WLC-30 Documentation 1.19.0
Дерево страниц

Сравнение версий

Старая версия 2

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Отдел Документации

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Примечание

При использовании IPsec с VRRP рекомендуется настраивать DPD для ускорения перестроения IPsec-туннеля.

...

Шаг

Описание

Команда

Ключи

1

Настроить VRRP согласно разделу "Алгоритм настройки VRRP" или настроить SLA.

 


2

Добавить в систему Tracking-объект и перейти в режим настройки параметров Tracking-объекта.

esr(config)#track <ID>

<ID> – номер Tracking-объекта, принимает значения [1..100].

3

Задать правило слежения за VRRP/SLA-процессами, на основании которых Tracking-объект будет переходить в активное состояние.

esr(config-track)# track vrrp id <VRID> state [not] { master | backup | fault } [vrf <VRF> ]

<VRID> – идентификатор отслеживаемого VRRP-маршрутизатора, принимает значения [1..255];
<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

esr(config-track)# track sla test <NUM> [ mode <MODE> ]

<NUM> – номер SLA-теста, задается в диапазоне [1..10000];

<MODE> – режим слежения за sla-тестом, может принимать значения:

  • state – отслеживается состояние sla-теста;
  • reachability – отслеживается состояние канала связи, которое предоставляет sla-тест.

4

Включить Tracking-объект.

esr(config-track)#enable


5Установить задержку смены состояния отслеживаемого объекта (не обязательно).esr(config-track)# delay { down | up } <TIME>
<TIME> – время задержки в секундах, задается в диапазоне [1..300].
6Задать режим работы tracking (не обязательно).esr(config-track)# mode <MODE>

<MODE> – условие нахождения Tracking-объекта в активном состоянии, принимает значения:

  • and – Tracking-объект будет находиться в активном состоянии, если все отслеживаемые условия будут в активном состоянии;
  • or – Tracking-объект будет находиться в активном состоянии, если хотя бы одно отслеживаемое условие будет в активном состоянии.
7Cоздать сущность на ESR, которая будет меняться в зависимости от состояния Tracking-объекта.

7.1

Добавить возможность управления статическим IP-маршрутом к указанной подсети (не обязательно).

esr(config)# ip route [ vrf <VRF> ] <SUBNET> { <NEXTHOP> [ resolve ] |
interface <IF> | tunnel <TUN> | wan load-balance rule <RULE> |
blackhole | unreachable | prohibit } [ <METRIC> ] [ track <TRACK-ID> ]

<VRF> – имя экземпляра VRF, задается строкой до 31 символа;

<SUBNET> – адрес назначения, может быть задан в следующих видах:

AAA.BBB.CCC.DDD – IP-адрес хоста, где каждая часть принимает значения [0..255];

AAA.BBB.CCC.DDD/NN – IP-адрес подсети с маской в виде префикса, где AAA-DDD принимают значения [0..255] и NN принимает значения [1..32].

<NEXTHOP> – IP-адрес шлюза задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

  • resolve – при указании данного параметра IP-адрес шлюза будет рекурсивно вычислен через таблицу маршрутизации. Если при рекурсивном вычислении не удастся найти шлюз из напрямую подключенной подсети, то данный маршрут не будет установлен в систему;

<IF> – имя IP-интерфейса, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора;

<TUN> – имя туннеля, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора;

<RULE> – номер правила wan, задаётся в диапазоне [1..50];

  • blackhole – при указании команды пакеты до данной подсети будут удаляться устройством без отправки уведомлений отправителю;
  • unreachable – при указании команды пакеты до данной подсети будут удаляться устройством, отправитель получит в ответ ICMP Destination unreachable (Host unreachable, code 1);
  • prohibit – при указании команды, пакеты до данной подсети будут удаляться устройством, отправитель получит в ответ ICMP Destination unreachable (Communication administratively prohibited, code 13);

[METRIC] – метрика маршрута, принимает значения [0..255];

<TRACK-ID> – идентификатор Tracking-объекта. Если маршрут привязан к Tracking-объекту, то он появится в системе только при выполнении всех условий, заданных в объекте.

7.2Добавить возможность управления логическим состоянием интерфейса (не обязательно).

esr(config-if-gi)# shutdown track <ID>

<ID> – номер Tracking-объекта, принимает значения [1..100].
7.3Добавить возможность управления приоритетом VRRP-процесса (не обязательно).

esr(config-if-gi)# vrrp priority track <ID> { <PRIO> | increment <INC> | decrement <DEC> }

<ID> – номер Tracking-объекта, принимает значения в диапазоне [1..100];

<PRIO> – приоритет VRRP-процесса, который выставится, если Tracking-объект будет в активном состоянии, принимает значения в диапазоне[1..254];

<INC> – значение на которое увеличится приоритет VRRP-процесса, если Tracking-объект будет в активном состоянии, принимает значения в диапазоне[1..254];

<DEC> – значение на которое уменьшится приоритет VRRP-процесса, если Tracking-объект будет в активном состоянии, принимает значения в диапазоне[1..254].

7.4

Добавить возможность управления Next-Hop для пакетов, которые попадают под критерии в указанном списке доступа (ACL) (не обязательно).

esr(config-route-map-rule)# action set ip next-hop  verify-availability <NEXTHOP><METRIC> track <ID>

<NEXTHOP> – IP-адрес шлюза задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<METRIC> – метрика маршрута, принимает значения [0..255];

<ID> – номер Tracking-объекта, принимает значения [1..100].

7.5

Добавить возможность управления атрибутом BGP AS-Path, которое будет добавляться в начало списка AS-Path (не обязательно).

esr(config-route-map-rule)# action set as-path
prepend <AS-PATH> track <ID>

<AS-PATH> – список номеров автономных систем, который будет добавлен к текущему значению в маршруте. Задаётся в виде AS,AS,AS, принимает значения [1..4294967295];

<ID> – номер Tracking-объекта, принимает значения [1..100].

7.6

Добавить возможность управления атрибутом BGP MED в маршруте, для которого должно срабатывать правило (не обязательно).

esr(config-route-map-rule)# action set metric bgp <METRIC> track <ID>

<METRIC> – значение атрибута BGPMED, принимает значения [0..4294967295];

<ID> – номер Tracking-объекта, принимает значения [1..100].

...

Блок кода
R1(config)# ip route 10.0.1.0/24 192.168.1.2 track 1

Scroll Pagebreak
Настройка Firewall/NAT failover

...

Блок кода
master(config)# ip firewall failover

Scroll Pagebreak
Для настройки правил зон безопасности потребуется создать профиль для порта firewall failover:

...

Блок кода
master# show high-availability state 
AP Tunnels:
    State:                         Disabled
    Last state change:             --
DHCP server:
    State:                         Disabled
    Last state change:             --
Firewall sessions:
    State:                         successful synchronization
    Last synchronization:          09:38:00 05.08.2021

Scroll Pagebreak
Настроим маршрутизатор ESR-2 (backup).

...

Шаг

Описание

Команда

Ключи

1

Переход в конфигурационное меню DHCP failover для его настройки.

ip dhcp-server failover [ vrf <VRF> ]

<VRF> – имя VRF – имя VRF, задается строкой до 31 символа;

2Выбор режима работы DHCP failover.mode { active-active | active-standby }

active-active – режим работы с двумя активными маршрутизаторами;

active-standby – режим работы с одним активным маршрутизатором и одним резервным.

Настройка IP-адреса, с которого будет работать DHCP failover.local-address <ADDR><ADDR> – IP-адрес соседа, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
4Настройка удаленного IP-адреса соседа, с которым будет работать DHCP failover.remote-address <ADDR>
<ADDR> – IP-адрес соседа, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
5Настройка роли DHCP failover, при работе резервирования в режиме Active-Active.role <ROLE>

<ROLE> – роль DHCP-сервера при работе в режиме резервирования:

  • primary – режим активного DHCP-сервера;
  • secondary – режим резервного DHCP-сервера.
6Привязка VRRP-группы, на основе которой определяется состояние (основной/резервный) маршрутизатора при резервировании сессий в режиме Active-Standby.vrrp-group <GRID><GRID> – идентификатор группы VRRP-маршрутизатора, принимает значения [1..32].
7Включение резервирования DHCP failover.enable

...

Блок кода
master(config)# interface gigabitethernet 1/0/1
master(config-if-gi)# vrrp id 1
master(config-if-gi)# vrrp ip 192.0.2.1/24
master(config-if-gi)# vrrp priority 20
master(config-if-gi)# vrrp group 1
master(config-if-gi)# vrrp
master(config-if-gi)# exit
master(config)# interface gigabitethernet 1/0/3
master(config-if-gi)# vrrp id 3
master(config-if-gi)# vrrp ip 198.51.100.1/24
master(config-if-gi)# vrrp priority 20
master(config-if-gi)# vrrp group 1
master(config-if-gi)# vrrp
master(config-if-gi)# exit

Scroll Pagebreak
Настроим DHCP failover. Для DHCP failover необходимо настроить следующие параметры: mode, local-address, remote-address, принадлежность VRRP-маршрутизатора к группе.

...

Примечание

DHCP failover для синхронизации использует TCP-порт 873, его необходимо разрешить при настройке firewall.

Scroll Pagebreak

Дополнительно в security zone-pair trusted self необходимо разрешить следующие протоколы:

Блок кода
master(config)# security zone-pair trusted self
master(config-zone-pair)# rule 66
master(config-zone-pair-rule)# action permit
master(config-zone-pair-rule)# match protocol vrrp
master(config-zone-pair-rule)# enable
master(config-zone-pair-rule)# exit
master(config-zone-pair)# rule 67
master(config-zone-pair-rule)# action permit
master(config-zone-pair-rule)# match protocol tcp
master(config-zone-pair-rule)# match destination-port dhcp_failover
master(config-zone-pair-rule)# enable
master(config-zone-pair-rule)# exit
master(config-zone-pair)# rule 68                                                 
master(config-zone-pair-rule)# action permit
master(config-zone-pair-rule)# match protocol udp 
master(config-zone-pair-rule)# enable 
master(config-zone-pair-rule)# exit

Scroll Pagebreak
Посмотреть статус vrrp-процессов есть возможность с помощью следующей команды:

...

Блок кода
backup(config)# interface gigabitethernet 1/0/1
backup(config-if-gi)#   security-zone trusted
backup(config-if-gi)#   ip address 192.0.2.2/24
backup(config-if-gi)#   vrrp id 1
backup(config-if-gi)#   vrrp ip 192.0.2.1/24
backup(config-if-gi)#   vrrp priority 20
backup(config-if-gi)#   vrrp group 1
backup(config-if-gi)#   vrrp
backup(config-if-gi)# exit
backup(config)# interface gigabitethernet 1/0/2
backup(config-if-gi)#   security-zone trusted
backup(config-if-gi)#   ip address 203.0.113.2/30
backup(config-if-gi)# exit
backup(config)# interface gigabitethernet 1/0/3
backup(config-if-gi)#   security-zone trusted
backup(config-if-gi)#   ip address 198.51.100.2/24
backup(config-if-gi)#   vrrp id 3
backup(config-if-gi)#   vrrp ip 198.51.100.1/24
backup(config-if-gi)#   vrrp priority 10
backup(config-if-gi)#   vrrp group 1
backup(config-if-gi)#   vrrp
backup(config-if-gi)# exit

...

Блок кода
backup(config)# ip dhcp-server pool LAN
backup(config-dhcp-server)#   network 192.0.2.0/24
backup(config-dhcp-server)#   address-range 192.0.2.10-192.0.2.20
backup(config-dhcp-server)# exit
backup(config)# ip dhcp-server
backup(config)# ip dhcp-server failover
backup(config-dhcp-server-failover)#   mode active-standby
backup(config-dhcp-server-failover)#   local-address 203.0.113.2
backup(config-dhcp-server-failover)#   remote-address 203.0.113.1
backup(config-dhcp-server-failover)#   vrrp-group 1
backup(config-dhcp-server-failover)#   enable
backup(config-dhcp-server-failover)# exit

...