Общие сведения
Для обеспечения отказоустойчивости предполагается выполнение резервирования по схеме 1+1 (Active-Standby) с использованием протокола VRRP. Общая схема приведена на рис. 1 ниже:
Рис. 1.
Как видно из приведенной на рис. 1 схемы, используются два ESR, один из которых выступает в качестве основного - ESR VRRP MASTER и выполняет обработку трафика пользователей WiFi, а второй в качестве резервного - ESR VRRP BACKUP, который в случае выхода из строя ESR VRRP MASTER захватит VRRP мастерство и начнет обрабатывать трафик. Каждый ESR подключен к отдельному коммутатору (MES 1 и MES 2 соответственно), что бы исключить коммутатор как единую точку отказа. Резервирование комплекса SoftWLC рассматривается в статье v1.18_Резервирование SoftWLC.
Настройка ESR
В настоящем документе рассматривается настройка резервирования с использованием VRRP и её особенности. Подробно настройка BRAS L2 рассмотрена в статье BRAS. L2 WiFi - руководство по настройке и быстрому запуску.
В приведенном далее примере будет использоваться следующая адресация:
Назначение | VLAN | ESR VRRP MASTER IP address | VRRP IP address | ESR VRRP BACKUP IP address |
---|
Подсеть управления, доступ к SoftWLC | 2300 | 100.123.0.174/24 | 100.123.0.175/32 | 100.123.0.176/24 |
Доступ в сеть Интернет | 3500 | 172.31.240.2/29 | 172.31.240.4/32 | 172.31.240.3/29 |
Подсеть клиентов ТД |
| 192.168.132.2/22 | 192.168.132.1/32 | 192.168.132.3/22 |
SSID 1 | 2336 |
|
|
|
SSID 2 | 2337 |
|
|
|
Таблица 1.
Адрес SotfWLC 100.123.0.2. Шлюз по умолчанию для ESR 172.31.240.1. Схема включения приведена ниже на рис. 2:
Рис. 2.
Как видно из адресации в таблице 1 и схемы на рис. 2, в конфигурации будет использовано три VRRP-инстанса - для интерфейса gi1/0/1.3500, который используется для выхода в сеть Интернет, для bridge 10, который используется для в качестве шлюза по умолчанию и терминации подсети пользователей WiFi. Если используется несколько интерфейсов для терминации подсетей пользователей WiFi - соответсвующий инстанс VRRP должен быть настроен и для них. Так же необходим инстанс VRRP на интерфейсе gi1/0/1.2300, используемый для взаимодействия с комплексом SoftWLC - он будет использоваться в качестве шлюза со стороны комплекса SoftWLC для подсетей пользователей WiFi, что необходимо для корректной работы DHCP -сервера.
- Существуют следующие требования к настройке VRRP:
- все инстансы VRRP должны быть включены в одну группу, в настоящем примере это будет "vrrp group 1".
- все инстансы VRRP каждого роутера должны иметь одинаковый приоритет - в настоящем примере для ESR VRRP MASTER - 200, для ESR VRRP BACKUP 110.
- в текущем примере используется настройка vrrp preempt disable, которая запрещает перехват мастерства более высокоприоритетным инстансом VRRP, в случае, если более низкоприоритеный инстанс уже находится в состоянии "master" - она должна быть настроена одинаково на всех роутерах (можно отказаться от использования этой настройки, но это приведет к тому, что роутер с более высоким приоритетом VRRP всегда будет захватывать мастерство, что может привести к нежелательным переключениям мастерства).
Более подробное описание настроек VRRP можно посмотреть: Управление резервированием.
Настраиваем bridge 10:
bridge 10
vlan 100
unknown-unicast-forwarding disable
security-zone trusted
ip address 192.168.132.2/22
ip helper-address 100.123.0.2
vrrp id 10
vrrp ip 192.168.132.1/32
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp
protected-ports local
protected-ports exclude vlan
ports vrrp filtering enable
ports vrrp filtering exclude vlan
enable
exit |
|
bridge 10
vlan 100
unknown-unicast-forwarding disable
security-zone trusted
ip address 192.168.132.3/22
ip helper-address 100.123.0.2
vrrp id 10
vrrp ip 192.168.132.1/32
vrrp priority 110
vrrp group 1
vrrp preempt disable
vrrp
protected-ports local
protected-ports exclude vlan
ports vrrp filtering enable
ports vrrp filtering exclude vlan
enable
exit |
|
Обратим внимание на следующие настройки:
- vlan 100 - для корректной работы протокола требуется L2 связность между соответствующими интерфейсами роутеров, для bridge 10 будет использоваться vlan 100.
- к настройке protected-ports local добавиться настройка protected-ports exclude vlan, которая исключает vlan бриджа из изоляции для возможности рассылки VRRP анонсов.
- ports vrrp filtering enable - данная настройка запрещает рассылку VRRP анонсов в интерфейсы бриджа, т.к. клиентам они не нужны.
- ports vrrp filtering exclude vlan - данная настройка исключает vlan бриджа из запрещенных к рассылке VRRP анонсов, т.к. соседний роутер должен их получать.
Настраиваем интерфейс gi1/0/1, он будет настроен одинаково на обоих роутерах:
interface gigabitethernet 1/0/1
mode hybrid
switchport forbidden default-vlan
switchport general acceptable-frame-type tagged-only
switchport general allowed vlan add 100 tagged
exit |
|
Настройка "mode hybrid" может быть задана только на "старших" моделях ESR - 1000/1200/1500/1700. Она позволяет использовать порт как в режиме коммутатора, так и в режиме роутера. На младших моделях ESR - 10/20/100/200 возможно только два режима работы "mode switchport" и "mode routerport" (по умолчанию). В этом случае потребуется либо перенести все настройки ip на бриджи, в случае использования режима "mode switchport", либо отказаться от использования бриджей и все настройки ip выполнить на саб-интерфейсах - в этом случае будет использоваться режим "mode routerport". |
Настроим саб-интерфейсы:
interface gigabitethernet 1/0/1.3500
description "UpLink"
security-zone untrusted
ip address 172.31.240.2/29
vrrp id 35
vrrp ip 172.31.240.4/32
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp
exit
interface gigabitethernet 1/0/1.2300
description "mgmt"
security-zone trusted
ip firewall disable
ip address 100.123.0.174/24
vrrp id 23
vrrp ip 100.123.0.175/32
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp
exit |
|
interface gigabitethernet 1/0/1.3500
description "UpLink"
security-zone untrusted
ip address 172.31.240.3/29
vrrp id 35
vrrp ip 172.31.240.4/32
vrrp priority 110
vrrp group 1
vrrp preempt disable
vrrp
exit
interface gigabitethernet 1/0/1.2300
description "mgmt"
security-zone trusted
ip firewall disable
ip address 100.123.0.176/24
vrrp id 23
vrrp ip 100.123.0.175/32
vrrp priority 110
vrrp group 1
vrrp preempt disable
vrrp
exit
|
|
При настройке взаимодействия с радиус надо учитывать, что в качестве адреса источника необходимо указывать реальный адрес интерфейса, через который осуществляется взаимодействие:
object-group network SoftWLC
ip address-range 100.123.0.2
exit
radius-server timeout 2
radius-server host 100.123.0.2
key ascii-text testing123
source-address 100.123.0.174
auth-port 31812
acct-port 31813
retransmit 3
dead-interval 10
exit
aaa radius-profile PCRF
radius-server host 100.123.0.2
exit
das-server COA
key ascii-text testing123
port 3799
clients object-group SoftWLC
exit
aaa das-profile COA
das-server COA
exit |
|
object-group network SoftWLC
ip address-range 100.123.0.2
exit
radius-server timeout 2
radius-server host 100.123.0.2
key ascii-text testing123
source-address 100.123.0.176
auth-port 31812
acct-port 31813
retransmit 3
dead-interval 10
exit
aaa radius-profile PCRF
radius-server host 100.123.0.2
exit
das-server COA
key ascii-text testing123
port 3799
clients object-group SoftWLC
exit
aaa das-profile COA
das-server COA
exit |
|
Если используется резервирование SoftWLC и сервис Eltex-PCRF работает кластере - необходимо в конфигурации ESR настроить взаимодействие для каждого сервиса по его реальному адресу и указать оба инстанса в настройке aaa radius-profile! Использовать VRRP адрес для взаимодействие нельзя! radius-server host 100.123.0.2
key ascii-text testing123
source-address 100.123.0.174
auth-port 31812
acct-port 31813
retransmit 3
dead-interval 10
exit
radius-server host 100.123.0.3
key ascii-text testing123
source-address 100.123.0.174
auth-port 31812
acct-port 31813
retransmit 3
dead-interval 10
exit
aaa radius-profile PCRF
radius-server host 100.123.0.2
radius-server host 100.123.0.3
exit |
|
Настройка BRAS - укажем диапазон возможных адресов пользователей исключив из него адреса обоих роутеров и VRRP адрес (настройка одинакова для обоих роутеров):
object-group network bras_users
ip address-range 192.168.132.4-192.168.135.254
exit
|
|
Так же требуется указать принадлежность инстанса BRAS к vrrp group 1 - если это не сделать - BRAS будет блокировать трафик клиентов. На каждом из роутеров будет использоваться свой nas-ip:
subscriber-control filters-server-url http://100.123.0.2:7070/filters/file
subscriber-control
aaa das-profile COA
aaa sessions-radius-profile PCRF
aaa services-radius-profile PCRF
nas-ip-address 100.123.0.174
session mac-authentication
bypass-traffic-acl unauthUSER
vrrp-group 1
default-service
class-map unauthUSER
filter-name remote gosuslugi
filter-action permit
default-action redirect http://100.123.0.2:8080/eltex_portal/
exit
enable
exit |
|
subscriber-control filters-server-url http://100.123.0.2:7070/filters/file
subscriber-control
aaa das-profile COA
aaa sessions-radius-profile PCRF
aaa services-radius-profile PCRF
nas-ip-address 100.123.0.176
session mac-authentication
bypass-traffic-acl unauthUSER
vrrp-group 1
default-service
class-map unauthUSER
filter-name remote gosuslugi
filter-action permit
default-action redirect http://100.123.0.2:8080/eltex_portal/
exit
enable
exit |
|
В настройках firewall потребуется разрешить прохождение трафика VRRP для соответствующих зон интерфейсов в направлении self:
rule 1
action permit
match protocol vrrp
exit |
|
Итоговая конфигурация роутеров будет выглядеть так:
hostname master
object-group service dhcp_server
port-range 67
exit
object-group service dhcp_client
port-range 68
exit
object-group service dns
port-range 53
exit
object-group service redirect
port-range 3128-3131
exit
object-group network users
ip prefix 192.168.132.0/22
exit
object-group network SoftWLC
ip address-range 100.123.0.2
exit
object-group network bras_users
ip address-range 192.168.132.4-192.168.135.254
exit
radius-server timeout 2
radius-server host 100.123.0.2
key ascii-text testing123
source-address 100.123.0.174
auth-port 31812
acct-port 31813
retransmit 3
dead-interval 10
exit
aaa radius-profile PCRF
radius-server host 100.123.0.2
exit
das-server COA
key ascii-text testing123
port 3799
clients object-group SoftWLC
exit
aaa das-profile COA
das-server COA
exit
vlan 100
exit
security zone trusted
exit
security zone untrusted
exit
security zone users
exit
ip access-list extended WELCOME
rule 1
action permit
match protocol tcp
match destination-port 443
enable
exit
rule 2
action permit
match protocol tcp
match destination-port 8443
enable
exit
rule 3
action permit
match protocol tcp
match destination-port 80
enable
exit
rule 4
action permit
match protocol tcp
match destination-port 8080
enable
exit
exit
ip access-list extended INTERNET
rule 1
action permit
enable
exit
exit
ip access-list extended unauthUSER
rule 1
action permit
match protocol udp
match source-port 68
match destination-port 67
enable
exit
rule 2
action permit
match protocol udp
match destination-port 53
enable
exit
exit
subscriber-control filters-server-url http://100.123.0.2:7070/filters/file
subscriber-control
aaa das-profile COA
aaa sessions-radius-profile PCRF
aaa services-radius-profile PCRF
nas-ip-address 100.123.0.174
session mac-authentication
bypass-traffic-acl unauthUSER
vrrp-group 1
default-service
class-map unauthUSER
filter-name remote gosuslugi
filter-action permit
default-action redirect http://100.123.0.2:8080/eltex_portal/
exit
enable
exit
snmp-server
snmp-server system-shutdown
snmp-server community "private1" rw
snmp-server community "public11" ro
snmp-server host 100.123.0.2
source-address 100.123.0.174
exit
bridge 10
vlan 100
unknown-unicast-forwarding disable
security-zone trusted
ip address 192.168.132.2/22
ip helper-address 100.123.0.2
vrrp id 10
vrrp ip 192.168.132.1/32
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp
service-subscriber-control object-group bras_users
location data10
protected-ports local
protected-ports exclude vlan
ports vrrp filtering enable
ports vrrp filtering exclude vlan
enable
exit
interface gigabitethernet 1/0/1
mode hybrid
switchport forbidden default-vlan
switchport general acceptable-frame-type tagged-only
switchport general allowed vlan add 100 tagged
exit
interface gigabitethernet 1/0/1.3500
description "UpLink"
security-zone untrusted
ip address 172.31.240.2/29
vrrp id 35
vrrp ip 172.31.240.4/32
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp
exit
interface gigabitethernet 1/0/1.2300
description "mgmt"
security-zone trusted
ip firewall disable
ip address 100.123.0.174/24
vrrp id 23
vrrp ip 100.123.0.175/32
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp
exit
interface gigabitethernet 1/0/1.2336
bridge-group 10
exit
interface gigabitethernet 1/0/1.2337
bridge-group 10
exit
security zone-pair users untrusted
rule 1
action permit
enable
exit
exit
security zone-pair trusted self
rule 1
action permit
enable
exit
exit
security zone-pair trusted users
rule 1
action permit
enable
exit
exit
security zone-pair users self
rule 1
action permit
match protocol udp
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
rule 2
action permit
match protocol tcp
match destination-port redirect
enable
exit
rule 3
action permit
match protocol vrrp
exit
exit
security zone-pair users trusted
rule 1
action permit
match protocol udp
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
rule 2
action permit
match protocol udp
match destination-port dns
enable
exit
exit
security zone-pair untrusted self
rule 1
action permit
match protocol vrrp
exit
exit
nat source
pool nat_addr
ip address-range 172.31.240.2
exit
ruleset nat_source
to zone untrusted
rule 1
match source-address users
action source-nat pool nat_addr
enable
exit
exit
exit
ip dhcp-relay
ip route 0.0.0.0/0 172.31.240.1
ip telnet server
ip ssh server
clock timezone gmt +7
ntp enable
ntp server 100.123.0.2
exit |
|
hostname backup
object-group service dhcp_server
port-range 67
exit
object-group service dhcp_client
port-range 68
exit
object-group service dns
port-range 53
exit
object-group service redirect
port-range 3128-3131
exit
object-group network users
ip prefix 192.168.132.0/22
exit
object-group network SoftWLC
ip address-range 100.123.0.2
exit
object-group network bras_users
ip address-range 192.168.132.4-192.168.135.254
exit
radius-server timeout 2
radius-server host 100.123.0.2
key ascii-text testing123
source-address 100.123.0.176
auth-port 31812
acct-port 31813
retransmit 3
dead-interval 10
exit
aaa radius-profile PCRF
radius-server host 100.123.0.2
exit
das-server COA
key ascii-text testing123
port 3799
clients object-group SoftWLC
exit
aaa das-profile COA
das-server COA
exit
vlan 100
exit
security zone trusted
exit
security zone untrusted
exit
security zone users
exit
ip access-list extended WELCOME
rule 1
action permit
match protocol tcp
match destination-port 443
enable
exit
rule 2
action permit
match protocol tcp
match destination-port 8443
enable
exit
rule 3
action permit
match protocol tcp
match destination-port 80
enable
exit
rule 4
action permit
match protocol tcp
match destination-port 8080
enable
exit
exit
ip access-list extended INTERNET
rule 1
action permit
enable
exit
exit
ip access-list extended unauthUSER
rule 1
action permit
match protocol udp
match source-port 68
match destination-port 67
enable
exit
rule 2
action permit
match protocol udp
match destination-port 53
enable
exit
exit
subscriber-control filters-server-url http://100.123.0.2:7070/filters/file
subscriber-control
aaa das-profile COA
aaa sessions-radius-profile PCRF
aaa services-radius-profile PCRF
nas-ip-address 100.123.0.176
session mac-authentication
bypass-traffic-acl unauthUSER
vrrp-group 1
default-service
class-map unauthUSER
filter-name remote gosuslugi
filter-action permit
default-action redirect http://100.123.0.2:8080/eltex_portal/
exit
enable
exit
snmp-server
snmp-server system-shutdown
snmp-server community "private1" rw
snmp-server community "public11" ro
snmp-server host 100.123.0.2
source-address 100.123.0.176
exit
bridge 10
vlan 100
unknown-unicast-forwarding disable
security-zone trusted
ip address 192.168.132.3/22
ip helper-address 100.123.0.2
vrrp id 10
vrrp ip 192.168.132.1/32
vrrp priority 110
vrrp group 1
vrrp preempt disable
vrrp
service-subscriber-control object-group bras_users
location data10
protected-ports local
protected-ports exclude vlan
ports vrrp filtering enable
ports vrrp filtering exclude vlan
enable
exit
interface gigabitethernet 1/0/1
mode hybrid
switchport forbidden default-vlan
switchport general acceptable-frame-type tagged-only
switchport general allowed vlan add 100 tagged
exit
interface gigabitethernet 1/0/1.3500
description "UpLink"
security-zone untrusted
ip address 172.31.240.3/29
vrrp id 35
vrrp ip 172.31.240.4/32
vrrp priority 110
vrrp group 1
vrrp preempt disable
vrrp
exit
interface gigabitethernet 1/0/1.2300
description "mgmt"
security-zone trusted
ip firewall disable
ip address 100.123.0.176/24
vrrp id 23
vrrp ip 100.123.0.175/32
vrrp priority 110
vrrp group 1
vrrp preempt disable
vrrp
exit
interface gigabitethernet 1/0/1.2336
bridge-group 10
exit
interface gigabitethernet 1/0/1.2337
bridge-group 10
exit
security zone-pair users untrusted
rule 1
action permit
enable
exit
exit
security zone-pair trusted self
rule 1
action permit
enable
exit
exit
security zone-pair trusted users
rule 1
action permit
enable
exit
exit
security zone-pair users self
rule 1
action permit
match protocol udp
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
rule 2
action permit
match protocol tcp
match destination-port redirect
enable
exit
rule 3
action permit
match protocol vrrp
exit
exit
security zone-pair users trusted
rule 1
action permit
match protocol udp
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
rule 2
action permit
match protocol udp
match destination-port dns
enable
exit
exit
security zone-pair untrusted self
rule 1
action permit
match protocol vrrp
exit
exit
nat source
pool nat_addr
ip address-range 172.31.240.3
exit
ruleset nat_source
to zone untrusted
rule 1
match source-address users
action source-nat pool nat_addr
enable
exit
exit
exit
ip dhcp-relay
ip route 0.0.0.0/0 172.31.240.1
ip telnet server
ip ssh server
clock timezone gmt +7
ntp enable
ntp server 100.123.0.2
exit |
|
Особенности настройки взаимодействия с SoftWLC
Подробно настройка взаимодействия SoftWLC рассмотрена в документе BRAS. L2 WiFi - руководство по настройке и быстрому запуску, поэтому далее будут отражены особенности настройки взаимодействия с двумя ESR:
В EMS должны быть добавлены оба роутера, каждый со своим адресом управления.
При выполнении настроек подсети L2 в Личном кабинете необходимо настроить каждую подсеть дважды - для каждого роутера. Различия в настройках будут заключаться только в названии и NAS, как изображено на рис. 3:
Рис. 3.