Общее описание
Начиная с версии ПО 1.6.6, для ESR, которые могут работать в режиме wireless-controller (серии 100/200/1000/1200/1700), реализован новый режим работы механизма EoGRE keepalive. В данном режиме ESR не выполняет рассылку ping-probe на удаленные адреса терминации EoGRE, а слушает приходящие от удаленных устройств icmp echo EoGRE keepalive, которые содержат в себе удаленный адрес терминации GRE, тем самым позволяя wireless-controller определить работоспособность туннеля. Т.к. в данном случае keepalive использует приходящие пакеты удаленного устройства для определения работоспособности туннеля - данный режим назван "reactive". Обычный режим, когда ESR самостоятельно отправляет пакеты GRE keepalive для определения доступности удаленного адреса называется "proactive".
Внимание! Для корректной работы данного механизма требуется, что бы на клиентских устройствах типа ESR10/20/100/200 была установлена версия ПО не ниже 1.6.6, на ТД типа WEP/WOP версия ПО должна быть не ниже 1.19.0.
Принцип работы
Принципиальная схема работы приведена на рис. 1.
Рис. 1.
- ТД получает первичный (туннельный) адрес, вместе с 43-й опцией 11,12 подопциями (с адресами терминации GRE) и поднимает GRE туннели;
- После получения адреса управления (вторичного адреса) ТД начинает отправлять icmp echo внутри GRE туннеля на адрес шлюза, который она получила при получении адреса управления;
- При отправке icmp echo в него помещается в качестве payload первичный (туннельный) адрес ТД;
- ESR, получив внутри туннеля управления ТД такой icmp echo, проверяет наличие в нём payload и определяет, какому туннелю он принадлежит, что позволяет однозначно определить такой туннель как рабочий;
- В случае неполучения определенного числа запросов(failure-count) для какого-либо туннеля icmp echo reply GRE keepalive за определенный интервал времени(retry-time) - он считается нерабочим и удаляется.
Ниже, на рис. 2, приведена схема прохождения и формат пакетов EoGRE keepalive от удаленных клиентских устройств:
Рис. 2.
Настройка
Настройка клиентских устройств типа ESR-10/20/100/200 и ТД WEP/WOP не требуется - достаточно будет обновить их до соответствующих актуальных версий: ESR - 1.6.6, ТД - 1.19.0, после чего они начнут добавлять свой туннельный адрес в payload icmp echo GRE keepalive.
На ESR, работающим в режиме wireless-controller, для включения "reactive" режима keepalive, надо выполнить в настройках wireless-controller команду "keepalive mode reactive":
wireless-controller keepalive mode reactive exit
После применения конфигурации, со стороны ESR будет прекращена отправка ping-probe EoGRE keepalive, и будет выполняться прослушивание отправляемых удаленными устройствами icmp echo EoGRE keepalive. На этом настройка ESR выполнена.
Можно дополнительно настроить:
1) Число неполученных подряд icmp echo, после достижения которого туннель считается нерабочим и удаляется, определяется командой failure-count (по умолчанию равно 5, за исключением устройства типа ESR1700, у которого данный параметр равен 10);
2) Интервал, в течение которого, в случае отсутствие icmp echo EoGRE keepalive от клиентского устройства, будет увеличено на 1 значение счетчика неполученных icmp echo, настраивается командой retry-time (по умолчанию 60 сек, за исключением устройства типа ESR-1700, у которого данный параметр по умолчанию равен 120 сек).
wireless-controller failure-count <1-100> retry-time <60-3600> keepalive mode reactive enable exit
Таким образом, если failure-count = 5 и retry-time равно 60, удаление туннеля произойдет через 300 сек после того как ТД перестанет отправлять icmp echo EoGRE keepalive (1200 сек для устройства типа ESR1700 с дефолтными настройками этих параметров).
При отсутствии icmp echo EoGRE keepalive от удаленного устройства в течении retry-time, при включенном дефолтном уровне syslog и debug на ESR появится сообщение вида:
1700-ipsec# 2020-01-31T16:51:15+07:00 %APTD-W-TUNNELS: no request from tunnel 3, remote ip 198.18.24.3 [2]
В котором будет указанно, для какого номера и удаленного IP адреса туннеля, не приходят icmp echo EoGRE keepalive от клиентского устройства.
При удалении туннеля будет выведен лог:
2020-01-31T17:10:00+07:00 %APTD-W-TUNNELS: ping failure count 5 reached, killing dead tunnel 3 198.18.24.3
Переключение ESR, работающего в режиме wireless-controller, обратно в режим proactive EoGRE keepalive выполняется командой keepalive mode proactive:
wireless-controller keepalive mode proactive exit
Приложение
Ниже, на рис. 3, приведено полное описание формата пакета (для упрощения схемы не отражены все поля IP заголовка) icmp echo EoGRE keepalive, отправляемого клиентскими устройствами ESR10/20/100/200 с версии 1.6.6, на ТД типа WEP/WOP с версии 1.19.0.
Рис. 3.
Поле payload пакета включает в себя текстовую запись в ASCII формате "ELTEX_GRE IPv4 < туннельный ip address устройства> ". В приведенном выше примере это "ELTEX_GRE IPv4 198.18.24.2 ". Таким образом размер payload пакета EoGRE keepalive может варьироваться от 23 до 31 байт.