...
Схема реализации HA Cluster из 2 -х юнитов
Схема реализации HA Cluster из 3 -х юнитов
| Примечание |
|---|
В примере настройки кластера будет рассмотрен HA Cluster из 2 -х юнитов. Для настройки более чем 2 -х юнитов в кластере необходимо дополнить конфигурацию юнитизированными командами по аналогии с указанным примером. |
| Scroll Pagebreak |
|---|
Первичная настройка кластера
...
| Примечание |
|---|
В конфигурации может одновременно находиться hostname с unit и hostname без unit. Более приоритетным является hostname, указанный с привязкой к unit. |
| Scroll Pagebreak |
|---|
Чтобы изменить юнит устройства, выполните следующие команды:
...
Для полноценной работы кластера требуется сконфигурировать кластерный интерфейс, который будет использоваться для передачи control plane трафика. В качестве кластерного интерфейса назначен bridge. В качестве механизма, отвечающего за определение ролей устройств, участвующих в резервировании, назначен протокол VRRP. Настройки cluster-интерфейса должны быть идентичны для всех участников кластера.
| Scroll Pagebreak |
|---|
Так как кластер выполняет синхронизацию состояний между устройствами, необходимо создать зону безопасности SYNC (synchronization):
...
| Примечание |
|---|
В текущей версии ПО в качестве cluster-интерфейса поддержан только bridge. |
| Scroll Pagebreak |
|---|
Укажите, к какому VLAN относится bridge, и зону безопасности:
...
| Примечание |
|---|
Адрес VRRP должен быть из той же подсети, что и адреса на интерфейсе. |
| Scroll Pagebreak |
|---|
| Примечание | |||||
|---|---|---|---|---|---|
Также на VRRP-интерфейсе можно назначить разные приоритеты для разных юнитов.
|
Включите протокол VRRP и bridge:
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config-vrrp)# enable ESR-1(config-vrrp)# exit ESR-1(config-bridge)# enable ESR-1(config-bridge)# exit |
...
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config)# interface gigabitethernet 1/0/1 ESR-1(config-if-gi)# description "Network: SYNC" ESR-1(config-if-gi)# mode switchport ESR-1(config-if-gi)# exit ESR-1(config)# interface gigabitethernet 2/0/1 ESR-1(config-if-gi)# description "Network: SYNC" ESR-1(config-if-gi)# mode switchport ESR-1(config-if-gi)# exit |
...
Для проверки работы протокола VRRP выполните следующую команду:
...
Можно увидеть, что устройство приняло состояние Backup. Через 10 секунд устройство примет состояние Master.
| Scroll Pagebreak |
|---|
Настройка кластера
Для запуска кластера необходимо указать заранее настроенный кластерный интерфейс и юниты, которые будут выполнять роли Active и Standby.
...
| Примечание |
|---|
Для активации процесса ZTP необходимо на втором устройстве запустить dhcp-client на bridge-интерфейсе, логический или физический интерфейс которого будет включен в кластерный интерфейс первого устройства. В качестве примера такой конфигурации подойдет factory-конфигурация (в factory-конфигурации для vESR нет настроенного dhcp-client). В процессе ZTP устройство автоматически выставит себе: 1) Конфигурацию; 2) Юнит; 3) Версию ПО, на котором работает Active ESR; 4) Лицензию, если она предварительно загружена на Active ESR. |
| Scroll Pagebreak |
|---|
После выполнения этих шагов кластер будет успешно запущен. Текущее состояние кластера можно узнать, выполнив команду:
...
| Примечание |
|---|
В текущей версии ПО не поддержано синхронное шифрование паролей, вводимых не в encryption-виде. Такие пароли будут зашифрованы каждым из участников кластера самостоятельно. |
...
| Примечание |
|---|
Через минуту после включения кластера синхронизируется время, на Standby установится время Active-юнита. Синхронизация времени проверяется раз в минуту, в случае расхождения время синхронизируется. |
Синхронизация файлов лицензий
Для синхронизации файлов лицензий в кластере необходимо загрузить их все на Active-устройство командой copy в директорию system:cluster-unit-licences.
Все загруженные лицензии в данной директории передаются остальным участникам кластера.
| Блок кода | ||
|---|---|---|
| ||
ESR-1# copy tftp://<IP_address>:/licence system:cluster-unit-licences
|*************************| 100% (680B) Licence loaded successfully. |
| Примечание |
|---|
На каждый ESR нужна отдельная лицензия (Wi-Fi, BRAS и т. д.). Для активации функций кластера не нужна отдельная лицензия. |
Установка файлов лицензий
Установить лицензию в кластере можно двумя способами:
1. Загрузить индивидуально лицензию на каждое устройство, как в случае с обычным ESR вне кластера.
2. Загрузить лицензию для Active-юнита в system:licence (данная лицензия также автоматически загрузится и в system:cluster-unit-licences), активировать её перезагрузкой, лицензии для Standby загрузить в system:cluster-unit-licences на Active-юните, после чего либо выполнить команду sync cluster system force, либо подключить Standby по ZTP.
кластера синхронизируется время, на Standby установится время Active-юнита. Синхронизация времени проверяется раз в минуту, в случае расхождения время синхронизируется. |
| Примечание | ||
|---|---|---|
Работа с лицензиями в кластере описана в разделе Лицензирование в кластере. | ||
| Блок кода | ||
| ||
| ESR-1# copy tftp://<IP_address>:/licence system:cluster-unit-licences |*************************| 100% (680B) Licence loaded successfully. ESR-1# ESR-1# ESR-1# ESR-1# show cluster-unit-licences Serial number Features --------------- ------------------------------------------------------------ NP0B003634 BRAS,IPS,WIFI NP0B009033 BRAS,IPS,WIFI ESR-1# sync cluster system force |
| Scroll Pagebreak |
|---|
Подключение сервисов
...
System prompt позволяет отобразить оперативное состояние кластера непосредственно в строке приглашения CLI устройства, что упрощает получение актуальной информации.
Варианты настройки system prompt, включая доступные параметры и синтаксис команды, приведены в разделе Настройка общесистемных параметров.
Пример настройки
Задача:
Настроить system prompt в кластере маршрутизаторов ESR-1 и ESR-2 со следующими параметрами:
...
| Блок кода | ||
|---|---|---|
| ||
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.1/24
priority 254 unit 1
priority 253 unit 2
group 1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
exit |
| Scroll Pagebreak |
|---|
Решение:
Перейдем в режим конфигурирования устройства:
...
Port-channel U/N позволяет объединять каналы в группы агрегации для конкретного устройства в составе группы (unit), обеспечивая единообразие конфигурации кластера и возможность индивидуальной настройки агрегации на каждом юните.
Варианты настройки port-channel, включая доступные параметры и синтаксис команды, приведены в разделе Типы и порядок именования интерфейсов маршрутизатора.
Пример настройки
Задача:
Настроить port-channel U/N в кластере маршрутизаторов ESR-1 и ESR-2 для передачи Control Plane-трафика кластера через агрегированный интерфейс.
...
| Блок кода | ||
|---|---|---|
| ||
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.1/24
priority 254 unit 1
priority 253 unit 2
group 1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
exit |
| Scroll Pagebreak |
|---|
Создадим для каждого юнита собственный агрегированный интерфейс:
...
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config)# interface gigabitethernet 1/0/1 ESR-1(config-if-gi)# channel-group 1 mode auto ESR-1(config-if-gi)# exit ESR-1(config)# interface gigabitethernet 2/0/1 ESR-1(config-if-gi)# channel-group 1 mode auto ESR-1(config-if-gi)# exit ESR-1(config)# interface gigabitethernet 1/0/2 ESR-1(config-if-gi)# mode switchport ESR-1(config-if-gi)# channel-group 1 mode auto ESR-1(config-if-gi)# spanning-tree disable ESR-1(config-if-gi)# exit ESR-1(config)# interface gigabitethernet 2/0/2 ESR-1(config-if-gi)# mode switchport ESR-1(config-if-gi)# channel-group 1 mode auto ESR-1(config-if-gi)# spanning-tree disable ESR-1(config-if-gi)# exit ESR-1# commit Configuration has been successfully applied and saved to flash. Commit timer started, changes will be. ESR-1# confirm Configuration has been confirmed. Commit timer canceled. |
| Scroll Pagebreak |
|---|
Проверить состояние работы port-channel можно с помощью команды:
...
| Примечание |
|---|
Юнитизированный агрегированный интерфейс для Control Plane-трафика показан как пример. Можно использовать и для передачи Data Plane-трафика. |
| Scroll Pagebreak |
|---|
Настройка MultiWAN
Технология MultiWAN позволяет организовать отказоустойчивое соединение с резервированием линков от нескольких провайдеров.
...
| Блок кода | ||
|---|---|---|
| ||
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.1/24
priority 254 unit 1
priority 253 unit 2
group 1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/2.3
security-zone WAN
ip address 128.66.0.6/30
vrrp 3
ip address 128.66.0.2/30
group 1
enable
exit
exit
interface gigabitethernet 1/0/2.4
security-zone WAN
ip address 128.66.0.10/30
vrrp 4
ip address 128.66.0.14/30
group 1
enable
exit
exit
interface gigabitethernet 1/0/3
security-zone LAN
ip address 192.0.2.254/24
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2.3
security-zone WAN
ip address 128.66.0.5/30
vrrp 3
ip address 128.66.0.2/30
group 1
enable
exit
exit
interface gigabitethernet 2/0/2.4
security-zone WAN
ip address 128.66.0.9/30
vrrp 4
ip address 128.66.0.14/30
group 1
enable
exit
exit
interface gigabitethernet 2/0/3
security-zone LAN
ip address 192.0.2.253/24
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
exit
security zone-pair WAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit |
...
| Блок кода |
|---|
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone WAN
exit
security zone LAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.1/24
priority 254 unit 1
priority 253 unit 2
group 1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/2
security-zone WAN
ip address 128.66.0.2/30
vrrp 3
ip address 203.0.113.2/30
group 1
enable
exit
exit
interface gigabitethernet 1/0/3
security-zone LAN
ip address 192.0.2.254/24
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
security-zone WAN
ip address 128.66.0.1/30
vrrp 3
ip address 203.0.113.2/30
group 1
enable
exit
exit
interface gigabitethernet 2/0/3
security-zone LAN
ip address 192.0.2.253/24
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
exit
security zone-pair WAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit |
...
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config)# security zone-pair WAN self
ESR-1(config-security-zone-pair)# rule 2
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol udp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group network ISAKMP
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# rule 3
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol esp
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit |
...
Добавим статический маршрут до встречной клиентской подсети через VTI-туннель:
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config)# ip route 128.66.1.0/24 128.66.0.5 |
...
...
| Блок кода |
|---|
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone WAN
exit
security zone LAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.1/24
priority 254 unit 1
priority 253 unit 2
group 1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/2
security-zone WAN
ip address 128.66.0.2/30
vrrp 3
ip address 203.0.113.2/30
group 1
enable
exit
exit
interface gigabitethernet 1/0/3
security-zone LAN
ip address 192.0.2.254/24
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
security-zone WAN
ip address 128.66.0.1/30
vrrp 3
ip address 203.0.113.2/30
group 1
enable
exit
exit
interface gigabitethernet 2/0/3
security-zone LAN
ip address 192.0.2.253/24
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
exit
security zone-pair WAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit |
...
| Примечание |
|---|
Аналогичную настройку требуется выполнить на устройстве, находящемся на другой стороне туннеля. |
Посмотреть состояние IPsec-туннеля можно с помощью команды:
...
| Блок кода | ||
|---|---|---|
| ||
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone WAN
exit
security zone LAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.1/24
priority 254 unit 1
priority 253 unit 2
group 1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/2
security-zone WAN
ip address 128.66.0.6/30
vrrp 3
ip address 203.0.113.2/30
group 1
enable
exit
exit
interface gigabitethernet 1/0/3
security-zone LAN
ip address 128.66.0.2/30
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
security-zone WAN
ip address 128.66.0.5/30
vrrp 3
ip address 203.0.113.2/30
group 1
enable
exit
exit
interface gigabitethernet 2/0/3
security-zone LAN
ip address 128.66.0.1/30
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair WAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair LAN WAN
rule 1
action permit
enable
exit
exit
ip route 0.0.0.0/0 203.0.113.1 |
...
Перейдем к настройке общих параметров для failover-сервисов, а именно к выбору: IP-адреса, с которого будут отправляться сообщения для синхронизации, IP-адреса получателя сообщений для синхронизации и синхронизации и VRRP-группу, на основе которой определяется состояние (основной/резервный) маршрутизатора при маршрутизатора при работе failover-сервисов:
...
| Блок кода |
|---|
cluster
cluster-interface bridge 1
unit 1
mac-address a2:00:00:10:c0:00
exit
unit 2
mac-address a2:00:00:10:d0:00
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
ip vrf PAIR_ONE
exit
ip vrf PAIR_TWO
exit
security zone SYNC
exit
security zone LAN_ONE
ip vrf forwarding PAIR_ONE
exit
security zone LAN_TWO
ip vrf forwarding PAIR_TWO
exit
security zone WAN_ONE
ip vrf forwarding PAIR_ONE
exit
security zone WAN_TWO
ip vrf forwarding PAIR_TWO
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.1/24
priority 254 unit 1
priority 253 unit 2
group 1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
exit
interface gigabitethernet 1/0/2.2
ip vrf forwarding PAIR_ONE
security-zone LAN_ONE
ip address 203.0.113.18/30
vrrp 4
ip address 192.0.2.1/24
priority 120
group 2
enable
exit
exit
interface gigabitethernet 1/0/2.3
ip vrf forwarding PAIR_TWO
security-zone LAN_TWO
ip address 203.0.113.22/30
vrrp 5
ip address 128.66.0.1/24
priority 110
group 3
enable
exit
exit
interface gigabitethernet 1/0/3.2
ip vrf forwarding PAIR_ONE
security-zone WAN_ONE
ip address 203.0.113.10/30
vrrp 2
ip address 203.0.113.2/30
group 2
enable
exit
exit
interface gigabitethernet 1/0/3.3
ip vrf forwarding PAIR_TWO
security-zone WAN_TWO
ip address 203.0.113.14/30
vrrp 3
ip address 203.0.113.6/30
group 3
enable
exit
exit
interface gigabitethernet 2/0/1
mode switchport
exit
interface gigabitethernet 2/0/2.2
ip vrf forwarding PAIR_ONE
security-zone LAN_ONE
ip address 203.0.113.17/30
vrrp 4
ip address 192.0.2.1/24
priority 110
group 2
enable
exit
exit
interface gigabitethernet 2/0/2.3
ip vrf forwarding PAIR_TWO
security-zone LAN_TWO
ip address 203.0.113.21/30
vrrp 5
ip address 128.66.0.1/24
priority 120
group 3
enable
exit
exit
interface gigabitethernet 2/0/3.2
ip vrf forwarding PAIR_ONE
security-zone WAN_ONE
ip address 203.0.113.9/30
vrrp 2
ip address 203.0.113.2/30
group 2
enable
exit
exit
interface gigabitethernet 2/0/3.3
ip vrf forwarding PAIR_TWO
security-zone WAN_TWO
ip address 203.0.113.13/30
vrrp 3
ip address 203.0.113.6/30
group 3
enable
exit
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
exit
security zone-pair LAN_ONE self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair LAN_TWO self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair WAN_ONE self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair WAN_TWO self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair LAN_ONE WAN_ONE
rule 1
action permit
enable
exit
exit
security zone-pair LAN_TWO WAN_TWO
rule 1
action permit
enable
exit
exit |
...
Просмотреть VRRP-статусы в разных VRF можно, используя команду команду show vrrp. Убедимся, что в одном VRF устройство находится в статусе Master, а в другом VRF – в статусе Backup:
...
Посмотреть вывод текущих сессий на устройстве можно с помощью команды show ip firewall sessions. Убедимся, что в выводе есть сессия только для того VRF, в котором устройство является в статусе Master:
...
Посмотреть вывод активных синхронизируемых сессий, используемых для работы firewal failover, на устройстве можно с помощью команды show ip firewall session failover external/internal. Убедимся, что для одного из VRF сессия находится в internal cash, а для второго VRF сессия находится в external cash:
...
| Блок кода | ||
|---|---|---|
| ||
ESR-2# show ip firewall sessions failover external vrf PAIR_ONE
Codes: E - expected, U - unreplied,
A - assured, C - confirmed
Prot Aging Inside source Inside destination Outside source Outside destination Pkts Bytes Status
----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------
tcp 0 192.0.2.10:47406 203.0.113.1:22 203.0.113.1:22 192.0.2.10:47406 -- -- AC
ESR-2# show ip firewall sessions failover internal vrf PAIR_ONE
ESR-2# show ip firewall sessions failover external vrf PAIR_TWO
ESR-2# show ip firewall sessions failover internal vrf PAIR_TWO
Codes: E - expected, U - unreplied,
A - assured, C - confirmed
Prot Aging Inside source Inside destination Outside source Outside destination Pkts Bytes Status
----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------
tcp 0 128.66.0.10:59108 203.0.113.5:22 203.0.113.5:22 128.66.0.10:59108 -- -- AC |
Пример настройки firewall failover для кластера из 3
...
юнитов
Задача:
Настроить firewall failover в кластере маршрутизаторов ESR-1, ESR-1 2 и ESR-2 3 со следующими параметрами:
- режим резервирования сессий unicastmulticast;
- номер UDP-порта службы резервирования 99992000;
- клиентская подсеть: 192.0.2.0/24.
Схема реализации Firewall failover для кластера из 3-х юнитов
...
| Блок кода | ||
|---|---|---|
| ||
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
unit 3
mac-address 68:13:e2:e2:05:28
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
hostname ESR-3 unit 3
security zone SYNC
exit
security zone WAN
exit
security zone LAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
ip address 198.51.100.252/24 unit 3
vrrp 1
ip address 198.51.100.1/24
priority 113254 unit 1
priority 112253 unit 2
priority 111252 unit 3
group 1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/2
security-zone WAN
ip address 128.66.0.12/29
vrrp 3
ip address 203.0.113.2/30
group 1
enable
exit
exit
interface gigabitethernet 1/0/3
security-zone LAN
ip address 128.66.0.4/29
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
security-zone WAN
ip address 128.66.0.13/29
vrrp 3
ip address 203.0.113.2/30
group 1
enable
exit
exit
interface gigabitethernet 2/0/3
security-zone LAN
ip address 128.66.0.5/29
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
interface gigabitethernet 3/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 3/0/2
security-zone WAN
ip address 128.66.0.14/29
vrrp 3
ip address 203.0.113.2/30
group 1
enable
exit
exit
interface gigabitethernet 3/0/3
security-zone LAN
ip address 128.66.0.6/29
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair WAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair LAN WAN
rule 1
action permit
enable
exit
exit
ip route 0.0.0.0/0 203.0.113.1 |
...
Перейдем к настройке общих параметров для failover-сервисов, а именно к выбору: IP-адреса, с которого будут отправляться сообщения для синхронизации, multicast группу и -группы, multicast IP-адрес адреса, на который будут отправляться сообщения для синхронизации, и VRRP-группугруппы, на основе которой определяется состояние (основной/резервный) маршрутизатора при работе failover-сервисов:
...
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config)# object-group service FAILOVER ESR-1(config-object-group-service)# port-range 2000 ESR-1(config-object-group-service)# exit |
| Scroll Pagebreak |
|---|
Создадим разрешающие правило для зоны безопасности SYNC, разрешив прохождение необходимого трафика для работы firewall failover:
...
| Блок кода | ||
|---|---|---|
| ||
ESR-2# show ip firewall sessions failover external
Codes: E - expected, U - unreplied,
A - assured, C - confirmed
Prot Aging Inside source Inside destination Outside source Outside destination Pkts Bytes Status
----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------
tcp 0 192.0.2.10:44812 128.66.1.1:22 128.66.1.1:22 192.0.2.10:44812 -- -- AC |
| Блок кода | ||
|---|---|---|
| ||
ESR-2#3# show ip firewall sessions failover external Codes: E - expected, U - unreplied, A - assured, C - confirmed Prot Aging Inside source Inside destination Outside source Outside destination Pkts Bytes Status ----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------ tcp 0 192.0.2.10:44812 128.66.1.1:22 128.66.1.1:22 192.0.2.10:44812 -- -- AC |
...
Посмотреть счетчики для кэшей firewall failover можно командой:
| Блок кода | ||
|---|---|---|
| ||
ESR-1# show ip firewall failover cache
Internal sessions cache counters:
Active entries: 1
Added: 5
Deleted: 4
Updated: 4
Failed adding: 0
No memory left: 0
No space left: 0
Failed deleting: 0
No entry found: 0
Failed updating: 0
No entry found: 0
External sessions cache counters:
Active entries: 0
Added: 0
Deleted: 0
Updated: 0
Installed to Kernel: 0
Failed adding: 0
No memory left: 0
No space left: 0
Failed deleting: 0
No entry found: 0
Failed updating: 0
No entry found: 0
Failed installing to Kernel: 0 |
| Scroll Pagebreak |
|---|
Настройка DHCP failover
DHCP-failover позволяет обеспечить высокую доступность службы DHCP.
...
| Блок кода | ||
|---|---|---|
| ||
cluster
cluster-interface bridge 1
unit 1
mac-address a2:00:00:10:c0:00
exit
unit 2
mac-address a2:00:00:10:d0:00
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
object-group service DHCP_SERVER
port-range 67
exit
object-group service DHCP_CLIENT
port-range 68
exit
security zone SYNC
exit
security zone LAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.1/24
priority 254 unit 1
priority 253 unit 2
group 1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/3
security-zone LAN
ip address 192.0.2.254/24
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/3
security-zone LAN
ip address 192.0.2.253/24
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol udp
match source-port object-group DHCP_CLIENT
match destination-port object-group DHCP_SERVER
enable
exit
exit
ip dhcp-server
ip dhcp-server pool TRUSTED
network 192.0.2.0/24
address-range 192.0.2.10-192.0.2.100
default-router 192.0.2.1
exit |
...
Перейдем к настройке общих параметров для failover-сервисов, а именно к выбору: IP-адреса, с которого будут отправляться сообщения для синхронизации, IP-адреса получателя сообщений для синхронизации и синхронизации и VRRP-группу, на основе которой определяется состояние (основной/резервный) маршрутизатора при маршрутизатора при работе failover-сервисов:
...
| Блок кода | ||
|---|---|---|
| ||
cluster
cluster-interface bridge 1
unit 1
mac-address a2:00:00:10:c0:00
exit
unit 2
mac-address a2:00:00:10:d0:00
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
object-group service DHCP_SERVER
port-range 67
exit
object-group service DHCP_CLIENT
port-range 68
exit
ip vrf LAN_ONE
exit
ip vrf LAN_TWO
exit
security zone SYNC
exit
security zone LAN_ONE
ip vrf forwarding LAN_ONE
exit
security zone LAN_TWO
ip vrf forwarding LAN_TWO
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.1/24
priority 254 unit 1
priority 253 unit 2
group 1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
exit
interface gigabitethernet 1/0/2.2
ip vrf forwarding LAN_ONE
security-zone LAN_ONE
ip address 192.0.2.254/24
vrrp 4
ip address 192.0.2.1/24
priority 120
group 2
enable
exit
exit
interface gigabitethernet 1/0/2.3
ip vrf forwarding LAN_TWO
security-zone LAN_TWO
ip address 128.66.0.254/24
vrrp 5
ip address 128.66.0.1/24
priority 110
group 3
enable
exit
exit
interface gigabitethernet 2/0/1
mode switchport
exit
interface gigabitethernet 2/0/2.2
ip vrf forwarding LAN_ONE
security-zone LAN_ONE
ip address 192.0.2.253/24
vrrp 4
ip address 192.0.2.1/24
priority 110
group 2
enable
exit
exit
interface gigabitethernet 2/0/2.3
ip vrf forwarding LAN_TWO
security-zone LAN_TWO
ip address 128.66.0.253/24
vrrp 5
ip address 128.66.0.1/24
priority 120
group 3
enable
exit
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
exit
security zone-pair LAN_ONE self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol udp
match source-port object-group DHCP_CLIENT
match destination-port object-group DHCP_SERVER
enable
exit
exit
security zone-pair LAN_TWO self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol udp
match source-port object-group DHCP_CLIENT
match destination-port object-group DHCP_SERVER
enable
exit
exit
ip dhcp-server vrf LAN_ONE
ip dhcp-server pool LAN_ONE vrf LAN_ONE
network 192.0.2.0/24
address-range 192.0.2.10-192.0.2.253
default-router 192.0.2.1
exit
ip dhcp-server vrf LAN_TWO
ip dhcp-server pool LAN_TWO vrf LAN_TWO
network 128.66.0.0/24
address-range 128.66.0.10-128.66.0.253
default-router 128.66.0.1
exit |
...
| Блок кода | ||
|---|---|---|
| ||
ESR-1# show ip dhcp binding vrf LAN_ONE IP address MAC / Client ID Binding type Lease expires at ---------------- ------------------------------------------------------------- ------------ -------------------- 192.0.2.10 50:52:e5:02:0c:00 active 2025-02-19 09:34:06 ESR-1# show ip dhcp binding vrf LAN_TWO IP address MAC / Client ID Binding type Lease expires at ---------------- ------------------------------------------------------------- ------------ -------------------- 128.66.0.10 50:6d:ae:02:0e:00 active 2025-02-19 09:34:09 |
| Scroll Pagebreak |
|---|
Настройка SNMP
Протокол SNMP (Simple Network Management Protocol) реализует модель «менеджер–агент» для централизованного управления сетевыми устройствами: агенты, установленные на устройствах, собирают данные, структурированные в MIB, а менеджер запрашивает информацию, мониторит состояние сети, контролирует производительность и вносит изменения в конфигурацию оборудования.
Подробный алгоритм настройки SNMP описан в разделе Настройка SNMP-сервера и отправки SNMP TRAP.
Пример настройки
Схема реализации SNMP
Задача:
- обеспечить возможность мониторинга сети через management-интерфейс каждого устройства в кластере:
- обеспечить возможность мониторинга состояния сети и внесения изменений в конфигурацию устройства, выполняющего роль VRRP Master;
- устройство управления (MGMT) доступно по IP-адресу 192.0.2.10.
...
| Блок кода |
|---|
cluster
cluster-interface bridge 1
unit 1
mac-address a2:00:00:10:c0:00
exit
unit 2
mac-address a2:00:00:10:d0:00
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone MGMT
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.1/24
priority 254 unit 1
priority 253 unit 2
group 1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/2
security-zone MGMT
ip address 192.0.2.254/24
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
security-zone MGMT
ip address 192.0.2.253/24
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
exit
security zone-pair MGMT self
rule 1
action permit
match protocol vrrp
enable
exit
exit |
...
| Блок кода |
|---|
cluster
cluster-interface bridge 1
unit 1
mac-address a2:00:00:10:c0:00
exit
unit 2
mac-address a2:00:00:10:d0:00
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.1/24
priority 254 unit 1
priority 253 unit 2
group 1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/2
security-zone WAN
ip address 128.66.0.6/30
vrrp 3
ip address 203.0.113.2/30
group 1
enable
exit
exit
interface gigabitethernet 1/0/3
security-zone LAN
ip address 128.66.0.2/30
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
security-zone WAN
ip address 128.66.0.5/30
vrrp 3
ip address 203.0.113.2/30
group 1
enable
exit
exit
interface gigabitethernet 2/0/3
security-zone LAN
ip address 128.66.0.1/30
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair WAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair LAN WAN
rule 1
action permit
enable
exit
exit |
| Scroll Pagebreak |
|---|
Решение:
Создадим список IP-адресов, которые будут иметь возможность выхода в Интернет:
...
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config-snat)# ruleset SNAT
ESR-1(config-snat-ruleset)# to zone WAN
ESR-1(config-snat-ruleset)# rule 1
ESR-1(config-snat-rule)# match source-address object-group network INTERNET_USERS
ESR-1(config-snat-rule)# action source-nat pool TRANSLATE_ADDRESS
ESR-1(config-snat-rule)# enable
ESR-1(config-snat-rule)# exit
ESR-1(config-snat-ruleset)# exit
ESR-1(config-snat)# exit |
...
| Блок кода |
|---|
cluster
cluster-interface bridge 1
unit 1
mac-address a2:00:00:10:c0:00
exit
unit 2
mac-address a2:00:00:10:d0:00
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.1/24
priority 254 unit 1
priority 253 unit 2
group 1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/2
security-zone WAN
ip address 128.66.0.6/30
vrrp 3
ip address 203.0.113.2/30
group 1
enable
exit
exit
interface gigabitethernet 1/0/3
security-zone LAN
ip address 128.66.0.2/30
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
security-zone WAN
ip address 128.66.0.5/30
vrrp 3
ip address 203.0.113.2/30
group 1
enable
exit
exit
interface gigabitethernet 2/0/3
security-zone LAN
ip address 128.66.0.1/30
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair WAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit |
...
Создадим профиль адреса сервера из WAN-сети, с которого будем принимать:
...
Войдем в режим конфигурирования функции DNAT и создадим пул адресов, в которые будут транслироваться адреса пакетов, поступающие на адрес 1.2.3.4 из внешней сети^сети:
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config)# nat destination ESR-1(config-dnat)# pool DMZ ESR-1(config-dnat-pool)# ip address 192.0.2.10 ESR-1(config-dnat-pool)# exit |
...
| Блок кода | ||
|---|---|---|
| ||
cluster
cluster-interface bridge 1
unit 1
mac-address a2:00:00:10:c0:00
exit
unit 2
mac-address a2:00:00:10:d0:00
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.1/24
priority 254 unit 1
priority 253 unit 2
group 1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/2
security-zone LAN
ip address 192.0.2.254/24
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
interface gigabitethernet 1/0/3
security-zone WAN
ip address 128.66.0.2/30
vrrp 3
ip address 203.0.113.1/30
group 1
enable
exit
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
security-zone LAN
ip address 192.0.2.253/24
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
interface gigabitethernet 2/0/3
security-zone WAN
ip address 128.66.0.1/30
vrrp 3
ip address 203.0.113.1/30
group 1
enable
exit
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit
security zone-pair WAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit |
| Scroll Pagebreak |
|---|
Решение:
Настроем firewall для приема маршрутизатором BGP-трафика из зоны безопасности WAN:
...
| Блок кода |
|---|
ESR-1(config-bgp)# neighbor 203.0.113.2 ESR-1(config-bgp-neighbor)# remote-as 64501 ESR-1(config-bgp-neighbor)# update-source 203.0.113.1 |
| Scroll Pagebreak |
|---|
И включим обмен IPv4-маршрутами:
...
| Блок кода | ||
|---|---|---|
| ||
cluster
cluster-interface bridge 1
unit 1
mac-address a2:00:00:10:c0:00
exit
unit 2
mac-address a2:00:00:10:d0:00
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.1/24
priority 254 unit 1
priority 253 unit 2
group 1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/2
security-zone LAN
ip address 192.0.2.254/24
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
interface gigabitethernet 1/0/3
security-zone WAN
ip address 203.0.113.1/30
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
security-zone LAN
ip address 192.0.2.253/24
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
interface gigabitethernet 2/0/3
security-zone WAN
ip address 203.0.113.5/30
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit
security zone-pair WAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit |
...
| Блок кода | ||
|---|---|---|
| ||
cluster
cluster-interface bridge 1
unit 1
mac-address a2:00:00:10:a0:00
exit
unit 2
mac-address a2:00:00:10:b0:00
exit
enable
exit
hostname HUB-1 unit 1
hostname HUB-2 unit 2
security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit
ip access-list extended LOCAL_1
rule 1
action permit
match source-address 198.51.100.2 255.255.255.255
enable
exit
exit
ip access-list extended LOCAL_2
rule 1
action permit
match source-address 198.51.100.6 255.255.255.255
enable
exit
exit
route-map PBR_LOCAL
rule 1
match ip access-group LOCAL_1
action set ip next-hop verify-availability 198.51.100.1 1
exit
rule 2
match ip access-group LOCAL_2
action set ip next-hop verify-availability 198.51.100.5 1
exit
exit
route-map DMVPN_BGP_OUT_CLOUD_TWO
rule 1
match ip address 0.0.0.0/0
action set metric bgp 2000
exit
exit
route-map DMVPN_BGP_OUT_CLOUD_ONE
rule 1
match ip address 0.0.0.0/0
action set metric bgp 1000
exit
exit
ip local policy route-map PBR_LOCAL
bridge 1
vlan 1
security-zone SYNC
ip address 192.0.2.5/29 unit 1
ip address 192.0.2.6/29 unit 2
vrrp 1
ip address 192.0.2.1/29
priority 5 unit 1
priority 6 unit 2
group 1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/2.100
security-zone WAN
ip address 192.0.2.9/29
vrrp 2
ip address 198.51.100.2/30
group 1
enable
exit
wan load-balance nexthop 198.51.100.1
wan load-balance enable
exit
interface gigabitethernet 1/0/2.200
security-zone WAN
ip address 192.0.2.17/29
vrrp 3
ip address 198.51.100.6/30
group 1
enable
exit
wan load-balance nexthop 198.51.100.5
wan load-balance enable
exit
interface gigabitethernet 1/0/3
security-zone LAN
ip address 128.66.0.2/24
vrrp 4
ip address 128.66.0.1/24
group 1
enable
exit
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2.100
security-zone WAN
ip address 192.0.2.10/29
vrrp 2
ip address 198.51.100.2/30
group 1
enable
exit
wan load-balance nexthop 198.51.100.1
wan load-balance enable
exit
interface gigabitethernet 2/0/2.200
security-zone WAN
ip address 192.0.2.18/29
vrrp 3
ip address 198.51.100.6/30
group 1
enable
exit
wan load-balance nexthop 198.51.100.5
wan load-balance enable
exit
interface gigabitethernet 2/0/3
security-zone LAN
ip address 128.66.0.3/24
vrrp 4
ip address 128.66.0.1/24
group 1
enable
exit
exit
security zone-pair SYNC self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit
security zone-pair WAN self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit
ip route 0.0.0.0/0 wan load-balance rule 1
wan load-balance rule 1
outbound interface gigabitethernet 1/0/2.100
outbound interface gigabitethernet 1/0/2.200
outbound interface gigabitethernet 2/0/2.200
outbound interface gigabitethernet 2/0/2.100
enable
exit |
...
Создадим туннели mGRE, каждый через свой CLOUD, определим принадлежность к зоне безопасности, настроим NHRP и включим туннель и NHRP командой enable:
| Блок кода |
|---|
HUB-1(config)# security zone DMVPN_C_ONE HUB-1(config-security-zone)# exit HUB-1(config)# security zone DMVPN_C_TWO HUB-1(config-security-zone)# exit HUB-1(config)# tunnel gre 1 HUB-1(config-gre)# key 1000 HUB-1(config-gre)# ttl 64 HUB-1(config-gre)# mtu 1400 HUB-1(config-gre)# multipoint HUB-1(config-gre)# security-zone DMVPN_C_ONE HUB-1(config-gre)# local address 198.51.100.2 HUB-1(config-gre)# ip address 203.0.113.1/25 HUB-1(config-gre)# ip tcp adjust-mss 1360 HUB-1(config-gre)# ip nhrp redirect HUB-1(config-gre)# ip nhrp multicast dynamic HUB-1(config-gre)# ip nhrp enable HUB-1(config-gre)# enable HUB-1(config-gre)# exit HUB-1(config)# tunnel gre 2 HUB-1(config-gre)# key 2000 HUB-1(config-gre)# ttl 64 HUB-1(config-gre)# mtu 1400 HUB-1(config-gre)# multipoint HUB-1(config-gre)# security-zone DMVPN_C_TWO HUB-1(config-gre)# local address 198.51.100.6 HUB-1(config-gre)# ip address 203.0.113.129/25 HUB-1(config-gre)# ip tcp adjust-mss 1360 HUB-1(config-gre)# ip nhrp redirect HUB-1(config-gre)# ip nhrp multicast dynamic HUB-1(config-gre)# ip nhrp enable HUB-1(config-gre)# enable HUB-1(config-gre)# exit |
...
Произведём настройку протокола динамической маршрутизации для SPOKE-1. В примере это будет eBGP, для которого необходимо явно разрешить анонсирование подсетей. Анонсируем LAN-подсети в сторону HUB, используя network в address-family.
...
Произведём настройку IPsec для SPOKE-1, настроим ike proposal, ike policy и ike gateway. В ike gateway дополнительно настроим dpd, для ускорения перестроения туннелей, в случае если выйдет из строя Active-устройство:
...