Оглавление printable false
Транспортная сеть — это совокупность всех ресурсов, выполняющих функции транспортирования в телекоммуникационных сетях. Она включает не только системы передачи, но и относящиеся к ним средства контроля, оперативного переключения, резервирования, управления.
При организации транспортной сети на оборудовании Eltex используется следующий функционал (на сервисных маршрутизаторах ESR):
- Firewall
- Агрегирование каналов
- VRRP
Приведем схему и пример настройки:
Настройка IP-связности с вышестоящими провайдерами
| Блок кода | ||||
|---|---|---|---|---|
| ||||
security zone Untrusted exit interface gigabitethernet 1/0/1 description "ISP1" security-zone Untrusted ip address 203.0.113.2/25 exit |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
security zone Untrusted exit interface gigabitethernet 1/0/1 description "ISP2" security-zone Untrusted ip address 203.0.113.130/25 exit |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
Создаем зону безопасности Назначаем на интерфейс ранее созданную зону, присваиваем IP-адрес |
Для взаимодействия с коммутатором ядра выполним агрегацию каналов. Для этого воспользуемся протоколом LACP, который позволяет объединять несколько физических каналов в один логический. Такое объединение позволяет увеличивать пропускную способность и надежность канала. Далее произведем терминацию MGMT-трафика, которая будет осуществляться на соответствующем саб-интерфейсе агрегированного канала.
| Блок кода | ||||
|---|---|---|---|---|
| ||||
interface port-channel 1 exit interface gigabitethernet 1/0/3 mode switchport channel-group 1 mode auto exit interface gigabitethernet 1/0/4 mode switchport channel-group 1 mode auto exit security zone MGMT exit interface port-channel 1.250 description "MGMT" security-zone MGMT ip address 10.250.0.1/24 exit |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
interface port-channel 1 exit interface gigabitethernet 1/0/3 mode switchport channel-group 1 mode auto exit interface gigabitethernet 1/0/4 mode switchport channel-group 1 mode auto exit security zone MGMT exit interface port-channel 1.250 description "MGMT" security-zone MGMT ip address 10.250.0.2/24 exit |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
Создаем логический интерфейс Добавляем соответствующие интерфейсы в группу агрегации Терминируем интерфейс для управления маршрутизатором |
Настройка общесистемных параметров на маршрутизаторах
syslog
Функционал предназначен для сохранения сообщений о событиях на маршрутизаторе в файл.
| Блок кода | ||||
|---|---|---|---|---|
| ||||
syslog max-files 3
syslog file-size 512
syslog sequence-numbers
syslog file flash:syslog/default
severity info
exit |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
Настраиваем ротацию syslog-файлов
Настраиваем ограничение размера syslog-файла
Включаем нумерацию syslog-сообщений
Настраиваем сохранение syslog-сообщений в файл
|
archive
Функционал предназначен для резервного хранения конфигурации маршрутизатора.
| Блок кода | ||||
|---|---|---|---|---|
| ||||
archive
type local
by-commit
count-backup 10
exit |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
Настраиваем режим локальной архивации конфигурации
Включаем режим архивации конфигурации при успешном изменении конфигурации
Настраиваем максимальное количество локальных резервных копий
|
ssh
Функционал предназначен для удаленного подключения к маршрутизатору.
| Блок кода | ||||
|---|---|---|---|---|
| ||||
security zone-pair MGMT self
rule 10
action permit
match protocol tcp
match destination-port port-range 22
enable
exit
exit
ip ssh server |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
Разрешаем прохождение SSH-трафика в зоне безопасности MGMT
Включаем работу SSH-сервера на маршрутизаторе |
lldp
Функционал предназначен для динамического обнаружения устройств подключаемых к маршрутизатору в локальной сети, а также помогает устройствам получать дополнительную информацию для правильной настройки.
| Блок кода | ||||
|---|---|---|---|---|
| ||||
interface gigabitethernet 1/0/3
lldp transmit
lldp receive
exit
interface gigabitethernet 1/0/4
lldp transmit
lldp receive
exit
lldp enable |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
Разрешаем на интерфейсе отправку LLDP-сообщений
Разрешаем на интерфейсе прием LLDP-сообщений
Разрешаем на интерфейсе отправку LLDP-сообщений
Разрешаем на интерфейсе прием LLDP-сообщений
Включаем работу протокола LLDP на маршрутизаторе |
ntp
Функционал предназначен для синхронизации внутренних часов оборудования.
| Блок кода | ||||
|---|---|---|---|---|
| ||||
object-group network Mgmt_POOL
ip prefix 10.250.0.0/24
exit
security zone-pair MGMT self
rule 20
action permit
match protocol udp
match destination-port port-range 123
enable
exit
exit
ntp enable
ntp object-group serve-only Mgmt_POOL
ntp server 198.51.100.100
exit
ntp server 198.51.100.101
exit |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
Создаем профиль адресов MGMT-сети
Разрешаем прохождение NTP-трафика в зоне безопасности MGMT
Включаем работу протокола NTP на маршрутизаторе
Разрешим устройствам из MGMT-сети получать время с маршрутизатора
Конфигурируем NTP-сервер, с которым маршрутизатор будет синхронизировать время
Конфигурируем еще один NTP-сервер, с которым маршрутизатор будет синхронизировать время
|
snmp
Функционал предназначен для управления, мониторинга и конфигурирования маршрутизаторов из системы управления сетью.
| Блок кода | ||||
|---|---|---|---|---|
| ||||
security zone-pair MGMT self
rule 20
action permit
match protocol udp
match destination-port port-range 161
enable
exit
exit
snmp-server
snmp-server community private rw |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
Разрешаем прохождение SNMP-трафика в зоне безопасности MGMT
Включаем работу протокола SNMP на маршрутизаторе
Определяем community для работы протокола SNMP |
Настройка коммутаторов уровня ядра
На уровне ядра необходимо настроить прохождение трафика к сервисным маршрутизаторам и коммутаторам уровня агрегации и IP-адрес из сети управления.
| Блок кода | ||||
|---|---|---|---|---|
| ||||
vlan database vlan 250 exit ! interface vlan 250 name Management ip address 10.250.0.10 /24 exit ! |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
vlan database vlan 250 exit ! interface vlan 250 name Management ip address 10.250.0.11 /24 exit ! |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
Создание необходимых VLAN Переход в режим конфигурации интерфейса VLAN Добавление описания Конфигурация IP-адреса для управления |
Настройка каналов в сторону сервисных маршрутизаторов ESR (вверх) и в сторону коммутаторов агрегации (вниз).
| Блок кода | ||||
|---|---|---|---|---|
| ||||
interface TenGigabitEthernet1/0/4 channel-group 2 mode auto exit ! interface TenGigabitEthernet1/0/5 channel-group 3 mode auto exit ! interface TenGigabitEthernet1/0/6 channel-group 4 mode auto exit ! interface TenGigabitEthernet1/0/7 channel-group 5 mode auto exit ! interface range Port-Channel1-5 switchport mode general switchport general allowed vlan add 250 tagged exit ! interface range Port-Channel2-5 switchport forbidden default-vlan exit ! |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
interface TenGigabitEthernet1/0/4
channel-group 2 mode auto
exit
!
interface TenGigabitEthernet1/0/5
channel-group 3 mode auto
exit
!
interface TenGigabitEthernet1/0/6
channel-group 4 mode auto
exit
!
interface TenGigabitEthernet1/0/7
channel-group 5 mode auto
exit
!
interface range Port-Channel1-5
switchport mode general
switchport general allowed vlan add 250 tagged
switchport forbidden default-vlan
exit
!
interface range Port-Channel2-5
switchport forbidden default-vlan
exit
! |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
Port-Channel 2 будет использован для организации связности с сервисным маршрутизатором ESR1 Port-Channel 3 будет использован для организации связности с сервисным маршрутизатором ESR2 Port-Channel 4 будет использован для организации связности с коммутаторами уровня агрегации Port-Channel 5 будет использован для организации связности с коммутаторами уровня агрегации Переход в режим конфигурации нескольких интерфейсов одновременно Перевод интерфейса в режим general Указание VLAN id, которые будут проходить через интерфейс Запрет добавления дефолтной VLAN на интерфейсах, кроме Peer-Link |
Для обеспечения резервирования в данной схеме на уровне ядра применяется технология VPC.
| Блок кода | ||||
|---|---|---|---|---|
| ||||
interface TenGigabitEthernet1/0/1 ip address 1.1.1.1 255.255.255.252 exit ! interface TenGigabitEthernet1/0/2 channel-group 1 mode auto exit ! interface TenGigabitEthernet1/0/3 channel-group 1 mode auto exit ! vpc domain 1 peer detection peer detection ipaddr 1.1.1.2 1.1.1.1 peer keepalive peer keepalive timeout 5 role priority 1 peer link port-channel 1 exit ! vpc ! vpc group 2 domain 1 vpc-port port-channel 2 exit ! vpc group 3 domain 1 vpc-port port-channel 3 exit ! vpc group 4 domain 1 vpc-port port-channel 4 exit ! vpc group 5 domain 1 vpc-port port-channel 5 exit ! |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
interface TenGigabitEthernet1/0/1 ip address 1.1.1.2 255.255.255.252 exit ! interface TenGigabitEthernet1/0/2 channel-group 1 mode auto exit ! interface TenGigabitEthernet1/0/3 channel-group 1 mode auto exit ! vpc domain 1 peer detection peer detection ipaddr 1.1.1.2 1.1.1.1 peer keepalive peer keepalive timeout 5 role priority 2 peer link port-channel 1 exit ! vpc ! vpc group 2 domain 1 vpc-port port-channel 2 exit ! vpc group 3 domain 1 vpc-port port-channel 3 exit ! vpc group 4 domain 1 vpc-port port-channel 4 exit ! vpc group 5 domain 1 vpc-port port-channel 5 exit ! |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
Настройка IP-адреса для Peer-detection Добавление интерфейса в Port-Channel 1 (будет использован для Peer-Link) Создание VPC-домена Включение peer-detection Указание destination, source IP-адреса для peer-detection protocol Включение службы keepalive Указание времени ожидания ответа на запрос целостности peer-link Установка приоритета устройства. Устройство с меньшим значением будет назначено Primary Назначение Port-Channel 1 в качестве peer-link Включение VPC на коммутаторе Создание VPC-группы Указание VPC-домена Указание Port-Channel, в котором будет работать VPC-группа |
Настройка коммутаторов уровня агрегации
В качестве технологии резервирования на уровне агрегации в рассматриваемой схеме применяется стекирование.
| Примечание |
|---|
Перед базовой конфигурацией коммутаторов уровня агрегации (в рассматриваемой схеме) необходимо настроить стекирование. После конфигурации cтековых настроек устройства необходимо перезагрузить, чтобы настройки применились. Перезагрузку лучше начать с юнита 1. |
| Подсказка |
|---|
| Устройства в стеке управляются через Master. |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
stack configuration unit-id 1 ! stack configuration links te1-2 ! stack nsf |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
stack configuration unit-id 2 ! stack configuration links te1-2 ! stack nsf |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
Конфигурация unit-id внутри стека Конфигурация стековых линков. Стекирование будет осуществляться через интерфейсы TenGigabitEthernet1 и TenGigabitEthernet2 Включение функционала Non-Stop Forwarding |
Настройка управления коммутаторов уровня агрегации. Т. к. коммутаторы на данном уровне работают в стеке, то они являются одним логическим устройством.
| Блок кода | ||||
|---|---|---|---|---|
| ||||
vlan database vlan 250 exit ! interface vlan 250 name Management ip address 10.250.0.20 /24 exit |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
Создание необходимых VLAN Переход в режим конфигурации интерфейса VLAN Добавление описания Конфигурация IP-адреса для управления |
Настройка каналов в сторону коммутаторов ядра (вверх) и в сторону коммутаторов доступа (вниз).
| Блок кода | ||||
|---|---|---|---|---|
| ||||
interface GigabitEthernet1/0/1 channel-group 1 mode auto exit ! interface GigabitEthernet2/0/1 channel-group 1 mode auto exit ! interface GigabitEthernet1/0/2 channel-group 2 mode auto exit ! interface GigabitEthernet2/0/2 channel-group 2 mode auto exit ! interface GigabitEthernet1/0/3 channel-group 3 mode auto exit ! interface GigabitEthernet2/0/3 channel-group 3 mode auto exit ! interface GigabitEthernet1/0/4 channel-group 4 mode auto exit ! interface TenGigabitEthernet2GigabitEthernet2/0/4 channel-group 4 mode auto exit ! interface range Port-Channel1-4 switchport mode general switchport general allowed vlan add 250 tagged switchport forbidden default-vlan exit ! |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
Port-Channel 1 будет использоваться для организации связности с комммутаторами уровня ядра Port-Channel 2 будет использоваться для организации связности с комммутаторами уровня ядра Port-Channel 3 будет использоваться для организации связности с комммутаторами уровня доступа Port-Channel 4 будет использоваться для организации связности с комммутаторами уровня доступа |
Настройка коммутаторов уровня доступа
| Блок кода | ||||
|---|---|---|---|---|
| ||||
vlan database vlan 250 exit ! interface vlan 250 name Management ip address 10.250.0.30 /24 exit ! ! end |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
Создание необходимых VLAN Переход в режим конфигурации интерфейса VLAN Добавление описания Конфигурация IP-адреса для управления |
Настройка каналов в сторону коммутаторов агрегации (вверх).
| Блок кода | ||||
|---|---|---|---|---|
| ||||
interface TenGigabitEthernet1/0/1 channel-group 1 mode auto exit ! interface TenGigabitEthernet1/0/2 channel-group 1 mode auto exit ! interface Port-Channel1 switchport mode general switchport general allowed vlan add 250 tagged switchport forbidden default-vlan exit ! |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
Port-Channel 1 будет использоваться для организации связности с комммутаторами уровня агрегации |
Настройка клиентских портов.
| Блок кода | ||||
|---|---|---|---|---|
| ||||
interface range GigabitEthernet1/0/1-24 switchport mode general exit ! |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
Перевод клиентских портов в режим General |
Настройка безопасности транспортной сети на клиентских портах
Loopback Detection
Функционал предназначен для обнаружения петель как на самом устройстве, так и на устройствах, которые подключены к коммутатору.
| Блок кода | ||||
|---|---|---|---|---|
| ||||
errdisable recovery cause loopback-detection ! loopback-detection mode multicast-mac-addr loopback-detection interval 1 ! loopback-detection enable ! interface range gigabitethernet1/0/1-24 loopback-detection enable spanning-tree disable spanning-tree bpdu filtering exit |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
Включение автоматического восстановления интерфейса после административного отключения из-за LBD Для LBD-кадров использовать MAC-адрес Multicast как MAC-адрес назначения Установка интервала отправки LBD-кадров (в секундах) Глобальное включение функционала LBD Переход в режим конфигурирования группы интерфейсов Включение функционала LBD на клиентском порту Отключение функционала spanning tree на клиентском порту Включение функционала BPDU Filtering на клиентском порту |
Storm Control
Функционал предназначен для ограничения скорости BUM (широковещательного (broadcast), многоадресного (multicast) или одноадресного (unknown unicast)) трафика на физическом интерфейсе.
| Блок кода | ||||
|---|---|---|---|---|
| ||||
traffic-limiter mode kbps ! interface range gigabitethernet1/0/1-24 storm-control broadcast kbps 2048 trap storm-control unicast kbps 2048 trap storm-control multicast kbps 2048 trap exit |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
Указание единиц измерения, которые будет использовать Storm Control. По умолчанию используются kbps, также возможно использовать pps Переход в режим конфигурации группы интерфейсов Конфигурация уровня трафика. При превышении указанной величины в журнал событий вносится соответствующая запись |
Port Isolation
Функционал необходим для изоляции портов (запрета прохождения трафика) в одном широковещательном домене.
| Блок кода | ||||
|---|---|---|---|---|
| ||||
interface range gigabitethernet1/0/1-24 switchport protected-port exit |
| Блок кода | ||||
|---|---|---|---|---|
| ||||
Перевод порта в режим изоляции |