Управление резервированием

Настройка VRRP

VRRP (англ. Virtual Router Redundancy Protocol) — сетевой протокол, предназначенный для увеличения доступности маршрутизаторов, выполняющих роль шлюза по умолчанию. Это достигается путём объединения группы маршрутизаторов в один виртуальный маршрутизатор и назначения им общего IP-адреса, который и будет использоваться как шлюз по умолчанию для компьютеров в сети.

Алгоритм настройки

Шаг	Описание	Команда	Ключи
1	Перейти в режим конфигурирования интерфейса/сетевого моста, для которого необходимо настроить протокол VRRP.	esr(config)# interface <IF-TYPE><IF-NUM>	<IF-TYPE> – тип интерфейса; <IF-NUM> – F/S/P – F-фрейм (1), S – слот (0), P – порт.
		esr(config)# tunnel <TUN-TYPE><TUN-NUM>	<TUN-TYPE> – тип туннеля; <TUN-NUM> – номер туннеля.
		esr(config)# bridge <BR-NUM>	<BR-NUM> – номер сетевого моста.
2	Настроить необходимые параметры на интерфейсе/сетевом мосту, включая IP-адрес.
3	Включить VRRP-процесс на IP-интерфейсе.	esr(config-if-gi)# vrrp
3	Включить VRRP-процесс на IP-интерфейсе.	esr(config-if-gi)# ipv6 vrrp
4	Установить виртуальный IP-адрес VRRP-маршрутизатора.	esr(config-if-gi)# vrrp ip <ADDR/LEN> [ secondary ]	<ADDR/LEN> – виртуальный IP-адрес и длина маски, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. Можно указать несколько IP-адресов перечислением через запятую. Может быть назначено до 8 IP-адресов на интерфейс. secondary – ключ для установки дополнительного IP-адреса.
4	Установить виртуальный IP-адрес VRRP-маршрутизатора.	esr(config-if-gi)# ipv6 vrrp ip <IPV6-ADDR>	<IPV6-ADDR> – виртуальный IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]. Можно указать до 8 IPv6-адресов перечислением через запятую.
5	Установить идентификатор VRRP-маршрутизатора.	esr(config-if-gi)# vrrp id <VRID>	<VRID> – идентификатора VRRP-маршрутизатора, принимает значения [1..255].
5	Установить идентификатор VRRP-маршрутизатора.	esr(config-if-gi)# ipv6 vrrp id <VRID>
6	Установить приоритет VRRP-маршрутизатора (не обязательно).	esr(config-if-gi)# vrrp priority <PR>	<PR> – приоритет VRRP-маршрутизатора, принимает значения [1..254]. Значение по умолчанию: 100.
6	Установить приоритет VRRP-маршрутизатора (не обязательно).	esr(config-if-gi)# ipv6 vrrp priority <PR>
7	Установить принадлежность VRRP-маршрутизатора к группе. Группа предоставляет возможность синхронизировать несколько VRRP-процессов, так если в одном из процессов произойдет смена мастера, то в другом процессе также произойдёт смена ролей (не обязательно).	esr(config-if-gi)# vrrp group <GRID>	<GRID> – идентификатор группы VRRP-маршрутизатора, принимает значения [1..32].
7		esr(config-if-gi)# ipv6 vrrp group <GRID>
8	Установить IP-адрес, который будет использоваться в качестве IP-адреса отправителя для VRRP-сообщений (не обязательно).	esr(config-if-gi)# vrrp source-ip <IP>	<IP> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
8		esr(config-if-gi)# ipv6 vrrp source-ip <IPV6>	<IPV6> – IPv6-адрес отправителя, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
9	Установить интервал между отправкой VRRP-сообщений (не обязательно).	esr(config-if-gi)# vrrp timers advertise <TIME>	<TIME> – время в секундах, принимает значения [1..40]. Значение по умолчанию: 1 секунда.
9		esr(config-if-gi)# ipv6 vrrp timers advertise <TIME>
10	Установить интервал, по истечении которого происходит отправка GratuituousARP-сообщения(ий) при переходе маршрутизатора в состояние Master (не обязательно).	esr(config-if-gi)# vrrp timers garp delay <TIME>	<TIME> – время в секундах, принимает значения [1..60]. Значение по умолчанию: 5 секунд.
11	Установить количество GratuituousARP-сообщений, которые будут отправлены при переходе маршрутизатора в состояние Master (не обязательно).	esr(config-if-gi)# vrrp timers garp repeat <COUNT>	<COUNT> – количество сообщений, принимает значения [1..60]. Значение по умолчанию: 5.
12	Установить интервал, по истечении которого будет происходить периодическая отправка GratuituousARP-сообщения(ий), пока маршрутизатор находится в состоянии Master (не обязательно).	esr(config-if-gi)# vrrp timers garp refresh <TIME>	<TIME> – время в секундах, принимает значения [1..65535]. Значение по умолчанию: периодическая отправка отключена.
13	Установить количество GratuituousARP-сообщений, которые будут отправляться с периодом garprefresh, пока маршрутизатор находится в состоянии Master (не обязательно).	esr(config-if-gi)# vrrp timers garp refresh-repeat <COUNT>	<COUNT> – количество сообщений, принимает значения [1..60]. Значение по умолчанию: 1.
14	Определить, будет ли Backup-маршрутизатор с более высоким приоритетом пытаться перехватить на себя роль Master у текущего Master-маршрутизатора с более низким приоритетом (не обязательно).	esr(config-if-gi)# vrrp preempt disable
14		esr(config-if-gi)# ipv6 vrrp preempt disable
15	Установить временной интервал, по истечении которого Backup-маршрутизатор с более высоким приоритетом будет пытаться перехватить на себя роль Master у текущего Master-маршрутизатора с более низким приоритетом (не обязательно).	esr(config-if-gi)# vrrp preempt delay <TIME>	<TIME> – время ожидания, определяется в секундах [1..1000]. Значение по умолчанию: 0.
15		esr(config-if-gi)# ipv6 vrrp preempt delay <TIME>
16	Установить пароль для аутентификации с соседом (не обязательно).	esr(config-if-gi)# vrrp authentication key ascii-text { <CLEAR-TEXT> \| encrypted <ENCRYPTED-TEXT> }	<CLEAR-TEXT> – ключ, задаётся строкой от 1 до 8 символов; <ENCRYPTED-TEXT> – зашифрованный ключ размером от 1 до 8 байт (от 2 до 16 символов). Задается в шестнадцатеричном формате (0xYYYY...) или (YYYY...).
17	Определить алгоритм аутентификации (не обязательно).	esr(config-if-gi)# vrrp authentication algorithm <ALGORITHM>	<ALGORITHM> – алгоритм аутентификации: cleartext – пароль, передается открытым текстом; md 5 – пароль хешируется по алгоритму md5.
18	Задать версию VRRP-протокола (не обязательно).	esr(config-if-gi)# vrrp version <VERSION>	<VERSION> – версия VRRP-протокола: 2, 3.
19	Установить режим, когда vrrp IP-адрес остается в состоянии UP вне зависимости от состояния самого интерфейса (не обязательно).	esr(config-if-gi)# vrrp force-up
20	Определить задержку между установлением ipv6 vrrp состояния MASTER и началом рассылки ND-сообщений (не обязательно).	esr(config-if-gi)# ipv6 vrrp timers nd delay <TIME>	<TIME> – время в секундах, принимает значения [1..60]. Значение по умолчанию: 5.
21	Определить период обновления информации протокола ND для ipv6 vrrp в состоянии MASTER (не обязательно).	esr(config-if-gi)# ipv6 vrrp timers nd refresh <TIME>	<TIME> – время в секундах, принимает значения [1..65535]. Значение по умолчанию: 5.
22	Определить количество ND сообщений отправляемых за период обновления для ipv6 vrrp в состоянии MASTER (не обязательно).	esr(config-if-gi)# ipv6 vrrp timers nd refresh-repeat <NUM>	<NUM> – количество, принимает значения [1..60]. Значение по умолчанию: 0.
23	Определить количество отправок ND-пакетов после установки ipv6 vrrp в состоянии MASTER (не обязательно).	esr(config-if-gi)# ipv6 vrrp timers nd repeat <NUM>	<NUM> – количество, принимает значения [1..60]. Значение по умолчанию: 1.

Пример настройки 1

Задача:

Организовать виртуальный шлюз для локальной сети в VLAN 50, используя протокол VRRP. В качестве локального виртуального шлюза используется IP-адрес 192.168.1.1.

Решение:

Предварительно нужно выполнить следующие действия:

создать соответствующий саб-интерфейс;
настроить зону для саб-интерфейса;
указать IP-адрес для саб-интерфейса.

Основной этап конфигурирования:

Настроим маршрутизатор R1.

В созданном саб-интерфейсе настроим VRRP. Укажем уникальный идентификатор VRRP:

R1(config)#interface gi 1/0/5.50
R1(config-if-sub)# vrrp id 10

Укажем IP-адрес виртуального шлюза 192.168.1.1/24:

R1(config-if-sub)# vrrp ip 192.168.1.1

Включим VRRP:

R1(config-if-sub)# vrrp
R1(config-if-sub)# exit

После чего необходимо произвести аналогичные настройки на R2.

Пример настройки 2

Задача:

Организовать виртуальные шлюзы для подсети 192.168.1.0/24 в VLAN 50 и подсети 192.168.20.0/24 в VLAN 60, используя протокол VRRP c функцией синхронизации мастера. Для этого используем объединение VRRP-процессов в группу. В качестве виртуальных шлюзов используются IP-адреса 192.168.1.1 и 192.168.20.1.

Решение:

Предварительно нужно выполнить следующие действия:

создать соответствующие саб-интерфейсы;
настроить зону для саб-интерфейсов;
указать IP-адреса для саб-интерфейсов.

Основной этап конфигурирования:

Настроим маршрутизатор R1.

Настроим VRRP для подсети 192.168.1.0/24 в созданном саб-интерфейсе.

Укажем уникальный идентификатор VRRP:

R1(config-sub)#interface gi 1/0/5.50
R1(config-if-sub)# vrrp id 10

Укажем IP-адрес виртуального шлюза 192.168.1.1:

R1(config-if-sub)# vrrp ip 192.168.1.1

Укажем идентификатор VRRP-группы:

R1(config-if-sub)# vrrp group 5

Включим VRRP:

R1(config-if-sub)# vrrp
R1(config-if-sub)# exit

Настроим VRRP для подсети 192.168.20.0/24 в созданном саб-интерфейсе.

Укажем уникальный идентификатор VRRP:

R1(config-sub)#interface gi 1/0/6.60
R1(config-if-sub)# vrrp id 20

Укажем IP-адрес виртуального шлюза 192.168.20.1:

R1(config-if-sub)# vrrp ip 192.168.20.1

Укажем идентификатор VRRP-группы:

R1(config-if-sub)# vrrp group 5

Включим VRRP:

R1(config-if-sub)# vrrp
R1(config-if-sub)# exit

Произвести аналогичные настройки на R2.

Помимо создания туннеля необходимо в firewall разрешить протокол VRRP (112).

При использовании IPsec с VRRP рекомендуется настраивать DPD для ускорения перестроения IPsec-туннеля.

Настройка tracking

Tracking — механизм, позволяющий активировать сущности в зависимости от состояния VRRP/SLA.

Алгоритм настройки

Шаг	Описание	Команда	Ключи
1	Настроить VRRP согласно разделу Алгоритм настройки VRRP или настроить SLA по инструкции Настройка SLA.
2	Добавить в систему Tracking-объект и перейти в режим настройки параметров Tracking-объекта.	esr(config)# track <ID>	<ID> – номер Tracking-объекта, принимает значения [1..100].
3	Задать правило слежения за VRRP/SLA-процессами, на основании которых Tracking-объект будет переходить в активное состояние.	esr(config-track)# track vrrp id <VRID> state [not] { master \| backup \| fault } [vrf <VRF> ]	<VRID> – идентификатор отслеживаемого VRRP-маршрутизатора, принимает значения [1..255]; <VRF> – имя экземпляра VRF, задается строкой до 31 символа.
3		esr(config-track)# track sla test <NUM> [ mode <MODE> ]	<NUM> – номер SLA-теста, задается в диапазоне [1..10000]; <MODE> – режим слежения за sla-тестом, может принимать значения: state success – отслеживается успешное состояние sla-теста; state fail – отслеживается провальное состояние sla-теста; reachability – отслеживаются состояние канала связи, по которому осуществляется sla-тест.
4	Включить Tracking-объект.	esr(config-track)# enable
5	Установить задержку смены состояния отслеживаемого объекта (не обязательно).	esr(config-track)# delay { down \| up } <TIME>	<TIME> – время задержки в секундах, задается в диапазоне [1..300].
6	Задать режим работы track (не обязательно).	esr(config-track)# mode <MODE>	<MODE> – условие нахождения объекта отслеживания в активном состоянии, принимает значения: and – объект будет находиться в активном состоянии, если выполяются все отслеживаемые условия; or – объект будет находиться в активном состоянии, если выполняется хотя бы одно из отслеживаемых условий.
7	Cоздать сущность на ESR, которая будет меняться в зависимости от состояния Tracking-объекта.
7.1	Добавить возможность управления статическим IP-маршрутом к указанной подсети (не обязательно).	esr(config)# ip route [ vrf <VRF> ] <SUBNET> { <NEXTHOP> [ resolve ] \| interface <IF> \| tunnel <TUN> \| wan load-balance rule <RULE> \| blackhole \| unreachable \| prohibit } [ <METRIC> ] [ track <TRACK-ID> ]	<VRF> – имя экземпляра VRF, задается строкой до 31 символа; <SUBNET> – адрес назначения, может быть задан в следующих видах: AAA.BBB.CCC.DDD – IP-адрес хоста, где каждая часть принимает значения [0..255]; AAA.BBB.CCC.DDD/NN – IP-адрес подсети с маской в виде префикса, где AAA-DDD принимают значения [0..255] и NN принимает значения [1..32]. <NEXTHOP> – IP-адрес шлюза задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; resolve – при указании данного параметра IP-адрес шлюза будет рекурсивно вычислен через таблицу маршрутизации. Если при рекурсивном вычислении не удастся найти шлюз из напрямую подключенной подсети, то данный маршрут не будет установлен в систему; <IF> – имя IP-интерфейса, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора; <TUN> – имя туннеля, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора; <RULE> – номер правила wan, задаётся в диапазоне [1..50]; blackhole – при указании команды пакеты до данной подсети будут удаляться устройством без отправки уведомлений отправителю; unreachable – при указании команды пакеты до данной подсети будут удаляться устройством, отправитель получит в ответ ICMP Destination unreachable (Host unreachable, code 1); prohibit – при указании команды, пакеты до данной подсети будут удаляться устройством, отправитель получит в ответ ICMP Destination unreachable (Communication administratively prohibited, code 13); [METRIC] – метрика маршрута, принимает значения [0..255]; <TRACK-ID> – идентификатор Tracking-объекта. Если маршрут привязан к Tracking-объекту, то он появится в системе только при выполнении всех условий, заданных в объекте.
7.2	Добавить возможность управления логическим состоянием интерфейса (не обязательно).	esr(config-if-gi)# shutdown track <ID>	<ID> – номер Tracking-объекта, принимает значения [1..100].
7.3	Добавить возможность управления приоритетом VRRP-процесса (не обязательно).	esr(config-if-gi)# vrrp priority track <ID> { <PRIO> \| increment <INC> \| decrement <DEC> }	<ID> – номер Tracking-объекта, принимает значения в диапазоне [1..100]; <PRIO> – приоритет VRRP-процесса, который выставится, если Tracking-объект будет в активном состоянии, принимает значения в диапазоне [1..254]; <INC> – значение на которое увеличится приоритет VRRP-процесса, если Tracking-объект будет в активном состоянии, принимает значения в диапазоне [1..254]; <DEC> – значение на которое уменьшится приоритет VRRP-процесса, если Tracking-объект будет в активном состоянии, принимает значения в диапазоне [1..254].
7.4	Добавить возможность управления Next-Hop для пакетов, которые попадают под критерии в указанном списке доступа (ACL) (не обязательно).	esr(config-route-map-rule)# action set ip next-hop verify-availability <NEXTHOP> <METRIC> track <ID>	<NEXTHOP> – IP-адрес шлюза, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <METRIC> – метрика маршрута, принимает значения [0..255]; <ID> – номер Tracking-объекта, принимает значения [1..100].
7.5	Добавить возможность управления атрибутом BGP AS-Path, которое будет добавляться в начало списка AS-Path (не обязательно).	esr(config-route-map-rule)# action set as-path prepend <AS-PATH> track <ID> [ default <AS-PATH> ]	<AS-PATH> – список номеров автономных систем, который будет добавлен к текущему значению в маршруте. Задаётся в виде AS,AS,AS, принимает значения [1..4294967295]; <ID> – номер Tracking-объекта, принимает значения [1..100].
7.6	Добавить возможность управления атрибутом BGP MED в маршруте, для которого должно срабатывать правило (не обязательно).	esr(config-route-map-rule)# action set metric bgp { <METRIC> \| increment <INC> \| decrement <DEC> } track <ID> [ default { <METRIC> \| increment <INC> \| decrement <DEC> } ]	<ID> – номер Tracking-объекта, принимает значения [1..100]; <METRIC> – значение атрибута BGP MED, принимает значения [0..4294967295]; <INC> – значение, на которое увеличится атрибут BGP MED, если Tracking-объект будет в активном состоянии. Принимает значения [0..4294967295]; <DEC> – значение, на которое уменьшится атрибут BGP MED, если Tracking-объект будет в активном состоянии. Принимает значения [0..4294967295];

Пример настройки

Задача:

Для подсети 192.168.0.0/24 организован виртуальный шлюз 192.168.0.1/24 с использованием протокола VRRP на основе аппаратных маршрутизаторов R1 и R2. Также между маршрутизаторами R1 и R2 есть линк с вырожденной подсетью 192.168.1.0/30. Подсеть 10.0.1.0/24 терминируется только на маршрутизаторе R2. ПК имеет IP-адрес 192.168.0.4/24 и шлюз по умолчанию 192.168.0.1.

Когда маршрутизатор R1 находится в состоянии vrrp backup, трафик от ПК в подсеть 10.0.1.0/24 пойдет без дополнительных настроек. Когда маршрутизатор R1 находится в состоянии vrrp master, необходим дополнительный маршрут для подсети 10.0.1.0/24 через интерфейс 192.168.1.2.

Исходные конфигурации маршрутизаторов:

Маршрутизатор R1

hostname R1
interface gigabitethernet 1/0/1
  switchport forbidden default-vlan
exit
interface gigabitethernet 1/0/1.741
  ip firewall disable
  ip address 192.168.0.2/24
  vrrp id 10
  vrrp ip 192.168.0.1/24
  vrrp
exit
interface gigabitethernet 1/0/2
  switchport forbidden default-vlan
exit
interface gigabitethernet 1/0/2.742
  ip firewall disable
  ip address 192.168.1.1/30
exit

Маршрутизатор R2

hostname R2
interface gigabitethernet 1/0/1
  switchport forbidden default-vlan
exit
interface gigabitethernet 1/0/1.741
  ip firewall disable
  ip address 192.168.0.3/24
  vrrp id 10
  vrrp ip 192.168.0.1/24
  vrrp
exit
interface gigabitethernet 1/0/2
  switchport forbidden default-vlan
exit
interface gigabitethernet 1/0/2.742
  ip firewall disable
  ip address 192.168.1.2/30
exit
interface gigabitethernet 1/0/4
  ip firewall disable
  ip address 10.0.1.1/24
exit

Решение:

На маршрутизаторе R2 никаких изменений не требуется, так как подсеть 10.0.1.0/24 терминируется на нем, и в момент, когда R2 выступает в роли vrrp master, пакеты будут переданы в соответствующий интерфейс. На маршрутизаторе необходимо создать маршрут для пакетов с IP-адресом назначения из сети 10.0.1.0/24 в момент, когда R1 выступает в роли vrrp master.

Для этого создадим track-object с соответствующим условием:

R1(config)# track 1
R1(config-track)# track vrrp id 10 state master 
R1(config-track)# enable
R1(config-track)# exit

Создадим статический маршрут в подсеть 10.0.1.0/24 через 192.168.1.2, который будет работать в случае удовлетворения условия из track 1:

R1(config)# ip route 10.0.1.0/24 192.168.1.2 track 1

Настройка Firewall/NAT failover

Firewall failover необходим для резервирования сессий firewall.

Алгоритм настройки

Шаг	Описание	Команда	Ключи
1	Перед настройкой сервисов резервирования необходимо настроить общие параметры failover.
2	Переход в конфигурационное меню общих настроек failover-сервисов.	esr(config)# ip failover [ vrf <VRF> ]	<VRF> – имя VRF, задается строкой до 31 символа.
3	Установка IP-адреса, на котором failover-сервисы принимают failover-сообщения при работе в режиме резервирования.	esr(config-failover)# local-address { <ADDR> \| object-group <NETWORK_OBJ_GROUP_NAME> }	<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <NETWORK_OBJ_GROUP_NAME> – список адресов, которые будут использоваться в качестве local address.
4	Установка многоадресного IP-адреса, который будет использоваться для обмена информацией при работе резервирования failover-сервисов в multicast-режиме.	esr(config-failover)# multicast-address <ADDR>	<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
5	Установка идентификатора multicast-группы для обмена информацией при работе резервирования failover-сервисов в multicast-режиме.	esr(config-failover)# multicast-group <GROUP>	<GROUP> – multicast-группа, указывается в диапазоне [1000..9999].
6	Установка IP-адреса, на который failover-сервисы отправляют failover-сообщения при работе в режиме резервирования.	esr(config-failover)# remote-address { <ADDR> \| object-group <NETWORK_OBJ_GROUP_NAME> }	<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <NETWORK_OBJ_GROUP_NAME> – список адресов, которые будут использоваться в качестве local address.
7	Выбор VRRP-группы, по состоянию которой будет определятся мастерство при работе failover-сервисов в режиме Active-Standby.	esr(config-failover)# vrrp-group <GRID>	<GRID> – идентификатор группы VRRP-маршрутизатора, принимает значения [1..32].
8	Переход в конфигурационное меню настроек Firewall failover.	esr(config)# ip firewall failover
9	Выбор режима обмена информацией между маршрутизаторами.	esr(config-firewall-failover)# sync-type <MODE>	<MODE> – режим обмена информацией: unicast – режим unicast; multicast – режим multicast.
10	Настройка номера UDP-порта службы резервирования сессий Firewall, через который происходит обмен информацией при работе в unicast-режиме (не обязательно).	esr(config-firewall-failover)# port <PORT>	<PORT> – номер порта службы резервирования сессий Firewall, указывается в диапазоне [1..65535].
11	Включение резервирования сессий Firewall.	esr(config-firewall-failover)# enable

При настройке firewall failover также будут синхронизироваться NAT-сессии между устройствами.

Пример настройки

Задача:

Настроить резервирование сессий firewall для VRRP-группы в unicast-режиме. Необходимо организовать резервирование для двух подсетей с помощью протокола VRRP, синхронизировать vrrp-процессы на маршрутизаторах.

Основные этапы решения задачи:

1) Необходимо настроить vrrp-процессы на маршрутизаторах. Для master будем использовать vrrp priority 20, для backup будем использовать vrrp priority 10.

2) Необходимо настроить firewall failover в режиме unicast с номером udp-порта 3333 для VRRP-группы.

3) Необходимо настроить зону безопасности для протокола vrrp и протокола udp.

Решение:

Настроим маршрутизатор ESR-1 (master).

Предварительно на интерфейсах настроим IP-адрес и определим принадлежность к зоне безопасности.

master(config)# interface gigabitethernet 1/0/1
master(config-if-gi)# security-zone trusted
master(config-if-gi)# ip address 192.0.2.3/24
master(config-if-gi)# exit
master(config)# interface gigabitethernet 1/0/2
master(config-if-gi)# security-zone trusted
master(config-if-gi)# ip address 203.0.113.1/30
master(config-if-gi)# exit
master(config)# interface gigabitethernet 1/0/3
master(config-if-gi)# security-zone trusted
master(config-if-gi)# ip address 198.51.100.3/24
master(config-if-gi)# exit

Настроим vrrp-процессы на интерфейсах. Необходимо настроить следующие параметры на интерфейсах маршрутизатора: идентификатор VRRP, IP-адрес VRRP, приоритет VRRP, принадлежность VRRP-маршрутизатора к группе.

Также дополнительно на master необходимо настроить vrrp preempt delay, в результате чего появится время на установление синхронизации firewall перед тем, как backup-маршрутизатор передаст мастерство.

После чего необходимо включить vrrp-процесс с помощью команды "vrrp".

Вместо настройки vrrp preempt delay есть возможность выбора режима работы vrrp preempt disable, в результате которого маршрутизатор с более высоким vrrp-приоритетом не будет забирать мастерство у маршрутизатора с более низким vrrp-приоритетом после возвращения в работу.

На маршрутизаторе необходимо установить принадлежность vrrp-процессов к одной группе для синхронизации состоянии vrrp-процессов (master, backup), а также для синхронизации сессий vrrp-процессов с помощью firewall failover.

master(config)# interface gigabitethernet 1/0/1
master(config-if-gi)# vrrp id 1
master(config-if-gi)# vrrp ip 192.0.2.1/24
master(config-if-gi)# vrrp priority 20
master(config-if-gi)# vrrp group 1
master(config-if-gi)# vrrp preempt delay 60
master(config-if-gi)# vrrp
master(config-if-gi)# exit

master(config)# interface gigabitethernet 1/0/3
master(config-if-gi)# vrrp id 3
master(config-if-gi)# vrrp ip 198.51.100.1/24
master(config-if-gi)# vrrp priority 20
master(config-if-gi)# vrrp group 1
master(config-if-gi)# vrrp preempt delay 60
master(config-if-gi)# vrrp
master(config-if-gi)# exit

Настроим общие параметры failover:

master(config)# ip failover 
master(config-failover)# local-address 203.0.113.1
master(config-failover)# remote-address 203.0.113.2
master(config-failover)# vrrp-group 1
master(config-failover)# exit

Настроим firewall failover.

Выберем режим резервирование сессий unicast:

master(config)# ip firewall failover 
master(config-firewall-failover)# sync-type unicast

Настроим номер UDP-порта службы резервирования сессий Firewall:

master(config-firewall-failover)# port 3333

Включим резервирования сессий Firewall:

master(config-firewall-failover)# enable

Для настройки правил зон безопасности потребуется создать профиль для порта firewall failover:

master(config)# object-group service failover
master(config-object-group-service)# port-range 3333
master(config-object-group-service)# exit

Дополнительно в security zone-pair trusted self необходимо разрешить следующие протоколы:

master(config)# security zone-pair trusted self
master(config-zone-pair)# rule 66
master(config-zone-pair-rule)# action permit
master(config-zone-pair-rule)# match protocol vrrp
master(config-zone-pair-rule)# enable
master(config-zone-pair-rule)# exit
master(config-zone-pair)# rule 67
master(config-zone-pair-rule)# action permit
master(config-zone-pair-rule)# match protocol udp
master(config-zone-pair-rule)# match destination-port failover
master(config-zone-pair-rule)# enable
master(config-zone-pair-rule)# exit
master(config-zone-pair)# exit

Посмотреть статус vrrp-процессов есть возможность с помощью следующей команды:

master# show vrrp 
Virtual router   Virtual IP                          Priority   Preemption   State    
--------------   ---------------------------------   --------   ----------   ------   
1                192.0.2.1/24                        20         Enabled      Master   
3                198.51.100.1/24                     20         Enabled      Master

Посмотреть состояние резервирования сессий Firewall есть возможность с помощью следующей команды:

master# show ip firewall failover 
Communication interface:                    gigabitethernet 1/0/2
Status:                                     Running
Bytes sent:                                 2496
Bytes received:                             640
Packets sent:                               271
Packets received:                           40
Send errors:                                0
Receive errors:                             0

Посмотреть состояние систем резервирования устройства есть возможность с помощью следующей команды:

master# show high-availability state 
AP Tunnels:
    State:                         Disabled
    Last state change:             --
DHCP server:
    State:                         Disabled
    Last state change:             --
Firewall sessions:
    State:                         successful synchronization
    Last synchronization:          09:38:00 05.08.2021

Настроим маршрутизатор ESR-2 (backup).

Настройка интерфейсов:

backup(config)# interface gigabitethernet 1/0/1
backup(config-if-gi)# security-zone trusted
backup(config-if-gi)# ip address 192.0.2.2/24
backup(config-if-gi)# vrrp id 1
backup(config-if-gi)# vrrp ip 192.0.2.1/24
backup(config-if-gi)# vrrp priority 10
backup(config-if-gi)# vrrp group 1
backup(config-if-gi)# vrrp
backup(config-if-gi)# exit

backup(config)# interface gigabitethernet 1/0/2
backup(config-if-gi)# security-zone trusted
backup(config-if-gi)# ip address 203.0.113.2/30
backup(config-if-gi)# exi

backup(config)# interface gigabitethernet 1/0/3
backup(config-if-gi)# security-zone trusted
backup(config-if-gi)# ip address 198.51.100.2/24
backup(config-if-gi)# vrrp id 3
backup(config-if-gi)# vrrp ip 198.51.100.1/24
backup(config-if-gi)# vrrp priority 10
backup(config-if-gi)# vrrp group 1
backup(config-if-gi)# vrrp
backup(config-if-gi)# exit

Настройка firewall failover:

backup(config)# ip failover 
backup(config-failover)# local-address 203.0.113.2
backup(config-failover)# remote-address 203.0.113.1
backup(config-failover)# vrrp-group 1
backup(config-failover)# exit
backup(config)# ip firewall failover 
backup(config-firewall-failover)# sync-type unicast 
backup(config-firewall-failover)# port 3333
backup(config-firewall-failover)# enable

Настройка зоны безопасности аналогична настройки на маршрутизаторе ESR-1 (master).

Настройка DHCP failover

DHCP failover используется для резервирования базы IP-адресов, которые были динамически выданы в процессе работы DHCP-server.

Алгоритм настройки

Шаг	Описание	Команда	Ключи
1	Перед настройкой сервисов резервирования необходимо настроить общие параметры failover.
2	Переход в конфигурационное меню общих настроек failover-сервисов.	esr(config)# ip failover [ vrf <VRF> ]	<VRF> – имя VRF, задается строкой до 31 символа;
3	Установка IP-адреса, на котором failover-сервисы принимают failover-сообщения при работе в режиме резервирования.	esr(config-failover)# local-address { <ADDR> \| object-group <NETWORK_OBJ_GROUP_NAME> }	<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <NETWORK_OBJ_GROUP_NAME> – список адресов, которые будут использоваться в качестве local address.
4	Установка IP-адреса, на который failover сервисы отправляют failover-сообщения при работе в режиме резервирования.	esr(config-failover)# remote-address { <ADDR> \| object-group <NETWORK_OBJ_GROUP_NAME> }	<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <NETWORK_OBJ_GROUP_NAME> – список адресов, которые будут использоваться в качестве local address.
5	Выбор VRRP-группы, по состоянию которой будет определятся мастерство при работе failover сервисов в режиме Active-Standby.	esr(config-failover)# vrrp-group <GRID>	<GRID> – идентификатор группы VRRP-маршрутизатора, принимает значения [1..32].
6	Переход в конфигурационное меню DHCP failover для его настройки.	esr(config)# ip dhcp-server failover [ vrf <VRF> ]	<VRF> – имя VRF, задается строкой до 31 символа;
7	Выбор режима работы DHCP failover.	esr(config-dhcp-server-failover)# mode { active-active \| active-standby }	active-active – режим работы с двумя активными маршрутизаторами; active-standby – режим работы с одним активным маршрутизатором и одним резервным.
8	Настройка роли DHCP failover, при работе резервирования в режиме Active-Active.	esr(config-dhcp-server-failover)# role <ROLE>	<ROLE> – роль DHCP-сервера при работе в режиме резервирования: primary – режим активного DHCP-сервера; secondary – режим резервного DHCP-сервера.
9	Включение резервирования DHCP failover.	esr(config-dhcp-server-failover)# enable

Режим active-standby не поддержан в VRF.

Пример настройки

Задача:

Настроить резервирование DHCP-сервера в режиме Active-Standby. Необходимо организовать резервирование для двух подсетей с помощью протокола VRRP, синхронизировать vrrp-процессы на маршрутизаторах.

Основные этапы решения задачи:

1) Необходимо настроить vrrp-процессы на маршрутизаторах. Для master будем использовать vrrp priority 20, для backup будем использовать vrrp priority 10.

2) Необходимо настроить DHCP failover в режиме Active-Standby.

3) Необходимо настроить зону безопасности для протоколов vrrp, udp и tcp.

Решение:

1. Настройка маршрутизатора ESR-1 (master).

Предварительно на интерфейсах настроим IP-адрес и определим принадлежность к зоне безопасности.

master(config)# interface gigabitethernet 1/0/1
master(config-if-gi)# security-zone trusted
master(config-if-gi)# ip address 192.0.2.3/24
master(config-if-gi)# exit
master(config)# interface gigabitethernet 1/0/2
master(config-if-gi)# security-zone trusted
master(config-if-gi)# ip address 203.0.113.1/30
master(config-if-gi)# exit
master(config)# interface gigabitethernet 1/0/3
master(config-if-gi)# security-zone trusted
master(config-if-gi)# ip address 198.51.100.3/24
master(config-if-gi)# exit

Настроим vrrp-процессы на интерфейсах. Необходимо настроить следующие параметры на интерфейсах маршрутизатора: идентификатор VRRP, IP-адрес VRRP, приоритет VRRP, принадлежность VRRP-маршрутизатора к группе.

После чего необходимо включить vrrp-процесс с помощью команды "vrrp".

Вместо настройки vrrp preempt delay есть возможность выбора режима работы vrrp preempt disable, в результате которого маршрутизатор с более высоким vrrp-приоритетом не будет забирать мастерство у маршрутизатора с более низким vrrp-приоритетом после возвращения в работу.

На маршрутизаторе необходимо установить принадлежность vrrp-процессов к одной группе для синхронизации состоянии vrrp-процессов (master, backup).

master(config)# interface gigabitethernet 1/0/1
master(config-if-gi)# vrrp id 1
master(config-if-gi)# vrrp ip 192.0.2.1/24
master(config-if-gi)# vrrp priority 20
master(config-if-gi)# vrrp group 1
master(config-if-gi)# vrrp
master(config-if-gi)# exit
master(config)# interface gigabitethernet 1/0/3
master(config-if-gi)# vrrp id 3
master(config-if-gi)# vrrp ip 198.51.100.1/24
master(config-if-gi)# vrrp priority 20
master(config-if-gi)# vrrp group 1
master(config-if-gi)# vrrp
master(config-if-gi)# exit

Настроим DHCP failover. Для DHCP failover необходимо настроить следующие параметры: mode, local-address, remote-address, принадлежность VRRP-маршрутизатора к группе.

master(config)# ip dhcp-server pool LAN
master(config-dhcp-server)# network 192.0.2.0/24
master(config-dhcp-server)# address-range 192.0.2.10-192.0.2.20
master(config-dhcp-server)# exit
master(config)# ip dhcp-server 
master(config)# ip failover 
master(config-failover)# local-address 203.0.113.1
master(config-failover)# remote-address 203.0.113.2
master(config-failover)# vrrp-group 1
master(config-failover)# exit
master(config)# ip dhcp-server failover 
master(config-dhcp-server-failover)# mode active-standby 
master(config-dhcp-server-failover)# enable 
master(config-dhcp-server-failover)# exit

Для запуска DHCP failover необходимо предварительно настроить и включить DHCP-server, который будет резервироваться.

Для настройки правил зон безопасности потребуется создать профиль для порта DHCP failover:

master(config)# object-group service dhcp_failover
master(config-object-group-service)# port-range 873
master(config-object-group-service)# exit

DHCP failover для синхронизации использует TCP-порт 873, его необходимо разрешить при настройке firewall.

Дополнительно в security zone-pair trusted self необходимо разрешить следующие протоколы:

master(config)# security zone-pair trusted self
master(config-zone-pair)# rule 66
master(config-zone-pair-rule)# action permit
master(config-zone-pair-rule)# match protocol vrrp
master(config-zone-pair-rule)# enable
master(config-zone-pair-rule)# exit
master(config-zone-pair)# rule 67
master(config-zone-pair-rule)# action permit
master(config-zone-pair-rule)# match protocol tcp
master(config-zone-pair-rule)# match destination-port dhcp_failover
master(config-zone-pair-rule)# enable
master(config-zone-pair-rule)# exit
master(config-zone-pair)# rule 68                                                 
master(config-zone-pair-rule)# action permit
master(config-zone-pair-rule)# match protocol udp 
master(config-zone-pair-rule)# enable 
master(config-zone-pair-rule)# exit

Посмотреть статус vrrp-процессов есть возможность с помощью следующей команды:

master# show vrrp 
Virtual router   Virtual IP                          Priority   Preemption   State    
--------------   ---------------------------------   --------   ----------   ------   
1                192.0.2.1/24                        20         Enabled      Master   
3                198.51.100.1/24                     20         Enabled      Master

Посмотреть состояние резервирования сессий Firewall есть возможность с помощью следующей команды:

master# show ip dhcp server failover 
VRF:       --
    State: Successful

Посмотреть состояние систем резервирования устройства есть возможность с помощью следующей команды:

master# show high-availability state 
AP Tunnels:
    State:                         Disabled
    Last state change:             --
DHCP option 82 table:
    State:                         Disabled
    Last state change:             --
DHCP server:
VRF:                               --
    State:                         Successful synchronization
    State:                         Disabled
    Last synchronization:          --

Для успешной синхронизации сервиса DHCP failover на устройствах должно быть выставлено идентичное время.

2. Настройка маршрутизатора ESR-2 (backup).

Настройка интерфейсов:

backup(config)# interface gigabitethernet 1/0/1
backup(config-if-gi)#   security-zone trusted
backup(config-if-gi)#   ip address 192.0.2.2/24
backup(config-if-gi)#   vrrp id 1
backup(config-if-gi)#   vrrp ip 192.0.2.1/24
backup(config-if-gi)#   vrrp priority 20
backup(config-if-gi)#   vrrp group 1
backup(config-if-gi)#   vrrp
backup(config-if-gi)# exit
backup(config)# interface gigabitethernet 1/0/2
backup(config-if-gi)#   security-zone trusted
backup(config-if-gi)#   ip address 203.0.113.2/30
backup(config-if-gi)# exit
backup(config)# interface gigabitethernet 1/0/3
backup(config-if-gi)#   security-zone trusted
backup(config-if-gi)#   ip address 198.51.100.2/24
backup(config-if-gi)#   vrrp id 3
backup(config-if-gi)#   vrrp ip 198.51.100.1/24
backup(config-if-gi)#   vrrp priority 10
backup(config-if-gi)#   vrrp group 1
backup(config-if-gi)#   vrrp
backup(config-if-gi)# exit

Настройка DHCP failover:

backup(config)# ip dhcp-server pool LAN
backup(config-dhcp-server)#   network 192.0.2.0/24
backup(config-dhcp-server)#   address-range 192.0.2.10-192.0.2.20
backup(config-dhcp-server)# exit
backup(config)# ip dhcp-server
backup(config)# ip failover 
backup(config-failover)# local-address 203.0.113.2
backup(config-failover)# remote-address 203.0.113.1
backup(config-failover)# vrrp-group 1
backup(config-failover)# exit
backup(config)# ip dhcp-server failover
backup(config-dhcp-server-failover)#   mode active-standby
backup(config-dhcp-server-failover)#   enable
backup(config-dhcp-server-failover)# exit

Настройка зоны безопасности аналогична настройке на маршрутизаторе ESR-1 (master).

Настройка Cluster

Cluster используется для резервирования работы устройств в сети. Резервирование обеспечивается за счет синхронизации работы различных сервисов между устройствами, а также за счет организации единой точки управления устройствами.

Алгоритм настройки

Шаг	Описание	Команда	Ключи
1	Перейти в режим конфигурирования кластера.	esr(config)# cluster
2	Установить интерфейс, через который будет происходить обмен служебными сообщениями между юнитами в кластере.	esr(config-cluster)# cluster-interface bridge [<BRIDGE-ID>]	<BRIDGE-ID> – идентификационный номер моста, задается в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.
3	Отключить синхронизацию конфигураций в кластере между юнитами (не обязательно).	esr(config-cluster)# sync config disable
4	Перейти в режим конфигурирования юнита в кластере.	esr(config-cluster)# unit <ID>	<ID> – номер юнита, принимает значения [1..2].
5	Настроить MAC-адрес для определенного юнита.	esr(config-cluster-unit)# mac-address <ADDR>	<ADDR> – МАС-адрес сетевого моста, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].
6	Включить работу кластера.	esr(config-cluster)# enable

В данной версии в качестве cluster-interface поддержан только bridge.

Данные между юнитами кластера через канал синхронизации передаются в открытом виде. Также все вводимые команды конфигурирования, содержащие чувствительную информацию не в encrypted-виде, будут переданы в том же виде, в котором введены, после чего будут преобразованы в encrypted-вид.

Пример настройки

Задача:

Настроить кластер в режиме Active-Standby.

Основные этапы решения задачи:

1) Настроить IP-адресацию, VRRP и firewall для интерфейсов.

2) Настроить cluster-interface.

3) Настроить cluster.

4) Проверить работу cluster с помощью show-команд.

Решение:

Настроить cluster можно двумя способами:

1) Настроить каждый unit отдельно.

2) Настроить один unit, а затем второй включить в cluster по ZTP.

В случае отдельной настройки необходимо сменить unit на одном из устройств так, чтобы одно из устройств было unit 1, а другое unit 2.

Пример ручной настройки каждого unit отдельно:

1. Настройка IP-адресации, VRRP и firewall для интерфейсов.

На интерфейсах настройте IP-адрес, VRRP и определите принадлежность к зоне безопасности. В случае настройки кластера конфигурация является единой, поэтому ее нужно загрузить на оба устройства.

active(config)# security zone trusted
active(config-zone)# exit
active(config)# security zone untrusted
active(config-zone)# exit
active(config)# interface gigabitethernet 1/0/2
active(config-if-gi)# security-zone trusted
active(config-if-gi)# ip address 192.0.2.2/24
active(config-if-gi)# vrrp id 10
active(config-if-gi)# vrrp ip 192.0.2.1/24
active(config-if-gi)# vrrp group 1
active(config-if-gi)# vrrp preempt disable
active(config-if-gi)# vrrp
active(config-if-gi)# exit
active(config)# interface gigabitethernet 1/0/3
active(config-if-gi)# security-zone untrusted
active(config-if-gi)# ip address 198.51.100.2/24
active(config-if-gi)# vrrp id 20
active(config-if-gi)# vrrp ip 198.51.100.1/24
active(config-if-gi)# vrrp group 1
active(config-if-gi)# vrrp preempt disable
active(config-if-gi)# vrrp
active(config-if-gi)# exit
active(config)# interface gigabitethernet 2/0/2
active(config-if-gi)# security-zone trusted
active(config-if-gi)# ip address 192.0.2.3/24
active(config-if-gi)# vrrp id 10
active(config-if-gi)# vrrp ip 192.0.2.1/24
active(config-if-gi)# vrrp group 1
active(config-if-gi)# vrrp preempt disable
active(config-if-gi)# vrrp
active(config-if-gi)# exit
active(config)# interface gigabitethernet 2/0/3
active(config-if-gi)# security-zone untrusted
active(config-if-gi)# ip address 198.51.100.3/24
active(config-if-gi)# vrrp id 20
active(config-if-gi)# vrrp ip 198.51.100.1/24
active(config-if-gi)# vrrp group 1
active(config-if-gi)# vrrp preempt disable
active(config-if-gi)# vrrp
active(config-if-gi)# exit
active(config)# security zone-pair trusted self
active(config-zone-pair)# rule 10
active(config-zone-pair-rule)# action permit
active(config-zone-pair-rule)# match protocol vrrp
active(config-zone-pair-rule)# enable
active(config-zone-pair-rule)# exit
active(config-zone-pair)# exit
active(config)# security zone-pair untrusted self
active(config-zone-pair)# rule 10
active(config-zone-pair-rule)# action permit
active(config-zone-pair-rule)# match protocol vrrp
active(config-zone-pair-rule)# enable
active(config-zone-pair-rule)# exit
active(config-zone-pair)# exit

2. Настройка cluster-interface.

active(config)# bridge 10
active(config-bridge)# vlan 1
active(config-bridge)# ip address 203.0.113.1/29 unit 1
active(config-bridge)# ip address 203.0.113.2/29 unit 2
active(config-bridge)# vrrp id 30
active(config-bridge)# vrrp ip 203.0.113.3/29
active(config-bridge)# vrrp group 1
active(config-bridge)# vrrp preempt disable
active(config-bridge)# vrrp
active(config-bridge)# enable
active(config-bridge)# exit
active(config)# interface gigabitethernet 1/0/1
active(config-if-gi)# mode switchport
active(config-if-gi)# exit
active(config)# interface gigabitethernet 2/0/1
active(config-if-gi)# mode switchport
active(config-if-gi)# exit

Важными настройками являются:

1) ip address (необходимо указать для всех юнитов, которые будут участвовать в cluster),

2) vrrp id (должен быть единый для всех юнитов),

3) vrrp ip (должен быть из той же подсети, что и ip address).

3. Настройка cluster.

active(config)# cluster
active(config-cluster)# cluster-interface bridge 10
active(config-cluster)# unit 1
active(config-cluster-unit)# mac-address e4:5a:d4:a0:be:35
active(config-cluster-unit)# exit
active(config-cluster)# unit 2
active(config-cluster-unit)# mac-address a8:f9:4b:af:35:84
active(config-cluster-unit)# exit
active(config-cluster)# enable
active(config-cluster)# exit

В качестве mac-address указывается MAC-адрес устройства, который можно узнать в show system.

Посмотреть статус кластера можно командой:

active# show cluster status 
Unit   Hostname               Role         MAC address         State            IP address        
----   --------------------   ----------   -----------------   --------------   ---------------   
1*     active                 Active       e4:5a:d4:a0:be:35   Joined           203.0.113.1       
2      standby                Standby      a8:f9:4b:af:35:84   Joined           203.0.113.2

Посмотреть статус синхронизации различных подсистем в кластере между юнитами можно командой:

active# show cluster sync status 
System part              Synced   
----------------------   ------   
candidate-config         Yes      
running-config           Yes      
SW version               Yes      
licence                  Yes      
licence (After reboot)   Yes      
date                     Yes

Посмотреть лицензии юнитов можно командой:

active# show cluster-unit-licences 
Serial number     Features                                                       
---------------   ------------------------------------------------------------   
NPXXXXXXXX        BRAS,IPS,WIFI                       
NPYYYYYYYY        BRAS,IPS,WIFI

Также можно посмотреть используемые ПО для всех юнитов кластера:

active# show version 
Unit   Hostname          Boot version                       SW version                               HW version   
----   ---------------   --------------------------------   --------------------------------------   ----------   
1*     active            1.24.x.x (2024-07-15 00:19:13)     1.24.x build x (2024-07-15 00:10:45)     1v5          
2      standby           1.24.x.x (2024-07-15 00:19:13)     1.24.x build x (2024-07-15 00:10:45)     1v4

Пример настройки с ZTP:

1. Настройка IP-адресации, VRRP и firewall для интерфейсов на одном из устройств. В данном примере будет настроено устройство на unit 1.

Предварительно на интерфейсах настройте IP-адрес, VRRP и определите принадлежность к зоне безопасности.

active(config)# security zone trusted
active(config-zone)# exit
active(config)# security zone untrusted
active(config-zone)# exit
active(config)# interface gigabitethernet 1/0/2
active(config-if-gi)# security-zone trusted
active(config-if-gi)# ip address 192.0.2.2/24
active(config-if-gi)# vrrp id 10
active(config-if-gi)# vrrp ip 192.0.2.1/24
active(config-if-gi)# vrrp group 1
active(config-if-gi)# vrrp preempt disable
active(config-if-gi)# vrrp
active(config-if-gi)# exit
active(config)# interface gigabitethernet 1/0/2
active(config-if-gi)# security-zone untrusted
active(config-if-gi)# ip address 198.51.100.2/24
active(config-if-gi)# vrrp id 20
active(config-if-gi)# vrrp ip 198.51.100.1/24
active(config-if-gi)# vrrp group 1
active(config-if-gi)# vrrp preempt disable
active(config-if-gi)# vrrp
active(config-if-gi)# exit
active(config)# interface gigabitethernet 2/0/3
active(config-if-gi)# security-zone trusted
active(config-if-gi)# ip address 192.0.2.3/24
active(config-if-gi)# vrrp id 10
active(config-if-gi)# vrrp ip 192.0.2.1/24
active(config-if-gi)# vrrp group 1
active(config-if-gi)# vrrp preempt disable
active(config-if-gi)# vrrp
active(config-if-gi)# exit
active(config)# interface gigabitethernet 2/0/3
active(config-if-gi)# security-zone untrusted
active(config-if-gi)# ip address 198.51.100.3/24
active(config-if-gi)# vrrp id 20
active(config-if-gi)# vrrp ip 198.51.100.1/24
active(config-if-gi)# vrrp group 1
active(config-if-gi)# vrrp preempt disable
active(config-if-gi)# vrrp
active(config-if-gi)# exit
active(config)# security zone-pair trusted self
active(config-zone-pair)# rule 10
active(config-zone-pair-rule)# action permit
active(config-zone-pair-rule)# match protocol vrrp
active(config-zone-pair-rule)# enable
active(config-zone-pair-rule)# exit
active(config-zone-pair)# exit
active(config)# security zone-pair untrusted self
active(config-zone-pair)# rule 10
active(config-zone-pair-rule)# action permit
active(config-zone-pair-rule)# match protocol vrrp
active(config-zone-pair-rule)# enable
active(config-zone-pair-rule)# exit
active(config-zone-pair)# exit

2. Настройка cluster-interface.

active(config)# bridge 10
active(config-bridge)# vlan 1
active(config-bridge)# ip address 203.0.113.1/29 unit 1
active(config-bridge)# ip address 203.0.113.2/29 unit 2
active(config-bridge)# vrrp id 30
active(config-bridge)# vrrp ip 203.0.113.3/29
active(config-bridge)# vrrp group 1
active(config-bridge)# vrrp preempt disable
active(config-bridge)# vrrp
active(config-bridge)# enable
active(config-bridge)# exit
active(config)# interface gigabitethernet 1/0/1
active(config-if-gi)# mode switchport
active(config-if-gi)# exit
active(config)# interface gigabitethernet 2/0/1
active(config-if-gi)# mode switchport
active(config-if-gi)# exit

Важными настройками являются:

1) ip address (необходимо указать для всех юнитов, которые будут участвовать в cluster),

2) vrrp id (должен быть единый для всех юнитов),

3) vrrp ip (должен быть из той же подсети, что и ip address).

3. Настройка cluster.

active(config)# cluster
active(config-cluster)# cluster-interface bridge 10
active(config-cluster)# unit 1
active(config-cluster-unit)# mac-address e4:5a:d4:a0:be:35
active(config-cluster-unit)# exit
active(config-cluster)# unit 2
active(config-cluster-unit)# mac-address a8:f9:4b:af:35:84
active(config-cluster-unit)# exit
active(config-cluster)# enable
active(config-cluster)# exit

В качестве mac-address указывается MAC-адрес устройства, который можно узнать в show system.

4. Подключите второе устройство на factory конфигурации через интерфейс, где включен dhcp-client. Устройство автоматически сменит unit, получит актуальное ПО и обновится на него, получит актуальную конфигурацию и лицензию.

Посмотреть статус кластера можно командой:

active# show cluster status 
Unit   Hostname               Role         MAC address         State            IP address        
----   --------------------   ----------   -----------------   --------------   ---------------   
1*     active                 Active       e4:5a:d4:a0:be:35   Joined           203.0.113.1       
2      standby                Standby      a8:f9:4b:af:35:84   Joined           203.0.113.2

Посмотреть статус синхронизации различных подсистем в кластере между юнитами можно командой:

active# show cluster sync status 
System part              Synced   
----------------------   ------   
candidate-config         Yes      
running-config           Yes      
SW version               Yes      
licence                  Yes      
licence (After reboot)   Yes      
date                     Yes

Посмотреть лицензии юнитов можно командой:

active# show cluster-unit-licences 
Serial number     Features                                                       
---------------   ------------------------------------------------------------   
NPXXXXXXXX        BRAS,IPS,WIFI                       
NPYYYYYYYY        BRAS,IPS,WIFI

Также можно посмотреть используемые ПО для всех юнитов кластера:

active# show version 
Unit   Hostname          Boot version                       SW version                               HW version   
----   ---------------   --------------------------------   --------------------------------------   ----------   
1*     active            1.24.x.x (2024-07-15 00:19:13)     1.24.x build x (2024-07-15 00:10:45)     1v5          
2      standby           1.24.x.x (2024-07-15 00:19:13)     1.24.x build x (2024-07-15 00:10:45)     1v4

Дерево страниц

Управление резервированием

Настройка VRRP

Алгоритм настройки

Пример настройки 1

Задача:

Решение:

Пример настройки 2

Задача:

Решение:

Настройка tracking

Алгоритм настройки

Пример настройки

Задача:

Исходные конфигурации маршрутизаторов:

Маршрутизатор R1

Маршрутизатор R2

Решение:

Настройка Firewall/NAT failover

Алгоритм настройки

Пример настройки

Задача:

Решение:

Настройка DHCP failover

Алгоритм настройки

Пример настройки

Задача:

Настройка Cluster

Алгоритм настройки

Пример настройки

Задача:

Решение: