...
| Примечание |
|---|
В конфигурации может одновременно находиться hostname с unit и hostname без unit. Более приоритетным является hostname, указанный с привязкой к unit. |
| Scroll Pagebreak |
|---|
Чтобы изменить юнит устройства, выполните следующие команды:
...
Для полноценной работы кластера требуется сконфигурировать кластерный интерфейс, который будет использоваться для передачи control plane трафика. В качестве кластерного интерфейса назначен bridge. В качестве механизма, отвечающего за определение ролей устройств, участвующих в резервировании, назначен протокол VRRP. Настройки cluster-интерфейса должны быть идентичны для всех участников кластера.
| Scroll Pagebreak |
|---|
Так как кластер выполняет синхронизацию состояний между устройствами, необходимо создать зону безопасности SYNC (synchronization):
...
| Примечание |
|---|
В текущей версии ПО в качестве cluster-интерфейса поддержан только bridge. |
| Scroll Pagebreak |
|---|
Укажите, к какому VLAN относится bridge, и зону безопасности:
...
| Примечание |
|---|
Адрес VRRP должен быть из той же подсети, что и адреса на интерфейсе. |
| Scroll Pagebreak |
|---|
| Примечание | |||||
|---|---|---|---|---|---|
Также на VRRP-интерфейсе можно назначить разные приоритеты для разных юнитов.
|
Включите протокол VRRP и bridge:
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config-vrrp)# enable ESR-1(config-vrrp)# exit ESR-1(config-bridge)# enable ESR-1(config-bridge)# exit |
...
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config)# interface gigabitethernet 1/0/1 ESR-1(config-if-gi)# description "Network: SYNC" ESR-1(config-if-gi)# mode switchport ESR-1(config-if-gi)# exit ESR-1(config)# interface gigabitethernet 2/0/1 ESR-1(config-if-gi)# description "Network: SYNC" ESR-1(config-if-gi)# mode switchport ESR-1(config-if-gi)# exit |
| Scroll Pagebreak |
|---|
Для проверки работы протокола VRRP выполните следующую команду:
...
Можно увидеть, что устройство приняло состояние Backup. Через 10 секунд устройство примет состояние Master.
| Scroll Pagebreak |
|---|
Настройка кластера
Для запуска кластера необходимо указать заранее настроенный кластерный интерфейс и юниты, которые будут выполнять роли Active и Standby.
...
| Примечание |
|---|
Для активации процесса ZTP необходимо на втором устройстве запустить dhcp-client на bridge-интерфейсе, логический или физический интерфейс которого будет включен в кластерный интерфейс первого устройства. В качестве примера такой конфигурации подойдет factory-конфигурация (в factory-конфигурации для vESR нет настроенного dhcp-client). В процессе ZTP устройство автоматически выставит себе: 1) Конфигурацию; 2) Юнит; 3) Версию ПО, на котором работает Active ESR; 4) Лицензию, если она предварительно загружена на Active ESR. |
| Scroll Pagebreak |
|---|
После выполнения этих шагов кластер будет успешно запущен. Текущее состояние кластера можно узнать, выполнив команду:
...
| Примечание |
|---|
В текущей версии ПО не поддержано синхронное шифрование паролей, вводимых не в encryption-виде. Такие пароли будут зашифрованы каждым из участников кластера самостоятельно. |
| Scroll Pagebreak |
|---|
| Примечание |
|---|
Через минуту после включения кластера синхронизируется время, на Standby установится время Active-юнита. Синхронизация времени проверяется раз в минуту, в случае расхождения время синхронизируется. |
...
System prompt позволяет отобразить оперативное состояние кластера непосредственно в строке приглашения CLI устройства, что упрощает получение актуальной информации.
Варианты настройки system prompt, включая доступные параметры и синтаксис команды, приведены в разделе Настройка общесистемных параметров.
Пример настройки
Задача:
Настроить system prompt в кластере маршрутизаторов ESR-1 и ESR-2 со следующими параметрами:
...
| Блок кода | ||
|---|---|---|
| ||
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.1/24
priority 254 unit 1
priority 253 unit 2
group 1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
exit |
| Scroll Pagebreak |
|---|
Решение:
Перейдем в режим конфигурирования устройства:
...
Port-channel U/N позволяет объединять каналы в группы агрегации для конкретного устройства в составе группы (unit), обеспечивая единообразие конфигурации кластера и возможность индивидуальной настройки агрегации на каждом юните.
Варианты настройки port-channel, включая доступные параметры и синтаксис команды, приведены в разделе Типы и порядок именования интерфейсов маршрутизатора.
Пример настройки
Задача:
Настроить port-channel U/N в кластере маршрутизаторов ESR-1 и ESR-2 для передачи Control Plane-трафика кластера через агрегированный интерфейс.
...
| Блок кода | ||
|---|---|---|
| ||
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.1/24
priority 254 unit 1
priority 253 unit 2
group 1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
exit |
| Scroll Pagebreak |
|---|
Создадим для каждого юнита собственный агрегированный интерфейс:
...
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config)# interface gigabitethernet 1/0/1 ESR-1(config-if-gi)# channel-group 1 mode auto ESR-1(config-if-gi)# exit ESR-1(config)# interface gigabitethernet 2/0/1 ESR-1(config-if-gi)# channel-group 1 mode auto ESR-1(config-if-gi)# exit ESR-1(config)# interface gigabitethernet 1/0/2 ESR-1(config-if-gi)# mode switchport ESR-1(config-if-gi)# channel-group 1 mode auto ESR-1(config-if-gi)# spanning-tree disable ESR-1(config-if-gi)# exit ESR-1(config)# interface gigabitethernet 2/0/2 ESR-1(config-if-gi)# mode switchport ESR-1(config-if-gi)# channel-group 1 mode auto ESR-1(config-if-gi)# spanning-tree disable ESR-1(config-if-gi)# exit ESR-1# commit Configuration has been successfully applied and saved to flash. Commit timer started, changes will be. ESR-1# confirm Configuration has been confirmed. Commit timer canceled. |
| Scroll Pagebreak |
|---|
Проверить состояние работы port-channel можно с помощью команды:
...
| Примечание |
|---|
Юнитизированный агрегированный интерфейс для Control Plane-трафика показан как пример. Можно использовать и для передачи Data Plane-трафика. |
| Scroll Pagebreak |
|---|
Настройка MultiWAN
Технология MultiWAN позволяет организовать отказоустойчивое соединение с резервированием линков от нескольких провайдеров.
...
Добавим статический маршрут до встречной клиентской подсети через VTI-туннель:
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config)# ip route 128.66.1.0/24 128.66.0.5 |
...
...
Перейдем к настройке общих параметров для failover-сервисов, а именно к выбору: IP-адреса, с которого будут отправляться сообщения для синхронизации, IP-адреса получателя сообщений для синхронизации и синхронизации и VRRP-группу, на основе которой определяется состояние (основной/резервный) маршрутизатора при маршрутизатора при работе failover-сервисов:
...
Просмотреть VRRP-статусы в разных VRF можно, используя команду команду show vrrp. Убедимся, что в одном VRF устройство находится в статусе Master, а в другом VRF – в статусе Backup:
...
Посмотреть вывод текущих сессий на устройстве можно с помощью команды show ip firewall sessions. Убедимся, что в выводе есть сессия только для того VRF, в котором устройство является в статусе Master:
...
Посмотреть вывод активных синхронизируемых сессий, используемых для работы firewal failover, на устройстве можно с помощью команды show ip firewall session failover external/internal. Убедимся, что для одного из VRF сессия находится в internal cash, а для второго VRF сессия находится в external cash:
...
Перейдем к настройке общих параметров для failover-сервисов, а именно к выбору: IP-адреса. , с которого будут отправляться сообщения для синхронизации, multicast-группугруппы, multicast IP-адресадреса, на который будут отправляться сообщения для синхронизации, и VRRP-группугруппы, на основе которой определяется состояние (основной/резервный) маршрутизатора при работе failover-сервисов:
...
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config)# object-group service FAILOVER ESR-1(config-object-group-service)# port-range 2000 ESR-1(config-object-group-service)# exit |
| Scroll Pagebreak |
|---|
Создадим разрешающие правило для зоны безопасности SYNC, разрешив прохождение необходимого трафика для работы firewall failover:
...
| Блок кода | ||
|---|---|---|
| ||
ESR-3# show ip firewall sessions failover external
Codes: E - expected, U - unreplied,
A - assured, C - confirmed
Prot Aging Inside source Inside destination Outside source Outside destination Pkts Bytes Status
----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------
tcp 0 192.0.2.10:44812 128.66.1.1:22 128.66.1.1:22 192.0.2.10:44812 -- -- AC |
...
Посмотреть счетчики для кэшей firewall failover можно командой:
| Блок кода | ||
|---|---|---|
| ||
ESR-1# show ip firewall failover cache
Internal sessions cache counters:
Active entries: 1
Added: 5
Deleted: 4
Updated: 4
Failed adding: 0
No memory left: 0
No space left: 0
Failed deleting: 0
No entry found: 0
Failed updating: 0
No entry found: 0
External sessions cache counters:
Active entries: 0
Added: 0
Deleted: 0
Updated: 0
Installed to Kernel: 0
Failed adding: 0
No memory left: 0
No space left: 0
Failed deleting: 0
No entry found: 0
Failed updating: 0
No entry found: 0
Failed installing to Kernel: 0 |
| Scroll Pagebreak |
|---|
Настройка DHCP failover
DHCP-failover позволяет обеспечить высокую доступность службы DHCP.
...
Перейдем к настройке общих параметров для failover-сервисов, а именно к выбору: IP-адреса, с которого будут отправляться сообщения для синхронизации, IP-адреса получателя сообщений для синхронизации и синхронизации и VRRP-группу, на основе которой определяется состояние (основной/резервный) маршрутизатора при маршрутизатора при работе failover-сервисов:
...
| Блок кода | ||
|---|---|---|
| ||
ESR-1# show ip dhcp binding vrf LAN_ONE IP address MAC / Client ID Binding type Lease expires at ---------------- ------------------------------------------------------------- ------------ -------------------- 192.0.2.10 50:52:e5:02:0c:00 active 2025-02-19 09:34:06 ESR-1# show ip dhcp binding vrf LAN_TWO IP address MAC / Client ID Binding type Lease expires at ---------------- ------------------------------------------------------------- ------------ -------------------- 128.66.0.10 50:6d:ae:02:0e:00 active 2025-02-19 09:34:09 |
| Scroll Pagebreak |
|---|
Настройка SNMP
Протокол SNMP (Simple Network Management Protocol) реализует модель «менеджер–агент» для централизованного управления сетевыми устройствами: агенты, установленные на устройствах, собирают данные, структурированные в MIB, а менеджер запрашивает информацию, мониторит состояние сети, контролирует производительность и вносит изменения в конфигурацию оборудования.
...
| Блок кода |
|---|
cluster
cluster-interface bridge 1
unit 1
mac-address a2:00:00:10:c0:00
exit
unit 2
mac-address a2:00:00:10:d0:00
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.1/24
priority 254 unit 1
priority 253 unit 2
group 1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/2
security-zone WAN
ip address 128.66.0.6/30
vrrp 3
ip address 203.0.113.2/30
group 1
enable
exit
exit
interface gigabitethernet 1/0/3
security-zone LAN
ip address 128.66.0.2/30
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
security-zone WAN
ip address 128.66.0.5/30
vrrp 3
ip address 203.0.113.2/30
group 1
enable
exit
exit
interface gigabitethernet 2/0/3
security-zone LAN
ip address 128.66.0.1/30
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair WAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair LAN WAN
rule 1
action permit
enable
exit
exit |
| Scroll Pagebreak |
|---|
Решение:
Создадим список IP-адресов, которые будут иметь возможность выхода в Интернет:
...
Создадим профиль адреса сервера из WAN-сети, с которого будем принимать:
...
| Блок кода | ||
|---|---|---|
| ||
cluster
cluster-interface bridge 1
unit 1
mac-address a2:00:00:10:c0:00
exit
unit 2
mac-address a2:00:00:10:d0:00
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.1/24
priority 254 unit 1
priority 253 unit 2
group 1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/2
security-zone LAN
ip address 192.0.2.254/24
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
interface gigabitethernet 1/0/3
security-zone WAN
ip address 128.66.0.2/30
vrrp 3
ip address 203.0.113.1/30
group 1
enable
exit
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
security-zone LAN
ip address 192.0.2.253/24
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
interface gigabitethernet 2/0/3
security-zone WAN
ip address 128.66.0.1/30
vrrp 3
ip address 203.0.113.1/30
group 1
enable
exit
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit
security zone-pair WAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit |
| Scroll Pagebreak |
|---|
Решение:
Настроем firewall для приема маршрутизатором BGP-трафика из зоны безопасности WAN:
...
| Блок кода |
|---|
ESR-1(config-bgp)# neighbor 203.0.113.2 ESR-1(config-bgp-neighbor)# remote-as 64501 ESR-1(config-bgp-neighbor)# update-source 203.0.113.1 |
| Scroll Pagebreak |
|---|
И включим обмен IPv4-маршрутами:
...