Drawio | ||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Адресация для GRE:
Подсети
№ стенда | VLAN/subnet tunnel IP (MES) | VLAN/subnet GRE temination (ESR) | subnet AP MGMT (ESR) | subnet AP USER SSID1 (ESR) | VLAN/subnet AP USER SSID2 local-sw | VLAN/subnet admin (ESR)VLAN/ | subnet admin (MES) | ||
---|---|---|---|---|---|---|---|---|---|
1 | 2001 / 192.168.101.0/24 | 2011 / 172.16.101.0/28 | 172.31.101.0/24 | 100.64.1.0/24 | 2021 / 100.64.101.0/24 | 10.10.2.4151/24 | 10.10.2.201211/24 | ||
2 | 2002 / 192.168.102.0/24 | 2011 2012 / 172.16.102.0/28 | 172.31.102.0/24 | 100.64.2.0/24 | 2022 / 100.64.102.0/24 | 10.10.2.5162/24 | 10.10.2.2022/24 | ||
3 | 2003 / 192.168.103.0/24 | 2011 2013 / 172.16.103.0/28 | 172.31.103.0/24 | 100.64.3.0/24 | 2023 / 100.64.103.0/24 | 10.10.2.6153/24 | 10.10.2.203213/24 | ||
4 | 2004 / 192.168.104.0/24 | 2011 2014 / 172.16.104.0/28 | 172.31.104.0/24 | 100.64.4.0/24 | 2024 / 100.64.104.0/24 | 10.10.2.7154/24 | 10.10.2.2044/24 | ||
5 | 2005 / 192.168.105.0/24 | 2011 2015 / 172.16.105.0/28 | 172.31.105.0/24 | 100.64.5.0/24 | 2025 / 100.64.105.0/24 | 10.10.2.8155/24 | 10.10.2.2055/24 | ||
6 | 2006 / 192.168.106.0/24 | 2011 2016 / 172.16.106.0/28 | 172.31.106.0/24 | 100.64.6.0/24 | 2026 / 100.64.106.0/24 | 10.10.2.9156/24 | 10.10.2.206216/24 | ||
7 | 2007 / 192.168.107.0/24 | 2011 2017 / 172.16.107.0/28 | 172.31.107.0/24 | 100.64.7.0/24 | 2027 / 100.64.107.0/24 | 10.10.2.10157/24 | 10.10.2.2077/24 | ||
8 | 2008 / 192.168.108.0/24 | 2011 2018 / 172.16.108.0/28 | 172.31.108.0/24 | 100.64.8.0/24 | 2028 / 100.64.108.0/24 | 10.10.2.11158/24 | 10.10.2.208218/24 | ||
9 | 2009 / 192.168.109.0/24 | 20112019 / 172.16.109.0/28 | 172.31.109.0/24 | 100.64.9.0/24 | 2029 / 100.64.109.0/24 | 10.10.2. | 12159/24 | 10.10.2. | 209219/24 |
10 | 2010 / 192.168.110.0/24 | 2011 2020 / 172.16.110.0/28 | 172.31.110.0/24 | 100.64.10.0/24 | 2030 / 100.64.110.0/24 | 10.10.2.13150/24 | 10.10.2.210/24 | ||
Адрес SoftWLC, ISC-DHCP 10.10.2.254.
Доступ MES admin / admin
Доступ ESR admin / password
Настройка MES
Начальная конфигурация:
Блок кода | ||||
---|---|---|---|---|
| ||||
vlan database
vlan 10
exit
!
hostname MES09
!
interface gigabitethernet1/0/1
switchport mode general
switchport general allowed vlan add 10 untagged
switchport general pvid 10
switchport forbidden default-vlan
exit
!
interface gigabitethernet1/0/2
switchport mode general
switchport general allowed vlan add 10 untagged
switchport general pvid 10
switchport forbidden default-vlan
exit
!
interface gigabitethernet1/0/3
switchport mode general
switchport general allowed vlan add 10 untagged
switchport general pvid 10
switchport forbidden default-vlan
exit
!
interface vlan 1
no ip address dhcp
exit
!
interface vlan 10
ip address 10.10.2.219 255.255.255.0
exit
!
!
end
|
Полная конфигурация:
Без форматирования |
---|
no spanning-tree ip dhcp relay address 10.10.2.149254 ip dhcp relay enable vlan database vlan 2001, vlan 2011, vlan 2021 exit interface vlan 2001 2009, 2019, 2029 exit interface gigabitethernet1/0/1 switchport mode general switchport general allowed vlan add 2019 tagged exit interface gigabitethernet1/0/2 switchport mode general switchport general allowed vlan add 2029 tagged switchport general allowed vlan add 2009 untagged switchport general pvid 2009 switchport forbidden default-vlan exit interface gigabitethernet1/0/3 switchport mode general switchport general allowed vlan add 2029 tagged switchport general allowed vlan add 2009 untagged switchport general pvid 2009 switchport forbidden default-vlan exit interface vlan 2009 ip address 192.168.101109.1 /24 ip dhcp relay enable exit interface vlan 20112019 ip address 172.16.101109.45 /28 ip dhcp relay enable exit interface vlan 20212029 ip address 100.64.101109.1 /24 ip dhcp relay enable exit ip route |
Настройка ESR
...
Начальная конфигурация:
Блок кода | ||||||
---|---|---|---|---|---|---|
| ||||||
hostname ESR09
vlan 10
exit
bridge 1
description "UpLink"
vlan 10
ip firewall disable
ip address 10.10.2.159/24
enable
exit
interface gigabitethernet 1/0/1
mode switchport
switchport forbidden default-vlan
switchport mode trunk
switchport trunk native-vlan 10
exit
security passwords history 0
ip telnet server
ip ssh server |
Установка лицензии:
Без форматирования |
---|
4# show system id
Serial number:
NP15008778
4# copy tftp://10.10.2.254:/NP15008778.lic system:licence
4# reload system |
Проверка:
Без форматирования |
---|
ESR11# show licence
Licence information
-------------------
Name: eltex
Version: 1.0
Type: ESR-200
S/N: NP15008778
MAC: E4:5A:D4:00:AA:9B
Features:
WIFI - Wi-Fi controller
BRAS - Broadband Remote Access Server |
Полная конфигурация ESR:
Без форматирования |
---|
hostname ESR01 object-group service dhcp_server port-range 67 exit object-group service dhcp_client port-range 68 exit object-group service ssh port-range 22 exit object-group service telnet port-range 23 exit object-group service ntp port-range 123 exit object-group network MGMT ip prefix 10.10.2.0/24 ip prefix 172.31.101109.0/24 ip prefix 172.16.101109.0/28 exit object-group network nat_users ip prefix 100.64.19.10/24 exit radius-server timeout 10 radius-server host 10.10.2.149254 key ascii-text testing123 timeout 11 source-address 10.10.2.4159 auth-port 31812 acct-port 31813 retransmit 2 dead-interval 10 exit aaa radius-profile PCRF radius-server host 10.10.2.149254 exit das-server COA key ascii-text encrypted testing123 port 3799 clients object-group MGMT exit aaa das-profile COA das-server COA exit vlan 10,2019 exit no spanning-tree domain lookup enable domain name-server 1077.1088.28.1498 security zone trusted exit security zone untrusted exit security zone user exit security zone gre exit bridge 1 description "UpLink" vlan 10 security-zone untrusted ip firewall disable ip address 10.10.2.159/24 enable exit bridge 2 description "GRE_termination" vlan 2019 security-zone gre ip firewall disable ip address 172.16.109.1/28 ip address 172.16.109.2/28 enable exit bridge 3 description "AP_MANAGMENT" security-zone trusted ip firewall disable ip address 172.31.109.1/24 ip helper-address 10.10.2.254 ip tcp adjust-mss 1418 protected-ports local enable exit bridge 10 description "AP_SSID1_USERS" security-zone user ip firewall disable ip address 100.64.9.1/24 ip helper-address 10.10.2.254 ip tcp adjust-mss 1418 location data10 protected-ports local enable exit interface gigabitethernet 1/0/1 mode switchport switchport forbidden default-vlan switchport mode trunk switchport trunk native-vlan 10 switchport trunk allowed vlan add 2019 exit tunnel softgre 1 description "managment" mode management local address 172.16.109.1 default-profile enable exit tunnel softgre 1.1 bridge-group 3 enable exit tunnel softgre 2 description "data" mode data local address 172.16.109.2 default-profile enable exit snmp-server snmp-server system-shutdown snmp-server community "public" ro snmp-server community "private" rw snmp-server host 10.10.2.149254 exit snmp-server enable traps snmp-server enable traps config snmp-server enable traps config commit snmp-server enable traps config confirm snmp-server enable traps environment snmp-server enable traps environment pwrin snmp-server enable traps environment pwrin-insert snmp-server enable traps environment fan snmp-server enable traps environment fan-speed-changed snmp-server enable traps environment fan-speed-high snmp-server enable traps environment memory-flash-critical-low snmp-server enable traps environment memory-flash-low snmp-server enable traps environment memory-ram-critical-low snmp-server enable traps environment memory-ram-low snmp-server enable traps environment cpu-load snmp-server enable traps environment cpu-critical-temp snmp-server enable traps environment cpu-overheat-temp snmp-server enable traps environment cpu-supercooling-temp snmp-server enable traps environment board-overheat-temp snmp-server enable traps environment board-supercooling-temp snmp-server enable traps environment sfp-overheat-temp snmp-server enable traps environment sfp-supercooling-temp snmp-server enable traps environment switch-overheat-temp snmp-server enable traps environment switch-supercooling-temp snmp-server enable traps ports snmp-server enable traps ports port-counters-errors snmp-server enable traps wifi snmp-server enable traps wifi wifi-tunnels-number-in-bridge-high snmp-server enable traps file-operations snmp-server enable traps file-operations successful snmp-server enable traps file-operations failed snmp-server enable traps file-operations canceled snmp-server enable traps interfaces snmp-server enable traps interfaces rx-utilization-high snmp-server enable traps interfaces tx-utilization-high snmp-server enable traps interfaces number-high snmp-server enable traps bras snmp-server enable traps bras sessions-number-high snmp-server enable traps screen snmp-server enable traps screen dest-limit snmp-server enable traps screen source-limit snmp-server enable traps screen icmp-threshold snmp-server enable traps screen udp-threshold snmp-server enable traps screen syn-flood snmp-server enable traps screen land snmp-server enable traps screen winnuke snmp-server enable traps screen icmp-frag snmp-server enable traps screen udp-frag snmp-server enable traps screen icmp-large snmp-server enable traps screen syn-frag snmp-server enable traps screen unknown-proto snmp-server enable traps screen ip-frag snmp-server enable traps screen port-scan snmp-server enable traps screen ip-sweep snmp-server enable traps screen syn-fin snmp-server enable traps screen fin-no-ack snmp-server enable traps screen no-flag snmp-server enable traps screen spoofing snmp-server enable traps screen reserved snmp-server enable traps screen quench snmp-server enable traps screen echo-request snmp-server enable traps screen time-exceeded snmp-server enable traps screen unreachable snmp-server enable traps screen tcp-all-flags snmp-server enable traps entity snmp-server enable traps entity config-change snmp-server enable traps entity-sensor snmp-server enable traps entity-sensor threshold snmp-server enable traps envmon snmp-server enable traps envmon fan snmp-server enable traps envmon shutdown snmp-server enable traps envmon supply snmp-server enable traps envmon temperature snmp-server enable traps flash snmp-server enable traps flash insertion snmp-server enable traps flash removal snmp-server enable traps snmp snmp-server enable traps snmp authentication snmp-server enable traps snmp coldstart snmp-server enable traps snmp linkdown snmp-server enable traps snmp linkup snmp-server enable traps syslog bridge 3 description "AP_MANAGMENT" security-zone trusted ip firewall disable ip address 172.31.101.1/24 ip helper-address 10.10.2.149 ip tcp adjust-mss 1418 protected-ports local enable exit bridge 10 description "AP_SSID1_USERS" security-zone user ip firewall disable ip address 100.64.1.1/24 ip helper-address 10.10.2.149 ip tcp adjust-mss 1418 location data10 protected-ports local enable exit interface gigabitethernet 1/0/1.2011 description "GRE_AP" security-zone gre ip firewall disable ip address 172.16.101.1/28 ip address 172.16.101.2/28 exit interface gigabitethernet 1/0/1 description "UpLink" security-zone trusted ip firewall disable ip address 10.10.2.4/24 ip tcp adjust-mss 1418 exit tunnel softgre 1 description "managment" mode management local address 172.16.101.1 default-profile enable exit tunnel softgre 1.1 bridge-group 3 enable exit tunnel softgre 2 description "data" mode data local address 172.16.101.2 default-profile enable exit security zone-pair gre self rule 1 action permit match protocol gre enable exit rule 2 action permit match protocol icmp enable exit exit security zone-pair trusted self rule 1 action permit match source-address MGMT enable exit exit security zone-pair trusted trusted rule 1 action permit match source-address MGMT enable exit exit security zone-pair trusted user rule 1 action permit enable exit exit security zone-pair trusted gre rule 1 action permit enable exit exit security zone-pair user self rule 1 action permit match protocol udp match source-port dhcp_client match destination-port dhcp_server enable exit exit security zone-pair user trusted rule 1 action permit match protocol udp match source-port dhcp_client match destination-port dhcp_server enable exit exit security zone-pair user untrusted rule 1 action permit enable exit exit security zone-pair untrusted self rule 1 action permit match source-address MGMT enable exit exit security passwords history 0 nat source ruleset nat_ALL to interface gigabitethernetbridge 1/0/1 rule 1 match source-address nat_users match not destination-address MGMT action source-nat interface enable exit exit exit ip dhcp-relay ip route 0.0.0.0/0 17210.1610.02.1 ip route 192.168.101109.0/24 172.16.101109.45 wireless-controller nas-ip-address 10.10.2.4159 data-tunnel configuration radius aaa das-profile COA aaa radius-profile PCRF enable exit ip telnet server ip ssh server ntp enable ntp server 10.10.2.149254 exit |
DHCP-server
...
Общая конфигурация:
Блок кода | ||||||
---|---|---|---|---|---|---|
| ||||||
default-lease-time 300; max-lease-time 310; log-facility local7; #listening subnet subnet 10.10.2.0 netmask 255.255.255.0 {} #Описание классов оборудования, которым будем разрешать получения адреса управления class "ELTEX-DEVICES" { match if ( (substring (option vendor-class-identifier, 0, 14)="ELTEX_WEP-12AC") or (substring (option vendor-class-identifier, 0, 14)="ELTEX_WOP-12AC") or (substring (option vendor-class-identifier, 0, 14)="ELTX_WEP-12AC") or (substring (option vendor-class-identifier, 0, 14)="ELTX_WOP-12AC") or (substring (option vendor-class-identifier, 0, 13)="ELTEX_WEP-2AC") or (substring (option vendor-class-identifier, 0, 12)="ELTEX_WOP-2L") or (substring (option vendor-class-identifier, 0, 12)="ELTEX_WEP-2L") or (substring (option vendor-class-identifier, 0, 12)="ELTEX_WEP-1L") ); } |
Конфигурация по варианту (нужно отправить на проверку):
Без форматирования |
---|
#------------------------Stend 1------------------------------------------------ #Подсеть первичных адресов ТД в vlan 20012009 subnet 192.168.101109.0 netmask 255.255.255.0 { pool { option routers 192.168.101109.1; range 192.168.101109.10 192.168.101109.254; option vendor-encapsulated-options 0B:0C:31:37:32:2E:31:36:2E:31:30:3139:2E:31:0C:0C:31:37:32:2E:31:36:2E:31:30:3139:2E:32; allow members of "ELTEX-DEVICES"; } } #Подсеть управления ТД в ESR-1ESR09 subnet 172.31.101109.0 netmask 255.255.255.0 { pool { option routers 172.31.101109.1; range 172.31.101109.10 172.31.101109.254; option vendor-encapsulated-options 0A:0B:31:30:2E:31:30:2E:32:2E:3132:35:34:39; allow members of "ELTEX-DEVICES"; option domain-name-servers 172.31.101109.1; } } #Подсеть пользователей ТД SSID1 ESR-1ESR09 (in GRE) subnet 100.64.19.0 netmask 255.255.255.0 { pool { option routers 100.64.19.1; range 10100.64.19.10 100.64.19.254; option domain-name-servers 100.64.19.1; } } #Подсеть пользователей ТД SSID2 (local switching) subnet 100.64.101109.0 netmask 255.255.255.0 { pool { option routers 100.64.101109.1; range 10100.64.101109.10 100.64.101109.254; option domain-name-servers 100.64.101109.1; } } #- |
Конфигурация обратных маршрутов для сервера SoftWLC (требуется отправить на проверку):
Без форматирования |
---|
#ip route stend 1
ip route add 192.168.109.0/24 via 10.10.2.219
ip route add 172.31.109.0/24 via 10.10.2.159
ip route add 100.64.9.0/24 via 10.10.2.159
ip route add 100.64.109.0/24 via 10.10.2.159
|
Проверка, получила ли ТД IP-адрес
Без форматирования |
---|
MES11#show arp Total number of entries: 4 VLAN Interface IP address HW address status --------------------- --Stend 2--------------- ------------------- --------------- vlan 10 gi1/0/1 10.10.2.3 56:6f:3d:7f:00:51 dynamic vlan 10 gi1/0/1 10.10.2.254 d8:5e:d3:aa:02:98 dynamic vlan 2011 gi1/0/3 192.168.111.253 cc:9d:a2:e9:d6:50 dynamic vlan 2011 gi1/0/2 192.168.111.254 cc:9d:a2:e9:73:40 dynamic |
Туннельные MAC-адреса +1 к MAC-адресу (50+1 и 40+1) для адресов управления
Без форматирования |
---|
ESR11# show arp bridge 3 Interface IP address MAC address State Age(min) --------------- --------------- ----------------- --------------- ---------- bridge 3 172.31.111.1 e4:5a:d4:00:aa:9b -- -- bridge 3 172.31.111.10 cc:9d:a2:e9:73:41 permanent -- bridge 3 172.31.111.11 cc:9d:a2:e9:d6:51 permanent -- |
Добавление ESR в дерево EMS
Открываем EMS, встаем на узел, в который планируем добавить ESR и нажимаем кнопку "+", расположенную вверху слева от дерева узлов:
Рис. 3.
В открывшемся окне, в поле:
- "Имя объекта" - указываем произвольное название ESR "esr-gre".
- "Тип" - выбираем тип оборудования, соответствующий используемому типу ESR "ESR200".
- "IP адрес" - указываем адрес управления ESR "10.10.2.151".
Нажимаем кнопку "Добавить".
После этого необходимо встать на добавленный ESR (если он не появился в дереве - надо нажать вверху кнопку "" ) и открыть справа вкладку "Доступ":
Рис. 4.
В открывшемся окне редактируем поля:
- "Файловый протокол" - выбираем "FTP".
- "Read community" - указываем имя SNMP RO community, настроенное ранее (например - testing123).
- "Write community" - указываем имя SNMP RW community, настроенное ранее (например - testing123).
Так же необходимо изменить пароль radius, который будет использоваться при взаимодействии с ESR. Для этого в меню EMS открываем "RADIUS" → "Управление точками доступа". Выбираем добавленный ранее ESR (при большом количестве устройств можно выполнить фильтрацию по IP адресу ESR) и нажимаем кнопку "Редактировать":
Рис. 5.
В открывшемся окне меняем, в поле "Ключ" задаем ранее настроенный на ESR ключ (например - testing123) и нажимаем "Принять".
Пример вывода информации о состоянии SoftGRE туннелей на ESR
Просмотр информации о существующих SoftGRE туннелях:
Раскрыть |
---|
ESR11# show tunnels status |
Просмотр информации об интерфейсах типа "Bridge" и включенных в них SoftGRE туннелях:
Раскрыть |
---|
ESR11# show interfaces bridge |
Дополнительно
- В схеме L3 SSID можно привязать только к домену, если привязать к ТД то туннели подниматься не будут
Для создания DATA-туннеля ESR должен находится в режиме Station. По умолчанию для ESR-20 – Client, у ESR-200 – StatinCE, ESR-1000 – Station. Предполагается, что младшие модели не используются для постороения туннелей. В данной работе для этого используется ESR-200, поэтому в EMS во вкладке Доступ необходимо изменить Ружим ESR на Station
- Если при создании SSID не был указан VLAN-ID (может быть любым), то профиль шейперов не создаётся. [есть задача], его нужно будет добавить (Администирирование > Домены > Редактировать shaper... > Добавить SSID shaper)
- На ESR-1200 и выше, где аппаратный SoftGRE, шейперы работают хорошо. На младших моделях шейпера создают нагрузку на ЦП т.к. SoftGRE программный.
- Шейпер должен быть создан, даже если он не используется, просто на ESR он придёт пустым.
- Если что-то при конфигурации туннелей было настроено неправильно, затем было исправленно, то туннели заново автоматически не поднимутся. Для их построения необходимо зайти в "Список устройств", выбрать ТД, затем "в Групповые операции" выьрать "Создать data-tunnel на ESR" и нажать "Выполнить"
- Ключ (testing123) для COA меняется на ESR (das-server COA) и ЛК (Настройки PCRF > BRAS VRF). В отличие от пароля для RADIUS который меняется на ESR (radius-server host 10.10.2.254), затем в EMS (RADIUS > управление ТД).