Общие сведения

Для обеспечения отказоустойчивости предполагается выполнение резервирования по схеме 1+1 (Active-Standby) с использованием протокола VRRP. Общая схема приведена на рис. 1 ниже:

Рис. 1.

Как видно из приведенной на рис. 1 схемы, используются два ESR, один из которых выступает в качестве основного - ESR VRRP MASTER и выполняет обработку трафика пользователей WiFi, а второй в качестве резервного - ESR VRRP BACKUP, который в случае выхода из строя ESR VRRP MASTER захватит VRRP мастерство и начнет обрабатывать трафик. Каждый ESR подключен к отдельному коммутатору (MES 1 и MES 2 соответственно), что бы исключить коммутатор как единую точку отказа. Резервирование комплекса SoftWLC рассматривается в статье v1.18_Резервирование SoftWLC.

Настройка ESR

В настоящем документе рассматривается настройка резервирования с использованием VRRP и её особенности. Подробно настройка BRAS L2 рассмотрена в статье BRAS. L2 WiFi - руководство по настройке и быстрому запуску.

В приведенном далее примере будет использоваться следующая адресация:

Назначение	VLAN	ESR VRRP MASTER IP address	VRRP IP address	ESR VRRP BACKUP IP address
Подсеть управления, доступ к SoftWLC	2300	100.123.0.174/24	100.123.0.175/32	100.123.0.176/24
Доступ в сеть Интернет	3500	172.31.240.2/29	172.31.240.4/32	172.31.240.3/29
Подсеть клиентов ТД		192.168.132.2/22	192.168.132.1/32	192.168.132.3/22
SSID 1	2336
SSID 2	2337

Таблица 1.

Адрес SotfWLC 100.123.0.2. Шлюз по умолчанию для ESR 172.31.240.1. Схема включения приведена ниже на рис. 2:

Рис. 2.

Как видно из адресации в таблице 1 и схемы на рис. 2, в конфигурации будет использовано три VRRP-инстанса - для интерфейса gi1/0/1.3500, который используется для выхода в сеть Интернет, для bridge 10, который используется для в качестве шлюза по умолчанию и терминации подсети пользователей WiFi. Если используется несколько интерфейсов для терминации подсетей пользователей WiFi - соответсвующий инстанс VRRP должен быть настроен и для них. Так же необходим инстанс VRRP на интерфейсе gi1/0/1.2300, используемый для взаимодействия с комплексом SoftWLC - он будет использоваться в качестве шлюза со стороны комплекса SoftWLC для подсетей пользователей WiFi, что необходимо для корректной работы DHCP -сервера.

Существуют следующие требования к настройке VRRP:
все инстансы VRRP должны быть включены в одну группу, в настоящем примере это будет "vrrp group 1".
все инстансы VRRP каждого роутера должны иметь одинаковый приоритет - в настоящем примере для ESR VRRP MASTER - 200, для ESR VRRP BACKUP 110.
в текущем примере используется настройка vrrp preempt disable, которая запрещает перехват мастерства более высокоприоритетным инстансом VRRP, в случае, если более низкоприоритеный инстанс уже находится в состоянии "master" - она должна быть настроена одинаково на всех роутерах (можно отказаться от использования этой настройки, но это приведет к тому, что роутер с более высоким приоритетом VRRP всегда будет захватывать мастерство, что может привести к нежелательным переключениям мастерства).

Более подробное описание настроек VRRP можно посмотреть: Управление резервированием.

Настраиваем bridge 10:

ESR VRRP MASTER - bridge 10

bridge 10
  vlan 100
  unknown-unicast-forwarding disable
  security-zone trusted
  ip address 192.168.132.2/22
  ip helper-address 100.123.0.2
  vrrp id 10
  vrrp ip 192.168.132.1/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
  protected-ports local
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit

ESR VRRP BACKUP - bridge 10

bridge 10
  vlan 100
  unknown-unicast-forwarding disable
  security-zone trusted
  ip address 192.168.132.3/22
  ip helper-address 100.123.0.2
  vrrp id 10
  vrrp ip 192.168.132.1/32
  vrrp priority 110
  vrrp group 1
  vrrp preempt disable
  vrrp
  protected-ports local
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit

Обратим внимание на следующие настройки:

vlan 100 - для корректной работы протокола требуется L2 связность между соответствующими интерфейсами роутеров, для bridge 10 будет использоваться vlan 100.
к настройке protected-ports local добавиться настройка protected-ports exclude vlan, которая исключает vlan бриджа из изоляции для возможности рассылки VRRP анонсов.
ports vrrp filtering enable - данная настройка запрещает рассылку VRRP анонсов в интерфейсы бриджа, т.к. клиентам они не нужны.
ports vrrp filtering exclude vlan - данная настройка исключает vlan бриджа из запрещенных к рассылке VRRP анонсов, т.к. соседний роутер должен их получать.

Настраиваем интерфейс gi1/0/1, он будет настроен одинаково на обоих роутерах:

ESR VRRP MASTER/BACKUP - gi1/0/1

interface gigabitethernet 1/0/1
  mode hybrid
  switchport forbidden default-vlan
  switchport general acceptable-frame-type tagged-only
  switchport general allowed vlan add 100 tagged
exit

Важно!

Настройка "mode hybrid" может быть задана только на "старших" моделях ESR - 1000/1200/1500/1700. Она позволяет использовать порт как в режиме коммутатора, так и в режиме роутера. На младших моделях ESR - 10/20/100/200 возможно только два режима работы "mode switchport" и "mode routerport" (по умолчанию). В этом случае потребуется либо перенести все настройки ip на бриджи, в случае использования режима "mode switchport", либо отказаться от использования бриджей и все настройки ip выполнить на саб-интерфейсах - в этом случае будет использоваться режим "mode routerport".

Настроим саб-интерфейсы:

ESR VRRP MASTER - саб-интерфейсы

interface gigabitethernet 1/0/1.3500
  description "UpLink"
  security-zone untrusted
  ip address 172.31.240.2/29
  vrrp id 35
  vrrp ip 172.31.240.4/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
exit
interface gigabitethernet 1/0/1.2300
  description "mgmt"
  security-zone trusted
  ip firewall disable
  ip address 100.123.0.174/24
  vrrp id 23
  vrrp ip 100.123.0.175/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
exit

ESR VRRP BACKUP - саб-интерфейсы

interface gigabitethernet 1/0/1.3500
  description "UpLink"
  security-zone untrusted
  ip address 172.31.240.3/29
  vrrp id 35
  vrrp ip 172.31.240.4/32
  vrrp priority 110
  vrrp group 1
  vrrp preempt disable
  vrrp
exit
interface gigabitethernet 1/0/1.2300
  description "mgmt"
  security-zone trusted
  ip firewall disable
  ip address 100.123.0.176/24
  vrrp id 23
  vrrp ip 100.123.0.175/32
  vrrp priority 110
  vrrp group 1
  vrrp preempt disable
  vrrp
exit

При настройке взаимодействия с радиус надо учитывать, что в качестве адреса источника необходимо указывать реальный адрес интерфейса, через который осуществляется взаимодействие:

ESR VRRP MASTER - радиус-сервер

object-group network SoftWLC
  ip address-range 100.123.0.2
exit

radius-server timeout 2
radius-server host 100.123.0.2
  key ascii-text testing123 
  source-address 100.123.0.174
  auth-port 31812
  acct-port 31813
  retransmit 3
  dead-interval 10
exit
aaa radius-profile PCRF
  radius-server host 100.123.0.2
exit
das-server COA
  key ascii-text testing123
  port 3799
  clients object-group SoftWLC
exit
aaa das-profile COA
  das-server COA
exit

ESR VRRP BACKUP - радиус-сервер

object-group network SoftWLC
  ip address-range 100.123.0.2
exit

radius-server timeout 2
radius-server host 100.123.0.2
  key ascii-text testing123 
  source-address 100.123.0.176
  auth-port 31812
  acct-port 31813
  retransmit 3
  dead-interval 10
exit
aaa radius-profile PCRF
  radius-server host 100.123.0.2
exit
das-server COA
  key ascii-text testing123
  port 3799
  clients object-group SoftWLC
exit
aaa das-profile COA
  das-server COA
exit

Если используется резервирование SoftWLC и сервис Eltex-PCRF работает кластере - необходимо в конфигурации ESR настроить взаимодействие для каждого сервиса по его реальному адресу и указать оба инстанса в настройке aaa radius-profile! Использовать VRRP адрес для взаимодействие нельзя!

Пример

radius-server host 100.123.0.2
  key ascii-text testing123 
  source-address 100.123.0.174
  auth-port 31812
  acct-port 31813
  retransmit 3
  dead-interval 10
exit
radius-server host 100.123.0.3
  key ascii-text testing123 
  source-address 100.123.0.174
  auth-port 31812
  acct-port 31813
  retransmit 3
  dead-interval 10
exit
aaa radius-profile PCRF
  radius-server host 100.123.0.2
  radius-server host 100.123.0.3
exit

Настройка BRAS - укажем диапазон возможных адресов пользователей исключив из него адреса обоих роутеров и VRRP адрес (настройка одинакова для обоих роутеров):

ESR VRRP MASTER/SLAVE - object group

object-group network bras_users
  ip address-range 192.168.132.4-192.168.135.254
exit

Так же требуется указать принадлежность инстанса BRAS к vrrp group 1 - если это не сделать - BRAS будет блокировать трафик клиентов. На каждом из роутеров будет использоваться свой nas-ip:

ESR VRRP MASTER - subscriber-control

subscriber-control filters-server-url http://100.123.0.2:7070/filters/file
subscriber-control
  aaa das-profile COA
  aaa sessions-radius-profile PCRF
  aaa services-radius-profile PCRF
  nas-ip-address 100.123.0.174
  session mac-authentication
  bypass-traffic-acl unauthUSER
  vrrp-group 1
  default-service
    class-map unauthUSER
    filter-name remote gosuslugi
    filter-action permit
    default-action redirect http://100.123.0.2:8080/eltex_portal/
  exit
  enable
exit

ESR VRRP BACKUP - subscriber-control

subscriber-control filters-server-url http://100.123.0.2:7070/filters/file
subscriber-control
  aaa das-profile COA
  aaa sessions-radius-profile PCRF
  aaa services-radius-profile PCRF
  nas-ip-address 100.123.0.176
  session mac-authentication
  bypass-traffic-acl unauthUSER
  vrrp-group 1
  default-service
    class-map unauthUSER
    filter-name remote gosuslugi
    filter-action permit
    default-action redirect http://100.123.0.2:8080/eltex_portal/
  exit
  enable
exit

В настройках firewall потребуется разрешить прохождение трафика VRRP для соответствующих зон интерфейсов в направлении self:

Пример настройки правила firewall

  rule 1
    action permit
    match protocol vrrp
  exit

Итоговая конфигурация роутеров будет выглядеть так:

ESR VRRP MASTER

hostname master

object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit
object-group service dns
  port-range 53
exit
object-group service redirect
  port-range 3128-3131
exit

object-group network users
  ip prefix 192.168.132.0/22
exit
object-group network SoftWLC
  ip address-range 100.123.0.2
exit
object-group network bras_users
  ip address-range 192.168.132.4-192.168.135.254
exit

radius-server timeout 2
radius-server host 100.123.0.2
  key ascii-text testing123 
  source-address 100.123.0.174
  auth-port 31812
  acct-port 31813
  retransmit 3
  dead-interval 10
exit
aaa radius-profile PCRF
  radius-server host 100.123.0.2
exit
das-server COA
  key ascii-text testing123
  port 3799
  clients object-group SoftWLC
exit
aaa das-profile COA
  das-server COA
exit

vlan 100
exit

security zone trusted
exit
security zone untrusted
exit
security zone users
exit

ip access-list extended WELCOME
  rule 1
    action permit
    match protocol tcp
    match destination-port 443
    enable
  exit
  rule 2
    action permit
    match protocol tcp
    match destination-port 8443
    enable
  exit
  rule 3
    action permit
    match protocol tcp
    match destination-port 80
    enable
  exit
  rule 4
    action permit
    match protocol tcp
    match destination-port 8080
    enable
  exit
exit

ip access-list extended INTERNET
  rule 1
    action permit
    enable
  exit
exit

ip access-list extended unauthUSER
  rule 1
    action permit
    match protocol udp
    match source-port 68
    match destination-port 67
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match destination-port 53
    enable
  exit
exit

subscriber-control filters-server-url http://100.123.0.2:7070/filters/file
subscriber-control
  aaa das-profile COA
  aaa sessions-radius-profile PCRF
  aaa services-radius-profile PCRF
  nas-ip-address 100.123.0.174
  session mac-authentication
  bypass-traffic-acl unauthUSER
  vrrp-group 1
  default-service
    class-map unauthUSER
    filter-name remote gosuslugi
    filter-action permit
    default-action redirect http://100.123.0.2:8080/eltex_portal/
  exit
  enable
exit

snmp-server
snmp-server system-shutdown
snmp-server community "private1" rw
snmp-server community "public11" ro

snmp-server host 100.123.0.2
  source-address 100.123.0.174
exit

bridge 10
  vlan 100
  unknown-unicast-forwarding disable
  security-zone trusted
  ip address 192.168.132.2/22
  ip helper-address 100.123.0.2
  vrrp id 10
  vrrp ip 192.168.132.1/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
  service-subscriber-control object-group bras_users
  location data10
  protected-ports local
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit

interface gigabitethernet 1/0/1
  mode hybrid
  switchport forbidden default-vlan
  switchport general acceptable-frame-type tagged-only
  switchport general allowed vlan add 100 tagged
exit
interface gigabitethernet 1/0/1.3500
  description "UpLink"
  security-zone untrusted
  ip address 172.31.240.2/29
  vrrp id 35
  vrrp ip 172.31.240.4/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
exit
interface gigabitethernet 1/0/1.2300
  description "mgmt"
  security-zone trusted
  ip firewall disable
  ip address 100.123.0.174/24
  vrrp id 23
  vrrp ip 100.123.0.175/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
exit
interface gigabitethernet 1/0/1.2336
  bridge-group 10
exit
interface gigabitethernet 1/0/1.2337
  bridge-group 10
exit
security zone-pair users untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted self
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted users
  rule 1
    action permit
    enable
  exit
exit
security zone-pair users self
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 2
    action permit
    match protocol tcp
    match destination-port redirect
    enable
  exit
  rule 3
    action permit
    match protocol vrrp
  exit
exit
security zone-pair users trusted
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match destination-port dns
    enable
  exit
exit
security zone-pair untrusted self
  rule 1
    action permit
    match protocol vrrp
  exit
exit

nat source
  pool nat_addr
    ip address-range 172.31.240.2
  exit
  ruleset nat_source
    to zone untrusted
    rule 1
      match source-address users
      action source-nat pool nat_addr
      enable
    exit
  exit
exit

ip dhcp-relay

ip route 0.0.0.0/0 172.31.240.1

ip telnet server
ip ssh server

clock timezone gmt +7

ntp enable
ntp server 100.123.0.2
exit

ESR VRRP BACKUP

hostname backup

object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit
object-group service dns
  port-range 53
exit
object-group service redirect
  port-range 3128-3131
exit

object-group network users
  ip prefix 192.168.132.0/22
exit
object-group network SoftWLC
  ip address-range 100.123.0.2
exit
object-group network bras_users
  ip address-range 192.168.132.4-192.168.135.254
exit

radius-server timeout 2
radius-server host 100.123.0.2
  key ascii-text testing123 
  source-address 100.123.0.176
  auth-port 31812
  acct-port 31813
  retransmit 3
  dead-interval 10
exit
aaa radius-profile PCRF
  radius-server host 100.123.0.2
exit
das-server COA
  key ascii-text testing123
  port 3799
  clients object-group SoftWLC
exit
aaa das-profile COA
  das-server COA
exit

vlan 100
exit

security zone trusted
exit
security zone untrusted
exit
security zone users
exit

ip access-list extended WELCOME
  rule 1
    action permit
    match protocol tcp
    match destination-port 443
    enable
  exit
  rule 2
    action permit
    match protocol tcp
    match destination-port 8443
    enable
  exit
  rule 3
    action permit
    match protocol tcp
    match destination-port 80
    enable
  exit
  rule 4
    action permit
    match protocol tcp
    match destination-port 8080
    enable
  exit
exit

ip access-list extended INTERNET
  rule 1
    action permit
    enable
  exit
exit

ip access-list extended unauthUSER
  rule 1
    action permit
    match protocol udp
    match source-port 68
    match destination-port 67
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match destination-port 53
    enable
  exit
exit

subscriber-control filters-server-url http://100.123.0.2:7070/filters/file
subscriber-control
  aaa das-profile COA
  aaa sessions-radius-profile PCRF
  aaa services-radius-profile PCRF
  nas-ip-address 100.123.0.176
  session mac-authentication
  bypass-traffic-acl unauthUSER
  vrrp-group 1
  default-service
    class-map unauthUSER
    filter-name remote gosuslugi
    filter-action permit
    default-action redirect http://100.123.0.2:8080/eltex_portal/
  exit
  enable
exit

snmp-server
snmp-server system-shutdown
snmp-server community "private1" rw
snmp-server community "public11" ro

snmp-server host 100.123.0.2
  source-address 100.123.0.176
exit

bridge 10
  vlan 100
  unknown-unicast-forwarding disable
  security-zone trusted
  ip address 192.168.132.3/22
  ip helper-address 100.123.0.2
  vrrp id 10
  vrrp ip 192.168.132.1/32
  vrrp priority 110
  vrrp group 1
  vrrp preempt disable
  vrrp
  service-subscriber-control object-group bras_users
  location data10
  protected-ports local
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit

interface gigabitethernet 1/0/1
  mode hybrid
  switchport forbidden default-vlan
  switchport general acceptable-frame-type tagged-only
  switchport general allowed vlan add 100 tagged
exit
interface gigabitethernet 1/0/1.3500
  description "UpLink"
  security-zone untrusted
  ip address 172.31.240.3/29
  vrrp id 35
  vrrp ip 172.31.240.4/32
  vrrp priority 110
  vrrp group 1
  vrrp preempt disable
  vrrp
exit
interface gigabitethernet 1/0/1.2300
  description "mgmt"
  security-zone trusted
  ip firewall disable
  ip address 100.123.0.176/24
  vrrp id 23
  vrrp ip 100.123.0.175/32
  vrrp priority 110
  vrrp group 1
  vrrp preempt disable
  vrrp
exit
interface gigabitethernet 1/0/1.2336
  bridge-group 10
exit
interface gigabitethernet 1/0/1.2337
  bridge-group 10
exit
security zone-pair users untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted self
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted users
  rule 1
    action permit
    enable
  exit
exit
security zone-pair users self
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 2
    action permit
    match protocol tcp
    match destination-port redirect
    enable
  exit
  rule 3
    action permit
    match protocol vrrp
  exit
exit
security zone-pair users trusted
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match destination-port dns
    enable
  exit
exit
security zone-pair untrusted self
  rule 1
    action permit
    match protocol vrrp
  exit
exit

nat source
  pool nat_addr
    ip address-range 172.31.240.3
  exit
  ruleset nat_source
    to zone untrusted
    rule 1
      match source-address users
      action source-nat pool nat_addr
      enable
    exit
  exit
exit

ip dhcp-relay

ip route 0.0.0.0/0 172.31.240.1

ip telnet server
ip ssh server

clock timezone gmt +7

ntp enable
ntp server 100.123.0.2
exit

Особенности настройки взаимодействия с SoftWLC

Подробно настройка взаимодействия SoftWLC рассмотрена в документе BRAS. L2 WiFi - руководство по настройке и быстрому запуску, поэтому далее будут отражены особенности настройки взаимодействия с двумя ESR:

В EMS должны быть добавлены оба роутера, каждый со своим адресом управления.

При выполнении настроек подсети L2 в Личном кабинете необходимо настроить каждую подсеть дважды - для каждого роутера. Различия в настройках будут заключаться только в названии и NAS, как изображено на рис. 3:

Рис. 3.

Дерево страниц

BRAS. L2 WiFi - резервирование ESR

Общие сведения

Настройка ESR

Особенности настройки взаимодействия с SoftWLC