История страницы

...

Шаг	Описание	Команда	Ключи
1	Сменить юнит у устройства, при необходимости. (смена юнита устройства вступает в силу после перезагрузки)	esr# set unit id <ID>	<ID> – номер юнита, принимает значения [1..2].
2	Создать VLAN, который будет использоваться в кластерном интерфейсе. Можно также использовать vlan 1, созданный по умолчанию.	esr(config)# vlan <VID>	<VID> – идентификатор VLAN, задаётся в диапазоне [2..4094].
3	Перейти в режим конфигурирования физических интерфейсов, которые будут использованы для работы кластерного интерфейса. Необходимо настроить интерфейсы всех юнитов, которые будут участвовать в кластере.	esr(config)# interface gigabitethernet esr(config)# interface tengigabitethernet esr(config)# interface fourtygigabitethernet esr(config)# interface twentyfivegigabitethernet
4	Установить режим работы физических интерфейсов.	esr(config-if-gi)# mode switchport	Допустимо для всех ESR.
4	Установить режим работы физических интерфейсов.	esr(config-if-gi)# mode hybrid	Допустимо только для ESR-1000/1200/1500/ 1511(rev.B)/1700.
5	Задать режим работы L2-интерфейсов.	esr(config-if-gi)# switchport mode access	Только для ESR-10/12V(F)/15/15R/15VF/20/21/30/31/ 100/200/3100/3200/3200L/3250/3300/3350. Данный режим является режимом по умолчанию и не отображается в конфигурации.
		esr(config-if-gi)# switchport mode trunk	Только для ESR-10/12V(F)/15/15R/15VF/20/21/30/31/ 100/200/3100/3200/3200L/3250/3300/3350.
		esr(config-if-gi)# switchport mode general	Только для ESR-1000/1200/1500/ 1511 (rev.B)/1700. Данный режим является режимом по умолчанию и не отображается в конфигурации.
6	Настроить заранее созданный VLAN на интерфейсах.	esr(config-if-gi)# switchport access vlan <VID>	Только для ESR-10/12V(F)/15/15R/15VF/20/21/30/31/ 100/200/3100/3200/3200L/3250/3300/3350. <VID> – идентификационный номер VLAN, задаётся в диапазоне [1…4094].
		esr(config-if-gi)# switchport trunk allowed vlan <ACT> <VID>	Для ESR-10/12V(F)/15/15R/15VF/20/21/30/31/100/200/ 3100/3200/3200L/3250/3300/3350. <ACT> – назначаемое действие: add – включение интерфейса во VLAN; remove – исключение интерфейса из VLAN. <VID> – идентификационный номер VLAN, задаётся в диапазоне [2…4094]. Можно задать диапазоном через «-» или перечислением через «,».
		esr(config-if-gi)# switchport general allowed vlan <ACT> <VID> [<TYPE>]	Для ESR-1000/1200/1500/ 1511 (rev.B)/1700. <ACT> – назначаемое действие: add – включение интерфейса во VLAN; remove – исключение интерфейса из VLAN. <VID> – идентификационный номер VLAN, задаётся в диапазоне [2…4094]. Можно задать диапазоном через «-» или перечислением через «,»; <TYPE> – тип пакета: tagged – интерфейс будет передавать и принимать пакеты в указанных VLAN тегированными; untagged – интерфейс будет передавать пакеты в указанных VLAN нетегированными. VLAN, в который будут направлены входящие нетегированные пакеты, настраивается командой switchport general pvid.
7	Перейти в режим конфигурирования сетевого моста, который будет использован в качестве кластерного интерфейса.	esr(config)# bridge <BR-NUM>	<BR-NUM> – номер сетевого моста.
8	Настроить заранее созданный VLAN на кластерном интерфейсе.	esr(config-bridge)# vlan <VID>	<VID> – идентификационный номер VLAN, задаётся в диапазоне [1…4094].
9	Указать IPv4-адрес и маску подсети для кластерного интерфейса. Необходимо установить адреса для всех юнитов кластера. (для работы кластерного интерфейса поддерживается только IPv4-адресация)	esr(config-bridge)# ip address <ADDR/LEN> [unit <ID>]	<ADDR/LEN> – IP-адрес и длина маски подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. <ID> – номер юнита, принимает значения [1..2]. Дополнительные функции IPv4-адресации см. в разделе Настройка IP-адресации.
10	Установить номер экземпляра VRRP-процесса.	esr(config-bridge)# vrrp <VRRP-NUM>	<VRRP-NUM> – номер экземпляра VRRP-процесса, принимает значения [1..255]. Дополнительные функции VRRP-процесса см. в разделе Управление резервированием.
11	Установить виртуальный IP-адрес VRRP-маршрутизатора (адрес должен быть из той же подсети, что и ip address у юнитов).	esr(config-vrrp)# ip address <ADDR/LEN> [ secondary ]	<ADDR/LEN> – виртуальный IP-адрес и длина маски, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. Можно указать несколько IP-адресов перечислением через запятую. Может быть назначено до 8 IP-адресов на интерфейс. secondary – ключ для установки дополнительного IP-адреса.
12	Установить принадлежность VRRP-маршрутизатора к группе. Группа предоставляет возможность синхронизировать несколько VRRP-процессов, так если в одном из процессов произойдет смена мастера, то в другом процессе также произойдёт смена ролей.	esr(config-vrrp)# group <GRID>	<GRID> – идентификатор группы VRRP-маршрутизатора, принимает значения [1..32]
13	Включить VRRP-процесс на IP-интерфейсе.	esr(config-vrrp)# enable
14	Активировать сетевой мост.	esr(config-bridge)# enable
15	Перейти в режим конфигурирования кластера.	esr(config)# cluster
16	Установить интерфейс, через который будет происходить обмен служебными сообщениями между юнитами в кластере.	esr(config-cluster)# cluster-interface bridge [<BRIDGE-ID>]	<BRIDGE-ID> – идентификационный номер моста, задается в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.
17	Отключить синхронизацию конфигураций в кластере между юнитами (не обязательно).	esr(config-cluster)# sync config disable
18	Перейти в режим конфигурирования юнита в кластере.	esr(config-cluster)# unit <ID>	<ID> – номер юнита, принимает значения [1..2].
19	Настроить для юнита соответствующий системный MAC-адрес устройства.	esr(config-cluster-unit)# mac-address <ADDR>	<ADDR> – МАС-адрес сетевого моста, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].
20	Включить работу кластера.	esr(config-cluster)# enable

...

Блок кода

title	ESR-1

ESR-1(config)# bridge 1

Примечание
В текущей версии ПО 1.28 в качестве cluster-интерфейса поддержан только bridge.

...

Блок кода

title	ESR-1

ESR-1(config)# interface gigabitethernet 1/0/2.3
ESR-1(config-if-sub)# wan load-balance nexthop 128.66.0.1
ESR-1(config-if-sub)# wan load-balance target-list WAN
ESR-1(config-if-sub)# wan load-balance enable
ESR-1(config-if-sub)# exit
ESR-1(config)# interface gigabitethernet 2/0/2.3
ESR-1(config-if-sub)# wan load-balance nexthop 128.66.0.1
ESR-1(config-if-sub)# wan load-balance target-list WAN
ESR-1(config-if-sub)# wan load-balance enable
ESR-1(config-if-sub)# exit

Scroll Pagebreak

Настроим WAN на интерфейсе в сторону провайдера ISP2:

Блок кода

title	ESR-1

ESR-1(config)# interface gigabitethernet 1/0/2.4
ESR-1(config-if-sub)# wan load-balance nexthop 128.66.0.13
ESR-1(config-if-sub)# wan load-balance target-list WAN
ESR-1(config-if-sub)# wan load-balance enable
ESR-1(config-if-sub)# exit
ESR-1(config)# interface gigabitethernet 2/0/2.4
ESR-1(config-if-sub)# wan load-balance nexthop 128.66.0.13
ESR-1(config-if-sub)# wan load-balance target-list WAN
ESR-1(config-if-sub)# wan load-balance enable
ESR-1(config-if-sub)# exit

...

Укажем статический маршрут и создадим правило для балансировки трафика:

...

Алгоритм настройки Route-based IPsec VPN описан в разделе Алгоритм настройки Route-based IPsec VPN.scroll-pagebreak

Задача:

Настроить IPsec туннель. Туннель необходимо поднять между адресами: кластер – 203.0.113.2 (VIP адрес), ответная сторона – 203.0.113.6;
IKE:
- группа Диффи-Хэллмана: 2;
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5.
IP sec:
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5.

...

Настроить IPsec туннель. Туннель необходимо поднять между адресами: кластер – 203.0.113.2 (VIP адрес), ответная сторона – 203.0.113.6. Туннель необходим для организации доступа между клиентскими подсетями 192.0.2.0/24 и 128.66.1.0/24;
IKE:
- группа Диффи-Хэллмана: 2;
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5.
IP sec:
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5.

Схема реализации Policyреализации Policy-based IPsec VPN

Исходная конфигурация кластера:

...

Блок кода

title	ESR-1

ESR-1(config)# object-group network LAN
ESR-1(config-object-group-network)# ip prefix 192.0.2.0/24
ESR-1(config-object-group-network)# exit
ESR-1(config)# object-group network IPSEC
ESR-1(config-object-group-network)# ip prefix 128.66.1.0/24
ESR-1(config-object-group-network)# exit
ESR-1(config)# security zone-pair LAN WAN
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# match source-address object-group network LAN 
ESR-1(config-security-zone-pair-rule)# match destination-address object-group network IPSEC 
ESR-1(config-security-zone-pair-rule)# action permit 
ESR-1(config-security-zone-pair-rule)# enable 
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit
ESR-1(config)# security zone-pair WAN LAN 
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# match source-address object-group network IPSEC 
ESR-1(config-security-zone-pair-rule)# match destination-address object-group network LAN 
ESR-1(config-security-zone-pair-rule)# action permit 
ESR-1(config-security-zone-pair-rule)# enable 
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit

...

Блок кода

title	ESR-1

ESR-1(config)# security zone-pair SYNC self 
ESR-1(config-security-zone-pair)# rule 4
ESR-1(config-security-zone-pair-rule)# action permit 
ESR-1(config-security-zone-pair-rule)# match protocol udp 
ESR-1(config-security-zone-pair-rule)# match destination-port object-group FAILOVER 
ESR-1(config-security-zone-pair-rule)# enable 
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit

...

Блок кода

title	ESR-1

cluster
  cluster-interface bridge 1
  unit 1
    mac-address a2:00:00:10:c0:00
  exit
  unit 2
    mac-address a2:00:00:10:d0:00
  exit
  enable
exit

hostname ESR-1 unit 1
hostname ESR-2 unit 2

object-group service DHCP_SERVER
  port-range 67
exit
object-group service DHCP_CLIENT
  port-range 68
exit

security zone SYNC
exit
security zone LAN
exit

bridge 1
  vlan 1
  security-zone SYNC
  ip address 198.51.100.254/24 unit 1
  ip address 198.51.100.253/24 unit 2
  vrrp id 1
   vrrp ip address 198.51.100.1/24
  vrrp  group 1
   vrrp authentication key ascii-text encrypted 88B11079B51D
   vrrp authentication algorithm md5
    enable
  vrrpexit
  enable
exit

interface gigabitethernet 1/0/1
  mode switchport
  spanning-tree disable
exit
interface gigabitethernet 1/0/3
  security-zone LAN
  ip address 192.0.2.254/24
   vrrp id 2
  vrrp  ip address 192.0.2.1/24
   vrrp group 1
  vrrp  enable
  exit
exit
interface gigabitethernet 2/0/1
  mode switchport
  spanning-tree disable
exit
interface gigabitethernet 2/0/3
  security-zone LAN
  ip address 192.0.2.253/24
   vrrp id 2
   vrrp ip address 192.0.2.1/24
   vrrp group 1
    enable
  vrrpexit
exit

security zone-pair SYNC self
  rule 1
    action permit
    match protocol icmp
    enable
  exit
  rule 2
    action permit
    match protocol vrrp
    enable
  exit
  rule 3
    action permit
    match protocol ah
    enable
  exit
exit
security zone-pair LAN self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match source-port object-group DHCP_CLIENT
    match destination-port object-group DHCP_SERVER
    enable
  exit
exit

ip dhcp-server
ip dhcp-server pool TRUSTED
  network 192.0.2.0/24
  address-range 192.0.2.10-192.0.2.100
  default-router 192.0.2.1
exit

...

Блок кода

title	ESR-1

cluster
  cluster-interface bridge 1
  unit 1
    mac-address a2:00:00:10:c0:00
  exit
  unit 2
    mac-address a2:00:00:10:d0:00
  exit
  enable
exit

hostname ESR-1 unit 1
hostname ESR-2 unit 2

object-group service DHCP_SERVER
  port-range 67
exit
object-group service DHCP_CLIENT
  port-range 68
exit

ip vrf LAN_ONE
exit
ip vrf LAN_TWO
exit

security zone SYNC
exit
security zone LAN_ONE
  ip vrf forwarding LAN_ONE
exit
security zone LAN_TWO
  ip vrf forwarding LAN_TWO
exit

bridge 1
  vlan 1
  security-zone SYNC
  ip address 198.51.100.254/24 unit 1
  ip address 198.51.100.253/24 unit 2
  vrrp id 1
   vrrp ip address 198.51.100.1/24
   vrrp group 1
   vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF88B11079B51D
   vrrp authentication algorithm md5
    enable
  vrrpexit
  enable
exit

interface gigabitethernet 1/0/1
  mode switchport
exit
interface gigabitethernet 1/0/2.2
  ip vrf forwarding LAN_ONE
  security-zone LAN_ONE
  ip address 192.0.2.254/24
  vrrp id 4
   vrrp ip address 192.0.2.1/24
   vrrp priority 120
   vrrp group 2
  vrrp  enable
  exit
exit
interface gigabitethernet 1/0/2.3
  ip vrf forwarding LAN_TWO
  security-zone LAN_TWO
  ip address 128.66.0.254/24
  vrrp id 5
   vrrp ip address 128.66.0.1/24
   vrrp priority 110
  vrrp  group 3
    enable
  vrrpexit
exit
interface gigabitethernet 2/0/1
  mode switchport
exit
interface gigabitethernet 2/0/2.2
  ip vrf forwarding LAN_ONE
  security-zone LAN_ONE
  ip address 192.0.2.253/24
  vrrp id 4
   vrrp ip address 192.0.2.1/24
   vrrp priority 110
  vrrp  group 2
  vrrp  enable
  exit
exit
interface gigabitethernet 2/0/2.3
  ip vrf forwarding LAN_TWO
  security-zone LAN_TWO
  ip address 128.66.0.253/24
  vrrp id 5
   vrrp ip address 128.66.0.1/24
   vrrp priority 120
   vrrp group 3
    enable
  vrrpexit
exit

security zone-pair SYNC self
  rule 1
    action permit
    match protocol icmp
    enable
  exit
  rule 2
    action permit
    match protocol vrrp
    enable
  exit
  rule 3
    action permit
    match protocol ah
    enable
  exit
exit
security zone-pair LAN_ONE self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match source-port object-group DHCP_CLIENT
    match destination-port object-group DHCP_SERVER
    enable
  exit
exit
security zone-pair LAN_TWO self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match source-port object-group DHCP_CLIENT
    match destination-port object-group DHCP_SERVER
    enable
  exit
exit

ip dhcp-server vrf LAN_ONE
ip dhcp-server pool LAN_ONE vrf LAN_ONE
  network 192.0.2.0/24
  address-range 192.0.2.10-192.0.2.253
  default-router 192.0.2.1
exit
ip dhcp-server vrf LAN_TWO
ip dhcp-server pool LAN_TWO vrf LAN_TWO
  network 128.66.0.0/24
  address-range 128.66.0.10-128.66.0.253
  default-router 128.66.0.1
exit

...

Блок кода

cluster
  cluster-interface bridge 1
  unit 1
    mac-address a2:00:00:10:c0:00
  exit
  unit 2
    mac-address a2:00:00:10:d0:00
  exit
  enable
exit

hostname ESR-1 unit 1
hostname ESR-2 unit 2

security zone SYNC
exit
security zone MGMT
exit

bridge 1
  vlan 1
  security-zone SYNC
  ip address 198.51.100.254/24 unit 1
  ip address 198.51.100.253/24 unit 2
  vrrp id 1
  vrrp  ip address 198.51.100.1/24
  vrrp  group 1
  vrrp  authentication key ascii-text encrypted 88B11079B51D
   vrrp authentication algorithm md5
  vrrp  enable
  exit
  enable
exit

interface gigabitethernet 1/0/1
  mode switchport
  spanning-tree disable
exit
interface gigabitethernet 1/0/2
  security-zone MGMT
  ip address 192.0.2.254/24
  vrrp id 2
   vrrp ip address 192.0.2.1/24
   vrrp group 1
    enable
  vrrpexit
exit
interface gigabitethernet 2/0/1
  mode switchport
  spanning-tree disable
exit
interface gigabitethernet 2/0/2
  security-zone MGMT
  ip address 192.0.2.253/24
  vrrp id 2
   vrrp ip address 192.0.2.1/24
   vrrp group 1
    enable
  vrrpexit
exit

security zone-pair SYNC self
  rule 1
    action permit
    match protocol icmp
    enable
  exit
  rule 2
    action permit
    match protocol vrrp
    enable
  exit
  rule 3
    action permit
    match protocol ah
    enable
  exit
exit
security zone-pair MGMT self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
exit

...

Блок кода

cluster
  cluster-interface bridge 1
  unit 1
    mac-address a2:00:00:10:c0:00
  exit
  unit 2
    mac-address a2:00:00:10:d0:00
  exit
  enable
exit

hostname ESR-1 unit 1
hostname ESR-2 unit 2

security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit

bridge 1
  vlan 1
  security-zone SYNC
  ip address 198.51.100.254/24 unit 1
  ip address 198.51.100.253/24 unit 2
  vrrp id 1
   vrrp ip address 198.51.100.1/24
   vrrp group 1
   vrrp authentication key ascii-text encrypted 88B11079B51D
   vrrp authentication algorithm md5
  vrrp
  enable
  exit
  enable
exit

interface gigabitethernet 1/0/1
  mode switchport
  spanning-tree disable
exit
interface gigabitethernet 1/0/2
  security-zone WAN
  ip address 128.66.0.6/30
  vrrp id 3
   vrrp ip address 203.0.113.2/30
  vrrp  group 1
  vrrp  enable
  exit
exit
interface gigabitethernet 1/0/3
  security-zone LAN
  ip address 128.66.0.2/30
  vrrp id 2
   vrrp ip address 192.0.2.1/24
   vrrp group 1
  vrrp  enable
  exit
exit
interface gigabitethernet 2/0/1
  mode switchport
  spanning-tree disable
exit
interface gigabitethernet 2/0/2
  security-zone WAN
  ip address 128.66.0.5/30
  vrrp id 3
   vrrp ip address 203.0.113.2/30
  vrrp  group 1
  vrrp  enable
  exit
exit
interface gigabitethernet 2/0/3
  security-zone LAN
  ip address 128.66.0.1/30
  vrrp id 2
  vrrp  ip address 192.0.2.1/24
  vrrp  group 1
    enable
  vrrpexit
exit

security zone-pair SYNC self
  rule 1
    action permit
    match protocol icmp
    enable
  exit
  rule 2
    action permit
    match protocol vrrp
    enable
  exit
  rule 3
    action permit
    match protocol ah
    enable
  exit
exit
security zone-pair LAN self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
exit
security zone-pair WAN self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
exit
security zone-pair LAN WAN
  rule 1
    action permit
    enable
  exit
exit

...

Блок кода

title	ESR-1

ESR-1(config-snat)# ruleset SNAT
ESR-1(config-snat-ruleset)# to zone WAN 
ESR-1(config-snat-ruleset)# rule 1
ESR-1(config-snat-rule)# match source-address object-group network INTERNET_USERS
ESR-1(config-snat-rule)# action source-nat pool TRANSLATE_ADDRESS
ESR-1(config-snat-rule)# enable 
ESR-1(config-snat-rule)# exit
ESR-1(config-snat-ruleset)# exit
ESR-1(config-snat)# exit

...

Блок кода

cluster
  cluster-interface bridge 1
  unit 1
    mac-address a2:00:00:10:c0:00
  exit
  unit 2
    mac-address a2:00:00:10:d0:00
  exit
  enable
exit

hostname ESR-1 unit 1
hostname ESR-2 unit 2

security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit

bridge 1
  vlan 1
  security-zone SYNC
  ip address 198.51.100.254/24 unit 1
  ip address 198.51.100.253/24 unit 2
  vrrp id 1
  vrrp  ip address 198.51.100.1/24
   vrrp group 1
   vrrp authentication key ascii-text encrypted 88B11079B51D
  vrrp  authentication algorithm md5
  vrrp  enable
  exit
  enable
exit

interface gigabitethernet 1/0/1
  mode switchport
  spanning-tree disable
exit
interface gigabitethernet 1/0/2
  security-zone WAN
  ip address 128.66.0.6/30
  vrrp id 3
   vrrp ip address 203.0.113.2/30
  vrrp  group 1
    vrrpenable
  exit
exit
interface gigabitethernet 1/0/3
  security-zone LAN
  ip address 128.66.0.2/30
  vrrp id 2
  vrrp  ip address 192.0.2.1/24
   vrrp group 1
    enable
  vrrpexit
exit
interface gigabitethernet 2/0/1
  mode switchport
  spanning-tree disable
exit
interface gigabitethernet 2/0/2
  security-zone WAN
  ip address 128.66.0.5/30
  vrrp id 3
  vrrp  ip address 203.0.113.2/30
   vrrp group 1
    vrrpenable
  exit
exit
interface gigabitethernet 2/0/3
  security-zone LAN
  ip address 128.66.0.1/30
  vrrp id 2
  vrrp  ip address 192.0.2.1/24
   vrrp group 1
  vrrp  enable
  exit
exit

security zone-pair SYNC self
  rule 1
    action permit
    match protocol icmp
    enable
  exit
  rule 2
    action permit
    match protocol vrrp
    enable
  exit
  rule 3
    action permit
    match protocol ah
    enable
  exit
exit
security zone-pair LAN self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
exit
security zone-pair WAN self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
exit

...

Блок кода

title	ESR-1

cluster
  cluster-interface bridge 1
  unit 1
    mac-address a2:00:00:10:c0:00
  exit
  unit 2
    mac-address a2:00:00:10:d0:00
  exit
  enable
exit

hostname ESR-1 unit 1
hostname ESR-2 unit 2

security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit

bridge 1
  vlan 1
  security-zone SYNC
  ip address 198.51.100.254/24 unit 1
  ip address 198.51.100.253/24 unit 2
  vrrp id 1
   vrrp ip address 198.51.100.1/24
  vrrp  group 1
  vrrp  authentication key ascii-text encrypted 88B11079B51D
   vrrp authentication algorithm md5
    enable
  vrrpexit
  enable
exit

interface gigabitethernet 1/0/1
  mode switchport
  spanning-tree disable
exit
interface gigabitethernet 1/0/2
  security-zone LAN
  ip address 192.0.2.254/24
  vrrp id 2
  vrrp  ip address 192.0.2.1/24
   vrrp group 1
    vrrpenable
  exit
exit
interface gigabitethernet 1/0/3
  security-zone WAN
  ip address 128.66.0.2/30
  vrrp id 3
  vrrp  ip address 203.0.113.1/30
   vrrp group 1
  vrrp  enable
  exit
exit
interface gigabitethernet 2/0/1
  mode switchport
  spanning-tree disable
exit
interface gigabitethernet 2/0/2
  security-zone LAN
  ip address 192.0.2.253/24
  vrrp id 2
   vrrp ip address 192.0.2.1/24
  vrrp  group 1
    enable
  vrrpexit
exit
interface gigabitethernet 2/0/3
  security-zone WAN
  ip address 128.66.0.1/30
  vrrp id 3
  vrrp  ip address 203.0.113.1/30
  vrrp  group 1
    enable
  vrrpexit
exit

security zone-pair SYNC self
  rule 1
    action permit
    match protocol icmp
    enable
  exit
  rule 2
    action permit
    match protocol vrrp
    enable
  exit
  rule 3
    action permit
    match protocol ah
    enable
  exit
exit
security zone-pair LAN self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
  rule 2
    action permit
    match protocol ah
    enable
  exit
exit
security zone-pair WAN self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
exit

...

Блок кода

title	ESR-1

cluster
  cluster-interface bridge 1
  unit 1
    mac-address a2:00:00:10:c0:00
  exit
  unit 2
    mac-address a2:00:00:10:d0:00
  exit
  enable
exit

hostname ESR-1 unit 1
hostname ESR-2 unit 2

security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit

bridge 1
  vlan 1
  security-zone SYNC
  ip address 198.51.100.254/24 unit 1
  ip address 198.51.100.253/24 unit 2
  vrrp id 1
  vrrp  ip address 198.51.100.1/24
  vrrp  group 1
   vrrp authentication key ascii-text encrypted 88B11079B51D
   vrrp authentication algorithm md5
  vrrp  enable
  exit
  enable
exit

interface gigabitethernet 1/0/1
  mode switchport
  spanning-tree disable
exit
interface gigabitethernet 1/0/2
  security-zone LAN
  ip address 192.0.2.254/24
  vrrp id 2
   vrrp ip address 192.0.2.1/24
  vrrp  group 1
    enable
  vrrpexit
exit

interface gigabitethernet 1/0/3
  security-zone WAN
  ip address 203.0.113.1/30
exit
interface gigabitethernet 2/0/1
  mode switchport
  spanning-tree disable
exit
interface gigabitethernet 2/0/2
  security-zone LAN
  ip address 192.0.2.253/24
  vrrp id 2
  vrrp  ip address 192.0.2.1/24
   vrrp group 1
    enable
  vrrpexit
exit

interface gigabitethernet 2/0/3
  security-zone WAN
  ip address 203.0.113.5/30
exit

security zone-pair SYNC self
  rule 1
    action permit
    match protocol icmp
    enable
  exit
  rule 2
    action permit
    match protocol vrrp
    enable
  exit
  rule 3
    action permit
    match protocol ah
    enable
  exit
exit
security zone-pair LAN self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
  rule 2
    action permit
    match protocol ah
    enable
  exit
exit
security zone-pair WAN self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
exit

...

Блок кода

title	HUB-1

cluster
  cluster-interface bridge 1
  unit 1
    mac-address a2:00:00:10:a0:00
  exit
  unit 2
    mac-address a2:00:00:10:b0:00
  exit
  enable
exit
 
hostname HUB-1 unit 1
hostname HUB-2 unit 2
 
security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit
 
ip access-list extended LOCAL_1
  rule 1
    action permit
    match source-address 198.51.100.2 255.255.255.255
    enable
  exit
exit
ip access-list extended LOCAL_2
  rule 1
    action permit
    match source-address 198.51.100.6 255.255.255.255
    enable
  exit
exit
 
route-map PBR_LOCAL
  rule 1
    match ip access-group LOCAL_1
    action set ip next-hop verify-availability 198.51.100.1 1
  exit
  rule 2
    match ip access-group LOCAL_2
    action set ip next-hop verify-availability 198.51.100.5 1
  exit
exit
route-map DMVPN_BGP_OUT_CLOUD_TWO
  rule 1
    match ip address 0.0.0.0/0
    action set metric bgp 2000
  exit
exit
route-map DMVPN_BGP_OUT_CLOUD_ONE
  rule 1
    match ip address 0.0.0.0/0
    action set metric bgp 1000
  exit
exit
 
ip local policy route-map PBR_LOCAL
  
bridge 1
  vlan 1
  security-zone SYNC
  ip address 192.0.2.5/29 unit 1
  ip address 192.0.2.6/29 unit 2 
  vrrp id 1
   vrrp ip address 192.0.2.1/29
  vrrp  group 1
  vrrp  enable
  exit
  enable
exit
  
interface gigabitethernet 1/0/1
  mode switchport
  spanning-tree disable
exit
interface gigabitethernet 1/0/2.100
  security-zone WAN
  ip address 192.0.2.9/29
  vrrp id 2
  vrrp  ip address 198.51.100.2/30
  vrrp  group 1
   vrrp enable
  exit
  wan load-balance nexthop 198.51.100.1
  wan load-balance enable
exit
interface gigabitethernet 1/0/2.200
  security-zone WAN
  ip address 192.0.2.17/29
  vrrp id 3
  vrrp  ip address 198.51.100.6/30
  vrrp  group 1
    vrrpenable
  exit 
  wan load-balance nexthop 198.51.100.5
  wan load-balance enable
exit
interface gigabitethernet 1/0/3
  security-zone LAN
  ip address 128.66.0.2/24
  vrrp id 4
  vrrp  ip address 128.66.0.1/24
   vrrp group 1
  vrrp  enable
  exit 
exit
interface gigabitethernet 2/0/1
  mode switchport
  spanning-tree disable
exit
interface gigabitethernet 2/0/2.100
  security-zone WAN
  ip address 192.0.2.10/29
  vrrp id 2
   vrrp ip address 198.51.100.2/30
  vrrp  group 1
    vrrpenable
  exit
  wan load-balance nexthop 198.51.100.1
  wan load-balance enable
exit
interface gigabitethernet 2/0/2.200
  security-zone WAN
  ip address 192.0.2.18/29
  vrrp id 3
  vrrp  ip address 198.51.100.6/30
   vrrp group 1
    vrrpenable
  exit 
  wan load-balance nexthop 198.51.100.5
  wan load-balance enable
exit
interface gigabitethernet 2/0/3
  security-zone LAN
  ip address 128.66.0.3/24
  vrrp id 4
   vrrp ip address 128.66.0.1/24
   vrrp group 1
   vrrp enable
  exit 
exit
  
security zone-pair SYNC self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
  rule 2
    action permit
    match protocol ah
    enable
  exit
  rule 3
    action permit
    match protocol icmp
    enable
  exit
exit
security zone-pair LAN self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
  rule 2
    action permit
    match protocol ah
    enable
  exit
exit
security zone-pair WAN self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
  rule 2
    action permit
    match protocol ah
    enable
  exit
exit
 
ip route 0.0.0.0/0 wan load-balance rule 1
 
wan load-balance rule 1
  outbound interface gigabitethernet 1/0/2.100
  outbound interface gigabitethernet 1/0/2.200
  outbound interface gigabitethernet 2/0/2.200
  outbound interface gigabitethernet 2/0/2.100
  enable
exit

...

Дерево страниц

Сравнение версий

Старая версия 2

Новая версия Текущий

Ключ

Задача:

Исходная конфигурация кластера: