...
При выполнении данных сценариев инициатором взаимодействия с PCRF является ESR, к которому подключилась ТД и ему необходимо получить все данные для построения дата туннеля и его саб-туннелей. Он отправляет radius запрос к PCRF типа ip-shaper, в котором содержится туннельный адрес ТД и NAS-IP ESR. PCRF выполняет поиск ТД по туннельному IP, определяет её домен и выполняется поиск привязок SSID к этому домену и доменам выше по дереву (поиск идет от ТД вверх пока не будет найден ESR на который подключена данная ТД), после чего формируется ответ, содержащий параметры:
- office:name - домен, в котором находится ТД.домен на который назначена SSID привязана, расположенный ближе к ТД
- vlan:id - номер vlan, который настроен параметрах SSID (параметр "VLAN-ID")
- name - Bridge, Location, настроенный в параметрах SSID (параметр "Bridge, Location")
- sc - признак наличия Switch Community(sc), настраиваемый в параметрах SSID (Если опция включена в пакет будет добавлен параметр sc=1, если опция отключена пакет не будет содержать параметр sc)
- gre-location - признак дата саб-туннеля, позволяющий однозначно связать его с определенной ТД, имеет вид NODE.<Индекс объекта>.<Номер vlan> (например NODE.8498.10). Параметр "Индекс объекта" уникален для каждой ТД и задается в ходе добавления ТД в дерево объектов (как в ходе инициализации, так и при ручном добавлении). Gre-location нужен для корректной работы BRAS, он выступает L2 интерфейсом.
...
Так же надо будет исправить во вкладке "Доступ" ESR название read/write SNMP community на используемое в конфигурации ESR.
| Примечание |
|---|
При добавлении ESR-100/200 значение поля "Режим ESR" на вкладке "Доступ "будет "StationCE". В этом случае необходимо изменить значение поля на "Station", в противном случае такой ESR не будет использоваться для построения дата-туннелей для ТД. |
Настройка ESR
Общее описание принципов и этапов выполнения настройки
...
| Раскрыть |
|---|
|
| Без форматирования |
|---|
vlan 3
force-up
exit
vlan 10
force-up
exit
vlan 101
force-up
exit
vlan 9
exit
bridge 1
description "GRE_termination"
vlan 101
security-zone gre
ip firewall disable
ip address 192.168.200.52/28
vrrp id 1
vrrp ip 192.168.200.49/32
vrrp ip 192.168.200.50/32 secondary
vrrp priority 20
vrrp group 1
vrrp preempt disable
vrrp preempt delay 180
vrrp
enable
exit
bridge 3
description "mgmt_AP"
vlan 3
security-zone trusted
ip firewall disable
ip address 198.18.128.3/21
ip helper-address 100.123.0.2
ip helper-address vrrp-group 1
vrrp id 3
vrrp ip 198.18.128.1/32
vrrp priority 20
vrrp group 1
vrrp preempt disable
vrrp preempt delay 180
vrrp
protected-ports local
protected-ports exclude vlan
ports vrrp filtering enable
ports vrrp filtering exclude vlan
enable
exit
bridge 9
description "neighbour"
vlan 9
security-zone neighbour
ip firewall disable
ip address 100.64.0.58/30
enable
exit
bridge 10
description "data_AP"
vlan 10
security-zone user
ip firewall disable
ip address 198.18.136.23/22
ip helper-address 100.123.0.2
ip helper-address vrrp-group 1
vrrp id 10
vrrp ip 198.18.136.1/32
vrrp priority 20
vrrp group 1
vrrp preempt disable
vrrp preempt delay 180
vrrp
location data10
protected-ports local
protected-ports exclude vlan
ports vrrp filtering enable
ports vrrp filtering exclude vlan
enable
exit
interface gigabitethernet 1/0/2
description "neighbour"
mode switchport
switchport general acceptable-frame-type tagged-only
switchport general allowed vlan add 3,9-10,101 tagged
exit |
|
...
Далее настроим wireless-controller для использования в схеме с конфигурированием дата-туннелей по командам PCRF:
| Предупреждение |
|---|
Если используется резервирование SoftWLC и сервис Eltex-PCRF работает кластере - необходимо в конфигурации ESR настроить взаимодействие для каждого сервиса по его реальному адресу и указать оба инстанса в настройке aaa radius-profile! Использовать VRRP адрес для взаимодействие нельзя! | Блок кода |
|---|
| radius-server host 100.123.0.2
key ascii-text testing123
timeout 5
source-address 198.18.128.2
auth-port 31812
acct-port 31813
dead-interval 10
exit
radius-server host 100.123.0.3
key ascii-text testing123
timeout 5
source-address 198.18.128.2
auth-port 31812
acct-port 31813
dead-interval 10
exit
aaa radius-profile PCRF
radius-server host 100.123.0.2
radius-server host 100.123.0.3
exit |
|
| Раскрыть |
|---|
|
| Без форматирования |
|---|
object-group network SoftWLC
ip prefix 100.123.0.0/24
exit
radius-server retransmit 2
radius-server host 100.123.0.2
key ascii-text testing123
timeout 5
source-address 198.18.128.2
auth-port 31812
acct-port 31813
dead-interval 10
exit
aaa radius-profile PCRF
radius-server host 100.123.0.2
exit
das-server COA
key ascii-text testing123
port 3799
clients object-group SoftWLC
exit
aaa das-profile COA
das-server COA
exit
tunnel softgre 1
mode management
local address 192.168.200.49
default-profile
enable
exit
tunnel softgre 1.1
bridge-group 3
enable
exit
tunnel softgre 2
mode data
local address 192.168.200.50
default-profile
enable
exit
wireless-controller
peer-address 100.64.0.58
nas-ip-address 198.18.128.2
vrrp-group 1
data-tunnel configuration radius
aaa das-profile COA
aaa radius-profile PCRF
enable
exit |
|
...
| Drawio |
|---|
| border | true |
|---|
| viewerToolbar | true |
|---|
| |
|---|
| fitWindow | false |
|---|
| diagramName | traffic-pass-1 |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| diagramWidth | 932 |
|---|
| revision | 23 |
|---|
|
Рис. 15.
Управление и мониторинг ESR осуществляется по адресу указанному в конфигурации интерфейса Bridge 3, весь трафик маршрутизируется через интерфейсgi1/0/1.208 (для ESR 1 Alfa) и gi1/0/1.209 (для ESR 2 Beta)в VRF core.
...
| Drawio |
|---|
| border | true |
|---|
| viewerToolbar | true |
|---|
| |
|---|
| fitWindow | false |
|---|
| diagramName | esr-3-vrrp-main |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| diagramWidth | 812 |
|---|
| revision | 12 |
|---|
|
Рис. 16.
Возможные варианты отказа в сети
...
| Drawio |
|---|
| border | true |
|---|
| viewerToolbar | true |
|---|
| |
|---|
| fitWindow | false |
|---|
| diagramName | esr-3-vrrp-work |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| diagramWidth | 866 |
|---|
| revision | 12 |
|---|
|
Рис. 17.
Отказ PE 1 master
...
| Drawio |
|---|
| border | true |
|---|
| viewerToolbar | true |
|---|
| |
|---|
| fitWindow | false |
|---|
| diagramName | esr-3-vrrp-pe-1-fail |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| diagramWidth | 866 |
|---|
| revision | 12 |
|---|
|
Рис. 18.
При отказе PE 1 master он перестанет анонсировать маршруты, получаемые от ESR 1. При этом смены VRRP мастерства не произойдет и ESR 1 останется в состоянии VRRP Master. Трафик от ТД из VRF AP будет проходить через PE 2 backup, маршрутизироваться на ESR 2 и через перемычку на интерфейсах gi1/0/2 попадать на ESR 1. Трафик пользователей и управления ТД с ESR 1 через будем маршрутизироваться через перемычку между портами gi1/0/2 через стыковый интерфейс bridge 9 и передаваться через P2 backup в VRF core и VRF NAT.
...
| Drawio |
|---|
| border | true |
|---|
| viewerToolbar | true |
|---|
| |
|---|
| fitWindow | false |
|---|
| diagramName | esr-3-vrrp-esr-1-fail |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| diagramWidth | 867 |
|---|
| revision | 12 |
|---|
|
Рис. 19.
При отказе ESR 1 он перестает слать анонсы VRRP. Определив это ESR 2 переходит в состояние VRRP MASTER, назначая VIP адреса на соответствующие интерфейсы . В результате трафик от ТД из VRF AP через PE 2 backup попадает на ESR 2. Потом он маршрутизируется: трафик управления ТД в VRF core, трафик пользователей ТД в VRF NAT. PE 1 master в обработке трафика не участвует.
...
| Drawio |
|---|
| border | true |
|---|
| viewerToolbar | true |
|---|
| |
|---|
| fitWindow | false |
|---|
| diagramName | esr-3-vrrp-esr-1-recover |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| diagramWidth | 867 |
|---|
| revision | 12 |
|---|
|
Рис. 20.
Трафик от ТД из VRF AP будет приходить через PE 1 master на ESR 1, с него через перемычку попадать на ESR 2. Затем трафик управления ТД и трафик пользователей будет через PE 2 backup передаваться в соответствующие VRF.
...
| Раскрыть |
|---|
|
| Без форматирования |
|---|
#!/usr/bin/clish
#18
#1.11.x
#07/05/2020
#20:46:29
hostname Beta
object-group service telnet
port-range 23
exit
object-group service ssh
port-range 22
exit
object-group service dhcp_server
port-range 67
exit
object-group service dhcp_client
port-range 68
exit
object-group service bgp
port-range 179
exit
object-group service dns
port-range 53
exit
object-group network gre_termination
ip prefix 192.168.200.48/28
exit
object-group network mgmt_AP
ip prefix 198.18.128.0/21
ip prefix 198.18.136.0/22
ip prefix 100.64.0.56/30
exit
object-group network clients_AP
ip prefix 198.18.136.0/22
exit
object-group network SoftWLC
ip prefix 100.123.0.0/24
exit
object-group network nets
ip prefix 10.0.0.0/8
ip prefix 192.168.0.0/16
ip prefix 172.16.0.0/12
exit
radius-server retransmit 2
radius-server host 100.123.0.2
key ascii-text encrypted 88B11079B9014FAAF7B9
timeout 5
source-address 198.18.128.3
auth-port 31812
acct-port 31813
dead-interval 10
exit
aaa radius-profile PCRF
radius-server host 100.123.0.2
exit
das-server COA
key ascii-text encrypted 88B11079B9014FAAF7B9
port 3799
clients object-group SoftWLC
exit
aaa das-profile COA
das-server COA
exit
vlan 3
force-up
exit
vlan 10
force-up
exit
vlan 101
force-up
exit
vlan 9
exit
security zone trusted
exit
security zone untrusted
exit
security zone gre
exit
security zone neighbour
exit
security zone user
exit
route-map out_BGP_GRE
rule 10
match ip address object-group gre_termination
action permit
exit
exit
route-map out_BGP_AP
rule 10
match ip address object-group mgmt_AP
action permit
exit
exit
route-map out_BGP_NAT
rule 10
match ip address object-group clients_AP
action permit
exit
exit
route-map in_PREF
rule 10
action set local-preference 20
action permit
exit
exit
router bgp 64603
neighbor 100.64.0.37
remote-as 65001
update-source 100.64.0.38
address-family ipv4 unicast
route-map out_BGP_GRE out
enable
exit
enable
exit
neighbor 100.64.0.45
remote-as 65001
update-source 100.64.0.46
address-family ipv4 unicast
route-map out_BGP_AP out
enable
exit
enable
exit
neighbor 100.64.0.53
remote-as 65001
update-source 100.64.0.54
address-family ipv4 unicast
route-map out_BGP_NAT out
enable
exit
enable
exit
neighbor 100.64.0.57
remote-as 64603
update-source 100.64.0.58
address-family ipv4 unicast
route-map in_PREF in
next-hop-self
enable
exit
enable
exit
address-family ipv4 unicast
redistribute connected
redistribute static
exit
enable
exit
snmp-server
snmp-server system-shutdown
snmp-server community "public11" ro
snmp-server community "private1" rw
snmp-server host 100.123.0.2
exit
snmp-server enable traps
snmp-server enable traps config
snmp-server enable traps config commit
snmp-server enable traps config confirm
snmp-server enable traps environment
snmp-server enable traps environment pwrin
snmp-server enable traps environment pwrin-insert
snmp-server enable traps environment fan
snmp-server enable traps environment fan-speed-changed
snmp-server enable traps environment fan-speed-high
snmp-server enable traps environment memory-flash-critical-low
snmp-server enable traps environment memory-flash-low
snmp-server enable traps environment memory-ram-critical-low
snmp-server enable traps environment memory-ram-low
snmp-server enable traps environment cpu-load
snmp-server enable traps environment cpu-critical-temp
snmp-server enable traps environment cpu-overheat-temp
snmp-server enable traps environment cpu-supercooling-temp
snmp-server enable traps environment board-overheat-temp
snmp-server enable traps environment board-supercooling-temp
snmp-server enable traps environment sfp-overheat-temp
snmp-server enable traps environment sfp-supercooling-temp
snmp-server enable traps environment switch-overheat-temp
snmp-server enable traps environment switch-supercooling-temp
snmp-server enable traps wifi
snmp-server enable traps wifi wifi-tunnels-number-in-bridge-high
snmp-server enable traps file-operations
snmp-server enable traps file-operations successful
snmp-server enable traps file-operations failed
snmp-server enable traps file-operations canceled
snmp-server enable traps interfaces
snmp-server enable traps interfaces rx-utilization-high
snmp-server enable traps interfaces tx-utilization-high
snmp-server enable traps interfaces number-high
snmp-server enable traps bras
snmp-server enable traps bras sessions-number-high
snmp-server enable traps screen
snmp-server enable traps screen dest-limit
snmp-server enable traps screen source-limit
snmp-server enable traps screen icmp-threshold
snmp-server enable traps screen udp-threshold
snmp-server enable traps screen syn-flood
snmp-server enable traps screen land
snmp-server enable traps screen winnuke
snmp-server enable traps screen icmp-frag
snmp-server enable traps screen udp-frag
snmp-server enable traps screen icmp-large
snmp-server enable traps screen syn-frag
snmp-server enable traps screen unknown-proto
snmp-server enable traps screen ip-frag
snmp-server enable traps screen port-scan
snmp-server enable traps screen ip-sweep
snmp-server enable traps screen syn-fin
snmp-server enable traps screen fin-no-ack
snmp-server enable traps screen no-flag
snmp-server enable traps screen spoofing
snmp-server enable traps screen reserved
snmp-server enable traps screen quench
snmp-server enable traps screen echo-request
snmp-server enable traps screen time-exceeded
snmp-server enable traps screen unreachable
snmp-server enable traps screen tcp-all-flags
snmp-server enable traps entity
snmp-server enable traps entity config-change
snmp-server enable traps entity-sensor
snmp-server enable traps entity-sensor threshold
snmp-server enable traps envmon
snmp-server enable traps envmon fan
snmp-server enable traps envmon shutdown
snmp-server enable traps envmon supply
snmp-server enable traps envmon temperature
snmp-server enable traps flash
snmp-server enable traps flash insertion
snmp-server enable traps flash removal
snmp-server enable traps snmp
snmp-server enable traps snmp authentication
snmp-server enable traps snmp coldstart
snmp-server enable traps snmp linkdown
snmp-server enable traps snmp linkup
snmp-server enable traps syslog
bridge 1
description "GRE_termination"
vlan 101
security-zone gre
ip address 192.168.200.52/28
vrrp id 1
vrrp ip 192.168.200.49/32
vrrp ip 192.168.200.50/32 secondary
vrrp priority 20
vrrp group 1
vrrp preempt disable
vrrp preempt delay 180
vrrp
enable
exit
bridge 3
description "mgmt_AP"
vlan 3
security-zone trusted
ip address 198.18.128.3/21
ip helper-address 100.123.0.2
ip helper-address vrrp-group 1
vrrp id 3
vrrp ip 198.18.128.1/32
vrrp priority 20
vrrp group 1
vrrp preempt disable
vrrp preempt delay 180
vrrp
protected-ports local
protected-ports exclude vlan
ports vrrp filtering enable
ports vrrp filtering exclude vlan
enable
exit
bridge 9
description "neighbour"
vlan 9
security-zone neighbour
ip address 100.64.0.58/30
enable
exit
bridge 10
description "data_AP"
vlan 10
security-zone user
ip address 198.18.136.23/22
ip helper-address 100.123.0.2
ip helper-address vrrp-group 1
vrrp id 10
vrrp ip 198.18.136.1/32
vrrp priority 20
vrrp group 1
vrrp preempt disable
vrrp preempt delay 180
vrrp
location data10
protected-ports local
protected-ports exclude vlan
ports vrrp filtering enable
ports vrrp filtering exclude vlan
enable
exit
interface gigabitethernet 1/0/1.207
description "VRF_AP"
security-zone gre
ip address 100.64.0.38/30
exit
interface gigabitethernet 1/0/1.209
description "VRF_CORE"
security-zone trusted
ip address 100.64.0.46/30
exit
interface gigabitethernet 1/0/1.211
description "VRF_NAT"
security-zone untrusted
ip address 100.64.0.54/30
exit
interface gigabitethernet 1/0/2
description "neighbour"
mode switchport
switchport general acceptable-frame-type tagged-only
switchport general allowed vlan add 3,9-10,101 tagged
exit
tunnel softgre 1
mode management
local address 192.168.200.49
default-profile
enable
exit
tunnel softgre 1.1
bridge-group 3
enable
exit
tunnel softgre 2
mode data
local address 192.168.200.50
default-profile
enable
exit
security zone-pair gre self
rule 1
action permit
match protocol gre
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol icmp
enable
exit
rule 4
action permit
match protocol tcp
match destination-port bgp
enable
exit
exit
security zone-pair trusted self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol udp
match source-port dhcp_server
match destination-port dhcp_server
enable
exit
rule 3
action permit
match protocol udp
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
rule 4
action permit
match protocol icmp
enable
exit
rule 5
action permit
match source-address SoftWLC
enable
exit
rule 6
action permit
match protocol tcp
match destination-port bgp
enable
exit
exit
security zone-pair trusted trusted
rule 1
action permit
enable
exit
exit
security zone-pair user untrusted
rule 1
action permit
enable
exit
exit
security zone-pair user self
rule 1
action permit
match protocol udp
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
exit
security zone-pair user trusted
rule 1
action permit
match protocol udp
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
rule 2
action permit
match protocol udp
match destination-port dns
enable
exit
exit
security zone-pair trusted user
rule 1
action permit
enable
exit
exit
security zone-pair trusted untrusted
rule 1
action permit
enable
exit
exit
security zone-pair gre gre
rule 1
action permit
enable
exit
exit
security zone-pair neighbour self
rule 1
action permit
match protocol tcp
match destination-port bgp
enable
exit
rule 2
action permit
match protocol gre
enable
exit
rule 3
action permit
match protocol icmp
enable
exit
rule 4
action permit
match protocol udp
match source-port dhcp_server
match destination-port dhcp_server
enable
exit
rule 5
action permit
match protocol udp
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
rule 6
action permit
match source-address SoftWLC
enable
exit
rule 7
action permit
match protocol tcp
match destination-port ssh
enable
exit
exit
security zone-pair neighbour trusted
rule 10
action permit
enable
exit
exit
security zone-pair neighbour untrusted
rule 10
action permit
enable
exit
exit
security zone-pair neighbour gre
rule 10
action permit
enable
exit
exit
security zone-pair neighbour user
rule 10
action permit
enable
exit
exit
security zone-pair trusted neighbour
rule 10
action permit
enable
exit
exit
security zone-pair gre neighbour
rule 10
action permit
enable
exit
exit
security zone-pair user neighbour
rule 1
action permit
match protocol udp
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
rule 2
action permit
match protocol udp
match destination-port dns
enable
exit
rule 10
action permit
match not destination-address nets
enable
exit
exit
security zone-pair untrusted self
rule 10
action permit
match protocol tcp
match destination-port bgp
enable
exit
exit
wireless-controller
peer-address 100.64.0.57
nas-ip-address 198.18.128.3
vrrp-group 1
data-tunnel configuration radius
aaa das-profile COA
aaa radius-profile PCRF
enable
exit
ip telnet server
ip ssh server
|
|
...
| Раскрыть |
|---|
| title | Пример конфигурации для ISC-DHCP-Server |
|---|
|
| Без форматирования |
|---|
default-lease-time 86400;
max-lease-time 87000;
log-facility local7;
class "ELTEX-DEVICES" {
match if (
(substring (option vendor-class-identifier, 0, 14)="ELTEX_WEP-12AC") or
(substring (option vendor-class-identifier, 0, 14)="ELTEX_WOP-12AC") or
(substring (option vendor-class-identifier, 0, 14)="ELTX_WEP-12AC") or
(substring (option vendor-class-identifier, 0, 14)="ELTX_WOP-12AC") or
(substring (option vendor-class-identifier, 0, 13)="ELTEX_WEP-2AC") or
(substring (option vendor-class-identifier, 0, 12)="ELTEX_WOP-2L") or
(substring (option vendor-class-identifier, 0, 12)="ELTEX_WEP-2L") or
(substring (option vendor-class-identifier, 0, 12)="ELTEX_WEP-1L") or
(substring (option vendor-class-identifier, 0, 6)="ESR-10") or
(substring (option vendor-class-identifier, 0, 6)="ESR-20")
);
}
key omapi_key {
algorithm HMAC-MD5;
secret "VthRTg5gc96pE9QvE3LvW0ELCnModCh4TJu1YTL3d++ycxxyPtaNe8C1SHpIMdznfL5+8+KbzF22ub+ueR0EYw==";
};
omapi-port 7911;
omapi-key omapi_key;
#Подсеть, в которой DHCP сервер прослушивает запросы
subnet 100.123.0.0 netmask 255.255.255.0 {}
#Конфигурация подсети первичных адресов ТД, в которой они получают 43 опцию с 11,12 подопциями, содержащими адреса терминирования GRE
subnet 192.168.250.0 netmask 255.255.255.0 {
pool {
allow members of "ELTEX-DEVICES";
option routers 192.168.250.1;
range 192.168.250.100 192.168.250.254;
option vendor-encapsulated-options 0b:0e:31:39:32:2e:31:36:38:2e:32:30:30:2e:34:39:0c:0e:31:39:32:2e:31:36:38:2e:32:30:30:2e:35:30;
}
}
#Подсеть адресов управления ТД, выдаваемых в bridge 3 ESR
subnet 198.18.128.0 netmask 255.255.248.0 {
pool {
option routers 198.18.128.1;
range 198.18.128.100 198.18.135.254;
option vendor-encapsulated-options 0A:0B:31:30:30:2e:31:32:33:2e:30:2e:32;
allow members of "ELTEX-DEVICES";
option domain-name-servers 100.123.0.2;
}
}
#Подсеть адресов клиентов ТД, выдаваемых в bridge 10 ESR
subnet 198.18.136.0 netmask 255.255.252.0 {
pool {
option routers 198.18.136.1;
range 198.18.136.10 198.18.139.254;
option domain-name-servers 100.123.0.2;
}
}
|
|
...