражение и описание параметров, содержащихся в профиле ОТТ. |
Минимальные требования к серверу сервис-активатора.
...
- Физически используется один порт.
- Для взаимодействия с сетью Интернет используется стыковый саб-интерфейс bridge1. . Для экономии адресного пространства на нём можно использовать подсеть с маской /31. Через него ходит трафик по дефолтному маршруту.
- IPsec прослушивает входящие подключения через bridge 1на адресе этого саб-интерфейса.
- IPsec подключение от ТД разбирается в bridge 1саб-интерфейсе. GRE-пакеты передаются в bridge 2бридж терминации GRE.
- Из GRE пакеты с VLAN управления ТД передаются в bridge 6бридж, на котором настроена подсеть управления ТД.
- Клиентский трафик приходит в bridge 7 и из него согласно опции route-map свой бридж, и которого согласно настроек PBR маршрутизация осуществляется на соседний роутер, через который клиенты будут выходить в Интернет.
...
- Роутеры ESR1 и ESR2, на которых терминируется IPsec, подключены через два линка к разным роутерам каждый к отдельному роутеру PE1, PE2.
- ESR1, ESR2 анонсируют свои подсети управления, клиентов, IPsec-шлюза, используя BGP , с разными метриками, соответственно на PE1 и PE2.
- PE1, PE2 анонсируют маршруты по умолчанию, подсети, необходимые для связи с SoftWLC.
- При отказе одного из линков ESR1 или ESR2 маршруты перестраиваются и подсети становятся доступными через оставшийся линк.
- При отказе одного из PE – аналогично. Маршруты перестроятся через второй.
- При отказе одного из ESR он становится PE, ESR становиться недоступен. Точки доступа, определив, что IPsec соединение не устанавливается, обращаются к сервис-активатору, который видит аварию одного из ESR и передает параметры подключения ко второму. Точки доступа подключаются к новому ESR.
- При отказе одного из ESR реализуется тоже сценарий, что и в п. 4.
- На каждом ESR используются разные пулы IP адресов для управления точками доступа и для абонентов Wi-Fi.
...
- IPsec Remote Gateway – IP-адрес шлюза или доменное имя (xxx.xxx.xxx.xxx / Доменное имя).
IPsec Operational Status – включение IPsec.
- XAUTH User – имя пользователя XAUTH, работает при "Use ISAKMP Mode Config On" (Диапазон: 4-16 символов).
- XAUTH Password – пароль пользователя XAUTH, работает при "Use ISAKMP Mode Config On" (Диапазон: 4-16 символов).
- IKE Authentication Algorithm – алгоритмы хеширования, предназначенные для проверки целостности данных (md5, sha1).
- IKE DH Group – группа алгоритмов Диффи-Хеллмана, чтобы установить общий секрет по незащищенной сети (1,2,5).
- IKE Encryption Algorithm – алгоритм шифрования для фазы 1 подключения IPsec (AES128, DES, 3DES).
- Use ISAKMP Mode Config – если «On» – игнорировать «GRE Over IPsec Mgmt», «GRE Over IPsec Data», «Локальный адрес IPsec», «Удаленная сеть IPsec», «Параметры IPsec Remote Mask».
- IKE Lifetime – IKE SA (жизненный цикл фазы 1) перед повторной аутентификацией. Должен быть идентичен по обе стороны туннеля IKE/IPsec (раздел, диапазон: 180–86400).
- Use NAT-T – установите этот флажок, если клиент за NAT.
- IPsec NAT Keepalive – интервал между пакетами keepalive NAT (Sec, Range: 1-300).
- IPsec Password – пароль с общим доступом для подключения IKE/ISPEC (диапазон: 8-48 символов).
- IPsec Local Address – адрес клиента, который используется как локальная сеть IKE с маской подсети 255.255.255.255 (/ 32). Значение игнорируется, если используется «Использовать режим режима ISAKMP Config On» (xxx.xxx.xxx.xxx).
- IPsec Remote Network – удаленная подсеть IKE. Значение игнорируется, если используется «Использовать режим режима ISAKMP Config On» (xxx.xxx.xxx.xxx).
- IPsec Remote Mask – IKE удаленная маска подсети. Значение игнорируется, если используется «Использовать режим режима ISAKMP Config On» (xxx.xxx.xxx.xxx).
- IPsec Authentication Algorithm – хеширующие алгоритмы, предназначенные для проверки целостности данных (md5, sha1).
- IPsec DH Group – алгоритмы Диффи-Хеллмана создают общий секрет по незащищенной сети. Значение 0 позволяет использовать секретный ключ из соединения IKE (0,1,2,5).
- IPsec Encryption Algorithm – алгоритм шифрования для фазы 1 подключения IPsec (AES128, DES, 3DES).
- IPsec DPD Delay – время через которое ESR будет слать пакеты точке доступа, с целью проверки ее доступности (диапазон: 5-600)
- IPsec Chaild Child SA Lifetime – срок службы IPsec VPN SA (жизненный цикл фазы 2) перед повторной аутентификацией. Должно быть одинаковым с обеих сторон туннеля IKE/IPsec. Должен быть меньше, чем IKE Lifetime (Sec, Range: 180-86400).
- Force Establish Tunnel – включить или отключить GRE через IPsec. Поскольку локальный IP-адрес GRE использует локальный адрес IPsec.
- GRE Over IPsec Mgmt – удаленный IP-адрес GRE для туннеля управления (xxx.xxx.xxx.xxx).
- GRE Over IPsec Data – удаленный IP-адрес GRE для туннеля управления данными (xxx.xxx.xxx.xxx).
- GRE MTU Offset – MTU устройства.Расчитывается как стандартное значение MTU - GRE MTU Offset.
GRE Ping Counter – количество пингов к gre-managment-ip, по неответу которых IPsec-соединение будет перезапущено. Пинг посылается каждые 10 сек. Параметр принимает значение от 3 до 60. По умолчанию 3.
Предупреждение Значение параметра IPsec child SA lifetime должно быть меньше значения параметра IKE lifetime. Кроме того они должны быть кратны. По умолчанию значение IKE lifetime установлено 86400 (сутки), а значение IPsec child SA lifetime 3600 (час). Получается за сутки ключ IPsec поменяется 24 раза, в то время как ключ IKE поменятеся один раз.
...
| Блок кода |
|---|
hostname 1700-ipsec
tech-support login enable
root login enable
syslog max-files 3
syslog file-size 512
object-group service telnet
port-range 23
exit
object-group service ssh
port-range 22
exit
object-group service dhcp_server
port-range 67
exit
object-group service dhcp_client
port-range 68
exit
object-group service ntp
port-range 123
exit
object-group service ipsec_ports
port-range 500
port-range 4500
exit
object-group service snmp
port-range 161-162
exit
object-group service COA
port-range 3799
port-range 31812-31813
port-range 1812-1813
exit
object-group service redirect
port-range 3128
port-range 3129
exit
object-group network SoftWLC
ip address-range 101.0.0.24
exit
object-group network ipsec_remote_address
ip prefix 172.31.250.0/24
exit
object-group network gre_termination
ip prefix 192.168.7.0/30
exit
object-group url defaultserv
url http://eltex-co.ru
exit
#Настраиваем взаимодействие с радиус-сервером, для динамического управления data-тунелями точек доступа.
radius-server timeout 10
radius-server retransmit 5
radius-server host 101.0.0.24
key ascii-text testing123
timeout 11
priority 20
source-address 101.0.0.171
auth-port 31812
acct-port 31813
retransmit 10
dead-interval 10
exit
aaa radius-profile PCRF
radius-server host 101.0.0.24
exit
#Настраиваем ESR, что бы с ним мог взаимодействовать радиус-сервер.
das-server COA
key ascii-text testing123
port 3799
clients object-group SoftWLC
exit
aaa das-profile COA
das-server COA
exit
vlan 2
force-up
exit
vlan 7
name "mgmt"
force-up
exit
vlan 100
name "user"
force-up
exit
vlan 808
name "GRE"
force-up
exit
vlan 1001
name "from_SoftWLC"
force-up
exit
vlan 1108
force-up
exit
vlan 4094
force-up
exit
security zone trusted
exit
security zone user
exit
security zone mgmt
exit
security zone gre
exit
security zone ipsec
exit
security zone clients_inet
exit
#Настраиваем подсеть адресов клиентов, которые будем передавать на другой маршрутизатор, используя policy-based routing.
ip access-list extended users_filter
rule 1
action permit
match protocol any
match source-address 172.31.239.64 255.255.255.192
match destination-address any
enable
exit
exit
#DHCP-request для продления адреса от клиентов надо будет передавать на DHCP-сервер, он находится на том же ip, что и SotfWLC.
ip access-list extended clients_dhcp
rule 1
action permit
match protocol udp
match source-address 172.31.239.64 255.255.255.192
match destination-address 101.0.0.24 255.255.255.255
match source-port 68
match destination-port 67
enable
exit
exit
#Настраиваем route-map, указываем маршрутизаторы, на которые будет передаваться клиентский трафик.
route-map clients_br7
rule 1 #DHCP-request от клиентов передаем на DHCP сервер.
match ip access-group clients_dhcp
action set ip next-hop verify-availability 101.0.0.24 10
action permit
exit
rule 2 #Остальной трафик клиентов передаем на другой роутер, через который у них организован доступ в Интернет.
match ip access-group users_filter
action set ip next-hop verify-availability 10.12.12.2 10
action permit
exit
exit
snmp-server
snmp-server system-shutdown #разрешаем перезагрузку ESR по SNMP-команде от EMS.
snmp-server community "private1" rw
snmp-server community "public11" ro
snmp-server host 101.0.0.24
exit
#Интерфейс, который смотрит в Интернет, терминирует IPSec подключения точек доступа.
bridge 1
vlan 1108
security-zone ipsec
ip address 192.168.108.171/24
enable
exit
#Интерфейс административной подсети управления, необязателен.
bridge 2
vlan 2
security-zone trusted
ip address 192.168.110.37/24
enable
exit
#Интерфейс для взаимодействия с SoftWLC.
bridge 3
description "SoftWLC"
vlan 1001
security-zone mgmt
ip address 101.0.0.171/24
enable
exit
#Интерфейс терминации GRE подключений точек доступа.
bridge 5
vlan 808
security-zone gre
ip address 192.168.7.1/30
ip address 192.168.7.2/30
enable
exit
#Интерфейс управления точками доступа.
bridge 6
vlan 7
security-zone mgmt
ip address 172.31.239.1/26
ip helper-address 101.0.0.24
ip tcp adjust-mss 1312
protected-ports
protected-ports exclude vlan
enable
exit
#Интерфейс, клиентов точек доступа.
bridge 7
vlan 100
security-zone user
ip address 172.31.239.65/26
ip helper-address 101.0.0.24
ip policy route-map clients_br7 #Включаем policy-based routing на интерфейсе.
ip tcp adjust-mss 1312
location testing2
protected-ports
protected-ports exclude vlan
enable
exit
#Интерфейс, через который доступен роутер, на который будет отправляться трафик клиентов точек доступа.
bridge 94
vlan 4094
security-zone clients_inet
ip address 10.12.12.1/30
ip tcp adjust-mss 1312
enable
exit
interface port-channel 1
switchport forbidden default-vlan
switchport general acceptable-frame-type tagged-only
switchport general allowed vlan add 2,1001,1108,4094 tagged
exit
interface gigabitethernet 1/0/1
channel-group 1 mode auto
exit
interface gigabitethernet 1/0/2
channel-group 1 mode auto
exit
interface gigabitethernet 1/0/3
shutdown
security-zone trusted
ip firewall disable
exit
interface gigabitethernet 1/0/4
shutdown
security-zone trusted
ip firewall disable
exit
interface tengigabitethernet 1/0/1
shutdown
ip firewall disable
switchport forbidden default-vlan
exit
interface tengigabitethernet 1/0/2
shutdown
ip firewall disable
switchport forbidden default-vlan
exit
exit
tunnel softgre 1
description "mgmt"
mode management
local address 192.168.7.1
default-profile
enable
exit
tunnel softgre 1.1
bridge-group 6
enable
exit
tunnel softgre 2
description "data"
mode data
local address 192.168.7.2
default-profile
enable
exit
security zone-pair trusted self
rule 1
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port ssh
enable
exit
rule 2
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port telnet
enable
exit
rule 3
action permit
match protocol icmp
match source-address SoftWLC
match destination-address any
enable
exit
rule 4
action permit
match protocol udp
match source-address SoftWLC
match destination-address any
match source-port any
match destination-port COA
enable
exit
exit
security zone-pair user self
rule 10
action permit
match protocol udp
match source-address any
match destination-address any
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
rule 20
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port redirect
enable
exit
exit
security zone-pair clients_inet self
rule 10
action permit
match protocol any
match source-address any
match destination-address any
exit
exit
security zone-pair user clients_inet
rule 1
action permit
match protocol any
match source-address any
match destination-address any
enable
exit
exit
security zone-pair ipsec self
rule 1
action permit
match protocol udp
match source-address any
match destination-address any
match source-port ipsec_ports
match destination-port ipsec_ports
enable
exit
rule 2
action permit
match protocol esp
match source-address any
match destination-address any
enable
exit
rule 3 #Т.к. трафик GRE появится из IPSec пакетов, то он будет считаться пришедшим из тоже зоны, что и родительский пакет.
action permit
match protocol gre
match source-address ipsec_remote_address
match destination-address gre_termination
enable
exit
rule 4
action permit
match protocol icmp
match source-address ipsec_remote_address
match destination-address gre_termination
enable
exit
exit
security zone-pair mgmt self
rule 1
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port ssh
enable
exit
rule 2
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port telnet
enable
exit
rule 3
action permit
match protocol icmp
match source-address SoftWLC
match destination-address any
enable
exit
rule 4
action permit
match protocol udp
match source-address SoftWLC
match destination-address any
match source-port any
match destination-port snmp
enable
exit
rule 5
action permit
match protocol udp
match source-address SoftWLC
match destination-address any
match source-port any
match destination-port COA
enable
exit
rule 6
action permit
match protocol tcp
match source-address SoftWLC
match destination-address any
match source-port any
match destination-port COA
enable
exit
rule 7
action permit
match protocol icmp
match source-address any
match destination-address any
enable
exit
rule 10
action permit
match protocol udp
match source-address any
match destination-address any
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
rule 11
action permit
match protocol udp
match source-address any
match destination-address any
match source-port dhcp_server
match destination-port dhcp_server
enable
exit
exit
security zone-pair mgmt mgmt
rule 1
action permit
match protocol icmp
match source-address any
match destination-address any
enable
exit
rule 10
action permit
match protocol udp
match source-address any
match destination-address any
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
rule 20
action permit
match protocol udp
match source-address SoftWLC
match destination-address any
match source-port any
match destination-port snmp
enable
exit
rule 21
action permit
match protocol udp
match source-address any
match destination-address SoftWLC
match source-port any
match destination-port snmp
enable
exit
rule 22
action permit
match protocol tcp
match source-address SoftWLC
match destination-address any
match source-port any
match destination-port snmp
enable
exit
rule 23
action permit
match protocol tcp
match source-address any
match destination-address SoftWLC
match source-port any
match destination-port snmp
exit
rule 30
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port telnet
enable
exit
rule 31
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port ssh
enable
exit
rule 49
action permit
match protocol udp
match source-address any
match destination-address SoftWLC
match source-port any
match destination-port ntp
enable
exit
rule 50
action permit
match protocol udp
match source-address any
match destination-address SoftWLC
match source-port any
match destination-port COA
enable
exit
exit
security zone-pair mgmt user
rule 10
action permit
match protocol udp
match source-address SoftWLC
match destination-address any
match source-port dhcp_server
match destination-port dhcp_server
enable
exit
exit
security zone-pair gre ipsec
rule 1
action permit
match protocol any
match source-address gre_termination
match destination-address ipsec_remote_address
enable
exit
exit
#Настраиваем пул адресов, которые будут выдаваться ТД используя mode config.
address-assignment pool ipsec_pool_1
ip prefix 172.31.250.0/24 #Пул адресов, которые будут выдаваться точкам доступа
#и использоваться как локальный ip (tunnel ip) для GRE тунелей.
#Адреса не должны пересекаться с другими tunnel ip в EMS.
data-tunnel address 192.168.7.2 #Адрес, на который точка доступа будет строить GRE data тунель.
management-tunnel address 192.168.7.1 #Адрес, на который точка доступа будет строить GRE тунель управления.
exit
#Настраиваем IKE предложение: алгоритм хэширования MD5, группа Диффи-Хэллмана DH1, алгоритм шифрования aes128.
security ike proposal dh1_md5_aes128
authentication algorithm md5
encryption algorithm aes128
exit
#Настраиваем политику IKE.
security ike policy psk_xauth1
lifetime seconds 86400 #Время жизни основного соединения (по истечению будет произведена повторная авторизация).
pre-shared-key ascii-text testing123 #Пароль
authentication method xauth-psk-key #Включаем использование расширеной авторизации XAUTH.
authentication mode radius #Используем радиус-сервер для расширеной авторизации.
proposal dh1_md5_aes128 #Используем настроенное выше предложение.
exit
#Настраиваем шлюзы, используемые подсети.
security ike gateway ike1_from_inet
ike-policy psk_xauth1 #Используем настроенную выше политику IKE.
local address 192.168.108.171 #Адрес, на котором ждем IPSec клиентов.
local network 192.168.7.0/30 #Локальная подсеть, трафик из которой будет заворачиваться в IPSec пакеты.
remote address any #Адрес удаленных клиентов IPSec - разрешаем подключения с любых адресов.
remote network dynamic pool ipsec_pool_1 #Для назначения клиенту параметров используем настроенный выше пул.
mode policy-based #Используем режим policy-based
dead-peer-detection action clear #В случае обнаружения недоступного клиента IPSec убираем его подключение.
dead-peer-detection interval 60 #Интервал отправки dead-peer-detection пакетов.
dead-peer-detection interval 180 #Время, по истечению которого, удаленный клиент IPSec считается недоступным,
#если от него не приходят ответы на DPD пакеты.
exit
#Настраиваем предложение IPSec: алгоритм хэширования MD5, алгоритм шифрования AES128, протокол инкапсуляции пакетов ESP.
security ipsec proposal md5_aes128_esp
authentication algorithm md5
encryption algorithm aes128
exit
#Настраиваем политику IPSec.
security ipsec policy vpn1_pol1
lifetime seconds 3600 #Время жизни IPSec сhaild SA (по истечению будет произведена повторная авторизация).
proposal md5_aes128_esp #Используемое предложение IPSec, настроенное выше.
exit
#Настраиваем IPSec VPN, к которому будут подсключаться точки доступа.
security ipsec vpn for_INET_1
mode ike #Используем IKE.
ike establish-tunnel by-request #Соединение IPSec устанавливается по запросу удаленной стороны.
ike gateway ike1_from_inet #Используем настройки шлюза, подсетей, настроенных в IKE.
ike ipsec-policy vpn1_pol1 #используем политику IPSec, настоенную выше.
enable
exit
ip dhcp-relay
ip route 0.0.0.0/0 192.168.108.1 200
wireless-controller
nas-ip-address 101.0.0.171
data-tunnel configuration radius #Используем динамическое поднятие data-тунелей
aaa das-profile COA
aaa radius-profile PCRF
enable
exit
ip telnet server
ip ssh server
clock timezone gmt +7
ntp enable
ntp server 101.0.0.24
prefer
exit |
...