Транспортная сеть — это совокупность всех ресурсов, выполняющих функции транспортирования в телекоммуникационных сетях. Она включает не только системы передачи, но и относящиеся к ним средства контроля, оперативного переключения, резервирования, управления.
При организации транспортной сети на оборудовании Eltex используется следующий функционал (на сервисных маршрутизаторах ESR):
- Firewall
- Агрегирование каналов
- VRRP
Приведем схему и пример настройки:
Настройка IP-связности с вышестоящими провайдерами
security zone Untrusted exit interface gigabitethernet 1/0/1 description "ISP1" security-zone Untrusted ip address 203.0.113.2/25 exit |
security zone Untrusted exit interface gigabitethernet 1/0/1 description "ISP2" security-zone Untrusted ip address 203.0.113.130/25 exit |
Создаем зону безопасности Назначаем на интерфейс ранее созданную зону, присваиваем IP-адрес |
Для взаимодействия с коммутатором ядра выполним агрегацию каналов. Для этого воспользуемся протоколом LACP, который позволяет объединять несколько физических каналов в один логический. Такое объединение позволяет увеличивать пропускную способность и надежность канала. Далее произведем терминацию MGMT-трафика, которая будет осуществляться на соответствующем саб-интерфейсе агрегированного канала.
interface port-channel 1 exit interface gigabitethernet 1/0/3 mode switchport channel-group 1 mode auto exit interface gigabitethernet 1/0/4 mode switchport channel-group 1 mode auto exit security zone MGMT exit interface port-channel 1.250 description "MGMT" security-zone MGMT ip address 10.250.0.1/24 exit |
interface port-channel 1 exit interface gigabitethernet 1/0/3 mode switchport channel-group 1 mode auto exit interface gigabitethernet 1/0/4 mode switchport channel-group 1 mode auto exit security zone MGMT exit interface port-channel 1.250 description "MGMT" security-zone MGMT ip address 10.250.0.2/24 exit |
Создаем логический интерфейс Добавляем соответствующие интерфейсы в группу агрегации Терминируем интерфейс для управления маршрутизатором |
Настройка общесистемных параметров на маршрутизаторах
syslog
Функционал предназначен для сохранения сообщений о событиях на маршрутизаторе в файл.
syslog max-files 3 syslog file-size 512 syslog sequence-numbers syslog file flash:syslog/default severity info exit |
Настраиваем ротацию syslog-файлов Настраиваем ограничение размера syslog-файла Включаем нумерацию syslog-сообщений Настраиваем сохранение syslog-сообщений в файл |
archive
Функционал предназначен для резервного хранения конфигурации маршрутизатора.
archive type local by-commit count-backup 10 exit |
Настраиваем режим локальной архивации конфигурации Включаем режим архивации конфигурации при успешном изменении конфигурации Настраиваем максимальное количество локальных резервных копий |
ssh
Функционал предназначен для удаленного подключения к маршрутизатору.
security zone-pair MGMT self
rule 10
action permit
match protocol tcp
match destination-port port-range 22
enable
exit
exit
ip ssh server |
Разрешаем прохождение SSH-трафика в зоне безопасности MGMT Включаем работу SSH-сервера на маршрутизаторе |
lldp
Функционал предназначен для динамического обнаружения устройств подключаемых к маршрутизатору в локальной сети, а также помогает устройствам получать дополнительную информацию для правильной настройки.
interface gigabitethernet 1/0/3 lldp transmit lldp receive exit interface gigabitethernet 1/0/4 lldp transmit lldp receive exit lldp enable |
Разрешаем на интерфейсе отправку LLDP-сообщений Разрешаем на интерфейсе прием LLDP-сообщений Разрешаем на интерфейсе отправку LLDP-сообщений Разрешаем на интерфейсе прием LLDP-сообщений Включаем работу протокола LLDP на маршрутизаторе |
ntp
Функционал предназначен для синхронизации внутренних часов оборудования.
object-group network Mgmt_POOL
ip prefix 10.250.0.0/24
exit
security zone-pair MGMT self
rule 20
action permit
match protocol udp
match destination-port port-range 123
enable
exit
exit
ntp enable
ntp object-group serve-only Mgmt_POOL
ntp server 198.51.100.100
exit
ntp server 198.51.100.101
exit |
Создаем профиль адресов MGMT-сети Разрешаем прохождение NTP-трафика в зоне безопасности MGMT Включаем работу протокола NTP на маршрутизаторе Разрешим устройствам из MGMT-сети получать время с маршрутизатора Конфигурируем NTP-сервер, с которым маршрутизатор будет синхронизировать время Конфигурируем еще один NTP-сервер, с которым маршрутизатор будет синхронизировать время |
snmp
Функционал предназначен для управления, мониторинга и конфигурирования маршрутизаторов из системы управления сетью.
security zone-pair MGMT self
rule 20
action permit
match protocol udp
match destination-port port-range 161
enable
exit
exit
snmp-server
snmp-server community private rw |
Разрешаем прохождение SNMP-трафика в зоне безопасности MGMT Включаем работу протокола SNMP на маршрутизаторе Определяем community для работы протокола SNMP |
Настройка коммутаторов уровня ядра
На уровне ядра необходимо настроить прохождение трафика к сервисным маршрутизаторам и коммутаторам уровня агрегации и IP-адрес из сети управления.
vlan database vlan 250 exit ! interface vlan 250 name Management ip address 10.250.0.10 /24 exit ! |
vlan database vlan 250 exit ! interface vlan 250 name Management ip address 10.250.0.11 /24 exit ! |
Создание необходимых VLAN Переход в режим конфигурации интерфейса VLAN Добавление описания Конфигурация IP-адреса для управления |
Настройка каналов в сторону сервисных маршрутизаторов ESR (вверх) и в сторону коммутаторов агрегации (вниз).
interface TenGigabitEthernet1/0/4 channel-group 2 mode auto exit ! interface TenGigabitEthernet1/0/5 channel-group 3 mode auto exit ! interface TenGigabitEthernet1/0/6 channel-group 4 mode auto exit ! interface TenGigabitEthernet1/0/7 channel-group 5 mode auto exit ! interface range Port-Channel1-5 switchport mode general switchport general allowed vlan add 250 tagged exit ! interface range Port-Channel2-5 switchport forbidden default-vlan exit ! |
interface TenGigabitEthernet1/0/4 channel-group 2 mode auto exit ! interface TenGigabitEthernet1/0/5 channel-group 3 mode auto exit ! interface TenGigabitEthernet1/0/6 channel-group 4 mode auto exit ! interface TenGigabitEthernet1/0/7 channel-group 5 mode auto exit ! interface range Port-Channel1-5 switchport mode general switchport general allowed vlan add 250 tagged exit ! interface range Port-Channel2-5 switchport forbidden default-vlan exit ! |
Port-Channel 2 будет использован для организации связности с сервисным маршрутизатором ESR1 Port-Channel 3 будет использован для организации связности с сервисным маршрутизатором ESR2 Port-Channel 4 будет использован для организации связности с коммутаторами уровня агрегации Port-Channel 5 будет использован для организации связности с коммутаторами уровня агрегации Переход в режим конфигурации нескольких интерфейсов одновременно Перевод интерфейса в режим general Указание VLAN id, которые будут проходить через интерфейс Запрет добавления дефолтной VLAN на интерфейсах, кроме Peer-Link |
Для обеспечения резервирования в данной схеме на уровне ядра применяется технология VPC.
interface TenGigabitEthernet1/0/1 ip address 1.1.1.1 255.255.255.252 exit ! interface TenGigabitEthernet1/0/2 channel-group 1 mode auto exit ! interface TenGigabitEthernet1/0/3 channel-group 1 mode auto exit ! vpc domain 1 peer detection peer detection ipaddr 1.1.1.2 1.1.1.1 peer keepalive peer keepalive timeout 5 role priority 1 peer link port-channel 1 exit ! vpc ! vpc group 2 domain 1 vpc-port port-channel 2 exit ! vpc group 3 domain 1 vpc-port port-channel 3 exit ! vpc group 4 domain 1 vpc-port port-channel 4 exit ! vpc group 5 domain 1 vpc-port port-channel 5 exit ! |
interface TenGigabitEthernet1/0/1 ip address 1.1.1.2 255.255.255.252 exit ! interface TenGigabitEthernet1/0/2 channel-group 1 mode auto exit ! interface TenGigabitEthernet1/0/3 channel-group 1 mode auto exit ! vpc domain 1 peer detection peer detection ipaddr 1.1.1.2 1.1.1.1 peer keepalive peer keepalive timeout 5 role priority 2 peer link port-channel 1 exit ! vpc ! vpc group 2 domain 1 vpc-port port-channel 2 exit ! vpc group 3 domain 1 vpc-port port-channel 3 exit ! vpc group 4 domain 1 vpc-port port-channel 4 exit ! vpc group 5 domain 1 vpc-port port-channel 5 exit ! |
Настройка IP-адреса для Peer-detection Добавление интерфейса в Port-Channel 1 (будет использован для Peer-Link) Создание VPC-домена Включение peer-detection Указание destination, source IP-адреса для peer-detection protocol Включение службы keepalive Указание времени ожидания ответа на запрос целостности peer-link Установка приоритета устройства. Устройство с меньшим значением будет назначено Primary Назначение Port-Channel 1 в качестве peer-link Включение VPC на коммутаторе Создание VPC-группы Указание VPC-домена Указание Port-Channel, в котором будет работать VPC-группа |
Настройка коммутаторов уровня агрегации
В качестве технологии резервирования на уровне агрегации в рассматриваемой схеме применяется стекирование.
Перед базовой конфигурацией коммутаторов уровня агрегации (в рассматриваемой схеме) необходимо настроить стекирование. После конфигурации cтековых настроек устройства необходимо перезагрузить, чтобы настройки применились. Перезагрузку лучше начать с юнита 1. |
| Устройства в стеке управляются через Master. |
stack configuration unit-id 1 ! stack configuration links te1-2 ! stack nsf |
stack configuration unit-id 2 ! stack configuration links te1-2 ! stack nsf |
Конфигурация unit-id внутри стека Конфигурация стековых линков. Стекирование будет осуществляться через интерфейсы TenGigabitEthernet1 и TenGigabitEthernet2 Включение функционала Non-Stop Forwarding |
Настройка управления коммутаторов уровня агрегации. Т. к. коммутаторы на данном уровне работают в стеке, то они являются одним логическим устройством.
vlan database vlan 250 exit ! interface vlan 250 name Management ip address 10.250.0.20 /24 exit |
Создание необходимых VLAN Переход в режим конфигурации интерфейса VLAN Добавление описания Конфигурация IP-адреса для управления |
Настройка каналов в сторону коммутаторов ядра (вверх) и в сторону коммутаторов доступа (вниз).
interface GigabitEthernet1/0/1 channel-group 1 mode auto exit ! interface GigabitEthernet2/0/1 channel-group 1 mode auto exit ! interface GigabitEthernet1/0/2 channel-group 2 mode auto exit ! interface GigabitEthernet2/0/2 channel-group 2 mode auto exit ! interface GigabitEthernet1/0/3 channel-group 3 mode auto exit ! interface GigabitEthernet2/0/3 channel-group 3 mode auto exit ! interface GigabitEthernet1/0/4 channel-group 4 mode auto exit ! interface GigabitEthernet2/0/4 channel-group 4 mode auto exit ! interface range Port-Channel1-4 switchport mode general switchport general allowed vlan add 250 tagged switchport forbidden default-vlan exit ! |
Port-Channel 1 будет использоваться для организации связности с комммутаторами уровня ядра Port-Channel 2 будет использоваться для организации связности с комммутаторами уровня ядра Port-Channel 3 будет использоваться для организации связности с комммутаторами уровня доступа Port-Channel 4 будет использоваться для организации связности с комммутаторами уровня доступа |
Настройка коммутаторов уровня доступа
vlan database vlan 250 exit ! interface vlan 250 name Management ip address 10.250.0.30 /24 exit ! ! end |
Создание необходимых VLAN Переход в режим конфигурации интерфейса VLAN Добавление описания Конфигурация IP-адреса для управления |
Настройка каналов в сторону коммутаторов агрегации (вверх).
interface TenGigabitEthernet1/0/1 channel-group 1 mode auto exit ! interface TenGigabitEthernet1/0/2 channel-group 1 mode auto exit ! interface Port-Channel1 switchport mode general switchport general allowed vlan add 250 tagged switchport forbidden default-vlan exit ! |
Port-Channel 1 будет использоваться для организации связности с комммутаторами уровня агрегации |
Настройка клиентских портов.
interface range GigabitEthernet1/0/1-24 switchport mode general exit ! |
Перевод клиентских портов в режим General |
Настройка безопасности транспортной сети на клиентских портах
Loopback Detection
Функционал предназначен для обнаружения петель как на самом устройстве, так и на устройствах, которые подключены к коммутатору.
errdisable recovery cause loopback-detection ! loopback-detection mode multicast-mac-addr loopback-detection interval 1 ! loopback-detection enable ! interface range gigabitethernet1/0/1-24 loopback-detection enable spanning-tree disable spanning-tree bpdu filtering exit |
Включение автоматического восстановления интерфейса после административного отключения из-за LBD Для LBD-кадров использовать MAC-адрес Multicast как MAC-адрес назначения Установка интервала отправки LBD-кадров (в секундах) Глобальное включение функционала LBD Переход в режим конфигурирования группы интерфейсов Включение функционала LBD на клиентском порту Отключение функционала spanning tree на клиентском порту Включение функционала BPDU Filtering на клиентском порту |
Storm Control
Функционал предназначен для ограничения скорости BUM (широковещательного (broadcast), многоадресного (multicast) или одноадресного (unknown unicast)) трафика на физическом интерфейсе.
traffic-limiter mode kbps ! interface range gigabitethernet1/0/1-24 storm-control broadcast kbps 2048 trap storm-control unicast kbps 2048 trap storm-control multicast kbps 2048 trap exit |
Указание единиц измерения, которые будет использовать Storm Control. По умолчанию используются kbps, также возможно использовать pps Переход в режим конфигурации группы интерфейсов Конфигурация уровня трафика. При превышении указанной величины в журнал событий вносится соответствующая запись |
Port Isolation
Функционал необходим для изоляции портов (запрета прохождения трафика) в одном широковещательном домене.
interface range gigabitethernet1/0/1-24 switchport protected-port exit |
Перевод порта в режим изоляции |