Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Введение

Выделение и настройка vlan при подключении новых ТД может оказаться трудоемкой задачей. Так же не всегда возможно обеспечить L2 канал от ТД до ESR. В этом случае необходимо использовать схему подключения ТД через L3 сеть оператора. Архитектура решения предполагает, что в сети доступа оператора обеспечивается L3 связность между ESR, SoftWLC и первичным адресом ТД. В этом случае ТД строит L2 GRE (EoGRE) туннели, что избавляет от необходимости  прокладывать vlan через сеть доступа оператора от ТД к ESR - достаточно терминировать vlan ТД на любом маршрутизатор или L3 коммутаторе, поддерживающем DHCP-relay, что бы выдать ТД первичный адрес, в котором в опции 43 будут содержаться адреса ESR для постройки GRE туннелей. Со стороны ESR настраивается функционал автоматического поднятия встречных туннелей, называемый wireless-controller. Данная схема включения называется WiFi L3.

Существует два режима создания туннелей:

  1. Создание с использованием локального профиля настроек ESR - данный режим называется "Локальный профиль конфигурирования туннелей SoftGRE".
  2. Создание дата-туннелей с использованием радиус-обмена с PCRF, который получает информацию о том какие дата-туннели нужно поднять в соответствии с положением ТД в дереве EMS и настройками её SSID - данный режим называется "Динамический профиль конфигурирования туннелей SoftGRE".

Внимание! Для доступа к функционалу wireless-controller ESR требуется наличие лицензии WiFi. Проверить её наличие можно командой show licence:

esr-1000# show licence 
Licence information
-------------------
Name:    eltex
Version: 1.0
Type:    ESR-1000
S/N:     NP00000033
MAC:     A8:F9:4B:AB:B3:80
Features:
 WIFI - Wi-Fi controller

Подробно о режимах создания туннелей можно прочитать в Режимы создания GRE туннелей для ТД в Wireless-Controller.

Далее будет использоваться следующая терминология для обозначение функционала, связанного с использованием GRE туннелирования:

  • EoGRE - общее название L2 GRE туннелирования
  • GRE - туннели, которые поднимает ТД
  • SoftGRE - туннели, которые поднимает ESR

Схема включения

Рассмотрим схему включения на примере сети, использующей следующую адресацию:

vlanПодсетьНазначениеАдрес ESRАдрес SoftWLCАдрес роутера, R1
100192.168.100.0/23Подсеть первичных адресов ТД----192.168.0.1
20010.0.0.0/28Подсеть адресов терминации GRE

10.0.0.1

10.0.0.2

--10.0.0.3
310.10.10.0/23подсеть управления ТД (вторичных адресов)10.10.10.1----
10100.64.0.0/22подсеть клиентов SSID ТД100.64.0.1----
120010.20.20.0/28подсеть для взаимодействия с комплексом SoftWLC10.20.20.110.20.20.2--
3500172.16.0.0/28подсеть для выхода в сеть Интернет172.16.0.2----

Таблица 1.

Схема сети приведена ниже, на рис. 1:

Рис.1 Схема организации связи через L3 сеть доступа оператора.

Ниже, на рис. 2, приведена схема архитектуры конфигурации ESR:

Рис. 2. Архитектура конфигурации ESR, при подключении ТД через L3 сеть доступа оператора.

Описание сети

  1. Выход в сеть Интернет осуществляется в vlan 3500, используя для маршрута по умолчанию шлюз 172.16.0.1 (router-NAT). Выпуск пользователей осуществляется путем маршрутизации на маршрутизатор router-NAT, который выполняет NAT трансляцию адресов пользователей в сеть Интернет.
  2. Сеть управления ESR находится в vlan 1200, подсеть 10.20.20.0/28, которая так же используется для взаимодействия с комплексом SoftWLC.
  3. ТД получают первичный IP адрес  из сети 192.168.100.0/23  через DHCP-relay коммутатора/маршрутизатора с DHCP-сервера установленного на сервере с SoftWLC. В опции 43 подопции 11 и 12, передаются 2 адреса для поднятия GRE туннелей: 10.0.0.1 и 10.0.0.2 (см. описание опций v1.16_Как сконфигурировать 43 опцию и другие особенности настройки). В этом случае весь трафик от ТД будет нетегированным. ТД поднимают 2 EoGRE туннеля с первичного адреса, полученного по DHCP на адреса  полученные в 11 и 12 подопциях:
        - в Management GRE туннеле на адрес 10.0.0.1 с vlan id = 1, передается трафик управления ТД.
        - в Data GRE туннеле на адрес 10.0.0.2 с vlan id = N, идет передача трафика пользователей, подключенных ТД, на которой настроена SSID (в приведенном примере vlanы 10 и 11).
  4. Через Management GRE туннель (vlan id 1) от АР приходят DHCP запросы, которые при помощи DHCP-relay на ESR, перенаправляются на SoftWLC. DHCP сервер, настроенный на SoftWLC, выдает для ТД IP адрес из сети 10.10.10.0/23, шлюзом будет выступать bridge 3 ESR с адресом 10.10.10.1. В опции 43.10 передается адрес SoftWLC сервера: 10.20.20.2, (см. описание опций v1.16_Как сконфигурировать 43 опцию и другие особенности настройки). По этому же адресу будет производить обмен служебной информацией между ТД и SoftWLC.
  5. На ТД настраивается SSID 1 и SSID 2, указывается vlan id 10 и 11. Весь трафик пользователей будет передаваться c vlan 10 и 11 внутри Data GRE туннеля на ESR. DHCP запросы клиента, при помощи DHCP-relay ESR будет перенаправляться на SoftWLC. Пользователи получают адреса из сети bridge 10 ESR 100.64.0.0/22, адрес шлюза 100.64.0.1.

Получение первичного адреса ТД и отправка трафика выполняется без тэга vlan. Поэтому для направления этого трафика в нужный vlan необходимо назначить ему нужный тэг на порту коммутатора, к которому подключена ТД. Ниже приведен пример настройки для коммутаторов типа MES:

interface gigabitethernet1/0/1
 description AP_1
 switchport mode accesss
 switchport access vlan 100
!

Внимание! ТД Eltex после получения первичного адреса с 43 опцией 11, 12 под опциями, сформирует два GRE туннеля для управления и пользовательского трафика и станет недоступна для управления (по telnet, ssh, web-gui) по первичному адресу ТД. Управление станет доступным по вторичному адресу (адресу управления), полученному через GRE туннель управления.

MTU передаваемых внутри EoGRE пакетов

Инкапсуляция пакетов в туннели EoGRE вызывает снижение MTU для передаваемого трафика на 42 байта. Что означает, что MTU для трафика управления и пользователей ТД (в условиях стандартного MTU L3 1500 байт на транспортной сети) составит 1458 байт. Данное значение будет установлено автоматически при автоматическом поднятии туннелей со стороны ESR.

Так же, для снижения количества пакетов ICMP типа "fragmentation needed" и предотвращения сброса TCP сессий клиентов, необходимо на всех интерфейсах, которые выполняют передачу трафика управления и пользователей ТД, выполнить настройку подмены TCP MSS в соответствии с полученным MTU - ip tcp adjust-mss 1418.

Приведенные выше расчеты соответствуют MTU L3 транспортной сети, через которую передаются GRE пакеты, 1500 байт. В случае необходимости увеличения MTU для пакетов пользователей ТД до стандартного значения 1500 байт, инкапсулируемых в EoGRE, необходимо увеличить MTU L3 на транспортной сети и ESR до 1542 байт.

Конфигурация ESR

Выполним загрузку лицензии для возможности использования функционала Wireless-Controller:

 Добавление лицензии на ESR
#Загрузим файл с лицензией с TFTP сервера
esr-1000# copy tftp://<IP адрес tftp-сервера>:/<серийный номер ESR>.lic system:licence
|******************************************| 100% (678B) Licence loaded successfully. Please reboot system to apply changes.
#После успешной загрузки выполним перезагрузку ESR
esr-1000#reload system
Do you really want to reload system ? (y/N): y

По вопросам приобретения лицензии необходимо обратиться в коммерческий отдел компании Элтекс. Необходимо сообщить модель и серийный номер ESR.

В общем настройка маршрутизатора предполагает следующую последовательность действий:

  1. Разработка плана адресации, выделение подсетей и адресов (пример приведен выше в таблице 1).
  2. Настройка первоначальной конфигурации ESR, которая выполняется через консольное подключение. В ходе данной настройки удаляется заводская конфигурация ESR, настраивается ip адрес управления и включается доступ по telnet/SSH, настраивается файрвол для возможности выполнения данных подключений (либо отключается на интерфейсе управления командой ip firewall disable).
  3. Подключения ESR к сети и настройка сопрягаемого оборудования.
  4. Настройка интерфейсов.
  5. Настройка параметров взаимодействия с радиус-сервером.
  6. Настройка и включение функционала Wireless-Controller., на который настроен
  7. Настройка правил файрвола.
  8. Настройка дополнительного функционала - SNMP сервера, NTP клиента.

Перед выполнением настроек маршрутизатора требуется выполнить сброс конфигурации на дефолтную (подробнее Руководство по установке и быстрому запуску). Пример команд соответствует версии ПО ESR 1.11.0. В приводимом примере конфигурации будет использоваться динамический профиль конфигурирования туннелей SoftGRE.

Включаем управление по протоколам telnet, SSH:

ip telnet server
ip ssh server

Создаем профили объектов tcp/udp портов, подсетей:

object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit
object-group network MGMT
  ip prefix 10.10.10.0/23
  ip prefix 10.20.20.0/28
exit

На маршрутизаторах типа ESR 100/200/1000 отключаем spanning-tree, т. к. маршрутизатор будет подключаться через один порт:

no spanning-tree

Создаем зоны безопасности:

security zone trusted
exit
security zone untrusted
exit
security zone gre
exit
security zone user
exit

Настраиваем параметры SNMP, что бы можно было контролировать состояние маршрутизатора со стороны SoftWLC:

 SNMP
snmp-server
snmp-server system-shutdown
snmp-server community "public11" ro
snmp-server community "private1" rw

snmp-server host 10.20.20.2
exit

snmp-server enable traps
snmp-server enable traps config
snmp-server enable traps config commit
snmp-server enable traps config confirm
snmp-server enable traps environment
snmp-server enable traps environment pwrin
snmp-server enable traps environment pwrin-insert
snmp-server enable traps environment fan
snmp-server enable traps environment fan-speed-changed
snmp-server enable traps environment fan-speed-high
snmp-server enable traps environment memory-flash-critical-low
snmp-server enable traps environment memory-flash-low
snmp-server enable traps environment memory-ram-critical-low
snmp-server enable traps environment memory-ram-low
snmp-server enable traps environment cpu-load
snmp-server enable traps environment cpu-critical-temp
snmp-server enable traps environment cpu-overheat-temp
snmp-server enable traps environment cpu-supercooling-temp
snmp-server enable traps environment board-overheat-temp
snmp-server enable traps environment board-supercooling-temp
snmp-server enable traps environment sfp-overheat-temp
snmp-server enable traps environment sfp-supercooling-temp
snmp-server enable traps environment switch-overheat-temp
snmp-server enable traps environment switch-supercooling-temp
snmp-server enable traps wifi
snmp-server enable traps wifi wifi-tunnels-number-in-bridge-high
snmp-server enable traps file-operations
snmp-server enable traps file-operations successful
snmp-server enable traps file-operations failed
snmp-server enable traps file-operations canceled
snmp-server enable traps interfaces
snmp-server enable traps interfaces rx-utilization-high
snmp-server enable traps interfaces tx-utilization-high
snmp-server enable traps interfaces number-high
snmp-server enable traps screen
snmp-server enable traps screen dest-limit
snmp-server enable traps screen source-limit
snmp-server enable traps screen icmp-threshold
snmp-server enable traps screen udp-threshold
snmp-server enable traps screen syn-flood
snmp-server enable traps screen land
snmp-server enable traps screen winnuke
snmp-server enable traps screen icmp-frag
snmp-server enable traps screen udp-frag
snmp-server enable traps screen icmp-large
snmp-server enable traps screen syn-frag
snmp-server enable traps screen unknown-proto
snmp-server enable traps screen ip-frag
snmp-server enable traps screen port-scan
snmp-server enable traps screen ip-sweep
snmp-server enable traps screen syn-fin
snmp-server enable traps screen fin-no-ack
snmp-server enable traps screen no-flag
snmp-server enable traps screen spoofing
snmp-server enable traps screen reserved
snmp-server enable traps screen quench
snmp-server enable traps screen echo-request
snmp-server enable traps screen time-exceeded
snmp-server enable traps screen unreachable
snmp-server enable traps screen tcp-all-flags
snmp-server enable traps entity
snmp-server enable traps entity config-change
snmp-server enable traps entity-sensor
snmp-server enable traps entity-sensor threshold
snmp-server enable traps envmon
snmp-server enable traps envmon fan
snmp-server enable traps envmon shutdown
snmp-server enable traps envmon supply
snmp-server enable traps envmon temperature
snmp-server enable traps flash
snmp-server enable traps flash insertion
snmp-server enable traps flash removal
snmp-server enable traps snmp
snmp-server enable traps snmp authentication
snmp-server enable traps snmp coldstart
snmp-server enable traps snmp linkdown
snmp-server enable traps snmp linkup
snmp-server enable traps syslog

Создаем интерфейсы для взаимодействия с подсетями управления и пользователей SSID ТД, комплекса SoftWLC, Интернет, первичных адресов ТД:

bridge 3
  description "AP_MANAGMENT"
  security-zone trusted
  ip address 10.10.10.1/23
  ip helper-address 10.20.20.2
  ip tcp adjust-mss 1418
  protected-ports local
  enable
exit
bridge 10
  description "AP_SSID_USERS"
  security-zone user
  ip address 100.64.0.1/22
  ip helper-address 10.20.20.2
  ip tcp adjust-mss 1418
  location data10
  protected-ports local
  enable
exit

interface gigabitethernet 1/0/1.200
  description "GRE_AP"
  security-zone gre
  ip address 10.0.0.1/28
  ip address 10.0.0.2/28
exit
interface gigabitethernet 1/0/1.1200
  description "MANAGMENT"
  security-zone trusted
  ip address 10.20.20.1/28
  ip tcp adjust-mss 1418
exit
interface gigabitethernet 1/0/1.3500
  description "INTERNET"
  security-zone untrusted
  ip address 172.16.0.2/28
  ip tcp adjust-mss 1418
exit

Включаем глобально пересылку DHCP запросов:

ip dhcp-relay

Добавляем шлюз по умолчанию:

ip route 0.0.0.0/0 172.16.0.1

Добавляем маршрут к подсети первичных адресов ТД:

ip route 192.168.100.0/23 10.0.0.3

Настраиваем взаимодействие с радиус-сервером (PCRF):

Если используется резервирование SoftWLC и сервис Eltex-PCRF работает кластере - необходимо в конфигурации ESR настроить взаимодействие для каждого сервиса по его реальному адресу и указать оба инстанса в настройке aaa radius-profile! Использовать VRRP адрес для взаимодействие нельзя!

Пример
radius-server host 10.20.20.2
  key ascii-text testing123
  timeout 11
  source-address 10.20.20.1
  auth-port 31812
  acct-port 31813
  retransmit 2
  dead-interval 10
exit
radius-server host 10.20.20.3
  key ascii-text testing123
  timeout 11
  source-address 10.20.20.1
  auth-port 31812
  acct-port 31813
  retransmit 2
  dead-interval 10
exit
aaa radius-profile PCRF
  radius-server host 10.20.20.2
  radius-server host 10.20.20.3
exit


radius-server timeout 10
radius-server host 10.20.20.2
  key ascii-text testing123
  timeout 11
  source-address 10.20.20.1
  auth-port 31812
  acct-port 31813
  retransmit 2
  dead-interval 10
exit
aaa radius-profile PCRF
  radius-server host 10.20.20.2
exit
das-server COA
  key ascii-text testing123
  port 3799
  clients object-group MGMT
exit
aaa das-profile COA
  das-server COA
exit

Настраиваем профили для поднятия туннелей:

tunnel softgre 1
  description "managment"
  mode management
  local address 10.0.0.1
  default-profile
  enable
exit
tunnel softgre 1.1
  bridge-group 3
  enable
exit
tunnel softgre 2
  description "data"
  mode data
  local address 10.0.0.2
  default-profile
  enable
exit

Настраиваем и включаем функционал "Wireless-Controller":

wireless-controller
  nas-ip-address 10.20.20.1
  data-tunnel configuration radius
  aaa das-profile COA
  aaa radius-profile PCRF
  enable
exit

Настраиваем правила файрвола:

#Разрешаем принимать все GRE пакеты и ICMP запросы из зоны gre:
security zone-pair gre self
  rule 1
    action permit
    match protocol gre
    enable
  exit
  rule 2
    action permit
    match protocol icmp
    enable
  exit
exit

#Разрешаем разрешаем маршрутизатору принимать все пакеты из подсетей MGMT:
security zone-pair trusted self
  rule 1
    action permit
    match source-address MGMT
    enable
  exit
exit

#Разрешаем обмен трафиком между зонами trusted в рамках используемых подсетей:
security zone-pair trusted trusted 
  rule 1
    action permit
    match source-address MGMT
    enable
  exit
exit

#Разрешаем прохождение любого трафика из зоны trusted к пользователям ТД:
security zone-pair trusted user
  rule 1
    action permit
    enable
  exit
exit

#Разрешаем прохождение лбого трафика из зоны trusted в зону gre:
security zone-pair trusted gre
  rule 1
    action permit
    enable
  exit
exit

#Разрешаем маршрутизатору принимать от пользователей ТД DHCP, что бы они могли получить адреса:
security zone-pair user self
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
exit

#Разрешаем пользователям продлять адрес, полученный по DHCP:
security zone-pair user trusted
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
exit

#Разрешаем весь трафик от пользователей в сеть Интернет:
security zone-pair user untrusted
  rule 1
    action permit
    enable
  exit
exit

Добавление ESR в дерево EMS

Открываем EMS, встаем на узел, в который планируем добавить ESR и нажимаем кнопку "+", расположенную вверху слева от дерева узлов:

Рис. 3.

В открывшемся окне, в поле:

  • "Имя объекта" - указываем произвольное название ESR "esr-gre".
  • "Тип" - выбираем тип оборудования, соответствующий используемому типу ESR "ESR1000".
  • "IP адрес" - указываем адрес управления ESR "10.20.20.1".

Нажимаем кнопку "Добавить".

После этого необходимо встать на добавленный ESR (если он не появился в дереве - надо нажать вверху кнопку "" ) и открыть справа вкладку "Доступ":

Рис. 4.

В открывшемся окне редактируем поля:

  • "Файловый протокол" - выбираем "FTP".
  • "Read community" - указываем имя SNMP RO community, настроенное ранее "public11".
  • "Write community" - указываем имя SNMP RW community, настроенное ранее "private1".

При добавлении ESR-100/200 значение поля "Режим ESR" будет "StationCE".

В этом случае необходимо изменить значение поля на "Station", в противном случае такой ESR не будет использоваться для построения дата-туннелей для ТД.

Изменить пароль radius, который будет использоваться при взаимодействии с ESR. Для этого в меню EMS открываем "RADIUS" → "Управление точками доступа". Выбираем добавленный ранее ESR (при большом количестве устройств можно выполнить фильтрацию по IP адресу ESR) и нажимаем кнопку "Редактировать":

Рис. 5.

В открывшемся окне меняем, в поле "Ключ" задаем ранее настроенный на ESR ключ "testing123" и нажимаем "Принять".

Приложения

Полная конфигурация ESR для схемы с динамическим профилем конфигурирования туннелей SoftGRE

 Конфигурация ESR для схемы с динамическим профилем конфигурирования туннелей SoftGRE
#!/usr/bin/clish
#18

object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit

object-group network MGMT
  ip prefix 10.10.10.0/23
  ip prefix 10.20.20.0/28
exit

radius-server timeout 10
radius-server host 10.20.20.2
  key ascii-text encrypted 88B11079B9014FAAF7B9
  timeout 11
  source-address 10.20.20.1
  auth-port 31812
  acct-port 31813
  retransmit 2
  dead-interval 10
exit
aaa radius-profile PCRF
  radius-server host 10.20.20.2
exit
das-server COA
  key ascii-text encrypted 88B11079B9014FAAF7B9
  port 3799
  clients object-group MGMT
exit
aaa das-profile COA
  das-server COA
exit

no spanning-tree

security zone trusted
exit
security zone untrusted
exit
security zone gre
exit
security zone user
exit


snmp-server
snmp-server system-shutdown
snmp-server community "public11" ro
snmp-server community "private1" rw

snmp-server host 10.20.20.2
exit

snmp-server enable traps
snmp-server enable traps config
snmp-server enable traps config commit
snmp-server enable traps config confirm
snmp-server enable traps environment
snmp-server enable traps environment pwrin
snmp-server enable traps environment pwrin-insert
snmp-server enable traps environment fan
snmp-server enable traps environment fan-speed-changed
snmp-server enable traps environment fan-speed-high
snmp-server enable traps environment memory-flash-critical-low
snmp-server enable traps environment memory-flash-low
snmp-server enable traps environment memory-ram-critical-low
snmp-server enable traps environment memory-ram-low
snmp-server enable traps environment cpu-load
snmp-server enable traps environment cpu-critical-temp
snmp-server enable traps environment cpu-overheat-temp
snmp-server enable traps environment cpu-supercooling-temp
snmp-server enable traps environment board-overheat-temp
snmp-server enable traps environment board-supercooling-temp
snmp-server enable traps environment sfp-overheat-temp
snmp-server enable traps environment sfp-supercooling-temp
snmp-server enable traps environment switch-overheat-temp
snmp-server enable traps environment switch-supercooling-temp
snmp-server enable traps ports
snmp-server enable traps ports port-counters-errors
snmp-server enable traps wifi
snmp-server enable traps wifi wifi-tunnels-number-in-bridge-high
snmp-server enable traps file-operations
snmp-server enable traps file-operations successful
snmp-server enable traps file-operations failed
snmp-server enable traps file-operations canceled
snmp-server enable traps interfaces
snmp-server enable traps interfaces rx-utilization-high
snmp-server enable traps interfaces tx-utilization-high
snmp-server enable traps interfaces number-high
snmp-server enable traps bras
snmp-server enable traps bras sessions-number-high
snmp-server enable traps screen
snmp-server enable traps screen dest-limit
snmp-server enable traps screen source-limit
snmp-server enable traps screen icmp-threshold
snmp-server enable traps screen udp-threshold
snmp-server enable traps screen syn-flood
snmp-server enable traps screen land
snmp-server enable traps screen winnuke
snmp-server enable traps screen icmp-frag
snmp-server enable traps screen udp-frag
snmp-server enable traps screen icmp-large
snmp-server enable traps screen syn-frag
snmp-server enable traps screen unknown-proto
snmp-server enable traps screen ip-frag
snmp-server enable traps screen port-scan
snmp-server enable traps screen ip-sweep
snmp-server enable traps screen syn-fin
snmp-server enable traps screen fin-no-ack
snmp-server enable traps screen no-flag
snmp-server enable traps screen spoofing
snmp-server enable traps screen reserved
snmp-server enable traps screen quench
snmp-server enable traps screen echo-request
snmp-server enable traps screen time-exceeded
snmp-server enable traps screen unreachable
snmp-server enable traps screen tcp-all-flags
snmp-server enable traps entity
snmp-server enable traps entity config-change
snmp-server enable traps entity-sensor
snmp-server enable traps entity-sensor threshold
snmp-server enable traps envmon
snmp-server enable traps envmon fan
snmp-server enable traps envmon shutdown
snmp-server enable traps envmon supply
snmp-server enable traps envmon temperature
snmp-server enable traps flash
snmp-server enable traps flash insertion
snmp-server enable traps flash removal
snmp-server enable traps snmp
snmp-server enable traps snmp authentication
snmp-server enable traps snmp coldstart
snmp-server enable traps snmp linkdown
snmp-server enable traps snmp linkup
snmp-server enable traps syslog

bridge 3
  description "AP_MANAGMENT"
  security-zone trusted
  ip address 10.10.10.1/23
  ip helper-address 10.20.20.2
  ip tcp adjust-mss 1418
  protected-ports local
  enable
exit
bridge 10
  description "AP_SSID_USERS"
  security-zone user
  ip address 100.64.0.1/22
  ip helper-address 10.20.20.2
  ip tcp adjust-mss 1418
  location data10
  protected-ports local
  enable
exit

interface gigabitethernet 1/0/1.200
  description "GRE_AP"
  security-zone gre
  ip address 10.0.0.1/28
  ip address 10.0.0.2/28
exit
interface gigabitethernet 1/0/1.1200
  description "MANAGMENT"
  security-zone trusted
  ip address 10.20.20.1/28
  ip tcp adjust-mss 1418
exit
interface gigabitethernet 1/0/1.3500
  description "INTERNET"
  security-zone untrusted
  ip address 172.16.0.2/28
  ip tcp adjust-mss 1418
exit
tunnel softgre 1
  description "managment"
  mode management
  local address 10.0.0.1
  default-profile
  enable
exit
tunnel softgre 1.1
  bridge-group 3
  enable
exit
tunnel softgre 2
  description "data"
  mode data
  local address 10.0.0.2
  default-profile
  enable
exit

security zone-pair gre self
  rule 1
    action permit
    match protocol gre
    enable
  exit
  rule 2
    action permit
    match protocol icmp
    enable
  exit
exit
security zone-pair trusted self
  rule 1
    action permit
    match source-address MGMT
    enable
  exit
exit
security zone-pair trusted trusted
  rule 1
    action permit
    match source-address MGMT
    enable
  exit
exit
security zone-pair trusted user
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted gre
  rule 1
    action permit
    enable
  exit
exit
security zone-pair user self
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
exit
security zone-pair user trusted
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
exit
security zone-pair user untrusted
  rule 1
    action permit
    enable
  exit
exit


ip dhcp-relay

ip route 0.0.0.0/0 172.16.0.1
ip route 192.168.100.0/23 10.0.0.3

wireless-controller
  nas-ip-address 10.20.20.1
  data-tunnel configuration radius
  aaa das-profile COA
  aaa radius-profile PCRF
  enable
exit
ip telnet server
ip ssh server

Полная конфигурация ESR для схемы с локальным профилем конфигурирования туннелей SoftGRE

Главным отличием от приведенной выше конфигурации является отсутствие настроек для взаимодействия с radius-сервером и связанного с этим функционала в настройках Wireless-Controller. Добавлены локальные профили для SoftGRE дата-туннелей с vlanами 10 и 11, которые будут включены в Bridge 10.

 Конфигурация ESR для схемы с локальным профилем конфигурирования туннелей SoftGRE
#!/usr/bin/clish
#18

object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit

object-group network MGMT
  ip prefix 10.10.10.0/23
  ip prefix 10.20.20.0/28
exit

no spanning-tree

security zone trusted
exit
security zone untrusted
exit
security zone gre
exit
security zone user
exit


snmp-server
snmp-server system-shutdown
snmp-server community "public11" ro
snmp-server community "private1" rw

snmp-server host 10.20.20.2
exit

snmp-server enable traps
snmp-server enable traps config
snmp-server enable traps config commit
snmp-server enable traps config confirm
snmp-server enable traps environment
snmp-server enable traps environment pwrin
snmp-server enable traps environment pwrin-insert
snmp-server enable traps environment fan
snmp-server enable traps environment fan-speed-changed
snmp-server enable traps environment fan-speed-high
snmp-server enable traps environment memory-flash-critical-low
snmp-server enable traps environment memory-flash-low
snmp-server enable traps environment memory-ram-critical-low
snmp-server enable traps environment memory-ram-low
snmp-server enable traps environment cpu-load
snmp-server enable traps environment cpu-critical-temp
snmp-server enable traps environment cpu-overheat-temp
snmp-server enable traps environment cpu-supercooling-temp
snmp-server enable traps environment board-overheat-temp
snmp-server enable traps environment board-supercooling-temp
snmp-server enable traps environment sfp-overheat-temp
snmp-server enable traps environment sfp-supercooling-temp
snmp-server enable traps environment switch-overheat-temp
snmp-server enable traps environment switch-supercooling-temp
snmp-server enable traps ports
snmp-server enable traps ports port-counters-errors
snmp-server enable traps wifi
snmp-server enable traps wifi wifi-tunnels-number-in-bridge-high
snmp-server enable traps file-operations
snmp-server enable traps file-operations successful
snmp-server enable traps file-operations failed
snmp-server enable traps file-operations canceled
snmp-server enable traps interfaces
snmp-server enable traps interfaces rx-utilization-high
snmp-server enable traps interfaces tx-utilization-high
snmp-server enable traps interfaces number-high
snmp-server enable traps bras
snmp-server enable traps bras sessions-number-high
snmp-server enable traps screen
snmp-server enable traps screen dest-limit
snmp-server enable traps screen source-limit
snmp-server enable traps screen icmp-threshold
snmp-server enable traps screen udp-threshold
snmp-server enable traps screen syn-flood
snmp-server enable traps screen land
snmp-server enable traps screen winnuke
snmp-server enable traps screen icmp-frag
snmp-server enable traps screen udp-frag
snmp-server enable traps screen icmp-large
snmp-server enable traps screen syn-frag
snmp-server enable traps screen unknown-proto
snmp-server enable traps screen ip-frag
snmp-server enable traps screen port-scan
snmp-server enable traps screen ip-sweep
snmp-server enable traps screen syn-fin
snmp-server enable traps screen fin-no-ack
snmp-server enable traps screen no-flag
snmp-server enable traps screen spoofing
snmp-server enable traps screen reserved
snmp-server enable traps screen quench
snmp-server enable traps screen echo-request
snmp-server enable traps screen time-exceeded
snmp-server enable traps screen unreachable
snmp-server enable traps screen tcp-all-flags
snmp-server enable traps entity
snmp-server enable traps entity config-change
snmp-server enable traps entity-sensor
snmp-server enable traps entity-sensor threshold
snmp-server enable traps envmon
snmp-server enable traps envmon fan
snmp-server enable traps envmon shutdown
snmp-server enable traps envmon supply
snmp-server enable traps envmon temperature
snmp-server enable traps flash
snmp-server enable traps flash insertion
snmp-server enable traps flash removal
snmp-server enable traps snmp
snmp-server enable traps snmp authentication
snmp-server enable traps snmp coldstart
snmp-server enable traps snmp linkdown
snmp-server enable traps snmp linkup
snmp-server enable traps syslog

bridge 3
  description "AP_MANAGMENT"
  security-zone trusted
  ip address 10.10.10.1/23
  ip helper-address 10.20.20.2
  ip tcp adjust-mss 1418
  protected-ports local
  enable
exit
bridge 10
  description "AP_SSID_USERS"
  security-zone user
  ip address 100.64.0.1/22
  ip helper-address 10.20.20.2
  ip tcp adjust-mss 1418
  location data10
  protected-ports local
  enable
exit

interface gigabitethernet 1/0/1.200
  description "GRE_AP"
  security-zone gre
  ip address 10.0.0.1/28
  ip address 10.0.0.2/28
exit
interface gigabitethernet 1/0/1.1200
  description "MANAGMENT"
  security-zone trusted
  ip address 10.20.20.1/28
  ip tcp adjust-mss 1418
exit
interface gigabitethernet 1/0/1.3500
  description "INTERNET"
  security-zone untrusted
  ip address 172.16.0.2/28
  ip tcp adjust-mss 1418
exit
tunnel softgre 1
  description "managment"
  mode management
  local address 10.0.0.1
  default-profile
  enable
exit
tunnel softgre 1.1
  bridge-group 3
  enable
exit
tunnel softgre 2
  description "data"
  mode data
  local address 10.0.0.2
  default-profile
  enable
exit
tunnel softgre 2.10
  bridge-group 10
  enable
exit
tunnel softgre 2.11
  bridge-group 10
  enable
exit

security zone-pair gre self
  rule 1
    action permit
    match protocol gre
    enable
  exit
  rule 2
    action permit
    match protocol icmp
    enable
  exit
exit
security zone-pair trusted self
  rule 1
    action permit
    match source-address MGMT
    enable
  exit
exit
security zone-pair trusted trusted
  rule 1
    action permit
    match source-address MGMT
    enable
  exit
exit
security zone-pair trusted user
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted gre
  rule 1
    action permit
    enable
  exit
exit
security zone-pair user self
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
exit
security zone-pair user trusted
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
exit
security zone-pair user untrusted
  rule 1
    action permit
    enable
  exit
exit

ip dhcp-relay

ip route 0.0.0.0/0 172.16.0.1
ip route 192.168.100.0/23 10.0.0.3

wireless-controller
  enable
exit
ip telnet server
ip ssh server

Использование интерфейса типа Bridge

Для терминации GRE туннелей, приходящих от ТД можно использовать только интерфейс типа "Bridge", т.к. термининируемые саб-туннели EoGRE обеспечивают L2 связность и могут быть включены только в данный тип интерфейсов.
Допускается включение в один интерфейс типа "Bridge" SoftGRE туннелей с разным значением vlan-ID.
Для интерфейсов типа "Bridge", терминирующих SoftGRE туннели от ТД всегда рекомендуется включать изоляцию портов для предотвращения обмена трафиком между интерфейсами SoftGRE. Включение выполняется командой "protected-ports local".
Если в настройках интерфейса типа "Bridge" используется vlan, то для возможности обмена трафиком между ним туннелями SoftGR надо исключить vlan из изоляции командой "protected-ports exclude vlan".

 Пример конфигурации
bridge 10
  vlan 10
  protected-ports local
  protected-ports exclude vlan
  enable
exit

Пример вывода информации о состоянии SoftGRE туннелей на ESR

Просмотр информации о существующих SoftGRE туннелях:

 show tunnels status
esr1000# show tunnels status
Tunnel             Admin   Link    MTU      Local IP           Remote IP          Last change
                   state   state
----------------   -----   -----   ------   ----------------   ----------------   -------------------------
softgre 1          Up      Up      1462     10.0.0.1           192.168.100.15     4 days, 21 minutes and 32
                                                                                  seconds

softgre 1.1        Up      Up      1458     --                 --                 4 days, 21 minutes and 32
                                                                                  seconds

softgre 2          Up      Up      1462     10.0.0.2           192.168.100.15     4 days, 21 minutes and 32
                                                                                  seconds

softgre 2.10       Up      Up      1458     --                 --                 4 days, 21 minutes and 32
                                                                                  seconds

softgre 2.11       Up      Up      1458     --                 --                 4 days, 21 minutes and 32
                                                                                  seconds

softgre 3          Up      Up      1462     10.0.0.1          192.168.100.12     4 days, 21 minutes and 14
                                                                                  seconds

softgre 3.1        Up      Up      1458     --                 --                 4 days, 21 minutes and 14
                                                                                  seconds

softgre 4          Up      Up      1462     10.0.0.2          192.168.100.12     4 days, 21 minutes and 14
                                                                                  seconds

softgre 4.10       Up      Up      1458     --                 --                 4 days, 21 minutes and 14
                                                                                  seconds

softgre 4.11       Up      Up      1458     --                 --                 4 days, 21 minutes and 14
                                                                                  seconds

Просмотр информации об интерфейсах типа "Bridge" и включенных в них SoftGRE туннелях:

 show interfaces bridge
esr1000# show interfaces bridge
Bridges      Interfaces
----------   --------------------------------------------------------------
bridge 3     softgre 1.1, softgre 3.1
bridge 10    softgre 2.10, softgre 2.11, softgre 4.10, softgre 4.11

Конфигурация DHCP сервера

Ниже приведен пример конфигурации DHCP сервера, на основе приведенной выше адресации. В качестве DHCP сервера используется ISC-DHCP-SERVER.

 /etc/dhcp/dhcpd.conf
default-lease-time 86400;
max-lease-time 87000;

log-facility local7;

#listening subnet
subnet 10.20.20.0 netmask 255.255.255.240 {}

#Описание классов оборудования, которым будем разрешать получения адреса управления
class "ELTEX-DEVICES" {
	match if (
		(substring (option vendor-class-identifier, 0, 14)="ELTEX_WEP-12AC") or
		(substring (option vendor-class-identifier, 0, 14)="ELTEX_WOP-12AC") or
		(substring (option vendor-class-identifier, 0, 14)="ELTX_WEP-12AC") or
		(substring (option vendor-class-identifier, 0, 14)="ELTX_WOP-12AC") or
		(substring (option vendor-class-identifier, 0, 13)="ELTEX_WEP-2AC") or
		(substring (option vendor-class-identifier, 0, 12)="ELTEX_WOP-2L") or
		(substring (option vendor-class-identifier, 0, 12)="ELTEX_WEP-2L") or
		(substring (option vendor-class-identifier, 0, 12)="ELTEX_WEP-1L")
	);
}

#Подсеть первичных адресов ТД в vlan 100
subnet 192.168.100.0 netmask 255.255.255.0 {
	pool {
		option routers 192.168.100.1;
		range 192.168.100.2 192.168.101.254;
		option vendor-encapsulated-options 0B:08:31:30:2e:30:2e:30:2e:31:0C:08:31:30:2e:30:2e:30:2e:32;
		allow members of "ELTEX-DEVICES";
 }
}

#Подсеть управления ТД в vlan 3
subnet 10.10.10.0 netmask 255.255.254.0 {
	pool {
		option routers 10.10.10.1;
		range 10.10.10.2 10.10.11.254;
		option vendor-encapsulated-options 0A:0A:31:30:2e:32:30:2e:32:30:2e:32;
		allow members of "ELTEX-DEVICES";
		option domain-name-servers 172.16.0.254;
	}
}

#Подсеть пользователей ТД SSID vlan 10
subnet 100.64.0.0 netmask 255.255.252.0 {
	default-lease-time 3600;
	max-lease-time 3700;
	pool {
		option routers 100.64.0.1;
		range 10.64.0.2 100.640.3.254;
		option domain-name-servers 172.16.0.254;
	}
}

Пример настройки NAT на ESR

Если не предполагается использовать сторонний роутер для выполнения трансляции адресов клиентов в сеть Интернет - то можно выполнить настройку NAT непосредственно на ESR. Ниже приведён пример такой настройки:

 Конфигурация NAT
object-group network nat
  ip prefix 100.64.0.0/22
exit

nat source
  ruleset NAT
    to zone untrusted
    rule 1
      match source-address nat
      action source-nat interface
      enable
    exit
  exit
exit
  • Нет меток