...
| Примечание |
|---|
Работа с лицензиями в кластере описана в разделе Лицензирование в кластере. |
| Scroll Pagebreak |
|---|
Подключение сервисов
После успешной настройки кластера можно приступать к конфигурации различных сервисов.
...
| Блок кода | ||
|---|---|---|
| ||
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.1/24
priority 254 unit 1
priority 253 unit 2
group 1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
exit |
| Scroll Pagebreak |
|---|
Решение:
Перейдем в режим конфигурирования устройства:
...
Port-channel U/N позволяет объединять каналы в группы агрегации для конкретного устройства в составе группы (unit), обеспечивая единообразие конфигурации кластера и возможность индивидуальной настройки агрегации на каждом юните.
Варианты настройки port-channel, включая доступные параметры и синтаксис команды, приведены в разделе Типы и порядок именования интерфейсов маршрутизатора.
Пример настройки
Задача:
Настроить port-channel U/N в кластере маршрутизаторов ESR-1 и ESR-2 для передачи Control Plane-трафика кластера через агрегированный интерфейс.
...
| Блок кода | ||
|---|---|---|
| ||
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.1/24
priority 254 unit 1
priority 253 unit 2
group 1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
exit |
| Scroll Pagebreak |
|---|
Создадим для каждого юнита собственный агрегированный интерфейс:
...
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config)# interface gigabitethernet 1/0/1 ESR-1(config-if-gi)# channel-group 1 mode auto ESR-1(config-if-gi)# exit ESR-1(config)# interface gigabitethernet 2/0/1 ESR-1(config-if-gi)# channel-group 1 mode auto ESR-1(config-if-gi)# exit ESR-1(config)# interface gigabitethernet 1/0/2 ESR-1(config-if-gi)# mode switchport ESR-1(config-if-gi)# channel-group 1 mode auto ESR-1(config-if-gi)# spanning-tree disable ESR-1(config-if-gi)# exit ESR-1(config)# interface gigabitethernet 2/0/2 ESR-1(config-if-gi)# mode switchport ESR-1(config-if-gi)# channel-group 1 mode auto ESR-1(config-if-gi)# spanning-tree disable ESR-1(config-if-gi)# exit ESR-1# commit Configuration has been successfully applied and saved to flash. Commit timer started, changes will be. ESR-1# confirm Configuration has been confirmed. Commit timer canceled. |
| Scroll Pagebreak |
|---|
Проверить состояние работы port-channel можно с помощью команды:
...
| Примечание |
|---|
Юнитизированный агрегированный интерфейс для Control Plane-трафика показан как пример. Можно использовать и для передачи Data Plane-трафика. |
| Scroll Pagebreak |
|---|
Настройка MultiWAN
Технология MultiWAN позволяет организовать отказоустойчивое соединение с резервированием линков от нескольких провайдеров.
...
Добавим статический маршрут до встречной клиентской подсети через VTI-туннель:
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config)# ip route 128.66.1.0/24 128.66.0.5 |
...
...
Перейдем к настройке общих параметров для failover-сервисов, а именно к выбору: IP-адреса, с которого будут отправляться сообщения для синхронизации, IP-адреса получателя сообщений для синхронизации и синхронизации и VRRP-группу, на основе которой определяется состояние (основной/резервный) маршрутизатора при маршрутизатора при работе failover-сервисов:
...
Просмотреть VRRP-статусы в разных VRF можно, используя команду команду show vrrp. Убедимся, что в одном VRF устройство находится в статусе Master, а в другом VRF – в статусе Backup:
...
Посмотреть вывод текущих сессий на устройстве можно с помощью команды show ip firewall sessions. Убедимся, что в выводе есть сессия только для того VRF, в котором устройство является в статусе Master:
...
Посмотреть вывод активных синхронизируемых сессий, используемых для работы firewal failover, на устройстве можно с помощью команды show ip firewall session failover external/internal. Убедимся, что для одного из VRF сессия находится в internal cash, а для второго VRF сессия находится в external cash:
...
Перейдем к настройке общих параметров для failover-сервисов, а именно к выбору: IP-адреса. , с которого будут отправляться сообщения для синхронизации, multicast-группугруппы, multicast IP-адресадреса, на который будут отправляться сообщения для синхронизации, и VRRP-группугруппы, на основе которой определяется состояние (основной/резервный) маршрутизатора при работе failover-сервисов:
...
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config)# object-group service FAILOVER ESR-1(config-object-group-service)# port-range 2000 ESR-1(config-object-group-service)# exit |
...
Создадим разрешающие правило для зоны безопасности SYNC, разрешив прохождение необходимого трафика для работы firewall failover:
...
| Блок кода | ||
|---|---|---|
| ||
ESR-3# show ip firewall sessions failover external
Codes: E - expected, U - unreplied,
A - assured, C - confirmed
Prot Aging Inside source Inside destination Outside source Outside destination Pkts Bytes Status
----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------
tcp 0 192.0.2.10:44812 128.66.1.1:22 128.66.1.1:22 192.0.2.10:44812 -- -- AC |
...
Посмотреть счетчики для кэшей firewall failover можно командой:
| Блок кода | ||
|---|---|---|
| ||
ESR-1# show ip firewall failover cache
Internal sessions cache counters:
Active entries: 1
Added: 5
Deleted: 4
Updated: 4
Failed adding: 0
No memory left: 0
No space left: 0
Failed deleting: 0
No entry found: 0
Failed updating: 0
No entry found: 0
External sessions cache counters:
Active entries: 0
Added: 0
Deleted: 0
Updated: 0
Installed to Kernel: 0
Failed adding: 0
No memory left: 0
No space left: 0
Failed deleting: 0
No entry found: 0
Failed updating: 0
No entry found: 0
Failed installing to Kernel: 0 |
| Scroll Pagebreak |
|---|
Настройка DHCP failover
DHCP-failover позволяет обеспечить высокую доступность службы DHCP.
...
Перейдем к настройке общих параметров для failover-сервисов, а именно к выбору: IP-адреса, с которого будут отправляться сообщения для синхронизации, IP-адреса получателя сообщений для синхронизации и синхронизации и VRRP-группу, на основе которой определяется состояние (основной/резервный) маршрутизатора при маршрутизатора при работе failover-сервисов:
...
| Блок кода | ||
|---|---|---|
| ||
ESR-1# show ip dhcp binding vrf LAN_ONE IP address MAC / Client ID Binding type Lease expires at ---------------- ------------------------------------------------------------- ------------ -------------------- 192.0.2.10 50:52:e5:02:0c:00 active 2025-02-19 09:34:06 ESR-1# show ip dhcp binding vrf LAN_TWO IP address MAC / Client ID Binding type Lease expires at ---------------- ------------------------------------------------------------- ------------ -------------------- 128.66.0.10 50:6d:ae:02:0e:00 active 2025-02-19 09:34:09 |
| Scroll Pagebreak |
|---|
Настройка SNMP
Протокол SNMP (Simple Network Management Protocol) реализует модель «менеджер–агент» для централизованного управления сетевыми устройствами: агенты, установленные на устройствах, собирают данные, структурированные в MIB, а менеджер запрашивает информацию, мониторит состояние сети, контролирует производительность и вносит изменения в конфигурацию оборудования.
...
| Блок кода |
|---|
cluster
cluster-interface bridge 1
unit 1
mac-address a2:00:00:10:c0:00
exit
unit 2
mac-address a2:00:00:10:d0:00
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.1/24
priority 254 unit 1
priority 253 unit 2
group 1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/2
security-zone WAN
ip address 128.66.0.6/30
vrrp 3
ip address 203.0.113.2/30
group 1
enable
exit
exit
interface gigabitethernet 1/0/3
security-zone LAN
ip address 128.66.0.2/30
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
security-zone WAN
ip address 128.66.0.5/30
vrrp 3
ip address 203.0.113.2/30
group 1
enable
exit
exit
interface gigabitethernet 2/0/3
security-zone LAN
ip address 128.66.0.1/30
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair WAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair LAN WAN
rule 1
action permit
enable
exit
exit |
| Scroll Pagebreak |
|---|
Решение:
Создадим список IP-адресов, которые будут иметь возможность выхода в Интернет:
...
Создадим профиль адреса сервера из WAN-сети, с которого будем принимать:
...
| Блок кода | ||
|---|---|---|
| ||
cluster
cluster-interface bridge 1
unit 1
mac-address a2:00:00:10:c0:00
exit
unit 2
mac-address a2:00:00:10:d0:00
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.1/24
priority 254 unit 1
priority 253 unit 2
group 1
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/2
security-zone LAN
ip address 192.0.2.254/24
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
interface gigabitethernet 1/0/3
security-zone WAN
ip address 128.66.0.2/30
vrrp 3
ip address 203.0.113.1/30
group 1
enable
exit
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
security-zone LAN
ip address 192.0.2.253/24
vrrp 2
ip address 192.0.2.1/24
group 1
enable
exit
exit
interface gigabitethernet 2/0/3
security-zone WAN
ip address 128.66.0.1/30
vrrp 3
ip address 203.0.113.1/30
group 1
enable
exit
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit
security zone-pair WAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit |
| Scroll Pagebreak |
|---|
Решение:
Настроем firewall для приема маршрутизатором BGP-трафика из зоны безопасности WAN:
...
| Блок кода |
|---|
ESR-1(config-bgp)# neighbor 203.0.113.2 ESR-1(config-bgp-neighbor)# remote-as 64501 ESR-1(config-bgp-neighbor)# update-source 203.0.113.1 |
| Scroll Pagebreak |
|---|
И включим обмен IPv4-маршрутами:
...