Общее описание

Цель задачи - обеспечить:

Связность между клиентами, подключенными к служебному SSID-ENTERPRISE, и принтерами, подключенными к другому SSID-PRINT;
Изоляцию офисов друг от друга, чтобы трафик не проходил между разными офисами.

Предложенное решение позволит обеспечить избирательное отключение изоляции между определенными дата саб-туннелями ТД на ESR для обеспечения прохождения трафика клиентом между ними.

Требование к версиям ПО

Требуется версия ПО ESR не ниже 1.11.0, версия SoftWLC не ниже 1.16. Специальных доработок на ТД в рамках данного функционала не выполнялось, поэтому можно использовать текущую актуальную версию ПО.

Для корректной работы функционала требуется подключение ТД по схеме L3 (используя softGRE туннели) с конфигурированием дата-туннелей по командам PCRF.

Техническое решение

Swicth Community (далее SC) - динамически формируемая по командам PCRF конфигурация на ESR, которая позволяет обеспечить прохождение трафика между дата саб-туннелями определённых ТД.

Рис. 1.

На рис. 1. представлена принципиальная схема работы SC. SC сформированы между дата саб-туннелями от 4-х различных ТД, а именно:

1) SC № 1 (Switch Community 1) сформировано между саб-туннелями SoftGRE 2.10 и SoftGRE 4.10, которые строятся от AP 1 и AP 2, находящихся в одном домене domain 1.

2) SC № 2 (Switch Community 2) сформировано между саб-туннелями SoftGRE 6.10 и SoftGRE 8.10, которые строятся от AP 3 и AP 4, находящихся в одном домене domain 2.

Таким образом:

1) Client 1 и Client 2 SSID 1 на разных ТД получат возможность обмениваться трафиком между собой в рамках SC 1.

2) Client 3 и Client 4 SSID 3 на разных ТД получат возможность обмениваться трафиком между собой в рамках SC 2.

3) Обмен трафиком Client 1 и 2 c Client 3 и невозможен.

4) Для SSID 2 и 4 SC не сформировано, поэтому для клиентов данного SSID возможен только выход Интернет, обменивается трафиком между собой они не смогут.

Ограничения реализации

Для корректной работы функционала требуется подключение ТД по схеме L3 (используя SoftGRE туннели) с конфигурированием дата-туннелей по командам PCRF.
Для формирование SC требуется минимум две ТД.
Сущность SC существует только в рамках одного ESR, для ТД, подключенных к разным ESR сформировать SC невозможно.
Привязка SSID к офису должна выполняться только по домену, другие способы выполнения привязки не допускаются.
SC формируется по уникальной связке признаков office-doman, vlan и location. Таким образом в один SC могут быть включены SSID для ТД, размещенных в одном офисе в EMS, и SSID, у которых указаны одинаковые значения в настройках "bridge location" и "vlan".
Для возможности обмена трафиком между клиентами одного SSID в рамках одной ТД, надо в настройках SSID отключить (убрать галочку) с пункта "Изоляция клиентов" (и выполнить "исправление привязок", чтобы настройка применилась на ТД ).
Для обмена трафиком между двумя разными SSID, при условии, что они используют одинаковый влан, в рамках одной ТД, надо в её настройках отключить "Global isolation". Трафик между клиентами таких SSID в этом случае будет проходить между ними через ТД, не попадая на ESR.
SC нельзя использовать в схеме включения ТД OTT.

Настройка ESR

ESR должен быть настроен для работы в схеме L3, с формированием дата-туннелей по командам PCRF. Подробнее с настройкой можно ознакомится Настройка ESR при подключении ТД через L3 сеть доступа (схема WiFi L3) и Настройка ESR в режиме wireless-controller с резервированием роутера "последней мили".

Для переключения бриджей клиентов ТД (терминирующих дата саб-туннели) надо выполнить и применить на соответствующих бриджах команду "protected-ports radius" .

bridge 10
  location data10
  protected-ports radius
exit

bridge 11
  location data10
  protected-ports radius
exit

Внимание! При включении на бридже режима "protected-ports radius" обязательно должен быть указан "location"!

Для моделей ESR, использующих аппаратные EoGRE (ESR-1200/1500/1700) надо дополнительно выполнить выделение и настройку internal-usage-vlan (далее IUV). Особенностью реализации аппаратных EoGRE является необходимость выделения vlan для формирования SC. Данные vlan используется исключительно в рамках одного ESR, они не должны пересекаться с другими vlan, настроенными в системе. Учитывая ограничение аппаратных саб-туннелей EoGRE в 8000 шт, использование каждой ТД минимум 2 саб-туннелей и необходимости включения в один SC минимум двух ТД, - получаем ограничение в 2000 SC. Для выделения vlan в настройках "wireless-controller" выполняем и применяем команду "internal-usage-vlan", указывая в ней список vlan, которые будут использованы для формирования SC.

wireless-controller
  internal-usage-vlan 1001-2037,2500-3000,3200-3700
exit

Внимание! Для корректной работы функционала SC на моделях ESR-1200/1500/1700, использующих аппаратную реализацию EoGRE, обязательно должен быть выделен диапазон internal-usage-vlan в достаточном количестве для формирования SC. В случае исчерпания выделенных internal-usage-vlan SC формироваться не будет!

С версии ПО ESR 1.11.0 появилось два режима работы команды "protected-ports":

"protected-ports local" - это прежний режим работы protected-ports, включающий изоляцию членов бриджа.

"protected-ports radius" - режим работы, формирующий SC, по соответствующему признаку CoA, полученному от PCRF при формировании дата туннелей для ТД. Если признак не получен - то дата саб-туннель включается в соответствующий бридж и для него включается изоляция.

Настройка и управление со стороны EMS

Управление SC (включение/отключение) выполняется в настройках SSID - при создании или редактировании. Создадим новый SSID: "Wireless" → "Менеджер SSID" → "Добавить SSID" (рис. 2):

Рис. 2.

Указываем настройку "Bridge, Location" такую же, как указана на бридже ESR, в который надо выполнить построение клиентского дата-туннеля. Указываем "VLAN-ID". Отмечаем галочкой включение "Switch Community" для данного SSID и нажимаем "Принять".

Так же обратим внимание, что не включена "Изоляция клиентов" в рамках данного SSID, для обеспечения возможности обмена трафиком между клиентами, подключенными к одной ТД.

Затем встаем на SSID и нажимаем кнопку "Добавить SSID привязку" (рис. 3):

Рис. 3.

Выбираем домен, в который хотим выполнить привязку SSID, ключ привязки "DOMAIN" и нажимаем "Создать привязку".

Инициализируем в указанный домен минимум две ТД (рис. 3.):

Рис. 4.

Таким образом, для данных ТД будет сформировано SC для SSID i-10.

Важно!

Если выполнить привязку данного SSID в другой домен - то это будет считаться новым SC. Для ТД, инициализированных в этот другой домен будет создано отдельное SC.

Если к текущему домену привязать еще один SSID, с отличающимся значением "VLAN-ID" или "Bridge, Location" и включить в его настройках SC - то для такого SSID будет создан отдельный SC и его клиенты не смогут общаться с SC другого SSID.

Таким образом, для ESR, при поднятии дата-туннелей для ТД, признаком, что саб-туннели ТД нужно включить в определённый SC служит совпадение следующих полей CoA, полученного от PCRF:

Domain ТД - поле "office:name=Eltex.r54.root"
VLAN-ID подключаемого дата саб-туннеля - поле "vlan:id=10"
Bridge, Location подключаемого саб-туннеля - поле "name=data10"
Признак включения SC - поле "sc=1"

Если хоть один из признаков не совпадает - то формируется новый SC (при наличии поля "sc=1").

Если признак "sc" в CoA отсутствует - для такой ТД не выполняет поиск и создание SC.

Исходя из вышесказанного, для того, что бы поместить в один SC другой SSID - надо создать его с совпадающими значениями "VLAN-ID", "Bridge, Location" и так же включить на нем "Switch Community", а потом привязать его к тому же домену, что и SSID ранее.

Рис. 5.

Создадим SSID "i-10-print" (рис. 3) с настройками "VLAN-ID", "Bridge, Location" и "Switch Community" аналогичными SSID "i-10-ent", с типом авторизацией "WPA Personal".

И выполним его привязку к тому же домену, что и SSID "i-10-ent" (рис. 6).

Рис. 6.

При такой конфигурации саб-туннели от ТД для SSID "i-10-ent" и "i-10-print" будут помещены в один SC. Следует понимать, что учитывая совпадения vlan-ов на ESR для каждой ТД будет поднят только один саб-туннель для двух данных SSID.

Т.к. теперь на ТД используются два разных SSID - то для обеспечения возможности прохождения трафика между разными SSID на каждой ТД, использующей функционал SC в предоставленной выше конфигурации надо отключить глобально изоляцию. Для этого встанем на ТД, выберем вкладку "Конфигурация" → "Беспроводной доступ" и установим для настройки "Global isolation" значение "off"

Для включения/отключения SC для уже существующего SSID надо выполнить включение/отключение настройки "Switch Community" в настройках SSID. При этом для всех ТД, которые находятся в узлах, к которым выполнена привязка данного SSID будет отправлена команда CoA "domain-update" на ESR (рис. 7).

Рис. 7.

При глобальном отключении изоляции отключается изоляция для всех виртуальный SSID на ТД, независимо от того, что указано в настройке отдельных SSID. При этом клиенты различных SSID, использующих одинаковый vlan смогут обмениваться трафиком между собой. Клиенты SSID, использующие разные vlan трафиком между собой обмениваться по прежнему не смогут.

Так же можно выполнить данное действие с помощью шаблона при инициализации ТД.

Просмотр информации о состоянии Switch Community на ESR

1. Для просмотра информации всех сформированных SC на ESR используется команда "show interfaces bridge switch-communities":

esr1000# show interfaces bridge switch-communities 
bridge 10
Location                           Community                                 Interfaces                                   
--------------------------------   ---------------------------------------   ------------------------------------------   
data10                             Eltex.r54.root                            softgre 2.10, softgre 4.10, softgre 6.10,    
                                                                             softgre 8.10                                 

data10                             Eltex.r54.root                            softgre 2.310, softgre 4.310, softgre        
                                                                             6.310, softgre 8.310                         


bridge 11
Location                           Community                                 Interfaces                                   
--------------------------------   ---------------------------------------   ------------------------------------------   
data11                             Eltex.r54.root                            softgre 2.311, softgre 4.311, softgre        
                                                                             6.311, softgre 8.311

В выводе отображается номер бриджа, затем идет список SC, сформированных в нем. В колонке "Location" отображается location бриджа; "Community" - отображается домен, в котором находятся ТД, образующие SC, в колонке "Interfaces" отображается список саб-туннелей, принадлежащий данному SC.

2. Для просмотра информации о SC, содержащихся в определённом бридже, к приведенной выше команде надо добавить номер бриджа "show interfaces bridge switch-communities <номер бриджа>" :

esr1000# show interfaces bridge switch-communities 11
bridge 11
Location                           Community                                 Interfaces                                   
--------------------------------   ---------------------------------------   ------------------------------------------   
data11                             Eltex.r54.root                            softgre 2.311, softgre 4.311, softgre        
                                                                             6.311, softgre 8.311

3. Для просмотра информации о SC, принадлежащих определенному домену используется команда "show interfaces bridge switch-communities community <полное название домена, в котором находятся ТД, образующие SC>":

esr1000# show interfaces bridge switch-communities 
bridge 10
Location                           Community                                 Interfaces                                   
--------------------------------   ---------------------------------------   ------------------------------------------   
data10                             Eltex.r54.root                            softgre 2.10, softgre 4.10, softgre 6.10,    
                                                                             softgre 8.10                                 

data10                             Eltex.r54.root                            softgre 2.310, softgre 4.310, softgre        
                                                                             6.310, softgre 8.310                         


bridge 11
Location                           Community                                 Interfaces                                   
--------------------------------   ---------------------------------------   ------------------------------------------   
data11                             Eltex.r54.root                            softgre 2.311, softgre 4.311, softgre        
                                                                             6.311, softgre 8.311

Поиск по домену является регистрозависимым, поэтому надо использовать название домена в точности, как оно обозначено в EMS (рис. 8):

Рис. 8.

4. Для поиска по шаблону предназначена команда "show interfaces bridge switch-communities community include <шаблон>":

esr1000# show interfaces bridge switch-communities 
bridge 10
Location                           Community                                 Interfaces                                   
--------------------------------   ---------------------------------------   ------------------------------------------   
data10                             Eltex.r54.root                            softgre 2.10, softgre 4.10, softgre 6.10,    
                                                                             softgre 8.10                                 

data10                             Eltex.r54.root                            softgre 2.310, softgre 4.310, softgre        
                                                                             6.310, softgre 8.310                         


bridge 11
Location                           Community                                 Interfaces                                   
--------------------------------   ---------------------------------------   ------------------------------------------   
data11                             Eltex.r54.root                            softgre 2.311, softgre 4.311, softgre        
                                                                             6.311, softgre 8.311

Шаблон поиска является регистронезависимым.

5. Для просмотра суммарной информации о числе SC используется команда "show interfaces bridge switch-communities summary":

esr1000# show interfaces bridge switch-communities summary 
Bridges      Communities   
----------   -----------   
bridge 10    2             
bridge 11    1

6. При использовании команд из п. 3, 4 и 5 можно в конце команды указать номер бриджа и ограничить поиск указанным бриджем:

Пример выводов

esr1000# show interfaces bridge switch-communities community Eltex.Novosibirsk.Novosibirskaya_oblast.MRF_Sibir.Local.AllClients.root 11
bridge 11
Location                           Community                                 Interfaces                                   
--------------------------------   ---------------------------------------   ------------------------------------------   
data11                             Eltex.r54.root                            softgre 2.311, softgre 4.311, softgre        
                                                                             6.311, softgre 8.311   

esr1000# show interfaces bridge switch-communities 
bridge 10
Location                           Community                                 Interfaces                                   
--------------------------------   ---------------------------------------   ------------------------------------------   
data10                             Eltex.r54.root                            softgre 2.10, softgre 4.10, softgre 6.10,    
                                                                             softgre 8.10                                 

data10                             Eltex.r54.root                            softgre 2.310, softgre 4.310, softgre        
                                                                             6.310, softgre 8.310                         

esr1000# show interfaces bridge switch-communities summary 10
Bridges      Communities   
----------   -----------   
bridge 10    2

Для просмотра состояния SC на ESR-1200/1500/1700, использующих аппаратные EoGRE используются аналогичные команды, но в выводе будет присутствовать дополнительная информация об используемом для SC IUV:

Пример вывода

esr1200# show int bridge interfaces switch-communities 
 bridge 10
Location                           Community                          IUV    Interfaces                                   
--------------------------------   --------------------------------   ----   ------------------------------------------   
data10                             Eltex.r54.root                     1008   softgre 4.10, softgre 6.10, softgre 10.10,   
                                                                             softgre 12.10                                

data10                             Eltex.r54.root                     1006   softgre 4.310, softgre 6.310, softgre        
                                                                             10.310, softgre 12.310                       

 bridge 11
Location                           Community                          IUV    Interfaces                                   
--------------------------------   --------------------------------   ----   ------------------------------------------   
data11                             Eltex.r54.root                     1007   softgre 4.311, softgre 6.311, softgre        
                                                                             10.311, softgre 12.311

Примечания

Пример конфигурации ESR (приведен пример для двух ESR-1200, использующих аппаратные туннели и использующих резервирование с помощью VRRP):

Alfa-1200-config

#!/usr/bin/clish
#18
hostname ALfa

ip firewall sessions allow-unknown
object-group service telnet
  port-range 23
exit
object-group service ssh
  port-range 22
exit
object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit
object-group service ntp
  port-range 123
exit
object-group service snmp
  port-range 161-162
exit
object-group service COA
  port-range 3799
  port-range 31812-31813
exit
object-group service bgp
  port-range 179
exit
object-group service dns
  port-range 53
exit
object-group service aptd
  port-range 1337
exit
object-group service firewall_failover
  port-range 3333
exit

object-group network SoftWLC
  ip prefix 100.123.0.0/24
exit
object-group network gre_termination
  ip prefix 192.168.200.48/28
exit
object-group network mgmt_AP
  ip prefix 198.18.128.0/21
  ip prefix 198.18.136.0/22
  ip prefix 198.18.140.0/22
  ip prefix 100.64.0.56/30
exit
object-group network clients_AP
  ip prefix 198.18.136.0/22
  ip prefix 198.18.140.0/22
exit
object-group network Admnet
  ip prefix 100.123.0.0/24
  ip prefix 100.110.0.0/23
  ip prefix 192.168.200.48/28
  ip prefix 100.64.0.40/30
exit
object-group network nets
  ip prefix 10.0.0.0/8
  ip prefix 192.168.0.0/16
  ip prefix 172.16.0.0/12
exit
object-group network cross
  ip prefix 100.64.0.32/30
  ip prefix 100.64.0.40/30
  ip prefix 100.64.0.48/30
  ip prefix 100.64.0.56/30
exit
object-group network DNS
  ip prefix 100.123.0.0/24
exit
object-group network CoA_servers
  ip prefix 100.123.0.0/24
exit

aaa authentication login default radius local
radius-server timeout 10
radius-server retransmit 5
radius-server host 100.123.0.2
  key ascii-text testing123
  timeout 11
  priority 20
  source-address 198.18.128.2
  auth-port 31812
  acct-port 31813
  retransmit 10
  dead-interval 10
exit
aaa radius-profile PCRF
  radius-server host 100.123.0.2
exit
das-server COA
  key ascii-text testing123
  port 3799
  clients object-group SoftWLC
exit
aaa das-profile COA
  das-server COA
exit

vlan 3
  force-up
exit
vlan 10
  force-up
exit
vlan 11
  force-up
exit
vlan 101
  force-up
exit
vlan 9
exit

security zone trusted
exit
security zone untrusted
exit
security zone gre
exit
security zone neighbour
exit
security zone user
exit
route-map out_BGP_GRE
  rule 10
    match ip address object-group gre_termination
    action permit
  exit
exit
route-map out_BGP_AP
  rule 10
    match ip address object-group mgmt_AP
    action permit
  exit
exit
route-map out_BGP_NAT
  rule 10
    match ip address object-group clients_AP
    action permit
  exit
exit
route-map in_PREF
  rule 10
    action permit
  exit
exit
router bgp 64603
  neighbor 100.64.0.33
    remote-as 65001
    update-source 100.64.0.34
    address-family ipv4 unicast
      route-map out_BGP_GRE out
      enable
    exit
    enable
  exit
  neighbor 100.64.0.41
    remote-as 65001
    update-source 100.64.0.42
    address-family ipv4 unicast
      route-map out_BGP_AP out
      enable
    exit
    enable
  exit
  neighbor 100.64.0.49
    remote-as 65001
    update-source 100.64.0.50
    address-family ipv4 unicast
      route-map out_BGP_NAT out
      enable
    exit
    enable
  exit
  neighbor 100.64.0.58
    remote-as 64603
    update-source 100.64.0.57
    address-family ipv4 unicast
      route-map in_PREF in
      next-hop-self
      enable
    exit
    enable
  exit
  address-family ipv4 unicast
    redistribute connected
    redistribute static
  exit
  enable
exit

snmp-server
snmp-server system-shutdown
snmp-server community "public11" ro 
snmp-server community "private1" rw 

snmp-server host 100.123.0.2
exit

snmp-server enable traps
snmp-server enable traps config
snmp-server enable traps config commit
snmp-server enable traps config confirm
snmp-server enable traps environment
snmp-server enable traps environment pwrin
snmp-server enable traps environment pwrin-insert
snmp-server enable traps environment fan
snmp-server enable traps environment fan-speed-changed
snmp-server enable traps environment fan-speed-high
snmp-server enable traps environment memory-flash-critical-low
snmp-server enable traps environment memory-flash-low
snmp-server enable traps environment memory-ram-critical-low
snmp-server enable traps environment memory-ram-low
snmp-server enable traps environment cpu-load
snmp-server enable traps environment cpu-critical-temp
snmp-server enable traps environment cpu-overheat-temp
snmp-server enable traps environment cpu-supercooling-temp
snmp-server enable traps environment board-overheat-temp
snmp-server enable traps environment board-supercooling-temp
snmp-server enable traps environment sfp-overheat-temp
snmp-server enable traps environment sfp-supercooling-temp
snmp-server enable traps environment switch-overheat-temp
snmp-server enable traps environment switch-supercooling-temp
snmp-server enable traps wifi
snmp-server enable traps wifi wifi-tunnels-number-in-bridge-high
snmp-server enable traps file-operations
snmp-server enable traps file-operations successful
snmp-server enable traps file-operations failed
snmp-server enable traps file-operations canceled
snmp-server enable traps interfaces
snmp-server enable traps interfaces rx-utilization-high
snmp-server enable traps interfaces tx-utilization-high
snmp-server enable traps interfaces number-high
snmp-server enable traps bras
snmp-server enable traps bras sessions-number-high
snmp-server enable traps screen
snmp-server enable traps screen dest-limit
snmp-server enable traps screen source-limit
snmp-server enable traps screen icmp-threshold
snmp-server enable traps screen udp-threshold
snmp-server enable traps screen syn-flood
snmp-server enable traps screen land
snmp-server enable traps screen winnuke
snmp-server enable traps screen icmp-frag
snmp-server enable traps screen udp-frag
snmp-server enable traps screen icmp-large
snmp-server enable traps screen syn-frag
snmp-server enable traps screen unknown-proto
snmp-server enable traps screen ip-frag
snmp-server enable traps screen port-scan
snmp-server enable traps screen ip-sweep
snmp-server enable traps screen syn-fin
snmp-server enable traps screen fin-no-ack
snmp-server enable traps screen no-flag
snmp-server enable traps screen spoofing
snmp-server enable traps screen reserved
snmp-server enable traps screen quench
snmp-server enable traps screen echo-request
snmp-server enable traps screen time-exceeded
snmp-server enable traps screen unreachable
snmp-server enable traps screen tcp-all-flags
snmp-server enable traps entity
snmp-server enable traps entity config-change
snmp-server enable traps entity-sensor
snmp-server enable traps entity-sensor threshold
snmp-server enable traps envmon
snmp-server enable traps envmon fan
snmp-server enable traps envmon shutdown
snmp-server enable traps envmon supply
snmp-server enable traps envmon temperature
snmp-server enable traps flash
snmp-server enable traps flash insertion
snmp-server enable traps flash removal
snmp-server enable traps snmp
snmp-server enable traps snmp authentication
snmp-server enable traps snmp coldstart
snmp-server enable traps snmp linkdown
snmp-server enable traps snmp linkup
snmp-server enable traps syslog

bridge 1
  description "GRE_termination"
  vlan 101
  security-zone gre
  ip address 192.168.200.51/28
  vrrp id 1
  vrrp ip 192.168.200.49/32
  vrrp ip 192.168.200.50/32 secondary
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp preempt delay 150
  vrrp timers garp delay 1
  vrrp timers garp repeat 10
  vrrp
  ipv6 enable
  protected-ports local
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit
bridge 3
  description "mgmt_AP"
  vlan 3
  security-zone trusted
  ip address 198.18.128.2/21
  ip helper-address 100.123.0.2
  ip helper-address vrrp-group 1
  vrrp id 3
  vrrp ip 198.18.128.1/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp preempt delay 150
  vrrp timers garp delay 1
  vrrp timers garp repeat 10
  vrrp
  ip tcp adjust-mss 1458
  protected-ports local
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit
bridge 9
  description "neighbour"
  vlan 9
  security-zone neighbour
  ip address 100.64.0.57/30
  enable
exit
bridge 10
  description "data1_AP"
  vlan 10
  security-zone user
  ip address 198.18.136.2/22
  ip helper-address 100.123.0.2
  ip helper-address vrrp-group 1
  vrrp id 10
  vrrp ip 198.18.136.1/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp preempt delay 150
  vrrp timers garp delay 1
  vrrp timers garp repeat 10
  vrrp
  ip tcp adjust-mss 1458
  location data10
  protected-ports radius
  protected-ports exclude vlan
  enable
exit
bridge 11
  description "data2_AP"
  vlan 11
  security-zone user
  ip address 198.18.140.2/22
  ip helper-address 100.123.0.2
  ip helper-address vrrp-group 1
  vrrp id 11
  vrrp ip 198.18.140.1/32
  vrrp priority 200
  vrrp group 1
  vrrp preempt disable
  vrrp preempt delay 150
  vrrp timers garp delay 1
  vrrp timers garp repeat 10
  vrrp
  ip tcp adjust-mss 1458
  location data11
  protected-ports radius
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit

interface gigabitethernet 1/0/1
  description "UpLink"
  mode hybrid
exit
interface gigabitethernet 1/0/1.206
  description "VRF_AP"
  security-zone gre
  ip firewall disable
  ip netflow export
  ip address 100.64.0.34/30
  ipv6 enable
exit
interface gigabitethernet 1/0/1.208
  description "VRF_CORE"
  security-zone trusted
  ip address 100.64.0.42/30
  ipv6 enable
exit
interface gigabitethernet 1/0/1.210
  description "VRF_NAT"
  security-zone untrusted
  ip address 100.64.0.50/30
  ipv6 enable
exit
interface gigabitethernet 1/0/2
  description "neighbour"
  mode hybrid
  switchport forbidden default-vlan
  switchport general acceptable-frame-type tagged-only
  switchport general allowed vlan add 3,9-11,101 tagged
exit
tunnel softgre 1
  description "mgmt"
  mode management
  local address 192.168.200.49
  default-profile
  enable
exit
tunnel softgre 1.1
  bridge-group 3
  enable
exit
tunnel softgre 2
  description "data"
  mode data
  local address 192.168.200.50
  default-profile
  enable
exit

security zone-pair gre self
  rule 1
    action permit
    match protocol gre
    enable
  exit
  rule 2
    action permit
    match protocol vrrp
    enable
  exit
  rule 3
    action permit
    match protocol tcp
    match destination-port aptd
    enable
  exit
  rule 4
    action permit
    match protocol icmp
    enable
  exit
  rule 10
    action permit
    match protocol tcp
    match source-address cross
    match source-port bgp
    match destination-port bgp
    enable
  exit
exit
security zone-pair trusted self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_server
    enable
  exit
  rule 3
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 4
    action permit
    match protocol icmp
    enable
  exit
  rule 10
    action permit
    match source-address SoftWLC
    enable
  exit
  rule 11
    action permit
    match source-address Admnet
    enable
  exit
  rule 20
    action permit
    match protocol tcp
    match source-address cross
    match source-port bgp
    match destination-port bgp
    enable
  exit
exit
security zone-pair trusted trusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair user untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair user self
  rule 1
    action permit
    match protocol icmp
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 4
    action permit
    match protocol vrrp
    enable
  exit
  rule 5
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_server
    enable
  exit
exit
security zone-pair user trusted
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match destination-address DNS
    match destination-port dns
    enable
  exit
exit
security zone-pair trusted user
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_client
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_server
    enable
  exit
  rule 3
    action permit
    match protocol icmp
    enable
  exit
exit
security zone-pair trusted untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair gre gre
  rule 1
    action permit
    enable
  exit
exit
security zone-pair neighbour self
  rule 2
    action permit
    match protocol tcp
    match destination-port bgp
    enable
  exit
  rule 3
    action permit
    match protocol udp
    match destination-port firewall_failover
    enable
  exit
  rule 4
    action permit
    match protocol udp
    match source-port dhcp_server
  exit
  rule 10
    action permit
    match protocol gre
    enable
  exit
  rule 20
    action permit
    match protocol icmp
    enable
  exit
  rule 30
    action permit
    match protocol vrrp
    enable
  exit
  rule 40
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_server
    enable
  exit
  rule 50
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 60
    action permit
    match source-address SoftWLC
    enable
  exit
  rule 80
    action permit
    match source-address Admnet
    enable
  exit
  rule 90
    action permit
    match protocol tcp
    match destination-port aptd
    enable
  exit
  rule 100
    action permit
    match protocol tcp
    match destination-port telnet
    enable
  exit
exit
security zone-pair neighbour trusted
  rule 10
    action permit
    enable
  exit
exit
security zone-pair neighbour untrusted
  rule 10
    action permit
    enable
  exit
exit
security zone-pair neighbour gre
  rule 10
    action permit
    enable
  exit
exit
security zone-pair neighbour user
  rule 10
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_client
    enable
  exit
exit
security zone-pair trusted neighbour
  rule 10
    action permit
    enable
  exit
exit
security zone-pair gre neighbour
  rule 10
    action permit
    enable
  exit
exit
security zone-pair user neighbour
  rule 10
    action permit
    match protocol udp
    match destination-port dns
    enable
  exit
  rule 20
    action permit
    match not source-address nets
    enable
  exit
exit
security zone-pair untrusted self
  rule 10
    action permit
    match protocol tcp
    match source-address cross
    match source-port bgp
    match destination-port bgp
    enable
  exit
exit

security passwords history 0
ip firewall failover sync-type unicast
ip firewall failover source-address 100.64.0.57
ip firewall failover destination-address 100.64.0.58
ip firewall failover port 3333
ip firewall failover vrrp-group 1
ip firewall failover


ip dhcp-relay

wireless-controller
  peer-address 100.64.0.58
  nas-ip-address 198.18.128.2
  data-tunnel configuration radius
  keepalive mode reactive
  aaa das-profile COA
  aaa radius-profile PCRF
  internal-usage-vlan 1001-2037,2500-3000,3200-3700
  enable
exit
ip telnet server
ip ssh server

clock timezone gmt +7

ntp enable
ntp server 100.123.0.2
exit

Beta-1200-config

#!/usr/bin/clish
#18
hostname Beta

ip firewall sessions allow-unknown
object-group service telnet
  port-range 23
exit
object-group service ssh
  port-range 22
exit
object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit
object-group service ntp
  port-range 123
exit
object-group service snmp
  port-range 161-162
exit
object-group service COA
  port-range 3799
  port-range 31812-31813
exit
object-group service bgp
  port-range 179
exit
object-group service dns
  port-range 53
exit
object-group service aptd
  port-range 1337
exit
object-group service firewall_failover
  port-range 3333
exit

object-group network SoftWLC
  ip prefix 100.123.0.0/24
exit
object-group network gre_termination
  ip prefix 192.168.200.48/28
exit
object-group network mgmt_AP
  ip prefix 198.18.128.0/21
  ip prefix 198.18.136.0/22
  ip prefix 198.18.140.0/22
  ip prefix 100.64.0.56/30
exit
object-group network clients_AP
  ip prefix 198.18.136.0/22
  ip prefix 198.18.140.0/22
exit
object-group network Admnet
  ip prefix 100.123.0.0/24
  ip prefix 100.110.0.0/23
  ip prefix 192.168.200.48/28
  ip prefix 100.64.0.44/30
exit
object-group network nets
  ip prefix 10.0.0.0/8
  ip prefix 192.168.0.0/16
  ip prefix 172.16.0.0/12
exit
object-group network cross
  ip prefix 100.64.0.36/30
  ip prefix 100.64.0.44/30
  ip prefix 100.64.0.52/30
  ip prefix 100.64.0.56/30
exit
object-group network DNS
  ip address-range 8.8.8.8
  ip prefix 100.123.0.0/24
exit
object-group network CoA_servers
  ip prefix 100.123.0.0/24
exit

radius-server timeout 10
radius-server retransmit 5
radius-server host 100.123.0.2
  key ascii-text encrypted 88B11079B9014FAAF7B9
  timeout 11
  priority 20
  source-address 198.18.128.3
  auth-port 31812
  acct-port 31813
  retransmit 10
  dead-interval 10
exit
aaa radius-profile PCRF
  radius-server host 100.123.0.2
exit
das-server COA
  key ascii-text encrypted 88B11079B9014FAAF7B9
  port 3799
exit
aaa das-profile COA
  das-server COA
exit

vlan 3
  force-up
exit
vlan 10
  force-up
exit
vlan 11
  force-up
exit
vlan 101
  force-up
exit
vlan 9
exit

security zone trusted
exit
security zone untrusted
exit
security zone gre
exit
security zone neighbour
exit
security zone user
exit
route-map out_BGP_GRE
  rule 10
    match ip address object-group gre_termination
    action set as-path prepend 64603 track 1
    action set metric bgp 1000 track 1
    action permit
  exit
exit
route-map out_BGP_AP
  rule 10
    match ip address object-group mgmt_AP
    action set as-path prepend 64603 track 1
    action set metric bgp 1000 track 1
    action permit
  exit
exit
route-map out_BGP_NAT
  rule 10
    match ip address object-group clients_AP
    action set as-path prepend 64603 track 1
    action set metric bgp 1000 track 1
    action permit
  exit
exit
route-map in_PREF
  rule 10
    action set local-preference 20
    action permit
  exit
exit
router bgp 64603
  neighbor 100.64.0.37
    remote-as 65001
    update-source 100.64.0.38
    address-family ipv4 unicast
      route-map out_BGP_GRE out
      enable
    exit
    enable
  exit
  neighbor 100.64.0.45
    remote-as 65001
    update-source 100.64.0.46
    address-family ipv4 unicast
      route-map out_BGP_AP out
      enable
    exit
    enable
  exit
  neighbor 100.64.0.53
    remote-as 65001
    update-source 100.64.0.54
    address-family ipv4 unicast
      route-map out_BGP_NAT out
      enable
    exit
    enable
  exit
  neighbor 100.64.0.57
    remote-as 64603
    update-source 100.64.0.58
    address-family ipv4 unicast
      route-map in_PREF in
      next-hop-self
      enable
    exit
    enable
  exit
  address-family ipv4 unicast
    redistribute connected
    redistribute static
  exit
  enable
exit

snmp-server
snmp-server community "public11" ro 
snmp-server community "private1" rw 

snmp-server host 100.123.0.2
exit

snmp-server enable traps
snmp-server enable traps config
snmp-server enable traps config commit
snmp-server enable traps config confirm
snmp-server enable traps environment
snmp-server enable traps environment pwrin
snmp-server enable traps environment pwrin-insert
snmp-server enable traps environment fan
snmp-server enable traps environment fan-speed-changed
snmp-server enable traps environment fan-speed-high
snmp-server enable traps environment memory-flash-critical-low
snmp-server enable traps environment memory-flash-low
snmp-server enable traps environment memory-ram-critical-low
snmp-server enable traps environment memory-ram-low
snmp-server enable traps environment cpu-load
snmp-server enable traps environment cpu-critical-temp
snmp-server enable traps environment cpu-overheat-temp
snmp-server enable traps environment cpu-supercooling-temp
snmp-server enable traps environment board-overheat-temp
snmp-server enable traps environment board-supercooling-temp
snmp-server enable traps environment sfp-overheat-temp
snmp-server enable traps environment sfp-supercooling-temp
snmp-server enable traps environment switch-overheat-temp
snmp-server enable traps environment switch-supercooling-temp
snmp-server enable traps wifi
snmp-server enable traps wifi wifi-tunnels-number-in-bridge-high
snmp-server enable traps file-operations
snmp-server enable traps file-operations successful
snmp-server enable traps file-operations failed
snmp-server enable traps file-operations canceled
snmp-server enable traps interfaces
snmp-server enable traps interfaces rx-utilization-high
snmp-server enable traps interfaces tx-utilization-high
snmp-server enable traps interfaces number-high
snmp-server enable traps bras
snmp-server enable traps bras sessions-number-high
snmp-server enable traps screen
snmp-server enable traps screen dest-limit
snmp-server enable traps screen source-limit
snmp-server enable traps screen icmp-threshold
snmp-server enable traps screen udp-threshold
snmp-server enable traps screen syn-flood
snmp-server enable traps screen land
snmp-server enable traps screen winnuke
snmp-server enable traps screen icmp-frag
snmp-server enable traps screen udp-frag
snmp-server enable traps screen icmp-large
snmp-server enable traps screen syn-frag
snmp-server enable traps screen unknown-proto
snmp-server enable traps screen ip-frag
snmp-server enable traps screen port-scan
snmp-server enable traps screen ip-sweep
snmp-server enable traps screen syn-fin
snmp-server enable traps screen fin-no-ack
snmp-server enable traps screen no-flag
snmp-server enable traps screen spoofing
snmp-server enable traps screen reserved
snmp-server enable traps screen quench
snmp-server enable traps screen echo-request
snmp-server enable traps screen time-exceeded
snmp-server enable traps screen unreachable
snmp-server enable traps screen tcp-all-flags
snmp-server enable traps entity
snmp-server enable traps entity config-change
snmp-server enable traps entity-sensor
snmp-server enable traps entity-sensor threshold
snmp-server enable traps envmon
snmp-server enable traps envmon fan
snmp-server enable traps envmon shutdown
snmp-server enable traps envmon supply
snmp-server enable traps envmon temperature
snmp-server enable traps flash
snmp-server enable traps flash insertion
snmp-server enable traps flash removal
snmp-server enable traps snmp
snmp-server enable traps snmp authentication
snmp-server enable traps snmp coldstart
snmp-server enable traps snmp linkdown
snmp-server enable traps snmp linkup
snmp-server enable traps syslog

bridge 1
  description "GRE_termination"
  vlan 101
  security-zone gre
  ip address 192.168.200.52/28
  vrrp id 1
  vrrp ip 192.168.200.49/32
  vrrp ip 192.168.200.50/32 secondary
  vrrp priority 190
  vrrp group 1
  vrrp preempt disable
  vrrp preempt delay 150
  vrrp
  ipv6 enable
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit
bridge 3
  description "mgmt_AP"
  vlan 3
  security-zone trusted
  ip address 198.18.128.3/21
  ip helper-address 100.123.0.2
  ip helper-address vrrp-group 1
  vrrp id 3
  vrrp ip 198.18.128.1/32
  vrrp priority 190
  vrrp group 1
  vrrp preempt disable
  vrrp preempt delay 150
  vrrp track-ip 100.64.0.45
  vrrp track-ip interval 9
  vrrp
  ip tcp adjust-mss 1458
  protected-ports local
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit
bridge 9
  description "neighbour"
  vlan 9
  security-zone neighbour
  ip firewall disable
  ip address 100.64.0.58/30
  enable
exit
bridge 10
  description "data1_AP"
  vlan 10
  security-zone user
  ip firewall disable
  ip address 198.18.136.3/22
  ip helper-address 100.123.0.2
  ip helper-address vrrp-group 1
  vrrp id 10
  vrrp ip 198.18.136.1/32
  vrrp priority 190
  vrrp group 1
  vrrp preempt disable
  vrrp preempt delay 150
  vrrp
  ip tcp adjust-mss 1458
  location data10
  protected-ports radius
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit
bridge 11
  description "data2_AP"
  vlan 11
  security-zone user
  ip firewall disable
  ip address 198.18.140.3/22
  ip helper-address 100.123.0.2
  ip helper-address vrrp-group 1
  vrrp id 11
  vrrp ip 198.18.140.1/32
  vrrp priority 190
  vrrp group 1
  vrrp preempt disable
  vrrp preempt delay 150
  vrrp
  ip tcp adjust-mss 1458
  location data11
  protected-ports radius
  protected-ports exclude vlan
  ports vrrp filtering enable
  ports vrrp filtering exclude vlan
  enable
exit

interface gigabitethernet 1/0/1.207
  description "VRF_AP"
  security-zone gre
  ip firewall disable
  ip address 100.64.0.38/30
  ip tcp adjust-mss 1458
  ipv6 enable
exit
interface gigabitethernet 1/0/1.209
  description "VRF_CORE"
  security-zone trusted
  ip firewall disable
  ip address 100.64.0.46/30
  ip tcp adjust-mss 1458
  ipv6 enable
exit
interface gigabitethernet 1/0/1.211
  description "VRF_NAT"
  security-zone untrusted
  ip firewall disable
  ip address 100.64.0.54/30
  ip tcp adjust-mss 1458
  ipv6 enable
exit
interface gigabitethernet 1/0/2
  description "neighbour"
  mode hybrid
  switchport forbidden default-vlan
  switchport general acceptable-frame-type tagged-only
  switchport general allowed vlan add 3,9-11,101 tagged
exit
tunnel softgre 1
  description "mgmt"
  mode management
  local address 192.168.200.49
  default-profile
  enable
exit
tunnel softgre 1.1
  bridge-group 3
  enable
exit
tunnel softgre 2
  description "data"
  mode data
  local address 192.168.200.50
  default-profile
  enable
exit

security zone-pair gre self
  rule 1
    action permit
    match protocol gre
    enable
  exit
  rule 2
    action permit
    match protocol vrrp
    enable
  exit
  rule 3
    action permit
    match protocol tcp
    match destination-port aptd
    enable
  exit
  rule 4
    action permit
    match protocol icmp
    enable
  exit
  rule 10
    action permit
    match protocol tcp
    match source-address cross
    match source-port bgp
    match destination-port bgp
    enable
  exit
exit
security zone-pair trusted self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_server
    enable
  exit
  rule 3
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 4
    action permit
    match protocol icmp
    enable
  exit
  rule 10
    action permit
    match source-address SoftWLC
    enable
  exit
  rule 11
    action permit
    match source-address Admnet
    enable
  exit
  rule 20
    action permit
    match protocol tcp
    match source-address cross
    match source-port bgp
    match destination-port bgp
    enable
  exit
exit
security zone-pair trusted trusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair user untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair user self
  rule 1
    action permit
    match protocol icmp
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 4
    action permit
    match protocol vrrp
    enable
  exit
  rule 5
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_server
    enable
  exit
exit
security zone-pair user trusted
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match destination-address DNS
    match destination-port dns
    enable
  exit
exit
security zone-pair trusted user
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_client
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_server
    enable
  exit
  rule 3
    action permit
    match protocol icmp
    enable
  exit
exit
security zone-pair trusted untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair gre gre
  rule 1
    action permit
    enable
  exit
exit
security zone-pair neighbour self
  rule 2
    action permit
    match protocol tcp
    match destination-port bgp
    enable
  exit
  rule 3
    action permit
    match protocol udp
    match destination-port firewall_failover
    enable
  exit
  rule 4
    action permit
    match protocol udp
    match source-port dhcp_server
  exit
  rule 10
    action permit
    match protocol gre
    enable
  exit
  rule 20
    action permit
    match protocol icmp
    enable
  exit
  rule 30
    action permit
    match protocol vrrp
    enable
  exit
  rule 40
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_server
    enable
  exit
  rule 50
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 60
    action permit
    match source-address SoftWLC
    enable
  exit
  rule 80
    action permit
    match source-address Admnet
    enable
  exit
  rule 90
    action permit
    match protocol tcp
    match destination-port aptd
    enable
  exit
  rule 100
    action permit
    match protocol tcp
    match destination-port telnet
    enable
  exit
exit
security zone-pair neighbour trusted
  rule 10
    action permit
    enable
  exit
exit
security zone-pair neighbour untrusted
  rule 10
    action permit
    enable
  exit
exit
security zone-pair neighbour gre
  rule 10
    action permit
    enable
  exit
exit
security zone-pair neighbour user
  rule 10
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_client
    enable
  exit
exit
security zone-pair trusted neighbour
  rule 10
    action permit
    enable
  exit
exit
security zone-pair gre neighbour
  rule 10
    action permit
    enable
  exit
exit
security zone-pair user neighbour
  rule 10
    action permit
    match protocol udp
    match destination-port dns
    enable
  exit
  rule 20
    action permit
    match not source-address nets
    enable
  exit
exit
security zone-pair untrusted self
  rule 10
    action permit
    match protocol tcp
    match source-address cross
    match source-port bgp
    match destination-port bgp
    enable
  exit
exit

security passwords history 0
ip firewall failover sync-type unicast
ip firewall failover source-address 198.18.128.3
ip firewall failover destination-address 100.64.0.57
ip firewall failover port 3333
ip firewall failover


ip dhcp-relay

wireless-controller
  peer-address 100.64.0.57
  nas-ip-address 198.18.128.3
  vrrp-group 1
  data-tunnel configuration radius
  keepalive mode reactive
  aaa das-profile COA
  aaa radius-profile PCRF
  internal-usage-vlan 1001-2037,2500-3000,3200-3700
  enable
exit
ip telnet server
ip ssh server

clock timezone gmt +7

ntp enable
ntp server 100.123.0.2
exit

Дерево страниц

Switch-community настройка и управление