Настройка общих параметров для failover-сервисов
ip failover
Данной командой осуществляется переход в режим конфигурирования общих параметров для failover-сервисов.
Использование отрицательной формы команды (no) удаляет настройки общих параметров для failover-сервисов.
Синтаксис
[no] ip failover [ vrf <VRF> ]
Параметры
<VRF> – имя VRF, задается строкой до 31 символа.
Значение по умолчанию
Отключено
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# ip failover esr(config-failover)#
local-address
Данной командой устанавливается IP-адрес, на котором failover сервисы принимают failover-сообщения при работе в режиме резервирования.
Использование отрицательной формы команды (no) удаляет установленный IP-адрес.
Синтаксис
local-address { <ADDR> | object-group <NETWORK_OBJ_GROUP_NAME> }no local-address
Параметры
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
<NETWORK_OBJ_GROUP_NAME> – список адресов, которые будут использоваться в качестве local address.
Необходимый уровень привилегий
10
Командный режим
CONFIG-FAILOVER
Пример
esr(config-failover)# local-address 192.168.1.1
multicast-address
Данной командой устанавливается многоадресный IP-адрес, который будет использоваться для обмена информации при работе резервирования failover-сервисов в multicast-режиме.
Использование отрицательной формы команды (no) удаляет многоадресный IP-адрес.
Синтаксис
multicast-address <ADDR>
no multicast-address
Параметры
<ADDR> – многоадресный IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Необходимый уровень привилегий
10
Командный режим
CONFIG-FAILOVER
Пример
esr(config-failover)# multicast-address 238.0.0.10
multicast-group
Данной командой устанавливается идентификатор multicast-группы для обмена информацией при работе резервирования failover-сервисов в multicast-режиме.
Использование отрицательной формы команды (no) удаляет идентификатор группы.
Синтаксис
multicast-group <GROUP>
no multicast-group
Параметры
<GROUP> – multicast-группа, указывается в диапазоне [1000..9999].
Необходимый уровень привилегий
10
Командный режим
CONFIG-FAILOVER
Пример
esr(config-failover)# multicast-group 1028
remote-address
Данной командой устанавливается IP-адрес, на который failover-сервисы отправляют failover-сообщения при работе в режиме резервирования.
Использование отрицательной формы команды (no) удаляет установленный IP-адрес.
Синтаксис
remote-address { <ADDR> | object-group <NETWORK_OBJ_GROUP_NAME> }no remote-address
Параметры
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<NETWORK_OBJ_GROUP_NAME> – список адресов, которые будут использоваться в качестве local address.
Необходимый уровень привилегий
10
Командный режим
CONFIG-FAILOVER
Пример
esr(config-failover)# remote-address 192.168.1.2
show high-availability state
Данная команда позволяет посмотреть общее состояние систем резервирования и роль устройства.
Синтаксис
show high-availability state
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show high-availability state
DHCP option 82 table:
State: Disabled
Last state change: --
DHCP server:
VRF: --
State: Successful synchronization
Firewall sessions and NAT translations:
Tracking VRRP Group 1
Tracking VRRP Group state: Master
State: Successful synchronization
Fault Reason: --
Last synchronization: 2022-11-25 13:19:04
vrrp-group
Данной командой указывается VRRP-группа, по состоянию которой будет определятся мастерство при работе failover сервисов в режиме Active-Standby.
Использование отрицательной формы команды (no) удаляет указанную vrrp-group из конфигурации failover.
Синтаксис
vrrp-group <GRID>
no vrrp-group
Параметры
<GRID> – идентификатор группы VRRP-маршрутизатора, принимает значения [1..32].
Необходимый уровень привилегий
10
Командный режим
CONFIG-FAILOVER
Пример
esr(config-failover)# vrrp-group 2
Настройка резервирования DHCP
auto-partner-down
Данной командой устанавливается время отработки DHCP-lease, при котором аренда может быть продлена одним из узлов отказоустойчивости, не связываясь с другим.
Использование отрицательной формы команды (no) устанавливается значение по умолчанию.
Синтаксис
ip dhcp-server failover auto-partner-down <TIME>
no ip dhcp-server failover auto-partner-down
Параметры
<TIME> – время, определяется в секундах [1..86400].
Значение по умолчанию
0
Необходимый уровень привилегий
10
Командный режим
CONFIG-DHCP-SERVER-FAILOVER
Пример
esr(config-dhcp-server-failover)# auto-partner-down 200
enable
Данной командой включается работа резервирования DHCP-сервера.
Использование отрицательной формы команды (no) выключает работа резервирования DHCP-сервера.
Синтаксис
[no] enable
Параметры
Отсутствуют.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config-dhcp-server-failover)# enable
ip dhcp-server failover
Данной командой осуществляется переход в режим конфигурирования резервирования DHCP-сервера.
Использование отрицательной формы команды (no) удаляет настройки резервирования DHCP-сервера.
Синтаксис
[no] ip dhcp-server failover [ vrf <VRF> ] [ all ]
Параметры
<VRF> – имя VRF, задается строкой до 31 символа;
all – при использовании ключа при удалении, удаляется конфигурация резервирования DHCP-серверов во всех VRF и глобальной конфигурации.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# ip dhcp-server failover esr(config-dhcp-server-failover)#
maximum-client-lead-time
Данной командой устанавливается максимальное время, на которое DHCP-сервер может продлить время аренды IP-адреса.
Использование отрицательной формы команды (no) устанавливается значение по умолчанию.
Синтаксис
maximum-client-lead-time <TIME>
no maximum-client-lead-time
Параметры
<TIME> – время, определяется в секундах [1..86400].
Значение по умолчанию
1800
Необходимый уровень привилегий
10
Командный режим
CONFIG-DHCP-SERVER-FAILOVER
Пример
esr(config-dhcp-server-failover)# maximum-client-lead-time 200
mode
Данной командой настраивается режим работы DHCP failover.
Использование отрицательной формы команды (no) устанавливает режим работы DHCP failover по умолчанию.
Синтаксис
mode { active-active | active-standby }no mode
Значение по умолчанию
Active-Active
Необходимый уровень привилегий
10
Командный режим
CONFIG-DHCP-SERVER-FAILOVER
Пример
esr(config-dhcp-server-failover)# mode active-standby
role
Данной командой определяется роль DHCP-сервера при работе в режиме резервирования Active-Active.
Использование отрицательной формы команды (no) удаляет установленную роль DHCP-сервера при работе в режиме резервирования Active-Active.
Синтаксис
role <ROLE>
Параметры
<ROLE> – роль DHCP-сервера при работе в режиме резервирования:
- primary – режим активного DHCP-сервера;
- secondary – режим резервного DHCP-сервера.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DHCP-SERVER-FAILOVER
Пример
esr(config-dhcp-server-failover)# role primary
show ip dhcp server failover
Данная команда позволяет посмотреть состояние резервирования DHCP-сервера.
Синтаксис
show ip dhcp server failover [ vrf <VRF> | all ]
Параметры
<VRF> – имя экземпляра VRF, задается строкой до 31 символа.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show ip dhcp server failover
VRF: --
State: Successful
Настройка резервирования Firewall/NAT
clear ip firewall failover counters
Данная команда позволяет очистить счетчики работы firewall failover.
Синтаксис
clear ip firewall failover counters [ vrf <VRF> ]
Параметры
<VRF> – имя экземпляра VRF, задается строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# clear ip firewall failover counters
enable
Данной командой включается работа резервирования firewall.
Использование отрицательной формы команды (no) отключает резервирование firewall.
Синтаксис
[no] enable
Параметры
Отсутствуют.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-FIREWALL-FAILOVER
Пример
esr(config-firewall-failover)# enable
ip firewall failover
Данной командой осуществляется переход в режим конфигурирования резервирования сессий Firewall.
Использование отрицательной формы команды (no) удаляет настройки резервирования сессий Firewall.
Синтаксис
[no] ip firewall failover [ vrf <VRF> ]
Параметры
<VRF> – имя экземпляра VRF, задается строкой до 31 символа.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# ip firewall failover
port
Данной командой устанавливается номер UDP-порта службы резервирования сессий Firewall, через который происходит обмен информацией при работе в unicast-режиме.
Использование отрицательной формы команды (no) удаляет номер порта службы резервирования сессий Firewall.
Синтаксис
port <PORT>
no port
Параметры
<PORT> – номер порта службы резервирования сессий Firewall, указывается в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-FIREWALL-FAILOVER
Пример
esr(config-firewall-failover)# port 3333
show ip firewall failover
Данная команда позволяет посмотреть состояние резервирования сессий Firewall.
Синтаксис
show ip firewall failover [ cache ] [ vrf <VRF> ]
Параметры
<VRF> – имя экземпляра VRF, задается строкой до 31 символа;
cache – ключ для отображения счетчиков кэша.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример 1
esr# show ip firewall failover
Communication interface: gigabitethernet 2/0/3.10
Status: Running
Bytes sent: 2328
Bytes received: 2388
Packets sent: 148
Packets received: 149
Send errors: 0
Receive errors: 0
Resend queue:
Active entries: 1
Errors:
No space left: 0
Hold queue:
Active entries: 0
Errors:
No space left: 0
Пример 2
esr# show ip firewall failover cache
Internal sessions cache counters:
Active entries: 1
Added: 2
Deleted: 1
Updated: 0
Failed adding: 0
No memory left: 0
No space left: 0
Failed deleting: 0
No entry found: 0
Failed updating: 0
No entry found: 0
External sessions cache counters:
Active entries: 1
Added: 1
Deleted: 0
Updated: 0
Installed to Kernel: 0
Failed adding: 0
No memory left: 0
No space left: 0
Failed deleting: 0
No entry found: 0
Failed updating: 0
No entry found: 0
Failed installing to Kernel: 0
show ip firewall sessions
Данная команда используется для просмотра кэшей IP-сессий при работе firewall failover.
Синтаксис
show ip firewall sessions [ configuration ] [ tracking ] [ inside-destination-address <ADDR> ] [ outside-destination-address <ADDR> ] [ inside-source-address <ADDR> ] [ outside-source-address <ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ summary ] [ protocol <TYPE> ] [ expected ] [ failover ] [ vrf <VRF> ]
Параметры
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<PORT> – TCP/UDP-порт, принимает значения [1..65535];
<VRF> – имя экземпляра VRF, задается строкой до 31 символа;
configuration – ключ для отображения конфигурации;
tracking – ключ для отображения протоколов отслеживания;
failover – ключ для отображения кэша отказоустойчивых сессий;
inside-source-address – команда для указания IP-адреса источника приходящих пакетов;
inside-destination-address – команда для указания IP-адреса назначения приходящих пакетов;
outiside-source-address – команда для указания IP-адреса источника отправляемых пакетов;
outside-destination-address – команда для указания IP-адреса назначения отправляемых пакетов;
inside-source-port – ключ для указания TCP/UDP-порта отправителя в приходящих пакетах;
outside-source-port – ключ для указания TCP/UDP-порта отправителя в отправляемых пакетах;
inside-destination-port – ключ для указания TCP/UDP-порта назначения в приходящих пакетах;
outside-destination-port – ключ для указания TCP/UDP-порта назначения в отправляемых пакетах;
expected – выводит информацию по ожидаемым сессиям;
summary – выводит суммарную статистику по IP-сессиям.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show ip firewall sessions
Codes: E - expected, U - unreplied,
A - assured, C - confirmed
Prot Aging Inside source Inside destination Outside source Outside destination Pkts Bytes Status
----- ----- -------------- ------------------ --------------- ------------------- ---- ------ ------
udp 29 10.10.10.2:500 10.10.10.1:500 10.10.10.2:500 10.10.10.1:500 -- -- UC
show ip firewall sessions failover
Данная команда используется для просмотра кэшей IP-сессий при работе firewall failover.
Синтаксис
show ip firewall sessions failover { internal | external } [ protocol <TYPE> ] [ inside-source-address <ADDR>] [ outside-source-address <ADDR> ] [ inside-destination-address <ADDR> ] [ outside-destination-address <ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ summary ] [ configuration ] [ expected ] [ vrf <VRF> ]Параметры
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<PORT> – TCP/UDP-порт, принимает значения [1..65535];
<VRF> – имя экземпляра VRF, задается строкой до 31 символа;
internal – кэш синхронизации с ядром.
external – кэш синхронизации с соседом.
inside-source-address – команда для указания IP-адреса источника приходящих пакетов;
inside-destination-address – команда для указания IP-адреса назначения приходящих пакетов;
outiside-source-address – команда для указания IP-адреса источника отправляемых пакетов;
outside-destination-address – команда для указания IP-адреса назначения отправляемых пакетов;
inside-source-port – ключ для указания TCP/UDP-порта отправителя в приходящих пакетах;
outside-source-port – ключ для указания TCP/UDP-порта отправителя в отправляемых пакетах;
inside-destination-port – ключ для указания TCP/UDP-порта назначения в приходящих пакетах;
outside-destination-port – ключ для указания TCP/UDP-порта назначения в отправляемых пакетах;
expected – выводит информацию по ожидаемым сессиям;
summary – выводит суммарную статистику по IP-сессиям.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
show ip nat translations failover
Данная команда используется для просмотра кэша IP-сессий трансляции при работе nat failover.
Синтаксис
show ip nat translations failover { internal | external } [ protocol <TYPE> ] [ inside-source-address <ADDR> ] [ outiside-source-address <ADDR> ] [ inside-destination-address <ADDR> ] [ outside-destination-address <ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ summary ] [ vrf <VRF> ]Параметры
summary – выводит суммарную статистику по сессиям трансляции;
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<PORT> – TCP/UDP-порт, принимает значения [1..65535];
<VRF> – имя экземпляра VRF, задается строкой до 31 символа.
Для Source NAT:
- inside-source-address – ключ для указания IP-адреса источника до трансляции;
- inside-destination-address – ключ для указания IP-адреса назначения на входе в маршрутизатор;
- outiside-source-address – ключ для указания IP-адреса источника после трансляции;
- outside-destination-address – ключ для указания IP-адреса назначения на выходе из маршрутизатора.
inside-source-port – ключ для указания TCP/UDP-порта отправителя до трансляции;
outside-source-port – ключ для указания TCP/UDP-порта отправителя после трансляции;
inside-destination-port – ключ для указания TCP/UDP-порта назначения до трансляции;
outside-destination-port – ключ для указания TCP/UDP-порта назначения после трансляции.
Для Destination NAT:
- inside-source-address – ключ для указания IP-адреса источника на выходе из маршрутизатора;
- inside-destination-address – ключ для указания IP-адреса назначения после трансляции;
- outiside-source-address – ключ для указания IP-адреса источника на входе в маршрутизатор;
- outside-destination-address – ключ для указания IP-адреса назначения до трансляции;
inside-source-port – ключ для указания TCP/UDP-порта отправителя до трансляции;
outside-source-port – ключ для указания TCP/UDP-порта отправителя после трансляции;
inside-destination-port – ключ для указания TCP/UDP-порта назначения до трансляции;
outside-destination-port – ключ для указания TCP/UDP-порта назначения после трансляции.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show ip nat translations failover internal Prot Inside source Inside destination Outside source Outside destination Pkts ---- --------------------- --------------------- --------------------- --------------------- ---------- tcp 192.168.10.10:39268 217.134.15.73:22 222.222.222.2:39268 217.134.15.73:22 --
sync-type
Данной командой определяется режим обмена информацией между основным и резервным маршрутизаторами.
Использование отрицательной формы команды (no) удаляет режим работы резервирования Firewall.
Синтаксис
sync-type <MODE>
no sync-type
Параметры
<MODE> – режим обмена информацией:
- unicast – режим unicast;
- multicast – режим multicast.
Необходимый уровень привилегий
10
Командный режим
CONFIG-FIREWALL-FAILOVER
Пример
esr(config-firewall-failover)# sync-type multicast
Настройка Сrypto-Sync
crypto-sync
Данной командой осуществляется переход в режим конфигурирования резервирования сертификатов.
Использование отрицательной формы команды (no) удаляет настройки резервирования сертификатов.
Синтаксис
[no] crypto-sync
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# crypto-sync esr(config-crypto-sync)#
enable
Данной командой включается функция синхронизации сертификатов.
Использование отрицательной формы команды (no) отключает функцию.
Синтаксис
[no] enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Выключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-CRYPTO-SYNC
Пример
esr(config-crypto-sync)# enable
remote-delete
Данной командой включается функция удаления сертификатов при синхронизации.
Использование отрицательной формы команды (no) выключает функционал.
Синтаксис
remote-delete
no remote-delete
Параметры
Отсутствуют.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-CRYPTO-SYNC
Пример
esr(config-crypto-sync)# remote-delete
sync crypto force
Данной командой запускается полная синхронизация файлов в ручном режиме.
Синтаксис
sync crypto force
Параметры
Отсутствуют.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# sync crypto force