...
Далее приведена конфигурация ESR client на примере ESR-10, с необходимыми пояснениями:
| Раскрыть |
|---|
|
| Без форматирования |
|---|
#!/usr/bin/clish
#18
hostname ESR-10GRE
object-group service telnet
port-range 23
exit
object-group service ssh
port-range 22
exit
object-group service dhcp_server
port-range 67
exit
object-group service dhcp_client
port-range 68
exit
object-group service ntp
port-range 123
exit
object-group network MNG
ip prefix 100.123.0.0/24
ip prefix 192.168.200.48/28
ip prefix 192.168.250.0/24
exit
vlan 2,10-11
exit
security zone trusted
exit
security zone GRE
exit
bridge 1
description "Tunnel-IP"
vlan 2
security-zone GRE
ip address dhcp
ip dhcp client ignore router
enable
exit
bridge 2
description "userDATA"
enable
exit
bridge 3
description "mgmt_ESR10"
security-zone trusted
ip address dhcp
enable
exit
interface gigabitethernet 1/0/1
mode switchport
switchport access vlan 2
exit
interface gigabitethernet 1/0/2
mode switchport
switchport mode trunk
bridge-group 2
exit
interface gigabitethernet 1/0/3
mode switchport
switchport access vlan 10
bridge-group 2 tagged
exit
interface gigabitethernet 1/0/4
mode switchport
switchport access vlan 11
bridge-group 2 tagged
exit
interface gigabitethernet 1/0/5
mode switchport
switchport mode trunk
bridge-group 2
exit
interface gigabitethernet 1/0/6
mode switchport
switchport access vlan 2
exit
tunnel gre 1
mtu 1462
keepalive dst-address 10.255.252.1
keepalive dhcp dependent-interface bridge 1
keepalive dhcp dependent-interface bridge 3
keepalive enable
mode ethernet
local interface bridge 1
remote address 192.168.200.49
enable
exit
tunnel gre 1.1
bridge-group 3
mtu 1458
snmp init-trap
enable
exit
tunnel gre 2
mtu 1462
mode ethernet
local interface bridge 1
bridge-group 2
remote address 192.168.200.50
enable
exit
snmp-server
snmp-server system-shutdown
snmp-server community "private1" rw
snmp-server community "public11" ro
snmp-server host 100.123.0.2
source-interface bridge 3
exit
snmp-server enable traps config
snmp-server enable traps config commit
snmp-server enable traps config confirm
snmp-server enable traps environment
snmp-server enable traps environment memory-flash-critical-low
snmp-server enable traps environment memory-flash-low
snmp-server enable traps environment memory-ram-critical-low
snmp-server enable traps environment memory-ram-low
snmp-server enable traps environment cpu-load
snmp-server enable traps environment cpu-critical-temp
snmp-server enable traps environment cpu-overheat-temp
snmp-server enable traps environment cpu-supercooling-temp
snmp-server enable traps file-operations
snmp-server enable traps file-operations successful
snmp-server enable traps file-operations failed
snmp-server enable traps file-operations canceled
snmp-server enable traps interfaces
snmp-server enable traps interfaces rx-utilization-high
snmp-server enable traps interfaces tx-utilization-high
snmp-server enable traps interfaces number-high
snmp-server enable traps screen
snmp-server enable traps screen dest-limit
snmp-server enable traps screen source-limit
snmp-server enable traps screen icmp-threshold
snmp-server enable traps screen udp-threshold
snmp-server enable traps screen syn-flood
snmp-server enable traps screen land
snmp-server enable traps screen winnuke
snmp-server enable traps screen icmp-frag
snmp-server enable traps screen udp-frag
snmp-server enable traps screen icmp-large
snmp-server enable traps screen syn-frag
snmp-server enable traps screen unknown-proto
snmp-server enable traps screen ip-frag
snmp-server enable traps screen port-scan
snmp-server enable traps screen ip-sweep
snmp-server enable traps screen syn-fin
snmp-server enable traps screen fin-no-ack
snmp-server enable traps screen no-flag
snmp-server enable traps screen spoofing
snmp-server enable traps screen reserved
snmp-server enable traps screen quench
snmp-server enable traps screen echo-request
snmp-server enable traps screen time-exceeded
snmp-server enable traps screen unreachable
snmp-server enable traps screen tcp-all-flags
snmp-server enable traps entity
snmp-server enable traps entity config-change
snmp-server enable traps entity-sensor
snmp-server enable traps entity-sensor threshold
snmp-server enable traps envmon temperature
snmp-server enable traps flash
snmp-server enable traps flash insertion
snmp-server enable traps flash removal
snmp-server enable traps snmp
snmp-server enable traps snmp authentication
snmp-server enable traps snmp coldstart
snmp-server enable traps snmp linkdown
snmp-server enable traps snmp linkup
snmp-server enable traps syslog
security zone-pair trusted self
rule 10
action permit
match source-address MNG
enable
exit
exit
security zone-pair GRE self
rule 10
action permit
match source-address MNG
enable
exit
exit
security passwords history 0
ip telnet server
ip ssh server
ntp enable
ntp server 100.123.0.2
exit
|
|
1) В данной конфигурации в качестве аплинка выступают порты gi 1/0/1 (медный) и gi1/0/6 (оптический), что позволяет использовать подключение как по оптическому, так и по проводному каналу.
2) Порты gi1/0/2 и gi1/0/5 сконфигурированы из расчета получение трафика с тегом влан, и последующую его инкапсуляцию с этим тегов в GRE пакеты, что позволяет передавать через эти порты трафик с любым тегом влан. Нетегированный трафик будет отброшен.
3) Порты gi1/0/3 и gi1/0/4 сконфигурированы из расчета получения трафика без тега влан, он будет назначен в зависимости от конфигурации порта, для gi1/0/3 - 10, для gi1/0/4 - 11. Это позволит выполнить тегирование трафика клиента и передачу его с тегом влан внутри GRE пакетов, если клиент отдает нетегированный трафик. Тегированный трафки будет отброшен.
4) На bridge 1 выполнена настройка ip dhcp client ignore router. Данная настройка позволяет не запрашивать в DHCP запросах шлюз по умолчанию. Это требуется для того, что бы адрес управления (bridge 3), получамый внутри GRE туннеля управления мог получить шлюз по умолчанию. Т.к. в bridge 1 осуществляется получение первичного адреса - то для обеспечения связности с адресами терминации GRE на ESR BRAS L3 и возможности скачивания конфигурации c tftp-сервера используется выдача маршрутной информации с использованием option 121.
Так же следует учитывать:
1)Данная конфигурация приведена для ESR-10, у которого 6 интерфейсов. ESR-20/100/200 отличаются по количеству интерфейсов, поэтому для выдачи им конфигурацию следует скорректировать с учетом этого.
2) Конфигурация, при загрузке которой возникли ошибки не будет применена.
3) В файле конфигурации указывается версия "#18", которая означает минимальную версию ПО ESR, для которой она рассчитана (#18 означает версию 1.11). Если устанавливается ESR client с более ранней версией устройства - конфигурацию не сможет быть им загружена. Возможна настройка DHCP сервера, что бы он выдавал конфигурацию с учетом версии ПО ESR client, приведена в статье 1.4.3 ESR-10 - обновление на версию 1.4.3.
Ниже приведены настройки DHCP сервера для пула первичных адресов ESR- client на примере ISC-DHCP-server:
| Раскрыть |
|---|
| title | Пример конфигурации пула первичных адресов для ESR-client на примере ISC-DHCP-Server |
|---|
|
| Без форматирования |
|---|
authoritative;
ddns-update-style none;
enable-binary-leases;
default-lease-time 86400;
max-lease-time 87000;
log-facility local7;
## MS routes: adds extras to supplement routers option
option ms-classless-static-routes code 249 = array of unsigned integer 8;
## RFC3442 routes: overrides routers option
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;
subnet 192.168.250.0 netmask 255.255.255.0 {
pool {
option routers 192.168.250.1;
range 192.168.250.10 192.168.250.254;
option ms-classless-static-routes 28, 192,168,200,48, 192,168,250,1;
option rfc3442-classless-static-routes 28, 192,168,200,48, 192,168,250,1;
option tftp-server-name "192.168.250.2";
option bootfile-name "ESR10conf-1.11.txt";
}
}
|
|
Как видно из приведенной настройки, файл ESR10conf-1.11.txt с конфигурацией ESR должен быть расположен на сервере tftp 192.168.250.2.
6. Настройка взаимодействия с SoftWLC
...