Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Общее описание

Пример реализации отказоустойчивой сети с резервированием ESR и "маршрутизаторов последней мили" (PE 1 и PE 2) изображен на рис. 1. Точки доступа, размещаемые у клиента, включаются в PoE коммутаторы, которые позволяют передавать трафик до L3 коммутаторов/маршрутизаторов в сети доступа оператора (подробное описание схемы можно посмотреть здесь).

  • Вся сеть доступа для включения ТД объединена в VRF AP.
  • Выход в сеть Интернет осуществляется через VRF NAT, в котором расположен NAT.
  • Сеть управления через VRF core позволяет организовать связность между ESR и SoftWLC.

ESR включены в разные PE маршрутизаторы для обеспечения физического резервирования элементов. ESR связаны между собой для синхронизации  GRE туннелей и  сессий файрвола. Таким образом, при выходе из строя любого PE маршрутизатора или ESR, а также при потере физической или логической связности, система продолжает предоставлять комплекс услуг с минимальным перерывом связи.

Рис. 1.

     На рис. 2 для более наглядного изображения представлена упрощенная схема, в которой указаны только отношения BGP соседства.

Рис. 2.

Описание проблем

В данной схеме резервирования с использованием VRRP и резервированием маршрутизаторов последней мили могут возникать следующие проблемы при прохождении трафика:

    1. Маршрутизаторы ESR-1 и ESR-2 анонсируют одинаковые маршруты к подсети адресов терминации GRE в VRF AP. В результате вышестоящими маршрутизаторам, в качестве точки вхождения к адресам терминации GRE может быть выбран маршрут через PE 2 к ESR-2, который находится в состоянии VRRP BACKUP и не обрабатывает GRE трафик. В результате GRE трафик от ТД будет маршрутизироваться  к ESR-1 через перемычку с  ESR-2, где он будет декапсулирован и отправлен в VRF core (трафик управления ТД) и VRF NAT (доступ в сеть Интернет клиентов ТД) через PE 1, как показано на рис. 3.

Рис. 3.

    2. Так же маршрутизаторы ESR-1 и ESR-2 анонсируют одинаковые подсети управления ТД и клиентов ТД в сторону VRF core и VRF NAT. В результате вышестоящими маршрутизаторам в качестве точки вхождения в эти подсети могут быть выбраны маршруты к ESR-2 через PE 2. В итоге трафик управления, направленный в сторону ТД от SoftWLC, а так же трафик в сторону пользователей со стороны VRF NAT будет проходить через перемычку c ESR-2 к ESR-1, который находясь в состоянии VRRP MASTER будет инкапсулировать полученные пакеты в GRE и отправлять их к ТД через свой аплинк в сторону PE 1, как показано на рис. 4.

Рис. 4.


    3. PE 1 и PE2 анонсируются ESR-1/ESR-2 одинаковые подсети первичных адресов, подсеть доступа к комплексу SoftWLC и маршрут по умолчанию в сторону NAT. ESR-1 и ESR-2 так же, используют iBGP через перемычку и анонсируют эти маршруты друг другу. В результате может получится ситуация, что ESR, находящийся в состоянии VRRP MASTER, будет считать, что наилучшие маршруты до этих подсетей доступны ему через перемычку с ESR VRRP BACKUP. Это приведет к отправке трафика в соответствующие подсети через перемычку, как показано на рис. 5.

Рис. 5.

Подобное поведение:

  • Усложняет диагностику;
  • Усложняет настройку файрвола, т.к. надо учитывать возможность несимметричного прохождения трафика через ESR (ответный трафик приходит другим маршрутом через другие интерфейсы);
  • При разнесении ESR в разные ЦОД и использовании L2 VPN с небольшой пропускной способностью для организации перемычки может привести к её перегрузке трафиком;
  • На маршрутизаторах с программными  EoGRE туннелями (ESR100/200/1000) приводит к некорректной работе шейпера на домен/SSID, т.к. для шейпинга трафика одновременно в двух направлениях (up/down) может использоваться только один интерфейс.

4. При отказе PE 1, подключенный к нему ESR-1, у которого VRRP остается в состоянии MASTER и продолжает обрабатывать трафик, но весь проходит через перемычку (рис. 6).

Рис. 6.

При таком прохождении трафика возникают следующие проблемы:

  • Двойное прохождение трафика через перемычку, что увеличивает нагрузку;
  • При разнесении ESR в разные ЦОД и использовании L2 VPN с небольшой пропускной способностью для организации перемычки может привести к её перегрузке трафиком;
  • Усложнение диагностики.

Предлагаемые способы решения

    Для решения этих проблем необходимо исключить прохождение трафика  управления ТД  и клиентов через перемычку между ESR. Она должна использоваться только для обмена служебным трафиком между ESR, а именно:

  • Обеспечение L2 связности для работы протокола VRRP, используемого для резервирования адресов терминации GRE, шлюзов для подсетей управления ТД и подсетей клиентов;
  • Синхронизация состояния туннелей, сессий файрвола;
  • Работы iBGP между ESR-1 и ESR-2.

    Для решения проблемы 1  и 2 необходимо:

  • Управлять  атрибутами  BGP для анонсируемых  маршрутов в зависимости от  состояния VRRP на ESR.  VRRP MASTER всегда должен анонсировать подсети с лучшими атрибутами BGP, что бы вышестоящие маршрутизаторы выбирали его PE в качестве точки вхождения в эти подсети.

    Для решения проблемы 3:

  • Для маршрутов, приходящих через перемычку между ESR с использованием iBGP, назначать атрибуты BGP заведомо хуже, чем для маршрутов, приходящих от соответствующего PE к ESR.

    Для решения проблемы 4:

  • Менять состояние VRRP в зависимости от доступности PE для соответствующего ESR. При отказе одной из PE, VRRP мастерство должно переходить к ESR, PE которого в данный момент работоспособна.

Краткое описание конфигурации ESR в используемом примере настройки

    Дальнейшее описание предполагает, что схема резервирования уже настроена  в соответствии с  инструкцией. В приложении будет приведена полная конфигурация маршрутизаторов.

    Рассматривать настройки, которые необходимо выполнить на ESR, будем на примере реальной адресации, схема которой приведена на рис. 7.

Рис . 7.

Используется следующая адресация:

Стык ESR-1 (gi1/0/1) - PE 1. Используются три саб-интерфейса для организации eBGP связности с каждым VRF.

НазначениеинтерфейсIP адрес
стык с VRF APgi1/0/1.206100.64.0.34/30
стык с VRF coregi1/0/1.208100.64.0.42/30
стык с VRF NATgi1/0/1.210100.64.0.50/30

Стык ESR-2 (gi1/0/1) - PE2. Используются три саб-интерфейса для организации eBGP связности с каждым VRF.

НазначениеинтерфейсIP адрес
стык с VRF APgi1/0/1.207100.64.0.38/30
стык с VRF coregi1/0/1.209100.64.0.46/30
стык с VRF NATgi1/0/1.211100.64.0.54/30

Стык между ESR-1 (gi1/0/3) и ESR-2 (gi1/0/3). Для обеспечения резервирования VRRP Bridge 1, 3, 10, 11 связаны между собой через vlan. Для организации связности iBGP между ESR используются адреса  Bridge 9.

Назначениеинтерфейс / вланVRRP IPESR-1 IP addressESR-2 IP address
терминация GRE трафика от ТДbridge 1 / 101

192.168.200.49/32

192.168.200.50/32

192.168.200.51/28192.168.200.52/28
терминация подсети управления ТДbridge 3 / 3198.18.128.1/32198.18.128.2/21198.18.128.3/21
стыковый адрес с ESR-1bridge 9 / 9n/a100.64.0.57/30100.64.0.58/30
терминация подсети клиентов ТДbridge 10 / 10198.18.136.1/32198.18.140.2/22198.18.140.3/22
терминация подсети клиентов ТДbridge 11 / 11198.18.140.1/32198.18.140.2/22198.18.140.3/22

Управление атрибутами маршрутов в зависимости от состояния VRRP

ESR, у которого VRRP находится в состоянии MASTER, должен передавать маршруты с лучшими атрибутами BGP для того, чтобы PE и вышестоящие маршрутизаторы выбрали именно его в качестве точки входа в автономную систему. При этом надо учитывать, что у протокола VRRP может быть несколько состояний, в которых его интерфейсы не обрабатывают трафик. Поэтому триггером срабатывания VRRP трекинга будет выступать состояние VRRP, не соответствующее MASTER, что бы маршруты от ESR, статус VRRP которого не соответствует MASTER, анонсировались с худшими атрибутами BGP. Есть возможность управления двумя атрибутами, которые могут влиять на выбор точки входа вышестоящими маршрутизаторами - AS-path и Multi exit discriminator (MED). Можно использовать один из них или совместно.

Использование атрибута AS-path

Использование атрибута AS-path предполагает, что для ESR, VRRP процесс которого не находится в состоянии MASTER, в атрибут AS-path маршрутной информации будет добавлена дополнительная автономная система, что означает  увеличение AS-path и выбор в качестве предпочтительного маршрутизатора того, у которого он меньше. Создадим "tracking 1" (на каждом ESR):

tracking 1
  vrrp 3 not state master
  enable
exit

Номер tracking может быть любой от 1 до 60. Будет отслеживаться состояние VRRP процесса с id 3. В приведенном примере этот VRRP id, настроенный на bridge 3, который используется для управления ESR. Т.к. все VRRP процессы объединены в одну группу, то изменения состояния любого из них вызовет изменение состояния остальных. Трекинг будет срабатывать, когда состояния VRRP не соответствует MASTER.  Такое условие необходимо, т.к. VRRP интерфейс не обрабатывает трафик находясь в состояниях BACKUP или FAULT. В этом случае tracking должен сработать и вызвать ухудшение атрибутов BGP маршрутов, анонсируемых ESR в таком состоянии.

Настроим route-map, указав в качестве действия на срабатывание "track 1". Данное правило добавляет в атрибуты BGP маршрута дополнительную автономную систему (AS-path prepend). В качестве номера добавляемой AS используем номер своей автономной системы.

route-map out_BGP_GRE
  rule 10
    match ip address object-group gre_termination
    action set as-path prepend 64603 track 1
    action permit
  exit
exit
route-map out_BGP_AP
  rule 10
    match ip address object-group mgmt_AP
    action set as-path prepend 64603 track 1
    action permit
  exit
exit
route-map out_BGP_NAT
  rule 10
    match ip address object-group clients_AP
    action set as-path prepend 64603 track 1
    action permit
  exit
exit

Используем эти route-map в настройках ESR.

ESR-1:

router bgp 64603
  address-family ipv4
    redistribute connected
    neighbor 100.64.0.33
      remote-as 65001
      route-map out_BGP_GRE out
      update-source 100.64.0.34
      enable
    exit
    neighbor 100.64.0.41
      remote-as 65001
      route-map out_BGP_AP out
      update-source 100.64.0.42
      enable
    exit
    neighbor 100.64.0.49
      remote-as 65001
      route-map out_BGP_NAT out
      update-source 100.64.0.50
      enable
    exit
    enable
  exit
exit

ESR-2:

router bgp 64603
  address-family ipv4
    redistribute connected
    neighbor 100.64.0.37
      remote-as 65001
      route-map out_BGP_GRE out
      update-source 100.64.0.38
      enable
    exit
    neighbor 100.64.0.45
      remote-as 65001
      route-map out_BGP_AP out
      update-source 100.64.0.46
      enable
    exit
    neighbor 100.64.0.53
      remote-as 65001
      route-map out_BGP_NAT out
      update-source 100.64.0.54
      enable
    exit
    enable
  exit
exit

Убедимся, что  ESR-2, VRRP интерфейсы которого находятся в состоянии BACKUP, добавляет в AS-path указанную в настройках AS:

Beta# show ip bgp 64603 neighbors 100.64.0.37 advertise-routes 
Status codes: u - unicast, b - broadcast, m - multicast, a - anycast
              * - valid, > - best
Origin codes: i - IGP, e - EGP, ? - incomplete

     Network              Next Hop             Metric  LocPrf      Weight Path        
*> u 192.168.200.48/28    100.64.0.38                  100         0      64603 64603 ?

Beta# show ip bgp 64603 neighbors 100.64.0.45 advertise-routes 
Status codes: u - unicast, b - broadcast, m - multicast, a - anycast
              * - valid, > - best
Origin codes: i - IGP, e - EGP, ? - incomplete

     Network              Next Hop             Metric  LocPrf      Weight Path        
*> u 198.18.140.0/22      100.64.0.46                  100         0      64603 64603 ?
*> u 198.18.136.0/22      100.64.0.46                  100         0      64603 64603 ?
*> u 198.18.128.0/21      100.64.0.46                  100         0      64603 64603 ?
*> u 198.18.144.0/22      100.64.0.46                  100         0      64603 64603 ?
*> u 100.64.0.56/30       100.64.0.46                  100         0      64603 64603 ?

Beta# show ip bgp 64603 neighbors 100.64.0.53 advertise-routes 
Status codes: u - unicast, b - broadcast, m - multicast, a - anycast
              * - valid, > - best
Origin codes: i - IGP, e - EGP, ? - incomplete

     Network              Next Hop             Metric  LocPrf      Weight Path        
*> u 198.18.140.0/22      100.64.0.54                  100         0      64603 64603 ?
*> u 198.18.136.0/22      100.64.0.54                  100         0      64603 64603 ?
*> u 198.18.128.0/21      100.64.0.54                  100         0      64603 64603 ?
*> u 198.18.144.0/22      100.64.0.54                  100         0      64603 64603 ?

Таким образом, атрибут BGP AS-path у ESR,  находящимся в состоянии VRRP BACKUP, всегда будут хуже, чем у VRRP MASTER.


Важно! Надо учитывать, что использование данного метода требует анализа настроек вышестоящих маршрутизатора и возможного их изменения, т. к. они могут:

  • Не разрешать AS-path prepend (разрешать только одну автономную систему в AS-path);
  • Переписывать AS-path;
  • Суммировать маршрут, что приведет к потере атрибутов BGP.

Использование атрибута Multi exit discriminator (MED)

Атрибут Multi exit discriminator (MED) служит для информирования BGP соседей о более предпочтительном пути в автономную систему.

Создадим "tracking 1"  (на каждом ESR):

tracking 1
  vrrp 3 not state master
  enable
exit

Настроим route-map, которые используются в настройках BGP, указав в качестве действия на срабатывание "track 1" назначение параметра MED = 1000. Параметр может изменятся в пределах от 0 до 4294967295. Т.к. ESR, VRRP которого находится в состоянии MASTER, не будет указывать данный атрибут при передаче маршрутной информации, то маршруты, полученные со значением данного атрибута более 0, будут считаться хуже.

route-map out_BGP_GRE
  rule 10
    match ip address object-group gre_termination
    action set metric bgp 1000 track 1
    action permit
  exit
exit
route-map out_BGP_AP
  rule 10
    match ip address object-group mgmt_AP
    action set metric bgp 1000 track 1
    action permit
  exit
exit
route-map out_BGP_NAT
  rule 10
    match ip address object-group clients_AP
    action set metric bgp 1000 track 1
    action permit
  exit
exit

Используем настроенные route-map в настройках ESR.

ESR-1:

router bgp 64603
  address-family ipv4
    redistribute connected
    neighbor 100.64.0.33
      remote-as 65001
      route-map out_BGP_GRE out
      update-source 100.64.0.34
      enable
    exit
    neighbor 100.64.0.41
      remote-as 65001
      route-map out_BGP_AP out
      update-source 100.64.0.42
      enable
    exit
    neighbor 100.64.0.49
      remote-as 65001
      route-map out_BGP_NAT out
      update-source 100.64.0.50
      enable
    exit
    enable
  exit
exit

ESR-2:

router bgp 64603
  address-family ipv4
    redistribute connected
    neighbor 100.64.0.37
      remote-as 65001
      route-map out_BGP_GRE out
      update-source 100.64.0.38
      enable
    exit
    neighbor 100.64.0.45
      remote-as 65001
      route-map out_BGP_AP out
      update-source 100.64.0.46
      enable
    exit
    neighbor 100.64.0.53
      remote-as 65001
      route-map out_BGP_NAT out
      update-source 100.64.0.54
      enable
    exit
    enable
  exit
exit

Убедимся, что с ESR-2, VRRP интерфейсы которого находятся в состоянии VRRP BACKUP, добавляет в анонсах маршрутов MED со значением, указанным в настройках:

Beta# show ip bgp 64603 neighbors 100.64.0.37 advertise-routes 
Status codes: u - unicast, b - broadcast, m - multicast, a - anycast
              * - valid, > - best
Origin codes: i - IGP, e - EGP, ? - incomplete

     Network              Next Hop             Metric  LocPrf      Weight Path        
*> u 192.168.200.48/28    100.64.0.38          1000    100         0      64603 ?

Beta# show ip bgp 64603 neighbors 100.64.0.45  advertise-routes 
Status codes: u - unicast, b - broadcast, m - multicast, a - anycast
              * - valid, > - best
Origin codes: i - IGP, e - EGP, ? - incomplete

     Network              Next Hop             Metric  LocPrf      Weight Path        
*> u 198.18.140.0/22      100.64.0.46          1000    100         0      64603 ?
*> u 198.18.136.0/22      100.64.0.46          1000    100         0      64603 ?
*> u 198.18.128.0/21      100.64.0.46          1000    100         0      64603 ?
*> u 198.18.144.0/22      100.64.0.46          1000    100         0      64603 ?
*> u 100.64.0.56/30       100.64.0.46          1000    100         0      64603 ?

Beta# show ip bgp 64603 neighbors 100.64.0.53  advertise-routes 
Status codes: u - unicast, b - broadcast, m - multicast, a - anycast
              * - valid, > - best
Origin codes: i - IGP, e - EGP, ? - incomplete

     Network              Next Hop             Metric  LocPrf      Weight Path        
*> u 198.18.140.0/22      100.64.0.54          1000    100         0      64603 ?
*> u 198.18.136.0/22      100.64.0.54          1000    100         0      64603 ?
*> u 198.18.128.0/21      100.64.0.54          1000    100         0      64603 ?
*> u 198.18.144.0/22      100.64.0.54          1000    100         0      64603 ?


Важно! Надо учитывать, что использование данного метода требует анализа настроек вышестоящих маршрутизаторов и возможного их изменения, т. к. они могут:

  • Изменять настройку MED;
  • Данный атрибут считается "слабым"  и для того, чтобы он повлиял на выбор маршрута, необходимо, чтобы атрибуты Weight, local preference, AS-path и origin code были с одинаковым значением;
  • Т. к. атрибут передается между автономными системами, то при передаче маршрутной информации другим автономным системам он будет отброшен.

Допускается одновременное использование в route-map изменение параметров as-path prepend и metric при срабатывании трегинга.

Занижение атрибута local preference у маршрутов, пришедших через перемычку от соседнего ESR

Для предотвращения использования маршрутов к первичным адресам ТД, комплексу SoftWLC и шлюзу по умолчанию,  через перемычку, надо настроить получение этой маршрутной информации с худшими атрибутами через стык iBGP между ESR, чем от соответствующей PE.  Для этого используем атрибут local preference - настроим на каждом ESR изменение атрибута BGP local preference для маршрутов полученных через перемычку используя iBGP со значением ниже дефолтного значения 100, с которым ESR получает их от PE (если используется изменение этого параметра для стыков с PE, нужно использовать меньшее значение данного параметра для стыка iBGP через перемычку).

ESR-1:

создадим route-map, в котором укажем действие action set local-preference 20:

route-map in_PREF
  rule 10
    action set local-preference 20
    action permit
  exit
exit

и назначим этот route-map на ESR-1 в качестве входящего фильтра для маршрутной информации iBGP соседа (ESR-2):

router bgp 64603
  address-family ipv4
    redistribute connected
    neighbor 100.64.0.58
      remote-as 64603
      route-map in_PREF in
      next-hop-self
      update-source 100.64.0.57
      enable
    exit
    enable
  exit
exit

Убедимся, что теперь все маршруты, приходящие от соседнего ESR-2, имеют  атрибут BGP local-preference равный 20:

ALfa# sh ip bgp 64603 neighbors 100.64.0.58 routes 
Status codes: u - unicast, b - broadcast, m - multicast, a - anycast
              * - valid, > - best
Origin codes: i - IGP, e - EGP, ? - incomplete

     Network              Next Hop             Metric  LocPrf      Weight Path        
*  u 0.0.0.0/0            100.64.0.58                  20          0      65001 64602 i
*  u 198.18.140.0/22      100.64.0.58                  20          0           ?
*  u 198.18.136.0/22      100.64.0.58                  20          0           ?
*  u 198.18.128.0/21      100.64.0.58                  20          0           ?
*  u 10.10.60.0/24        100.64.0.58                  20          0      65001 ?
*  u 198.18.144.0/22      100.64.0.58                  20          0           ?
*  u 100.64.0.16/28       100.64.0.58                  20          0      65001 ?
*  u 192.168.200.48/28    100.64.0.58                  20          0           ?
*  u 100.64.0.56/30       100.64.0.58                  20          0           ?
*  u 100.123.0.0/24       100.64.0.58                  20          0      65001 ?
*  u 192.168.250.0/24     100.64.0.58                  20          0      65001 64602 ?
*> u 100.64.0.52/30       100.64.0.58                  20          0           ?
*> u 100.64.0.44/30       100.64.0.58                  20          0           ?
*  u 100.110.0.0/23       100.64.0.58                  20          0           ?
*> u 100.64.0.36/30       100.64.0.58                  20          0           ?

Выполним аналогичную настройку на ESR-2:

route-map in_PREF
  rule 10
    action set local-preference 20
    action permit
  exit
exit

router bgp 64603
  address-family ipv4
    redistribute connected
    neighbor 100.64.0.57
      remote-as 64603
      route-map in_PREF in
      next-hop-self
      update-source 100.64.0.58
      enable
    exit
    enable
  exit
exit

Также проверим, как выглядят анонсы маршрутов:

Beta# sh ip bgp 64603 neighbors 100.64.0.57 routes 
Status codes: u - unicast, b - broadcast, m - multicast, a - anycast
              * - valid, > - best
Origin codes: i - IGP, e - EGP, ? - incomplete

     Network              Next Hop             Metric  LocPrf      Weight Path        
*  u 0.0.0.0/0            100.64.0.57                  20          0      65001 64602 i
*  u 198.18.140.0/22      100.64.0.57                  20          0           ?
*> u 198.18.136.1/32      100.64.0.57                  20          0           ?
*  u 198.18.136.0/22      100.64.0.57                  20          0           ?
*> u 198.18.140.1/32      100.64.0.57                  20          0           ?
*> u 198.18.128.1/32      100.64.0.57                  20          0           ?
*  u 198.18.128.0/21      100.64.0.57                  20          0           ?
*> u 198.18.144.1/32      100.64.0.57                  20          0           ?
*  u 10.10.60.0/24        100.64.0.57                  20          0      65001 ?
*  u 198.18.144.0/22      100.64.0.57                  20          0           ?
*  u 100.64.0.16/28       100.64.0.57                  20          0      65001 ?
*> u 192.168.200.50/32    100.64.0.57                  20          0           ?
*  u 192.168.200.48/28    100.64.0.57                  20          0           ?
*> u 192.168.200.49/32    100.64.0.57                  20          0           ?
*  u 100.64.0.56/30       100.64.0.57                  20          0           ?
*  u 100.123.0.0/24       100.64.0.57                  20          0      65001 ?
*  u 192.168.250.0/24     100.64.0.57                  20          0      65001 64602 ?
*> u 100.64.0.48/30       100.64.0.57                  20          0           ?
*> u 100.64.0.40/30       100.64.0.57                  20          0           ?
*  u 100.110.0.0/23       100.64.0.57                  20          0           ?
*> u 100.64.0.32/30       100.64.0.57                  20          0           ?


Изменение состояния VRRP при отказе PE, к которой подключен ESR VRRP MASTER

Для отслеживания доступности PE предназначен функционал VRRP track IP. Он выполняет контроль доступности соответствующего IP адреса PE и переводит VRRP в состояние FAULT при его недоступности. Выполнять настройку данного функционала можно только на интерфейсах, использующих VRRP. 

Настроим в  Bridge 3 (можно использовать другой бридж, на котором работает VRRP) vrrp track-ip 100.64.0.45 (стыковой IP адрес PE в VRF core).

bridge 3
  description "mgmt_AP"
  vlan 3
  security-zone trusted
  ip address 198.18.128.3/21
  ip helper-address 100.123.0.2
  ip helper-address vrrp-group 1
  vrrp id 3
  vrrp ip 198.18.128.1/32
  vrrp priority 190
  vrrp group 1
  vrrp preempt disable
  vrrp track-ip 100.64.0.45
  vrrp
  protected-ports
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit

Данной командой: vrrp track-ip 100.64.0.45 мы включим отслеживание доступности адреса PE 100.64.0.45, через который организован стык в сторону VRF core. Может быть использован любой доступный IP адрес, но рекомендуется использовать ближайший стыковый адрес PE.

После выполнения данной настройки на указанный в ней адрес будет выполнятся ping probe, который отправляет 5 пингов подряд (количество пингов можно изменить командой vrrp track-ip packets от 1 до 5), каждые 10 секунд (интервал может быть изменен командой vrrp track-ip interval от 3 до 60 сек). Изменение состояния VRRP будет выполняться по следующей логике:

  1. С адреса, указанного в настройке vrrp track-ip, получен хотя бы один ответ на ping probe -  адрес считается доступным;
  2. Адрес, указанный в настройке, считается недоступным, если не получен ответ на все пинги, отправленные при выполнении одного ping probe;
  3. Если ping probe был неудачен, происходит перевод VRRP инстанса соответствующего интерфейса (в приведенном примере это bridge 3) в состояние FAULT - это приведет к прекращению отправки анонсов VRRP и переходу в состояние MASTER соседнего ESR, который до этого находился в состоянии BACKUP.
  4. PIng probe будет отправляться через указанный интервал;
  5. Как только адрес PE станет доступен, VRRP процесс уйдет из состояния FAULT и перейдет в состояние Initialize, из которого он в зависимости от настроек VRRP либо перейдет в состояние BACKUP, если включена настройка vrrp preempt disable или его vrrp priority ниже соответствующего значения соседнего ESR, либо захватит мастерство, если его vrrp priority выше, чем у соседнего ESR. Также можно отложить перехват мастерства, включив vrrp preempt delay и указав соответствующую задержку в секундах.

    Таким образом, при отказе PE у ESR, который к нему подключен, процесс VRRP перейдет в состояние FAULT, что приведет в перехвату мастерства VRRP резервным ESR.

Заключение

Выполнение настроек, приведенных в данном документе, позволит обеспечить обработку клиентского трафик и трафика управления ТД только одним ESR через свою PE и предотвратить прохождение трафика через перемычку.

Приложение

Полная конфигурация ESR

Конфигурация ESR-1:

 ESR-1
hostname ESR-1

ip firewall sessions counters
ip firewall sessions classification enable
ip firewall sessions allow-unknown
object-group service telnet
  port-range 23
exit
object-group service ssh
  port-range 22
exit
object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit
object-group service ntp
  port-range 123
exit
object-group service snmp
  port-range 161-162
exit
object-group service COA
  port-range 3799
  port-range 31812-31813
exit
object-group service bgp
  port-range 179
exit
object-group service dns
  port-range 53
exit
object-group service firewall_failover
  port-range 3333
exit

object-group network SoftWLC
  ip prefix 100.123.0.0/24
exit
object-group network gre_termination
  ip prefix 192.168.200.48/28
exit
object-group network mgmt_AP
  ip prefix 198.18.128.0/21
  ip prefix 198.18.136.0/22
  ip prefix 198.18.140.0/22
  ip prefix 100.64.0.56/30
exit
object-group network clients_AP
  ip prefix 198.18.136.0/22
  ip prefix 198.18.140.0/22
exit
object-group network Admnet
  ip prefix 100.123.0.0/24
  ip prefix 100.64.0.40/30
exit
object-group network nets
  ip prefix 10.0.0.0/8
  ip prefix 192.168.0.0/16
  ip prefix 172.16.0.0/12
exit
object-group network cross
  ip prefix 100.64.0.32/30
  ip prefix 100.64.0.40/30
  ip prefix 100.64.0.48/30
  ip prefix 100.64.0.56/30
exit
object-group network DNS
  ip prefix 100.123.0.0/24
exit
object-group network CoA_servers
  ip prefix 100.123.0.0/24
exit
object-group network VRF_AP
  ip prefix 100.64.0.32/30
exit
object-group network VRF_CORE
  ip prefix 192.168.200.48/28
  ip prefix 100.64.0.56/30
  ip prefix 198.18.128.0/21
  ip prefix 198.18.136.0/22
  ip prefix 198.18.140.0/22
exit
object-group network VRF_NAT
  ip prefix 100.64.0.48/30
exit

radius-server timeout 10
radius-server retransmit 5
radius-server host 100.123.0.2
  key ascii-text testing123
  timeout 11
  priority 20
  source-address 198.18.128.2
  auth-port 31812
  acct-port 31813
  retransmit 10
  dead-interval 10
exit
aaa radius-profile PCRF
  radius-server host 100.123.0.2
exit
das-server COA
  key ascii-text testing123
  port 3799
  clients object-group SoftWLC
exit
aaa das-profile COA
  das-server COA
exit

vlan 3
  force-up
exit
vlan 10
  force-up
exit
vlan 11
  force-up
exit
vlan 101
  force-up
exit
vlan 3101
  force-up
exit
vlan 3102
  force-up
exit
vlan 9
exit

security zone trusted
exit
security zone untrusted
exit
security zone gre
exit
security zone neighbour
exit
security zone user
exit

route-map out_BGP_GRE
  rule 10
    match ip address object-group gre_termination
    action set as-path prepend 64603 track 1
    action set metric bgp 1000 track 1
    action permit
  exit
exit
route-map out_BGP_AP
  rule 10
    match ip address object-group mgmt_AP
    action set as-path prepend 64603 track 1
    action set metric bgp 1000 track 1
    action permit
  exit
exit
route-map out_BGP_NAT
  rule 10
    match ip address object-group clients_AP
    action set as-path prepend 64603 track 1
    action set metric bgp 1000 track 1
    action permit
  exit
exit
route-map in_PREF
  rule 10
    action set local-preference 20
    action permit
  exit
exit
tracking 1
  vrrp 3 not state master
  enable
exit
router bgp 64603
  address-family ipv4
    redistribute connected
    neighbor 100.64.0.33
      remote-as 65001
      route-map out_BGP_GRE out
      update-source 100.64.0.34
      enable
    exit
    neighbor 100.64.0.41
      remote-as 65001
      route-map out_BGP_AP out
      update-source 100.64.0.42
      enable
    exit
    neighbor 100.64.0.49
      remote-as 65001
      route-map out_BGP_NAT out
      update-source 100.64.0.50
      enable
    exit
    neighbor 100.64.0.58
      remote-as 64603
      route-map in_PREF in
      next-hop-self
      update-source 100.64.0.57
      enable
    exit
    enable
  exit
exit

snmp-server
snmp-server system-shutdown
snmp-server community "public11" ro
snmp-server community "private1" rw

snmp-server host 100.123.0.2
exit

snmp-server enable traps
snmp-server enable traps config
snmp-server enable traps config commit
snmp-server enable traps config confirm
snmp-server enable traps environment
snmp-server enable traps environment pwrin
snmp-server enable traps environment pwrin-insert
snmp-server enable traps environment fan
snmp-server enable traps environment fan-speed-changed
snmp-server enable traps environment fan-speed-high
snmp-server enable traps environment memory-flash-critical-low
snmp-server enable traps environment memory-flash-low
snmp-server enable traps environment memory-ram-critical-low
snmp-server enable traps environment memory-ram-low
snmp-server enable traps environment cpu-load
snmp-server enable traps environment cpu-critical-temp
snmp-server enable traps environment cpu-overheat-temp
snmp-server enable traps environment cpu-supercooling-temp
snmp-server enable traps environment board-overheat-temp
snmp-server enable traps environment board-supercooling-temp
snmp-server enable traps environment sfp-overheat-temp
snmp-server enable traps environment sfp-supercooling-temp
snmp-server enable traps environment switch-overheat-temp
snmp-server enable traps environment switch-supercooling-temp
snmp-server enable traps wifi
snmp-server enable traps wifi wifi-tunnels-number-in-bridge-high
snmp-server enable traps file-operations
snmp-server enable traps file-operations successful
snmp-server enable traps file-operations failed
snmp-server enable traps file-operations canceled
snmp-server enable traps interfaces
snmp-server enable traps interfaces rx-utilization-high
snmp-server enable traps interfaces tx-utilization-high
snmp-server enable traps interfaces number-high
snmp-server enable traps screen
snmp-server enable traps screen dest-limit
snmp-server enable traps screen source-limit
snmp-server enable traps screen icmp-threshold
snmp-server enable traps screen udp-threshold
snmp-server enable traps screen syn-flood
snmp-server enable traps screen land
snmp-server enable traps screen winnuke
snmp-server enable traps screen icmp-frag
snmp-server enable traps screen udp-frag
snmp-server enable traps screen icmp-large
snmp-server enable traps screen syn-frag
snmp-server enable traps screen unknown-proto
snmp-server enable traps screen ip-frag
snmp-server enable traps screen port-scan
snmp-server enable traps screen ip-sweep
snmp-server enable traps screen syn-fin
snmp-server enable traps screen fin-no-ack
snmp-server enable traps screen no-flag
snmp-server enable traps screen spoofing
snmp-server enable traps screen reserved
snmp-server enable traps screen quench
snmp-server enable traps screen echo-request
snmp-server enable traps screen time-exceeded
snmp-server enable traps screen unreachable
snmp-server enable traps screen tcp-all-flags
snmp-server enable traps entity
snmp-server enable traps entity config-change
snmp-server enable traps entity-sensor
snmp-server enable traps entity-sensor threshold
snmp-server enable traps envmon
snmp-server enable traps envmon fan
snmp-server enable traps envmon shutdown
snmp-server enable traps envmon supply
snmp-server enable traps envmon temperature
snmp-server enable traps flash
snmp-server enable traps flash insertion
snmp-server enable traps flash removal
snmp-server enable traps snmp
snmp-server enable traps snmp authentication
snmp-server enable traps snmp coldstart
snmp-server enable traps snmp linkdown
snmp-server enable traps snmp linkup
snmp-server enable traps syslog

bridge 1
  description "GRE_termination"
  vlan 101
  security-zone gre
  ip address 192.168.200.51/28
  vrrp id 1
  vrrp ip 192.168.200.49/32
  vrrp ip 192.168.200.50/32 secondary
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
  ipv6 enable
  protected-ports
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit
bridge 3
  description "mgmt_AP"
  vlan 3
  security-zone trusted
  ip address 198.18.128.2/21
  ip helper-address 100.123.0.2
  ip helper-address vrrp-group 1
  vrrp id 3
  vrrp ip 198.18.128.1/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp track-ip 100.64.0.41
  vrrp
  protected-ports
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit
bridge 9
  description "neighbour"
  vlan 9
  security-zone neighbour
  ip address 100.64.0.57/30
  enable
exit
bridge 10
  description "data1_AP"
  vlan 3101
  ports firewall enable
  security-zone user
  ip address 198.18.136.2/22
  ip helper-address 100.123.0.2
  ip helper-address vrrp-group 1
  vrrp id 10
  vrrp ip 198.18.136.1/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip policy route-map Fltr_PBR
  location data10
  enable
exit
bridge 11
  description "data2_AP"
  vlan 3102
  ports firewall enable
  security-zone user
  ip firewall disable
  ip address 198.18.140.2/22
  ip helper-address 100.123.0.2
  ip helper-address vrrp-group 1
  vrrp id 11
  vrrp ip 198.18.140.1/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp
  location data11
  protected-ports
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit

interface port-channel 1
  mode hybrid
  switchport general pvid 2334
  switchport general allowed vlan add 2334 untagged
  security-zone untrusted
exit
interface gigabitethernet 1/0/1
  description "UpLink"
  mode hybrid
exit
interface gigabitethernet 1/0/1.206
  description "VRF_AP"
  security-zone gre
  ip address 100.64.0.34/30
  ipv6 enable
exit
interface gigabitethernet 1/0/1.208
  description "VRF_CORE"
  security-zone trusted
  ip address 100.64.0.42/30
  ipv6 enable
exit
interface gigabitethernet 1/0/1.210
  description "VRF_NAT"
  security-zone untrusted
  ip address 100.64.0.50/30
  ipv6 enable
exit

interface gigabitethernet 1/0/2
  description "neighbour"
  mode hybrid
  switchport forbidden default-vlan
  switchport general acceptable-frame-type tagged-only
  switchport general allowed vlan add 3,9-11,101 tagged
exit
interface service-port 1
  service-policy dynamic
exit
tunnel softgre 1
  description "mgmt"
  mode management
  local address 192.168.200.49
  default-profile
  enable
exit
tunnel softgre 1.1
  bridge-group 3
  enable
exit
tunnel softgre 2
  description "data"
  mode data
  local address 192.168.200.50
  default-profile
  enable
exit

security zone-pair gre self
  rule 1
    action permit
    match protocol gre
    enable
  exit
  rule 2
    action permit
    match protocol vrrp
    enable
  exit
  rule 3
    action permit
    match protocol tcp
    match destination-port aptd
    enable
  exit
  rule 4
    action permit
    match protocol icmp
    enable
  exit
  rule 10
    action permit
    match protocol tcp
    match source-address cross
    match source-port bgp
    match destination-port bgp
    enable
  exit
exit
security zone-pair trusted self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_server
    enable
  exit
  rule 3
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 4
    action permit
    match protocol icmp
    enable
  exit
  rule 10
    action permit
    match source-address SoftWLC
    enable
  exit
  rule 11
    action permit
    match source-address Admnet
    enable
  exit
  rule 20
    action permit
    match protocol tcp
    match source-address cross
    match source-port bgp
    match destination-port bgp
    enable
  exit
exit
security zone-pair trusted trusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair user untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair user self
  rule 1
    action permit
    match protocol icmp
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 3
    action permit
    match protocol tcp
    match destination-port redirect
    enable
  exit
  rule 4
    action permit
    match protocol vrrp
    enable
  exit
  rule 5
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_server
    enable
  exit
exit
security zone-pair user trusted
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match destination-address DNS
    match destination-port dns
    enable
  exit
exit
security zone-pair trusted user
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_client
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_server
    enable
  exit
  rule 3
    action permit
    match protocol icmp
    enable
  exit
exit
security zone-pair trusted untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair gre gre
  rule 1
    action permit
    enable
  exit
exit
security zone-pair neighbour self
  rule 2
    action permit
    match protocol tcp
    match destination-port bgp
    enable
  exit
  rule 3
    action permit
    match protocol udp
    match destination-port firewall_failover
    enable
  exit
  rule 4
    action permit
    match protocol udp
    match source-port dhcp_server
  exit
  rule 10
    action permit
    match protocol gre
    enable
  exit
  rule 20
    action permit
    match protocol icmp
    enable
  exit
  rule 30
    action permit
    match protocol vrrp
    enable
  exit
  rule 40
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_server
    enable
  exit
  rule 50
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 60
    action permit
    match source-address SoftWLC
    enable
  exit
  rule 80
    action permit
    match source-address Admnet
    enable
  exit
  rule 90
    action permit
    match protocol tcp
    match destination-port aptd
    enable
  exit
  rule 100
    action permit
    match protocol tcp
    match destination-port telnet
    enable
  exit
exit
security zone-pair neighbour trusted
  rule 10
    action permit
    enable
  exit
exit
security zone-pair neighbour untrusted
  rule 10
    action permit
    enable
  exit
exit
security zone-pair neighbour gre
  rule 10
    action permit
    enable
  exit
exit
security zone-pair neighbour user
  rule 10
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_client
    enable
  exit
exit
security zone-pair trusted neighbour
  rule 10
    action permit
    enable
  exit
exit
security zone-pair gre neighbour
  rule 10
    action permit
    enable
  exit
exit
security zone-pair user neighbour
  rule 10
    action permit
    match protocol udp
    match destination-port dns
    enable
  exit
  rule 20
    action permit
    match not source-address nets
    enable
  exit
exit
security zone-pair untrusted self
  rule 10
    action permit
    match protocol tcp
    match source-address cross
    match source-port bgp
    match destination-port bgp
    enable
  exit
exit

security passwords history 0
ip firewall failover sync-type unicast
ip firewall failover source-address 198.18.128.2
ip firewall failover destination-address 100.64.0.58
ip firewall failover port 3333
ip firewall failover

ip dhcp-relay

wireless-controller
  peer-address 100.64.0.58
  nas-ip-address 198.18.128.2
  vrrp-group 1
  data-tunnel configuration radius
  aaa das-profile COA
  aaa radius-profile PCRF
  enable
exit
ip telnet server
ip ssh server

Конфигурация ESR-2:

 ESR-2
hostname ESR-2

ip firewall sessions counters
ip firewall sessions classification enable
ip firewall sessions allow-unknown
object-group service telnet
  port-range 23
exit
object-group service ssh
  port-range 22
exit
object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit
object-group service ntp
  port-range 123
exit
object-group service snmp
  port-range 161-162
exit
object-group service COA
  port-range 3799
  port-range 31812-31813
exit
object-group service bgp
  port-range 179
exit
object-group service dns
  port-range 53
exit
object-group service firewall_failover
  port-range 3333
exit

object-group network SoftWLC
  ip prefix 100.123.0.0/24
exit
object-group network gre_termination
  ip prefix 192.168.200.48/28
exit
object-group network mgmt_AP
  ip prefix 198.18.128.0/21
  ip prefix 198.18.136.0/22
  ip prefix 198.18.140.0/22
  ip prefix 100.64.0.56/30
exit
object-group network clients_AP
  ip prefix 198.18.136.0/22
  ip prefix 198.18.140.0/22
exit
object-group network Admnet
  ip prefix 100.123.0.0/24
  ip prefix 100.64.0.44/30
exit
object-group network nets
  ip prefix 10.0.0.0/8
  ip prefix 192.168.0.0/16
  ip prefix 172.16.0.0/12
exit
object-group network cross
  ip prefix 100.64.0.36/30
  ip prefix 100.64.0.44/30
  ip prefix 100.64.0.52/30
  ip prefix 100.64.0.56/30
exit
object-group network DNS
  ip prefix 100.123.0.0/24
exit
object-group network CoA_servers
  ip prefix 100.123.0.0/24
exit
object-group network VRF_AP
  ip prefix 100.64.0.36/30
exit
object-group network VRF_CORE
  ip prefix 192.168.200.48/28
  ip prefix 100.64.0.44/30
  ip prefix 198.18.128.0/21
  ip prefix 198.18.136.0/22
  ip prefix 198.18.140.0/22
exit
object-group network VRF_NAT
  ip prefix 100.64.0.56/30
exit

radius-server timeout 10
radius-server retransmit 5
radius-server host 100.123.0.2
  key ascii-text testing123
  timeout 11
  priority 20
  source-address 198.18.128.3
  auth-port 31812
  acct-port 31813
  retransmit 10
  dead-interval 10
exit
aaa radius-profile PCRF
  radius-server host 100.123.0.2
exit
das-server COA
  key ascii-text testing123
  port 3799
  clients object-group SoftWLC
exit
aaa das-profile COA
  das-server COA
exit

vlan 3
  force-up
exit
vlan 10
  force-up
exit
vlan 11
  force-up
exit
vlan 101
  force-up
exit
vlan 9
exit

security zone trusted
exit
security zone untrusted
exit
security zone gre
exit
security zone neighbour
exit
security zone user
exit

route-map out_BGP_GRE
  rule 10
    match ip address object-group gre_termination
    action set as-path prepend 64603 track 1
    action set metric bgp 1000 track 1
    action permit
  exit
exit
route-map out_BGP_AP
  rule 10
    match ip address object-group mgmt_AP
    action set as-path prepend 64603 track 1
    action set metric bgp 1000 track 1
    action permit
  exit
exit
route-map out_BGP_NAT
  rule 10
    match ip address object-group clients_AP
    action set as-path prepend 64603 track 1
    action set metric bgp 1000 track 1
    action permit
  exit
exit
route-map in_PREF
  rule 10
    action set local-preference 20
    action permit
  exit
exit
tracking 1
  vrrp 3 not state master
  enable
exit
router bgp 64603
  address-family ipv4
    redistribute connected
    neighbor 100.64.0.37
      remote-as 65001
      route-map out_BGP_GRE out
      update-source 100.64.0.38
      enable
    exit
    neighbor 100.64.0.45
      remote-as 65001
      route-map out_BGP_AP out
      update-source 100.64.0.46
      enable
    exit
    neighbor 100.64.0.53
      remote-as 65001
      route-map out_BGP_NAT out
      update-source 100.64.0.54
      enable
    exit
    neighbor 100.64.0.57
      remote-as 64603
      route-map in_PREF in
      next-hop-self
      update-source 100.64.0.58
      enable
    exit
    enable
  exit
exit

snmp-server
snmp-server community "public11" ro
snmp-server community "private1" rw

snmp-server host 100.123.0.2
exit

snmp-server enable traps
snmp-server enable traps config
snmp-server enable traps config commit
snmp-server enable traps config confirm
snmp-server enable traps environment
snmp-server enable traps environment pwrin
snmp-server enable traps environment pwrin-insert
snmp-server enable traps environment fan
snmp-server enable traps environment fan-speed-changed
snmp-server enable traps environment fan-speed-high
snmp-server enable traps environment memory-flash-critical-low
snmp-server enable traps environment memory-flash-low
snmp-server enable traps environment memory-ram-critical-low
snmp-server enable traps environment memory-ram-low
snmp-server enable traps environment cpu-load
snmp-server enable traps environment cpu-dp-critical-temp
snmp-server enable traps environment cpu-dp-overheat-temp
snmp-server enable traps environment cpu-dp-supercooling-temp
snmp-server enable traps environment cpu-mgmt-critical-temp
snmp-server enable traps environment cpu-mgmt-overheat-temp
snmp-server enable traps environment cpu-mgmt-supercooling-temp
snmp-server enable traps environment board-overheat-temp
snmp-server enable traps environment board-supercooling-temp
snmp-server enable traps environment sfp-overheat-temp
snmp-server enable traps environment sfp-supercooling-temp
snmp-server enable traps environment switch-overheat-temp
snmp-server enable traps environment switch-supercooling-temp
snmp-server enable traps wifi
snmp-server enable traps wifi wifi-tunnels-number-in-bridge-high
snmp-server enable traps file-operations
snmp-server enable traps file-operations successful
snmp-server enable traps file-operations failed
snmp-server enable traps file-operations canceled
snmp-server enable traps interfaces
snmp-server enable traps interfaces rx-utilization-high
snmp-server enable traps interfaces tx-utilization-high
snmp-server enable traps interfaces number-high
snmp-server enable traps screen
snmp-server enable traps screen dest-limit
snmp-server enable traps screen source-limit
snmp-server enable traps screen icmp-threshold
snmp-server enable traps screen udp-threshold
snmp-server enable traps screen syn-flood
snmp-server enable traps screen land
snmp-server enable traps screen winnuke
snmp-server enable traps screen icmp-frag
snmp-server enable traps screen udp-frag
snmp-server enable traps screen icmp-large
snmp-server enable traps screen syn-frag
snmp-server enable traps screen unknown-proto
snmp-server enable traps screen ip-frag
snmp-server enable traps screen port-scan
snmp-server enable traps screen ip-sweep
snmp-server enable traps screen syn-fin
snmp-server enable traps screen fin-no-ack
snmp-server enable traps screen no-flag
snmp-server enable traps screen spoofing
snmp-server enable traps screen reserved
snmp-server enable traps screen quench
snmp-server enable traps screen echo-request
snmp-server enable traps screen time-exceeded
snmp-server enable traps screen unreachable
snmp-server enable traps screen tcp-all-flags
snmp-server enable traps entity
snmp-server enable traps entity config-change
snmp-server enable traps entity-sensor
snmp-server enable traps entity-sensor threshold
snmp-server enable traps envmon
snmp-server enable traps envmon fan
snmp-server enable traps envmon shutdown
snmp-server enable traps envmon supply
snmp-server enable traps envmon temperature
snmp-server enable traps flash
snmp-server enable traps flash insertion
snmp-server enable traps flash removal
snmp-server enable traps snmp
snmp-server enable traps snmp authentication
snmp-server enable traps snmp coldstart
snmp-server enable traps snmp linkdown
snmp-server enable traps snmp linkup
snmp-server enable traps syslog

bridge 1
  description "GRE_termination"
  vlan 101
  security-zone gre
  ip address 192.168.200.52/28
  vrrp id 1
  vrrp ip 192.168.200.49/32
  vrrp ip 192.168.200.50/32 secondary
  vrrp priority 190
  vrrp group 1
  vrrp preempt disable
  vrrp
  protected-ports
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit
bridge 3
  description "mgmt_AP"
  vlan 3
  security-zone trusted
  ip address 198.18.128.3/21
  ip helper-address 100.123.0.2
  ip helper-address vrrp-group 1
  vrrp id 3
  vrrp ip 198.18.128.1/32
  vrrp priority 190
  vrrp group 1
  vrrp preempt disable
  vrrp track-ip 100.64.0.45
  vrrp track-ip interval 9
  vrrp
  protected-ports
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit
bridge 9
  description "neighbour"
  vlan 9
  security-zone neighbour
  ip address 100.64.0.58/30
  enable
exit
bridge 10
  description "data1_AP"
  vlan 10
  security-zone user
  ip address 198.18.136.3/22
  ip helper-address 100.123.0.2
  ip helper-address vrrp-group 1
  vrrp id 10
  vrrp ip 198.18.136.1/32
  vrrp priority 190
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip policy route-map pbr_rule_1
  location data10
  protected-ports
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit
bridge 11
  description "data2_AP"
  vlan 11
  security-zone user
  ip address 198.18.140.3/22
  ip helper-address 100.123.0.2
  ip helper-address vrrp-group 1
  vrrp id 11
  vrrp ip 198.18.140.1/32
  vrrp priority 190
  vrrp group 1
  vrrp preempt disable
  vrrp
  ip policy route-map pbr_rule_1
  location data11
  protected-ports
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit

interface gigabitethernet 1/0/1.207
  description "VRF_AP"
  security-zone gre
  ip address 100.64.0.38/30
  ipv6 enable
exit
interface gigabitethernet 1/0/1.209
  description "VRF_CORE"
  security-zone trusted
  ip address 100.64.0.46/30
  ipv6 enable
exit
interface gigabitethernet 1/0/1.211
  description "VRF_NAT"
  security-zone untrusted
  ip address 100.64.0.54/30
  ipv6 enable
exit
interface gigabitethernet 1/0/2
  description "neighbour"
  mode hybrid
  switchport forbidden default-vlan
  switchport general acceptable-frame-type tagged-only
  switchport general allowed vlan add 3,9-11,101 tagged
exit
interface service-port 1
  service-policy dynamic
exit
tunnel softgre 1
  description "mgmt"
  mode management
  local address 192.168.200.49
  default-profile
  enable
exit
tunnel softgre 1.1
  bridge-group 3
  enable
exit
tunnel softgre 2
  description "data"
  mode data
  local address 192.168.200.50
  default-profile
  enable
exit

security zone-pair gre self
  rule 1
    action permit
    match protocol gre
    enable
  exit
  rule 2
    action permit
    match protocol vrrp
    enable
  exit
  rule 3
    action permit
    match protocol tcp
    match destination-port aptd
    enable
  exit
  rule 4
    action permit
    match protocol icmp
    enable
  exit
  rule 10
    action permit
    match protocol tcp
    match source-address cross
    match source-port bgp
    match destination-port bgp
    enable
  exit
exit
security zone-pair trusted self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_server
    enable
  exit
  rule 3
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 4
    action permit
    match protocol icmp
    enable
  exit
  rule 10
    action permit
    match source-address SoftWLC
    enable
  exit
  rule 11
    action permit
    match source-address Admnet
    enable
  exit
  rule 20
    action permit
    match protocol tcp
    match source-address cross
    match source-port bgp
    match destination-port bgp
    enable
  exit
exit
security zone-pair trusted trusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair user untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair user self
  rule 1
    action permit
    match protocol icmp
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 3
    action permit
    match protocol tcp
    match destination-port redirect
    enable
  exit
  rule 4
    action permit
    match protocol vrrp
    enable
  exit
  rule 5
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_server
    enable
  exit
exit
security zone-pair user trusted
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match destination-address DNS
    match destination-port dns
    enable
  exit
exit
security zone-pair trusted user
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_client
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_server
    enable
  exit
  rule 3
    action permit
    match protocol icmp
    enable
  exit
exit
security zone-pair trusted untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair gre gre
  rule 1
    action permit
    enable
  exit
exit
security zone-pair neighbour self
  rule 2
    action permit
    match protocol tcp
    match destination-port bgp
    enable
  exit
  rule 3
    action permit
    match protocol udp
    match destination-port firewall_failover
    enable
  exit
  rule 4
    action permit
    match protocol udp
    match source-port dhcp_server
  exit
  rule 10
    action permit
    match protocol gre
    enable
  exit
  rule 20
    action permit
    match protocol icmp
    enable
  exit
  rule 30
    action permit
    match protocol vrrp
    enable
  exit
  rule 40
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_server
    enable
  exit
  rule 50
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 60
    action permit
    match source-address SoftWLC
    enable
  exit
  rule 80
    action permit
    match source-address Admnet
    enable
  exit
  rule 90
    action permit
    match protocol tcp
    match destination-port aptd
    enable
  exit
  rule 100
    action permit
    match protocol tcp
    match destination-port telnet
    enable
  exit
exit
security zone-pair neighbour trusted
  rule 10
    action permit
    enable
  exit
exit
security zone-pair neighbour untrusted
  rule 10
    action permit
    enable
  exit
exit
security zone-pair neighbour gre
  rule 10
    action permit
    enable
  exit
exit
security zone-pair neighbour user
  rule 10
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_client
    enable
  exit
exit
security zone-pair trusted neighbour
  rule 10
    action permit
    enable
  exit
exit
security zone-pair gre neighbour
  rule 10
    action permit
    enable
  exit
exit
security zone-pair user neighbour
  rule 10
    action permit
    match protocol udp
    match destination-port dns
    enable
  exit
  rule 20
    action permit
    match not source-address nets
    enable
  exit
exit
security zone-pair untrusted self
  rule 10
    action permit
    match protocol tcp
    match source-address cross
    match source-port bgp
    match destination-port bgp
    enable
  exit
exit

security passwords history 0
ip firewall failover sync-type unicast
ip firewall failover source-address 198.18.128.3
ip firewall failover destination-address 100.64.0.57
ip firewall failover port 3333
ip firewall failover

ip dhcp-relay

wireless-controller
  peer-address 100.64.0.57
  nas-ip-address 198.18.128.3
  vrrp-group 1
  data-tunnel configuration radius
  aaa das-profile COA
  aaa radius-profile PCRF
  enable
exit
ip telnet server
ip ssh server






  • Нет меток