Транспортная сеть — это совокупность всех ресурсов, выполняющих функции транспортирования в телекоммуникационных сетях. Она включает не только системы передачи, но и относящиеся к ним средства контроля, оперативного переключения, резервирования, управления.
При организации транспортной сети на оборудовании ELTEX используется следующий функционал (на сервисных маршрутизаторах ESR):
- Firewall
- Агрегирование каналов
- VRRP
Приведем схему и пример настройки:
eyJleHRTcnZJbnRlZ1R5cGUiOiIiLCJnQ2xpZW50SWQiOiIiLCJjcmVhdG9yTmFtZSI6ItCe0YLQtNC10Lsg0JTQvtC60YPQvNC10L3RgtCw0YbQuNC4Iiwib3V0cHV0VHlwZSI6ImJsb2NrIiwibGFzdE1vZGlmaWVyTmFtZSI6ItCe0YLQtNC10Lsg0JTQvtC60YPQvNC10L3RgtCw0YbQuNC4IiwibGFuZ3VhZ2UiOiJydSIsImRpYWdyYW1EaXNwbGF5TmFtZSI6IiIsInNGaWxlSWQiOiIiLCJhdHRJZCI6IjU4NDAzMDQ0NSIsImRpYWdyYW1OYW1lIjoiVHJhbnNwc2V0IiwiYXNwZWN0IjoiIiwibGlua3MiOiJhdXRvIiwiY2VvTmFtZSI6ItCi0YDQsNC90YHQv9C+0YDRgtC90LDRjyDRgdC10YLRjCAo0YHRhdC10LzQsCDQsdC+0LvRjNGI0L7Qs9C+INC+0YTQuNGB0LApIiwidGJzdHlsZSI6InRvcCIsImNhbkNvbW1lbnQiOmZhbHNlLCJkaWFncmFtVXJsIjoiIiwiY3N2RmlsZVVybCI6IiIsImJvcmRlciI6dHJ1ZSwibWF4U2NhbGUiOiIxIiwib3duaW5nUGFnZUlkIjo1ODQwMzA0NDIsImVkaXRhYmxlIjpmYWxzZSwiY2VvSWQiOjU4NDAzMDk3MSwicGFnZUlkIjoiIiwibGJveCI6dHJ1ZSwic2VydmVyQ29uZmlnIjp7ImVtYWlscHJldmlldyI6IjEifSwib2RyaXZlSWQiOiIiLCJyZXZpc2lvbiI6MSwibWFjcm9JZCI6ImRiMGEzOTkwLTVlNWEtNGY5Zi1iYzUzLTFmYTI5MjljYzRkNiIsInByZXZpZXdOYW1lIjoiVHJhbnNwc2V0LnBuZyIsImxpY2Vuc2VTdGF0dXMiOiJPSyIsInNlcnZpY2UiOiIiLCJpc1RlbXBsYXRlIjoiIiwid2lkdGgiOiI0MDAiLCJzaW1wbGVWaWV3ZXIiOmZhbHNlLCJsYXN0TW9kaWZpZWQiOjE3NDA2NDE2MTAwMDAsImV4Y2VlZFBhZ2VXaWR0aCI6ZmFsc2UsIm9DbGllbnRJZCI6IiJ9
Настройка IP-связности с вышестоящими провайдерами
security zone Untrusted
exit
interface gigabitethernet 1/0/1
description "ISP1"
security-zone Untrusted
ip address 203.0.113.2/25
exit
security zone Untrusted
exit
interface gigabitethernet 1/0/1
description "ISP2"
security-zone Untrusted
ip address 203.0.113.130/25
exit
Создаем зону безопасности
Назначаем на интерфейс ранее созданную зону, присваиваем IP-адрес
Для взаимодействия с коммутатором ядра выполним агрегацию каналов. Для этого воспользуемся протоколом LACP, который позволяет объединять несколько физических каналов в один логический. Такое объединение позволяет увеличивать пропускную способность и надежность канала. Далее произведем терминацию MGMT-трафика, которая будет осуществляться на соответствующем саб-интерфейсе агрегированного канала.
interface port-channel 1
exit
interface gigabitethernet 1/0/3
mode switchport
channel-group 1 mode auto
exit
interface gigabitethernet 1/0/4
mode switchport
channel-group 1 mode auto
exit
security zone MGMT
exit
interface port-channel 1.250
description "MGMT"
security-zone MGMT
ip address 10.250.0.1/24
exit
interface port-channel 1
exit
interface gigabitethernet 1/0/3
mode switchport
channel-group 1 mode auto
exit
interface gigabitethernet 1/0/4
mode switchport
channel-group 1 mode auto
exit
security zone MGMT
exit
interface port-channel 1.250
description "MGMT"
security-zone MGMT
ip address 10.250.0.2/24
exit
Создаем логический интерфейс
Добавляем соответствующие интерфейсы в группу агрегации
Терминируем интерфейс для управления маршрутизатором
Настройка коммутаторов уровня ядра
На уровне ядра необходимо настроить прохождение трафика к сервисным маршрутизаторам и коммутаторам уровня агрегации и IP-адрес из сети управления.
vlan database
vlan 250
exit
!
interface vlan 250
name Management
ip address 10.250.0.10 /24
exit
!
vlan database
vlan 250
exit
!
interface vlan 250
name Management
ip address 10.250.0.11 /24
exit
!
Создание необходимых VLAN
Переход в режим конфигурации интерфейса VLAN
Добавление описания
Конфигурация IP-адреса для управления
Настройка каналов в сторону сервисных маршрутизаторов ESR (вверх) и в сторону коммутаторов агрегации (вниз).
interface TenGigabitEthernet1/0/4
channel-group 2 mode auto
exit
!
interface TenGigabitEthernet1/0/5
channel-group 3 mode auto
exit
!
interface TenGigabitEthernet1/0/6
channel-group 4 mode auto
exit
!
interface TenGigabitEthernet1/0/7
channel-group 5 mode auto
exit
!
interface range Port-Channel1-5
switchport mode general
switchport general allowed vlan add 250 tagged
exit
!
interface range Port-Channel2-5
switchport forbidden default-vlan
exit
!
interface TenGigabitEthernet1/0/4
channel-group 2 mode auto
exit
!
interface TenGigabitEthernet1/0/5
channel-group 3 mode auto
exit
!
interface TenGigabitEthernet1/0/6
channel-group 4 mode auto
exit
!
interface TenGigabitEthernet1/0/7
channel-group 5 mode auto
exit
!
interface range Port-Channel1-5
switchport mode general
switchport general allowed vlan add 250 tagged
switchport forbidden default-vlan
exit
!
interface range Port-Channel2-5
switchport forbidden default-vlan
exit
!
Port-Channel 2 будет использован для организации связности с сервисным маршрутизатором ESR1
Port-Channel 3 будет использован для организации связности с сервисным маршрутизатором ESR2
Port-Channel 4 будет использован для организации связности с коммутаторами уровня агрегации
Port-Channel 5 будет использован для организации связности с коммутаторами уровня агрегации
Переход в режим конфигурации нескольких интерфейсов одновременно
Перевод интерфейса в режим general
Указание VLAN id, которые будут проходить через интерфейс
Запрет добавления дефолтной VLAN на интерфейсах, кроме Peer-Link
Для обеспечения резервирования в данной схеме на уровне ядра применяется технология VPC.
interface TenGigabitEthernet1/0/1
ip address 1.1.1.1 255.255.255.252
exit
!
interface TenGigabitEthernet1/0/2
channel-group 1 mode auto
exit
!
interface TenGigabitEthernet1/0/3
channel-group 1 mode auto
exit
!
vpc domain 1
peer detection
peer detection ipaddr 1.1.1.2 1.1.1.1
peer keepalive
peer keepalive timeout 5
role priority 1
peer link port-channel 1
exit
!
vpc
!
vpc group 2
domain 1
vpc-port port-channel 2
exit
!
vpc group 3
domain 1
vpc-port port-channel 3
exit
!
vpc group 4
domain 1
vpc-port port-channel 4
exit
!
vpc group 5
domain 1
vpc-port port-channel 5
exit
!
interface TenGigabitEthernet1/0/1
ip address 1.1.1.2 255.255.255.252
exit
!
interface TenGigabitEthernet1/0/2
channel-group 1 mode auto
exit
!
interface TenGigabitEthernet1/0/3
channel-group 1 mode auto
exit
!
vpc domain 1
peer detection
peer detection ipaddr 1.1.1.2 1.1.1.1
peer keepalive
peer keepalive timeout 5
role priority 2
peer link port-channel 1
exit
!
vpc
!
vpc group 2
domain 1
vpc-port port-channel 2
exit
!
vpc group 3
domain 1
vpc-port port-channel 3
exit
!
vpc group 4
domain 1
vpc-port port-channel 4
exit
!
vpc group 5
domain 1
vpc-port port-channel 5
exit
!
Настройка IP-адреса для Peer-detection
Добавление интерфейса в Port-Channel 1 (будет использован для Peer-Link)
Создание VPC-домена
Включение peer-detection
Указание destination, source IP-адреса для peer-detection protocol
Включение службы keepalive
Указание времени ожидания ответа на запрос целостности peer-link
Установка приоритета устройства. Устройство с меньшим значением будет назначено Primary
Назначение Port-Channel 1 в качестве peer-link
Включение VPC на коммутаторе
Создание VPC-группы
Указание VPC-домена
Указание Port-Channel, в котором будет работать VPC-группа
Настройка коммутаторов уровня агрегации
В качестве технологии резервирования на уровне агрегации в рассматриваемой схеме применяется стекирование.
stack configuration unit-id 1
!
stack configuration links te1-2
!
stack nsf
stack configuration unit-id 2
!
stack configuration links te1-2
!
stack nsf
Конфигурация unit-id внутри стека
Конфигурация стековых линков. Стекирование будет осуществляться через интерфейсы TenGigabitEthernet1 и TenGigabitEthernet2
Включение функционала Non-Stop Forwarding
Настройка управления коммутаторов уровня агрегации. Т. к. коммутаторы на данном уровне работают в стеке, то они являются одним логическим устройством.
vlan database
vlan 250
exit
!
interface vlan 250
name Management
ip address 10.250.0.20 /24
exit
Создание необходимых VLAN
Переход в режим конфигурации интерфейса VLAN
Добавление описания
Конфигурация IP-адреса для управления
Настройка каналов в сторону коммутаторов ядра (вверх) и в сторону коммутаторов доступа (вниз).
interface GigabitEthernet1/0/1
channel-group 1 mode auto
exit
!
interface GigabitEthernet2/0/1
channel-group 1 mode auto
exit
!
interface GigabitEthernet1/0/2
channel-group 2 mode auto
exit
!
interface GigabitEthernet2/0/2
channel-group 2 mode auto
exit
!
interface GigabitEthernet1/0/3
channel-group 3 mode auto
exit
!
interface GigabitEthernet2/0/3
channel-group 3 mode auto
exit
!
interface GigabitEthernet1/0/4
channel-group 4 mode auto
exit
!
interface TenGigabitEthernet2/0/4
channel-group 4 mode auto
exit
!
interface range Port-Channel1-4
switchport mode general
switchport general allowed vlan add 250 tagged
switchport forbidden default-vlan
exit
!
Port-Channel 1 будет использоваться для организации связности с комммутаторами уровня ядра
Port-Channel 2 будет использоваться для организации связности с комммутаторами уровня ядра
Port-Channel 3 будет использоваться для организации связности с комммутаторами уровня доступа
Port-Channel 4 будет использоваться для организации связности с комммутаторами уровня доступа
Настройка коммутаторов уровня доступа
vlan database
vlan 250
exit
!
interface vlan 250
name Management
ip address 10.250.0.30 /24
exit
!
!
end
Создание необходимых VLAN
Переход в режим конфигурации интерфейса VLAN
Добавление описания
Конфигурация IP-адреса для управления
Настройка каналов в сторону коммутаторов агрегации (вверх).
interface TenGigabitEthernet1/0/1
channel-group 1 mode auto
exit
!
interface TenGigabitEthernet1/0/2
channel-group 1 mode auto
exit
!
interface Port-Channel1
switchport mode general
switchport general allowed vlan add 250 tagged
switchport forbidden default-vlan
exit
!
Port-Channel 1 будет использоваться для организации связности с комммутаторами уровня агрегации
Настройка клиентских портов.
interface range GigabitEthernet1/0/1-24
switchport mode general
exit
!
Перевод клиентских портов в режим General
Настройка безопасности транспортной сети на клиентских портах
Loopback Detection
Функционал предназначен для обнаружения петель как на самом устройстве, так и на устройствах, которые подключены к коммутатору.
errdisable recovery cause loopback-detection
!
loopback-detection mode multicast-mac-addr
loopback-detection interval 1
!
loopback-detection enable
!
interface range gigabitethernet1/0/1-24
loopback-detection enable
spanning-tree disable
spanning-tree bpdu filtering
exit
Включение автоматического восстановления интерфейса после административного отключения из-за LBD
Для LBD-кадров использовать MAC-адрес Multicast как MAC-адрес назначения
Установка интервала отправки LBD-кадров (в секундах)
Глобальное включение функционала LBD
Переход в режим конфигурирования группы интерфейсов
Включение функционала LBD на клиентском порту
Отключение функционала spanning tree на клиентском порту
Включение функционала BPDU Filtering на клиентском порту
Storm Control
Функционал предназначен для ограничения скорости BUM (широковещательного (broadcast), многоадресного (multicast) или одноадресного (unknown unicast)) трафика на физическом интерфейсе.
traffic-limiter mode kbps
!
interface range gigabitethernet1/0/1-24
storm-control broadcast kbps 2048 trap
storm-control unicast kbps 2048 trap
storm-control multicast kbps 2048 trap
exit
Указание единиц измерения, которые будет использовать Storm Control. По умолчанию используются kbps, также возможно использовать pps
Переход в режим конфигурации группы интерфейсов
Конфигурация уровня трафика. При превышении указанной величины в журнал событий вносится соответствующая запись
Port Isolation
Функционал необходим для изоляции портов (запрета прохождения трафика) в одном широковещательном домене.
interface range gigabitethernet1/0/1-24
switchport protected-port
exit
Перевод порта в режим изоляции
