Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Общие сведения

Пример реализации отказоустойчивой схемы включения ESR, работающих в режиме wireless-controller, изображен на рис. 1:

Рис. 1.

Как видно из приведенной на рис. 1 схеме:

  • резервирование ESR осуществляется с помощью протокола VRRP, по схеме "Active-Standby";
  • для исключения коммутатора, к которому подключен ESR как единой точки отказа, используется включение в стек коммутаторов с использованием агрегирования каналов. Физические линки ESR, использующиеся в агрегированном канале включается в разные коммутаторы стека.

Обработку трафика выполняет ESR VRRP MASTER. В случае его отказа VRRP мастерство захватывает ESR VRRP BACKUP. Резервирование роутера "последней мили" (роутер NAT на рис. 1) в данной статье не рассматривается. Оно может быть выполнено так же с помощью VRRP или путем использования иной схемы включения (с данной схемой можно ознакомится в статье Настройка ESR в режиме wireless-controller с резервированием роутера "последней мили").

При использовании агрегации каналов на ESR нельзя использовать саб-интерфейсы на интерфейсе типа "port-channel".

Схема включения

Схема включения будет рассмотрена на примере реальной адресации, приведенной в таблице 1.


НазначениеBridgeVLANПодсеть

ESR VRRP MASTER

IP address

VRRP IP

ESR VRRP BACKUP

IP address

Адреса терминации GREbridge 12308192.168.200.16/28192.168.200.19/28

192.168.200.17/32

192.168.200.18/32

192.168.200.20/28
Подсеть адресов управления ТД (вторичных адресов)bridge 3310.255.252.0/2310.255.252.2/2310.255.252.1/3210.255.252.3/23
Подсеть для взаимодействия с комплексом SoftWLCbridge 42300100.123.0.0/24100.123.0.173/24100.123.0.174/32100.123.0.175/24
Выход в сеть Интернетbridge 52301172.16.0.0/28172.16.0.2/28172.16.0.4/32172.16.03/28
Подсеть клиентов SSID1 ТДbridge 1010198.18.148.0/22198.18.148.2/22198.18.148.1/32198.18.148.3/22
Подсеть клиентов SSID2 ТДbridge 1111198.18.152.0/22198.18.152.2/22198.18.152.1/32198.18.152.3/22
Подсеть первичных адресов ТД--100192.168.240.0/23------

Таблица 1.

Схема сети приведена ниже на рис. 2:

Рис. 2.

Ниже, на рис. 3, приведена схема архитектуры конфигурации ESR:

Рис. 3.

  1. Выход в сеть Интернет осуществляется в vlan 2301, используя для маршрута по умолчанию шлюз 172.16.0.1 (Роутер-NAT). Выпуск пользователей осуществляется путем маршрутизации на маршрутизатор router-NAT, который выполняет NAT трансляцию адресов пользователей в сеть Интернет.
  2. Сеть управления ESR находится в vlan 2300, подсеть 100.123.0.0/24, которая так же используется для взаимодействия с комплексом SoftWLC (ip-адрес 100.123.0.2).
  3. ТД получают первичный IP адрес  из сети 192.168.240.0/23  через DHCP-relay коммутатора/маршрутизатора с DHCP-сервера установленного на сервере с SoftWLC. В опции 43 подопции 11 и 12, передаются 2 адреса для поднятия GRE туннелей: 192.168.200.17 и 192.168.200.18 (см. описание опций v1.19_Как сконфигурировать 43 опцию и другие особенности настройки DHCP). В этом случае весь трафик от ТД будет нетегированным. ТД поднимают 2 EoGRE туннеля с первичного адреса, полученного по DHCP на адреса  полученные в 11 и 12 подопциях:
        - в Management GRE туннеле на адрес 192.168.200.17 с vlan id = 1, передается трафик управления ТД.
        - в Data GRE туннеле на адрес 192.168.200.18 с vlan id = N, идет передача трафика пользователей, подключенных ТД, на которой настроена SSID (в приведенном примере vlan 10 и 11).
  4. Через Management GRE туннель (vlan id 1) от АР приходят DHCP запросы, которые при помощи DHCP-relay на ESR, перенаправляются на SoftWLC. DHCP сервер, настроенный на SoftWLC, выдает для ТД IP адрес управления из сети 10.255.252.0/23, шлюзом будет выступать VRRP адрес 10.255.252.1  3 ESR. В опции 43.10 передается адрес SoftWLC сервера: 100.123.0.2, (см. описание опций v1.19_Как сконфигурировать 43 опцию и другие особенности настройки DHCP). По этому же адресу будет производить обмен служебной информацией между ТД и SoftWLC.
  5. На ТД с помощью комплекса SoftWLC настраиваются SSID 1 и SSID 2, которые будет тегировать трафик пользователя 10 и 11 тегом vlan соответственно. Весь трафик пользователей будет передаваться c vlan 10 и 11 внутри Data GRE туннеля на ESR. DHCP запросы клиента, при помощи DHCP-relay ESR будет перенаправляться на SoftWLC. Пользователи получают адреса из сети bridge 10 ESR 198.18.148.0/22, адрес шлюза 198.18.148.1. Пользователи bridge 11 ESR получают адреса из сети 198.18.152.0/22, адрес шлюза 198.18.152.1.

Как видно из адресации в таблице 1 и схемы на рис. 3, в конфигурации будет использовано шесть VRRP-инстансов - для всех интерфейсов. Это необходимо, что бы с т.з. маршрутизации оба ESR выглядели как одно устройство (EMS и PCRF будут взаимодействовать с обоими ESR используя их реальные адреса).

Существуют следующие требования к настройке VRRP:

  • Все инстансы VRRP должны быть включены в одну группу, в настоящем примере это будет "vrrp group 1". Это приведет к тому, что все инстансы одной группы всегда будут находится в одинаковом состоянии - VRRP MASTER или BACKUP и не допустит неконсистентного состояния VRRP, когда на одном ESR будут различные состояние VRRP на разных интерфейсах.
  • Все инстансы VRRP каждого роутера должны иметь одинаковый приоритет - в настоящем примере для ESR VRRP MASTER - 200, для ESR VRRP BACKUP 100.
  • В текущем примере используется настройка "vrrp preempt disable", которая запрещает перехват мастерства более высокоприоритетным инстансом VRRP, в случае, если более низкоприоритеный инстанс уже находится в состоянии "master" - она должна быть настроена одинаково на всех роутерах (можно отказаться от использования этой настройки, но это приведет к тому, что роутер с более высоким приоритетом VRRP всегда будет захватывать мастерство, что может привести к нежелательным переключениям мастерства).

Для включения функционала VRRP на каждом Bridge ESR надо будет настроить:

bridge <№>
  vrrp id <значение приоритета>
  vrrp ip <IP-адрес VRRP>
  vrrp priority <приоритет>
  vrrp group <№ группы>
  vrrp preempt disable
  vrrp
exit

Также на интерфейсах подсети адресов управления ТД и подсетей пользователей WiFi необходимо включить:

bridge <№>
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
exit

Настройка "ports vrrp filtering enable" запретит рассылку VRRP-анонсов в туннели пользователей, а настройка "ports vrrp filtering exclude vlan" разрешит рассылку VRRP-анонсов в vlan Bridge для корректной работы VRRP.

Важно!

В случае, если не используется настройка "vrrp preempt disable" необходимо в конфигурациях VRRP на интерфейсах задать "vrrp preempt delay <время в секундах>" не менее 180 секунд. Это исключит немедленный захват мастерства роутером, имеющим более высокий приоритет после загрузки. В случае, если это не сделать, роутер, захвативший VRRP мастерство после загрузки не успеет синхронизировать состояние тунелей ТД и они будут подниматься заново, по мере срабатывания на ТД механизма gre keepalive.

Более подробное описание параметров настроек VRRP можно посмотреть: Управление резервированием.

Настройка ESR

Настройка ESR будет рассматриваться на примере на основе схемы, приведенной на рис. 3. В конфигурации wireless-controller будет использоваться динамический профиль конфигурирования туннелей SoftGRE. Не забываем,  что для доступа к функционала wirless-controller требуется лицензия (подробнее можно прочитать в статье Настройка ESR при подключении ТД через L3 сеть доступа (схема WiFi L3)).

Конфигурируем необходимые первоначальные настройки, они будут одинаковы для обоих ESR:

 ESR VRRP MASTER/BACKUP
object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit
object-group network MGMT
  ip prefix 192.168.200.16/28
  ip prefix 10.255.252.0/23
exit
object-group network SoftWLC
  ip address-range 100.123.0.2
exit

no spanning-tree

security zone trusted
exit
security zone untrusted
exit
security zone gre
exit
security zone user
exit

vlan 3,10,11,2300-2301,2308
exit

ip dhcp-relay

ip telnet server
ip ssh server

Настраиваем интерфейс port-channel, назначаем ему необходимые vlan и включаем в него физический интерфейсы, данная конфигурация так же будет одинакова на обоих ESR:

 ESR VRRP MASTER/BACKUP
interface port-channel 1
  mode switchport
  switchport forbidden default-vlan
  switchport general acceptable-frame-type tagged-only
  switchport general allowed vlan add 3,10-11,2300-2301,2308 tagged
exit
interface gigabitethernet 1/0/1
  mode switchport
  channel-group 1 mode auto
exit
interface gigabitethernet 1/0/2
  mode switchport
  channel-group 1 mode auto
exit

Важно!

Если в конфигурации port-channel используются tengigabitethernet интерфейсы - необходимо явно указать скорость на интерфейсе port-channel:

 Пример
interface port-channel 1
  mode switchport
  speed 10G
exit
interface tengigabitethernet 1/0/1
  mode switchport
  channel-group 1 mode auto
exit
interface tengigabitethernet 1/0/2
  mode switchport
  channel-group 1 mode auto
exit

Скорость "speed 1000M" является значением по умолчанию и в конфигурации не отображается.


Далее настроим интерфейсы типа Bridge для терминации  vlan и работы VRRP:

 ESR VRRP MASTER
bridge 1
  vlan 2308
  security-zone gre
  ip address 192.168.200.19/28
  vrrp id 1
  vrrp ip 192.168.200.17/32
  vrrp ip 192.168.200.18/32 secondary
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
  enable
exit
bridge 3
  vlan 3
  unknown-unicast-forwarding disable
  security-zone trusted
  ip address 10.255.252.2/23
  ip helper-address 100.123.0.2
  vrrp id 3
  vrrp ip 10.255.252.1/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  protected-ports local
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit
bridge 4
  vlan 2300
  security-zone trusted
  ip address 100.123.0.173/24
  vrrp id 23
  vrrp ip 100.123.0.175/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  enable
exit
bridge 5
  vlan 2301
  security-zone untrusted
  ip address 172.16.0.2/28
  vrrp id 5
  vrrp ip 172.16.0.4/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400  
  enable
exit
bridge 10
  vlan 10
  unknown-unicast-forwarding disable
  security-zone user
  ip firewall disable
  ip address 198.18.148.2/22
  vrrp id 10
  vrrp ip 198.18.148.1/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  location data10
  protected-ports radius
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit
bridge 11
  vlan 11
  unknown-unicast-forwarding disable
  security-zone user
  ip firewall disable
  ip address 198.18.152.2/22
  ip helper-address 100.123.0.2
  vrrp id 11
  vrrp ip 198.18.152.1/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  location data11
  protected-ports radius
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit
 ESR VRRP BACKUP
bridge 1
  vlan 2308
  security-zone gre
  ip address 192.168.200.20/28
  vrrp id 1
  vrrp ip 192.168.200.17/32
  vrrp ip 192.168.200.18/32 secondary
  vrrp priority 100
  vrrp group 1
  vrrp preempt disable
  vrrp
  enable
exit
bridge 3
  vlan 3
  unknown-unicast-forwarding disable
  security-zone trusted
  ip address 10.255.252.3/23
  ip helper-address 100.123.0.2
  vrrp id 3
  vrrp ip 10.255.252.1/32
  vrrp priority 100
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  protected-ports local
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit
bridge 4
  vlan 2300
  security-zone trusted
  ip address 100.123.0.175/24
  vrrp id 23
  vrrp ip 100.123.0.174/32
  vrrp priority 100
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  enable
exit
bridge 5
  vlan 2301
  security-zone untrusted
  ip address 172.16.0.3/28
  vrrp id 5
  vrrp ip 172.16.0.4/32
  vrrp priority 100
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400  
  enable
exit
bridge 10
  vlan 10
  unknown-unicast-forwarding disable
  security-zone user
  ip firewall disable
  ip address 198.18.148.3/22
  vrrp id 10
  vrrp ip 198.18.148.1/32
  vrrp priority 100
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  location data10
  protected-ports radius
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit
bridge 11
  vlan 11
  unknown-unicast-forwarding disable
  security-zone user
  ip firewall disable
  ip address 198.18.152.3/22
  ip helper-address 100.123.0.2
  vrrp id 11
  vrrp ip 198.18.152.1/32
  vrrp priority 100
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  location data11
  protected-ports radius
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit

Как видно из конфигурации выше настройки различаются только в части IP-адресов и значения приоритета VRRP.

Настроим роутинг - указываем маршрут по умолчанию и маршрут до подсети первичных адресов ТД:

 ESR VRRP MASTER/BACKUP
ip route 0.0.0.0/0 172.16.0.1
ip route 192.168.240.0/23 192.168.200.21

Настраиваем взаимодействие с радиус-сервером:

 ESR VRRP MASTER
radius-server host 100.123.0.2
  key ascii-text testing123
  timeout 2
  source-address 100.123.0.173
  auth-port 31812
  acct-port 31813
  retransmit 3
  dead-interval 10
exit
aaa radius-profile PCRF
  radius-server host 100.123.0.2
exit
das-server COA
  key ascii-text testing123
  port 3799
  clients object-group SoftWLC
exit
aaa das-profile COA
  das-server COA
exit
 ESR VRRP BACKUP
radius-server host 100.123.0.2
  key ascii-text testing123
  timeout 2
  source-address 100.123.0.175
  auth-port 31812
  acct-port 31813
  retransmit 3
  dead-interval 10
exit
aaa radius-profile PCRF
  radius-server host 100.123.0.2
exit
das-server COA
  key ascii-text testing123
  port 3799
  clients object-group SoftWLC
exit
aaa das-profile COA
  das-server COA
exit

Настраиваем функционал wireless-controller:

 ESR VRRP MASTER
tunnel softgre 1
  description "mgmt"
  mode management
  local address 192.168.200.17
  default-profile
  enable
exit
tunnel softgre 1.1
  bridge-group 3
  enable
exit
tunnel softgre 2
  description "data"
  mode data
  local address 192.168.200.18
  default-profile
  enable
exit

wireless-controller
  peer-address 100.123.0.175
  nas-ip-address 100.123.0.173
  vrrp-group 1
  data-tunnel configuration radius
  aaa das-profile COA
  aaa radius-profile PCRF
  enable
exit
 ESR VRRP BACKUP
tunnel softgre 1
  description "mgmt"
  mode management
  local address 192.168.200.17
  default-profile
  enable
exit
tunnel softgre 1.1
  bridge-group 3
  enable
exit
tunnel softgre 2
  description "data"
  mode data
  local address 192.168.200.18
  default-profile
  enable
exit

wireless-controller
  peer-address 100.123.0.173
  nas-ip-address 100.123.0.175
  vrrp-group 1
  data-tunnel configuration radius
  aaa das-profile COA
  aaa radius-profile PCRF
  enable
exit

Обратим внимание в настройках wireless-controller на параметр "vrrp-group 1". Таким образом роутер находящийся в состоянии VRRP master будет передавать информацию о поднятых туннелях для ТД соседу, указанному в настройке "peer-address", а роутер находящийся в состоянии VRRP backup будет формировать туннели для ТД использую полученную информацию.

Настроим файрвол:

 ESR VRRP MASTER/BACKUP
security zone-pair gre self
  rule 1
    action permit
    match protocol gre
    enable
  exit
  rule 2
    action permit
    match protocol icmp
    enable
  exit
  rule 3
    action permit
    match protocol vrrp
    enable
  exit
exit

security zone-pair trusted self
  rule 1
    action permit
    match source-address MGMT
    enable
  exit
  rule 2
    action permit
    match protocol vrrp
    enable
  exit
exit

security zone-pair trusted trusted 
  rule 1
    action permit
    match source-address MGMT
    enable
  exit
exit

security zone-pair trusted user
  rule 1
    action permit
    enable
  exit
exit

security zone-pair trusted gre
  rule 1
    action permit
    enable
  exit
exit

security zone-pair user self
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 2
    action permit
    match protocol vrrp
    enable
  exit
exit

security zone-pair user trusted
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
exit

security zone-pair user untrusted
  rule 1
    action permit
    enable
  exit
exit

security zone-pair untrusted self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
exit

Обратим внимание, что для всех зон безопасности в направлении self разрешается прохождение VRRP трафика.

Полная конфигурация ESR будет выглядеть так:

 ESR VRRP MASTER
#!/usr/bin/clish
#18
#1.11.4
hostname esr-master

object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit

object-group network MGMT
  ip prefix 192.168.200.16/28
  ip prefix 10.255.252.0/23
exit
object-group network SoftWLC
  ip address-range 100.123.0.2
exit

radius-server host 100.123.0.2
  key ascii-text encrypted 88B11079B9014FAAF7B9
  timeout 2
  source-address 100.123.0.173
  auth-port 31812
  acct-port 31813
  retransmit 3
  dead-interval 10
exit
aaa radius-profile PCRF
  radius-server host 100.123.0.2
exit
das-server COA
  key ascii-text encrypted 88B11079B9014FAAF7B9
  port 3799
  clients object-group SoftWLC
exit
aaa das-profile COA
  das-server COA
exit

vlan 3,10-11,2300-2301,2308
exit

no spanning-tree

security zone trusted
exit
security zone untrusted
exit
security zone gre
exit
security zone user
exit


bridge 1
  vlan 2308
  security-zone gre
  ip address 192.168.200.19/28
  vrrp id 1
  vrrp ip 192.168.200.17/32
  vrrp ip 192.168.200.18/32 secondary
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
  enable
exit
bridge 3
  vlan 3
  unknown-unicast-forwarding disable
  security-zone trusted
  ip address 10.255.252.2/23
  ip helper-address 100.123.0.2
  vrrp id 3
  vrrp ip 10.255.252.1/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  protected-ports local
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit
bridge 4
  vlan 2300
  security-zone trusted
  ip address 100.123.0.173/24
  vrrp id 23
  vrrp ip 100.123.0.175/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  enable
exit
bridge 5
  vlan 2301
  security-zone untrusted
  ip address 172.16.0.2/28
  vrrp id 5
  vrrp ip 172.16.0.4/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  enable
exit
bridge 10
  vlan 10
  unknown-unicast-forwarding disable
  security-zone user
  ip firewall disable
  ip address 198.18.148.2/22
  vrrp id 10
  vrrp ip 198.18.148.1/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  location data10
  protected-ports radius
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit
bridge 11
  vlan 11
  unknown-unicast-forwarding disable
  security-zone user
  ip firewall disable
  ip address 198.18.152.2/22
  ip helper-address 100.123.0.2
  vrrp id 11
  vrrp ip 198.18.152.1/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  location data11
  protected-ports radius
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit

interface port-channel 1
  mode switchport
  switchport forbidden default-vlan
  switchport general acceptable-frame-type tagged-only
  switchport general allowed vlan add 3,10-11,2300-2301,2308 tagged
exit
interface gigabitethernet 1/0/1
  mode switchport
  channel-group 1 mode auto
exit
interface gigabitethernet 1/0/2
  mode switchport
  channel-group 1 mode auto
exit
tunnel softgre 1
  description "mgmt"
  mode management
  local address 192.168.200.17
  default-profile
  enable
exit
tunnel softgre 1.1
  bridge-group 3
  enable
exit
tunnel softgre 2
  description "data"
  mode data
  local address 192.168.200.18
  default-profile
  enable
exit

security zone-pair gre self
  rule 1
    action permit
    match protocol gre
    enable
  exit
  rule 2
    action permit
    match protocol icmp
    enable
  exit
  rule 3
    action permit
    match protocol vrrp
    enable
  exit
exit
security zone-pair trusted self
  rule 1
    action permit
    match source-address MGMT
    enable
  exit
  rule 2
    action permit
    match protocol vrrp
    enable
  exit
exit
security zone-pair trusted trusted
  rule 1
    action permit
    match source-address MGMT
    enable
  exit
exit
security zone-pair trusted user
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted gre
  rule 1
    action permit
    enable
  exit
exit
security zone-pair user self
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 2
    action permit
    match protocol vrrp
    enable
  exit
exit
security zone-pair user trusted
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
exit
security zone-pair user untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair untrusted self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
exit


ip dhcp-relay

ip route 0.0.0.0/0 172.16.0.1
ip route 192.168.240.0/23 192.168.200.21

wireless-controller
  peer-address 100.123.0.175
  nas-ip-address 100.123.0.173
  vrrp-group 1
  data-tunnel configuration radius
  aaa das-profile COA
  aaa radius-profile PCRF
  enable
exit
ip telnet server
ip ssh server
 ESR VRRP BACKUP
#!/usr/bin/clish
#18
#1.11.4
hostname esr-backup

object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit

object-group network MGMT
  ip prefix 192.168.200.16/28
  ip prefix 10.255.252.0/23
exit
object-group network SoftWLC
  ip address-range 100.123.0.2
exit

radius-server host 100.123.0.2
  key ascii-text encrypted 88B11079B9014FAAF7B9
  timeout 2
  source-address 100.123.0.175
  auth-port 31812
  acct-port 31813
  retransmit 3
  dead-interval 10
exit
aaa radius-profile PCRF
  radius-server host 100.123.0.2
exit
das-server COA
  key ascii-text encrypted 88B11079B9014FAAF7B9
  port 3799
  clients object-group SoftWLC
exit
aaa das-profile COA
  das-server COA
exit

vlan 3,10-11,2300-2301,2308
exit

no spanning-tree

security zone trusted
exit
security zone untrusted
exit
security zone gre
exit
security zone user
exit


bridge 1
  vlan 2308
  security-zone gre
  ip address 192.168.200.20/28
  vrrp id 1
  vrrp ip 192.168.200.17/32
  vrrp ip 192.168.200.18/32 secondary
  vrrp priority 100
  vrrp group 1
  vrrp preempt disable
  vrrp
  enable
exit
bridge 3
  vlan 3
  unknown-unicast-forwarding disable
  security-zone trusted
  ip address 10.255.252.3/23
  ip helper-address 100.123.0.2
  vrrp id 3
  vrrp ip 10.255.252.1/32
  vrrp priority 100
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  protected-ports local
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit
bridge 4
  vlan 2300
  security-zone trusted
  ip address 100.123.0.175/24
  vrrp id 23
  vrrp ip 100.123.0.174/32
  vrrp priority 100
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  enable
exit
bridge 5
  vlan 2301
  security-zone untrusted
  ip address 172.16.0.3/28
  vrrp id 5
  vrrp ip 172.16.0.4/32
  vrrp priority 100
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  enable
exit
bridge 10
  vlan 10
  unknown-unicast-forwarding disable
  security-zone user
  ip firewall disable
  ip address 198.18.148.3/22
  vrrp id 10
  vrrp ip 198.18.148.1/32
  vrrp priority 100
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  location data10
  protected-ports radius
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit
bridge 11
  vlan 11
  unknown-unicast-forwarding disable
  security-zone user
  ip firewall disable
  ip address 198.18.152.3/22
  ip helper-address 100.123.0.2
  vrrp id 11
  vrrp ip 198.18.152.1/32
  vrrp priority 100
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip tcp adjust-mss 1400
  location data11
  protected-ports radius
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit

interface port-channel 1
  mode switchport
  switchport forbidden default-vlan
  switchport general acceptable-frame-type tagged-only
  switchport general allowed vlan add 3,10-11,2300-2301,2308 tagged
exit
interface gigabitethernet 1/0/1
  mode switchport
  channel-group 1 mode auto
exit
interface gigabitethernet 1/0/2
  mode switchport
  channel-group 1 mode auto
exit
tunnel softgre 1
  description "mgmt"
  mode management
  local address 192.168.200.17
  default-profile
  enable
exit
tunnel softgre 1.1
  bridge-group 3
  enable
exit
tunnel softgre 2
  description "data"
  mode data
  local address 192.168.200.18
  default-profile
  enable
exit

security zone-pair gre self
  rule 1
    action permit
    match protocol gre
    enable
  exit
  rule 2
    action permit
    match protocol icmp
    enable
  exit
  rule 3
    action permit
    match protocol vrrp
    enable
  exit
exit
security zone-pair trusted self
  rule 1
    action permit
    match source-address MGMT
    enable
  exit
  rule 2
    action permit
    match protocol vrrp
    enable
  exit
exit
security zone-pair trusted trusted
  rule 1
    action permit
    match source-address MGMT
    enable
  exit
exit
security zone-pair trusted user
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted gre
  rule 1
    action permit
    enable
  exit
exit
security zone-pair user self
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 2
    action permit
    match protocol vrrp
    enable
  exit
exit
security zone-pair user trusted
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
exit
security zone-pair user untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair untrusted self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
exit


ip dhcp-relay

ip route 192.168.240.0/23 192.168.200.21
ip route 0.0.0.0/0 172.16.0.1

wireless-controller
  peer-address 100.123.0.173
  nas-ip-address 100.123.0.175
  vrrp-group 1
  data-tunnel configuration radius
  aaa das-profile COA
  aaa radius-profile PCRF
  enable
exit
ip telnet server
ip ssh server

Добавление ESR в дерево EMS

В дерево EMS необходимо добавить оба ESR c реальным адресом интерфейса - 100.123.0.173 и 100.123.0.175 соответственно. Адрес VRRP 100.123.0.174 будет использоваться в качестве шлюза для маршрутов к подсетям управления ТД и пользователей WiFi, в EMS он нигде фигурировать не будет.

Добавляем ESR-VRRP-MASTER - открываем EMS, встаем на узел, в который планируем добавить ESR и нажимаем кнопку "+", расположенную вверху слева от дерева узлов:

Рис. 4.

В открывшемся окне, в поле:

  • "Имя объекта" - указываем произвольное название ESR "ESR-VRRP-MASTER".
  • "Тип" - выбираем тип оборудования, соответствующий используемому типу ESR, в данном примере "ESR1000".
  • "IP адрес" - указываем адрес управления ESR "100.123.0.173".

Нажимаем кнопку "Добавить".

После этого необходимо встать на добавленный ESR (если он не появился в дереве - надо нажать вверху кнопку "" ) и открыть справа вкладку "Доступ":

Рис. 5.

В открывшемся окне нажимаем "Редактировать" и редактируем поля:

  • "Файловый протокол" - выбираем "FTP".
  • "Read community" - указываем имя SNMP RO community, настроенное ранее "public11".
  • "Write community" - указываем имя SNMP RW community, настроенное ранее "private1".
  • "Получение статуса VRRP" - отмечаем галочкой. Данную настройку требуется обязательно включить при использовании резервирования с помощью VRRP для корректной работы функционала по разрушению туннелей к ТД на ESR.

При добавлении ESR-100/200 значение поля "Режим ESR" будет "StationCE".

В этом случае необходимо изменить значение поля на "Station", в противном случае такой ESR не будет использоваться для построения дата-туннелей для ТД.

Так же необходимо изменить пароль radius, который будет использоваться при взаимодействии с ESR. Для этого в меню EMS открываем "RADIUS" → "Управление точками доступа". Выбираем добавленный ранее ESR (при большом количестве устройств можно выполнить фильтрацию по IP адресу ESR) и нажимаем кнопку "Редактировать":

Рис. 6.

В открывшемся окне меняем, в поле "Ключ" задаем ранее настроенный на ESR ключ "testing123" и нажимаем "Принять".

Аналогичным образом добавляем ESR-VRRP-BACKUP, используя его реальный адрес 100.123.0.175.

Возможные варианты отказа сети

Ниже будут рассмотрены возможные варианты прохождения трафика пользователя при штатной работе и возникновении аварии на сети.

Рабочее состояние сети

На рис. 7 изображено рабочее состояние сети:

Рис. 7.

Трафик пользователей WiFi, подключенных  к SSID, ТД инкапсулирует в GRE, маршрутизируется на ESR VRRP MASTER (который находится в состоянии VRRP MASTER), где происходит декапсуляция трафика. Потом он маршрутизируется в сеть Интернет. ESR VRRP BACKUP в обработке трафика не участвует.

Отказ одного из коммутаторов стека

На рис. 8 изображено состояние при отказе одного из коммутаторов стека, к которому подключены ESR VRRP MASTER и BACKUP:

Рис. 8.

В данной ситуации произойдет отключение одного из физических интерфейсов (gi1/0/1 или gi1/0/2), входящих в port-channel на обоих ESR. Но, т.к. оставшиеся интерфейсы, принадлежщие port-channel, подключенные к другому коммутатору стека останутся в работе - работоспособность схему полностью сохранится, изменений в прохождении трафика по сравнению с состоянием перед аварией не будет.

Отказ ESR, находящегося в состоянии VRRP master

На рис. 9 изображено состояние при отказе ESR, находящегося в состоянии VRRP MASTER:

Рис. 9.

В данной ситуации, ESR VRRP BACKUP, обнаружив отсутствие VRRP анонсов, выполнит переключение в состояние VRRP MASTER и начнет обрабатывать трафик, таким же образом,  как ранее это делал VRRP ESR MASTER.

Восстановление после отказ ESR, имеющего более высокий приоритет VRRP

На рис. 10 изображена ситуация, когда ESR VRRP MASTER вернулся в работу после отказа:

Рис. 10.

После восстановления работоспособности и загрузки ESR VRRP MASTER, обнаружив VRRP анонсы от ESR VRRP BACKUP, который находится в состоянии VRRP master, благодаря настройке "vrrp preempt disable" на интерфейсах VRRP, будет находится в состоянии VRRP backup не будет пытаться выполнить захват мастерства. Трафик продолжит проходит предним образом.

Приложения

На коммутаторах, к которым подключается ESR, может использоваться различные версии семейства протоколов spanning-tree. В этом случае возможна ситуация, что после загрузки ESR, порты коммутатора, в которые он включен не сразу перейдут в состояние "forwarding" и разрешат передачу трафика. ESR при этом успеет перейти в состояние VRRP MASTER, что приведет к тому, что после того как начнется передача трафика, ESR у которого приоритет VRRP выше захватит мастерство. Что бы этого избежать можно использовать два варианта:

  1. Настройкой со стороны коммутатора разрешить переход портов, к которым подключен ESR, немедленно в состояние "forwarding", либо отключить протокол spanning-tree.
  2. На всех интерфейсах ESR, использующих протокол VRRP увеличить интервал отправки сообщений командой "vrrp timers advertise" до времени необходимого для перехода в состояние "forwarding" портов коммутатора. Но в результате такой настройки, отказ ESR VRRP MASTER будет обнаружен только через указанный интервал времени, что увеличит время переключения трафика на резервный ESR.

Пример настройки port-channel со стороны коммутатора типа MES:

 MES port-channel
interface gigabitethernet 1/0/1
 channel-group 1 mode auto        
exit
!
interface gigabitethernet 2/0/1
 channel-group 1 mode auto
exit
interface port-channel 1
 switchport mode general
 switchport general allowed vlan add 3,10-11,2300-2301,2308 tagged
 spanning-tree disable
 spanning-tree bpdu filtering
 switchport forbidden default-vlan
 switchport general acceptable-frame-type tagged-only
 speed 1000
exit
  • Нет меток