Введение
Организация связи всегда являлась для человека важной задачей. В современном мире любая крупная компания сталкивается с необходимостью организации надежной и эффективной сетевой инфраструктуры. Одним из ключевых элементов такой инфраструктуры являются коммутаторы, обеспечивающие передачу данных между различными устройствами внутри корпоративной сети. Для достижения максимальной производительности и безопасности используется трехуровневая архитектура: доступ, агрегация и ядро. Каждый из этих уровней выполняет свои специфические задачи и имеет определенные особенности.
Приведенная схема представляет сеть усредненного предприятия, решающую задачи предоставления и разграничения доступа для сотрудников, организации связи между отдельными офисами.
Постановка задачи
Целью данного документа является демонстрация построения корпоративной сети с использованием оборудования компании Eltex и практик использования этого оборудования.
Коммутаторы MES, сервисные маршрутизаторы ESR, контроллеры WLC, IP-АТС SMG, телефоны VP, точки доступа WEP и т. д. являются устройствами, отвечающими современным требованиям к построению сетей передачи данных.
Целевая аудитория
Данный документ будет полезен для инженеров, решающих задачи организации связи в отделениях банков и офисах компаний, на производствах. Возможность масштабирования, а также широкий список поддерживаемых протоколов позволяют использовать предложенную схему для решения более широкого круга задач.
Предлагаемая схема сети
Предлагаемое решение представляет собой стандартную трехуровневую архитектуру (доступ, агрегация, ядро) на базе аппаратных и программных решений Eltex.
Преимущества решения
Предлагаемое решение позволяет построить безопасную (за счет таких функций как 802.1x, Dynamic ARP Inspection, IP Source Guard и других) и надежную (физическое резервирование — стек, VPC + VRRP) корпоративную сеть, используя многолетний опыт Eltex в области телекоммуникаций.
Возможные продуктовые решения
Коммутаторы MES
| Уровень | Модель | Количество портов | Размер MAC-таблицы | Маршруты IPv4 Unicast |
|---|---|---|---|---|
| Доступ | MES2300-24 | 24 | 16384 | 4066 |
| Агрегация | MES3300-24 | 24 | 16384 | 13278 |
| Ядро | MES5332A | 32 | 32768 | 16286 |
| MES5410-48 | 48 | 131072/262144* | 292000/16000* |
* — в зависимости от режима распределения системных ресурсов mid-l3-mid-l2/min-l3-max-l2.
Сервисные маршрутизаторы ESR
| Модель | Количество портов | Размер MAC-таблицы |
|---|---|---|
| ESR-3300 | 4 × 25G SFP28, 4 ×100G QSFP28 | 1.7М |
| ESR-3200 | 12 × 25G SFP28 | 1.7М |
| ESR-3100 | 8 × 1G, 8 × 10G SFP+ | 1.7М |
| ESR-1700 | 4 × 1G Combo, 8 × 10G SFP+ | 3М |
| ESR-3200L | 8 × 10G SFP, 4 × 25G SFP28 | 1.7М |
IP-АТС
| Модель | VoIP-каналы | E1 | HDD |
|---|---|---|---|
| SMG-3016 | до 768 | 16 | 2 |
Телефоны VP
| Модель | SIP | Дисплей | Опции расширения |
|---|---|---|---|
| VP-17P | 4 | монохромный | нет |
| VP-30P | 8 | цветной | до трёх VP-EXT22 |
Точки доступа WEP
| Модель | Стандарт | Размещение | Количество реальных пользователей на ТД |
|---|---|---|---|
| WEP-3ax | Wi-Fi 6 | Indoor | до 100 |
| WEP-30L | Wi-Fi 6 | Indoor | до 120 |
Контроллеры беспроводного доступа WLC
| Модель | Количество поддерживаемых точек доступа | Количество клиентов | Схема включения клиентов |
|---|---|---|---|
| WLC-15 | 50, доступно расширение по лицензии до 100 | 2000 | Сentralized forwarding, local switching |
| WLC-30 | 150, доступно расширение по лицензии до 500 | 5000 | |
| WLC-3200 | 1000, доступно расширение по лицензии до 3000 | 300005 |
Версии ПО
| Устройство | Версия ПО |
|---|---|
| ESR-3300 | 1.34.6 |
| MES5410-48 | 6.6.8.8 |
| MES5332A rev. C | 6.6.8.8 |
| MES2300D-24P | 6.6.8.8 |
| MES2300-24 | 6.6.8.8 |
| SMG-3016 rev. B | 3.409 |
WLC-15 | 1.30.8 |
| WEP-30L | 2.8.10 |
| VP-17P | 1.5.7 |
| VP-30P | 1.4.5 |
| ECCM | 2.5.1 |
| NAICE | v1.0 |
Параметры окружения и сетевой инфраструктуры
В данном руководстве используются внешние сетевые службы, которые находятся за пределами сети. Фактические настройки определяются текущей конфигурацией вашей сети или предоставляются поставщиками услуг.
| Назначение | VID | IP Address |
|---|---|---|
| Management VLAN | 250 | 10.250.0.0/24 |
| Пользовательская VLAN | 100 | 10.100.0.0/24 |
| Voice VLAN | 101 | 10.101.0.0/24 |
| Guest VLAN | 150 | 10.150.0.0/24 |
| VLAN управления ТД | 110 | 10.110.0.0/24 |
| VLAN пользователей ТД | 115 | 10.115.0.0/24 |
| ISP 1 | 1000 | 203.0.113.2/25 |
| ISP 2 | 2000 | 203.0.113.130/25 |
| Внешний NTP-сервер | ISP1, ISP2 | |
| Внешний DHCP-сервер | 300 | 192.168.1.30 |
| ECCM (SNMP, Syslog, backup) | 250 | 10.250.0.100 |
| NAICE (Radius, Tacacs+) | 250 | 10.250.0.200 |
Система мониторинга и управления ECCM может выступать в рамках Syslog-сервера, хранилищем backup-ов конфигураций для сетевых устройств. Система контроля сетевого доступа NAICE может выступать в роли внешнего RADIUS и TACACS+ серверов. В рамках конфигурации устройств, представленных в гайде, данные опции учтены, т.о. в случае использования иных серверов необходимо настроить соответствующую адресацию. |
Настройка коммутаторов уровня доступа
Коммутаторы уровня доступа представляют собой первый уровень взаимодействия пользователей с сетью, к ним подключаются конечные устройства, такие как рабочие станции, принтеры и IP-телефоны, что обеспечивает базовый доступ к ресурсам локальной сети. Основные функции этих устройств включают:
- Подключение конечных устройств — коммутатор обеспечивает подключение большого количества рабочих станций и других периферийных устройств.
- Управление безопасностью — на уровне доступа реализуются базовые механизмы защиты, такие как фильтрация MAC-адресов и контроль доступа к портам.
- PoE (Power over Ethernet) — передача питания по Ethernet-кабелю к таким устройствам как IP-телефоны, точки доступа, камеры видеонаблюдения.
Для обеспечения безопасности на уровне доступа применяются следующие функции: DHCP-Snooping, Dynamic ARP Inspection, IP Source Guard, 802.1x, Storm Control, Loopback Detection, Telnet/SSH, Management ACL, Port Isolation, Voice VLAN.
DHCP Snooping
DHCP Snooping позволяет повысить уровень безопасности сетевой инфраструктуры за счет определения доверенных и недоверенных портов для работы протокола DHCP. Также на базе таблицы DHCP Snooping работуют другие функции, например, IP Source Guard.
ip dhcp snooping
ip dhcp snooping vlan 100
!
interface range gigabitethernet1/0/1-24
ip dhcp snooping limit clients {количество клиентов}
exit
!
interface Port-Channel1
ip dhcp snooping trust
exit
! |
Включение функционала DHCP Snooping глобально Указание VLAN, в которой будет работать DHCP Snooping (клиентская VLAN) Переход в режим конфигурирования диапазона интерфейсов gi1/0/1-24 Ограничение количества клиентов за портом, от которых могут быть переданы DHCP-запросы (защита от атаки DHCP starvation) Переход в режим конфигурирования Port-Channel 1 Указание, что интерфейс Port-Channel 1 является доверенным, т. е. пришедшие на него "сверху" ответы от DHCP-сервера могут пересылаться "вниз" |
Полезные команды для проверки
show ip dhcp snooping binding — просмотр сведений о том, какие IP-адреса выданы клиентам, за какими портами, в каких VLAN они находятся, клиентских MAC-адресах;
show ip dhcp snooping — просмотр сведений о том, в какой VLAN, на каких интерфейсах включена функция DHCP Snooping, какие интерфейсы являются доверенными.
Dynamic ARP Inspection
Dynamic ARP Inspection (DAI) — функция коммутатора, предназначенная для защиты от атак с использованием протокола ARP (например, ARP Spoofing). Функция позволяет сократить риски от атак MITM, когда злоумышленник перехватывает трафик, изменив ARP-таблицу на коммутаторе таким образом, что настоящий IP-адрес клиента соответствует MAC-адресу злоумышленника (отправляя соответствующие ARP-ответы).
ip dhcp snooping ip dhcp snooping vlan 100 ip arp inspection ip arp inspection vlan 100 ! interface Port-Channel1 ip arp inspection trust ip dhcp snooping trust exit ! |
Включение функционала DHCP Snooping глобально Указание VLAN, в которой будет работать DHCP Snooping (клиентская VLAN) Включение DAI глобально Указание VLAN, в которой будет работать DAI Переход в режим конфигурирования Port-Channel 1 Указание, что интерфейс Port-Channel 1 является доверенным для DAI Указание, что интерфейс Port-Channel 1 является доверенным для DHCP Snooping |
Полезные команды для проверки
show ip arp inspection — просмотр информации, на каких физических интерфейсах и VLAN работает функция DAI;
show ip arp inspection statistics — просмотр информации о количестве пересланных/отброшенных ARP-пакетах.
IP Source Guard
Функция защиты IP-адреса предназначена для фильтрации IP-трафика, принятого с интерфейса, на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Функционал позволяет защититься от подмены IP-адресов в трафике, приходящем от подключенного клиентского устройства.
ip dhcp snooping ip dhcp snooping vlan 100 ip source guard ! interface range Gigabitethenet1/0/1-24 ip source-guard ! interface Port-Channel1 ip dhcp snooping trust exit ! |
Включение функционала DHCP Snooping глобально Указание VLAN, в которой будет работать DHCP Snooping (клиентская VLAN) Включение функционала IP Source Guard глобально Переход в режим конфигурирования диапазона интерфейсов gi1/0/1-24 Включение функционала IP Source Guard Переход в режим конфигурирования Port-Channel 1 Указание, что интерфейс Port-Channel 1 является доверенным для DHCP Snooping |
Полезные команды для проверки
show ip source-guard configuration — просмотр настройки функции защиты IP-адреса на заданном, либо на всех интерфейсах устройства.
show ip source-guard status — просмотр статуса функции защиты IP-адреса для интерфейса, IP-адреса, МАС-адреса или группы VLAN.
show ip source-guard inactive — просмотр неактивных IP-адресов отправителя.
802.1x
Использование стандарта 802.1x позволяет обеспечить безопасность сети за счет централизованной авторизации пользователей, в результате чего снижается возможность подключения к инфраструктуре злоумышленников.
dot1x system-auth-control
!
radius-server host 100.250.0.100 key {секретный ключ}
!
interface range Gigabitethenet1/0/1-24
dot1x host-mode multi-sessions
dot1x guest-vlan enable
dot1x authentication 802.1x mac
dot1x radius-attributes vlan static
dot1x port-control auto
!
interface vlan 150
dot1x guest-vlan
exit
! |
Включение функционала dot1x на коммутаторе глобально Указание IP-адреса RADIUS-сервера и секретного ключа Переход в режим конфигурирования диапазона интерфейсов gi1/0/1-24 Включение режима авторизации каждой сессии за указанным портом Включение поддержки VLAN на интерфейсе, в которую попадает трафик от неавторизованных клиентов Указание используемых методов авторизации: 802.1x (логин пароль-TLS-для клиента) и mac-авторизация (для телефона) Включение обработки опции Tunnel-Private-Group-ID (81) в сообщениях RADIUS-сервера Использование функционала dot1x для изменения клиента состояния между авторизованным и неавторизованным Переход в режим конфигурирования интерфейса VLAN 150 Включение функции гостевой VLAN на текущем интерфейсе VLAN |
Полезные команды для проверки
show dot1x users — просмотр сведений об авторизованных клиентах;
show dot1x statistics interface {gigabitethernet gi_port | tengigabitethernet te_port} — просмотр статистики по EAP/EAPOL пакетам на интерфейсе;
show dot1x advanced interface {gigabitethernet gi_port | tengigabitethernet te_port} — просмотр расширенной информации по настроенный политике dot1x на интерфейсе;
show mac address-table — просмотр информации, в какой VLAN были изучены MAC-адреса;
show interfaces switchport {gigabitethernet gi_port | tengigabitethernet te_port | port-channel group} — просмотр информации о VLAN на физическом интерфейсе;
show access-lists — просмотр информации о списках контроля доступа.
Storm Control
Функционал предназначен для ограничения скорости BUM трафика (широковещательный (broadcast), многоадресный (multicast) или одноадресный (unknown unicast) трафик) на физическом интерфейсе.
errdisable recovery cause storm-control ! interface range Gigabitethernet1/0/1-24 storm-control broadcast kbps 2048 trap storm-control unicast kbps 2048 trap storm-control multicast kbps 2048 trap exit ! |
Включение автоматического восстановления интерфейса по причине storm-control Переход в режим конфигурирования диапазона интерфейсов gi1/0/1-24 Отправка SNMP-trap и лога на внешний Syslog сервер и в консоль при превышении заданного порога для broadcast Отправка SNMP-trap и лога на внешний Syslog сервер и в консоль при превышении заданного порога для unicast Отправка SNMP-trap и лога на внешний Syslog сервер и в консоль при превышении заданного порога для multicast |
Полезные команды для проверки
show storm-control interface [gigabitethernet gi_port | tengigabitethernet te_port | fortygigabitethernet fo_port] — просмотр конфигурации функции контроля «шторма» для указанного порта либо всех портов.
Loopback Detection
Функционал предназначен для обнаружения петель как на самом устройстве, так и на устройствах, которые подключены к коммутатору. Механизм Loopback Detectin предотвращает и блокирует физические и логические петли как на самом коммутаторе, так и на подключенных к нему устройствах. Настройка loopback-detection возможна и на физическом интерфейсе, и во VLAN. Функционал рекомендован к настройке на всех интерфейсах, к которым подключено клиентское оборудование.
errdisable recovery cause loopback-detection loopback-detection enable loopback-detection interval 5 ! interface range Gigabitethernet1/0/1-24 loopback-detection enable exit ! |
Включение автоматического восстановления интерфейса по причине loopback detection Включение функционала loopback-detection глобально Установление интервала отправки LBD кадров равный 5 секундам Переход в режим конфигурирования диапазона интерфейсов gi1/0/1-24 Включение функционала lopback-detection на физическом интерфейсе |
Полезные команды для проверки
show loopback-detection — просмотр состояния механизма loopback-detection.
Telnet/SSH
Протоколы TELNET и SSH предоставляет возможность удаленно управлять устройством путем передачи текстовых команд. Однако TELNET не шифрует передаваемые данные, что делает его уязвимым. SSH предоставляет безопасный способ удаленного управления устройствами, передачи файлов и выполнения команд, защищая данные от перехвата и несанкционированного доступа.
ip ssh server ! no ip telnet server ! exit ! |
Разрешение удаленного конфигурирования устройства через SSH. Выключение работы Telnet, по умолчанию на все коммутаторах MES он включен |
Полезные команды для проверки
show ip ssh — просмотр сведений о работе SSH-сервера: статус сервера, используемые алгоритмы шифрования и обмена ключами, информация об активных сессиях.
show ip telnet — просмотр сведений о работе TELNET-сервера: статус сервера, информация об активных сессиях.
Management ACL
Программное обеспечение коммутаторов позволяет разрешить либо ограничить доступ к управлению устройством через определенные порты или группы VLAN. Для этой цели создаются списки доступа (Access Control List, ACL) для управления.
management access-list Access permit ip-source 10.10.10.10 mask 255.255.255.0 service telnet GigabitEthernet1/0/1 permit ip-source 10.10.11.0 mask 255.255.255.0 service http GigabitEthernet1/0/1 permit ip-source 10.10.12.0 mask 255.255.255.0 service https GigabitEthernet1/0/1 permit ip-source 10.10.13.0 mask 255.255.255.0 service ssh GigabitEthernet1/0/1 permit ip-source 10.20.10.0 mask 255.255.255.0 service telnet vlan100 permit ip-source 10.20.11.0 mask 255.255.255.0 service http vlan100 permit ip-source 10.20.12.0 mask 255.255.255.0 service https vlan100 permit ip-source 10.20.13.0 mask 255.255.255.0 service ssh vlan100 exit ! management access-class Access ! exit ! |
Создание Manangement ACL Правило, разрешающее подключение к устройству по Telnet из сети 10.10.10.0 /24 через интерфейс gigabitethernet1/0/1 Правило, разрешающее подключение к устройству по http из сети 10.10.11.0 /24 через интерфейс gigabitethernet1/0/1 Правило, разрешающее подключение к устройству по https из сети 10.10.12.0 /24 через интерфейс gigabitethernet1/0/1 Правило, разрешающее подключение к устройству по ssh из сети 10.10.13.0 /24 через интерфейс gigabitethernet1/0/1 Правило, разрешающее подключение к устройству по Telnet из сети 10.20.10.0 /24 через интерфейсы, на которые добавлен VLAN 100 Правило, разрешающее подключение к устройству по http из сети 10.20.11.0 /24 через интерфейсы, на которые добавлен VLAN 100 Правило, разрешающее подключение к устройству по https из сети 10.20.12.0 /24 через интерфейсы, на которые добавлен VLAN 100 Правило, разрешающее подключение к устройству по ssh из сети 10.20.13.0 /24 через интерфейсы, на которые добавлен VLAN 100 Ограничивает управление устройством по созданному списку доступа и активирует указанный список доступа |
Полезные команды для проверки
show management access-class — просмотр информации об активном списке управления .
show management access-list [name] — просмотр списков доступа (access list) для управления.
Port isolation
Функционал предназначен для запрета обмена трафиком между конкретными интерфейсами, находящимися в одном широковещательном домене.
interface Gigabitethernet1/0/1 switchport protected-port ! interface Gigabitethernet1/0/2 switchport protected-port exit ! |
Переход в режим конфигурирования интерфейса gi1/0/1 Включение интерфейса в число режима изоляции внутри группы портов Переход в режим конфигурирования интерфейса gi1/0/2 Включение интерфейса в число режима изоляции внутри группы портов |
Полезные команды для проверки
show interfaces protected-ports — просмотр состояния интерфейсов в отношении функционала изоляции портов.
Voice VLAN
Voice VLAN используется для выделения VoIP-оборудования в отдельную VLAN. Для VoIP-кадров могут быть назначены QoS-атрибуты для приоритизации трафика. Классификация кадров, относящихся к кадрам VoIP-оборудования, базируется на OUI (Organizationall Unique Identifier — первые 24 бита MAC-адреса) отправителя. Назначение Voice VLAN для порта происходит автоматически, когда на порт поступает кадр с OUI из таблицы Voice VLAN. Когда порт определяется, как принадлежащий Voice VLAN — данный порт добавляется во VLAN как tagged.
voice vlan id 101 voice vlan state oui-enabled voice vlan oui-table add 6813e2 ! no lldp med network-policy voice auto lldp med network-policy 1 voice vlan 101 vlan-type tagged up 4 ! interface GigabitEthernet1/0/11 switchport mode general switchport general allowed vlan add 101 tagged switchport general pvid 100 lldp med network-policy add 1 voice vlan enable exit ! |
Обозначение VLAN для функционала Voice VLAN Активация Voice VLAN согласно статической OUI таблице Добавление записи в таблицу OUI для используемого телефона Удаление автоматического правила для параметра network-policy Добавление lldp-med политики с указанием номера voice vlan и приоритета Переход в режим конфигурирования интерфейса gi1/0/11 Перевод режима работы порта в genera (hybrid) Разрешение прохождения трафика VLAN 101 в тегированном виде Настройка, позволяющая поместить весь нетегированный трафик во VLAN 100 Привязка ранее созданной lldp-med политики к интерфейсу Включение функционала Voice VLAN на интерфейсе |
Полезные команды для проверки
show voice vlan — просмотр информации о Voice VLAN.
show voice vlan type oui {физический интерфейс} — просмотр информации о Voice VLAN и OUI таблице.
Syslog
Системные журналы позволяют вести историю событий, произошедших на устройстве, а также контролировать произошедшие события в реальном времени. В журнал заносятся события семи типов: чрезвычайные, сигналы тревоги, критические и не критические ошибки, предупреждения,
уведомления, информационные и отладочные.
В рамках конфигурации гайда, удаленным Syslog сервером является система мониторинга ECCM. |
logging host 10.250.0.100 logging cli-commands |
Указание IP-адреса внешнего сервера Syslog для передачи аварийных и отладочных сообщений Включение логирования введенных в CLI команд |
Полезные команды для проверки
show logging file — просмотр состояния журнала, аварийных и отладочных сообщений, записанных в файле журнала (локального).
show syslog-servers — просмотр настроек для удаленных Syslog-серверов.
Backup конфигурации на удаленном сервере
Коммутаторы MES позволяют резервировать конфигурацию на TFTP/SFTP/SCP-сервере по таймеру или при сохранении текущей конфигурации. В данной конфигурации будет рассмотрен пример с TFTP.
В рамках конфигурации гайда, резервирование конфигурации осуществляется на системе мониторинга ECCM (автоматически). Таким образом, настройка резервирования конфигурации, в случае использования ECCM, на внешний TFTP-сервер для MES не требуется. |
backup server tftp://10.250.0.100 backup auto backup path backup.conf backup history enable backup time-period 500 backup write-memory no backup reachability-check tftp |
Указание IP-адреса сервера, на который будет производиться резервирование конфигурации Включение автоматического резервирования конфигурации на сервере Указание расположения файла на сервере Включение сохранения истории резервных копий Указание промежутка времени, по истечении которого будет осуществляться автоматическое резервирование конфигурации Включение резервирования по сохранению конфигурации пользователем Отключение отправки пустого пакета для проверки наличия TFTP-сервера |
Полезные команды для проверки
show backup — просмотр информации о настройках резервирования конфигурации.
show backup history — просмотр истории успешно сохраненных на сервер конфигураций.
NTP
Функционал предназначен для синхронизации системного времени со стороннего источника. В рамках данного гайда используется синхронизация времени по протоколу NTP.
В случае данной схемы, NTP-сервером является VRRP-пара сервисных маршрутизаторов ESR. В качестве source IP-адреса указан VIP адрес ESR. |
clock source ntp ntp server 10.250.0.55 |
Включение синхронизации времени по протоколу NTP Указание IP-адреса NTP сервера, с которого будет происходить синхронизация |
Полезные команды для проверки
show ntp — просмотр текущего состояния и статистики службы NTP.
show ntp status — просмотр статуса протокола синхронизации NTP по сети.
Для сохранения конфигурации в энергонезависимую памаять необходимо использовать следующую команду (применимо для линеек MES23xx, MES2300-xx): console#write memory Overwrite file [startup-config].... (Y/N)[N] ?Y Таким образом, сохраненная конфигурация будет применена на коммутаторе даже в случае перезагрузки устройства, т.к. хранится в энергонезависимой памяти. Начиная с версии ПО 6.6.9 на коммутаторах линейки MES2300-xx/MES3300-xx/MES53xx реализована поддержка функционала replace config, подробная информация представлена в следующей статье. |
Система мониторинга и управления ECCM может выступать в рамках Syslog-сервера, хранилищем backup-ов конфигураций для сетевых устройств. Система контроля сетевого доступа NAICE может выступать в роли внешнего RADIUS и TACACS+ серверов. В рамках конфигурации устройств, представленных в гайде, данные опции учтены, т.о. в случае использования иных серверов необходимо настроить соответствующую адресацию. |
Настройка коммутаторов уровня агрегации
Коммутаторы данного уровня выполняют функцию агрегации и распределения трафика, применение сетевых политик, а также обеспечивают дополнительную безопасность и отказоустойчивость всей сети.
Для обеспечения резервирования каналов на уровне агрегации применяются технологии стекирования и агрегирования каналов.
Стекирование
Стекирование коммутаторов — это объединение двух и более (до восьми) коммутаторов согласно матрице стекирования в одно логическое устройство с одним IP-адресом и одним системным МАС-адресом. Данный функционал предназначен для увеличения портовой емкости и для осуществления резервирования. Стек собирается на интерфейсах с наибольшей скоростью, и на максимальной скорости интерфейса.
Возможны две топологии стекирования — кольцевая (ring) и линейная (chain). Топология определяется в зависимости от количества устройств в стеке: в случае двух устройств – линейная, в случае трех и более устройств – кольцевая.
Из нескольких коммутаторов в стеке с ролями Master/Backup - Master-ом станет то устройство, которое первее всех будет загружено.
Для коммутаторов с количеством портов равным 48 для объединения в линейной топологии стековых портов в LAG необходимо использовать интерфейсы te1-8/0/1, te1-8/0/4 или te1-8/0/2,te1-8/0/3. При любых других комбинациях стековых портов один из них будет находиться в резерве и иметь статус Standby
Master switch stack configuration links te 3 , te 4 stack unit-id 1 Backup switch stack configuration links te 3 , te 4 stack unit-id 2 write startup-config reload |
Настройка коммутатора с ролью Master Назначить стековыми портами te1/0/3 и te1/0/4 Назначить unit id коммутатора в стеке Настройка коммутатора с ролью Backup Назначить стековыми портами te1/0/3 и te1/0/4 Назначить unit id коммутатора в стеке Далее необходимо сохранить startup конфигурацию и перезагрузить все устройства в стеке. |
Для работы функционала, после конфигурации портов и unit id необходимо сохранить конфигурации на устройствах командой write startup, и перезагрузить все устройства, которые будут входить в состав стека. |
Агрегация каналов
Агрегирование каналов - технология, которая позволяет объединить несколько физических каналов в один логический. Объединение портов в группу увеличивает пропускную способность канала между взаимодействующими устройствами и повышает отказоустойчивость. Группа портов является для коммутатора одним логическим портом.
interface Port-Channel1 switchport mode general switchport general allowed vlan add 100-101,250 tagged switchport forbidden default-vlan exit ! interface Port-Channel2 switchport mode general switchport general allowed vlan add 100-101,250 tagged switchport forbidden default-vlan exit ! interface TenGigabitEthernet1/0/1 channel-group 1 mode auto exit ! interface TenGigabitEthernet1/0/2 channel-group 2 mode auto exit ! interface GigabitEthernet2/0/1 channel-group 1 mode auto ! interface GigabitEthernet2/0/2 channel-group 2 mode auto ! |
Переход в режим конфигурирования Port-Channel 1 Включение режима работы интерфейса general Разрешение прохождения трафика VLAN 100-101,250 в тегированном виде, без снятия метки VLAN Запрет прохождения трафика в дефолтном VLAN (1) Переход в режим конфигурирования Port-Channel 2 Включение режима работы интерфейса general Разрешение прохождения трафика VLAN 100-101,250 в тегированном виде, без снятия метки VLAN Запрет прохождения трафика в дефолтном VLAN (1) Переход в режим конфигурирования интерфейса te1/0/1 Добавление интерфейса в члены Port-Channel1, LACP в режиме «active» Переход в режим конфигурирования интерфейса te1/0/2 Добавление интерфейса в члены Port-Channel2, LACP в режиме «active» Переход в режим конфигурирования интерфейса te2/0/1 Добавление интерфейса в члены Port-Channel1, LACP в режиме «active» Переход в режим конфигурирования интерфейса te2/0/2 Добавление интерфейса в члены Port-Channel2, LACP в режиме «active» |
Полезные команды для проверки
show interfaces channelgroup [group] — просмотр информации о группе каналов.
Настройка коммутаторов уровня ядра
Уровень ядра обеспечивает высокую пропускную способность и маршрутизацию трафика между различными сегментами сети и межсетевыми экранами. На данном уровне для обеспечения резервирования может применяться функционал VPC.
VPC
VPC или Multi-Switch Link Aggregation Group (MLAG) — это технология, которая позволяет двум независимым коммутаторам выглядеть одним логическим коммутатором для других устройств без объединения в стек.
Peer-Link - основной линк между парой коммутаторов в VPC-домене. Через него проходит весь трафик, все vlan должны быть добавлены в конфигурацию данного линка, иначе не будет резервирования. Требует большой пропускной способности.
Peer-Detection — линк обмена служебными сообщениями peer-detection для определения состояния соседнего коммутатора в VPC-домене. Не требует большой пропускной способности (в рассматриваемой схеме для данного функционала используется интерфейс te1/0/1, можно использовать интерфейсы gi1/0/x).
Как и LAG, виртуальные LAG позволяют объединить одну или несколько Ethernet-линий для увеличения скорости и обеспечения отказоустойчивости. MLAG так же известна как VPC (Virtual port-channel). При обычном LAG агрегированные линии должны быть на одном физическом устройстве, в случае же с VPC агрегированные линии находятся на разных физических устройствах.
Настройка Primary switch vpc vpc domain 1 peer detection peer detection ipaddr 1.1.1.2 1.1.1.1 peer keepalive peer keepalive timeout 2 role priority 1 peer link port-channel 1 exit ! vpc group 2 domain 1 vpc-port port-channel 2 exit ! ! ! interface TwentyFiveGigaEthernet1/0/1 ip address 1.1.1.1 255.255.255.252 exit ! interface TwentyFiveGigaEthernet1/0/2 channel-group 1 mode auto exit ! interface TwentyFiveGigaEthernet1/0/3 channel-group 1 mode auto exit ! interface TwentyFiveGigaEthernet1/0/10 channel-group 2 mode auto exit ! ! end Secondary switch vpc vpc domain 1 peer detection peer detection ipaddr 1.1.1.1 1.1.1.2 peer keepalive peer keepalive timeout 2 role priority 2 peer link port-channel 1 exit ! vpc group 2 domain 1 vpc-port port-channel 2 exit ! ! ! interface TwentyFiveGigaEthernet1/0/1 ip address 1.1.1.2 255.255.255.252 exit ! interface TwentyFiveGigaEthernet1/0/2 channel-group 1 mode auto exit ! interface TwentyFiveGigaEthernet1/0/3 channel-group 1 mode auto exit ! interface TwentyFiveGigaEthernet1/0/10 channel-group 2 mode auto exit ! ! end |
Настройка Primary switch Включение VPC на коммутаторе. Выполняется после конфигурации VPC Создание VPC-домена и переход в режим его конфигурирования Включение peer-detection Указание destination, source IP-адреса для peer-detection protocol Включение службы keepalive Указание времени ожидания ответа на запрос целостности peer-link Установка приоритета устройства. Устройство с меньшим значением будет назначено Primary Назначение Port-Channel в качестве peer-link Создание VPC-группы и переход в режим ее конфигурирования Указание VPC-домена Указание Port-Channel, в котором будет работать VPC-группа Переход в режим конфигурирования интерфейса twe1/0 Назначение IP-адреса для функционала Peer Detection Переход в режим конфигурирования интерфейса twe1/0/2 Включение физического интерфейса в состав Port Channel 1 в режиме LACP Переход в режим конфигурирования интерфейса twe1/0/3 Включение физического интерфейса в состав Port Channel 1 в режиме LACP Переход в режим конфигурирования интерфейса twe1/0/10 Включение физического интерфейса в состав Port Channel 2 в режиме LACP Настройка Secondary switch Включение VPC на коммутаторе. Выполняется после конфигурации VPC Создание VPC-домена и переход в режим его конфигурирования Включение peer-detection Указание destination, source IP-адреса для peer-detection protocol Включение службы keepalive Указание времени ожидания ответа на запрос целостности peer-link Установка приоритета устройства. Устройство с большим значением будет назначено Secondary Назначение Port-Channel в качестве peer-link Создание VPC-группы и переход в режим ее конфигурирования Указание VPC-домена Указание Port-Channel, в котором будет работать VPC-группа Переход в режим конфигурации интерфейса twe1/0/1 Назначение IP-адреса для функционала Peer Detection Переход в режим конфигурирования интерфейса twe1/0/2 Включение интерфейса в состав Port Channel 1 в режиме LACP Переход в режим конфигурирования интерфейса twe1/0/3 Включение интерфейса в состав Port Channel 1 в режиме LACP Переход в режим конфигурирования интерфейса twe1/0/10 Включение интерфейса в состав Port Channel 2 в режиме LACP |
Трафик, при этом, будет ходить через primary-коммутатор.
VPC-N-ROLECHANG: Peer detection protocol no longer detected.
|
Настройка коммутаторов серверной зоны
В рамках представленной схемы часть схемы с сетевыми устройствами (коммутаторами доступа, агрегации, ядра, сервисными маршрутизаторами) отделена от серверов стеком из коммутаторов, в рамках которого настроен функционал DHCP Relay.
DHCP Relay
Задачей DHCP Relay агента является передача DHCP-пакетов от клиента к серверу и обратно в случае, если DHCP-сервер находится в одной сети, а клиент в другой. Другой функцией является добавление дополнительных опций в DHCP-запросы клиента (например, опции 82).
Исходя из того, что DHCP-сервер находится в подсети, отличной от клиентских посетей IP-телефонов, ПК, точек доступа и их клиентов, данный функционал обязателен к настройке.
ip dhcp relay enable ip dhcp relay address 192.168.1.30 ip dhcp information option ! interface Port-Channel5 description to_NAICE-DHCP ip dhcp snooping trust switchport mode general switchport general allowed vlan add 250,300 tagged ! interface vlan 1 no ip address dhcp exit ! interface vlan 100 name PC ip address 10.100.0.45 255.255.255.0 ip dhcp relay enable exit ! interface vlan 101 name VoIP ip address 10.101.0.45 255.255.255.0 ip dhcp relay enable exit ! interface vlan 110 name AP ip address 10.110.0.45 255.255.255.0 ip dhcp relay enable exit ! interface vlan 115 name AP_users ip address 10.115.0.45 255.255.255.0 ip dhcp relay enable exit |
Включение работы функционала DHCP-Relay глобально Указание IP-адреса доступного DHCP-сервер Включение передачи опции dhcp Переход в режим конфигурации PO, в рамках которого физические интерфейсы подключены к DHCP-серверу Назначение описания для физического интерфейса Добавление интерфейса в список «доверенных» при использовании контроля протокола DHCP Перевод интерфейса в режим работы general Разрешение прохождения трафика в тегированном виде для VLAN 250 (NAICE) и 300 (DHCP) Переход в режим конфигурирования интерфейса VLAN 1 Выключение возможности получения IP адреса по DHCP Переход в режим конфигурирования интерфейса VLAN 100 Назначение описания для VLAN Назначение IP-адреса VLAN Включение работы функционала DHCP-Relay в рамках interface VLAN Переход в режим конфигурирования интерфейса VLAN 101 Назначение описания для VLAN Назначение IP-адреса VLAN Включение работы функционала DHCP-Relay в рамках interface VLAN Переход в режим конфигурирования интерфейса VLAN 110 Назначение описания для VLAN Назначение IP-адреса VLAN Включение работы функционала DHCP-Relay в рамках interface VLAN Переход в режим конфигурирования интерфейса VLAN 115 Назначение описания для VLAN Назначение IP-адреса VLAN Включение работы функционала DHCP-Relay в рамках interface VLAN |
Полезные команды для проверки
show ip dhcp relay - просмотр информации о настройке функционала DHCP Relay.
Пример конфигурации для isc-dhcp-server, исходя из которого IP-адрес будет раздаваться из того пула, который находится в одном домене с IP-адресом в поле giaddr.
#----------------giaddr for DHCP relay--------------------
class "10.100.0.0" {
match if (binary-to-ascii(10,8, ".", packet(24,4))) = "10.100.0.45";
}
class "10.101.0.0" {
match if (binary-to-ascii(10,8, ".", packet(24,4))) = "10.101.0.45";
}
class "10.110.0.0" {
match if (binary-to-ascii(10,8, ".", packet(24,4))) = "10.110.0.45";
}
class "10.115.0.0" {
match if (binary-to-ascii(10,8, ".", packet(24,4))) = "10.115.0.45"";
}
#----------Сеть для 100-----------------
subnet 10.100.0.0 netmask 255.255.255.0 {
pool {
allow members of "10.100.0.0";
range 10.100.0.100 10.100.0.150;
option subnet-mask 255.255.255.0;
option routers 10.100.0.45;
}
}
#----------Сеть для 101-----------------
subnet 10.101.0.0 netmask 255.255.255.0 {
pool {
allow members of "10.101.0.0";
range 10.101.0.101 10.101.0.150;
option subnet-mask 255.255.255.0;
option routers 10.101.0.45;
}
}
#----------Сеть для 110-----------------
subnet 10.110.0.0 netmask 255.255.255.0 {
pool {
allow members of "10.110.0.0";
range 10.110.0.100 10.110.0.150;
option subnet-mask 255.255.255.0;
option routers 10.110.0.45;
}
host wep-30L_1 {hardware ethernet e4:5a:d4:e8:da:80;
fixed-address 10.110.0.111;
option domain-name-servers 8.8.8.8;
option vendor-encapsulated-options 0c:0a:31:30:2e:31:31:30:2e:30:2e:31:0f:17:68:74:74:70:73:3a:2f:2f:31:30:2e:31:31:30:2e:30:2e:31:3a:38:30:34:33; #12 and 15 option
}
host wep-30L_2 {hardware ethernet 68:13:e2:c2:83:20;
fixed-address 10.110.0.112;
option domain-name-servers 8.8.8.8;
option vendor-encapsulated-options 0c:0a:31:30:2e:31:31:30:2e:30:2e:31:0f:17:68:74:74:70:73:3a:2f:2f:31:30:2e:31:31:30:2e:30:2e:31:3a:38:30:34:33; #12 and 15 option
}
}
#----------Сеть для 115-----------------
subnet 10.115.0.0 netmask 255.255.255.0 {
pool {
allow members of "10.115.0.0";
range 10.115.0.100 10.115.0.150;
option subnet-mask 255.255.255.0;
option routers 10.115.0.45;
}
} |
Проверка выданных IP-адресов:
user@PC:~$ sudo dhcp-lease-list To get manufacturer names please download http://standards.ieee.org/regauth/oui/oui.txt to /usr/local/etc/oui.txt Reading leases from /var/lib/dhcp/dhcpd.leases MAC IP hostname valid until manufacturer =============================================================================================== 68:13:e2:c9:70:ca 10.101.0.102 VP-17P-VI92036 2026-02-11 19:03:32 -NA- ec:b1:e0:20:48:4c 10.101.0.103 VP-30P-VIA4005 2026-02-11 21:58:01 -NA- ec:b1:e0:c5:4c:00 10.100.0.100 -NA- 2026-03-17 05:07:27 -NA- |
В случае данной конфигурации, IP-адреса, выданные точкам доступа не будут отображаться в выводе вышеуказанной команды.
Для более детального просмотра информации по точкам доступа (DORA), можно воспользоваться командой sudo journalctl -u isc-dhcp-server | grep MAC ТД (или IP option router).
Настройка маршрутизаторов
Транспортная сеть — это совокупность всех ресурсов, выполняющих функции транспортирования в телекоммуникационных сетях. Она включает не только системы передачи, но и относящиеся к ним средства контроля, оперативного переключения, резервирования, управления. При организации транспортной сети на маршрутизаторах ESR используется следующий функционал: Syslog, archive, SSH, LLDP, NTP, SNMP, агрегация каналов, VRRP, IP SLA, BGP, SNAT.
Syslog
Функционал предназначен для сохранения сообщений о событиях на маршрутизаторе в файл.
syslog max-files 3 syslog file-size 512 syslog sequence-numbers syslog file flash:syslog/default severity info exit syslog host ECCM remote-address 10.250.0.100 severity info exit |
Настройка ротации syslog-файлов Настройка ограничения размера syslog-файла Включение нумерации syslog-сообщений Настройка сохранения syslog-сообщений в файл flash:syslog/default Определение типа событий, которые будут сохранены в Syslog файле Создание удаленного хоста для логирования Указание удаленного IP-адреса для отправки Syslog Определение типа событий, которые будут отправлена на внешний Syslog |
Полезные команды для проверки
show syslog - для просмотра текущей информации о конфигурации syslog-журнала, созданых файлов.
show syslog configuration - просмотр информации о конфигурации syslog-журнала.
show syslog FILE - просмотр конкретного syslog-файла.
Archive
Функционал предназначен для резервного хранения конфигурации маршрутизатора.
archive type local by-commit count-backup 10 exit |
Переход в режим конфигурирования archive Настройка режима локальной архивации конфигурации Включение режима архивации конфигурации при успешном изменении конфигурации (commit/confirm) Настройка максимального количества резервных копий |
Полезные команды для проверки
dir flash://backup — просмотр созданного файла в соответствии с резервным архивом конфигурации.
SSH
Функционал предназначен для удаленного подключения к маршрутизатору.
ip ssh server
security zone-pair MGMT self
rule 10
action permit
match protocol tcp
match destination-port port-range 22
enable
exit |
Включение работы SSH-сервера на маршрутизаторе Создание пары зон безопасности, для разрешения SSH в зоне безопасности MGMT Настройка правила для пары зон безопасности Задание действия permit для правила Задание соответствия протокола Задание соответствия destination TCP port Включение работы правила |
Полезные команды для проверки
show users — просмотр активных сессий пользователей системы (console, telnet, ssh).
LLDP
Функционал предназначен для динамического обнаружения устройств подключаемых к маршрутизатору в локальной сети, а также помогает устройствам получать дополнительную информацию для правильной настройки.
interface TwentyFiveGigabitethernet 1/0/1 lldp transmit lldp receive exit |
Переход в режим конфигурирования интерфейса twe1/0/1 Включение передачи LLDP кадров Включение приема LLDP кадров |
Полезные команды для проверки
show lldp neighbors — для просмотра информации о подключенных устройствах, от которых получена информация по протоколу LLDP.
NTP
Функционал предназначен для синхронизации внутренних часов оборудования.
object-group network ISP_NTP
ip prefix 10.250.0.0/24
exit
security zone-pair MGMT self
rule 20
action permit
match protocol udp
match destination-port port-range 123
enable
exit
exit
clock timezone gmt +7
ntp enable
ntp object-group serve-only Mgmt_POOL
ntp server 203.0.113.2
prefer
minpoll 4
exit
ntp server 203.0.113.30
exit |
Создание профиля адресов MGMT-сети Создание правила zone-pair для разрешение прохождения NTP-трафика в зоне безопасности MGMT Создание правила для зоны безопасности Задение действия permit для правила Задание соответствия протокола Задание соответствия destination UDP port Включение работы правила Задание часового пояса Включение работы протокола NTP на маршрутизаторе Разрешение устройствам из MGMT сети синхронизировать время с маршрутизатора Задание адреса NTP-сервера, с которым маршрутизатор будет синхронизировать время Задание еще одного NTP-сервера, с которым маршрутизатор будет синхронизировать время |
Полезные команды для проверки
show ntp peers — просмотр состояния NTP пиров.
Настройка IP-связности с вышестоящими провайдерами
Для обеспечения связи конечных клиентов с услугой Интернет, необходимо организовать данную связность на уровне маршрутизаторов. Также, благодаря данной конфигурации, будет обеспечена синхронизация времени по протоколу NTP.
security zone ISP_NTP exit interface TwentyFiveGigabitethernet 1/0/1 description "ISP1" security-zone ISP_NTP ip address 203.0.113.2/25 exit |
Создание зоны безопасности Переход в режим конфигурирования интерфейса twe1/0/1 Задание описания для физического интерфейса Назначение на интерфейс ранее созданной зоны безопасности Присвоение IP-адреса физическому интерфейсу |
SNMP
Функционал предназначен для управления, мониторинга и конфигурирования маршрутизаторов из системы управления сетью. В данном примере рассмотрен пример конфигурации SNMP v2c.
snmp-server snmp-server community public v2c ro snmp-server community private v2c rw security zone-pair Management self rule 1 description "SNMP traffic from ECCM" action permit match protocol udp match destination-port port-range 161 match source-address address-range 10.250.0.100 enable exit rule 2 description "SSH traffic from ECCM" action permit match protocol tcp match destination-port port-range 22 match source-address address-range 10.250.0.100 enable exit rule 3 action permit match protocol udp match destination-port port-range 67 enable exit rule 4 action permit match protocol udp match destination-port port-range 68 enable exit |
Включение SNMP-сервера на маршрутизаторе Создание коммьюнити public с правами read only Создание коммьюнити provate с правами read write Переход в режим конфигурирования группы правил для пары зон безопасности Создание правила 1 и переход в режим его конфигурации Создание описания для правила 1 Указание действия, которое будет выполено исходя из условий правила Указание имени или номера IP-протокола, для которого должно срабатывать правило Конфигурация профиля TCP/UDP-портов получателя, для которых должно срабатывать правило Конфигурация профиля IP-адресов отправителя, для которых должно срабатывать правило Активация работы правила Создание правила 2 и переход в режим его конфигурации Создание описания для правила 2 Указание действия, которое будет выполено исходя из условий правила Указание имени или номера IP-протокола, для которого должно срабатывать правило Конфигурация профиля TCP/UDP-портов получателя, для которых должно срабатывать правило Конфигурация профиля IP-адресов отправителя, для которых должно срабатывать правило Активация работы правила Создание правила 3 и переход в режим его конфигурации Указание действия, которое будет выполено исходя из условий правила Указание имени или номера IP-протокола, для которого должно срабатывать правило Конфигурация профиля TCP/UDP-портов получателя, для которых должно срабатывать правило Активация работы правила Создание правила 4 и переход в режим его конфигурации Указание действия, которое будет выполено исходя из условий правила Указание имени или номера IP-протокола, для которого должно срабатывать правило Конфигурация профиля TCP/UDP-портов получателя, для которых должно срабатывать правило Активация работы правила |
Полезные команды для проверки
show security zone Name — для просмотра интерфейсов, входящих в зону безопасности.
show security zone-pair — для просмотра списка пар зон.
show security zone-pair configuration source zone / destination zone order
Агрегация каналов
Агрегирование каналов — технология, которая позволяет объединить несколько физических каналов в один логический. Объединение портов в группу увеличивает пропускную способность канала между взаимодействующими устройствами и повышает отказоустойчивость. Группа портов является для коммутатора одним логическим портом.
interface port-channel 1 exit interface TwentyFiveGigabitethernet 1/0/3 mode switchport channel-group 1 mode auto exit interface port-channel 1.250 description "MGMT | Management link" security-zone MGMT ip address 10.250.0.1/24 exit |
Создание логического интерфейса Port-Channel 1 Переход в режим конфигурирования интерфейса twe1/0/3 Переведение интерфейса в режим switchport Включение интерфейса в состав Port-Channel 1 Терминация интерфейса для управления маршрутизатором Port-Channel1.250 Задание описания для sub-интерфейса Определение sub-интерфейса в зону безопапсности Привязка IP-адреса к sub-интерфейсу |
Полезные команды для проверки
show interfaces port-channel X — для просмотра информации о членах группы агрегации каналов.
VRRP
Функционал предназначен для увеличения доступности маршрутизаторов, обеспечения отказоустойчивости сетевого шлюза по умолчанию.
ROUTER1 (ESR-3300_1)
interface port-channel 1.100
vrrp 1
ip address 10.100.0.1/24
priority 101
group 1
enable
exit
ROUTER2 (ESR-3300_2)
interface port-channel 1.100
vrrp 1
ip address 10.100.0.1/24
priority 100
group 1
enable
exit |
Конфигурация ROUTER1, VRRP Master Создание sub-интерфейса Port-Channel 1.100 Создание VRRP процесса 1 и переход в режим его конфигурирования Привязка виртуального IP-адреса VRRP-маршрутизатора Задание приоритета VRRP маршрутизатора Привязка принадлежности VRRP-процесса к группе 1 Включение фукнционала VRRP Конфигурация ROUTER1, VRRP Backup Создание sub-интерфейса Port-Channel 1.100 Создание VRRP процесса 1 и переход в режим его конфигурирования Привязка виртуального IP-адреса VRRP-маршрутизатора Задание приоритета VRRP маршрутизатора Привязка принадлежности VRRP-процесса к группе 1 Включение фукнционала VRRP |
Полезные команды для проверки
show vrrp — для просмотра информации о протоколе VRRP.
BGP
Для организации стыка с интернет-провайдером самым распостраненным функционалом является BGP.
security zone-pair Untrusted self
rule 10
action permit
match protocol tcp
match destination-port port-range 179
enable
exit
rule 20
action permit
match protocol udp
match destination-port port-range 3784
enable
exit
exit
route-map BGP_IN
rule 10
match ip address 0.0.0.0/0
exit
rule 20
action deny
exit
exit
router bgp 64515
neighbor 203.0.113.1
remote-as 65500
update-source gigabitethernet 1/0/1
fall-over bfd
address-family ipv4 unicast
route-map BGP_IN in
enable
exit
enable
exit
enable
exit |
Настройка пары зон безопасности Untrusted-self, для разрешения прохождения трафика TCP port 179 и UDP port 3784 Настройка маршрутной карты Создание правила 10 для route-map Обозначение критерия для совпадения Создание правила 20 для route-map Обозначение действия, которое будет выполнено после совпадения по правилу 10 Добавление BGP-процесса в систему Настройка соседа BGP-процесса Определение номера автономной системы BGP-соседа Определение источника в отправляемых обновлениях маршрутной инофрмации BGP Активация протокола BFD на конфигурируемом BGP-соседе Настройка IPv4 адресации BGP процесса Терминация маршрутной карты, которая будет входить в BGP процесс Включение address-family ipv4 Включение процесса Включение функционала BGP |
Полезные команды для проверки
show bgp neighbors — проверка установления BGP соседства, необходимо обратить внимание, чтобы маршрут по умолчанию присутствовал на обоих маршрутизаторах.
IP SLA
Функционал предназначен для проверки работоспособности канала связи.
ip sla ip sla logging status ip sla test 1 icmp-echo 8.8.4.4 source-ip 203.0.113.2 num-packets 5 enable exit ip sla schedule all life forever start-time now track 1 description "Check Internet" track sla test 1 mode state fail enable exit interface port-channel 1.100 vrrp priority track 1 decrement 10 exit |
Активация работы функционала Активация логирования групп событий SLA о смене статуса SLA-агента Создание SLA-теста 1 Содание icmp-режима тестирования канала связи с заданными параметрами Включение SLA теста Создание планировщика расписания работы SLA-тестов, после создания и активации SLA-теста Создание объекта отслеживания Задание описания для track 1 Установление слежения за состоянием test 1 Включение SLA track Переход в режим конфигурирования port-channel 1.100 Добавление условия изменения приоритета VRRP-процесса при активном состоянии track 1, с уменьшением значения равным 10 (decrement) |
Полезные команды для проверки:
show ip sla test status — для проверки статуса IP SLA.
show track 1 — для проверки функционала IP SLA по конкретному track-менеджеру.
Source NAT
Функционал используется для подмены адреса источника у пакетов, проходящих через сетевой шлюз. При прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза. Дополнительно к адресу источника может применяться замена порта источника. При прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта.
object-group network Customers_POOL
ip prefix 10.100.0.0/24
exit
object-group network PROXY
ip address-range 203.0.113.3
exit
interface TwentyFiveGigabitethernet 1/0/1
ip nat proxy-arp PROXY
exit
security zone-pair Customer Untrusted
rule 10
action permit
match source-address object-group Customers_POOL
enable
exit
exit
nat source
pool Customer_Public_IP
ip address-range 203.0.113.3
exit
ruleset SNAT
to zone Untrusted
rule 10
match source-address object-group Customers_POOL
action source-nat pool Customer_Public_IP
enable
exit
exit
exit |
Создание профиля адресов локальной сети, для которых будет выполняться SNAT Добавление профиля публичных адресов для функционала Proxy-ARP Переход в режим конфигурирования интерфейса twe1/0/1 Активация работы протокола Proxy-ARP в рамках физического интерфейса Настройка прохождения клиентского трафика между соответствующими зоноами безопасности Конфигурация функционала SNAT Создание пула Customer_Public_IP с определением диапазона IP-адресов Создание правила SNAT Определение зоны, в которую необходимо проксировать трафик Создание правила для SNAT Настройка соответствия для выполнения правила Настройка действия для выполнения правила Включение функционала |
Полезные команды для проверки:
show ip nat source rulesets Name — проверка созданного правила SNAT.
show ip nat translations — просмотр IP-сессий трансляции SNAT.
Все внесенные изменения в конфигурации необходимо записать в постоянную память устройства! esr-3300#commit (сохранение изменений и запуск таймера) Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds. esr-3300#confirm (подтверждение изменений и их применение) Configuration has been confirmed. Commit timer canceled |
Настройка телефонии
В данном разделе рассматривается решение задачи организации внутренней IP телефонии: конфигурация IP АТС, IP-телефонов.
Настройка IP-АТС
На современном предприятии телефонная связь является неотъемлемой частью технологических процессов. В свете повсеместного распространения сетей связи оптимальным видится построение телефонии на базе семейства протоколов TCP/IP.
Для организации телефонной связи рассмотрим IP АТС на базе гибридной платформы SMG-3016. Данное решение поддерживает до 1000 или до 3000 абонентов, в зависимости от лицензии. При росте абонентской базы возможно приобретение лицензии на увеличенное количество абонентов, что позволит распределить инвестиции во времени. Рассмотрим реализацию в отказоустойчивом исполнении в режиме Active+Backup.
Для этого понадобятся:
- Шасси цифрового шлюза SMG-3016 — 2 штуки.
- Источники питания PM160-220/12 на 220 вольт переменного тока или PM100-48/12 на 48 вольт постоянного тока — одна или две штуки на каждое устройство в любой комбинации в зависимости от требований к электропитанию.
- Субмодули SM-VP-M300 для работы с VoIP — от одного до шести на каждое устройство, в зависимости от желаемого количества одновременных VoIP каналов.
- Лицензия SMG3-CORP-1000 на активацию функционала IP АТС на 1000 абонентов — 1 штука.
- Лицензия SMG3-RESERVE — для активации функционала master-slave - две штуки. В таком варианте при отказе основного устройства резервное будет полноценно обслуживать абонентов в течение 720 часов.
Первоначальный вход в web-интерфейс
1) Войти на web-интерфейс SMG-3016 по default-адресу 192.168.1.2
2) Ввести данные для входа, выбрать русский язык и нажать Войти
|
Начиная с версии ПО 3.406 при первичной авторизации на устройстве необходима обязательная смена пароля.
|
Следует учесть, что пользователь admin в web и в CLI — это разные пользователи. На вышеуказанном скриншоте описан пример смены пароля для пользователя admin в web. |
Настройка IP-АТС для подключения к коммутаторам
Для обеспечения отказоустойчивости при отказе коммутатора или физического линка между коммутатором и SMG-3016 рекомендуется настроить агрегирование линков с помощью протокола LACP. Настройка LACP на SMG-3016 осуществляется только через CLI. Для настройки необходимо подключиться к SMG через консольный порт, или по протоколу ssh.
config switch interface port-channel 1 mode lacp speed 1000M exit interface front-port 1/3 channel-group 1 force exit interface front-port 1/4 channel-group 1 force exit apply confirm exit copy running_to_startup |
Переход в режим конфигурирования Переход в режим конфигурирования switch Переход в режим конфигурирования port-channel Включение протокола LACP Выбор параметров скорости Переход в режим конфигурирования интерфейса 1/3 Включение интерфейса в port-channel 1, force - параметр порта для совместимости с группой Переход в режим конфигурирования интерфейса 1/4 Включение интерфейса в port-channel 1, force - параметр порта для совместимости с группой Применение конфигурации Подтверждение конфигурации Сохранение конфигурации в энергонезависимую память |
Настройка IP-адреса IP-АТС
Данную настройку можно пропустить, если будет использоваться адрес IP-АТС по умолчанию: 192.168.1.2 |
В web-интерфейсе:
1) В боковом меню перейти в раздел «Настройки TCP/IP» → «Сетевые интерфейсы».
2) С помощью левой кнопки мыши выбрать строку с интерфейсом eth0.
3) Нажать кнопку Редактировать.
|
4) Если необходимо, изменить поля IP-адрес, маска сети, шлюз.
|
5) Нажать кнопку Применить.
6) Зайти в web-интерфейс по новому IP-адресу.
7) Во всплывающем окне нажать кнопку Подтвердить.
|
Установка лицензии
1) В боковом меню перейти в раздел «Лицензирование».
2) В вспомогательном меню перейти в блок «Обновить».
3) Сохранить на ПК активный файл лицензии, нажав на кнопку «Скачать» в одноименном блоке. Данный пункт необходим для подстраховки в случае, если новый файл лицензии не удовлетворяет требованиям. Пока текущая лицензия не будет скачана система не даст загрузить новый файл лицензий.
|
4) Выбрать и загрузить файл лицензии на устройство, нажать на кнопку «Обновить».
5) В случае корректного файла лицензии, далее необходимо два раза нажать нажать «ОК».
|
Настройка сетевой связности между телефонными аппаратами и IP-АТС
1) В боковом меню перейти в раздел «Настройки TCP/IP» → «Сетевые интерфейсы».
2) Нажать кнопку «Добавить».
|
3) В открывшемся окне настроить следующие поля:
- Имя сети — опционально;
- Тип — Tagged;
- VLAN ID — номер VLAN с VoIP трафиком;
- Маска сети — в данном случае /24;
- Шлюз — опционально, в данном случае — указан default gateway;
- Сигнализация SIP;
- Передача RTP.
|
Далее нажать кнопку «Применить».
Создание SIP-профиля на IP-АТС
1) В боковом меню перейти в раздел «Маршрутизация» → «Интерфейсы SIP».
2) Во вкладке «Конфигурация» нажать кнопку 
|
3) Если необходимо — изменить поле Название.
4) В поле Режим установить значение «SIP-профиль».
5) Нажать кнопку Применить.
|
Добавление имени домена
1) В боковом меню выбрать «Настройки TCP/IP» → «Список доменных имен».
2) В свободное поле в столбце «Список доменных имен» вписать желаемое имя домена. Например eltex.loc
3) Нажать кнопку «Применить»
|
Создание SIP-абонентов
1) В боковом меню перейти в раздел «Абоненты» → «SIP-абоненты».
2) Во вкладке «Конфигурация» нажать на кнопку .
|
3) Заполнить поля:
- Число абонентов — количество создаваемых абонентов;
- Начальный номер — номер первого создаваемого абонента;
- SIP-домен — домен созданный на предыдущем шаге;
- SIP-профиль — выбрать ранее созданный профиль;
- Авторизация — выбрать «With Register»;
- Пароль— пароль авторизации SIP-абонентов;
|
4) Нажать кнопку Применить.
Будет создано указанное количество абонентов. Каждому последующему абоненту будет присвоен номер, увеличивающийся на 1, начиная с начального номера.
На этом необходимая минимальная настройка IP-АТС завершена. По окончании настройки необходимо сохранить текущую конфигурацию в энергонезависимую память.
Сохранение конфигурации
1) В верхнем меню выбрать «Сервис» → «Сохранить конфигурацию во FLASH».
2) Нажать кнопку ОК во всплывающем окне.
|
Мониторинг регистрации SIP-абонентов
1) В боковом меню перейти в раздел «Абоненты» → SIP абоненты»
2) Перейти во вкладку «Мониторинг»;
3) Проверить индикатор и значение в столбце «Состояние» соответствующего ТА: если индикатор зеленого цвета, а значение в столбце «Состояние» — «Регистрация активна», то телефонный аппарат зарегистрирован и может совершать звонки.
|
IP-телефон для работы с IP-АТС должен быть предварительно настроен. Предположим, что IP-адрес телефона получен от DHCP-сервера и известен. Далее будут описаны возможные способы настройки.
Настройка IP-телефона через web-интерфейс
1) Войти в web-интерфейс IP-телефона.
Для входа по умолчанию используются: Логин: admin Пароль: password |
|
2) В меню «IP-телефония» → «SIP-аккаунты» установить флаг Аккаунт. Отобразятся дополнительные пункты настроек.
3) Заполнить следующие поля:
- Номер телефона — номер, созданный на IP-АТС;
- Логин — значение такое же, как в предыдущем пункте;
- Пароль — пароль, заданный на IP-АТС.
4) В блоке «Адреса SIP-прокси» вписать адрес IP-АТС в поля:
- SIP-прокси сервер;
- Сервер регистрации;
5) Нажать кнопку Применить в нижней части страницы.
|
После выполнения настройки зарегистрированный телефонный аппарат отобразится в разделе Мониторинг.
На вышестоящем к IP-телефону и коммутатору доступа оборудовании, а именно коммутаторах агрегации и ядра необходимо разрешить прохождение VLAN ID, настроенного на коммутаторе доступа как Voice VLAN. |
Настройка Wi-Fi контроллера серии WLC
В данном разделе будет рассмотрен один из возможных способов реализации сети Wi-Fi на базе Enterprise точек доступа и контроллера беспроводной сети Wi-Fi серии WLC.
Конфигурация, с которой необходимо настраивать контроллер - factory-config, она содержит в себе базовые конфигурации по большинству сервисов, включая syslog, archive, object-group и т.д. Далее необходимо привести сконфигурированный функционал к виду, который представлен в следующем разделе (изменение адресации, добавление security zone-pair, настройка дополнительных блоков).
Для резервирования контроллера предназначен функционал кластера в режиме active-standby, пример настройки приведен в разделе «Управление кластеризацей» руководства по эксплуатации WLC-Series.
Настройка физических интерфейсов
Настройка физических интерфейсов контроллера содержит следующие этапы:
- Выбор режима работы сетевого порта:
- switchport — L2-режим. Возможно разрешение VLAN, но запрещает назначение IP-адреса и создание sub-/qinq-интерфейсов;
- routerport — L3-режим. Возможно назначение IP-адреса и создание sub-/qinq-интерфейсов.
- Добавление VLAN/sub на интерфейс;
- Добавление VLAN/sub в бридж (рекомендуется).
В данном примере будет рассмотрена конфигурация в режиме switchport, сконфигурирован Port-channel в сторону коммутаторов MES.
Настройка физических интерфейсов в режиме switchport, создание Port Channel
vlan 110,115,250 exit bridge 10 vlan 110 ip firewall disable ip address 10.110.0.1/24 no spanning-tree enable exit bridge 15 vlan 115 ip firewall disable ip address 10.115.0.1/24 no spanning-tree enable exit bridge 25 vlan 250 ip firewall disable ip address 10.250.0.1/24 no spanning-tree enable exit interface port-channel 1 mode switchport switchport mode trunk switchport trunk allowed vlan add 110,250 exit interface gigabitethernet 1/0/3 mode switchport channel-group 1 mode auto exit interface gigabitethernet 1/0/4 mode switchport channel-group 1 mode auto exit |
Создание VLAN Создание bridge и переход в режим его конфигурирования Привязка VLAN к bridge 10 Отключение работы firewall Указание IP-адреса для подсети управления точками доступа Отключение работы STP Активация работы bridge Создание bridge и переход в режим его конфигурирования Привязка VLAN к bridge 15 Отключение работы firewall Указание IP-адреса для подсети с трафиком точек доступа Отключение работы STP Активация работы bridge Создание bridge и переход в режим его конфигурирования Привязка VLAN к bridge 25 Отключение работы firewall Указание IP-адреса для подсети с трафиком точек доступа Отключение работы STP Активация работы bridge Переход в режим конфигурирования port-channel 1 Перевод интерфейса в режим switchport Выбор режима работы интерфейса Разрешение прохождения трафика в тегированном формате для выбранных VID Переход в режим конфигурации физического интерфейса Перевод интерфейса в режим switchport Включение интерфейса в состав port channel 1 (LACP) Переход в режим конфигурации физического интерфейса Перевод интерфейса в режим switchport Включение интерфейса в состав port channel 1 (LACP) |
Терминирование трафика SoftGRE-туннелей
Для терминирования трафика пользователей, передаваемого внутри SoftGRE-туннелей нужно использовать только интерфейс типа bridge, т.к. терминируемые SoftGRE-туннели обеспечивают L2-связность и могут быть включены только в данный тип интерфейсов.
vlan 115 force-up mtu 1458 exit |
Создание VLAN для трафика пользователей Включение режима активности VLAN вне зависимости от состояния интерфейсов, на которых прописан данный VLAN Установление размера MTU 1458 для компенсации туннелирования трафика |
Настройка SoftGRE-туннелей
Настройка данного функционала используется в случае, если выделение и настройка VLAN при подключении новых точек доступа является трудоемкой задачей, особенно если на сети предприятия между точками доступа и контроллером используется большое количество коммутаторов. Такое решение даже в L2-сети позволяет упростить подключение точек доступа, так как отсутствует необходимость прокидывать VLAN для каждого SSID через все коммутаторы, так как предполагает построение SoftGRE data-туннелей для передачи пользовательского трафика.
Настройка SoftGRE-контроллера туннелей
softgre-controller nas-ip-address 127.0.0.1 data-tunnel configuration wlc aaa radius-profile default_radius keepalive-disable service-vlan add 115 enable exit |
Переход в режим настройки SoftGRE-контроллера Задание IP-адреса, на который будет заменен NAS IP при проксировании пакетов RADIUS Установка режима конфигурации wLC Выбор ААА профиля, созданного в разделе "RADIUS" Отлючение проверки доступности удаленного шлюза туннеля Разрешение прохождения пользовательского трафика с VID 115 Активация работы SoftGRE-контроллера |
Настройка и включение функционала автоматического поднятия SoftGRE-туннелей
tunnel softgre 1 mode data local address 10.110.0.1 default-profile enable exit |
Переход в режим настройки SoftGRE-контроллера Выбор режима работы data = режим данных Задание IP-адреса локального шлюза туннеля Активация использования конфигурации этого туннеля для автоматического поднятия туннелей Активация работы туннеля |
Настройка сервисов
Настройка DHCP
В рассматриваемом решении используется внешний DHCP-сервер для выдачи первоначальной настройки сетевого интерфейса точки доступа и адреса контроллера.
В случае использования внутренней конфигурации DHCP-сервера на контроллере WLC можно воспользоваться примером из статьи «Схемы использования внешнего DHCP».
Настройка RADIUS
Настройка локального RADIUS-сервера
Необходимо настроить NAS IP, которая содержит подсети точек доступа, которые будут обслуживаться локальным RADIUS-сервером при Enterprise-авторищации пользователей Wi-Fi. В рамках настроенной схемы рассмотрена авторизация Enterprise.
radius-server local nas ap key ascii-text password network 10.250.0.0/24 exit |
Переход в режим конфигурирования локального RADIUS на WLC Уточнение конфигурации NAS, в данном случае это точки доступа Задание пароля для проверки подлинности между точками доступа (NAS) и WLC (RADIUS) Указание подсети, из которой все точки доступа будут использовать указанные настройки |
Настройка NAS local применяется при обращении WLC к локальному RADIUS-серверу при построении SoftGRE-туннелей.
nas local key ascii-text password network 10.110.0.0/24 exit |
Указание конфигурации NAS, где local - это определение того, что NAS это сам WLC Задание пароля для проверки подлинности между WLC (NAS) и WLC (RADIUS) RADIUS-сервер локальный, поэтому казание nas-ip-address 10.110.0.0/24 |
Далее необходимо создать домен для пользователей, для управления учетными записями. Все пользователи, которые будут аутентифицироваться через этот RADIUS-сервер, будут принадлежать к домену default и к ним будут применяться одни и те же политики.
radius-server local domain default exit |
Переход в режим конфигурирования локального RADIUS на WLC Создание домена с именем default |
В данном домене необходимо создать учетную запись пользователя Wi-Fi для покдлючения к Enterprise SSID.
radius-server local domain default user name1 password ascii-text password1 exit exit exit |
Переход в режим конфигурирования локального RADIUS на WLC Переход в режим конфигурирования домена с именем default Создание пользователя Конфигурация пароля для пользователя |
Необходимо определить параметры для взаимодействия с RADIUS-сервером: IP-адрес и ключ.
wlc radius-server host 10.250.0.200 key ascii-text secretap exit |
Переход в режим конфигурирования контроллера WLC Конфигурация IP-адреса хоста Конфигурация пароля |
Добавить профиль AAA, указать адрес сервера, который будет использоваться в настройках SSID.
wlc aaa radius-profile default_radius radius-server host 10.250.0.200 exit |
wlc aaa radius-profile default_radius radius-server host 10.250.0.200 exit |
Включить RADIUS-сервер
wlc aaa radius-profile defaul_radius virtual-server default enable exit |
Переход в режим конфигурирования контроллера Переход в режим конфигурирования AAA-профиля Переход в режим конфигурирования виртуального сервера Активация работы виртуального сервера |
Настройка проксирования на внешний RADIUS-сервер
wlc radius-server local nas ap key ascii-text password network 10.110.0.0/24 exit |
Переход в режим конфигурирования контроллера Переход в режим конфигурирования локального RADIUS на WLC Уточнение конфигурации NAS, в данном случае это точки доступа Задание пароля для проверки подлинности между точками доступа (NAS) и WLC (RADIUS) Указание подсети, из которой все точки доступа будут использовать указанные настройки |
Настройка внешнего сервера (virtual-server)
virtual-server default nas-ip-address 10.110.0.1 mode proxy upstream-pool default enable exit upstream-server eltex host 10.250.0.200 server-type all key ascii-text password exit upstream-server default upstream-server eltex server-type all exit |
Переход в режим конфигурации виртуального сервера Задание nas-ip (адрес контроллера WLC) Включение proxy-mode для проксирования RADIUS-запросов на внешний сервер Включение привязки к upstream-pool Активация работы Переход в режим конфигурирования внешнего сервера, задание ему имени Указание IP-адреса внешнего RADIUS-сервера Указание типа запросов для проксирования, в данном примере - all Задание пароля для аутентификации между WLC (контроллером) и внешнийм RADIUS-сервером Переход в режим конфигурирования upstream-pool Указание необходимого вышестоящего сервера для проксирования RADIUS-запросов Указание типа запросов для проксирования, в данном примере - all |
Настройка модуля управления конфигурацией точками доступа
Настойка подключения к RADIUS-серверу
wlc radius-profile SSID-radius auth-address 10.250.0.200 auth-password ascii-text password acct-address 10.250.0.200 acct-password ascii-text password exit |
wlc radius-profile SSID-radius auth-address 10.110.0.1 auth-password ascii-text secretap acct-address 10.110.0.1 acct-password ascii-text secretap exit |
Настройка и включение отправки аккаунтинга на RADIUS-сервер
wlc radius-profile SSID-radius acct-enable auth-acct-id-send acct-interval 600 exit |
Переход в режим конфигурации контроллера Создание RADIUS-профиля и переход в режим его конфигурации Активация отравки аккаутинга на RADIUS-сервер Активация отправки индентификатора аутентификации и учета на RADIUS-сервер Установка интервала отправки идентификатора (в секундах) |
Точки доступа: прямое взаимодействие с внешним RADIUS-сервером
radius-profile external-radius auth-address 10.110.0.1 auth-password ascii-text secretap acct-enable acct-address 10.110.0.1 acct-password ascii-text secretap exit |
Переход в режим конфигурации профиля внешнего RADIUS-сервера Указание IP-адреса внешнего RADIUS-сервера, используемого для аутентификации Указание пароля для RADIUS-сервера, используемого для аутентификации Включение аккаутинга Указание IP-адреса внешнего RADIUS-сервера, используемого для аккаутинга Указание пароля для RADIUS-сервера, используемого для аккаутинга |
Настройка SSID
Настройка авторизации PSK
wlc ssid-profile default-ssid description default-ssid ssid TEST_PSK vlan-id 115 security-mode WPA2 key-wpa ascii-text password1! band 2g band 5g enable exit |
Переход в режим конфигурации контроллера Создание профиля для конфигурации SSID, переход в режим его конфигурации Присвоение описания для профиля SSID Указание названия беспроводной сети Указание VLAN ID для передачи пользовательского трафика Указание режима безопасности для подключения к беспроводной сети Указание пароля к сети Wi-Fi Указание дипазона, в котором будет работать SSID: 2.4 ГГц Указание дипазона, в котором будет работать SSID: 5 ГГц Активация профиля SSID |
Настройка Enterprise-авторизации
wlc ssid-profile default-ssid description default-ssid ssid default-ssid vlan-id 115 security-mode WPA2_1X radius-profile default-radius band 2g band 5g enable exit |
Переход в режим конфигурации контроллера Создание профиля для конфигурации SSID, переход в режим его конфигурации Присвоение описания для профиля SSID Указание названия беспроводной сети Указание VLAN ID для передачи пользовательского трафика Указание режима безопасности доступа к беспроводной сети Указание профиля настроек RADIUS-сервера, который будет использоваться для аторизации пользователей Указание дипазона, в котором будет работать SSID: 2.4 ГГц Указание дипазона, в котором будет работать SSID: 5 ГГц Активация профиля SSID |
Настройка портальной авторизации
Встроенного портала на аппаратном контроллере нет, поэтому необходимо настроить портальную авторизации через RADIUS.
Создание белого списка URL, который может содержать URL и/или регулярные выражения RegExp. Доступ к указанным адресам будет разрешен для авторизации.
wlc object-group url white-url url eltex-co.ru regexp '(.+\.)eltex-co\.com' exit |
Переход в режим конфигурации контроллера Создание object-group по URL, переход в режим ее конфигурирования Указание URL страницы, который будет разрешен Указание regexp |
Создание белого списка IP-адресов, доступ к которым будет разрешен до авторизации. В белый список можно добавлять адреса подсетей, которые нужны для авторизации.
wlc object-group network white_ip ip prefix 192.168.0.0/24 exit |
Переход в режим конфигурации контроллера Создание object-group по URL, переход в режим ее конфигурирования Указание пула разрешенных IP |
Создание portal-profile, где будут указаны все необходимые параметры для перенаправления клиента на внешний портал.
wlc radius-profile portal_radius auth-address 10.110.0.1 auth-password ascii-text secretap auth-acct-id-send acct-enable acct-address 10.110.0.1 acct-password ascii-text secretap acct-periodic acct-interval 300 exit |
Переход в режим конфигурации контроллера Создание radius-profile, переход в режим его конфигурирования Указание IP=адреса RADIUS-сервера, который будет указываться для аутентификации пользователей Конфигурация пароля для связи с RADIUS-сервером в зашифрованном виде Включение отправки идентификатора аутентификации и учета на RADIUS-сервер Включение аккаутинга пользователей Указание IP-адреса RADIUS-сервер для ведения аккаутинга Конфигурация пароля для RADIUS-сервера для ведения аккаутинга Активация переодической отправки информации о сессиях подключенных клиентов Указание интервала отправки информации |
Создание ssid-profile.
wlc ssid-profile portal_test ssid portal_test radius-profile portal_radius portal-enable portal-profile portal-pr vlan-id 115 band 5g enable exit |
Переход в режим конфигурации контроллера Создание профиля для конфигурации SSID, переход в режим его конфигурации Указание названия SSID Указание профиля RADIUS-сервера, указанного выше Включение Captive Portal Привязка профиля Указание VLAN ID для предачи пользовательского трафика Указание дипазона, в котором будет работать SSID: 5 ГГц Активация профиля SSID |
Добавление ssid-profile в ap-location.
Локация — это группы точек доступа, предназначенная для предоставления сервиса внутри топографического и/или логического сегмента сети, которые, в общем случае, будут конфигурироваться по одним и тем же правилам 9профилям). Локация для точки (ap-locaton) определяется при подключении точки к контроллеру в зависимости от адресного пространства.
wlc ap-location default-location ssid-profile portal_test mode tunnel exit |
Переход в режим конфигурации контроллера Переход в режим конфигурации локации Указание, что SSOD в профиле portal_test относятся к данной локации Настройка режима туннелирования, если в этом есть необходимость |
Если есть необходимость с части SSID трафик выпускать локально, то в настройках SSID-profile необходимо указать режим:
local-switching → wlc(config-wlc-ssid-profile)# local-switching
В этом случае весь трафик локации туннелируется, за исключением SSID c указанным режимом.
Настройка AirTune
Основным функционалом сервиса AirTune является Radio Resource Management (RRM).
Radio Resource Management позволяет автоматически оптимизировать характеристики точек доступа в зависимости от текущих условий. Сервис AirTune не заменяет собой процедуры радиопланирования, но позволяет провести финальный этап оптимизации сети, а также осуществлять постоянный контроль.
Также сервис включает в себя функционал роуминга:
- Синхронизация списков соседних точек доступа стандарта 802.11k, который позволяет клиенту при ослабевании сигнала с текущей точки доступа искать более подходящую точку доступа из рекомендуемого списка, а не анализируя весь эфир.
- Согласование ключей между точками доступа для роуминга стандарта 802.11r, который позволяет значительно ускорять процесс переключения клиента между точками доступа, т. к. клиент проходит на встречной точке доступа только ускоренную авторизацию, без необходимости повторно проходить полную авторизацию.
В контроллере уже присутствует дефолтная конфигурация модуля airtune, которой будет достаточно для полноценной работы сервиса RRM и бесшовного роуминга в рамках определенной локации.
Для работы роуминга стандартов 802.11k/r/v необходима поддержка данных стандартов со стороны клиентов. |
Более подробно об алгоритме работы сервиса AirTune можно прочитать в разделе руководства по эксплуатации контроллера Настройка WLC → Настройка AirTune |
Применение конфигурации по умолчанию модуля AirTune.
wlc airtune-profile default_airtune exit wlc ap-location default-location airtune-profile default_airtune exit wlc airtune enable exit |
Переход в режим конфигурации контроллера Создание профиля AirTune, по умолчанию в нем уже указаны оптимальные настройки сервиса Переход в режим конфигурации контроллера Переход в режим конфигурации локации Добавление профиля в локацию Переход в режим конфигурации контроллера Переход в режим конфигурации AirTune Активация функционала AirTune в контроллере |
Настройка индивидуального профиля с учетом организации сети W-Fi большого офиса
При необходимости можно изменить необходимые пункты профайла модуля airtune default-location на требуемые. Или создать уникальный профайл (или несколько профайлов) с требуемыми параметрами, которые будут отличаться от параметров по умолчанию, и назначить профайл (или профайлы) на требуемую локацию или локации.
wlc airtune-profile big_office eltex-rrm-scan disable optimization time 02:00 optimization mode time hd-mode load-balance disable 802.11v disable exit wlc ap-location default-location airtune-profile big_office exit wlc airtune enable exit |
Переход в режим конфигурации контроллера Создание профиля AirTune, переход в режим его конфигурирования Выключение ускоренного сканирования Задание времени включения оптимизации модуля RRM Выбор типа проведения оптимизации, в данному случае по выше заданному времени Включение режима управления мощностью точки доступа Отключение механизма балансировки Отключение использования протокола 802.11v при бесшовном роуминге Переход в режим конфигурации контроллера Переход в режим конфигурирования локации Применение настроенного профиля Переход в режим конфигурации контроллера Переход в режим конфигурации Airtune Активация функционала AirTune в контроллере |
Все внесенные изменения в конфигурации необходимо записать в постоянную память устройства! wlc-15#commit (сохранение изменений и запуск таймера) Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds. wlc-15#confirm (подтверждение изменений и их применение) Configuration has been confirmed. Commit timer canceled |
Описание настройки сервиса Airtune через web-интерфейс контроллера приведено в разделе Настройка AirTune. |
Для проверки работы функционала и траблшутинга предназначен гайд WLC Troubleshooting Guide.
Добавление сетевого оборудования в систему мониторинга ECCM
ECCM — система, предназначенная для инвентаризации, управления и мониторинга сетевого оборудования Eltex. Поможет автоматизировать рутинные задачи по конфигурированию и обновлению оборудования, осуществить непрерывный мониторинг работы сети для быстрого реагирования и устранения возникающих неисправностей.
В рамках схемы большого офиса, сервер ECCM выделен в ранее созданный Management VLAN.
Для обеспечения отказоустойчивости системы, представляется возможность настройки резервирования серверов, подробнее по следующей ссылке.
Конфигурирование коммутаторов MES для взаимодействия с ECCM
snmp-server server snmp-server community eltex_public ro 10.250.0.100 snmp-server community eltex_private rw 10.250.0.100 |
Включение функционала SNMP-сервера на коммутаторе Создание community public с правами только для чтения и указание IP-адреса сервера ECCM Создание community private с правами на чтение и запись и указание IP-адреса сервера ECCM |
Конфигурирование маршрутизаторов ESR для взаимодействия с ECCM
snmp-server snmp-server community public v2c ro snmp-server community private v2c rw security zone-pair Management self rule 1 description "SNMP traffic from ECCM" action permit match protocol udp match destination-port port-range 161 match source-address address-range 10.250.0.100 enable exit rule 2 description "SSH traffic from ECCM" action permit match protocol tcp match destination-port port-range 22 match source-address address-range 10.250.0.100 enable exit rule 3 action permit match protocol udp match destination-port port-range 67 enable exit rule 4 action permit match protocol udp match destination-port port-range 68 enable exit |
Включение SNMP-сервера на маршрутизаторе Создание коммьюнити public с правами read only Создание коммьюнити provate с правами read write Переход в режим конфигурирования группы правил для пары зон безопасности Создание правила 1 и переход в режим его конфигурации Создание описания для правила 1 Указание действия, которое будет выполено исходя из условий правила Указание имени или номера IP-протокола, для которого должно срабатывать правило Конфигурация профиля TCP/UDP-портов получателя, для которых должно срабатывать правило Конфигурация профиля IP-адресов отправителя, для которых должно срабатывать правило Активация работы правила Создание правила 2 и переход в режим его конфигурации Создание описания для правила 2 Указание действия, которое будет выполено исходя из условий правила Указание имени или номера IP-протокола, для которого должно срабатывать правило Конфигурация профиля TCP/UDP-портов получателя, для которых должно срабатывать правило Конфигурация профиля IP-адресов отправителя, для которых должно срабатывать правило Активация работы правила Создание правила 3 и переход в режим его конфигурации Указание действия, которое будет выполено исходя из условий правила Указание имени или номера IP-протокола, для которого должно срабатывать правило Конфигурация профиля TCP/UDP-портов получателя, для которых должно срабатывать правило Активация работы правила Создание правила 4 и переход в режим его конфигурации Указание действия, которое будет выполено исходя из условий правила Указание имени или номера IP-протокола, для которого должно срабатывать правило Конфигурация профиля TCP/UDP-портов получателя, для которых должно срабатывать правило Активация работы правила |
Конфигурирование контроллера WLC для взаимодействия с ECCM
snmp-server server snmp-server community eltex_public ro 10.250.0.100 snmp-server community eltex_private rw 10.250.0.100 |
Включение функционала SNMP-сервера на коммутаторе Создание community public с правами только для чтения и указание IP-адреса сервера ECCM Создание community private с правами на чтение и запись и указание IP-адреса сервера ECCM |
Пример добавления, мониторинга и управления контроллера WLC в кластере представлен в статье «Мониторинг и конфигурирование WLC в кластере» раздела «Полезные статьи» документации ECCM.
Добавление сетевого оборудования в систему мониторинга ECCM
Автоматическое добавление используется в случае с мониторингом устройств в определенном диапазоне адресов. В случае с представленной схемой - диапазон от 10.250.0.10 до 10.250.0.254.
1) Во вкладке "Добавить устройства" необходимо выбрать вкладку "Обнаружение"
|
2) Заполнить следующие данные:
- Диапазон, поддержан ввод в различных форматах: 10.25.96.1-90 | 10.25.96-97.1-90 | 10.25.96.1-10.25.96.90 | 10.25.96.1/24;
- Версия SNMP;
- Порт SNMP - по умолчанию 161;
- Таймаут обнаружения устройств (мс)
- Communities - пароль для доступа к SNMP.
После указания всех данных необходимо нажать на кнопку "Поиск".
3) Отобразится список устройств, обнаруженных по заданным параметарм. Необходимо выбрать устройства или установить флаг "Выбрать все" и нажать на кнопку "Добавить".
|
4) После выбора необходимых устройств будет возможным выбрать включение/выключение suslog для всех устройств, или выбранной группы (доступно только для ESR и WLC).
Включение syslog при добавлении устройства в ECCM позволяет сократить время на настройку этой функции отдельно для каждого устройства.
|
5) После добавления устройства в группу, оно будет доступно для мониторинга и управления. Если статусы не обновились, то, вероятнее всего, данные SSH и SNMP отличаются от стандартных.
В данном случае необходимо изменить данные по SNMP и SSH во вкладке "Доступ", далее нажать кнопку "Определить", чтобы автоматически заполнить поля с информацией или ввести необхоимые данные вручную, затем - нажать кнопку "Применить".
|
|
Добавление сетевого оборудования в систему контроля сетевого доступа NAICE
Безопасность инфраструктуры обеспечивается посредством аутентификации клиентов и администраторов оборудования. Eltex предлагает собственное решение — систему контроля и управления доступом NAICE.
Конфигурирование коммутаторов MES для взаимодействия с NAICE
Для того чтобы добавить коммутатор в NAICE, необходимо обеспечить сетевую связность между коммутатором и сервером NAICE. В рамках рассматриваемой схемы, связность обеспечивается в Management VLAN 250.
Инструкция по установке NAICE с учетом резервирования представлена в статье «Установка с резервированием (c использованием VRRP)» раздела «Установка и обновление» документации NAICE. Резервирование Eltex-NAICE выполняется по схеме Active-Active с использованием VRRP-адреса, что позволяет использовать один RADIUS-сервер в настройках сетевых устройств и зарезервировать подключение для сетевых устройств, настройки которых не поддерживают указание нескольких RADIUS-серверов. Также представляется возможность обеспечения резервирования в статье «Установка с резервированием (без использования VRRP)» раздела «Установка и обновление» документации NAICE.
radius-server host 10.250.0.100 key {eltex_key}
tacacs-server host 10.250.0.200 key {eltex_key} |
Указание IP-адреса RADIUS-сервера и секретного ключа Указание IP-адреса TACACS+-сервера и секретного ключа |
Настройки клиентских интерфейсов MES приведены в разделе 802.1x.
Порядок настройки NAICE для добавления оборудования описан в разделе «Добавление оборудования в NAICE и настройка MAB-авторизации (Wi-Fi)» гайда «Настройка безопасности Wi-Fi».
Конфигурирование маршрутизаторов ESR для взаимодействия с NAICE
Для того чтобы добавить маршрутизатор в NAICE, необходимо обеспечить сетевую связность между маршрутизатором и сервером NAICE.
interface gigabitethernet 1/0/4 ip firewall disable ip address 192.168.1.30/24 exit aaa authentication login TACACS tacacs aaa authentication enable TACACS tacacs tacacs-server host 192.168.1.6 key ascii-text encrypted 9DB00E64BE source-address 192.168.1.30 exit line console login authentication TACACS enable authentication TACACS exit |
Назначение IP-адреса. Конфигурируется список способов учета сессий пользователей. Ведение учета активируется и прекращается, когда пользователь входит и отключается от системы, что соответствует значениям «start» и «stop» в сообщениях протоколов RADIUS и TACACS. Добавляем TACACS-сервер в список используемых серверов и перехода в командный режим TACACS SERVER. Использование отрицательной формы команды (no) удаляет заданный TACACS-сервер. Переход в режим конфигурирования соответствующего терминала: локальная консоль, удаленная консоль (Telnet), удаленная защищенная консоль (SSH). |
Добавление сетевого оборудования в систему контроля сетевого доступа NAICE
Метод авторизации dot1x
Необходимо использовать интеграцию с Open LDAP. Для создания пользователей необходимо выполнить следующие шаги:
- В главном меню перейти в раздел Администрирование → Управление идентификацией → Пользователи сети:
|
2. Нажать на символ добавления нового пользователя (+), заполнить необходимые поля (логин, пароль, подтверждение пароля):
|
3. Перейти в раздел Группы пользователей сети, создать новую группу пользователей, добавить пользователей в эту группу:
|
Настройка сетевых ресурсов NAICE
- В главном меню перейти в раздел Администрирование → Сетевые ресурсы → Устройства:
|
2. Нажать на символ добавления нового устройства (+), заполнить все необходимые поля (имя устройства, профиль, IP-адрес, секретный ключ RADIUS и TACACS+):
|
Настройка протоколов в NAICE
- В главном меню перейти в раздел Политики → Элементы → Разрешенные протоколы:
|
2. Нажать на символ добавления нового элемента (+), указать название сервиса и выбрать используемые для аутентификации протоколы:
|
Настройка политик в NAICE
1. В главном меню перейти в раздел Политика → Наборы политик:
|
2. Нажать на символ добавления новой политики (+), перейти в раздел Условия. В качестве атрибута указать «Service-Type» из словаря «Radius». В качестве Атрибут/значение указать «Framed-User»:
|
3. В доступных протоколах выбрать ранее созданный список (dot1x):
|
4. Перейти в режим просмотра созданного набора политик:
|
5. Добавить новую политику авторизации, заполнить поля Условия (атрибут «Identity group» из словаря «User Identity», атрибут/значение — «Клиенты») и Профили, выбрать необходимый профиль авторизации:
|
Настройка MAB-авторизации
Перед началом конфигурации профилей устройств, которые будут проходить авторизацию по MAB, необходимо осуществить настройку профиля устройства, за которым будет подключен клиент.
В данном случае — коммутатор MES.
- В главном меню перейти в раздел Администрирование → Сетевые ресурсы → Профили устройств:
|
2. Перейти в профиль Eltex MES:
|
3. В разделе MAB проставить галочки в пунктах PAP и EAP_MD5:
|
Также, при необходимости, в данном профиле можно включить работу протокола TACACS+:
|
Настройка эндпоинтов в NAICE
1. В главном меню перейти в раздел Администрирование → Управление идентификацией → Эндпоинты:
|
2. Нажать на символ добавления нового эндпоинта (+), заполнить поле MAC-адрес:
|
3. Перейти во вкладку Группы эндпоинтов, нажать на символ добавления новой группы эндпоинтов (+):
|
4. Добавить созданные ранее эндпоинты в группу эндпоинтов: нажать на символ добавления эндпоинтов в группу (+), в появившемся окне выбрать необходимые эндпоинты, перенести их в раздел Выбранные, нажать Добавить:
|
Настройка цепочки идентификации
- Перейти во вкладку Цепочки идентификаций, нажать на символ добавления новой цепочки (+) (ниже в качестве примера выбрана существующая цепочка):
|
2. Заполнить название цепочки и перенести в столбец Используемые объект endpoints:
|
Настройка протоколов NAICE
- В главном меню перейти в раздел Политика → Элементы → Результаты:
|
2. Нажать на символ добавления нового списка протоколов (+), заполнить название списка, включить MAC Authentication Bypass (MAB):
|
Настройка политик в NAICE
1. В главном меню перейти в раздел Политика → Наборы политик:
|
2. Нажать на символ добавления новой политики (+), перейти в раздел Условия. В качестве атрибута указать «Service-Type» из словаря «Radius». В качестве Атрибут/значение указать «Call-Check»:
|
3. В доступных протоколах выбрать ранее созданный список (MAB):
|
4. Перейти в режим просмотра созданного набора политик:
|
5. Добавить новую политику авторизации, заполнить поля Условия (атрибут «Endpoint Group» из словаря «Endpoint Identity», атрибут/значение — «MAB») и Профили, выбрать необходимый профиль авторизации:
|
В случае корректной настройки и прохождения авторизации, информацию о пользовательских сессиях можно посмотреть в разделе Мониторинг → RADIUS:
|
Более детализированная информация представлена в блоке "Подробнее":
|
Примеры конфигураций NAICE с настройкой различных атрибутов представлены в документации NAICE в следующих статьях:
Пример настройки NAICE для контроллера WLC и точек доступа представлен в статье «Настройка Captive Portal» раздела «Быстрый запуск (Quickstart)» документации NAICE.
Также в статье «Настройка 802.1x авторизации в связке с WLC+AP» раздела «Быстрый запуск (Quickstart)» документации NAICE представлен пример настройки 802.1x авторизации в связке контроллера WLC и точек доступа.
Заключение
В рамках данного гайда была рассмотрена типовая аритектура, которая отвечает современным требованиям к организации сетевой архитектуры. Реализованная трехуровневая модель позволяет обеспечить не только высокую производительность и отказоустойчивость, но и легкое масшатбирование.
Использование предложенного комлекса устройств производства компании Eltex покрывает широкий спектр задач: от предоставления клиентам досутпа в сеть до развертывая собственной телефонии и БШПД с использованием собственного NAC-с ервера.
Таким образом, предложенные решения и практики использования оборудования Eltex позволяют создать сбалансированную, защищенную и централизируемую управляему сеть, которая способна обеспечить бесперебойное функционирование бизнес-процессов усредненного предприятия как в текущий момент, так и с учетом перпективы дальнейшего развития.
Общие конфигурации устройств
hostname ESR-3300_1 object-group service NTP port-range 123 exit object-group network Customers_POOL ip prefix 10.100.0.0/24 exit object-group network ISP_NTP ip prefix 203.0.113.0/25 exit object-group network PROXY ip address-range 203.0.113.3 exit syslog max-files 3 syslog file-size 512 syslog sequence-numbers syslog file flash:syslog/default severity info exit syslog host ECCM remote-address 10.250.0.100 severity info exit no spanning-tree security zone test exit security zone Untrusted exit security zone Management exit security zone Customer exit security zone ISP_NTP exit route-map BGP_IN rule 10 match ip address 0.0.0.0/0 exit rule 20 action deny exit exit router bgp 64515 neighbor 203.0.113.1 remote-as 65500 update-source twentyfivegigabitethernet 1/0/1 fall-over bfd address-family ipv4 unicast route-map BGP_IN in enable exit enable exit enable exit interface port-channel 1 description to_MES5410-48_VPC_ speed 100G exit interface port-channel 1.250 security-zone Management ip address 10.250.0.253/24 vrrp 1 ip address 10.250.0.55/24 priority 101 group 1 enable exit exit interface port-channel 1.100 security-zone Customer ip address 10.100.0.253/24 vrrp 2 ip address 10.100.0.1/24 priority 101 group 1 enable exit exit interface port-channel 1.115 description "AP_users" ip address 10.115.0.253/24 vrrp 3 ip address 10.115.0.1/24 priority 101 group 1 enable exit exit interface twentyfivegigabitethernet 1/0/1 description "to_NTP_ISP1" speed 1000M ip address 203.0.113.3/21 ip nat proxy-arp PROXY exit interface hundredgigabitethernet 1/0/1 description to_MES5410-48_VPC_1 mode switchport channel-group 1 mode auto lldp transmit lldp receive exit interface hundredgigabitethernet 1/0/2 description to_MES5410-48_VPC_2 mode switchport channel-group 1 mode auto lldp transmit lldp receive exit interface oob 1/0/1 security-zone test ip address 192.168.1.1/24 exit snmp-server snmp-server community public v2c ro snmp-server community private v2c rw security zone-pair test self rule 10 action permit enable exit exit security zone-pair Management self rule 10 description "SNMP traffic from ECCM" action permit match protocol udp match source-address address-range 10.250.0.100 match destination-port port-range 161 enable exit rule 20 description "SSH traffic from ECCM" action permit match protocol tcp match source-address address-range 10.250.0.100 match destination-port port-range 22 enable exit rule 30 action permit match protocol udp match destination-port object-group NTP enable exit rule 40 action permit match protocol udp match destination-port port-range 161 enable exit rule 50 action permit match protocol icmp enable exit rule 60 action permit match protocol udp match destination-port port-range 67 enable exit rule 70 action permit match protocol udp match destination-port port-range 68 enable exit exit security zone-pair Customer self rule 10 action permit match protocol udp match source-port port-range 68 match destination-port port-range 67 enable exit rule 20 action permit match protocol icmp enable exit rule 30 action permit match protocol vrrp exit exit security zone-pair Customer ISP_NTP rule 10 action permit match source-address object-group Customers_POOL enable exit exit security zone-pair ISP_NTP self rule 10 action permit match protocol udp match destination-port port-range 123 enable exit rule 20 action permit match protocol tcp match destination-port port-range 179 enable exit rule 30 action permit match protocol udp match destination-port port-range 3784 enable exit exit exit security zone-pair Customer ISP_NTP rule 10 action permit match protocol icmp enable exit rule 20 action permit match source-address object-group Customers_POOL enable exit exit nat source pool Customer_Public_IP ip address-range 203.0.113.3 exit ruleset SNAT to zone ISP_NTP rule 10 match source-address object-group Customers_POOL action source-nat pool Customer_Public_IP enable exit exit exit ip sla ip sla logging status ip sla test 1 icmp-echo 8.8.4.4 source-ip 203.0.113.2 num-packets 5 enable exit ip sla test 2 icmp-echo 77.88.44.242 source-ip 203.0.113.2 num-packets 5 enable exit ip sla schedule all life forever start-time now ip ssh server ip ssh key-exchange time 8 archive type local by-commit count-backup 10 exit lldp enable lldp system-name "ESR-3300_1" clock timezone gmt +7 ntp enable ntp object-group serve-only ISP_NTP ntp server 203.0.113.2 prefer minpoll 4 exit ntp server 203.0.113.130 exit track 1 description "Check Internet" track sla test 1 mode state fail track sla test 2 mode state fail enable exit |
hostname ESR-3300_2
object-group service NTP
port-range 123
exit
object-group network Customers_POOL
ip prefix 10.100.0.0/24
exit
object-group network ISP_NTP
ip prefix 203.0.113.128/25
exit
object-group network PROXY
ip address-range 203.0.113.131
exit
syslog max-files 3
syslog file-size 512
syslog sequence-numbers
syslog file flash:syslog/default
severity info
exit
syslog host ECCM
remote-address 10.250.0.100
severity info
exit
no spanning-tree
security zone test
exit
security zone Management
exit
security zone Customer
exit
security zone VoIP
exit
security zone ISP_NTP
exit
route-map BGP_IN
rule 10
match ip address 0.0.0.0/0
exit
rule 20
action deny
exit
exit
router bgp 64515
neighbor 203.0.113.129
remote-as 65400
update-source gigabitethernet 1/0/1
fall-over bfd
address-family ipv4 unicast
route-map BGP_IN in
enable
exit
enable
exit
enable
exit
interface port-channel 1
description to_MES5410-48_VPC
speed 100G
exit
interface port-channel 1.250
description "Mangement"
security-zone Management
ip address 10.250.0.254/24
vrrp 1
ip address 10.250.0.55/24
priority 101
group 1
enable
exit
exit
interface port-channel 1.100
security-zone Customer
ip address 10.100.0.254/24
vrrp 2
ip address 10.100.0.1/24
group 1
enable
exit
exit
interface port-channel 1.115
ip address 10.115.0.254/24
vrrp 3
ip address 10.115.0.1/24
group 1
enable
exit
exit
interface twentyfivegigabitethernet 1/0/1
description "to_NTP_ISP2"
speed 1000M
ip address 203.0.113.133/21
ip nat proxy-arp PROXY
exit
interface hundredgigabitethernet 1/0/1
description to_MES5410-48_VPC_1
mode switchport
channel-group 1 mode auto
lldp transmit
lldp receive
exit
interface hundredgigabitethernet 1/0/2
description to_MES5410-48_VPC_2
mode switchport
channel-group 1 mode auto
lldp transmit
lldp receive
exit
snmp-server
snmp-server community public v2c ro
snmp-server community private v2c rw
security zone-pair Management self
rule 10
description "SNMP traffic from ECCM"
action permit
match protocol udp
match source-address address-range 10.250.0.100
match destination-port port-range 161
enable
exit
rule 20
description "SSH traffic from ECCM"
action permit
match protocol tcp
match source-address address-range 10.250.0.100
match destination-port port-range 22
enable
exit
rule 30
action permit
match protocol tcp
match destination-port port-range 22
enable
exit
rule 40
action permit
match protocol udp
match destination-port port-range 161
enable
exit
rule 50
action permit
match protocol icmp
enable
exit
rule 60
action permit
match protocol udp
match destination-port port-range 67
enable
exit
rule 70
action permit
match protocol udp
match destination-port port-range 68
enable
exit
exit
security zone-pair Customer self
rule 10
action permit
match protocol vrrp
enable
exit
rule 20
action permit
match protocol icmp
enable
exit
exit
security zone-pair ISP_NTP self
rule 10
action permit
match protocol udp
match destination-port port-range 123
enable
exit
rule 20
action permit
match protocol tcp
match destination-port port-range 179
enable
exit
rule 30
action permit
match protocol udp
match destination-port port-range 3784
enable
exit
exit
exit
security zone-pair Customer ISP_NTP
rule 10
action permit
match protocol icmp
enable
exit
rule 20
action permit
match source-address object-group Customers_POOL
enable
exit
exit
nat source
pool Customer_Public_IP
ip address-range 203.0.113.131
exit
ruleset SNAT
to zone ISP_NTP
rule 10
match source-address object-group Customers_POOL
action source-nat pool Customer_Public_IP
enable
exit
exit
exit
ip ssh server
ip ssh key-exchange time 8
archive
type local
by-commit
count-backup 10
exit
lldp enable
lldp system-name "ESR-3300_2"
clock timezone gmt +7
ntp enable
ntp object-group serve-only ISP_NTP
ntp server 203.0.113.130
prefer
minpoll 4
exit
ntp server 203.0.113.2
exit
|
no spanning-tree ! vlan database vlan 100-101,110,250 exit ! vpc vpc domain 1 peer detection peer detection ipaddr 1.1.1.2 1.1.1.1 peer keepalive role priority 1 peer link port-channel 1 exit ! vpc group 2 domain 1 vpc-port port-channel 2 exit ! vpc group 3 domain 1 vpc-port port-channel 3 exit ! vpc group 4 domain 1 vpc-port port-channel 4 exit ! vpc group 5 domain 1 vpc-port port-channel 5 exit ! ! hostname MES5410-48_VPC_1 ! radius-server host 10.250.0.200 key secret ! tacacs-server host 10.250.0.200 key secret ! logging host 10.250.0.100 logging cli-commands ! ! ip ssh server ! snmp-server server snmp-server community eltex_public ro 10.250.0.100 snmp-server community eltex_private rw 10.250.0.100 ! clock timezone UTC +7 clock source ntp ! ntp server 10.250.0.55 ! no ip telnet server ! interface TwentyFiveGigaEthernet1/0/1 description to_MES5410-48_VPC_2 ip address 1.1.1.1 255.255.255.252 exit ! interface TwentyFiveGigaEthernet1/0/2 description to_MES2300-24_stack channel-group 4 mode auto exit ! interface TwentyFiveGigaEthernet1/0/3 description to_MES2300-24_stack channel-group 4 mode auto exit ! interface TwentyFiveGigaEthernet1/0/4 description to_MES5332A_stack channel-group 5 mode auto exit ! interface TwentyFiveGigaEthernet1/0/5 description to_MES5332A_stack channel-group 5 mode auto exit ! interface HundredGigabitEthernet1/0/1 description to_MES5410-48_VPC_2 channel-group 1 mode auto exit ! interface HundredGigabitEthernet1/0/2 description to_MES5410-48_VPC_2 channel-group 1 mode auto exit ! interface HundredGigabitEthernet1/0/3 description to_ESR-3300_1 channel-group 2 mode auto exit ! interface HundredGigabitEthernet1/0/4 description to_ESR-3300_2 channel-group 3 mode auto exit ! interface Port-Channel1 description to_MES5410-48_VPC_2 switchport mode general switchport general allowed vlan add 100-101,110,250 tagged switchport forbidden default-vlan exit ! interface Port-Channel2 description to_ESR-3300_1 switchport mode general switchport general allowed vlan add 100-101,250 tagged switchport forbidden default-vlan exit ! interface Port-Channel3 description to_ESR-3300_2 speed 100000 switchport mode general switchport general allowed vlan add 100-101,250 tagged switchport forbidden default-vlan exit ! interface Port-Channel4 description to_MES2300-24_stack speed 10000 switchport mode general switchport general allowed vlan add 100-101,110,250 tagged switchport forbidden default-vlan exit ! interface Port-Channel5 description to_MES5332A_stack speed 10000 switchport mode general switchport general allowed vlan add 100-101,110,250 tagged switchport forbidden default-vlan exit ! interface vlan 250 name ECCM+Naice ip address 10.250.0.10 255.255.255.0 exit ! ! end |
no spanning-tree ! vlan database vlan 100-101,110,115,250 exit ! vpc vpc domain 1 peer detection peer detection ipaddr 1.1.1.1 1.1.1.2 peer keepalive role priority 2 peer link port-channel 1 exit ! vpc group 2 domain 1 vpc-port port-channel 2 exit ! vpc group 3 domain 1 vpc-port port-channel 3 exit ! vpc group 4 domain 1 vpc-port port-channel 4 exit ! vpc group 5 domain 1 vpc-port port-channel 5 exit ! ! hostname MES5410-48_VPC_2 ! radius-server host 10.250.0.200 key secret ! tacacs-server host 10.250.0.200 key secret ! logging host 10.250.0.100 logging cli-commands ! ip ssh server ! snmp-server server snmp-server community eltex_public ro 10.250.0.100 snmp-server community eltex_private rw 10.250.0.100 ! clock timezone UTC +7 clock source ntp ! ntp server 10.250.0.55 ! no ip telnet server ! interface TwentyFiveGigaEthernet1/0/1 description to_MES5410-48_VPC_1 ip address 1.1.1.2 255.255.255.252 exit ! interface TwentyFiveGigaEthernet1/0/2 description to_MES2300-24_Stack channel-group 4 mode auto exit ! interface TwentyFiveGigaEthernet1/0/3 description to_MES2300-24_Stack channel-group 4 mode auto exit ! interface TwentyFiveGigaEthernet1/0/4 description to_MES5332A_Stack channel-group 5 mode auto exit ! interface TwentyFiveGigaEthernet1/0/5 description to_MES5332A_Stack channel-group 5 mode auto exit ! interface HundredGigabitEthernet1/0/1 description to_MES5410-48_VPC_1 channel-group 1 mode auto exit ! interface HundredGigabitEthernet1/0/2 description to_MES5410-48_VPC_1 channel-group 1 mode auto exit ! interface HundredGigabitEthernet1/0/3 description to_ESR-3300_1 channel-group 2 mode auto exit ! interface HundredGigabitEthernet1/0/4 description to_ESR-3300_2 channel-group 3 mode auto exit ! interface Port-Channel1 description to_MES5410-48_VPC_1 switchport mode general switchport general allowed vlan add 100-101,110,250 tagged exit ! interface Port-Channel2 description to_ESR-3300_1 speed 100000 switchport mode general switchport general allowed vlan add 100-101,250 tagged switchport forbidden default-vlan exit ! interface Port-Channel3 description to_ESR-3300_2 speed 100000 switchport mode general switchport general allowed vlan add 100-101,250 tagged switchport forbidden default-vlan exit ! interface Port-Channel4 description to_MES2300-24_Stack speed 10000 switchport mode general switchport general allowed vlan add 100-101,110,250 tagged switchport forbidden default-vlan exit ! interface Port-Channel5 description to_MES5332A_Stack speed 10000 switchport mode general switchport general allowed vlan add 100-101,110,250 tagged switchport forbidden default-vlan exit ! interface vlan 250 name ECCM+Naice ip address 10.250.0.11 255.255.255.0 exit ! ! end |
vlan database vlan 100-101,110,115,250 exit ! hostname MES5332A_Stack ! radius-server host 10.250.0.200 key secret ! tacacs-server host 10.250.0.200 key secret ! logging host 10.250.0.100 logging cli-commands ! ip ssh server ! snmp-server server snmp-server community eltex_public ro 10.250.0.100 snmp-server community eltex_private rw 10.250.0.100 ! clock timezone UTC +7 clock source ntp ! ntp server 10.250.0.55 ! no ip telnet server ! interface TenGigabitEthernet1/0/1 description to_MES2300D-24P_1 channel-group 1 mode auto exit ! interface TenGigabitEthernet1/0/2 description to_MES2300D-24P_2 channel-group 2 mode auto exit ! interface TenGigabitEthernet1/0/3 description to_MES5410-48_VPC_1 channel-group 3 mode auto exit ! interface TenGigabitEthernet1/0/4 description to_MES5410-48_VPC_2 channel-group 3 mode auto exit ! interface TenGigabitEthernet2/0/1 description to_MES2300D-24P_1 channel-group 1 mode auto exit ! interface TenGigabitEthernet2/0/2 description to_MES2300D-24P_2 channel-group 2 mode auto exit ! interface TenGigabitEthernet2/0/3 description to_MES5410-48_VPC_1 channel-group 3 mode auto exit ! interface TenGigabitEthernet2/0/4 description to_MES5410-48_VPC_2 channel-group 3 mode auto exit ! interface Port-Channel1 description to_MES2300D-24P_1 switchport mode general switchport general allowed vlan add 100-101,110,250 tagged switchport forbidden default-vlan exit ! interface Port-Channel2 description to_MES2300D-24P_2 switchport mode general switchport general allowed vlan add 100-101,110,250 tagged switchport forbidden default-vlan exit ! interface Port-Channel3 description to_MES5410-48_VPC speed 10000 switchport mode general switchport general allowed vlan add 100-101,110,250 tagged switchport forbidden default-vlan exit ! interface vlan 250 name ECCM+Naice ip address 10.250.0.20 255.255.255.0 exit ! ! end |
vlan database vlan 100-101,110,115,250,300 exit ! ip dhcp relay address 192.168.1.30 ip dhcp relay enable ip dhcp information option ! hostname MES2300-24_Stack ! radius-server host 10.250.0.200 key secret ! tacacs-server host 10.250.0.200 key secret ! logging host 10.250.0.100 logging cli-commands ! ip ssh server ! snmp-server server snmp-server community eltex_public ro 10.250.0.100 snmp-server community eltex_private rw 10.250.0.100 ! clock timezone UTC +7 clock source ntp ! ntp server 10.250.0.55 ! interface GigabitEthernet1/0/10 description to_WLC-15_1 channel-group 1 mode auto exit ! interface GigabitEthernet1/0/11 description to_WLC-15_2 channel-group 1 mode auto exit ! interface GigabitEthernet1/0/14 description to_SMG-3016_1 channel-group 2 mode auto exit ! interface GigabitEthernet1/0/15 description to_SMG-3016_2 channel-group 3 mode auto exit ! interface TenGigabitEthernet1/0/1 description to_MES5410-48_VPC_1 channel-group 4 mode auto exit ! interface TenGigabitEthernet1/0/2 description to_MES5410-48_VPC_2 channel-group 4 mode auto exit ! interface TenGigabitEthernet1/0/3 description to_NAICE-DHCP channel-group 5 mode auto ! interface TenGigabitEthernet1/0/4 description to_ECCM channel-group 6 mode auto exit ! interface GigabitEthernet2/0/10 description to_WLC-15_1 channel-group 1 mode auto exit ! interface GigabitEthernet2/0/11 description to_WLC-15_2 channel-group 1 mode auto ! interface GigabitEthernet2/0/14 description to_SMG-3016_1 channel-group 2 mode auto exit ! interface GigabitEthernet2/0/15 description to_SMG-3016_2 channel-group 3 mode auto exit ! interface TenGigabitEthernet2/0/1 description to_MES5410-48_VPC_1 channel-group 4 mode auto exit ! interface TenGigabitEthernet2/0/2 description to_MES5410-48_VPC_2 channel-group 4 mode auto exit ! interface TenGigabitEthernet2/0/3 description to_NAICE-DHCP channel-group 5 mode auto ! interface TenGigabitEthernet2/0/4 description to_ECCM channel-group 6 mode auto exit ! interface Port-Channel1 description to_WLC-15 switchport mode general switchport general allowed vlan add 110,250 tagged exit ! interface Port-Channel2 description to_SMG-3016_1 switchport mode general switchport general allowed vlan add 101,250 tagged exit ! interface Port-Channel3 description to_SMG-3016_2 switchport mode general switchport general allowed vlan add 101,250 tagged exit ! interface Port-Channel4 description to_MES5410-48_VPC speed 10000 switchport mode general switchport general allowed vlan add 100-101,110,250 tagged switchport forbidden default-vlan exit ! interface Port-Channel5 description to_NAICE-DHCP ip dhcp snooping trust switchport mode general switchport general allowed vlan add 250,300 tagged exit interface Port-Channel6 description to_ECCM switchport mode general switchport general allowed vlan add 250 tagged exit ! interface vlan 1 no ip address dhcp exit ! interface vlan 100 name PC ip address 10.100.0.45 255.255.255.0 ip dhcp relay enable exit ! interface vlan 101 name VoIP ip address 10.101.0.45 255.255.255.0 ip dhcp relay enable exit ! interface vlan 110 name WiFi_AP_man ip address 10.110.0.45 255.255.255.0 ip dhcp relay enable exit ! interface vlan 115 name WiFi_AP_Users ip address 10.115.0.45 255.255.255.0 ip dhcp relay enable exit ! interface vlan 250 name ECCM+Naice ip address 10.250.0.45 255.255.255.0 exit ! interface vlan 300 name DHCP_server ip address 192.168.1.45 255.255.255.0 exit ! ! end |
vlan database vlan 11,100-101,110,115,150,250 exit ! voice vlan id 101 voice vlan state oui-enabled voice vlan oui-table add 6813e2 ! dot1x system-auth-control ! no lldp med network-policy voice auto lldp med network-policy 1 voice vlan 101 vlan-type tagged up 4 ! loopback-detection enable loopback-detection interval 5 ! errdisable recovery cause loopback-detection ! ip dhcp snooping ip dhcp snooping vlan 100 ! ip arp inspection ip arp inspection vlan 100 ! hostname MES2300D-24P_1 ! radius-server host 10.250.0.200 key secret ! tacacs-server host 10.250.0.200 key secret ! logging host 10.250.0.100 logging cli-commands ! ip ssh server ! snmp-server server snmp-server community eltex_public ro 10.250.0.100 snmp-server community eltex_private rw 10.250.0.100 ! clock timezone utc +7 clock source ntp ! ntp server 10.250.0.55 ! interface GigabitEthernet1/0/4 dot1x host-mode single-host loopback-detection enable dot1x guest-vlan enable dot1x radius-attributes vlan static dot1x port-control auto description to_AP ip dhcp snooping limit clients 5 storm-control broadcast kbps 2048 trap storm-control unicast kbps 2048 trap storm-control multicast kbps 2048 trap spanning-tree disable spanning-tree bpdu filtering switchport mode general switchport general allowed vlan add 110 untagged switchport general pvid 110 exit ! interface GigabitEthernet1/0/14 dot1x host-mode multi-sessions loopback-detection enable dot1x guest-vlan enable dot1x reauthentication dot1x timeout reauth-period 300 dot1x authentication 802.1x mac dot1x radius-attributes vlan static dot1x port-control auto description to_VP-17P+PC ip dhcp snooping limit clients 5 storm-control broadcast kbps 2048 trap storm-control unicast kbps 2048 trap storm-control multicast kbps 2048 trap spanning-tree disable spanning-tree bpdu filtering switchport mode general switchport general allowed vlan add 100 untagged switchport general pvid 100 switchport protected-port lldp med network-policy add 1 voice vlan enable exit ! interface TenGigabitEthernet1/0/1 description to_MES5332A_Stack channel-group 1 mode auto exit ! interface TenGigabitEthernet1/0/2 description to_MES5332A_Stack channel-group 1 mode auto exit ! interface Port-Channel1 description to_MES5332A_Stack ip arp inspection trust ip dhcp snooping trust switchport mode general switchport general allowed vlan add 100-101,110,115,250 tagged switchport forbidden default-vlan exit ! interface vlan 100 name PC ip address 10.100.0.30 255.255.255.0 exit ! interface vlan 101 name VoIP ip address 10.101.0.30 255.255.255.0 exit ! interface vlan 110 name WiFi_AP_man ip address 10.110.0.30 255.255.255.0 exit ! interface vlan 115 name Wifi_AP_users ip address 10.115.0.30 255.255.255.0 exit ! interface vlan 150 name Guest dot1x guest-vlan exit ! interface vlan 250 name ECCM+Naice ip address 10.250.0.30 255.255.255.0 exit ! ! end |
vlan database vlan 100-101,110,115,150,250 exit ! voice vlan id 101 voice vlan state oui-enabled voice vlan oui-table add ecb1e0 ! dot1x system-auth-control ! no lldp med network-policy voice auto lldp med network-policy 1 voice vlan 101 vlan-type tagged up 4 ! loopback-detection enable loopback-detection interval 5 ! errdisable recovery cause loopback-detection ! ip dhcp snooping ip dhcp snooping vlan 100 ! ip arp inspection ip arp inspection vlan 100 ! hostname MES2300D-24P_2 ! radius-server host 10.250.0.200 key secret ! tacacs-server host 10.250.0.200 key secret ! logging host 10.250.0.100 logging cli-commands ! ip ssh server ! snmp-server server snmp-server community eltex_public ro 10.250.0.100 snmp-server community eltex_private rw 10.250.0.100 ! clock timezone UTC +7 clock source ntp ! ntp server 10.250.0.55 ! no ip telnet server ! interface GigabitEthernet1/0/4 dot1x host-mode single-host loopback-detection enable dot1x guest-vlan enable dot1x radius-attributes vlan static dot1x port-control auto description to_AP ip dhcp snooping limit clients 5 storm-control broadcast kbps 2048 trap storm-control unicast kbps 2048 trap storm-control multicast kbps 2048 trap spanning-tree disable spanning-tree bpdu filtering switchport mode general switchport general allowed vlan add 110 untagged switchport general pvid 110 exit ! interface GigabitEthernet1/0/14 dot1x host-mode multi-sessions loopback-detection enable dot1x guest-vlan enable dot1x reauthentication dot1x timeout reauth-period 300 dot1x authentication 802.1x mac dot1x radius-attributes vlan static dot1x port-control auto description to_VP30P+PC ip dhcp snooping limit clients 5 storm-control broadcast kbps 2048 trap storm-control unicast kbps 2048 trap storm-control multicast kbps 2048 trap spanning-tree disable spanning-tree bpdu filtering switchport mode general switchport general allowed vlan add 100 untagged switchport general pvid 100 switchport protected-port lldp med network-policy add 1 voice vlan enable exit ! interface TenGigabitEthernet1/0/1 description to_MES5332A_Stack channel-group 1 mode auto exit ! interface TenGigabitEthernet1/0/2 description to_MES5332A_Stack channel-group 1 mode auto exit ! interface Port-Channel1 description to_MES5332A_Stack ip arp inspection trust ip dhcp snooping trust switchport mode general switchport general allowed vlan add 100-101,110,115,250 tagged switchport forbidden default-vlan exit ! interface vlan 100 name PC ip address 10.100.0.31 255.255.255.0 exit ! interface vlan 101 name VoIP ip address 10.101.0.31 255.255.255.0 exit ! interface vlan 110 name WiFi_AP_man ip address 10.110.0.31 255.255.255.0 exit ! interface vlan 115 name WiFi_AP_users ip address 10.115.0.31 255.255.255.0 exit ! interface vlan 150 name Guest dot1x guest-vlan exit ! interface vlan 250 name ECCM+Naice ip address 10.250.0.31 255.255.255.0 exit ! ! end |
cluster cluster-interface bridge 1 unit 1 mac-address 90:54:b7:3a:39:d0 exit unit 2 mac-address 68:13:e2:e1:f6:fe exit enable exit hostname wlc-1 unit 1 hostname wlc-2 unit 2 object-group service ssh port-range 22 exit object-group service dhcp_server port-range 67 exit object-group service dhcp_client port-range 68 exit object-group service ntp port-range 123 exit object-group service netconf port-range 830 exit object-group service radius_auth port-range 1812 exit object-group service sa port-range 8043-8044 exit object-group service dns port-range 53 exit object-group service airtune port-range 8099 exit object-group service web port-range 443 exit syslog max-files 3 syslog file-size 512 syslog file tmpsys:syslog/default severity info exit logging wlc-events logging wlc-journal syslog host eccm remote-address 192.168.71.8 severity debug exit radius-server local nas ap key ascii-text secretap network 10.110.0.0/24 exit nas local key ascii-text secretap network 127.0.0.1/32 exit domain default user name1 password ascii-text secretap exit exit virtual-server default mode proxy upstream-pool default enable exit upstream-server eltex host 10.250.0.200 server-type all key ascii-text secretap exit upstream-pool default server-type all upstream-server eltex exit enable exit radius-server host 127.0.0.1 key ascii-text secretap exit aaa radius-profile default_radius radius-server host 127.0.0.1 exit vlan 110 name "AP_man" exit vlan 115 name "AP_users" force-up exit vlan 250 name "Management" exit security zone sync exit security zone trusted exit security zone untrusted exit security zone users exit bridge 1 vlan 1 security-zone sync ip address 192.51.100.254/24 unit 1 ip address 192.51.100.253/24 unit 2 vrrp id 1 vrrp ip 192.51.100.1/24 vrrp group 1 vrrp enable exit bridge 10 vlan 110 ip firewall disable ip address 10.110.0.1/24 no spanning-tree enable exit bridge 15 vlan 115 mtu 1458 security-zone users ip firewall disable ip address 10.115.0.1/24 no spanning-tree enable exit bridge 25 vlan 250 security-zone trusted ip firewall disable ip address 10.250.0.200/24 unit 1 ip address 10.250.0.201/24 unit 2 no spanning-tree enable exit interface port-channel 1 mode switchport switchport mode trunk switchport trunk allowed vlan add 110,250 exit interface gigabitethernet 1/0/1 description vrrp mode switchport exit interface gigabitethernet 1/0/3 description to_MES2300-24_stack mode switchport channel-group 1 mode auto exit interface gigabitethernet 1/0/4 description to_MES2300-24_stack mode switchport channel-group 1 mode auto exit interface gigabitethernet 2/0/1 description vrrp mode switchport exit interface gigabitethernet 2/0/3 description to_MES2300-24_stack mode switchport channel-group 1 mode auto exit interface gigabitethernet 2/0/4 description to_MES2300-24_stack mode switchport channel-group 1 mode auto exit tunnel softgre 1 mode data local address 10.110.0.1 default-profile enable exit snmp-server snmp-server community public v2c ro snmp-server community private v2c rw snmp-server host 10.250.0.100 exit snmp-server enable traps snmp snmp-server enable traps snmp authentication snmp-server enable traps snmp coldstart snmp-server enable traps snmp linkdown snmp-server enable traps snmp linkup security zone-pair sync self rule 1 action permit match protocol vrrp enable exit exit security zone-pair trusted untrusted rule 10 action permit enable exit rule 20 action permit match protocol tcp match destination-port object-group airtune enable exit rule 30 action permit match protocol tcp match destination-port object-group web enable exit exit security zone-pair trusted trusted rule 10 action permit enable exit exit security zone-pair trusted self rule 10 action permit match protocol tcp match destination-port object-group ssh enable exit rule 20 action permit match protocol icmp exit rule 30 action permit match protocol udp match destination-port object-group ntp enable exit rule 40 action permit match protocol tcp match destination-port object-group dns enable exit rule 50 action permit match protocol udp match destination-port object-group dns enable exit rule 60 action permit match protocol udp match destination-port object-group radius_auth enable exit rule 70 action permit match protocol gre enable exit rule 80 action permit match protocol udp match source-address address-range 192.168.71.8 match destination-port port-range 161 enable exit rule 90 description "SSH traffic from ECCM" action permit match protocol tcp match source-address address-range 192.168.71.8 match destination-port port-range 22 enable exit exit security zone-pair users self rule 10 action permit match protocol icmp enable exit rule 20 action permit match protocol tcp match destination-port object-group dns enable exit rule 30 action permit match protocol udp match destination-port object-group dns enable exit exit security zone-pair untrusted self rule 10 action permit match protocol udp match source-port object-group dhcp_server match destination-port object-group dhcp_client enable exit exit security zone-pair users untrusted rule 10 action permit enable exit exit softgre-controller nas-ip-address 127.0.0.1 data-tunnel configuration wlc aaa radius-profile default_radius keepalive-disable service-vlan add 115 enable exit wlc outside-address 10.110.0.1 service-activator aps join auto exit airtune enable exit ap-location default-location mode tunnel ap-profile default_airtune airtune-profile big_office ssid-profile default-ssid exit airtune-profile default_airtune load-balance exit airtune-profile big_ofice eltex-rrm-scan disable optimization time 02:00 optimization mode time hd-mode 802.11v disable exit airtune-profile big_office load-balance exit ssid-profile default-ssid description "default-ssid" ssid "default-ssid" radius-profile default-radius vlan-id 115 security-mode WPA2_1X band 2g band 5g enable exit ap-profile default_airtune password ascii-text secretap exit radius-profile SSID-radius auth-address 10.110.0.1 auth-password ascii-text secretap auth-acct-id-send acct-enable acct-address 10.110.0.1 acct-password ascii-text secretap exit radius-profile default-radius auth-address secretap auth-password ascii-text secretap exit radius-profile external-radius auth-address 10.110.0.1 auth-password ascii-text secretap acct-enable acct-address 10.110.0.1 acct-password ascii-text secretap exit ip-pool default-ip-pool ap-location default-location exit enable exit ip ssh server clock timezone gmt +7 ntp enable ntp server 10.250.0.55 prefer minpoll 4 exit ip https server |
Полезные ссылки
Документы и версии ПО для устройств производства компании Eltex
Схемы использования DHCP-сервера для контроллера WLC
Управление контроллером WLC посредством WEB-интерфейса
Мониторинг и конфигурирования WLC в кластере
Настройка отказоустойчивой системы ECCM
Установка NAC системы NAICE с резервированием (с использованием VRRP)
Установка NAC системы NAICE с резервированием (без использования VRRP)
Настройка выдачи динамического VLAN клиенту (cVLAN) в NAC системе NAICE
Настройка выдачи nACL в NAC системе NAICE
Настройка выдачи динамического ACL клиенту (dACL) в NAC системе NAICE
Настройка Captive Portal на контроллере WLC и в NAC системе NAICE
Настройка 802.1x авторизации в связке WLC+AP в NAC системе NAICE