...
Алгоритм настройки
Шаг | Описание | Команда | Ключи |
|---|
| 1 | Сменить юнит у устройства, при необходимости. (смена юнита устройства вступает в силу после перезагрузки) | esr# set unit id <ID> | <ID> – номер юнита, принимает значения [1..2]. |
| 2 | Перейти в режим конфигурирования сетевого мостаСоздать VLAN, который будет | использован в качестве кластерного интерфейсаиспользоваться в кластерном интерфейсе. Можно также использовать vlan 1, созданный по умолчанию. | esr(config) | # bridge <BR-NUM><BR-NUM> – номер сетевого моста. |
| 3 | Указать IPv4-адрес и маску подсети для кластерного интерфейса. Необходимо установить адреса для всех юнитов кластера. (для работы кластерного интерфейса поддерживается только IPv4-адресация) | esr(config-bridge)# ip address <ADDR/LEN> [unit <ID>] | <ADDR/LEN> – IP-адрес и длина маски подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. <ID> – номер юнита, принимает значения [1..2]. Дополнительные функции IPv4-адресации см. в разделе Настройка IP-адресации. |
# vlan <VID> | <VID> – идентификатор VLAN, задаётся в диапазоне [2..4094]. |
| 3 | Перейти в режим конфигурирования физических интерфейсов, которые будут использованы для работы кластерного интерфейса. Необходимо настроить интерфейсы всех юнитов, которые будут участвовать в кластере. | esr(config)# interface gigabitethernet esr(config)# interface tengigabitethernet esr(config)# interface fourtygigabitethernet
esr(config)# interface twentyfivegigabitethernet |
|
| 4 | Установить режим работы физических интерфейсов | 4 | Установить идентификатор VRRP-маршрутизатора. | esr(config- | bridgeif-gi)# | vrrp id <VRID><VRID> – идентификатора VRRP-маршрутизатора, принимает значения [1..255]. |
| 5 | Установить виртуальный IP-адрес VRRP-маршрутизатора (адрес должен быть из той же подсети, что и ip address у юнитов). | esr(config-bridge)# vrrp ip <ADDR/LEN> [ secondary ] | <ADDR/LEN> – виртуальный IP-адрес и длина маски, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. Можно указать несколько
IP-адресов перечислением через запятую. Может быть назначено до 8 IP-адресов на интерфейс.
secondary – ключ для установки дополнительного IP-адреса. |
| 6 | Установить принадлежность VRRP-маршрутизатора к группе. Группа предоставляет возможность синхронизировать несколько VRRP-процессов, так если в одном из процессов произойдет смена мастера, то в другом процессе также произойдёт смена ролей. | esr(config-bridge)# vrrp group <GRID> | <GRID> – идентификатор группы VRRP-маршрутизатора, принимает значения [1..32] |
7 | Включить VRRP-процесс на IP-интерфейсе. | esr(config-bridge)# vrrp | 8 | Активировать сетевой мост. | esr(config-bridge)# enable | 9 | Перейти в режим конфигурирования кластера. | esr(config)# cluster | | 10 | Установить интерфейс, через который будет происходить обмен служебными сообщениями между юнитами в кластере. | esr(config-cluster)# cluster-interface bridge [<BRIDGE-ID>] | <BRIDGE-ID> – идентификационный номер моста, задается в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора. |
11 | Отключить синхронизацию конфигураций в кластере между юнитами (не обязательно). | esr(config-cluster)# sync config disable | | 12 | Перейти в режим конфигурирования юнита в кластере. | esr(config-cluster)# unit <ID> | <ID> – номер юнита, принимает значения [1..2]. |
| 13 | Настроить MAC-адрес для определенного юнита. | esr(config-cluster-unit)# mac-address <ADDR> | <ADDR> – МАС-адрес сетевого моста, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. |
14 | Включить работу кластера. | esr(config-cluster)# enable |
| Примечание |
|---|
Данные между юнитами кластера через канал синхронизации передаются в открытом виде. Также все вводимые команды конфигурирования, содержащие чувствительную информацию не в encrypted-виде, будут переданы в том же виде, в котором введены, после чего будут преобразованы в encrypted-вид. |
Пример настройки кластера
В настоящем руководстве приведено описание настройки кластера для администратора сервисного маршрутизатора ESR (далее — маршрутизатор).
Image Removed
Схема реализации HA Cluster
Первичная настройка кластера
Для начала работы необходимо полностью настроить одно устройство из кластера.
После включения устройства примените конфигурацию по умолчанию на устройствах, предназначенных для объединения в кластер:
| Блок кода |
|---|
|
esr# copy system:default-config system:candidate-config
Entire candidate configuration will be reset to default, all settings will be lost upon commit.
Do you really want to continue? (y/N): y
|******************************************| 100% (59B) Default configuration loaded successfully. |
Для более удобного и ясного восприятия рекомендуется переименовать устройства. В кластерной версии прошивки предусмотрена возможность указать имя устройства с привязкой к юниту. Устройство будет использовать только тот hostname, юнитом которого он является:
| Блок кода |
|---|
|
esr# configure
esr(config)# hostname ESR-1 unit 1
esr(config)# hostname ESR-2 unit 2 |
| Примечание |
|---|
Более приоритетным является hostname, указанный с привязкой к unit. |
Чтобы изменить юнит устройства, выполните следующие команды:
| Блок кода |
|---|
|
ESR-1# set unit id 1
Unit ID will be 1 after reboot
ESR-1# reload system
Do you really want to reload system now? (y/N): y |
| Примечание |
|---|
На заводской конфигурации unit принимает значение по умолчанию (unit = 1). Смена юнита устройства вступает в силу после перезагрузки. |
Убедитесь в том, что настройка юнита применилась успешно:
| Блок кода |
|---|
|
ESR-1# show unit id
Unit ID is 1
Unit ID will be 1 after reboot |
| Примечание |
|---|
Объединение устройств в кластер невозможно, если они относятся к одному и тому же юниту.
Исключение — процесс ZTP, так как в процессе ZTP нужный unit у устройства выставится автоматически. |
Настройка кластерного интерфейса
Для полноценной работы кластера требуется сконфигурировать кластерный интерфейс, который будет использоваться для передачи control plane трафика. В качестве кластерного интерфейса назначен bridge. В качестве механизма, отвечающего за определение ролей устройств, участвующих в резервировании, назначен протокол VRRP. Настройки cluster-интерфейса должны быть идентичны для всех участников кластера.
Так как кластер выполняет синхронизацию состояний между устройствами, необходимо создать зону безопасности SYNC (synchronization) и разрешить прохождение трафика протокола VRRP:
| Блок кода |
|---|
|
ESR-1(config)# security zone SYNC
ESR-1(config-security-zone)# exit
ESR-1(config)# security zone-pair SYNC self
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol vrrp
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit |
Далее перейдите к настройкам кластерного интерфейса:
| Блок кода |
|---|
|
ESR-1(config)# bridge 1
|
| Примечание |
|---|
В версии ПО 1.28 в качестве cluster-интерфейса поддержан только bridge. |
Укажите, к какому VLAN относится bridge, и зону безопасности:
| Блок кода |
|---|
|
ESR-1(config-bridge)# vlan 1
ESR-1(config-bridge)# security-zone SYNC |
Далее укажите IP-адреса:
| Блок кода |
|---|
|
ESR-1(config-bridge)# ip address 198.51.100.254/24 unit 1
ESR-1(config-bridge)# ip address 198.51.100.253/24 unit 2 |
| Примечание |
|---|
Для работы кластерного интерфейса поддерживается только IPv4-адресация. На cluster-интерфейсе необходима настройка адресов с привязкой к unit. |
...
| mode switchport | Допустимо для всех ESR. |
| esr(config-if-gi)# mode hybrid | Допустимо только для ESR-1000/1200/1500/
1511(rev.B)/1700. |
| 5 | Задать режим работы L2-интерфейсов. | esr(config-if-gi)# switchport mode access | Только для ESR-10/12V(F)/15/15R/15VF/20/21/30/31/
100/200/3100/3200/3200L/3300. Данный режим является режимом по умолчанию и не отображается в конфигурации. |
| esr(config-if-gi)# switchport mode trunk | Только для ESR-10/12V(F)/15/15R/15VF/20/21/30/31/
100/200/3100/3200/3200L/3300. |
| esr(config-if-gi)# switchport mode general | Только для ESR-1000/1200/1500/
1511 (rev.B)/1700. Данный режим является режимом по умолчанию и не отображается в конфигурации. |
| 6 | Настроить заранее созданный VLAN на интерфейсах. | esr(config-if-gi)# switchport access vlan <VID> | Только для ESR-10/12V(F)/15/15R/15VF/20/21/30/31/
100/200/3100/3200/3200L/3300. <VID> – идентификационный номер VLAN, задаётся в диапазоне [1…4094]. |
esr(config-if-gi)# switchport trunk allowed vlan <ACT> <VID>
| Для ESR-10/12V(F)/15/15R/15VF/20/21/30/31/100/200/
3100/3200/3200L/3300. <ACT> – назначаемое действие: add – включение интерфейса во VLAN; remove – исключение интерфейса из VLAN. <VID> – идентификационный номер VLAN, задаётся в диапазоне [2…4094]. Можно задать диапазоном через «-» или перечислением через «,». |
esr(config-if-gi)# switchport general allowed vlan <ACT> <VID> [<TYPE>]
| Для ESR-1000/1200/1500/
1511 (rev.B)/1700. <ACT> – назначаемое действие: add – включение интерфейса во VLAN; remove – исключение интерфейса из VLAN. <VID> – идентификационный номер VLAN, задаётся в диапазоне [2…4094]. Можно задать диапазоном через «-» или перечислением через «,»; <TYPE> – тип пакета: tagged – интерфейс будет передавать и принимать пакеты в указанных VLAN тегированными; untagged – интерфейс будет передавать пакеты в указанных VLAN нетегированными. VLAN, в который будут направлены входящие нетегированные пакеты, настраивается командой switchport general pvid. |
| 7 | Перейти в режим конфигурирования сетевого моста, который будет использован в качестве кластерного интерфейса. | esr(config)# bridge <BR-NUM> | <BR-NUM> – номер сетевого моста. |
| 8 | Настроить заранее созданный VLAN на кластерном интерфейсе. | esr(config-bridge)# vlan <VID> | <VID> – идентификационный номер VLAN, задаётся в диапазоне [1…4094]. |
| 9 | Указать IPv4-адрес и маску подсети для кластерного интерфейса. Необходимо установить адреса для всех юнитов кластера. (для работы кластерного интерфейса поддерживается только IPv4-адресация) | esr(config-bridge)# ip address <ADDR/LEN> [unit <ID>] | <ADDR/LEN> – IP-адрес и длина маски подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. <ID> – номер юнита, принимает значения [1..2]. Дополнительные функции IPv4-адресации см. в разделе Настройка IP-адресации. |
| 10 | Установить идентификатор VRRP-маршрутизатора. | esr(config-bridge)# vrrp id <VRID> | <VRID> – идентификатора VRRP-маршрутизатора, принимает значения [1..255]. |
| 11 | Установить виртуальный IP-адрес VRRP-маршрутизатора (адрес должен быть из той же подсети, что и ip address у юнитов). | esr(config-bridge)# vrrp ip <ADDR/LEN> [ secondary ] | <ADDR/LEN> – виртуальный IP-адрес и длина маски, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. Можно указать несколько
IP-адресов перечислением через запятую. Может быть назначено до 8 IP-адресов на интерфейс.
secondary – ключ для установки дополнительного IP-адреса. |
| 12 | Установить принадлежность VRRP-маршрутизатора к группе. Группа предоставляет возможность синхронизировать несколько VRRP-процессов, так если в одном из процессов произойдет смена мастера, то в другом процессе также произойдёт смена ролей. | esr(config-bridge)# vrrp group <GRID> | <GRID> – идентификатор группы VRRP-маршрутизатора, принимает значения [1..32] |
| 13 | Включить VRRP-процесс на IP-интерфейсе. | esr(config-bridge)# vrrp |
|
| 14 | Активировать сетевой мост. | esr(config-bridge)# enable |
|
15 | Перейти в режим конфигурирования кластера. | esr(config)# cluster |
|
| 16 | Установить интерфейс, через который будет происходить обмен служебными сообщениями между юнитами в кластере. | esr(config-cluster)# cluster-interface bridge [<BRIDGE-ID>] | <BRIDGE-ID> – идентификационный номер моста, задается в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора. |
| 17 | Отключить синхронизацию конфигураций в кластере между юнитами (не обязательно). | esr(config-cluster)# sync config disable |
|
| 18 | Перейти в режим конфигурирования юнита в кластере. | esr(config-cluster)# unit <ID> | <ID> – номер юнита, принимает значения [1..2]. |
| 19 | Настроить для юнита соответствующий системный MAC-адрес устройства. | esr(config-cluster-unit)# mac-address <ADDR> | <ADDR> – МАС-адрес сетевого моста, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. |
| 20 | Включить работу кластера. | esr(config-cluster)# enable |
|
| Примечание |
|---|
Данные между юнитами кластера через канал синхронизации передаются в открытом виде. Также все вводимые команды конфигурирования, содержащие чувствительную информацию не в encrypted-виде, будут переданы в том же виде, в котором введены, после чего будут преобразованы в encrypted-вид. |
Пример настройки кластера
В настоящем руководстве приведено описание настройки кластера для администратора сервисного маршрутизатора ESR (далее — маршрутизатор).
Image Added
Схема реализации HA Cluster
Первичная настройка кластера
Для начала работы необходимо полностью настроить одно устройство из кластера.
После включения устройства примените конфигурацию по умолчанию на устройствах, предназначенных для объединения в кластер:
| Блок кода |
|---|
|
ESR-1(config-bridge)# vrrp id 1
ESR-1(config-bridge)# vrrp group 1
ESR-1(config-bridge)# vrrp ip 198.51.100.1/24 |
| Примечание |
|---|
Адрес VRRP должен быть из той же подсети, что и адреса на интерфейсе. |
esr# copy system:default-config system:candidate-config
Entire candidate configuration will be reset to default, all settings will be lost upon commit.
Do you really want to continue? (y/N): y
|******************************************| 100% (59B) Default configuration loaded successfully. |
Для более удобного и ясного восприятия рекомендуется переименовать устройства. В кластерной версии прошивки предусмотрена возможность указать имя устройства с привязкой к юниту. Устройство будет использовать только тот hostname, юнитом которого он являетсяВключите протокол VRRP и bridge:
| Блок кода |
|---|
|
ESR-1esr# configure
esr(config-bridge)# vrrphostname
ESR-1(config-bridge)# enable
ESR-1(config-bridge)# exit unit 1
esr(config)# hostname ESR-2 unit 2 |
| Примечание |
|---|
Более приоритетным является hostname, указанный с привязкой к unit. |
Чтобы изменить юнит устройства, выполните следующие командыНастройте физические порты для выделенного линка синхронизации маршрутизаторов ESR-1 и ESR-2:
| Блок кода |
|---|
|
ESR-1(config)# interface gigabitethernet 1/0/1
ESR-1(config-if-gi)# description "Network: SYNC"
ESR-1(config-if-gi)# mode switchport
ESR-1(config-if-gi)# exit
ESR-1(config)# interface gigabitethernet 2/0/1
ESR-1(config-if-gi)# description "Network: SYNC"
ESR-1(config-if-gi)# mode switchport
ESR-1(config-if-gi)# exit |
1# set unit id 1
Unit ID will be 1 after reboot
ESR-1# reload system
Do you really want to reload system now? (y/N): y |
| Примечание |
|---|
Смена юнита устройства вступает в силу после перезагрузки. |
| Примечание |
|---|
При изменении номера юнита маршрутизатора не происходит автоматической конвертации конфигурации.
В случае если до маршрутизатора настроен удаленный доступ и у него меняется номер юнита, необходимо до перезагрузки настроить ip-интерфейсы для нового юнита аналогично текущим. |
| Примечание |
|---|
В заводской конфигурации присутствуют настройки интерфейсов только для юнита по умолчанию (unit = 1).
При копировании и применении заводской конфигурации настройка номера юнита не изменяется на значение по умолчанию.
Установить номер юнита по умолчанию возможно следующими способами:
1. используя консольное подключение;
2. зажав функциональную кнопку "F" на 15 секунд. |
Убедитесь в том, что настройка юнита применилась успешноДля проверки работы протокола VRRP выполните следующую команду:
| Блок кода |
|---|
|
esrESR-30#1# show vrrpunit id
VirtualUnit routerID is 1
Unit VirtualID IPwill be 1 Priority Preemption State Inherit Sync group ID
-------------- --------------------------------- -------- ---------- ------ ------- -----------
1 198.51.100.1/24 100 Disabled Backup -- 1 |
Можно увидеть, что устройство приняло состояние Backup. Через 10 секунд устройство примет состояние Master.
Настройка кластера
Для запуска кластера необходимо указать заранее настроенный кластерный интерфейс и юниты, которые будут выполнять роли Active и Standby.
| Примечание |
|---|
Объединение устройств в кластер невозможно, если они относятся к одному и тому же юниту.
Исключение — процесс ZTP, так как в процессе ZTP нужный unit у устройства выставится автоматически. |
| Примечание |
|---|
Для объединения в кластер vESR предварительно необходимо сделать разные системные MAC-адреса на устройствах путем смены серийного номера. |
Настройка кластерного интерфейса
Для полноценной работы кластера требуется сконфигурировать кластерный интерфейс, который будет использоваться для передачи control plane трафика. В качестве кластерного интерфейса назначен bridge. В качестве механизма, отвечающего за определение ролей устройств, участвующих в резервировании, назначен протокол VRRP. Настройки cluster-интерфейса должны быть идентичны для всех участников кластера.
Так как кластер выполняет синхронизацию состояний между устройствами, необходимо создать зону безопасности SYNC (synchronization) и разрешить прохождение трафика протокола VRRP:
| Блок кода |
|---|
|
ESR-1(config)# security zone SYNC
ESR-1(config-security-zone)# exit
ESR-1(config)# security zone-pair SYNC self
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol vrrp
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit |
Далее перейдите к настройкам кластерного интерфейса:
| Блок кода |
|---|
|
ESR-1(config)# bridge 1
|
| Примечание |
|---|
В версии ПО 1.28 в качестве cluster-интерфейса поддержан только bridge. |
Укажите, к какому VLAN относится bridge, и зону безопасности:
| Блок кода |
|---|
|
ESR-1(config-bridge)# vlan 1
ESR-1(config-bridge)# security-zone SYNC |
Далее укажите IP-адреса:
| Блок кода |
|---|
|
ESR-1(config-bridge)# ip address 198.51.100.254/24 unit 1
ESR-1(config-bridge)# ip address 198.51.100.253/24 unit 2 |
| Примечание |
|---|
Для работы кластерного интерфейса поддерживается только IPv4-адресация. На cluster-интерфейсе необходима настройка адресов с привязкой к unit. |
Настройте идентификатор VRRP, принадлежность VRRP-маршрутизатора к группе, IP-адрес VRRP:
| Блок кода |
|---|
|
ESR-1(config-bridge)# vrrp id 1
ESR-1(config-bridge)# vrrp group 1
ESR-1(config-bridge)# vrrp ip 198.51.100.1/24 |
| Примечание |
|---|
Адрес VRRP должен быть из той же подсети, что и адреса на интерфейсе. |
Включите протокол VRRP и bridgeПерейдите в режим настройки кластера:
| Блок кода |
|---|
|
ESR-1(config-bridge)# cluster vrrp
ESR-1(config-bridge)# enable
ESR-1(config-bridge)# exit |
Настройте физические порты для выделенного линка синхронизации маршрутизаторов ESR-1 и ESR-2Настройте юниты:
| Блок кода |
|---|
|
ESR-1(config-cluster)# unit interface gigabitethernet 1/0/1
ESR-1(config-clusterif-unitgi)# mac-address E4:5A:D4:A0:BE:35description "Network: SYNC"
ESR-1(config-clusterif-unitgi)# mode exitswitchport
ESR-1(config-if-clustergi)# unit 2exit
ESR-1(config-cluster-unit)# mac-address A8:F9:4B:AF:35:84)# interface gigabitethernet 2/0/1
ESR-1(config-if-gi)# description "Network: SYNC"
ESR-1(config-if-gi)# mode switchport
ESR-1(config-clusterif-unitgi)# exit |
| Примечание |
|---|
В качестве mac-address указывается системный MAC-адрес устройства, его можно узнать с помощью команды show system | include MAC. |
Для проверки работы протокола VRRP выполните следующую командуУкажите кластерный интерфейс, созданный ранее, и активируйте кластер:
| Блок кода |
|---|
|
ESR-1(config-cluster)# cluster-interface bridge 1
ESR-1(config-cluster)# enable
ESR-1(config-cluster)# exit |
Первое устройство полностью настроено и готово к работе.
Аналогичные настройки необходимо произвести на втором устройстве. Также возможна настройка второго устройства средствами ZTP.
| Примечание |
|---|
Для активации процесса ZTP необходимо на втором устройстве запустить dhcp-client на bridge-интерфейсе, логический или физический интерфейс которого будет включен в кластерный интерфейс первого устройства. В качестве примера такой конфигурации подойдет factory-конфигурация. (В factory-конфигурации для vESR нет настроенного dhcp-client) В процессе ZTP устройство автоматически выставит себе: 1) Конфигурацию; 2) Юнит; 3) Версию ПО, на котором работает Active ESR; 4) Лицензию, если она предварительно загружена на Active ESR. |
После выполнения этих шагов кластер будет успешно запущен. Текущее состояние кластера можно узнать, выполнив команду:
esr-30# show vrrp
Virtual router Virtual IP Priority Preemption State Inherit Sync group ID
-------------- --------------------------------- -------- ---------- ------ ------- -----------
1 198.51.100.1/24 100 Disabled Backup -- 1 |
Можно увидеть, что устройство приняло состояние Backup. Через 10 секунд устройство примет состояние Master.
Настройка кластера
Для запуска кластера необходимо указать заранее настроенный кластерный интерфейс и юниты, которые будут выполнять роли Active и Standby.
Перейдите в режим настройки кластера:
| Блок кода |
|---|
|
ESR-1(config)# cluster |
Настройте юниты:
| Блок кода |
|---|
|
ESR-1(config-cluster)# unit 1
ESR-1(config-cluster-unit)# mac-address E4:5A:D4:A0:BE:35
ESR-1(config-cluster-unit)# exit
ESR-1(config-cluster)# unit 2
ESR-1(config-cluster-unit)# mac-address A8:F9:4B:AF:35:84
ESR-1(config-cluster-unit)# exit |
| Примечание |
|---|
В качестве mac-address указывается системный MAC-адрес устройства, его можно узнать с помощью команды show system | include MAC. |
Укажите кластерный интерфейс, созданный ранее, и активируйте кластер:
| Блок кода |
|---|
|
ESR-1(config-cluster)# cluster-interface bridge 1
ESR-1(config-cluster)# enable
ESR-1(config-cluster)# exit |
Первое устройство полностью настроено и готово к работе.
Аналогичные настройки необходимо произвести на втором устройстве, предварительно сменив у него unit на требуемый. Также возможна настройка второго устройства средствами ZTP.
| Примечание |
|---|
Для активации процесса ZTP необходимо на втором устройстве запустить dhcp-client на bridge-интерфейсе, логический или физический интерфейс которого будет включен в кластерный интерфейс первого устройства. В качестве примера такой конфигурации подойдет factory-конфигурация (в factory-конфигурации для vESR нет настроенного dhcp-client). В процессе ZTP устройство автоматически выставит себе: 1) Конфигурацию; 2) Юнит; 3) Версию ПО, на котором работает Active ESR; 4) Лицензию, если она предварительно загружена на Active ESR. |
После выполнения этих шагов кластер будет успешно запущен. Текущее состояние кластера можно узнать, выполнив команду:
| Блок кода |
|---|
|
ESR-1# show cluster status
Unit Hostname Role MAC address State IP address
---- -------------------- ---------- ----------------- -------------- ---------------
1* ESR-1 Active e4:5a:d4:a0:be:35 Joined 198.51.100.254
2 ESR-2 Standby a8:f9:4b:af:35:84 Joined 198.51.100.253 |
| Примечание |
|---|
После включения кластера и установления юнитов в состояние Joined дальнейшее конфигурирование устройств осуществляется настройкой Active-устройства. Синхронизируются команды конфигурации, а также команды: commit, confirm, rollback, restore, save, copy <source> system:candidate-config. В случае, если конфигурирование осуществляется на Standby, то внесенные изменения в конфигурацию засинхронизированы не будут. Все внесённые изменения в конфигурацию Standby будут потеряны при выполнении commit на Active-устройстве. Есть возможность отключения синхронизации командой sync config disable. |
Текущее состояние синхронизации подсистем кластера можно узнать, выполнив команду:
| Блок кода |
|---|
|
ESR-1# show cluster sync status
System part Synced
---------------------- ------
candidate-config Yes
running-config Yes
SW version Yes
licence Yes
licence (After reboot) Yes
date Yes |
| Примечание |
|---|
В текущей версии ПО не поддержано синхронное шифрование паролей, вводимых не в encryption-виде. Такие пароли будут зашифрованы каждым из участников кластера самостоятельно. |
| Примечание |
|---|
Через минуту после включения кластера синхронизируется время, на Standby установится время Active-юнита. Синхронизация времени проверяется раз в минуту, в случае расхождения время синхронизируется. |
Синхронизация файлов лицензий
Для синхронизации файлов лицензий в кластере необходимо загрузить их все на Active-устройство командой copy в директорию system:cluster-unit-licences.
Все загруженные лицензии в данной директории передаются остальным участникам кластера.
| Блок кода |
|---|
|
ESR-1# copy tftp://<IP_address>:/licence system:cluster-unit-licences
|*************************| 100% (680B) Licence loaded successfully. |
| Примечание |
|---|
На каждый ESR нужна отдельная лицензия (Wi-Fi, BRAS и т. д.). Для активации функций кластера не нужна отдельная лицензия. |
Установка файлов лицензий
Установить лицензию в кластере можно двумя способами:
1. Загрузить индивидуально лицензию на каждое устройство, как в случае с обычным ESR вне кластера.
2. Загрузить лицензию для Active-юнита в system:licence (данная лицензия также автоматически загрузится и в system:cluster-unit-licences), активировать её перезагрузкой, лицензии для Standby загрузить в system:cluster-unit-licences на Active-юните, после чего либо выполнить команду sync cluster system force, либо подключить Standby по ZTP.
| Блок кода |
|---|
|
ESR-1# copy tftp://<IP_address>:/licence system:cluster-unit-licences
|*************************| 100% (680B) Licence loaded successfully.
ESR-1#
ESR-1#
ESR-1#
ESR-1# show cluster-unit-licences
Serial number Features
--------------- ------------------------------------------------------------
NP0B003634 BRAS,IPS,WIFI
NP0B009033 BRAS,IPS,WIFI
ESR-1# sync cluster system force |
Подключение сервисов
После успешной настройки кластера можно приступать к конфигурации различных сервисов.
Настройка System prompt
System prompt позволяет отобразить оперативное состояние кластера непосредственно в строке приглашения CLI устройства, что упрощает получение актуальной информации.
Варианты настройки system prompt, включая доступные параметры и синтаксис команды, приведены в разделе Настройка общесистемных параметров.
Пример настройки
Задача:
Настроить system prompt в кластере маршрутизаторов ESR-1 и ESR-2 со следующими параметрами:
- необходимо получать информацию о статусе полной синхронизации кластера;
- необходимо получать информацию о номере юнита администрируемого устройства;
- необходимо получать информацию о роли устройства в кластере;
- необходимо получать информацию о статусе кластерного VRRP;
- необходимо получать информацию о hostname устройства.
Исходная конфигурация кластера:
| Блок кода |
|---|
|
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit |
Решение:
Перейдем в режим конфигурирования устройства:
| Блок кода |
|---|
|
ESR-1# configure
ESR-1(config)# |
Добавим в system prompt информацию о статусе полной синхронизации кластера:
| Блок кода |
|---|
|
ESR-1(config)# system prompt '(Cluster: %s%)' |
Добавим в system prompt информацию о номере юнита администрируемого устройства:
| Блок кода |
|---|
|
ESR-1(config)# system prompt '(Cluster: %s% | Unit: %u%)' |
Добавим в system prompt информацию о роли устройства в кластере:
| Блок кода |
|---|
|
ESR-1(config)# system prompt '(Cluster: %s% | Unit: %u% | State: %r%)' |
Добавим в system prompt информацию о статусе кластерного VRRP:
| Блок кода |
|---|
|
ESR-1(config)# system prompt '(Cluster: %s% | Unit: %u% | State: %r% | VRRP id 1: %v1%)' |
Добавим в system prompt информацию о hostname устройства:
| Блок кода |
|---|
|
ESR-1(config)# system prompt '(Cluster: %s% | Unit: %u% | State: %r% | VRRP id 1: %v1%)|%h%' |
Применим конфигурацию и обновим пользовательскую сессию CLI:
| Блок кода |
|---|
|
ESR-1# commit
Configuration has been successfully applied and saved to flash. Commit timer started, changes will be.
ESR-1# confirm
Configuration has been confirmed. Commit timer canceled.
ESR-1# exit
ESR-1 login: admin
Password:
********************************************
* Welcome to ESR *
********************************************
(Cluster: Yes | Unit: 1 | State: Active | VRRP id 1: Master)|ESR-1# |
Обновим пользовательскую сессию CLI на втором устройстве:
| Блок кода |
|---|
|
ESR-2# 2024-12-27T15:25:04+00:00 %CLUSTER-I-SYNC_CONFIG_INFO: unit 1 'ESR-1' starts a synchronous operation 'commit'
2024-12-27T15:25:09+00:00 %CLUSTER-I-SYNC_CONFIG_INFO: 'commit' successful performed
ESR-2# exit
ESR-2 login: admin
Password:
********************************************
* Welcome to ESR |
| Блок кода |
|---|
|
ESR-1# show cluster status
Unit Hostname Role MAC address State IP address
---- -------------------- ---------- ----------------- -------------- ---------------
1* ESR-1 Active e4:5a:d4:a0:be:35 Joined 198.51.100.254
2 ESR-2 Standby a8:f9:4b:af:35:84 Joined 198.51.100.253 |
| Примечание |
|---|
После включения кластера и установления юнитов в состояние Joined далее конфигурирование устройств осуществляется настройкой Active устройства. Синхронизируются команды конфигурации, а также команды: commit, confirm, rollback, restore, save, copy <source> system:candidate-config. В случае если конфигурирование осуществляется на Standby, то внесенные изменения в конфигурацию засинхронизированы не будут. Все внесённые изменения в конфигурацию Standby будут потеряны при выполнении commit на Active устройстве. Есть возможность отключения синхронизации командой sync config disable. |
Текущее состояние синхронизации подсистем кластера можно узнать, выполнив команду:
| Блок кода |
|---|
|
ESR-1# show cluster sync status
System part Synced
---------------------- ------
candidate-config Yes
running-config Yes
SW version Yes
licence Yes
licence (After reboot) Yes
date Yes |
| Примечание |
|---|
В версии 1.28 не поддержано синхронное шифрование паролей, вводимых не в encryption виде. Такие пароли будут зашифрованы каждым из участников кластера самостоятельно. |
| Примечание |
|---|
Через минуту после включения кластера синхронизируется время, на Standby установится время Active-юнита. Синхронизация времени проверяется раз в минуту, в случае расхождения время синхронизируется. |
Синхронизация файлов лицензий
Для синхронизации файлов лицензий в кластере необходимо загрузить их все на Active-устройство командой copy в директорию system:cluster-unit-licences.
Все загруженные лицензии в данной директории передаются остальным участникам кластера.
| Блок кода |
|---|
|
ESR-1# copy tftp://<IP_address>:/licence system:cluster-unit-licences
|*************************| 100% (680B) Licence loaded successfully. |
| Примечание |
|---|
На каждый ESR нужна отдельная лицензия (Wi-Fi, BRAS и т. д.). Для активации функций кластера не нужна отдельная лицензия. |
Установка файлов лицензий
Установить лицензию в кластере можно двумя способами:
1. Загрузить индивидуально лицензию на каждое устройство, как в случае с обычным ESR вне кластера.
2. Загрузить лицензию для Active-юнита в system:licence (данная лицензия также автоматически загрузится и в system:cluster-unit-licences), активировать её перезагрузкой, лицензии для Standby загрузить в system:cluster-unit-licences на Active-юните, после чего либо выполнить команду sync cluster system force, либо подключить Standby по ZTP.
| Блок кода |
|---|
|
ESR-1# copy tftp://<IP_address>:/licence system:cluster-unit-licences
|*************************| 100% (680B) Licence loaded successfully.
ESR-1#
ESR-1#
ESR-1#
ESR-1# show cluster-unit-licences
Serial number Features
--------------- ------------------------------------------------------------
NP0B003634 BRAS,IPS,WIFI
NP0B009033 BRAS,IPS,WIFI
ESR-1# sync cluster system force |
Подключение сервисов
После успешной настройки кластера можно приступать к конфигурации различных сервисов.
Настройка System prompt
System prompt позволяет отобразить оперативное состояние кластера непосредственно в строке приглашения CLI устройства, что упрощает получение актуальной информации.
Варианты настройки system prompt, включая доступные параметры и синтаксис команды, приведены по ссылке в разделе: Настройка общесистемных параметров.
Пример настройки
Задача:
Настроить system prompt в кластере маршрутизаторов ESR-1 и ESR-2 со следующими параметрами:
- необходимо получать информацию о статусе полной синхронизации кластера;
- необходимо получать информацию о номере юнита администрируемого устройства;
- необходимо получать информацию о роли устройства в кластере;
- необходимо получать информацию о статусе кластерного VRRP;
- необходимо получать информацию о hostname устройства.
Исходная конфигурация кластера:
| Блок кода |
|---|
|
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit |
Решение:
Перейдем в режим конфигурирования устройства:
| Блок кода |
|---|
|
ESR-1# configure
ESR-1(config)# |
Добавим в system prompt информацию о статусе полной синхронизации кластера:
| Блок кода |
|---|
|
ESR-1(config)# system prompt '(Cluster: %s%)' |
Добавим в system prompt информацию о номере юнита администрируемого устройства:
| Блок кода |
|---|
|
ESR-1(config)# system prompt '(Cluster: %s% | Unit: %u%)' |
Добавим в system prompt информацию о роли устройства в кластере:
| Блок кода |
|---|
|
ESR-1(config)# system prompt '(Cluster: %s% | Unit: %u% | State: %r%)' |
Добавим в system prompt информацию о статусе кластерного VRRP:
| Блок кода |
|---|
|
ESR-1(config)# system prompt '(Cluster: %s% | Unit: %u% | State: %r% | VRRP id 1: %v1%)' |
Добавим в system prompt информацию о hostname устройства:
| Блок кода |
|---|
|
ESR-1(config)# system prompt '(Cluster: %s% | Unit: %u% | State: %r% | VRRP id 1: %v1%)|%h%' |
Применим конфигурацию и обновим пользовательскую сессию CLI:
| Блок кода |
|---|
|
ESR-1# commit
Configuration has been successfully applied and saved to flash. Commit timer started, changes will be.
ESR-1# confirm
Configuration has been confirmed. Commit timer canceled.
ESR-1# exit
ESR-1 login: admin
Password:
********************************************
* Welcome to ESR *
********************************************
(Cluster: Yes | Unit: 1 | State: Active | VRRP id 1: Master)|ESR-1# |
Обновим пользовательскую сессию CLI на втором устройстве:
| Блок кода |
|---|
|
ESR-2# 2024-12-27T15:25:04+00:00 %CLUSTER-I-SYNC_CONFIG_INFO: unit 1 'ESR-1' starts a synchronous operation 'commit'
2024-12-27T15:25:09+00:00 %CLUSTER-I-SYNC_CONFIG_INFO: 'commit' successful performed
ESR-2# exit
ESR-2 login: admin
Password:
********************************************
* Welcome to ESR *
********************************************
(Cluster: Yes | Unit: 2 | State: Standby | VRRP id 1: Backup)|ESR-2# |
| Примечание |
|---|
Чтобы system prompt корректно работал, необходимо обновить пользовательскую сессию. |
Настройка MultiWAN
Технология MultiWAN позволяет организовать отказоустойчивое соединение с резервированием линков от нескольких провайдеров.
С алгоритмом настройки MultiWAN можно ознакомиться по ссылке в разделе: Алгоритм настройки MultiWAN.
Пример настройки
Задача:
Настроить MultiWAN в кластере маршрутизаторов ESR-1 и ESR-2 со следующими параметрами:
- обеспечить резервирование линков от нескольких провайдеров;
- обеспечить балансировку трафика в соотношении 70/30.
Image Removed
Схема реализации MultiWAN
Исходная конфигурация кластера:
*
********************************************
(Cluster: Yes | Unit: 2 | State: Standby | VRRP id 1: Backup)|ESR-2# |
| Примечание |
|---|
Чтобы system prompt корректно работал, необходимо обновить пользовательскую сессию. |
Настройка MultiWAN
Технология MultiWAN позволяет организовать отказоустойчивое соединение с резервированием линков от нескольких провайдеров.
Алгоритм настройки MultiWAN описан в разделе Алгоритм настройки MultiWAN.
Пример настройки
Задача:
Настроить MultiWAN в кластере маршрутизаторов ESR-1 и ESR-2 со следующими параметрами:
- обеспечить резервирование линков от нескольких провайдеров;
- обеспечить балансировку трафика в соотношении 70/30.
Image Added
Схема реализации MultiWAN
Исходная конфигурация кластера:
| Блок кода |
|---|
|
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/2.3
security-zone WAN
ip address 128.66.0.6/30
vrrp id 3
vrrp ip 128.66.0.2/30
vrrp group 1
vrrp
exit
interface gigabitethernet 1/0/2.4
security-zone WAN
ip address 128.66.0.10/30
vrrp id 4
vrrp ip 128.66.0.14/30
vrrp group 1
vrrp
exit
interface gigabitethernet 1/0/3
security-zone LAN
ip address 192.0.2.254/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2.3
security-zone WAN
ip address 128.66.0.5/30
vrrp id 3
vrrp ip 128.66.0.2/30
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/2.4
security-zone WAN
ip address 128.66.0.9/30
vrrp id 4
vrrp ip 128.66.0.14/30
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/3
security-zone LAN
ip address 192.0.2.253/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
security zone-pair WAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit |
Создадим список IP-адресов для проверки целостности соединения:
| Блок кода |
|---|
|
ESR-1(config)# wan load-balance target-list WAN
ESR-1(config-wan-target-list)# target 1
ESR-1(config-wan-target)# ip address 128.66.0.17
ESR-1(config-wan-target)# enable
ESR-1(config-wan-target)# exit
ESR-1(config-wan-target-list)# exit |
Настроим WAN на интерфейсе в сторону провайдера ISP1:
| Блок кода |
|---|
|
ESR-1(config)# interface gigabitethernet 1/0/2.3
ESR-1(config-if-sub)# wan load-balance nexthop 128.66.0.1
ESR-1(config-if-sub)# wan load-balance target-list WAN
ESR-1(config-if-sub)# wan load-balance enable
ESR-1(config-if-sub)# exit
ESR-1(config)# interface gigabitethernet 2/0/2.3
ESR-1(config-if-sub)# wan load-balance nexthop 128.66.0.1
ESR-1(config-if-sub)# wan load-balance target-list WAN
ESR-1(config-if-sub)# wan load-balance enable
ESR-1(config-if-sub)# exit |
Настроим WAN на интерфейсе в сторону провайдера ISP2:
| Блок кода |
|---|
|
ESR-1(config)# interface gigabitethernet 1/0/2.4
ESR-1(config-if-sub)# wan load-balance nexthop 128.66.0.13
ESR-1(config-if-sub)# wan load-balance target-list WAN
ESR-1(config-if-sub)# wan load-balance enable
ESR-1(config-if-sub)# exit
ESR-1(config)# interface gigabitethernet 2/0/2.4
ESR-1(config-if-sub)# wan load-balance nexthop 128.66.0.13
ESR-1(config-if-sub)# wan load-balance target-list WAN
ESR-1(config-if-sub)# wan load-balance enable
ESR-1(config-if-sub)# exit |
Укажем статический маршрут и создадим правило для балансировки трафика:
| Блок кода |
|---|
|
ESR-1(config)# ip route 0.0.0.0/0 wan load-balance rule 1 10
ESR-1(config)# wan load-balance rule 1
ESR-1(config-wan-rule)# outbound interface gigabitethernet 1/0/2.3 70
ESR-1(config-wan-rule)# outbound interface gigabitethernet 1/0/2.4 30
ESR-1(config-wan-rule)# outbound interface gigabitethernet 2/0/2.3 70
ESR-1(config-wan-rule)# outbound interface gigabitethernet 2/0/2.4 30
ESR-1(config-wan-rule)# enable
ESR-1(config-wan-rule)# exit |
Проверить состояние работы MultiWAN можно с помощью команды:
| Блок кода |
|---|
|
ESR-1# show wan rules
Rule 1 detailed information:
VRF: default
Failover: Disabled
Network: 0.0.0.0/0 Metric: 10
gi1/0/2.3 Weight: 70 Nexthop: 128.66.0.1 [Active]
gi1/0/2.4 Weight: 30 Nexthop: 128.66.0.13 [Active] |
Также состояние работы MultiWAN можно проверить с помощью команды:
| Блок кода |
|---|
|
ESR-1# show wan interfaces status
Interface Nexthop Status Uptime/Downtime
(d,h:m:s)
-------------------- ----------------------- -------- --------------------
gi1/0/2.3 128.66.0.1 Active 00,00:00:44
gi1/0/2.4 128.66.0.13 Active 00,00:00:45 |
Настройка IPsec VPN
IPsec — это набор протоколов, обеспечивающих защиту данных, передаваемых по протоколу IP. Данный набор протоколов позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и шифрование IP-пакетов, а также включает в себя протоколы для защищённого обмена ключами в сети Интернет.
Пример настройки Route-based IPsec VPN
Алгоритм настройки Route-based IPsec VPN описан в разделе Алгоритм настройки Route-based IPsec VPN.
Задача:
- Настроить IPsec туннель. Туннель необходимо поднять между адресами: кластер – 203.0.113.2 (VIP адрес), ответная сторона – 203.0.113.6;
IKE:
- группа Диффи-Хэллмана: 2;
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5.
IP sec:
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5.
Image Added
Схема реализации Route-based IPsec VPN
Исходная конфигурация кластера:
| Блок кода |
|---|
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone WAN
exit
security zone LAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/2
security-zone WAN
ip address 128.66.0.2/30
vrrp id 3
vrrp ip 203.0.113.2/30
vrrp group 1
vrrp
exit
interface gigabitethernet 1/0/3
security-zone LAN
ip address 192.0.2.254/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
security-zone WAN
ip address 128.66.0.1/30
vrrp id 3
vrrp ip 203.0.113.2/30
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/3
security-zone LAN
ip address 192.0.2.253/24
vrrp id 2
vrrp ip 192.0.2 |
| Блок кода |
|---|
|
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/2.3
security-zone WAN
ip address 128.66.0.6/30
vrrp id 3
vrrp ip 128.66.0.2/30
vrrp group 1
vrrp
exit
interface gigabitethernet 1/0/2.4
security-zone WAN
ip address 128.66.0.10/30
vrrp id 4
vrrp ip 128.66.0.14/30
vrrp group 1
vrrp
exit
interface gigabitethernet 1/0/3
security-zone LAN
ip address 192.0.2.254/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2.3
security-zone WAN
ip address 128.66.0.5/30
vrrp id 3
vrrp ip 128.66.0.2/30
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/2.4
security-zone WAN
ip address 128.66.0.9/30
vrrp id 4
vrrp ip 128.66.0.14/30
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/3
security-zone LAN
ip address 192.0.2.253/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
security zone-pair WAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit |
...
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
security zone-pair WAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit |
Решение:
Создадим профиль ISAKMP-портов, необходимых для работы протокола IPsec, включающий разрешение UDP-пакетов на порту 500 (а также на порту 4500 для поддержки NAT-T при необходимости):
| Блок кода |
|---|
|
ESR-1(config)# object-group service ISAKMP
ESR-1(config-object-group-service)# port-range 500
ESR-1(config-object-group-service)# port-range 4500
ESR-1(config-object-group-service)# exit |
Добавим правила, разрешающее прохождение пакетов протоколов VRRP и ESP, а также UDP-пакетов с портами 500 и 4500, через IPsec-туннель:
| Блок кода |
|---|
|
ESR-1(config)# security zone-pair WAN self
ESR-1(config-security-zone-pair)# rule 2
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol udp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group ISAKMP
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# rule 3
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol esp
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit |
Создадим зону безопасности IPsec и туннель VTI, через который будет перенаправляться трафик в IPsec-туннель. В качестве локального шлюза назначим VIP IP-адрес, настроенный на интерфейсах в сторону зоны WAN, а в качестве удалённого шлюза – IP-адрес соответствующего интерфейса:
| Блок кода |
|---|
|
ESR-1(config)# security zone IPSEC
ESR-1(config-security-zone)# exit
ESR-1(config)# tunnel vti 1
ESR-1(config-vti)# security-zone IPSEC
ESR-1(config-vti)# local address 203.0.113.2
ESR-1(config-vti)# remote address 203.0.113.6
ESR-1(config-vti)# ip address 128.66.0.6/30
ESR-1(config-vti)# enable
ESR-1(config-vti)# exit |
Добавим правило, разрешающее прохождение трафика между зонами LAN и IPSEC:
| Блок кода |
|---|
|
ESR-1(config)# security zone-pair LAN IPSEC
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit
ESR-1(config)# security zone-pair IPSEC LAN
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit |
Создадим профиль протокола IKE, в котором зададим следующие параметры безопасности: группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit и алгоритм аутентификации MD5. Данные настройки обеспечивают надежную защиту IKE-соединения:
| Блок кода |
|---|
|
ESR-1(config)# security ike proposal ike_prop
ESR-1(config-ike-proposal)# dh-group 2
ESR-1(config-ike-proposal)# authentication algorithm md5
ESR-1(config-ike-proposal)# encryption algorithm aes128
ESR-1(config-ike-proposal)# exit |
Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:
| Блок кода |
|---|
|
ESR-1(config)# wansecurity load-balance target-list WANike policy ike_pol
ESR-1(config-wanike-target-listpolicy)# target 1
ESR-1(config-wan-target)# ip address 128.66.0.17pre-shared-key ascii-text password
ESR-1(config-wanike-targetpolicy)# enable
ESR-1(config-wan-target)# exitproposal ike_prop
ESR-1(config-wanike-target-listpolicy)# exit |
Настроим WAN на интерфейсе в сторону провайдера ISP1: Создадим шлюз протокола IKE с указанием VTI-туннеля, применимой политики, версии протокола и режима перенаправления трафика в туннель, а также отключим mobike:
| Блок кода |
|---|
|
ESR-1(config)# security interfaceike gigabitethernet 1/0/2.3gateway ike_gw
ESR-1(config-ifike-subgw)# wanversion load-balance nexthop 128.66.0.1v2-only
ESR-1(config-ifike-subgw)# wan loadike-balance target-list WANpolicy ike_pol
ESR-1(config-ifike-subgw)# wanmode loadroute-balance enablebased
ESR-1(config-ifike-subgw)# mobike exitdisable
ESR-1(config-ike-gw)# bind-interface gigabitethernet 2/0/2.3vti 1
ESR-1(config-if-sub-ike-gw)# exit |
Создадим профиль параметров безопасности для IPsec-туннеля, в котором укажем алгоритм шифрования AES 128 bit и алгоритм аутентификации MD5, обеспечивая надежную защиту передаваемых данных:
| Блок кода |
|---|
|
ESR-1(config)# wansecurity load-balanceipsec nexthop 128.66.0.1proposal ipsec_prop
ESR-1(config-ifipsec-subproposal)# wanauthentication load-balance target-list WANalgorithm md5
ESR-1(config-ifipsec-subproposal)# wanencryption load-balancealgorithm enableaes128
ESR-1(config-ifipsec-subproposal)# exit |
Настроим WAN на интерфейсе в сторону провайдера ISP2: Создадим политику для IPsec-туннеля, в которой укажем перечень профилей IPsec-туннеля, используемых для согласования параметров безопасности между узлами:
| Блок кода |
|---|
|
ESR-1(config)# interfacesecurity ipsec gigabitethernet 1/0/2.4policy ipsec_pol
ESR-1(config-ifipsec-subpolicy)# wan load-balance nexthop 128.66.0.13proposal ipsec_prop
ESR-1(config-ifipsec-subpolicy)# wan load-balance target-list WAN
exit |
Создадим IPsec VPN, в котором задаются следующие параметры: шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения:
| Блок кода |
|---|
|
ESR-1(config-if-sub)# wan load-balance enablesecurity ipsec vpn ipsec
ESR-1(config-ifipsec-subvpn)# ike exit
ESR-1(config)# interface gigabitethernet 2/0/2.4establish-tunnel route
ESR-1(config-ifipsec-subvpn)# wanike load-balance nexthop 128.66.0.13gateway ike_gw
ESR-1(config-ifipsec-subvpn)# wanike loadipsec-balance target-list WANpolicy ipsec_pol
ESR-1(config-ifipsec-subvpn)# wan load-balanceenable enable
ESR-1(config-ifipsec-subvpn)# exit |
Укажем Добавим статический маршрут и создадим правило для балансировки трафикадо встречной клиентской подсети через VTI туннель:
| Блок кода |
|---|
|
ESR-1(config)# ip route 0128.066.01.0/24 128.66.0 wan load-balance rule 1 10
ESR-1(config)# wan load-balance rule 1
ESR-1(config-wan-rule)# outbound interface gigabitethernet 1/0/2.3 70
ESR-1(config-wan-rule)# outbound interface gigabitethernet 1/0/2.4 30
ESR-1(config-wan-rule)# outbound interface gigabitethernet 2/0/2.3 70
ESR-1(config-wan-rule)# outbound interface gigabitethernet 2/0/2.4 30
ESR-1(config-wan-rule)# enable
ESR-1(config-wan-rule)# exit |
Проверить состояние работы MultiWAN можно с помощью команды:
| Примечание |
|---|
Аналогичную настройку требуется выполнить на встречном устройстве. |
Просмотреть состояние VTI туннеля можно с помощью команды:
| Блок кода |
|---|
|
ESR-1# show tunnels status
Tunnel Admin Link MTU Local IP Remote IP Last change
state state |
| Блок кода |
|---|
|
ESR-1# show wan rules
Rule 1 detailed information:
VRF: default
Failover: Disabled
Network: 0.0.0.0/0 Metric: 10
gi1/0/2.3 Weight: 70 Nexthop: 128.66.0.1 [Active]
gi1/0/2.4 Weight: 30 Nexthop: 128.66.0.13 [Active] |
Также состояние работы MultiWAN можно проверить с помощью команды:
| Блок кода |
|---|
|
ESR-1# show wan interfaces status
Interface (d,h:m:s)
---------------- ----- ----- ------ ---------------- ---------------- -------------
vti 1 Up Up 1500 Nexthop 203.0.113.2 203.0.113.6 Status 00,00:05:59 |
Посмотреть состояние IPsec-туннеля можно с помощью команды:
| Блок кода |
|---|
|
ESR-1# show security ipsec vpn status
NameUptime/Downtime
Local host Remote host Initiator spi Responder spi (d,h:m:s) State
------------------------------- --------------- --------------- ------------------ ------------------ -----------
gi1/0/2.3ipsec 128.66.0.1 Active 00,00:00:44
gi1/0/2.4203.0.113.2 128.66.0.13203.0.113.6 0x65212b7585c59b50 0x53028e1afc23a024 Established Active 00,00:00:45 |
...
IPsec — это набор протоколов, обеспечивающих защиту данных, передаваемых по протоколу IP. Данный набор протоколов позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и шифрование IP-пакетов, а также включает в себя протоколы для защищённого обмена ключами в сети Интернет.
...
Пример настройки Policy-based IPsec VPN
С алгоритмом Алгоритм настройки RoutePolicy-based IPsec VPN можно ознакомиться по ссылке в разделе:Алгоритм настройки RouteVPN описан в разделе Алгоритм настройки Policy-based IPsec VPN.
Задача:
- Настроить IPsec туннель. Туннель необходимо поднять между адресами: кластер – 203.0.113.252 2 (VIP адрес), ответная сторона – 203.0.113.6. Туннель необходим для организации доступа между клиентскими подсетями 192.0.2.0/24 и 128.66.1.0/24;
IKE:
- группа Диффи-Хэллмана: 2;
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5.
IP sec:
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5.
Image Removed
Image Added
Схема реализации Routeреализации Policy-based IPsec VPN
Исходная конфигурация кластера:
| Блок кода |
|---|
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone WAN
exit
security zone LAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/2
security-zone WAN
ip address 128.66.0.2/30
vrrp id 3
vrrp ip 203.0.113.2/30
vrrp group 1
vrrp
exit
interface gigabitethernet 1/0/3
security-zone LAN
ip address 192.0.2.254/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
security-zone WAN
ip address 128.66.0.1/30
vrrp id 3
vrrp ip 203.0.113.2/30
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/3
security-zone LAN
ip address 192.0.2.253/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
security zone-pair WAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit |
Решение:
Создадим профиль ISAKMP-портов, необходимых для работы протокола IPsec, включающий разрешение UDP-пакетов на порту 500 (а также на порту 4500 для поддержки NAT-T при необходимости):
| Блок кода |
|---|
|
ESR-1(config)# object-group service ISAKMP
ESR-1(config-object-group-service)# port-range 500
ESR-1(config-object-group-service)# port-range 4500
ESR-1(config-object-group-service)# exit |
Добавим правила, разрешающее прохождение пакетов протоколов VRRP и ESP, а также UDP-пакетов с портами 500 и 4500, через IPsec-туннель:
| Блок кода |
|---|
|
ESR-1(config)# security zone-pair WAN self
ESR-1(config-security-zone-pair)# rule 2
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol udp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group ISAKMP
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# rule 3
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol esp
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit |
Создадим зону безопасности IPsec и туннель VTI, через который будет перенаправляться трафик в IPsec-туннель. В качестве локального шлюза назначим VIP IP-адрес, настроенный на интерфейсах в сторону зоны WAN, а в качестве удалённого шлюза – IP-адрес соответствующего интерфейса:
| Блок кода |
|---|
|
ESR-1(config)# security zone IPSEC
ESR-1(config-security-zone)# exit
ESR-1(config)# tunnel vti 1
ESR-1(config-vti)# security-zone IPSEC
ESR-1(config-vti)# local address 203.0.113.2
ESR-1(config-vti)# remote address 203.0.113.1
ESR-1(config-vti)# ip address 128.66.0.6/30
ESR-1(config-vti)# enable
ESR-1(config-vti)# exit |
Добавим правило, разрешающее прохождение трафика между зонами LAN и IPSEC:
| Блок кода |
|---|
|
ESR-1(config)# security zone-pair LAN IPSEC
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit
ESR-1(config)# security zone-pair IPSEC LAN
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit |
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/3
security-zone LAN
ip address 192.0.2.253/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
security zone-pair WAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit |
Решение:
Создадим профиль ISAKMP-портов, необходимых для работы протокола IPsec, включающий разрешение UDP-пакетов на порту 500 (а также на порту 4500 для поддержки NAT-T при необходимости)Создадим профиль протокола IKE, в котором зададим следующие параметры безопасности: группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit и алгоритм аутентификации MD5. Данные настройки обеспечивают надежную защиту IKE-соединения:
| Блок кода |
|---|
|
ESR-1(config)# securityobject-group ike proposal ike_propservice ISAKMP
ESR-1(config-ikeobject-group-proposalservice)# dhport-grouprange 2500
ESR-1(config-object-ikegroup-proposalservice)# authentication algorithm md5 port-range 4500
ESR-1(config-ike-proposal)# encryption algorithm aes128
ESR-1(config-ike-proposalobject-group-service)# exit |
Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификацииДобавим правила, разрешающее прохождение пакетов протоколов VRRP и ESP, а также UDP-пакетов с портами 500 и 4500, через IPsec-туннель:
| Блок кода |
|---|
|
ESR-1(config)# security ikezone-pair policyWAN ike_polself
ESR-1(config-security-ikezone-policypair)# pre-shared-key ascii-text password rule 2
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-ikepair-policyrule)# match proposalprotocol ike_propudp
ESR-1(config-security-zone-ikepair-policyrule)# exit |
Создадим шлюз протокола IKE с указанием VTI-туннеля, применимой политики, версии протокола и режима перенаправления трафика в туннель, а также отключим mobike:
| Блок кода |
|---|
|
match destination-port object-group ISAKMP
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# security ike gateway ike_gwexit
ESR-1(config-security-ikezone-gwpair)# versionrule v2-only3
ESR-1(config-security-zone-ikepair-gwrule)# ike-policy ike_pol action permit
ESR-1(config-security-zone-ikepair-gwrule)# match modeprotocol route-based esp
ESR-1(config-security-zone-ikepair-gwrule)# mobike disableenable
ESR-1(config-ike-gwsecurity-zone-pair-rule)# bind-interface vti 1exit
ESR-1(config-security-ikezone-gwpair)# exit |
Добавим правило, разрешающее прохождение трафика между зонами LAN и WAN для клиентских подсетейСоздадим профиль параметров безопасности для IPsec-туннеля, в котором укажем алгоритм шифрования AES 128 bit и алгоритм аутентификации MD5, обеспечивая надежную защиту передаваемых данных:
| Блок кода |
|---|
|
ESR-1(config)# security ipsec proposal ipsec_propobject-group network LAN
ESR-1(config-object-group-network)# ip prefix 192.0.2.0/24
ESR-1(config-object-ipsecgroup-proposalnetwork)# authentication algorithm md5 exit
ESR-1(config)# object-group network IPSEC
ESR-1(config-object-ipsecgroup-proposalnetwork)# encryptionip algorithm aes128prefix 128.66.1.0/24
ESR-1(config-ipsecobject-group-proposalnetwork)# exit |
Создадим политику для IPsec-туннеля, в которой укажем перечень профилей IPsec-туннеля, используемых для согласования параметров безопасности между узлами:
| Блок кода |
|---|
|
ESR-1(config)# security ipseczone-pair policyLAN ipsec_polWAN
ESR-1(config-ipsecsecurity-zone-policypair)# proposalrule ipsec_prop1
ESR-1(config-ipsec-policy)# exit |
Создадим IPsec VPN, в котором задаются следующие параметры: шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения:
| Блок кода |
|---|
|
ESR-1(config)# security ipsec vpn ipsecsecurity-zone-pair-rule)# match source-address object-group LAN
ESR-1(config-security-zone-ipsecpair-vpnrule)# match ikedestination-address establishobject-tunnelgroup IPSEC route
ESR-1(config-ipsec-vpnsecurity-zone-pair-rule)# ikeaction gatewaypermit ike_gw
ESR-1(config-security-zone-ipsecpair-vpnrule)# ike ipsec-policy ipsec_polenable
ESR-1(config-security-ipseczone-pair-vpnrule)# enable exit
ESR-1(config-security-ipseczone-vpnpair)# exit |
Добавим статический маршрут до встречной клиентской подсети через VTI туннель:
| Блок кода |
|---|
| title |
ESR-1 | ESR-1(config)# security ipzone-pair route 128.66.1.0/24 128.66.0.5 |
|---|
| Примечание |
|---|
Аналогичную настройку требуется выполнить на встречном устройстве. |
Просмотреть состояние VTI туннеля можно с помощью команды:
| Блок кода |
|---|
|
ESR-1# show tunnels status
Tunnel Admin Link MTU Local IP Remote IP Last change
state state (d,h:m:s)
---------------- ----- ----- ------ ---------------- ---------------- -------------
vti 1 Up Up 1500 203.0.113.2 203.0.113.1 00,00:05:59 |
WAN LAN
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# match source-address object-group IPSEC
ESR-1(config-security-zone-pair-rule)# match destination-address object-group LAN
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit |
Создадим профиль протокола IKE, в котором зададим следующие параметры безопасности: группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit и алгоритм аутентификации MD5. Данные настройки обеспечивают надежную защиту IKE-соединения:
| Блок кода |
|---|
|
ESR-1(config)# security ike proposal ike_prop
ESR-1(config-ike-proposal)# dh-group 2
ESR-1(config-ike-proposal)# authentication algorithm md5
ESR-1(config-ike-proposal)# encryption algorithm aes128
ESR-1(config-ike-proposal)# exit |
Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:
| Блок кода |
|---|
|
ESR-1(config)# security ike policy ike_pol
ESR-1(config-ike-policy)# pre-shared-key ascii-text password
ESR-1(config-ike-policy)# proposal ike_prop
ESR-1(config-ike-policy)# exit |
Создадим шлюз протокола IKE, определив применимую IKE-политику, локальные и удалённые параметры, а также режим перенаправления трафика в туннель. В качестве локального шлюза назначим VIP IP-адрес, настроенный на интерфейсах в сторону зоны WAN, с локальной подсетью 192.0.2.0/24, а удалённым – IP-адрес 203.0.113.1 с удаленной подсетью 128.66.1.0/24. Режим перенаправления трафика установлен как policy-based:
| Блок кода |
|---|
|
ESR-1(config)# security ike gateway ike_gw
ESR-1(config-ike-gw)# ike-policy ike_pol
ESR-1(config-ike-gw)# local address 203.0.113.2
ESR-1(config-ike-gw)# local network 192.0.2.0/24
ESR-1(config-ike-gw)# remote address 203.0.113.6
ESR-1(config-ike-gw)# remote network 128.66.1.0/24
ESR-1(config-ike-gw)# mode policy-based
ESR-1(config-ike-gw)# exit |
Создадим профиль параметров безопасности для IPsec-туннеля, в котором укажем алгоритм шифрования AES 128 bit и алгоритм аутентификации MD5, обеспечивая надежную защиту передаваемых данныхПосмотреть состояние IPsec-туннеля можно с помощью команды:
| Блок кода |
|---|
|
ESR-1# show security ipsec vpn status
Name Local host Remote host Initiator spi Responder spi State
------------------------------- --------------- --------------- ------------------ ------------------ -----------
ipsec 203.0.113.2 203.0.113.1 0x65212b7585c59b50 0x53028e1afc23a024 Established |
Пример настройки Policy-based IPsec VPN
С алгоритмом настройки Policy-based IPsec VPN можно ознакомиться по ссылке в разделе: Алгоритм настройки Policy-based IPsec VPN.
Задача:
- Настроить IPsec туннель. Туннель необходимо поднять между адресами: кластер – 203.0.113.2 (VIP адрес), ответная сторона – 203.0.113.1. Туннель необходим для организации доступа между клиентскими подсетями 192.0.2.0/24 и 128.66.1.0/24;
IKE:
- группа Диффи-Хэллмана: 2;
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5.
IP sec:
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5.
Image Removed
Схема реализации Policy-based IPsec VPN
Исходная конфигурация кластера:
1(config)# security ipsec proposal ipsec_prop
ESR-1(config-ipsec-proposal)# authentication algorithm md5
ESR-1(config-ipsec-proposal)# encryption algorithm aes128
ESR-1(config-ipsec-proposal)# exit |
Создадим политику для IPsec-туннеля, в которой укажем перечень профилей IPsec-туннеля, используемых для согласования параметров безопасности между узлами:
| Блок кода |
|---|
|
ESR-1(config)# security ipsec policy ipsec_pol
ESR-1(config-ipsec-policy)# proposal ipsec_prop
ESR-1(config-ipsec-policy)# exit |
Создадим IPsec VPN, в котором задаются следующие параметры: шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения:
| Блок кода |
|---|
|
ESR-1(config)# security ipsec vpn ipsec
ESR-1(config-ipsec-vpn)# ike establish-tunnel route
ESR-1(config-ipsec-vpn)# ike gateway ike_gw
ESR-1(config-ipsec-vpn)# ike ipsec-policy ipsec_pol
ESR-1(config-ipsec-vpn)# enable
ESR-1(config-ipsec-vpn)# exit |
Добавим статический маршрут до встречной клиентской подсети через IPsec-туннель:
| Блок кода |
|---|
|
ESR-1(config)# ip route 128.66.1.0/24 203.0.113.1 |
| Примечание |
|---|
Аналогичную настройку требуется выполнить на устройстве, находящемся на другой стороне туннеля |
Посмотреть состояние IPsec-туннеля можно с помощью команды:
| Блок кода |
|---|
|
ESR-1# show security ipsec vpn status
Name Local host Remote host Initiator spi Responder spi State
------------------------------- --------------- --------------- ------------------ ------------------ -----------
ipsec 203.0.113.2 203.0.113.6 0x201602ebcafb809b 0x4556a21a7012d2c0 Established |
Настройка firewall/NAT failover
Firewall failover необходим для резервирования сессий firewall.
Алгоритм настройки firewall/NAT failover описан в разделе Алгоритм настройки firewall failover.
Пример настройки firewall failover
Задача:
Настроить firewall failover в кластере маршрутизаторов ESR-1 и ESR-2 со следующими параметрами:
- режим резервирования сессий unicast;
- номер UDP-порта службы резервирования 9999;
- клиентская подсеть: 192.0.2.0/24.
Image Added
Схема реализации Firewall failover
Исходная конфигурация кластера:
| Блок кода |
|---|
|
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone WAN
exit
security zone LAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100 |
| Блок кода |
|---|
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone WAN
exit
security zone LAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/2
security-zone WAN
ip address 128.66.0.2/30
vrrp id 3
vrrp ip 203.0.113.2/30
vrrp group 1
vrrp
exit
interface gigabitethernet 1/0/3
security-zone LAN
ip address 192.0.2.254/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
security-zone WAN
ip address 128.66.0.1/30
vrrp id 3
vrrp ip 203.0.113.2/30
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/3
security-zone LAN
ip address 192.0.2.253/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp
exit
security zone-pair SYNC self
rule 1 authentication key ascii-text encrypted 88B11079B51D
action permit
match protocol icmpvrrp authentication algorithm md5
vrrp
enable
exit
interface rule 2gigabitethernet 1/0/1
mode action permitswitchport
spanning-tree disable
exit
interface match protocol vrrpgigabitethernet 1/0/2
security-zone enableWAN
exit
ip rule 3address 128.66.0.6/30
vrrp id action permit3
vrrp match protocol ahip 203.0.113.2/30
vrrp group enable1
exitvrrp
exit
securityinterface zone-pair WAN selfgigabitethernet 1/0/3
rulesecurity-zone 1LAN
ip action permitaddress 128.66.0.2/30
vrrp id match2
protocol vrrp ip 192.0.2.1/24
vrrp group enable1
exitvrrp
exit
securityinterface zone-pair LAN selfgigabitethernet 2/0/1
rulemode 1switchport
spanning-tree disable
exit
interface action permitgigabitethernet 2/0/2
match protocol vrrpsecurity-zone WAN
ip enable
exit
exit |
Решение:
Создадим профиль ISAKMP-портов, необходимых для работы протокола IPsec, включающий разрешение UDP-пакетов на порту 500 (а также на порту 4500 для поддержки NAT-T при необходимости):
| Блок кода |
|---|
|
ESR-1(config)# object-group service ISAKMP
ESR-1(config-object-group-service)# port-range 500
ESR-1(config-object-group-service)# port-range 4500
ESR-1(config-object-group-service)# exit |
Добавим правила, разрешающее прохождение пакетов протоколов VRRP и ESP, а также UDP-пакетов с портами 500 и 4500, через IPsec-туннель:
| Блок кода |
|---|
|
ESR-1(config)# security zone-pair WAN self
ESR-1(config-security-zone-pair)# rule 2
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol udp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group ISAKMP
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# rule 3
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol esp
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit |
Добавим правило, разрешающее прохождение трафика между зонами LAN и WAN для клиентских подсетей:
| Блок кода |
|---|
|
ESR-1(config)# object-group network LAN
ESR-1(config-object-group-network)# ip prefix 192.0.2.0/24
ESR-1(config-object-group-network)# exit
ESR-1(config)# object-group network IPSEC
ESR-1(config-object-group-network)# ip prefix 128.66.1.0/24
ESR-1(config-object-group-network)# exit
ESR-1(config)# address 128.66.0.5/30
vrrp id 3
vrrp ip 203.0.113.2/30
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/3
security-zone LAN
ip address 128.66.0.1/30
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
security zone-pair LAN WAN
ESR-1(config-security-zone-pair)#self
rule 1
ESR-1(config-security-zone-pair-rule)# match source-address object-group LANaction
ESR-1(config-security-zone-pair-rule)# match destination-address object-group IPSEC
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit
ESR-1(config)# permit
match protocol vrrp
enable
exit
exit
security zone-pair WAN LAN
ESR-1(config-security-zone-pair)#self
rule 1
ESR-1(config-security-zone-pair-rule)# match source-address object-group IPSECaction
ESR-1(config-security-zone-pair-rule)# match destination-address object-group LAN
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exitpermit
match protocol vrrp
enable
exit
exit
security zone-pair LAN WAN
rule 1
action permit
enable
exit
exit
ip route 0.0.0.0/0 203.0.113.1 |
Решение:
Сконфигурируем object-group для настройки failover-сервисовСоздадим профиль протокола IKE, в котором зададим следующие параметры безопасности: группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit и алгоритм аутентификации MD5. Данные настройки обеспечивают надежную защиту IKE-соединения:
| Блок кода |
|---|
|
ESR-1(config)# securityobject-group ikenetwork proposal ikeSYNC_propSRC
ESR-1(config-object-ikegroup-proposalnetwork)# ip dh-group 2address-range 198.51.100.254 unit 1
ESR-1(config-object-ikegroup-proposalnetwork)# authentication algorithm md5
ESR-1(config-ike-proposal)# encryption algorithm aes128ip address-range 198.51.100.253 unit 2
ESR-1(config-object-ikegroup-proposalnetwork)# exit |
Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:
| Блок кода |
|---|
|
ESR-1(config)# securityobject-group ikenetwork policy ikeSYNC_polDST
ESR-1(config-object-ikegroup-policynetwork)# pre-shared-key ascii-text passwordip address-range 198.51.100.253 unit 1
ESR-1(config-object-ikegroup-policynetwork)# proposal ike_prop ip address-range 198.51.100.254 unit 2
ESR-1(config-ikeobject-group-policynetwork)# exit |
Создадим шлюз протокола IKE, определив применимую IKE-политику, локальные и удалённые параметры, а также режим перенаправления трафика в туннель. В качестве локального шлюза назначим VIP IP-адрес, настроенный на интерфейсах в сторону зоны WAN, с локальной подсетью 192.0.2.0/24, а удалённым – IP-адрес 203.0.113.1 с удаленной подсетью 128.66.1.0/24. Режим перенаправления трафика установлен как policy-basedПерейдем к настройке общих параметров для failover-сервисов, а именно к выбору: IP-адреса с которого будут отправляться сообщения для синхронизации, IP-адреса получателя сообщений для синхронизации и VRRP-группу, на основе которой определяется состояние (основной/резервный) маршрутизатора при работе failover-сервисов:
| Блок кода |
|---|
|
ESR-1(config)# security ike gateway ike_gwip failover
ESR-1(config-ike-gwfailover)# local-address ikeobject-policygroup ikeSYNC_polSRC
ESR-1(config-ike-gwfailover)# local address 203.0.113.2remote-address object-group SYNC_DST
ESR-1(config-ike-gwfailover)# local network 192.0.2.0/24
ESR-1(config-ike-gw)# remote address 203.0.113.1
vrrp-group 1
ESR-1(config-failover)# exit |
| Примечание |
|---|
При включенном кластере использование object-group в настройке failover-сервисов для local-/remote-адресов обязательно. |
Для настройки правил зон безопасности создадим профиль для порта firewall failover:
| Блок кода |
|---|
|
ESR-1(config-ike-gw)# remoteobject-group network 128.66.1.0/24service FAILOVER
ESR-1(config-ikeobject-group-gwservice)# mode policy-basedport-range 9999
ESR-1(config-ikeobject-group-gwservice)# exit |
Создадим профиль параметров безопасности для IPsec-туннеля, в котором укажем алгоритм шифрования AES 128 bit и алгоритм аутентификации MD5, обеспечивая надежную защиту передаваемых данныхразрешающие правило для зоны безопасности SYNC, разрешив прохождение необходимого трафика для работы firewall failover:
| Блок кода |
|---|
|
ESR-1(config)# security zone-pair ipsecSYNC proposalself ipsec_prop
ESR-1(config-ipsecsecurity-zone-proposalpair)# authentication algorithm md5 rule 4
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-ipseczone-pair-proposalrule)# match encryptionprotocol algorithmudp aes128
ESR-1(config-security-zone-ipsecpair-proposalrule)# exit |
Создадим политику для IPsec-туннеля, в которой укажем перечень профилей IPsec-туннеля, используемых для согласования параметров безопасности между узлами:
| Блок кода |
|---|
|
match destination-port object-group FAILOVER
ESR-1(config-security-zone-pair-rule)# security ipsec policy ipsec_polenable
ESR-1(config-security-zone-ipsecpair-policyrule)# proposal ipsec_propexit
ESR-1(config-security-ipseczone-policypair)# exit |
Создадим IPsec VPN, в котором задаются следующие параметры: шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединенияВыполним настройку firewall failover. Настроим режим резервирования сессий unicast, номер UDP-порта службы резервирования сессий firewall и включим firewall failover:
| Блок кода |
|---|
|
ESR-1(config)# securityip ipsecfirewall vpn ipsecfailover
ESR-1(config-ipsecfirewall-vpnfailover)# ike establishsync-tunneltype route unicast
ESR-1(config-ipsecfirewall-vpnfailover)# ike gateway ike_gwport 9999
ESR-1(config-ipsecfirewall-vpnfailover)# ike ipsec-policy ipsec_polenable
ESR-1(config-ipsec-vpn)# enable
ESR-1(config-ipsec-vpnfirewall-failover)# exit |
Добавим статический маршрут до встречной клиентской подсети через IPsec туннельПосле успешного запуска firewall failover можно посмотреть информацию о сервисе с помощью команды:
| Блок кода |
|---|
|
ESR-1(config)# ip route 128.66.1.0/24 203.0.113.1 |
| Примечание |
|---|
Аналогичную настройку требуется выполнить на устройстве, находящемся на другой стороне туннеля |
Посмотреть состояние IPsec-туннеля можно с помощью команды:
| Блок кода |
|---|
|
ESR-1# show security ipsec vpn status
Name1# show ip firewall failover
Communication interface: bridge 1
Status: Running
Bytes sent: Local host3420
Bytes received: Remote host Initiator spi Responder spi 3320
Packets sent: State
------------------------------- --------------- --------------- ------------------ ------------------ -----------
ipsec209
Packets received: 209
Send errors: 203.0.113.2 203.0.113.1 0x201602ebcafb809b 0x4556a21a7012d2c0 Established |
Настройка Firewall/NAT failover
Firewall failover необходим для резервирования сессий firewall.
С алгоритмом настройки firewall/NAT failover можно ознакомиться по ссылке в разделе: Алгоритм настройки firewall failover.
Пример настройки firewall failover
Задача:
Настроить firewall failover в кластере маршрутизаторов ESR-1 и ESR-2 со следующими параметрами:
- режим резервирования сессий unicast;
- номер UDP-порта службы резервирования 9999;
- клиентская подсеть: 192.0.2.0/24.
Image Removed
Схема реализации firewall failover
Исходная конфигурация кластера:
| Блок кода |
|---|
|
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/1
security-zone LAN
ip address 128.66.0.2/30
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp
exit
interface gigabitethernet 1/0/2
security-zone WAN
ip address 128.66.0.2/30
vrrp id 3
vrrp ip 203.0.113.2/30
vrrp group 1
vrrp
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/1
security-zone LAN
ip address 128.66.0.1/30
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/2
security-zone WAN
ip address 128.66.0.1/30
vrrp id 3
vrrp ip 203.0.113.2/30
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair LAN WAN
rule 1
action permit
enable
exit
exit
ip route 0.0.0.0/0 203.0.113.1 |
Решение:
Сконфигурируем object-group для настройки failover-сервисов:
| Блок кода |
|---|
|
ESR-1(config)# object-group network SYNC_SRC
ESR-1(config-object-group-network)# ip address-range 198.51.100.254 unit 1
ESR-1(config-object-group-network)# ip address-range 198.51.100.253 unit 2
ESR-1(config-object-group-network)# exit
ESR-1(config)# object-group network SYNC_DST
ESR-1(config-object-group-network)# ip address-range 198.51.100.253 unit 1
ESR-1(config-object-group-network)# ip address-range 198.51.100.254 unit 2
ESR-1(config-object-group-network)# exit |
Перейдем к выбору IP-адреса сетевого интерфейса, с которого будут отправляться сообщения при работе failover-сервисов, указав созданную object-group:
| Блок кода |
|---|
|
ESR-1(config)# ip failover
ESR-1(config-failover)# local-address object-group SYNC_SRC |
Настроим IP-адреса соседа при работе failover-сервисов, указав созданную object-group:
| Блок кода |
|---|
|
ESR-1(config-failover)# remote-address object-group SYNC_DST |
Укажем VRRP-группу, на основе которой определяется состояние (основной/резервный) маршрутизатора при работе failover-сервисов:
| Блок кода |
|---|
|
ESR-1(config-failover)# vrrp-group 1
ESR-1(config-failover)# exit |
| Примечание |
|---|
При включенном кластере использование object-group в настройке failover-сервисов обязательно. |
Для настройки правил зон безопасности создадим профиль для порта firewall failover:
| Блок кода |
|---|
|
ESR-1(config)# object-group service FAILOVER
ESR-1(config-object-group-service)# port-range 9999
ESR-1(config-object-group-service)# exit |
Создадим разрешающие правило для зоны безопасности SYNC, разрешив прохождение необходимого трафика для работы firewall failover:
| Блок кода |
|---|
|
ESR-1(config)# security zone-pair SYNC self
ESR-1(config-security-zone-pair)# rule 4
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol udp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group FAILOVER
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit |
0
Receive errors: 0
Resend queue:
Active entries: 1
Errors:
No space left: 0
Hold queue:
Active entries: 0
Errors:
No space left: 0 |
Также возможно узнать текущее состояние firewall failover сервиса, выполнив команду:
| Блок кода |
|---|
|
ESR-1# show high-availability state
AP Tunnels:
State: Disabled
Last state change: --
DHCP option 82 table:
State: Disabled
Last state change: --
DHCP server:
State: Disabled
Last state change: --
crypto-sync:
State: Disabled
Firewall sessions and NAT translations:
VRF: --
Tracking VRRP Group 1
Tracking VRRP Group state: Master
State: Successful synchronization
Fault Reason: --
Last synchronization: 2025-02-12 07:05:47 |
Сгенерируем одну клиентскую сессии из LAN в WAN.
Посмотреть firewall-сессии, которые синхронизируются между устройствами, можно командами: Выполним настройку firewall failover. Настроим режим резервирования сессий unicast:
| Блок кода |
|---|
|
ESR-1(config)#1# show ip firewall sessions failover
ESR-1(config-firewall-failover)# sync-type unicast |
Настроим номер UDP-порта службы резервирования сессий firewall:
| Блок кода |
|---|
|
ESR-1(config-firewall-failover)# port 9999 |
Включим резервирование сессий firewall:
| Блок кода |
|---|
|
ESR-1(config-firewall-failover)# enable
ESR-1(config-firewall-failover)# exit |
После успешного запуска firewall failover можно посмотреть информацию о сервисе с помощью команды:
| Блок кода |
|---|
|
ESR-1# show ip firewall failover
Communication interface: internal
Codes: E - expected, U - unreplied,
A - assured, C - confirmed
Prot Aging Inside source bridge 1
Status: Inside destination Outside source Outside destination Pkts Bytes Running
Bytes sent: Status
----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------ 3420
Bytestcp received: 0 192.0.2.10:44812 128.66.1.1:22 3320
Packets sent: 128.66.1.1:22 192.0.2.10:44812 -- 209
Packets received: -- AC |
| Блок кода |
|---|
|
ESR-1# show ip firewall sessions failover 209external
Send errorsCodes: E - expected, U - unreplied,
A - assured, C - confirmed
Prot Aging Inside 0
Receivesource errors: Inside destination Outside source Outside 0
Resenddestination queue:
Pkts Active entries: Bytes Status
----- ---------- 1
Errors:
No space left: --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------
tcp 0 0
Hold queue:
192.0.2.10:44812 Active entries: 128.66.1.1:22 128.66.1.1:22 0
192.0.2.10:44812 Errors:
-- No space left: -- AC 0 |
Посмотреть счетчики для кэшей firewall failover можно командой:Также возможно узнать текущее состояние firewall failover сервиса, выполнив команду:
| Блок кода |
|---|
|
ESR-1# show high-availability state
AP Tunnels:
ip firewall failover cache
Internal sessions cache counters:
Active Stateentries: Disabled1
Added: Last state change: --
DHCP option 82 table:
State: 5
Deleted: Disabled
Last state change: --
DHCP server:
4
Updated: State: Disabled4
Failed adding: Last state change: --
crypto-sync:
0
State: No memory left: Disabled
Firewall sessions and NAT translations:0
VRF: No space left: --0
Tracking VRRP GroupFailed deleting: 1
Tracking VRRP Group state: Master0
State: No entry found: Successful synchronization0
FaultFailed Reasonupdating: -- 0
Last synchronization: No entry found: 2025-02-12 07:05:47 |
Сгенерируем одну клиентскую сессии из LAN в WAN.
Посмотреть firewall сессии, которые синхронизируются между устройствами, можно командами:
| Блок кода |
|---|
|
ESR-1# show ip firewall sessions failover external
ESR-1# show ip firewall sessions failover internal 0
External sessions cache Codescounters:
E - expected, UActive -entries: unreplied,
A - assured, C - confirmed
Prot Aging 0
Inside source Added: Inside destination Outside source Outside destination Pkts 0
Deleted: Bytes Status
----- ---------- --------------------- --------------------- --------------------- --------------------- ----------0
----------Updated: ------
tcp 0 192.0.2.10:44812 128.66.1.1:22 0
Installed to Kernel: 128.66.1.1:22 192.0.2.10:44812 0
-- Failed adding: -- AC |
Посмотреть счетчики для кэшей firewall failover можно командой:
| Блок кода |
|---|
|
ESR-1# show ip firewall failover cache
Internal sessions cache counters:
0
No memory left: Active entries: 0
No space left: 1
Added: 0
Failed deleting: 5
Deleted: 0
No entry found: 4
Updated: 0
Failed updating: 40
Failed adding: No entry found: 0
Failed installing to Kernel: No memory left: 0 |
Пример настройки нескольких экземпляров firewall failover, каждый – в своём VRF
Задача:
Настроить несколько экземпляров firewall failover в кластере маршрутизаторов ESR-1 и ESR-2, каждый в своем VRF, со следующими параметрами:
- режим резервирования сессий unicast;
- номер UDP-порта службы резервирования 9999;
- настроить приоритеты у разных firewall failover так, чтобы один из юнитов кластера был Master в одном VRF, а в другом был Backup;
- клиентская подсеть через первый VRF: 192.0.2.0/24;
- клиентская подсеть через второй VRF: 128.66.0.0/24.
Image Added
Схема реализации firewall failover в нескольких VRF
Исходная конфигурация кластера:
| Блок кода |
|---|
cluster
cluster-interface bridge 1
unit 1
0mac-address a2:00:00:10:c0:00
exit
unit 2
No space left: 0
Failed deleting: 0
No entry found: 0
Failed updating: 0
No entry found: 0
External sessions cache counters:
Active entries: 0
Added: 0
Deleted: 0
Updated: 0
Installed to Kernel: 0
Failed adding: 0
No memory left: 0
No space left: 0
Failed deleting: 0
No entry found: 0
Failed updating: 0
No entry found: 0
Failed installing to Kernel: 0 |
Пример настройки нескольких экземпляров firewall failover, каждый – в своём VRF
Задача:
Настроить несколько экземпляров firewall failover в кластере маршрутизаторов ESR-1 и ESR-2, каждый в своем VRF, со следующими параметрами:
- режим резервирования сессий unicast;
- номер UDP-порта службы резервирования 9999;
- настроить приоритеты у разных firewall failover так, чтобы один из юнитов кластера был Master в одном VRF, а в другом был Backup;
- клиентская подсеть через VRF FRST_ACTIVE : 192.0.2.0/24;
- клиентская подсеть через VRF SEC_ACTIVE : 203.0.113.0/24.
Image Removed
Схема реализации firewall failover в нескольких VRF
...
mac-address a2:00:00:10:d0:00
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
ip vrf PAIR_ONE
exit
ip vrf PAIR_TWO
exit
security zone SYNC
exit
security zone LAN_ONE
ip vrf forwarding PAIR_ONE
exit
security zone LAN_TWO
ip vrf forwarding PAIR_TWO
exit
security zone WAN_ONE
ip vrf forwarding PAIR_ONE
exit
security zone WAN_TWO
ip vrf forwarding PAIR_TWO
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/1
mode switchport
exit
interface gigabitethernet 1/0/2.2
ip vrf forwarding PAIR_ONE
security-zone LAN_ONE
ip address 203.0.113.18/30
vrrp id 4
vrrp ip 192.0.2.1/24
vrrp priority 120
vrrp group 2
vrrp
exit
interface gigabitethernet 1/0/2.3
ip vrf forwarding PAIR_TWO
security-zone LAN_TWO
ip address 203.0.113.22/30
vrrp id 5
vrrp ip 128.66.0.1/24
vrrp priority 110
vrrp group 3
vrrp
exit
interface gigabitethernet 1/0/3.2
ip vrf forwarding PAIR_ONE
security-zone WAN_ONE
ip address 203.0.113.10/30
vrrp id 2
vrrp ip 203.0.113.2/30
vrrp group 2
vrrp
exit
interface gigabitethernet 1/0/3.3
ip vrf forwarding PAIR_TWO
security-zone WAN_TWO
ip address 203.0.113.14/30
vrrp id 3
vrrp ip 203.0.113.6/30
vrrp group 3
vrrp
exit
interface gigabitethernet 2/0/1
mode switchport
exit
interface gigabitethernet 2/0/2.2
ip vrf forwarding PAIR_ONE
security-zone LAN_ONE
ip address 203.0.113.17/30
vrrp id 4
vrrp ip 192.0.2.1/24
vrrp priority 110
vrrp group 2
vrrp
exit
interface gigabitethernet 2/0/2.3
ip vrf forwarding PAIR_TWO
security-zone LAN_TWO
ip address 203.0.113.21/30
vrrp id 5
vrrp ip 128.66.0.1/24
vrrp priority 120
vrrp group 3
vrrp
exit
interface gigabitethernet 2/0/3.2
ip vrf forwarding PAIR_ONE
security-zone WAN_ONE
ip address 203.0.113.9/30
vrrp id 2
vrrp ip 203.0.113.2/30
vrrp group 2
vrrp
exit
interface gigabitethernet 2/0/3.3
ip vrf forwarding PAIR_TWO
security-zone WAN_TWO
ip address 203.0.113.13/30
vrrp id 3
vrrp ip 203.0.113.6/30
vrrp group 3
vrrp
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
security zone-pair LAN_ONE self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair LAN_TWO self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair WAN_ONE self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair WAN_TWO self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair LAN_ONE WAN_ONE
rule 1
action permit
enable
exit
exit
security zone-pair LAN_TWO WAN_TWO
rule 1
action permit
enable
exit
exit |
Решение:
Сконфигурируем object-group для настройки failover-сервисов:
| Блок кода |
|---|
|
cluster
cluster-interface bridge 7
ESR-1(config)# object-group network DST_PAIR_ONE
ESR-1(config-object-group-network)# ip address-range 203.0.113.17 unit 1
ESR-1(config-object-group-network)# ip address-range mac-address a2:00:00:10:c0:00
exit
unit 2
mac-address a2:00:00:10:d0:00
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
ip vrf FRST_ACTIVE
exit
ip vrf SEC_ACTIVE
exit
security zone SYNC
exit
security zone LAN_F_ACTIVE
ip vrf forwarding FRST_ACTIVE
exit
security zone LAN_S_ACTIVE
ip vrf forwarding SEC_ACTIVE
exit
security zone WAN_F_ACTIVE
ip vrf forwarding FRST_ACTIVE
exit
security zone WAN_S_ACTIVE
ip vrf forwarding SEC_ACTIVE
exit
bridge 7
vlan 1
security-zone SYNC
ip firewall disable
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/1.10
ip vrf forwarding FRST_ACTIVE
security-zone WAN_F_ACTIVE
ip address 128.66.0.5/30
vrrp id 2
vrrp ip 128.66.0.1/30
vrrp group 2
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 1/0/1.20
ip vrf forwarding SEC_ACTIVE
security-zone WAN_S_ACTIVE
ip address 128.66.0.9/30
vrrp id 3
vrrp ip 128.66.0.13/30
vrrp group 3
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 1/0/2.10
ip vrf forwarding FRST_ACTIVE
security-zone LAN_F_ACTIVE
ip address 128.66.0.18/30
vrrp id 4
vrrp ip 192.0.2.1/24
vrrp priority 120
vrrp group 2
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 1/0/2.20
ip vrf forwarding SEC_ACTIVE
security-zone LAN_S_ACTIVE
ip address 128.66.0.22/30
vrrp id 5
vrrp ip 203.0.113.1/24
vrrp priority 110
vrrp group 3
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 1/0/3
mode switchport
exit
interface gigabitethernet 2/0/1.10
ip vrf forwarding FRST_ACTIVE
security-zone WAN_F_ACTIVE
ip address 128.66.0.5/30
vrrp id 2
vrrp ip 128.66.0.1/30
vrrp group 2
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 2/0/1.20
ip vrf forwarding SEC_ACTIVE
security-zone WAN_S_ACTIVE
ip address 128.66.0.9/30
vrrp id 3
vrrp ip 128.66.0.13/30
vrrp group 3
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 2/0/2.10
ip vrf forwarding FRST_ACTIVE
security-zone LAN_F_ACTIVE
ip address 128.66.0.17/30
vrrp id 4
vrrp ip 192.0.2.1/24
vrrp priority 110
vrrp group 2
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 2/0/2.20
ip vrf forwarding SEC_ACTIVE
security-zone LAN_S_ACTIVE
ip address 128.66.0.21/30
vrrp id 5
vrrp ip 203.0.113.1/24
vrrp priority 120
vrrp group 3
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 2/0/3
mode switchport
exit
security zone-pair SYNC self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit
security zone-pair LAN_F_ACTIVE self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit
security zone-pair LAN_S_ACTIVE self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit
security zone-pair WAN_F_ACTIVE self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit
security zone-pair WAN_S_ACTIVE self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit
security zone-pair LAN_F_ACTIVE WAN_F_ACTIVE
rule 1
action permit
enable
exit
exit
security zone-pair LAN_S_ACTIVE WAN_S_ACTIVE
rule 1
action permit
enable
exit
exit |
Решение:
Сконфигурируем object-group для настройки failover-сервисов:
| Блок кода |
|---|
|
ESR-1(config)# object-group network DST_FRST_ACTIVE
ESR-1(config-object-group-network)# ip address-range 128.66.0.17 unit 1
ESR-1(config-object-group-network)# ip address-range 128.66.0.18 unit 2
ESR-1(config-object-group-network)# exit
ESR-1(config)# object-group network DST_SEC_ACTIVE
ESR-1(config-object-group-network)# ip address-range 128.66.0.21 unit 1
ESR-1(config-object-group-network)# ip address-range 128.66.0.22 unit 2
ESR-1(config-object-group-network)# exit
ESR-1(config)# object-group network SRC_FRST_ACTIVE
ESR-1(config-object-group-network)# ip address-range 128.66.0.18 unit 1
ESR-1(config-object-group-network)# ip address-range 128.66.0.17 unit 2
ESR-1(config-object-group-network)# exit
ESR-1(config)# object-group network SRC_SEC_ACTIVE
ESR-1(config-object-group-network)# ip address-range 128.66.0.22 unit 1
ESR-1(config-object-group-network)# ip address-range 128.66.0.21 unit 2
ESR-1(config-object-group-network)# exit
|
Перейдем к настойке ip failover для каждого VRF, настроим там local-address/remote-address и укажем привязки к соответствующим VRRP-group, на основе которых будет определяться, кто из маршрутизаторов будет синхронизировать сессии:
| Блок кода |
|---|
|
ESR-1(config)# ip failover vrf FRST_ACTIVE
ESR-1(config-failover)# local-address object-group SRC_FRST_ACTIVE
ESR-1(config-failover)# remote-address object-group DST_FRST_ACTIVE
ESR-1(config-failover)# vrrp-group 2
ESR-1(config-failover)# exit
ESR-1(config)# ip failover vrf SEC_ACTIVE
ESR-1(config-failover)# local-address object-group SRC_SEC_ACTIVE
ESR-1(config-failover)# remote-address object-group DST_SEC_ACTIVE
ESR-1(config-failover)# vrrp-group 3
ESR-1(config-failover)# exit |
Перейдем к настройке firewall failover, каждый в своем VRF. Для каждого экземпляра необходимо указать режим синхронизирования unicast, настроить port 9999, а также включить его:
| Блок кода |
|---|
|
ESR-1(config)# ip firewall failover vrf FRST_ACTIVE
ESR-1(config-firewall-failover)# sync-type unicast
ESR-1(config-firewall-failover)# port 9999
ESR-1(config-firewall-failover)# enable
ESR-1(config-firewall-failover)# exit
ESR-1(config)# ip firewall failover vrf SEC_ACTIVE
ESR-1(config-firewall-failover)# sync-type unicast
ESR-1(config-firewall-failover)# port 9999
ESR-1(config-firewall-failover)# enable
ESR-1(config-firewall-failover)# exit |
Разрешим в настройках firewall работу firewall failover в соответствующих зонах:
| Блок кода |
|---|
|
ESR-1(config)# object-group service FAILOVER
ESR-1(config-object-group-service)# port-range 9999
ESR-1(config-object-group-service)# exit
ESR-1(config)# security zone-pair LAN_F_ACTIVE self
ESR-1(config-security-zone-pair)# rule 3
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol udp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group FAILOVER
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit
ESR-1(config)# security zone-pair LAN_S_ACTIVE self
ESR-1(config-security-zone-pair)# rule 3
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol udp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group FAILOVER
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit |
Просмотреть VRRP статусы в разных VRF можно используя команду show vrrp, убедимся что в одном VRF устройство находится в статусе Master, а в другом VRF в статусе Backup:
203.0.113.18 unit 2
ESR-1(config-object-group-network)# exit
ESR-1(config)# object-group network DST_PAIR_TWO
ESR-1(config-object-group-network)# ip address-range 203.0.113.21 unit 1
ESR-1(config-object-group-network)# ip address-range 203.0.113.22 unit 2
ESR-1(config-object-group-network)# exit
ESR-1(config)# object-group network SRC_PAIR_ONE
ESR-1(config-object-group-network)# ip address-range 203.0.113.18 unit 1
ESR-1(config-object-group-network)# ip address-range 203.0.113.17 unit 2
ESR-1(config-object-group-network)# exit
ESR-1(config)# object-group network SRC_PAIR_TWO
ESR-1(config-object-group-network)# ip address-range 203.0.113.22 unit 1
ESR-1(config-object-group-network)# ip address-range 203.0.113.21 unit 2
ESR-1(config-object-group-network)# exit |
Перейдем к настойке ip failover для каждого VRF, настроим там local-address/remote-address и укажем привязки к соответствующим VRRP-group, на основе которых будет определяться, какой из маршрутизаторов будет синхронизировать сессии:
| Блок кода |
|---|
|
ESR-1(config)# ip failover vrf PAIR_ONE
ESR-1(config-failover)# local-address object-group SRC_PAIR_ONE
ESR-1(config-failover)# remote-address object-group DST_PAIR_ONE
ESR-1(config-failover)# vrrp-group 2
ESR-1(config-failover)# exit
ESR-1(config)# ip failover vrf PAIR_TWO
ESR-1(config-failover)# local-address object-group SRC_PAIR_TWO
ESR-1(config-failover)# remote-address object-group DST_PAIR_TWO
ESR-1(config-failover)# vrrp-group 3
ESR-1(config-failover)# exit |
Перейдем к настройке firewall failover, каждый в своем VRF. Для каждого экземпляра необходимо указать режим синхронизирования unicast, настроить port 9999, а также включить его:
| Блок кода |
|---|
|
ESR-1(config)# ip firewall failover vrf PAIR_ONE
ESR-1(config-firewall-failover)# sync-type unicast
ESR-1(config-firewall-failover)# port 9999
ESR-1(config-firewall-failover)# enable
ESR-1(config-firewall-failover)# exit
ESR-1(config)# ip firewall failover vrf PAIR_TWO
ESR-1(config-firewall-failover)# sync-type unicast
ESR-1(config-firewall-failover)# port 9999
ESR-1(config-firewall-failover)# enable
ESR-1(config-firewall-failover)# exit |
Разрешим в настройках firewall работу firewall failover в соответствующих зонах:
| Блок кода |
|---|
|
ESR-1(config)# object-group service FAILOVER
ESR-1(config-object-group-service)# port-range 9999
ESR-1(config-object-group-service)# exit
ESR-1(config)# security zone-pair LAN_ONE self
ESR-1(config-security-zone-pair)# rule 3
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol udp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group FAILOVER
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit
ESR-1(config)# security zone-pair LAN_TWO self
ESR-1(config-security-zone-pair)# rule 3
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol udp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group FAILOVER
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit |
Просмотреть VRRP-статусы в разных VRF можно используя команду show vrrp. Убедимся что в одном VRF устройство находится в статусе Master, а в другом VRF – в статусе Backup:
| Блок кода |
|---|
|
ESR-1# show vrrp vrf PAIR_ONE
Unit 1* 'ESR-1'
---------------
Virtual router Virtual IP Priority Preemption State Inherit Sync group ID
-------------- --------------------------------- -------- ---------- ------ ------- -------------
2 203.0.113.2/30 100 Enabled Master -- 2
4 192.0.2.1/24 120 Enabled Master -- 2
Unit 2 'ESR-2'
--------------
Virtual router Virtual IP Priority Preemption State Inherit Sync group ID
-------------- --------------------------------- -------- ---------- ------ ------- -------------
2 203.0.113.2/30 100 Enabled Backup -- 2
4 192.0.2.1/24 110 Enabled Backup -- 2
ESR-1# show vrrp vrf PAIR_TWO
Unit 1* 'ESR-1'
---------------
Virtual router Virtual IP Priority Preemption State Inherit Sync group ID
-------------- --------------------------------- -------- ---------- ------ ------- -------------
3 203.0.113.6/30 100 Enabled Backup -- 3
5 128.66.0.1/24 110 Enabled Backup -- 3
Unit 2 'ESR-2'
|
| Блок кода |
|---|
|
ESR-1# show vrrp vrf FRST_ACTIVE
Unit 1* 'ESR-1'
---------------
Virtual router Virtual IP Priority Preemption State Inherit Sync group ID
-------------- --------------------------------- -------- ---------- ------ ------- -------------
23 128.66203.0.1113.6/30 100 Enabled Master -- 23
45 192128.66.0.2.1/24 120 Enabled Master -- 23
Unit 2 'ESR-2'
--------------
Virtual router Virtual IP |
Посмотреть информацию о сервисе firewall failover в каждом VRF можно с помощью следующей команды:
| Блок кода |
|---|
|
ESR-1# show ip firewall failover vrf PAIR_ONE
Communication interface: Priority Preemptiongigabitethernet 1/0/2.2
Status: State Inherit Sync group ID
-------------- --------------------------------- -------- ---------- ------ ------- ------------- Running
2Bytes sent: 128.66.0.1/30 7420
Bytes received: 100 Enabled Backup -- 2
4 7200
Packets sent: 192.0.2.1/24 465
Packets received: 110 Enabled Backup -- 460
Send errors: 2
ESR-1# show vrrp vrf SEC_ACTIVE
Unit 1* 'ESR-1'
---------------
Virtual router0
Receive errors: Virtual IP 0
Resend Priorityqueue:
Preemption Active Stateentries: Inherit Sync group ID
-------------- --------------------------------- -------- ---------- ------ ------- -------------
3 1
Errors:
No space left: 128.66.0.13/30 0
Hold queue:
Active entries: 100 Enabled Backup -- 0
3 Errors:
No space left:
5 203.0.113.1/24 0
ESR-1# show ip firewall failover vrf PAIR_TWO
Communication interface: 110 Enabled gigabitethernet 1/0/2.3
Status: Backup -- 3
Unit 2 'ESR-2'
--------------
Virtual routerRunning
Bytes sent: Virtual IP Priority Preemption7320
Bytes received: State Inherit Sync group ID
-------------- --------------------------------- -------- ---------- ------ ------- -------------7380
Packets sent:
3 128.66.0.13/30 468
Packets received: 100 Enabled Master --464
Send errors: 3
5 0
Receive errors: 203.0.113.1/24 120 0
Resend queue:
Active Enabledentries: Master -- 3 1
Errors:
|
Посмотреть информацию о сервисе firewall failover в каждом VRF можно с помощью следующей команды:
| Блок кода |
|---|
|
ESR-1# show ip firewall failover vrf FRST_ACTIVE
Communication interface:No space left: gigabitethernet 1/0/2.10
Status:
Hold queue:
Active entries: 0
Running
Bytes sentErrors:
No space left: 0 |
Также возможно узнать текущее состояние firewall failover сервисов во всех VRF, выполнив команду:
| Блок кода |
|---|
|
ESR-1# show high-availability state
DHCP server:
14660
Bytes received: State: 13912
Packets sent: Disabled
Last state change: --
crypto-sync:
State: 922
Packets received: Disabled
Firewall sessions and 909
Send errorsNAT translations:
VRF: 0PAIR_ONE
Receive errors: State: Successful 0synchronization
Resend queue:
Fault ActiveReason: entries: --
Last synchronization: 0
Errors:
2025-02-18 08:51:34
VRF: No space left: 0
Hold queue: PAIR_TWO
ActiveState: entries: Successful 0synchronization
Fault ErrorsReason:
No space left: --
Last synchronization: 0
2025-02-18 08:51:34 |
Сгенерируем по одной клиентской сессии из каждого LAN-пула.
Посмотреть вывод текущих сессий на устройстве можно с помощью команды show ip firewall sessions. Убедимся что в выводе есть сессия только для того VRF, в котором устройство является в статусе Master:
| Блок кода |
|---|
|
ESR-1# show ip firewall failoversessions vrf SEC_ACTIVEPAIR_ONE protocol tcp
Communication interfaceCodes: E - expected, U - unreplied,
A - assured, C gigabitethernet 1/0/2.20
Status:- confirmed
Prot Aging Inside source Inside destination Outside source Running
Bytes sent: Outside destination Pkts Bytes Status 14272
Bytes received: 14356
Packets sent: ----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------
tcp 110 192.0.2.10:47406 203.0.113.1:22 926
Packets received: 912
Send errors: 192.0.2.10:47406 203.0.113.1:22 -- -- 0
Receive errors: AC
ESR-1# show ip firewall sessions vrf PAIR_TWO protocol tcp |
| Блок кода |
|---|
|
ESR-2# show ip firewall sessions vrf PAIR_ONE protocol 0
Resend queue:
Active entries: tcp
ESR-2# show ip firewall sessions vrf PAIR_TWO protocol tcp
Codes: E - expected, U - unreplied,
A - assured, C - confirmed
Prot Aging 1
Errors:
Inside source No space left: Inside destination Outside source Outside 0
Holddestination queue:
Pkts Active entries: Bytes Status
----- ---------- 0
Errors:
No space left: --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------
tcp 113 0 |
Также возможно узнать текущее состояние firewall failover сервисов во всех VRF, выполнив команду:
| Блок кода |
|---|
|
ESR-1# show high-availability state
DHCP server:
State:128.66.0.10:59108 203.0.113.5:22 128.66.0.10:59108 203.0.113.5:22 Disabled
-- Last state change: -- --
crypto-sync:
AC State: |
Посмотреть вывод активных синхронизируемых сессий, используемых для работы firewal failover, на устройстве можно с помощью команды show ip firewall session failover external/internal. Убедимся что для одного из VRF сессия находится в internal cash, а для второго VRF сессия находится в external cash:
| Блок кода |
|---|
|
ESR-1# show ip firewall sessions failover external vrf PAIR_ONE
ESR-1# show ip firewall sessions failover internal vrf PAIR_ONE Disabled
Firewall sessionsCodes: andE NAT translations:
VRF: - expected, U - unreplied,
A - assured, C - confirmed
Prot Aging Inside source FRST_ACTIVE
State: Inside destination Outside source Outside destination Successful synchronization
Pkts Fault Reason: Bytes Status
----
Last synchronization:- ---------- 2025-02-06 09:08:30
VRF: --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------
tcp 0 SEC_ACTIVE
State:192.0.2.10:47406 203.0.113.1:22 203.0.113.1:22 Successful synchronization
192.0.2.10:47406 Fault Reason: -- -- --
Last synchronization: AC 2025-02-06 09:08:30 |
Сгенерируем по одной клиентской сессии из каждого LAN пула.
Посмотреть вывод текущих сессий на устройстве можно с помощью команды show ip firewall sessions, убедимся что в выводе есть сессия только для того VRF, в котором устройство является в статусе Master:
| Блок кода |
|---|
|
ESR-1# show ip firewall sessions failover sessionsexternal vrf FRSTPAIR_ACTIVE protocolTWO tcp
Codes: E - expected, U - unreplied,
A - assured, C - confirmed
Prot Aging Inside source Inside destination Outside source Outside destination Pkts Bytes Status
----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------
tcp 0 110 192128.66.0.2.10:4010659108 128203.660.0113.25:22 192203.0.2113.105:4010622 128.66.0.2:22 10:59108 -- -- AC
ESR-1# show ip firewall sessions failover internal vrf SEC_ACTIVE protocol tcp |
Посмотреть вывод активный синхронизируемых сессий, используемых для работы firewal failover, на устройстве можно с помощью команды show ip firewall session failover external/internal, убедимся что для одного из VRF сессия находится в internal cash, а для второго VRF сессия находится в external cash:
| Блок кода |
|---|
|
ESR-1#2# show ip firewall sessions failover external vrf FRST_ACTIVE
ESR-1# show ip firewall sessions failover internal vrf FRST_ACTIVE PAIR_ONE
Codes: E - expected, U - unreplied,
A - assured, C - confirmed
Prot Aging Inside source Inside destination Outside source Outside destination Pkts Bytes Status
----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------
tcp 0 192.0.2.10:4010647406 128203.660.0113.21:22 128203.660.0113.21:22 192.0.2.10:4010647406 -- -- AC
ESR-1#2# show ip firewall sessions failover internal vrf PAIR_ONE
ESR-2# show ip firewall sessions failover external vrf SEC_ACTIVE PAIR_TWO
ESR-2# show ip firewall sessions failover internal vrf PAIR_TWO
Codes: E - expected, U - unreplied,
A - assured, C - confirmed
Prot Aging Inside source Inside destination Outside source Outside destination Pkts Bytes Status
----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------
tcp 0 203128.66.0.113.10:3601259108 128203.660.0113.145:22 128203.660.0113.145:22 203128.66.0.113.10:3601259108 -- -- AC
ESR-1# show ip firewallAC sessions failover internal vrf SEC_ACTIVE |
Настройка DHCP failover
DHCP-failover позволяет обеспечить высокую доступность службы DHCP.
С алгоритмом Алгоритм настройки DHCP failover можно ознакомиться по ссылке описан в разделе : Алгоритм настройки DHCP failover.
Пример настройки
Задача:
Настроить DHCP failover в кластере маршрутизаторов ESR-1 и ESR-2 со следующими параметрами:
- в качестве default-router используется IP-адрес VRRP;в качестве dns-server используется IP-адрес VRRP;
- установить в качестве необходимого режима работы резервирования active-standby;
- клиентская подсеть: 192.0.2.0/24.
...
| Блок кода |
|---|
|
cluster
cluster-interface bridge 1
unit 1
mac-address cca2:9d00:a200:7110:83c0:7800
exit
unit 2
mac-address cca2:9d00:a200:7110:82d0:3800
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
object-group service DHCP_SERVER
port-range 67
exit
object-group service DHCP_CLIENT
port-range 68
exit
security zone SYNC
exit
security zone LAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/1
security-zone LAN
ip address 128.66.0.2/30
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 21/0/13
security-zone LAN
ip address 128.66.0.1/30
vrrp id 2
vrrp ip 192.0.2.1254/24
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/3
security-zone LAN
ip address 192.0.2.253/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp
exit
security zone-pair LANSYNC self
rule 1
action permit
match protocol vrrpicmp
enable
exit
exit |
Решение:
Выполним настройку DHCP-сервера. В качестве default-router и dns-server используется IP-адрес VRRP:
| Блок кода |
|---|
|
ESR-1(config)# ip dhcp-serverrule 2
ESR-1(config)# ip dhcp-server pool TRUSTED
ESR-1(config-dhcp-server)# network 192.0.2.0/24
ESR-1(config-dhcp-server)# address-range 192.0.2.10-192.0.2.100
ESR-1(config-dhcp-server)# default-router 192.0.2.1
ESR-1(config-dhcp-server)# dns-server 192.0.2.1
ESR-1(config-dhcp-server)# exit |
Разрешим получение DHCP-адресов:
| Блок кода |
|---|
|
ESR-1(config)# object-group service DHCP_SERVER
ESR-1(config-object-group-service)# port-range 67
ESR-1(config-object-group-service)# exit
ESR-1(config)# object-group service DHCP_CLIENT
ESR-1(config-object-group-service)# port-range 68
ESR-1(config-object-group-service)# exit
ESR-1(config)# action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
security zone-pair LAN self
ESR-1(config-security-zone-pair)# rule 1
action permit
match protocol vrrp
enable
exit
rule 2
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol udp
ESR-1(config-security-zone-pair-rule)#
match source-port object-group DHCP_CLIENT
ESR-1(config-security-zone-pair-rule)#
match destination-port object-group DHCP_SERVER
enable
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit exit
exit
ip dhcp-server
ip dhcp-server pool TRUSTED
network 192.0.2.0/24
address-range 192.0.2.10-192.0.2.100
default-router 192.0.2.1
exit |
Решение:
Сконфигурируем Сконфигурируем object-group для настройки failover-сервисов:
| Блок кода |
|---|
|
ESR-1(config)# object-group network SYNC_SRC
ESR-1(config-object-group-network)# ip address-range 198.51.100.254 unit 1
ESR-1(config-object-group-network)# ip address-range 198.51.100.253 unit 2
ESR-1(config-object-group-network)# exit
ESR-1(config)# object-group network SYNC_DST
ESR-1(config-object-group-network)# ip address-range 198.51.100.253 unit 1
ESR-1(config-object-group-network)# ip address-range 198.51.100.254 unit 2
ESR-1(config-object-group-network)# exit |
Перейдем к настройке общих параметров для failover-сервисов, а именно к выбору: IP-адреса сетевого интерфейса, с которого будут отправляться сообщения при работе для синхронизации, IP-адреса получателя сообщений для синхронизации и VRRP-группу, на основе которой определяется состояние (основной/резервный) маршрутизатора при работе failover-сервисов, указав созданную object-group:
| Блок кода |
|---|
|
ESR-1(config)# ip failover
ESR-1(config-failover)# local-address object-group SYNC_SRC |
Настроим IP-адреса соседа при работе failover-сервисов, указав созданную object-group:
| Блок кода |
|---|
|
ESR-1(config-failover)# remote-address object-group SYNC_DST |
Укажем VRRP-группу, на основе которой определяется состояние (основной/резервный) маршрутизатора при работе failover-сервисов:
| Блок кода |
|---|
|
ESR-1(config-failover)# vrrp-group 1
ESR-1(config-failover)# exit |
Перейдем к настройке резервирования DHCP-сервераПерейдем к настройке резервирования DHCP-сервера, укажем режим работы резервирования и включим DHCP-failover:
| Блок кода |
|---|
|
ESR-1(config)# ip dhcp-server failover
|
Установим режим работы резервирования:
| Блок кода |
|---|
|
ESR-1(config-dhcp-server-failover)# mode active-standby |
| Примечание |
|---|
Для работы в кластере необходимо использовать режим active-standby. |
Включим DHCP failover:
| Блок кода |
|---|
| title |
ESR-1 | ESR-1(config-dhcp-server-failover)# enable
ESR-1(config-dhcp-server-failover)# exit
|
|---|
| Примечание |
|---|
Для работы в кластере необходимо использовать режим active-standby. |
Создадим разрешающие правило для зоны безопасности SYNC, разрешив прохождение необходимого трафика для работы DHCP failoverfailover:
| Блок кода |
|---|
|
ESR-1(config)# object-group service SYNC
ESR-1(config-object-group-service)# port-range 873
ESR-1(config-object-group-service)# exit
ESR-1(config)# security zone-pair SYNC self
ESR-1(config-security-zone-pair)# rule 4
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol tcp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group SYNC
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit |
...
| Блок кода |
|---|
|
ESR-1# show high-availability state
AP Tunnels:
State: Disabled
Last state change: --
DHCP option 82 table:
State: Disabled
Last state change: --
DHCP server:
VRF: --
Mode: Active-Standby
State: Successful synchronization
Last synchronization: 2025-02-12 07:56:36
crypto-sync:
State: Disabled
Firewall sessions and NAT translations:
State: Disabled |
Выданные адреса DHCP можно просмотреть с помощью команды:
| Блок кода |
|---|
|
ESR-1# show ip dhcp binding
IP address MAC / Client ID Binding type Lease expires at
---------------- ------------------------------------------------------------- ------------ --------------------
192.0.2.10 e4:5a:d4:01:18:04 active 2025-02-13 07:56:09 |
Пример настройки нескольких экземпляров DHCP failover, каждый в своем VRF
Задача:
Настроить два экземпляра DHCP failover, каждый в своём VRF, в кластере маршрутизаторов ESR-1 и ESR-2 со следующими параметрами:
- в качестве default-router используется IP-адрес VRRP;
- в качестве dns-server используется IP-адрес VRRP;
- установить в качестве необходимого режима работы резервирования active-standby;
- настроить приоритеты у разных DHCP failover так, чтобы один из юнитов кластера был Master в одном VRF, а в другом был Backup;
- клиентская подсеть в VRF FRST_ACTIVE: 192.0.2.0/24;
- клиентская подсеть в VRF SEC_ACTIVE: 203.0.113.0/24.
Image Removed
Схема реализации DHCP failover в нескольких VRF
Исходная конфигурация кластера:
-- ------------------------------------------------------------- ------------ --------------------
192.0.2.10 e4:5a:d4:01:18:04 active 2025-02-13 07:56:09 |
Пример настройки нескольких экземпляров DHCP failover, каждый в своем VRF
Задача:
Настроить два экземпляра DHCP failover, каждый в своём VRF, в кластере маршрутизаторов ESR-1 и ESR-2 со следующими параметрами:
- в качестве default-router используется IP-адрес VRRP;
- установить в качестве необходимого режима работы резервирования active-standby;
- настроить приоритеты у разных DHCP failover так, чтобы один из юнитов кластера был Master в одном VRF, а в другом был Backup;
- клиентская подсеть в первом VRF: 192.0.2.0/24;
- клиентская подсеть в втором VRF: 128.66.0.0/24.
Image Added
Схема реализации DHCP failover в нескольких VRF
Исходная конфигурация кластера:
| Блок кода |
|---|
|
cluster
cluster-interface bridge 1
unit 1
mac-address a2:00:00:10:c0:00
exit
unit 2
mac-address a2:00:00:10:d0:00
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
object-group service DHCP_SERVER
port-range 67
exit
object-group service DHCP_CLIENT
port-range 68
exit
ip vrf LAN_ONE
exit
ip vrf LAN_TWO
exit
security zone SYNC
exit
security zone LAN_ONE
ip vrf forwarding LAN_ONE
exit
security zone LAN_TWO |
| Блок кода |
|---|
|
cluster
cluster-interface bridge 7
unit 1
mac-address a2:00:00:10:c0:00
exit
unit 2
mac-address a2:00:00:10:d0:00
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
ip vrf FRST_ACTIVE
exit
ip vrf SEC_ACTIVE
exit
security zone SYNC
exit
security zone FRST_ACTIVE
ip vrf forwarding FRST_ACTIVE
exit
security zone SEC_ACTIVE
ip vrf forwarding SEC_ACTIVE
exit
bridge 7
vlan 1
security-zone SYNC
ip firewall disable
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/2.10
ip vrf forwarding FRST_ACTIVE
security-zone FRST_ACTIVE
ip address 192.0.2.254/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp priority 120
vrrp group 2
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 1/0/2.20
ip vrf forwarding SEC_ACTIVELAN_TWO
exit
bridge 1
vlan 1
security-zone SEC_ACTIVESYNC
ip address 203198.051.113100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 31
vrrp ip 203198.051.113100.1/24
vrrp priority 110
vrrp group 31
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/31
mode switchport
exit
interface gigabitethernet 21/0/2.102
ip vrf forwarding FRSTLAN_ACTIVEONE
security-zone FRSTLAN_ACTIVEONE
ip address 192.0.2.253254/24
vrrp id 24
vrrp ip 192.0.2.1/24
vrrp priority 110120
vrrp group 2
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 21/0/2.203
ip vrf forwarding SECLAN_ACTIVETWO
security-zone SECLAN_ACTIVETWO
ip address 203128.66.0.113.253254/24
vrrp id 35
vrrp ip 203128.66.0.113.1/24
vrrp priority 120110
vrrp group 3
vrrp authentication key ascii-text encrypted 8CB5107EA7005AFF
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 2/0/31
mode switchport
exit
security zone-pair SYNC self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit
security zone-pair FRST_ACTIVE self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit
security zone-pair SEC_ACTIVE self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2interface gigabitethernet 2/0/2.2
ip vrf forwarding LAN_ONE
security-zone LAN_ONE
ip address 192.0.2.253/24
vrrp id 4
vrrp ip 192.0.2.1/24
vrrp priority 110
vrrp group 2
vrrp
exit
interface gigabitethernet 2/0/2.3
ip vrf forwarding LAN_TWO
security-zone LAN_TWO
ip address 128.66.0.253/24
vrrp id 5
vrrp ip 128.66.0.1/24
vrrp priority 120
vrrp group 3
vrrp
exit
security zone-pair SYNC self
rule 1
action permit
match protocol ahicmp
enable
exit
exit |
Решение:
Выполним настройку DHCP-серверов. В качестве default-router и dns-server используется IP-адрес VRRP:
| Блок кода |
|---|
|
ESR-1(config)# ip dhcp-server vrf FRST_ACTIVE
ESR-1(config)# ip dhcp-server pool FRST_ACTIVE vrf FRST_ACTIVE
ESR-1(config-dhcp-server)# network 192.0.2.0/24
ESR-1(config-dhcp-server)# address-range 192.0.2.10-192.0.2.253
ESR-1(config-dhcp-server)# default-router 192.0.2.1
ESR-1(config-dhcp-server)# dns-server 192.0.2.1
ESR-1(config-dhcp-server)# exit
ESR-1(config)# ip dhcp-server vrf SEC_ACTIVE
ESR-1(config)# ip dhcp-server pool SEC_ACTIVE vrf SEC_ACTIVE
ESR-1(config-dhcp-server)# network 203.0.113.0/24
ESR-1(config-dhcp-server)# address-range 203.0.113.10-203.0.113.253
ESR-1(config-dhcp-server)# default-router 203.0.113.1
ESR-1(config-dhcp-server)# dns-server 203.0.113.1
ESR-1(config-dhcp-server)# exit |
Разрешим получение DHCP-запросов из клиентских подсетей:
| Блок кода |
|---|
|
ESR-1(config)# object-group service DHCP_SERVER
ESR-1(config-object-group-service)# port-range 67
ESR-1(config-object-group-service)# exit
ESR-1(config)# object-group service DHCP_CLIENT
ESR-1(config-object-group-service)# port-range 68
ESR-1(config-object-group-service)# exit
ESR-1(config)# security zone-pair FRST_ACTIVE self
ESR-1(config-security-zone-pair)# rule 3
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol udp
ESR-1(config-security-zone-pair-rule)# rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
security zone-pair LAN_ONE self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol udp
match source-port object-group DHCP_CLIENT
match destination-port object-group DHCP_SERVER
enable
exit
exit
security zone-pair LAN_TWO self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol udp
match source-port object-group DHCP_CLIENT
ESR-1(config-security-zone-pair-rule)# match destination-port object-group DHCP_SERVER
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit
ESR-1(config)# security zone-pair SEC_ACTIVE self
ESR-1(config-security-zone-pair)# rule 3
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol udp
ESR-1(config-security-zone-pair-rule)# match source-port object-group DHCP_CLIENT
ESR-1(config-security-zone-pair-rule)# match destination-port object-group DHCP_SERVER
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit enable
exit
exit
ip dhcp-server vrf LAN_ONE
ip dhcp-server pool LAN_ONE vrf LAN_ONE
network 192.0.2.0/24
address-range 192.0.2.10-192.0.2.253
default-router 192.0.2.1
exit
ip dhcp-server vrf LAN_TWO
ip dhcp-server pool LAN_TWO vrf LAN_TWO
network 128.66.0.0/24
address-range 128.66.0.10-128.66.0.253
default-router 128.66.0.1
exit |
Решение:
Сконфигурируем objectСконфигурируем object-group для настройки DHCP failover-сервисов:
| Блок кода |
|---|
|
ESR-1(config)# object-group network DST_FRSTLAN_ACTIVEONE
ESR-1(config-object-group-network)# ip address-range 192.0.2.253 unit 1
ESR-1(config-object-group-network)# ip address-range 192.0.2.254 unit 2
ESR-1(config-object-group-network)# exit
ESR-1(config)# object-group network DST_SECLAN_ACTIVETWO
ESR-1(config-object-group-network)# ip address-range 203128.66.0.113.253 unit 1
ESR-1(config-object-group-network)# ip address-range 203128.66.0.113.254 unit 2
ESR-1(config-object-group-network)# exit
ESR-1(config)# object-group network SRC_FRSTLAN_ACTIVEONE
ESR-1(config-object-group-network)# ip address-range 192.0.2.254 unit 1
ESR-1(config-object-group-network)# ip address-range 192.0.2.253 unit 2
ESR-1(config-object-group-network)# exit
ESR-1(config)# object-group network SRC_SECLAN_ACTIVETWO
ESR-1(config-object-group-network)# ip address-range 203128.66.0.113.254 unit 1
ESR-1(config-object-group-network)# ip address-range 203128.66.0.113.253 unit 2
ESR-1(config-object-group-network)# exit |
...
| Блок кода |
|---|
|
ESR-1(config)# ip failover vrf FRSTLAN_ACTIVEONE
ESR-1(config-failover)# local-address object-group SRC_FRSTLAN_ACTIVEONE
ESR-1(config-failover)# remote-address object-group DST_FRSTLAN_ACTIVEONE
ESR-1(config-failover)# vrrp-group 2
ESR-1(config-failover)# exit
ESR-1(config)# ip failover vrf SECLAN_ACTIVETWO
ESR-1(config-failover)# local-address object-group SRC_SECLAN_ACTIVETWO
ESR-1(config-failover)# remote-address object-group DST_SECLAN_ACTIVETWO
ESR-1(config-failover)# vrrp-group 3
ESR-1(config-failover)# exit |
...
| Блок кода |
|---|
|
ESR-1(config)# ip dhcp-server failover vrf FRSTLAN_ACTIVEONE
ESR-1(config-dhcp-server-failover)# mode active-standby
ESR-1(config-dhcp-server-failover)# enable
ESR-1(config-dhcp-server-failover)# exit
ESR-1(config)# ip dhcp-server failover vrf SECLAN_ACTIVETWO
ESR-1(config-dhcp-server-failover)# mode active-standby
ESR-1(config-dhcp-server-failover)# enable
ESR-1(config-dhcp-server-failover)# exit |
Разрешим в настройках firewall работу dhcp-failover в соответствующих зонах:
| Блок кода |
|---|
|
ESR-1(config)# object-group service SYNC
ESR-1(config-object-group-service)# port-range 873
ESR-1(config-object-group-service)# exit
ESR-1(config)# security zone-pair FRSTLAN_ACTIVEONE self
ESR-1(config-security-zone-pair)# rule 43
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol tcp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group SYNC
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit
ESR-1(config)# security zone-pair SECLAN_ACTIVETWO self
ESR-1(config-security-zone-pair)# rule 43
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol tcp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group SYNC
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit
ESR-1(config)# exi |
Посмотреть статус работы DHCP-failover можно с помощью команды, один из экземпляров должен быть в Role - Master, второй в Role - Backup:
| Блок кода |
|---|
|
ESR-1# show ip dhcp server failover vrf FRSTLAN_ACTIVEONE
VRF: FRSTLAN_ACTIVEONE
Mode: Active-Standby
Role: Master
State: Synchronized
Last synchronization: 2025-02-0518 09:3134:3244
ESR-1# show ip dhcp server failover vrf SECLAN_ACTIVETWO
VRF: SECLAN_ACTIVETWO
Mode: Active-Standby
Role: Backup
State: Synchronized
Last synchronization: 2025-02-0518 09:31:3334:46 |
Также статусы работы DHCP-серверов можно посмотреть с помощью команды:
| Блок кода |
|---|
|
ESR-1# show high-availability state
DHCP server:
VRF: SECLAN_ACTIVETWO
Mode: Active-Standby
State: Successful synchronization
Last synchronization: 2025-02-0518 09:3234:2530
VRF: FRSTLAN_ACTIVEONE
Mode: Active-Standby
State: Successful synchronization
Last synchronization: 2025-02-0518 09:3234:2428
crypto-sync:
State: Disabled
Firewall sessions and NAT translations:
State: Disabled |
...
| Блок кода |
|---|
|
ESR-1# show ip dhcp binding vrf FRSTLAN_ACTIVEONE
IP address MAC / Client ID Binding type Lease expires at
---------------- ------------------------------------------------------------- ------------ --------------------
192.0.2.10 50:52:e5:02:0c:00 active 2025-02-0619 09:3334:0906
ESR-1# show ip dhcp binding vrf SECLAN_ACTIVETWO
IP address MAC / Client ID Binding type Lease expires at
---------------- ------------------------------------------------------------- ------------ --------------------
203128.66.0.113.10 50:526d:e5ae:02:0c0e:00 active 2025-02-0619 09:3334:1009 |
Настройка SNMP
Протокол SNMP (Simple Network Management Protocol) реализует модель «менеджер–агент» для централизованного управления сетевыми устройствами: агенты, установленные на устройствах, собирают данные, структурированные в MIB, а менеджер запрашивает информацию, мониторит состояние сети, контролирует производительность и вносит изменения в конфигурацию оборудования.
С более детальной настройкой можно ознакомиться по ссылке Подробный алгоритм настройки SNMP описан в разделе : Настройка SNMP-сервера и отправки SNMP TRAP.
Пример настройки
Image Modified
Схема реализации SNMP
Задача:
- обеспечить возможность мониторинга сети через management-интерфейс каждого устройства в кластере:
- обеспечить возможность мониторинга состояния сети и внесения изменений в конфигурацию устройства, выполняющего роль VRRP Master;
- устройство управления (MGMT) доступно по IP-адресу 192.0.2.1210.
Исходная конфигурация кластера:
| Блок кода |
|---|
cluster
cluster-interface bridge 1
unit 1
mac-address cca2:9d00:a200:7110:83c0:7800
exit
unit 2
mac-address cca2:9d00:a200:7110:82d0:3800
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rulesecurity zone MGMT
exit
bridge 1
vlan 1
action permitsecurity-zone SYNC
ip match protocol icmpaddress 198.51.100.254/24 unit 1
ip enable
exit
rule address 198.51.100.253/24 unit 2
vrrp id action permit1
vrrp match protocolip 198.51.100.1/24
vrrp
group 1
enable
vrrp authentication exit
key ascii-text ruleencrypted 388B11079B51D
vrrp authentication actionalgorithm permitmd5
match protocol ah
vrrp
enable
exit
interface exit
exit |
Решение:
Сконфигурируем необходимые сетевые интерфейсы для подключения к устройству управления с указанием их принадлежности к зоне безопасности:
| Блок кода |
|---|
|
ESR-1(config)# security zone MGMT
ESR-1(config-security-zone)# exit
ESR-1(config)# gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/2
ESR-1(config-if-gi)# security-zone MGMT
ESR-1(config-if-gi)# ip address 192.0.2.254/24
ESR-1(config-if-gi)# vrrp id 2
ESR-1(config-if-gi)# vrrp ip 192.0.2.1/24
ESR-1(config-if-gi)# vrrp group 1
ESR-1(config-if-gi)# vrrp authentication key ascii-textvrrp encryptedgroup 88B11079B51D
ESR-1(config-if-gi)# vrrp authentication algorithm md5
ESR-1(config-if-gi)# vrrp
ESR-1(config-if-gi)# exit
ESR-1(config)# 1
vrrp
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
ESR-1(config-if-gi)# security-zone MGMT
ESR-1(config-if-gi)# ip address 192.0.2.253/24
ESR-1(config-if-gi)# vrrp id 2
ESR-1(config-if-gi)# vrrp ip 192.0.2.1/24
ESR-1(config-if-gi)# vrrp group 1
ESR-1(config-if-gi)# vrrp authentication key ascii-text encrypted 88B11079B51D
ESR-1(config-if-gi)# vrrp authentication algorithm md5
ESR-1(config-if-gi)# vrrp
ESR-1(config-if-gi)# exit
vrrp group 1
vrrp
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
security zone-pair MGMT self
rule 1
action permit
match protocol vrrp
enable
exit
exit |
Решение:
Создадим профиль SNMP-портов, предоставляющий доступ в MGMT зону безопасности:
...
Добавим правило, предусматривающее проверку, что порт назначения UDP-пакетов соответствует профилю SNMP-портов:
| Блок кода |
|---|
|
ESR-1(config)# security zone-pair MGMT self
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol vrrp
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# rule 2
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol ah
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-security zone-pair-rule)# exit MGMT self
ESR-1(config-security-zone-pair)# rule 32
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol udp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group SNMP
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit |
Активируем SNMP-сервер, настроив параметр snmp-community для обеспечения аутентификации и корректного доступа к данным мониторинга:
...
Благодаря данной настройке обеспечивается возможность централизованного мониторинга и управления юнитами кластера как отдельными устройствами, так и устройством, выполняющим роль VRRP Master:
| Блок кода |
|---|
|
cluester@cluester-System:~$ snmpset -v2c -c publiccluster 192.0.2.253 .1.3.6.1.2.1.1.5.0 s 'ESR-1'
SNMPv2-MIB::sysName.0 = STRING: ESR-1
cluester@cluester-System:~$ snmpset -v2c -c publiccluster 192.0.2.254 .1.3.6.1.2.1.1.5.0 s 'ESR-2'
SNMPv2-MIB::sysName.0 = STRING: ESR-2
cluester@cluester-System:~$ snmpset -v2c -c publiccluster 192.0.2.1 .1.3.6.1.2.1.1.5.0 s 'VRRP-Master'
SNMPv2-MIB::sysName.0 = STRING: VRRP-Master |
note |
Для работы в кластере необходимо использовать режим active-standby. |
Настройка Source NAT
Source NAT (SNAT) представляет собой механизм, осуществляющий замену исходного IP-адреса в заголовках IP-пакетов, проходящих через сетевой шлюз. При передаче трафика из внутренней (локальной) сети в внешнюю (публичную) сеть исходный адрес заменяется на один из назначенных публичных IP-адресов шлюза. В ряде случаев осуществляется дополнительное преобразование исходного порта (NATP – Network Address and Port Translation), что обеспечивает корректное направление обратного трафика. При поступлении пакетов из публичной сети в локальную происходит обратная процедура – восстановление оригинальных значений IP-адреса и порта для обеспечения корректной маршрутизации внутри внутренней сети.
С алгоритмом настройки можно ознакомиться по ссылке Алгоритм Source NAT описан в разделе : Алгоритм настройки Source NAT.
Пример настройки
Задача:
- предоставить доступ в Интернет хостам, находящимся в локальной сети;
- клиентская подсеть: 192.0.2.0/24;
публичный IP-адрес – VIP-адрес на интерфейсе.
Схема реализации Source NAT
...
| Блок кода |
|---|
cluster
cluster-interface bridge 1
unit 1
mac-address cca2:9d00:a200:7110:83c0:7800
exit
unit 2
mac-address cca2:9d00:a200:7110:82d0:3800
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/2
security-zone LANWAN
ip address 128.66.0.26/30
vrrp id 23
vrrp ip 192203.0.113.2.1/2430
vrrp group 1
vrrp
exit
interface gigabitethernet 1/0/23
security-zone WANLAN
ip address 128.66.0.62/30
vrrp id 32
vrrp ip 203192.0.1132.21/3024
vrrp group 1
vrrp
exit
interface gigabitethernet 12/0/31
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/12
security-zone LANWAN
ip address 128.66.0.15/30
vrrp id 23
vrrp ip 192203.0.113.2.1/2430
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/23
security-zone WANLAN
ip address 128.66.0.51/30
vrrp id 32
vrrp ip 203192.0.1132.21/3024
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair WAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair LAN WAN
rule 1
action permit
enable
exit
exit |
...
Функция Destination NAT (DNAT) выполняет преобразование IP-адреса назначения в заголовках пакетов, проходящих через сетевой шлюз. DNAT применяется для перенаправления трафика, адресованного на IP-адрес в публичном сегменте сети, на «реальный» IP-адрес сервера, расположенного в локальной сети за шлюзом.
С алгоритмом настройки можно ознакомиться по ссылке в разделе: Алгоритм настройки Destination NATАлгоритм настройки Destination NAT описан в разделе Алгоритм настройки DNAT.
Пример настройки
Задача:
- организовать публичный доступа к серверу, находящемуся в частной сети и не имеющему публичного сетевого адреса;
- сервер доступен по адресу: 192.0.2.1210/24;
Image Modified
Схема реализации Destination NAT
...
| Блок кода |
|---|
cluster
cluster-interface bridge 1
unit 1
mac-address cca2:9d00:a200:7110:83c0:7800
exit
unit 2
mac-address cca2:9d00:a200:7110:82d0:3800
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/2
security-zone LANWAN
ip address 128.66.0.26/30
vrrp id 23
vrrp ip 192203.0.113.2.1/2430
vrrp group 1
vrrp
exit
interface gigabitethernet 1/0/23
security-zone WANLAN
ip address 128.66.0.62/30
vrrp id 32
vrrp ip 203192.0.1132.21/3024
vrrp group 1
vrrp
exit
interface gigabitethernet 12/0/31
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/12
security-zone LANWAN
ip address 128.66.0.15/30
vrrp id 23
vrrp ip 192203.0.113.2.1/2430
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/23
security-zone WANLAN
ip address 128.66.0.51/30
vrrp id 32
vrrp ip 203192.0.1132.21/3024
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair WAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit |
Решение:
Создадим профиль адреса сервера из WAN сети, с которого будем принимать:
...
Войдем в режим конфигурирования функции DNAT и создадим пул адресов, в которые будут транслироваться адреса пакетов, поступающие на адрес 1.2.3.4 из внешней сети.сети^
| Блок кода |
|---|
|
ESR-1(config)# nat destination
ESR-1(config-dnat)# pool DMZ
ESR-1(config-dnat-pool)# ip address 192.0.2.1210
ESR-1(config-dnat-pool)# exit |
...
| Блок кода |
|---|
|
ESR-1(config-dnat)# ruleset DNAT_SERVER_DMZ
ESR-1(config-dnat-ruleset)# from zone WAN
ESR-1(config-dnat-ruleset)# rule 1
ESR-1(config-dnat-rule)# match protocol tcp
ESR-1(config-dnat-rule)# match destination-address object-group INTERNAL
ESR-1(config-dnat-rule)# match destination-port object-group SERVER_DMZ
ESR-1(config-dnat-rule)# action destination-nat pool DMZ
ESR-1(config-dnat-rule)# enable
ESR-1(config-dnat-rule)# exit
ESR-1(config-dnat-ruleset)# exit
ESR-1(config-dnat)# exit |
Добавим правило, которое проверяет применение правил исключительно к пакетам, поступающим из зоны WAN. Набор правил включает требования соответствия по адресу назначения (match destination-address) и протоколу. Дополнительно в наборе определено действие (action destination-nat), которое применяется к данным, удовлетворяющим указанным критериям:
| Блок кода |
|---|
|
ESR-1(config)# security zone-pair WAN LAN
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol tcp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group SERVER_DMZ
ESR-1(config-security-zone-pair-rule)# match destination-nat
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit |
Просмотр таблицы NAT-трансляций осуществляется посредством следующей команды:
| Блок кода |
|---|
|
ESR-1# show ip nat translations
Prot Inside source Inside destination Outside source Outside destination Pkts Bytes
---- --------------------- --------------------- --------------------- --------------------- ---------- ----------
tcp 203.0.113.1:41296 192.0.2.1210:22 203.0.113.1:41296 203.0.113.2:22 -- -- |
Настройка BGP
Протокол BGP предназначен для обмена информацией о достижимости подсетей между автономными системами (далее АС), то есть группами маршрутизаторов под единым техническим управлением, использующими протокол внутридоменной маршрутизации для определения маршрутов внутри себя и протокол междоменной маршрутизации для определения маршрутов доставки пакетов в другие АС. Передаваемая информация включает в себя список АС, к которым имеется доступ через данную систему. Выбор наилучших маршрутов осуществляется исходя из правил, принятых в сети.
С алгоритмом настройки можно ознакомиться по ссылке Алгоритм настройки описан в разделе : Алгоритм настройки BGP.
Пример настройки eBGP с общим IP-адресом
...
- соседство устанавливается только с Active-устройством;
- клиентская подсеть: 192.0.2.0/24;
- анонсирование подсетей, подключенных напрямую;
- собственная AS 64500;
- соседство – подсеть 203.0.113.0/24, vrrp IP-адрес для подключения 203.0.113.1, IP-адрес соседа 203.0.113.2, 64501.
Image Removed
Image Added
Схема реализации eBGP с общим IP-адресом
Исходная конфигурация кластера:
| Блок кода |
|---|
|
cluster
cluster-interface bridge 1
unit 1
mac-address cca2:9d00:a200:7110:83c0:7800
exit
unit 2
mac-address cca2:9d00:a200:7110:82d0:3800
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/2
security-zone LAN
ip address 192.0.2.254/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp
exit
interface gigabitethernet 1/0/3
security-zone WAN
ip address 128.66.0.2/30
vrrp id 3
vrrp authentication key ascii-text encrypted 88B11079B51Dip 203.0.113.1/30
vrrp authenticationgroup algorithm md51
vrrp
exit
interface gigabitethernet 12/0/31
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
security-zone LAN
ip address 192.0.2.253/24
vrrp id 2
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exitsecurity-zone WAN
ip address 128.66.0.1/30
vrrp id 3
vrrp ip 203.0.113.1/30
vrrp group 1
vrrp
exit
security zone-pair LANSYNC self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit |
Решение:
Сконфигурируем необходимые сетевые интерфейсы:
| Блок кода |
|---|
ESR-1(config)# interface gigabitethernet 1/0/1
ESR-1(config-if-gi)# ip address 203.0.113.254/24
ESR-1(config-if-gi)# exit
ESR-1(config)# interface gigabitethernet 2/0/1
ESR-1(config-if-gi)# ip address 203.0.113.253/24
ESR-1(config-if-gi)# exit |
Сконфигурируем зону безопасности WAN, настроем firewall для приема маршрутизатором BGP-трафика из зоны безопасности WAN, а также разрешим прохождение трафика из зоны LAN в зону WAN:
icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit
security zone-pair WAN self
rule 1
action permit
match protocol vrrp
enable
exit
exit |
Решение:
Настроем firewall для приема маршрутизатором BGP-трафика из зоны безопасности WAN:
| Блок кода |
|---|
ESR-1(config)# object-group service og_bgp
ESR-1(config-object-group-service)# port-range 179
ESR-1(config-object-group-service)# exit
ESR-1(config)# security zone WAN |
| Блок кода |
|---|
ESR-1(config)# object-group service og_bgp
ESR-1(config-object-group-service)# port-range 179
ESR-1(config-object-group-service)# exit
ESR-1(config)# security zone WAN
ESR-1(config-security-zone)# exit
ESR-1(config)# security zone-pair WAN self
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol vrrp
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# rule 2
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol ah
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# rule 3
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol icmp
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# rule 4
ESR-1(config-security-zone-pair-rule)# match protocol tcp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group og_bgp
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit
ESR-1(config)# security zone-pair LANWAN WANself
ESR-1(config-security-zone-pair)# rule 12
ESR-1(config-security-zone-pair-rule)# match actionprotocol permittcp
ESR-1(config-security-zone-pair-rule)# enablematch destination-port object-group og_bgp
ESR-1(config-security-zone-pair-rule)# action permit exit
ESR-1(config-security-zone-pair)# exit |
Укажем принадлежность интерфейсов к зоне безопасности:
| Блок кода |
|---|
ESR-1(config-rule)# interface gigabitethernet 1/0/1enable
ESR-1(config-if-gi)# security-zone WAN
ESR-1(config-if-gi-pair-rule)# exit
ESR-1(config)# interface gigabitethernet 2/0/1
ESR-1(config-if-gi)# security-zone WAN
ESR-1(config-if-gi-pair)# exit |
Настроем vrrp адрес на интерфейсе, с которого в дальнейшем будем строить BGP соседствоСоздадим route-map, который будет использоваться в дальнейшем при настройке разрешающих анонсов роутерам из другой AS. В route-map запретим анонсировать подсеть для cluster-interface:
| Блок кода |
|---|
ESR-1(config)# interface gigabitethernet 1/0/1route-map bgp-out
ESR-1(config-ifroute-gimap)# vrrprule id 41
ESR-1(config-route-ifmap-girule)# vrrpmatch ip address 203198.051.113100.10/24
ESR-1(config-route-ifmap-girule)# vrrpaction group 1deny
ESR-1(config-ifroute-map-girule)# vrrp authentication key ascii-text encrypted 88B11079B51Dexit
ESR-1(config-ifroute-gimap)# vrrp authentication algorithm md5rule 2
ESR-1(config-ifroute-map-girule)# vrrpaction permit
ESR-1(config-route-ifmap-girule)# exit
ESR-1(config)# interface gigabitethernet 2/0/1
-route-map)# exit |
Создадим BGP-процесс для AS 64500 и войдем в режим конфигурирования параметров процесса:
| Блок кода |
|---|
ESR-1(config-if-gi)# vrrprouter bgp 64500 |
Сконфигурируем анонсирование подсетей, подключенных напрямую:
| Блок кода |
|---|
id 4
ESR-1(config-if-gibgp)# vrrp ip 203.0.113.1/24
ESR-1(config-if-gi)# vrrp group 1address-family ipv4 unicast
ESR-1(config-ifbgp-giaf)# vrrp authentication key ascii-text encrypted 88B11079B51Dredistribute connected
ESR-1(config-ifbgp-giaf)# exit |
Создадим eBGP с вышестоящим роутером:
| Блок кода |
|---|
vrrp authentication algorithm md5
ESR-1(config-if-gibgp)# vrrp neighbor 203.0.113.2
ESR-1(config-ifbgp-gineighbor)# exit |
Создадим route-map, который будет использоваться в дальнейшем при настройке разрешающих анонсов роутерам из другой AS. В route-map запретим анонсировать подсеть для cluster-interface:
| Блок кода |
|---|
remote-as 64501
ESR-1(config-bgp-neighbor)# routeupdate-source 203.0.113.1 |
И включим обмен IPv4-маршрутами:
| Блок кода |
|---|
map bgp-out
ESR-1(config-routebgp-mapneighbor)# address-family ruleipv4 1unicast
ESR-1(config-routebgp-mapneighbor-ruleaf)# match ip address 198.51.100.0/24route-map bgp-out out
ESR-1(config-routebgp-mapneighbor-ruleaf)# action denyenable
ESR-1(config-routebgp-mapneighbor-ruleaf)# exit
|
Включим работу протокола:
| Блок кода |
|---|
ESR-1(config-routebgp-mapneighbor)# rule 2enable
ESR-1(config-routebgp-map-ruleneighbor)# action permitexit
ESR-1(config-route-map-rulebgp)# exitenable
ESR-1(config-route-mapbgp)# exit |
Применим конфигурацию на Active-устройстве.
Информацию о BGP-пирах можно посмотреть командой show bgp neighborsСоздадим BGP процесс для AS 64500 и войдем в режим конфигурирования параметров процесса:
| Блок кода |
|---|
ESR-1(config)# router bgp 64500 |
Сконфигурируем анонсирование подсетей, подключенных напрямую:
| Блок кода |
|---|
ESR-1(config-bgp)# address-family ipv4 unicast
ESR-1(config-bgp-af)# redistribute connected
ESR-1(config-bgp-af)# exit |
Создадим eBGP с вышестоящим роутером:
| Блок кода |
|---|
ESR-1(config-bgp)# neighbor1# show bgp neighbors
BGP neighbor is 203.0.113.1
BGP state: Established
Type: Static neighbor
Neighbor address: 203.0.113.2
ESR-1(config-bgp-neighbor)# remote-as 64501
ESR-1(config-bgp-neighbor)# update-source1
Neighbor AS: 64501
Neighbor ID: 203.0.113.1 |
И включим обмен IPv4-маршрутами:
| Блок кода |
|---|
ESR-1(config-bgp-neighbor)# address-family ipv4 unicast
ESR-1(config-bgp-neighbor-af)# route-map bgp-out out
ESR-1(config-bgp-neighbor-af)# enable
ESR-1(config-bgp-neighbor-af)# exit |
Включим работу протокола:
| Блок кода |
|---|
ESR-1(config-bgp-neighbor)# enable
ESR-1(config-bgp-neighbor)# exit
ESR-1(config-bgp)# enable
ESR-1(config-bgp)# exit |
Применим конфигурацию на Active устройстве.
Информацию о BGP-пирах можно посмотреть командой show bgp neighbors:
| Блок кода |
|---|
ESR-1# show bgp neighbors
BGP neighbor is
Neighbor caps: refresh enhanced-refresh restart-aware AS4
Session: external AS4
Source address: 203.0.113.2
BGP state:Weight: Established0
Hold Type:timer: 124/180
Keepalive timer: Static neighbor 27/60
NeighborRR address:client: No
203.0.113.2
Address family ipv4 unicast:
Send-label: Neighbor AS: No
64501
Default originate: Neighbor ID: No
Default information originate: 8.8.8.8
No
NeighborOutgoing capsroute-map: bgp-out
Preference: refresh enhanced-refresh restart-aware AS4
Session: 170
Remove private AS: external AS4
Source address: No
Next-hop self: 203.0.113.1
Weight: No
Next-hop unchanged: 0No
Hold timer:Uptime (d,h:m:s): 00,00:03:13 |
| Блок кода |
|---|
ESR-2# show bgp neighbors
BGP neighbor 111/180is 203.0.113.2
KeepaliveBGP timerstate: 23/60
Active
RR client: Type: No
Address family ipv4 unicast:Static neighbor
Neighbor address:
Send-label: 203.0.113.1
Neighbor AS: No
Default originate: 64501
Connect No
delay: Default information originate: No
Outgoing route-map: 2/5
Last error: bgp-out
Preference: Socket: Network is unreachable |
Таблицу маршрутов протокола BGP можно просмотреть с помощью команды:
| Блок кода |
|---|
ESR-1# show bgp ipv4 unicast neighbor 203.0.113.1 advertise-routes 170
Status codes: u - unicast, b - Removebroadcast, privatem AS:- multicast, a - anycast
No
* - valid, > Next-hop self best
Origin codes: i - IGP, e - EGP, ? - incomplete
Network No
Next-hop unchanged: Next Hop No
Metric LocPrf Uptime (d,h:m:s): Weight Path
*> u 192.0.2.0/24 00,00:03:06 |
| Блок кода |
|---|
ESR-2# show bgp neighbors
BGP neighbor is 203.0.113.2
BGP state: -- -- -- 64500 Active?
* u Type:192.0.2.0/24 203.0.113.2 -- -- Static neighbor
-- Neighbor address: 64500 ?
*> u 128.66.0.0/30 203.0.113.2
Neighbor AS: -- -- -- 64501
64500 ?
*> Connect delay:u 203.0.113.0/30 2/5
203.0.113.2 Last error: -- -- -- Socket: Network is unreachable |
Таблицу маршрутов протокола BGP можно просмотреть с помощью команды:
| Блок кода |
|---|
64500 ?
ESR-1# show bgp ipv4 unicast neighbor 203.0.113.1 routes
Status codes: u - unicast, b - broadcast, m - multicast, a - anycast
* - valid, > - best
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*> u 0.0.0.0/0 203.0.113.21 -- 100 0 300064501 ? |
| Примечание |
|---|
В случае выхода из строя Active-устройства , BGP будет полностью переустанавливаться со Standby-устройством. |
Пример настройки eBGP настройки eBGP с каждым участником кластера по индивидуальным IP-адресам
...
- соседство устанавливается с каждым маршрутизатором в кластере индивидуально;
- клиентская подсеть: 192.0.2.0/24;
- анонсирование подсетей, подключенных напрямую;
- собственная AS 64500;
- соседство для ESR-1 – подсеть 203.0.113.0/30, IP-адрес для подключения 203.0.113.1, IP-адрес соседа 203.0.113.2, 64501;
- соседство для ESR-2 – подсеть 203.0.113.4/30, IP-адрес для подключения 203.0.113.5, IP-адрес соседа 203.0.113.6, 64502.
Image Modified
Схема реализации eBGP с каждым участником кластера по индивидуальным IP-адресам
Исходные конфигурации маршрутизаторов в кластере:
| Блок кода |
|---|
|
cluster
cluster-interface bridge 1
unit 1
mac-address cca2:9d00:a200:7110:83c0:7800
exit
unit 2
mac-address cca2:9d00:a200:7110:82d0:3800
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
enable
exit
interface gigabitethernet 1/0/1.100
security-zone WAN
ip address 192.0.2.9/29
vrrp id 2
vrrp ip 198.51.100.2/30
vrrp group 1
vrrp
wan load-balance nexthop 198.51.100.1
wan load-balance enable
exit
interface gigabitethernet 1/0/1.200
security-zone WAN
ip address 192.0.2.17/29 unit 2
vrrp id 31
vrrp ip 198.51.100.61/3024
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
wanvrrp load-balanceauthentication nexthop 198.51.100.5algorithm md5
wanvrrp
load-balance enable
exit
interface gigabitethernet 1/0/21
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/32
security-zone LAN
ip address 128.66192.0.2.254/24
vrrp id 42
vrrp ip 128192.660.02.1/24
vrrp group 1
vrrp
exit
interface gigabitethernet 21/0/1.1003
security-zone WAN
ip address 192203.0.2113.101/29
vrrp id 2
vrrp ip 198.51.100.2/30
vrrp group 30
exit
interface gigabitethernet 2/0/1
vrrp
wan load-balance nexthop 198.51.100.1mode switchport
wan loadspanning-balancetree enabledisable
exit
interface gigabitethernet 2/0/1.2002
security-zone WANLAN
ip address 192.0.2.18253/2924
vrrp id 32
vrrp ip 198192.510.1002.61/3024
vrrp group 1
vrrp
wan load-balance nexthop 198.51.100.5
wan load-balance enable
exit
interface gigabitethernet 2/0/2
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/3
security-zone LANWAN
ip address 128.66.0.3/24
vrrp id 4
vrrp ip 128.66.0.1/24
vrrp group 1
vrrp address 203.0.113.5/30
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit |
Решение:
Сконфигурируем необходимые сетевые интерфейсы:
| Блок кода |
|---|
ESR-1(config)# interface gigabitethernet 1/0/1
ESR-1(config-if-gi)# ip address 203.0.113.1/30
ESR-1(config-if-gi)# exit
ESR-1(config)# interface gigabitethernet 2/0/1
ESR-1(config-if-gi)# ip address 203.0.113.5/30
ESR-1(config-if-gi)# exit |
Сконфигурируем зону безопасности WAN, настроем firewall для приема маршрутизатором BGP-трафика из зоны безопасности WAN, а также разрешим прохождение трафика из зоны LAN в зону WAN:
| Блок кода |
|---|
ESR-1(config)# object-group service og_bgp
ESR-1(config-object-group-service)# port-range 179
ESR-1(config-object-group-service)# exit
ESR-1(config)# security zone WAN
ESR-1(config-security-zone)# exit
ESR-1(config)# exit
security zone-pair WAN self
ESR-1(config-security-zone-pair)#
rule 1
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol icmp
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# rule 2
ESR-1(config-security-zone-pair-rule)# match protocol tcp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group og_bgp vrrp
enable
exit
exit |
Решение:
Настроем firewall для приема маршрутизатором BGP-трафика из зоны безопасности WAN:
| Блок кода |
|---|
ESR-1(config)# object-group service og_bgp
ESR-1(config-securityobject-zonegroup-pair-ruleservice)# action permit
ESR-1(config-security-zone-pair-rule)# enable port-range 179
ESR-1(config-securityobject-zonegroup-pair-ruleservice)# exit
ESR-1(config-security-zone-pair)# exit
ESR-1(config)# security zone-pair LAN WAN
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# action permitself
ESR-1(config-security-zone-pair-rule)# enablerule 2
ESR-1(config-security-zone-pair-rule)# match exitprotocol tcp
ESR-1(config-security-zone-pair-rule)# exit |
И укажем принадлежность интерфейсов к зоне безопасности:
| Блок кода |
|---|
ESR-1(config)# interface gigabitethernet 1/0/1 match destination-port object-group og_bgp
ESR-1(config-security-zone-ifpair-girule)# security-zoneaction WANpermit
ESR-1(config-if-gi)# exit
ESR-1(configsecurity-zone-pair-rule)# interface gigabitethernet 2/0/1enable
ESR-1(config-security-zone-ifpair-girule)# security-zone WAN exit
ESR-1(config-security-ifzone-gipair)# exit |
...
Создадим track для последующего управления анонсами маршрутов в кластере.:
| Блок кода |
|---|
ESR-1(config)# track 1
ESR-1(config-track)# track vrrp id 1 state not master
ESR-1(config-track)# enable
ESR-1(config-track)# exit |
...
| Блок кода |
|---|
ESR-1(config)# route-map bgp-out
ESR-1(config-route-map)# rule 1
ESR-1(config-route-map-rule)# match ip address 198.51.100.0/24
ESR-1(config-route-map-rule)# action deny
ESR-1(config-route-map-rule)# exit
ESR-1(config-route-map)# rule 2
ESR-1(config-route-map-rule)# action set as-path prepend 64500 track 1
ESR-1(config-route-map-rule)# action permit
ESR-1(config-route-map-rule)# exit
ESR-1(config-route-map)# exit |
Создадим BGP-процесс для AS 64500 для ESR-1 и войдем в режим конфигурирования параметров процесса:
...
| Блок кода |
|---|
ESR-1(config-bgp)# address-family ipv4 unicast
ESR-1(config-bgp-af)# redistribute connected
ESR-1(config-bgp-af)# exit |
Создадим eBGP с вышестоящим роутером:
...
Применим конфигурацию на Active-устройстве.
Информацию о BGP-пирах можно посмотреть командой:
| Блок кода |
|---|
ESR-1# show bgp neighbors
BGP neighbor is 203.0.113.2
BGP state: Established
Type: Static neighbor
Neighbor address: 203.0.113.2
Neighbor AS: 64501
Neighbor ID: 8203.80.8113.82
Neighbor caps: refresh enhanced-refresh restart-aware AS4
Session: external AS4
Source address: 203.0.113.1
Weight: 0
Hold timer: 120107/180
Keepalive timer: 4920/60
RR client: No
Address family ipv4 unicast:
Send-label: No
Default originate: No
Default information originate: No
Outgoing route-map: bgp-out
Preference: 170
Remove private AS: No
Next-hop self: No
Next-hop unchanged: No
Uptime (d,h:m:s): 00,00:0300:40 28 |
| Блок кода |
|---|
ESR-2# show bgp neighbors
BGP neighbor is 203.0.113.6
BGP state: Established
Type: Static neighbor
Neighbor address: 203.0.113.6
Neighbor AS: 64502
Neighbor ID: 8203.80.8113.86
Neighbor caps: refresh enhanced-refresh restart-aware AS4
Session: external AS4
Source address: 203.0.113.5
Weight: 0
Hold timer: 138144/180
Keepalive timer: 5629/60
RR client: No
Address family ipv4 unicast:
Send-label: No
Default originate: No
Default information originate: No
Outgoing route-map: bgp-out
Preference: 170
Remove private AS: No
Next-hop self: No
Next-hop unchanged: No
Uptime (d,h:m:s): 00,00:03:42 00:20 |
Таблицу маршрутов протокола BGP можно просмотреть с помощью команды:
...
| Блок кода |
|---|
ESR-2# show bgp ipv4 unicast neighbor 203.0.113.6 advertise-routes
Status codes: u - unicast, b - broadcast, m - multicast, a - anycast
* - valid, > - best
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*> u 192.0.2.0/24 203.0.113.5 -- -- -- 64500 64500 ?
*> u 203.0.113.4/30 203.0.113.5 -- -- -- 64500 64500 ?
ESR-2# show bgp ipv4 unicast neighbor 203.0.113.6 routes
Status codes: u - unicast, b - broadcast, m - multicast, a - anycast
* - valid, > - best
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*> u 0.0.0.0/0 203.0.113.6 -- 100 0 6450164502 ? |
Настройка DMVPN
DMVPN (Dynamic Multipoint Virtual Private Network) — технология для создания виртуальных частных сетей, с возможностью динамического создания туннелей между узлами. Преимуществом данного решения является высокая масштабируемость и легкость настройки при подключении филиалов к головному офису. DMVPN используется в топологии Hub-and-Spoke, и позволяет строить прямые VPN-туннели Spoke-to-Spoke в дополнение к обычным Spoke-to-Hub туннелям. Это означает, что филиалы смогут общаться друг с другом напрямую, без необходимости прохождения трафика через Hub.
Чтобы установить такое соединение, клиенты (NHC) по шифрованному IPsec-туннелю отправляют соответствие своего внутреннего (туннельного) адреса и внешнего (NBMA) адреса на NHRP-сервер (NHS). Когда клиент захочет соединиться с другим NHC, он посылает на сервер запрос, чтобы узнать его внешний адрес. Получив ответ от сервера, клиент теперь самостоятельно может устанавливать соединение c удалённым филиалом.
С алгоритмом настройки можно ознакомиться по ссылке Алгоритм настройки описан в разделе : Алгоритм настройки DMVPN.
Пример настройки в кластере DMVPN Single Hub Dual Cloud схемы
Задача:
Организовать DMVPN между офисами компании, используя mGRE-туннели, NHRP (Next Hop Resolution Protocol), протокол динамической маршрутизации (BGP), IPsec. В данном примере будет HUB-маршрутизатор, который находится в кластере, и два филиала. HUB – это DMVPN-cервер (NHS), а филиалы – DMPVN-клиенты (NHC).
HUB внешний IP-адрес — 150.115.0.5через Cloud_one — 198.51.100.2/30;
HUB внешний IP-адрес через Cloud_two — 198.51.100.6/30;
SPOKE-1 внешний IP-адрес — 180198.51.100.0.10/30;
SPOKE-2 внешний IP-адрес — 140198.11451.0100.414/30.
Параметры IPsec VPN:
IKE:
...
- группа Диффи-Хэллмана: 19;
- алгоритм шифрования: AES256;
- алгоритм аутентификации: SHA2-256.
Image Modified
Схема реализации DMVPN Single Hub Dual Cloud в кластере
Исходная конфигурация CLUSTER-HUB:
| Блок кода |
|---|
|
cluster
cluster-interface bridge 1
unit 1
mac-address a2:00:00:10:a0:00
exit
unit 2
mac-address a2:00:00:10:b0:00
exit
enable
exit
hostname HUB-1 unit 1
hostname HUB-2 unit 2
security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit
ip access-list extended LOCAL_1
rule 1
action permit
match source-address 198.51.100.2 255.255.255.255
enable
exit
exit
ip access-list extended LOCAL_2
rule 1
action permit
match source-address 198.51.100.6 255.255.255.255
enable
exit
exit
route-map PBR_LOCAL
rule 1
match ip access-group LOCAL_1
action set ip next-hop verify-availability 198.51.100.1 1
exit
rule 2
match ip access-group LOCAL_2
action set ip next-hop verify-availability 198.51.100.5 1
exit
exit
route-map DMVPN_BGP_OUT_CLOUD_TWO
rule 1
match ip address 0.0.0.0/0
action set metric bgp 2000
exit
exit
route-map DMVPN_BGP_OUT_CLOUD_ONE
rule 1
match ip address 0.0.0.0/0
action set metric bgp 1000
exit
exit
ip local policy route-map PBR_LOCAL
bridge 1
vlan 1
security-zone SYNC
ip address 192.0.2.5/29 unit 1
ip address 192.0.2.6/29 unit 2
vrrp id 1
vrrp ip 192.0.2.1/29
vrrp group 1
vrrp
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree enabledisable
exit
interface gigabitethernet 1/0/12.100
security-zone WAN
ip address 192.0.2.9/29
vrrp id 2
vrrp ip 198.51.100.2/30
vrrp group 1
vrrp
wan load-balance nexthop 198.51.100.1
wan load-balance enable
exit
interface gigabitethernet 1/0/12.200
security-zone WAN
ip address 192.0.2.17/29
vrrp id 3
vrrp ip 198.51.100.6/30
vrrp group 1
vrrp
wan load-balance nexthop 198.51.100.5
wan load-balance enable
exit
interface gigabitethernet 1/0/2
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/3
security-zone LAN
ip address 128.66.0.2/24
vrrp id 4
vrrp ip 128.66.0.1/24
vrrp group 1
vrrp
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2.100
security-zone WAN
ip address 192.0.2.10/29
vrrp id 2
vrrp ip 198.51.100.2/30
vrrp group 1
vrrp
wan load-balance nexthop 198.51.100.1
wan load-balance enable
exit
interface gigabitethernet 2/0/12.200
security-zone WAN
ip address 192.0.2.18/29
vrrp id 3
vrrp ip 198.51.100.6/30
vrrp group 1
vrrp
wan load-balance nexthop 198.51.100.5
wan load-balance enable
exit
interface gigabitethernet 2/0/2
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/3
security-zone LAN
ip address 128.66.0.3/24
vrrp id 4
vrrp ip 128.66.0.1/24
vrrp group 1
vrrp
exit
security zone-pair SYNC self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
rule 3
action permit
match protocol icmp
enable
exit
exit
security zone-pair LAN self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit
security zone-pair WAN self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol ah
enable
exit
exit
ip route 0.0.0.0/0 wan load-balance rule 1
wan load-balance rule 1
outbound interface gigabitethernet 1/0/12.100
outbound interface gigabitethernet 1/0/12.200
outbound interface gigabitethernet 2/0/12.200
outbound interface gigabitethernet 2/0/12.100
enable
exit |
Исходная конфигурация SPOKE-1:
...
| Блок кода |
|---|
|
hostname SPOKE-2
security zone LAN
exit
security zone WAN
exit
interface gigabitethernet 1/0/1
security-zone WAN
ip address 198.51.100.14/30
exit
interface gigabitethernet 1/0/2
security-zone LAN
ip address 128.66.2.1/24
exit
ip route 198.51.100.0/30 198.51.100.13
ip route 198.51.100.4/30 198.51.100.13
ip route 198.51.100.8/30 198.51.100.13 |
Решение:
Создадим туннели mGRE, каждый через свой CLOUD, определим принадлежность к зоне безопасности, настроим NHRP и включим туннель и NHRP командой enable:
| Блок кода |
|---|
HUB-1(config)# security zone DMVPN_C_ONE
HUB-1(config-security-zone)# exit
HUB-1(config)# security zone DMVPN_C_TWO
HUB-1(config-security-zone)# exit
HUB-1(config)# tunnel gre 1
HUB-1(config-gre)# key 1000
HUB-1(config-gre)# ttl 64
HUB-1(config-gre)# mtu 1400
HUB-1(config-gre)# multipoint
HUB-1(config-gre)# security-zone DMVPN_C_ONE
HUB-1(config-gre)# local address 198.51.100.2
HUB-1(config-gre)# ip address 203.0.113.1/25
HUB-1(config-gre)# ip tcp adjust-mss 1360
HUB-1(config-gre)# ip nhrp redirect
HUB-1(config-gre)# ip nhrp multicast dynamic
HUB-1(config-gre)# ip nhrp enable
HUB-1(config-gre)# enable
HUB-1(config-gre)# exit
HUB-1(config)# tunnel gre 2
HUB-1(config-gre)# key 2000
HUB-1(config-gre)# ttl 64
HUB-1(config-gre)# mtu 1400
HUB-1(config-gre)# multipoint
HUB-1(config-gre)# security-zone DMVPN_C_TWO
HUB-1(config-gre)# local address 198.51.100.6
HUB-1(config-gre)# ip address 203.0.113.129/25
HUB-1(config-gre)# ip tcp adjust-mss 1360
HUB-1(config-gre)# ip nhrp redirect
HUB-1(config-gre)# ip nhrp multicast dynamic
HUB-1(config-gre)# ip nhrp enable
HUB-1(config-gre)# enable
HUB-1(config-gre)# exit |
Произведём настройку протокола динамической маршрутизации для Hub. В примере это будет eBGP, для которого необходимо явно разрешить анонсирование подсетей.
...
| Блок кода |
|---|
HUB-1(config)# route-map DMVPN_BGP_OUT_CLOUD_ONE
HUB-1(config-route-map)# rule 1
HUB-1(config-route-map-rule)# match ip address 0.0.0.0/0
HUB-1(config-route-map-rule)# action set metric bgp 1000
HUB-1(config-route-map-rule)# exit
HUB-1(config-route-map)# exit
HUB-1(config)# route-map DMVPN_BGP_OUT_CLOUD_TWO
HUB-1(config-route-map)# rule 1
HUB-1(config-route-map-rule)# match ip address 0.0.0.0/0
HUB-1(config-route-map-rule)# action set metric bgp 2000
HUB-1(config-route-map-rule)# exit
HUB-1(config-route-map)# exit
HUB-1(config)# router bgp 64500
HUB-1(config-bgp)# default-information-originate
HUB-1(config-bgp)# timers error-wait 5 10
HUB-1(config-bgp)# peer-group DMVPN_CLOUD_ONE
HUB-1(config-bgp-group)# remote-as 64501
HUB-1(config-bgp-group)# update-source 203.0.113.1
HUB-1(config-bgp-group)# fall-over bfd
HUB-1(config-bgp-group)# address-family ipv4 unicast
HUB-1(config-bgp-group-af)# route-map DMVPN_BGP_OUT_CLOUD_ONE out
HUB-1(config-bgp-group-af)# next-hop-self
HUB-1(config-bgp-group-af)# enable
HUB-1(config-bgp-group-af)# exit
HUB-1(config-bgp-group)# exit
HUB-1(config-bgp)# peer-group DMVPN_CLOUD_TWO
HUB-1(config-bgp-group)# remote-as 64501
HUB-1(config-bgp-group)# update-source 203.0.113.129
HUB-1(config-bgp-group)# fall-over bfd
HUB-1(config-bgp-group)# address-family ipv4 unicast
HUB-1(config-bgp-group-af)# route-map DMVPN_BGP_OUT_CLOUD_TWO out
HUB-1(config-bgp-group-af)# next-hop-self
HUB-1(config-bgp-group-af)# enable
HUB-1(config-bgp-group-af)# exit
HUB-1(config-bgp-group)# exit
HUB-1(config-bgp)# listen-range 203.0.113.0/25
HUB-1(config-bgp-listen)# peer-group DMVPN_CLOUD_ONE
HUB-1(config-bgp-listen)# enable
HUB-1(config-bgp-listen)# exit
HUB-1(config-bgp)# listen-range 203.0.113.128/25
HUB-1(config-bgp-listen)# peer-group DMVPN_CLOUD_TWO
HUB-1(config-bgp-listen)# enable
HUB-1(config-bgp-listen)# exit
HUB-1(config-bgp)# address-family ipv4 unicast
HUB-1(config-bgp-af)# redistribute static
HUB-1(config-bgp-af)# exit
HUB-1(config-bgp)# enable
HUB-1(config-bgp)# exit |
Произведём настройку IPsec для Hub, для начала настроим ike proposal, ike policy и ike gateway. В ike gateway дополнительно настроим dpd, для ускорения перестроения туннелей в случае если выйдет из строя Active-устройство:
| Блок кода |
|---|
HUB-1(config)# security ike proposal ike_proposal
HUB-1(config-ike-proposal)# authentication algorithm sha2-256
HUB-1(config-ike-proposal)# encryption algorithm aes256
HUB-1(config-ike-proposal)# dh-group 19
HUB-1(config-ike-proposal)# exit
HUB-1(config)#
HUB-1(config)# security ike policy ike_policy
HUB-1(config-ike-policy)# pre-shared-key ascii-text encrypted 8CB5107EA7005AFF
HUB-1(config-ike-policy)# proposal ike_proposal
HUB-1(config-ike-policy)# exit
HUB-1(config)# security ike gateway ike_gateway_cloud_one
HUB-1(config-ike-gw)# version v2-only
HUB-1(config-ike-gw)# ike-policy ike_policy
HUB-1(config-ike-gw)# local address 198.51.100.2
HUB-1(config-ike-gw)# local network 198.51.100.2/32 protocol gre
HUB-1(config-ike-gw)# remote address any
HUB-1(config-ike-gw)# remote network any protocol gre
HUB-1(config-ike-gw)# mode policy-based
HUB-1(config-ike-gw)# mobike disable
HUB-1(config-ike-gw)# dead-peer-detection action clear
HUB-1(config-ike-gw)# dead-peer-detection interval 310
HUB-1(config-ike-gw)# dead-peer-detection retransmit timeout 15
HUB-1(config-ike-gw)# dead-peer-detection retransmit tries 2
HUB-1(config-ike-gw)# exit
HUB-1(config)# security ike gateway ike_gateway_cloud_two
HUB-1(config-ike-gw)# version v2-only
HUB-1(config-ike-gw)# ike-policy ike_policy
HUB-1(config-ike-gw)# local address 198.51.100.6
HUB-1(config-ike-gw)# local network 198.51.100.6/32 protocol gre
HUB-1(config-ike-gw)# remote address any
HUB-1(config-ike-gw)# remote network any protocol gre
HUB-1(config-ike-gw)# mode policy-based
HUB-1(config-ike-gw)# mobike disable
HUB-1(config-ike-gw)# dead-peer-detection action clear
HUB-1(config-ike-gw)# dead-peer-detection interval 310
HUB-1(config-ike-gw)# dead-peer-detection retransmit timeout 15
HUB-1(config-ike-gw)# dead-peer-detection retransmit tries 2
HUB-1(config-ike-gw)# exit
HUB-1(config)#
HUB-1(config)# security ike session uniqueids replace |
Затем настроим IPsec proposal, IPsec policy и IPsec vpn туннели через каждый CLOUD:
| Блок кода |
|---|
HUB-1(config)# security ipsec proposal ipsec_proposal
HUB-1(config-ipsec-proposal)# authentication algorithm sha2-256
HUB-1(config-ipsec-proposal)# encryption algorithm aes256
HUB-1(config-ipsec-proposal)# pfs dh-group 19
HUB-1(config-ipsec-proposal)# exit
HUB-1(config)# security ipsec policy ipsec_policy
HUB-1(config-ipsec-policy)# proposal ipsec_proposal
HUB-1(config-ipsec-policy)# exit
HUB-1(config)# security ipsec vpn ipsec_dynamic_cloud_one
HUB-1(config-ipsec-vpn)# type transport
HUB-1(config-ipsec-vpn)# ike establish-tunnel route
HUB-1(config-ipsec-vpn)# ike gateway ike_gateway_cloud_one
HUB-1(config-ipsec-vpn)# ike ipsec-policy ipsec_policy
HUB-1(config-ipsec-vpn)# enable
HUB-1(config-ipsec-vpn)# exit
HUB-1(config)# security ipsec vpn ipsec_dynamic_cloud_two
HUB-1(config-ipsec-vpn)# type transport
HUB-1(config-ipsec-vpn)# ike establish-tunnel route
HUB-1(config-ipsec-vpn)# ike gateway ike_gateway_cloud_two
HUB-1(config-ipsec-vpn)# ike ipsec-policy ipsec_policy
HUB-1(config-ipsec-vpn)# enable
HUB-1(config-ipsec-vpn)# exit |
Подкорректируем Скорректируем правила зоны безопасности WANнеобходимо разрешить , разрешим протоколы для GRE over IPSec-туннеля.:
| Блок кода |
|---|
HUB-1(config)# object-group service ISAKMP_PORT
HUB-1(config-object-group-service)# port-range 500
HUB-1(config-object-group-service)# port-range 4500
HUB-1(config-object-group-service)# exit
HUB-1(config)# security zone-pair WAN self
HUB-1(config-security-zone-pair)# rule 3
HUB-1(config-security-zone-pair-rule)# action permit
HUB-1(config-security-zone-pair-rule)# match protocol udp
HUB-1(config-security-zone-pair-rule)# match destination-port object-group ISAKMP_PORT
HUB-1(config-security-zone-pair-rule)# enable
HUB-1(config-security-zone-pair-rule)# exit
HUB-1(config-security-zone-pair)# rule 4
HUB-1(config-security-zone-pair-rule)# action permit
HUB-1(config-security-zone-pair-rule)# match protocol esp
HUB-1(config-security-zone-pair-rule)# enable
HUB-1(config-security-zone-pair-rule)# exit
HUB-1(config-security-zone-pair)# rule 5
HUB-1(config-security-zone-pair-rule)# action permit
HUB-1(config-security-zone-pair-rule)# match protocol gre
HUB-1(config-security-zone-pair-rule)# enable
HUB-1(config-security-zone-pair-rule)# exit
HUB-1(config-security-zone-pair)# exit |
Настроим правила зон безопасности DMVPN_C_ONE и DMVPN_C_TWO, разрешим прохождение трафика для протоколов BGP, BFD, ICMP.:
| Блок кода |
|---|
HUB-1(config)# object-group service BGP
HUB-1(config-object-group-service)# port-range 179
HUB-1(config-object-group-service)# exit
HUB-1(config)# object-group service BFD
HUB-1(config-object-group-service)# port-range 3784
HUB-1(config-object-group-service)# exit
HUB-1(config)# security zone-pair DMVPN_C_ONE self
HUB-1(config-security-zone-pair)# rule 1
HUB-1(config-security-zone-pair-rule)# action permit
HUB-1(config-security-zone-pair-rule)# match protocol icmp
HUB-1(config-security-zone-pair-rule)# enable
HUB-1(config-security-zone-pair-rule)# exit
HUB-1(config-security-zone-pair)# rule 2
HUB-1(config-security-zone-pair-rule)# action permit
HUB-1(config-security-zone-pair-rule)# match protocol tcp
HUB-1(config-security-zone-pair-rule)# match destination-port object-group BGP
HUB-1(config-security-zone-pair-rule)# enable
HUB-1(config-security-zone-pair-rule)# exit
HUB-1(config-security-zone-pair)# rule 3
HUB-1(config-security-zone-pair-rule)# action permit
HUB-1(config-security-zone-pair-rule)# match protocol udp
HUB-1(config-security-zone-pair-rule)# match destination-port object-group BFD
HUB-1(config-security-zone-pair-rule)# enable
HUB-1(config-security-zone-pair-rule)# exit
HUB-1(config-security-zone-pair)# exit
HUB-1(config)# security zone-pair DMVPN_C_TWO self
HUB-1(config-security-zone-pair)# rule 1
HUB-1(config-security-zone-pair-rule)# action permit
HUB-1(config-security-zone-pair-rule)# match protocol icmp
HUB-1(config-security-zone-pair-rule)# enable
HUB-1(config-security-zone-pair-rule)# exit
HUB-1(config-security-zone-pair)# rule 2
HUB-1(config-security-zone-pair-rule)# action permit
HUB-1(config-security-zone-pair-rule)# match protocol tcp
HUB-1(config-security-zone-pair-rule)# match destination-port object-group BGP
HUB-1(config-security-zone-pair-rule)# enable
HUB-1(config-security-zone-pair-rule)# exit
HUB-1(config-security-zone-pair)# rule 3
HUB-1(config-security-zone-pair-rule)# action permit
HUB-1(config-security-zone-pair-rule)# match protocol udp
HUB-1(config-security-zone-pair-rule)# match destination-port object-group BFD
HUB-1(config-security-zone-pair-rule)# enable
HUB-1(config-security-zone-pair-rule)# exit
HUB-1(config-security-zone-pair)# exit |
Скорректируем Подкорректируем правила зоны безопасности LAN, разрешим прохождение трафика между зонами LAN и DMVPN_C_ONE/DMVPN_C_TWO.:
| Блок кода |
|---|
HUB-1(config)# security zone-pair LAN DMVPN_C_ONE
HUB-1(config-security-zone-pair)# rule 1
HUB-1(config-security-zone-pair-rule)# action permit
HUB-1(config-security-zone-pair-rule)# enable
HUB-1(config-security-zone-pair-rule)# exit
HUB-1(config-security-zone-pair)# exit
HUB-1(config)# security zone-pair LAN DMVPN_C_TWO
HUB-1(config-security-zone-pair)# rule 1
HUB-1(config-security-zone-pair-rule)# action permit
HUB-1(config-security-zone-pair-rule)# enable
HUB-1(config-security-zone-pair-rule)# exit
HUB-1(config-security-zone-pair)# exit
HUB-1(config)# security zone-pair DMVPN_C_ONE LAN
HUB-1(config-security-zone-pair)# rule 1
HUB-1(config-security-zone-pair-rule)# action permit
HUB-1(config-security-zone-pair-rule)# enable
HUB-1(config-security-zone-pair-rule)# exit
HUB-1(config-security-zone-pair)# exit
HUB-1(config)# security zone-pair DMVPN_C_TWO LAN
HUB-1(config-security-zone-pair)# rule 1
HUB-1(config-security-zone-pair-rule)# action permit
HUB-1(config-security-zone-pair-rule)# enable
HUB-1(config-security-zone-pair-rule)# exit
HUB-1(config-security-zone-pair)# exit |
Создадим туннели mGRE, каждый через свой CLOUD, определим принадлежность к зоне безопасности, настроим NHRP и включим туннель и NHRP командой enable:
| Блок кода |
|---|
SPOKE-1(config)# security zone DMVPN_C_TWO
SPOKE-1(config-security-zone)# exit
SPOKE-1(config)# security zone DMVPN_C_ONE
SPOKE-1(config-security-zone)# exit
SPOKE-1(config)# tunnel gre 1
SPOKE-1(config-gre)# key 1000
SPOKE-1(config-gre)# ttl 64
SPOKE-1(config-gre)# mtu 1400
SPOKE-1(config-gre)# multipoint
SPOKE-1(config-gre)# security-zone DMVPN_C_ONE
SPOKE-1(config-gre)# local address 198.51.100.10
SPOKE-1(config-gre)# ip address 203.0.113.2/25
SPOKE-1(config-gre)# ip tcp adjust-mss 1360
SPOKE-1(config-gre)# ip nhrp holding-time 60
SPOKE-1(config-gre)# ip nhrp shortcut
SPOKE-1(config-gre)# ip nhrp map 203.0.113.1 198.51.100.2
SPOKE-1(config-gre)# ip nhrp nhs 203.0.113.1
SPOKE-1(config-gre)# ip nhrp multicast nhs
SPOKE-1(config-gre)# ip nhrp enable
SPOKE-1(config-gre)# enable
SPOKE-1(config-gre)# exit
SPOKE-1(config)# tunnel gre 2
SPOKE-1(config-gre)# key 2000
SPOKE-1(config-gre)# ttl 64
SPOKE-1(config-gre)# mtu 1400
SPOKE-1(config-gre)# multipoint
SPOKE-1(config-gre)# security-zone DMVPN_C_TWO
SPOKE-1(config-gre)# local address 198.51.100.10
SPOKE-1(config-gre)# ip address 203.0.113.130/25
SPOKE-1(config-gre)# ip tcp adjust-mss 1360
SPOKE-1(config-gre)# ip nhrp holding-time 60
SPOKE-1(config-gre)# ip nhrp shortcut
SPOKE-1(config-gre)# ip nhrp map 203.0.113.129 198.51.100.6
SPOKE-1(config-gre)# ip nhrp nhs 203.0.113.129
SPOKE-1(config-gre)# ip nhrp multicast nhs
SPOKE-1(config-gre)# ip nhrp enable
SPOKE-1(config-gre)# enable
SPOKE-1(config-gre)# exit |
Произведём настройку протокола динамической маршрутизации для SPOKE-1. В примере это будет eBGP, для которого необходимо явно разрешить анонсирование подсетей. Анонсируем LAN подсети в сторону HUB используя network в address-family.
Для ускорения переключения в случае выхода из строя Active-устройства в кластере включим также bfd для BGP, а также уменьшим таймер error-wait.
| Блок кода |
|---|
SPOKE-1(config)# route-map DMVPN_BGP_OUT
SPOKE-1(config-route-map)# rule 1
SPOKE-1(config-route-map-rule)# exit
SPOKE-1(config-route-map)# exit
SPOKE-1(config)# router bgp 64501
SPOKE-1(config-bgp)# timers error-wait 5 10
SPOKE-1(config-bgp)# neighbor 203.0.113.1
SPOKE-1(config-bgp-neighbor)# remote-as 64500
SPOKE-1(config-bgp-neighbor)# allow-local-as 10
SPOKE-1(config-bgp-neighbor)# update-source 203.0.113.2
SPOKE-1(config-bgp-neighbor)# fall-over bfd
SPOKE-1(config-bgp-neighbor)# address-family ipv4 unicast
SPOKE-1(config-bgp-neighbor-af)# route-map DMVPN_BGP_OUT out
SPOKE-1(config-bgp-neighbor-af)# enable
SPOKE-1(config-bgp-neighbor-af)# exit
SPOKE-1(config-bgp-neighbor)# enable
SPOKE-1(config-bgp-neighbor)# exit
SPOKE-1(config-bgp)# neighbor 203.0.113.129
SPOKE-1(config-bgp-neighbor)# remote-as 64500
SPOKE-1(config-bgp-neighbor)# allow-local-as 10
SPOKE-1(config-bgp-neighbor)# update-source 203.0.113.130
SPOKE-1(config-bgp-neighbor)# fall-over bfd
SPOKE-1(config-bgp-neighbor)# address-family ipv4 unicast
SPOKE-1(config-bgp-neighbor-af)# route-map DMVPN_BGP_OUT out
SPOKE-1(config-bgp-neighbor-af)# enable
SPOKE-1(config-bgp-neighbor-af)# exit
SPOKE-1(config-bgp-neighbor)# enable
SPOKE-1(config-bgp-neighbor)# exit
SPOKE-1(config-bgp)# address-family ipv4 unicast
SPOKE-1(config-bgp-af)# network 128.66.1.0/24
SPOKE-1(config-bgp-af)# exit
SPOKE-1(config-bgp)# enable
SPOKE-1(config-bgp)# exit |
Произведём настройку IPsec для SPOKE-1, для начала настроим ike proposal, ike policy и ike gateway. В ike gateway дополнительно настроим dpd , для ускорения перестроения туннелей, в случае если выйдет из строя Active-устройство:
| Блок кода |
|---|
SPOKE-1(config)# security ike proposal ike_proposal
SPOKE-1(config-ike-proposal)# authentication algorithm sha2-256
SPOKE-1(config-ike-proposal)# encryption algorithm aes256
SPOKE-1(config-ike-proposal)# dh-group 19
SPOKE-1(config-ike-proposal)# exit
SPOKE-1(config)# security ike policy ike_policy
SPOKE-1(config-ike-policy)# pre-shared-key ascii-text encrypted 8CB5107EA7005AFF
SPOKE-1(config-ike-policy)# proposal ike_proposal
SPOKE-1(config-ike-policy)# exit
SPOKE-1(config)# security ike gateway ike_gateway_cloud_one
SPOKE-1(config-ike-gw)# version v2-only
SPOKE-1(config-ike-gw)# ike-policy ike_policy
SPOKE-1(config-ike-gw)# local address 198.51.100.10
SPOKE-1(config-ike-gw)# local network 198.51.100.10/32 protocol gre
SPOKE-1(config-ike-gw)# remote address 198.51.100.2
SPOKE-1(config-ike-gw)# remote network 198.51.100.2/32 protocol gre
SPOKE-1(config-ike-gw)# mode policy-based
SPOKE-1(config-ike-gw)# mobike disable
SPOKE-1(config-ike-gw)# dead-peer-detection action clear
SPOKE-1(config-ike-gw)# dead-peer-detection interval 310
SPOKE-1(config-ike-gw)# dead-peer-detection retransmit timeout 15
SPOKE-1(config-ike-gw)# dead-peer-detection retransmit tries 2
SPOKE-1(config-ike-gw)# exit
SPOKE-1(config)# security ike gateway ike_gateway_cloud_two
SPOKE-1(config-ike-gw)# version v2-only
SPOKE-1(config-ike-gw)# ike-policy ike_policy
SPOKE-1(config-ike-gw)# local address 198.51.100.10
SPOKE-1(config-ike-gw)# local network 198.51.100.10/32 protocol gre
SPOKE-1(config-ike-gw)# remote address 198.51.100.6
SPOKE-1(config-ike-gw)# remote network 198.51.100.6/32 protocol gre
SPOKE-1(config-ike-gw)# mode policy-based
SPOKE-1(config-ike-gw)# mobike disable
SPOKE-1(config-ike-gw)# dead-peer-detection action clear
SPOKE-1(config-ike-gw)# dead-peer-detection interval 310
SPOKE-1(config-ike-gw)# dead-peer-detection retransmit timeout 15
SPOKE-1(config-ike-gw)# dead-peer-detection retransmit tries 2
SPOKE-1(config-ike-gw)# exit
SPOKE-1(config)# security ike gateway ike_gateway_to_spokes
SPOKE-1(config-ike-gw)# version v2-only
SPOKE-1(config-ike-gw)# ike-policy ike_policy
SPOKE-1(config-ike-gw)# local address 198.51.100.10
SPOKE-1(config-ike-gw)# local network 198.51.100.10/32 protocol gre
SPOKE-1(config-ike-gw)# remote id any
SPOKE-1(config-ike-gw)# remote address any
SPOKE-1(config-ike-gw)# remote network any protocol gre
SPOKE-1(config-ike-gw)# mode policy-based
SPOKE-1(config-ike-gw)# mobike disable
SPOKE-1(config-ike-gw)# dead-peer-detection action clear
SPOKE-1(config-ike-gw)# dead-peer-detection interval 310
SPOKE-1(config-ike-gw)# dead-peer-detection retransmit timeout 15
SPOKE-1(config-ike-gw)# dead-peer-detection retransmit tries 2
SPOKE-1(config-ike-gw)# exit |
Затем настроим IPsec proposal, IPsec policy и IPsec vpn туннели через каждый CLOUD:
| Блок кода |
|---|
SPOKE-1(config)# security ipsec proposal ipsec_proposal
SPOKE-1(config-ipsec-proposal)# authentication algorithm sha2-256
SPOKE-1(config-ipsec-proposal)# encryption algorithm aes256
SPOKE-1(config-ipsec-proposal)# pfs dh-group 19
SPOKE-1(config-ipsec-proposal)# exit
SPOKE-1(config)# security ipsec policy ipsec_policy
SPOKE-1(config-ipsec-policy)# proposal ipsec_proposal
SPOKE-1(config-ipsec-policy)# exit
SPOKE-1(config)# security ipsec vpn ipsec_dynamic_to_spoke
SPOKE-1(config-ipsec-vpn)# type transport
SPOKE-1(config-ipsec-vpn)# ike establish-tunnel route
SPOKE-1(config-ipsec-vpn)# ike gateway ike_gateway_to_spokes
SPOKE-1(config-ipsec-vpn)# ike ipsec-policy ipsec_policy
SPOKE-1(config-ipsec-vpn)# enable
SPOKE-1(config-ipsec-vpn)# exit
SPOKE-1(config)# security ipsec vpn ipsec_static_cloud_one
SPOKE-1(config-ipsec-vpn)# type transport
SPOKE-1(config-ipsec-vpn)# ike establish-tunnel route
SPOKE-1(config-ipsec-vpn)# ike gateway ike_gateway_cloud_one
SPOKE-1(config-ipsec-vpn)# ike ipsec-policy ipsec_policy
SPOKE-1(config-ipsec-vpn)# enable
SPOKE-1(config-ipsec-vpn)# exit
SPOKE-1(config)# security ipsec vpn ipsec_static_cloud_two
SPOKE-1(config-ipsec-vpn)# type transport
SPOKE-1(config-ipsec-vpn)# ike establish-tunnel route
SPOKE-1(config-ipsec-vpn)# ike gateway ike_gateway_cloud_two
SPOKE-1(config-ipsec-vpn)# ike ipsec-policy ipsec_policy
SPOKE-1(config-ipsec-vpn)# enable
SPOKE-1(config-ipsec-vpn)# exit |
Подкорректируем Скорректируем правила зоны безопасности WAN необходимо разрешить WAN, разрешим протоколы для GRE over IPSec-туннеля.:
| Блок кода |
|---|
SPOKE-1(config)# object-group service ISAKMP_PORT
SPOKE-1(config-object-group-service)# port-range 500
SPOKE-1(config-object-group-service)# port-range 4500
SPOKE-1(config-object-group-service)# exit
SPOKE-1(config)# security zone-pair WAN self
SPOKE-1(config-security-zone-pair)# rule 1
SPOKE-1(config-security-zone-pair-rule)# action permit
SPOKE-1(config-security-zone-pair-rule)# match protocol udp
SPOKE-1(config-security-zone-pair-rule)# match destination-port object-group ISAKMP_PORT
SPOKE-1(config-security-zone-pair-rule)# enable
SPOKE-1(config-security-zone-pair-rule)# exit
SPOKE-1(config-security-zone-pair)# rule 2
SPOKE-1(config-security-zone-pair-rule)# action permit
SPOKE-1(config-security-zone-pair-rule)# match protocol esp
SPOKE-1(config-security-zone-pair-rule)# enable
SPOKE-1(config-security-zone-pair-rule)# exit
SPOKE-1(config-security-zone-pair)# rule 3
SPOKE-1(config-security-zone-pair-rule)# action permit
SPOKE-1(config-security-zone-pair-rule)# match protocol gre
SPOKE-1(config-security-zone-pair-rule)# enable
SPOKE-1(config-security-zone-pair-rule)# exit
SPOKE-1(config-security-zone-pair)# exit |
Настроим правила зон безопасности DMVPN_C_ONE и DMVPN_C_TWO, разрешим прохождение трафика для протоколов BGP, BFD, ICMP.:
| Блок кода |
|---|
SPOKE-1(config)# object-group service BGP
SPOKE-1(config-object-group-service)# port-range 179
SPOKE-1(config-object-group-service)# exit
SPOKE-1(config)# object-group service BFD
SPOKE-1(config-object-group-service)# port-range 3784
SPOKE-1(config-object-group-service)# exit
SPOKE-1(config)# security zone-pair DMVPN_C_ONE self
SPOKE-1(config-security-zone-pair)# rule 1
SPOKE-1(config-security-zone-pair-rule)# action permit
SPOKE-1(config-security-zone-pair-rule)# match protocol icmp
SPOKE-1(config-security-zone-pair-rule)# enable
SPOKE-1(config-security-zone-pair-rule)# exit
SPOKE-1(config-security-zone-pair)# rule 2
SPOKE-1(config-security-zone-pair-rule)# action permit
SPOKE-1(config-security-zone-pair-rule)# match protocol tcp
SPOKE-1(config-security-zone-pair-rule)# match destination-port object-group BGP
SPOKE-1(config-security-zone-pair-rule)# enable
SPOKE-1(config-security-zone-pair-rule)# exit
SPOKE-1(config-security-zone-pair)# rule 3
SPOKE-1(config-security-zone-pair-rule)# action permit
SPOKE-1(config-security-zone-pair-rule)# match protocol udp
SPOKE-1(config-security-zone-pair-rule)# match destination-port object-group BFD
SPOKE-1(config-security-zone-pair-rule)# enable
SPOKE-1(config-security-zone-pair-rule)# exit
SPOKE-1(config-security-zone-pair)# exit
SPOKE-1(config)# security zone-pair DMVPN_C_TWO self
SPOKE-1(config-security-zone-pair)# rule 1
SPOKE-1(config-security-zone-pair-rule)# action permit
SPOKE-1(config-security-zone-pair-rule)# match protocol icmp
SPOKE-1(config-security-zone-pair-rule)# enable
SPOKE-1(config-security-zone-pair-rule)# exit
SPOKE-1(config-security-zone-pair)# rule 2
SPOKE-1(config-security-zone-pair-rule)# action permit
SPOKE-1(config-security-zone-pair-rule)# match protocol tcp
SPOKE-1(config-security-zone-pair-rule)# match destination-port object-group BGP
SPOKE-1(config-security-zone-pair-rule)# enable
SPOKE-1(config-security-zone-pair-rule)# exit
SPOKE-1(config-security-zone-pair)# rule 3
SPOKE-1(config-security-zone-pair-rule)# action permit
SPOKE-1(config-security-zone-pair-rule)# match protocol udp
SPOKE-1(config-security-zone-pair-rule)# match destination-port object-group BFD
SPOKE-1(config-security-zone-pair-rule)# enable
SPOKE-1(config-security-zone-pair-rule)# exit
SPOKE-1(config-security-zone-pair)# exit |
Скорректируем Подкорректируем правила зоны безопасности LAN, разрешим прохождение трафика между зонами LAN и DMVPN_C_ONE/DMVPN_C_TWO.:
| Блок кода |
|---|
SPOKE-1(config)# security zone-pair LAN DMVPN_C_ONE
SPOKE-1(config-security-zone-pair)# rule 1
SPOKE-1(config-security-zone-pair-rule)# action permit
SPOKE-1(config-security-zone-pair-rule)# enable
SPOKE-1(config-security-zone-pair-rule)# exit
SPOKE-1(config-security-zone-pair)# exit
SPOKE-1(config)# security zone-pair LAN DMVPN_C_TWO
SPOKE-1(config-security-zone-pair)# rule 1
SPOKE-1(config-security-zone-pair-rule)# action permit
SPOKE-1(config-security-zone-pair-rule)# enable
SPOKE-1(config-security-zone-pair-rule)# exit
SPOKE-1(config-security-zone-pair)# exit
SPOKE-1(config)# security zone-pair DMVPN_C_ONE LAN
SPOKE-1(config-security-zone-pair)# rule 1
SPOKE-1(config-security-zone-pair-rule)# action permit
SPOKE-1(config-security-zone-pair-rule)# match protocol icmp
SPOKE-1(config-security-zone-pair-rule)# enable
SPOKE-1(config-security-zone-pair-rule)# exit
SPOKE-1(config-security-zone-pair)# exit
SPOKE-1(config)# security zone-pair DMVPN_C_TWO LAN
SPOKE-1(config-security-zone-pair)# rule 1
SPOKE-1(config-security-zone-pair-rule)# action permit
SPOKE-1(config-security-zone-pair-rule)# match protocol icmp
SPOKE-1(config-security-zone-pair-rule)# enable
SPOKE-1(config-security-zone-pair-rule)# exit
SPOKE-1(config-security-zone-pair)# exit |
Создадим туннели mGRE, каждый через свой CLOUD, определим принадлежность к зоне безопасности, настроим NHRP и включим туннель и NHRP командой enable:
| Блок кода |
|---|
SPOKE-2(config)# security zone DMVPN_C_TWO
SPOKE-2(config-security-zone)# exit
SPOKE-2(config)# security zone DMVPN_C_ONE
SPOKE-2(config-security-zone)# exit
SPOKE-2(config)# tunnel gre 1
SPOKE-2(config-gre)# key 1000
SPOKE-2(config-gre)# ttl 64
SPOKE-2(config-gre)# mtu 1400
SPOKE-2(config-gre)# multipoint
SPOKE-2(config-gre)# security-zone DMVPN_C_ONE
SPOKE-2(config-gre)# local address 198.51.100.14
SPOKE-2(config-gre)# ip address 203.0.113.3/25
SPOKE-2(config-gre)# ip tcp adjust-mss 1360
SPOKE-2(config-gre)# ip nhrp holding-time 60
SPOKE-2(config-gre)# ip nhrp shortcut
SPOKE-2(config-gre)# ip nhrp map 203.0.113.1 198.51.100.2
SPOKE-2(config-gre)# ip nhrp nhs 203.0.113.1
SPOKE-2(config-gre)# ip nhrp multicast nhs
SPOKE-2(config-gre)# ip nhrp enable
SPOKE-2(config-gre)# enable
SPOKE-2(config-gre)# exit
SPOKE-2(config)# tunnel gre 2
SPOKE-2(config-gre)# key 2000
SPOKE-2(config-gre)# ttl 64
SPOKE-2(config-gre)# mtu 1400
SPOKE-2(config-gre)# multipoint
SPOKE-2(config-gre)# security-zone DMVPN_C_TWO
SPOKE-2(config-gre)# local address 198.51.100.14
SPOKE-2(config-gre)# ip address 203.0.113.131/25
SPOKE-2(config-gre)# ip tcp adjust-mss 1360
SPOKE-2(config-gre)# ip nhrp holding-time 60
SPOKE-2(config-gre)# ip nhrp shortcut
SPOKE-2(config-gre)# ip nhrp map 203.0.113.129 198.51.100.6
SPOKE-2(config-gre)# ip nhrp nhs 203.0.113.129
SPOKE-2(config-gre)# ip nhrp multicast nhs
SPOKE-2(config-gre)# ip nhrp enable
SPOKE-2(config-gre)# enable
SPOKE-2(config-gre)# exit |
Произведём настройку протокола динамической маршрутизации для SPOKE-1. В примере это будет eBGP, для которого необходимо явно разрешить анонсирование подсетей. Анонсируем LAN подсети в сторону HUB используя network в address-family.
Для ускорения переключения в случае выхода из строя Active-устройства в кластере включим также bfd для BGP, а также уменьшим таймер error-wait.
| Блок кода |
|---|
SPOKE-2(config)# route-map DMVPN_BGP_OUT
SPOKE-2(config-route-map)# rule 1
SPOKE-2(config-route-map-rule)# exit
SPOKE-2(config-route-map)# exit
SPOKE-2(config)# router bgp 64501
SPOKE-2(config-bgp)# timers error-wait 5 10
SPOKE-2(config-bgp)# neighbor 203.0.113.1
SPOKE-2(config-bgp-neighbor)# remote-as 64500
SPOKE-2(config-bgp-neighbor)# allow-local-as 10
SPOKE-2(config-bgp-neighbor)# update-source 203.0.113.3
SPOKE-2(config-bgp-neighbor)# fall-over bfd
SPOKE-2(config-bgp-neighbor)# address-family ipv4 unicast
SPOKE-2(config-bgp-neighbor-af)# route-map DMVPN_BGP_OUT out
SPOKE-2(config-bgp-neighbor-af)# enable
SPOKE-2(config-bgp-neighbor-af)# exit
SPOKE-2(config-bgp-neighbor)# enable
SPOKE-2(config-bgp-neighbor)# exit
SPOKE-2(config-bgp)# neighbor 203.0.113.129
SPOKE-2(config-bgp-neighbor)# remote-as 64500
SPOKE-2(config-bgp-neighbor)# allow-local-as 10
SPOKE-2(config-bgp-neighbor)# update-source 203.0.113.131
SPOKE-2(config-bgp-neighbor)# fall-over bfd
SPOKE-2(config-bgp-neighbor)# address-family ipv4 unicast
SPOKE-2(config-bgp-neighbor-af)# route-map DMVPN_BGP_OUT out
SPOKE-2(config-bgp-neighbor-af)# enable
SPOKE-2(config-bgp-neighbor-af)# exit
SPOKE-2(config-bgp-neighbor)# enable
SPOKE-2(config-bgp-neighbor)# exit
SPOKE-2(config-bgp)# address-family ipv4 unicast
SPOKE-2(config-bgp-af)# network 128.66.2.0/24
SPOKE-2(config-bgp-af)# exit
SPOKE-2(config-bgp)# enable
SPOKE-2(config-bgp)# exit |
Произведём настройку IPsec для SPOKE-1, для начала настроим ike proposal, ike policy и ike gateway. В ike gateway дополнительно настроим dpd, для ускорения перестроения туннелей в случае если выйдет из строя Active-устройство:
| Блок кода |
|---|
SPOKE-2(config)# security ike proposal ike_proposal
SPOKE-2(config-ike-proposal)# authentication algorithm sha2-256
SPOKE-2(config-ike-proposal)# encryption algorithm aes256
SPOKE-2(config-ike-proposal)# dh-group 19
SPOKE-2(config-ike-proposal)# exit
SPOKE-2(config)# security ike policy ike_policy
SPOKE-2(config-ike-policy)# pre-shared-key ascii-text encrypted 8CB5107EA7005AFF
SPOKE-2(config-ike-policy)# proposal ike_proposal
SPOKE-2(config-ike-policy)# exit
SPOKE-2(config)# security ike gateway ike_gateway_cloud_one
SPOKE-2(config-ike-gw)# version v2-only
SPOKE-2(config-ike-gw)# ike-policy ike_policy
SPOKE-2(config-ike-gw)# local address 198.51.100.14
SPOKE-2(config-ike-gw)# local network 198.51.100.14/32 protocol gre
SPOKE-2(config-ike-gw)# remote address 198.51.100.2
SPOKE-2(config-ike-gw)# remote network 198.51.100.2/32 protocol gre
SPOKE-2(config-ike-gw)# mode policy-based
SPOKE-2(config-ike-gw)# mobike disable
SPOKE-2(config-ike-gw)# dead-peer-detection action clear
SPOKE-2(config-ike-gw)# dead-peer-detection interval 310
SPOKE-2(config-ike-gw)# dead-peer-detection retransmit timeout 15
SPOKE-2(config-ike-gw)# dead-peer-detection retransmit tries 2
SPOKE-2(config-ike-gw)# exit
SPOKE-2(config)# security ike gateway ike_gateway_cloud_two
SPOKE-2(config-ike-gw)# version v2-only
SPOKE-2(config-ike-gw)# ike-policy ike_policy
SPOKE-2(config-ike-gw)# local address 198.51.100.14
SPOKE-2(config-ike-gw)# local network 198.51.100.14/32 protocol gre
SPOKE-2(config-ike-gw)# remote address 198.51.100.6
SPOKE-2(config-ike-gw)# remote network 198.51.100.6/32 protocol gre
SPOKE-2(config-ike-gw)# mode policy-based
SPOKE-2(config-ike-gw)# mobike disable
SPOKE-2(config-ike-gw)# dead-peer-detection action clear
SPOKE-2(config-ike-gw)# dead-peer-detection interval 310
SPOKE-2(config-ike-gw)# dead-peer-detection retransmit timeout 15
SPOKE-2(config-ike-gw)# dead-peer-detection retransmit tries 2
SPOKE-2(config-ike-gw)# exit
SPOKE-2(config)# security ike gateway ike_gateway_to_spokes
SPOKE-2(config-ike-gw)# version v2-only
SPOKE-2(config-ike-gw)# ike-policy ike_policy
SPOKE-2(config-ike-gw)# local address 198.51.100.14
SPOKE-2(config-ike-gw)# local network 198.51.100.14/32 protocol gre
SPOKE-2(config-ike-gw)# remote id any
SPOKE-2(config-ike-gw)# remote address any
SPOKE-2(config-ike-gw)# remote network any protocol gre
SPOKE-2(config-ike-gw)# mode policy-based
SPOKE-2(config-ike-gw)# mobike disable
SPOKE-2(config-ike-gw)# dead-peer-detection action clear
SPOKE-2(config-ike-gw)# dead-peer-detection interval 310
SPOKE-2(config-ike-gw)# dead-peer-detection retransmit timeout 15
SPOKE-2(config-ike-gw)# dead-peer-detection retransmit tries 2
SPOKE-2(config-ike-gw)# exit |
Затем настроим IPsec proposal, IPsec policy и IPsec vpn туннели через каждый CLOUD:
| Блок кода |
|---|
SPOKE-2(config)# security ipsec proposal ipsec_proposal
SPOKE-2(config-ipsec-proposal)# authentication algorithm sha2-256
SPOKE-2(config-ipsec-proposal)# encryption algorithm aes256
SPOKE-2(config-ipsec-proposal)# pfs dh-group 19
SPOKE-2(config-ipsec-proposal)# exit
SPOKE-2(config)# security ipsec policy ipsec_policy
SPOKE-2(config-ipsec-policy)# proposal ipsec_proposal
SPOKE-2(config-ipsec-policy)# exit
SPOKE-2(config)# security ipsec vpn ipsec_dynamic_to_spoke
SPOKE-2(config-ipsec-vpn)# type transport
SPOKE-2(config-ipsec-vpn)# ike establish-tunnel route
SPOKE-2(config-ipsec-vpn)# ike gateway ike_gateway_to_spokes
SPOKE-2(config-ipsec-vpn)# ike ipsec-policy ipsec_policy
SPOKE-2(config-ipsec-vpn)# enable
SPOKE-2(config-ipsec-vpn)# exit
SPOKE-2(config)# security ipsec vpn ipsec_static_cloud_one
SPOKE-2(config-ipsec-vpn)# type transport
SPOKE-2(config-ipsec-vpn)# ike establish-tunnel route
SPOKE-2(config-ipsec-vpn)# ike gateway ike_gateway_cloud_one
SPOKE-2(config-ipsec-vpn)# ike ipsec-policy ipsec_policy
SPOKE-2(config-ipsec-vpn)# enable
SPOKE-2(config-ipsec-vpn)# exit
SPOKE-2(config)# security ipsec vpn ipsec_static_cloud_two
SPOKE-2(config-ipsec-vpn)# type transport
SPOKE-2(config-ipsec-vpn)# ike establish-tunnel route
SPOKE-2(config-ipsec-vpn)# ike gateway ike_gateway_cloud_two
SPOKE-2(config-ipsec-vpn)# ike ipsec-policy ipsec_policy
SPOKE-2(config-ipsec-vpn)# enable
SPOKE-2(config-ipsec-vpn)# exit |
Подкорректируем Скорректируем правила зоны безопасности WAN необходимо разрешить WAN, разрешим протоколы для GRE over IPSec-туннеля.:
| Блок кода |
|---|
SPOKE-2(config)# object-group service ISAKMP_PORT
SPOKE-2(config-object-group-service)# port-range 500
SPOKE-2(config-object-group-service)# port-range 4500
SPOKE-2(config-object-group-service)# exit
SPOKE-2(config)# security zone-pair WAN self
SPOKE-2(config-security-zone-pair)# rule 1
SPOKE-2(config-security-zone-pair-rule)# action permit
SPOKE-2(config-security-zone-pair-rule)# match protocol udp
SPOKE-2(config-security-zone-pair-rule)# match destination-port object-group ISAKMP_PORT
SPOKE-2(config-security-zone-pair-rule)# enable
SPOKE-2(config-security-zone-pair-rule)# exit
SPOKE-2(config-security-zone-pair)# rule 2
SPOKE-2(config-security-zone-pair-rule)# action permit
SPOKE-2(config-security-zone-pair-rule)# match protocol esp
SPOKE-2(config-security-zone-pair-rule)# enable
SPOKE-2(config-security-zone-pair-rule)# exit
SPOKE-2(config-security-zone-pair)# rule 3
SPOKE-2(config-security-zone-pair-rule)# action permit
SPOKE-2(config-security-zone-pair-rule)# match protocol gre
SPOKE-2(config-security-zone-pair-rule)# enable
SPOKE-2(config-security-zone-pair-rule)# exit
SPOKE-2(config-security-zone-pair)# exit |
Настроим правила зон безопасности DMVPN_C_ONE и DMVPN_C_TWO, разрешим прохождение трафика для протоколов BGP, BFD, ICMP.:
| Блок кода |
|---|
SPOKE-2(config)# object-group service BGP
SPOKE-2(config-object-group-service)# port-range 179
SPOKE-2(config-object-group-service)# exit
SPOKE-2(config)# object-group service BFD
SPOKE-2(config-object-group-service)# port-range 3784
SPOKE-2(config-object-group-service)# exit
SPOKE-2(config)# security zone-pair DMVPN_C_ONE self
SPOKE-2(config-security-zone-pair)# rule 1
SPOKE-2(config-security-zone-pair-rule)# action permit
SPOKE-2(config-security-zone-pair-rule)# match protocol icmp
SPOKE-2(config-security-zone-pair-rule)# enable
SPOKE-2(config-security-zone-pair-rule)# exit
SPOKE-2(config-security-zone-pair)# rule 2
SPOKE-2(config-security-zone-pair-rule)# action permit
SPOKE-2(config-security-zone-pair-rule)# match protocol tcp
SPOKE-2(config-security-zone-pair-rule)# match destination-port object-group BGP
SPOKE-2(config-security-zone-pair-rule)# enable
SPOKE-2(config-security-zone-pair-rule)# exit
SPOKE-2(config-security-zone-pair)# rule 3
SPOKE-2(config-security-zone-pair-rule)# action permit
SPOKE-2(config-security-zone-pair-rule)# match protocol udp
SPOKE-2(config-security-zone-pair-rule)# match destination-port object-group BFD
SPOKE-2(config-security-zone-pair-rule)# enable
SPOKE-2(config-security-zone-pair-rule)# exit
SPOKE-2(config-security-zone-pair)# exit
SPOKE-2(config)# security zone-pair DMVPN_C_TWO self
SPOKE-2(config-security-zone-pair)# rule 1
SPOKE-2(config-security-zone-pair-rule)# action permit
SPOKE-2(config-security-zone-pair-rule)# match protocol icmp
SPOKE-2(config-security-zone-pair-rule)# enable
SPOKE-2(config-security-zone-pair-rule)# exit
SPOKE-2(config-security-zone-pair)# rule 2
SPOKE-2(config-security-zone-pair-rule)# action permit
SPOKE-2(config-security-zone-pair-rule)# match protocol tcp
SPOKE-2(config-security-zone-pair-rule)# match destination-port object-group BGP
SPOKE-2(config-security-zone-pair-rule)# enable
SPOKE-2(config-security-zone-pair-rule)# exit
SPOKE-2(config-security-zone-pair)# rule 3
SPOKE-2(config-security-zone-pair-rule)# action permit
SPOKE-2(config-security-zone-pair-rule)# match protocol udp
SPOKE-2(config-security-zone-pair-rule)# match destination-port object-group BFD
SPOKE-2(config-security-zone-pair-rule)# enable
SPOKE-2(config-security-zone-pair-rule)# exit
SPOKE-2(config-security-zone-pair)# exit |
Подкорректируем Скорректируем правила зоны безопасности LAN, разрешим прохождение трафика между зонами LAN и DMVPN_C_ONE/DMVPN_C_TWO.:
| Блок кода |
|---|
SPOKE-2(config)# security zone-pair LAN DMVPN_C_ONE
SPOKE-2(config-security-zone-pair)# rule 1
SPOKE-2(config-security-zone-pair-rule)# action permit
SPOKE-2(config-security-zone-pair-rule)# enable
SPOKE-2(config-security-zone-pair-rule)# exit
SPOKE-2(config-security-zone-pair)# exit
SPOKE-2(config)# security zone-pair LAN DMVPN_C_TWO
SPOKE-2(config-security-zone-pair)# rule 1
SPOKE-2(config-security-zone-pair-rule)# action permit
SPOKE-2(config-security-zone-pair-rule)# enable
SPOKE-2(config-security-zone-pair-rule)# exit
SPOKE-2(config-security-zone-pair)# exit
SPOKE-2(config)# security zone-pair DMVPN_C_ONE LAN
SPOKE-2(config-security-zone-pair)# rule 1
SPOKE-2(config-security-zone-pair-rule)# action permit
SPOKE-2(config-security-zone-pair-rule)# match protocol icmp
SPOKE-2(config-security-zone-pair-rule)# enable
SPOKE-2(config-security-zone-pair-rule)# exit
SPOKE-2(config-security-zone-pair)# exit
SPOKE-2(config)# security zone-pair DMVPN_C_TWO LAN
SPOKE-2(config-security-zone-pair)# rule 1
SPOKE-2(config-security-zone-pair-rule)# action permit
SPOKE-2(config-security-zone-pair-rule)# match protocol icmp
SPOKE-2(config-security-zone-pair-rule)# enable
SPOKE-2(config-security-zone-pair-rule)# exit
SPOKE-2(config-security-zone-pair)# exit |
...
