Введение
Выделение и настройка vlan при подключении новых ТД может оказаться трудоемкой задачей. Так же не всегда возможно обеспечить L2 канал от ТД до ESR. В этом случае необходимо использовать схему подключения ТД через L3 сеть оператора. Архитектура решения предполагает, что в сети доступа оператора обеспечивается L3 связность между ESR, SoftWLC и первичным адресом ТД. В этом случае ТД строит L2 GRE (EoGRE) туннели, что избавляет от необходимости прокладывать vlan через сеть доступа оператора от ТД к ESR - достаточно терминировать vlan ТД на любом маршрутизатор или L3 коммутаторе, поддерживающем DHCP-relay, что бы выдать ТД первичный адрес, в котором в опции 43 будут содержаться адреса ESR для постройки GRE туннелей. Со стороны ESR настраивается функционал автоматического поднятия встречных туннелей, называемый wireless-controller. Данная схема включения называется WiFi L3.
Существует два режима создания туннелей:
- Создание с использованием локального профиля настроек ESR - данный режим называется "Локальный профиль конфигурирования туннелей SoftGRE".
- Создание дата-туннелей с использованием радиус-обмена с PCRF, который получает информацию о том какие дата-туннели нужно поднять в соответствии с положением ТД в дереве EMS и настройками её SSID - данный режим называется "Динамический профиль конфигурирования туннелей SoftGRE".
Внимание! Для доступа к функционалу wireless-controller ESR требуется наличие лицензии WiFi. Проверить её наличие можно командой show licence: esr-1000# show licence
Licence information
-------------------
Name: eltex
Version: 1.0
Type: ESR-1000
S/N: NP00000033
MAC: A8:F9:4B:AB:B3:80
Features:
WIFI - Wi-Fi controller |
|
Подробно о режимах создания туннелей можно прочитать в Режимы создания GRE туннелей для ТД в Wireless-Controller.
Далее будет использоваться следующая терминология для обозначение функционала, связанного с использованием GRE туннелирования: - EoGRE - общее название L2 GRE туннелирования
- GRE - туннели, которые поднимает ТД
- SoftGRE - туннели, которые поднимает ESR
|
Схема включения
Рассмотрим схему включения на примере сети, использующей следующую адресацию:
vlan | Подсеть | Назначение | Адрес ESR | Адрес SoftWLC | Адрес роутера, R1 |
---|
100 | 192.168.100.0/23 | Подсеть первичных адресов ТД | -- | -- | 192.168.0.1 |
200 | 10.0.0.0/28 | Подсеть адресов терминации GRE | 10.0.0.1 10.0.0.2 | -- | 10.0.0.3 |
3 | 10.10.10.0/23 | подсеть управления ТД (вторичных адресов) | 10.10.10.1 | -- | -- |
10 | 100.64.0.0/22 | подсеть клиентов SSID ТД | 100.64.0.1 | -- | -- |
1200 | 10.20.20.0/28 | подсеть для взаимодействия с комплексом SoftWLC | 10.20.20.1 | 10.20.20.2 | -- |
3500 | 172.16.0.0/28 | подсеть для выхода в сеть Интернет | 172.16.0.2 | -- | -- |
Таблица 1.
Схема сети приведена ниже, на рис. 1:
Рис.1 Схема организации связи через L3 сеть доступа оператора.
Ниже, на рис. 2, приведена схема архитектуры конфигурации ESR:
Рис. 2. Архитектура конфигурации ESR, при подключении ТД через L3 сеть доступа оператора.
Описание сети
- Выход в сеть Интернет осуществляется в vlan 3500, используя для маршрута по умолчанию шлюз 172.16.0.1 (router-NAT). Выпуск пользователей осуществляется путем маршрутизации на маршрутизатор router-NAT, который выполняет NAT трансляцию адресов пользователей в сеть Интернет.
- Сеть управления ESR находится в vlan 1200, подсеть 10.20.20.0/28, которая так же используется для взаимодействия с комплексом SoftWLC.
- ТД получают первичный IP адрес из сети 192.168.100.0/23 через DHCP-relay коммутатора/маршрутизатора с DHCP-сервера установленного на сервере с SoftWLC. В опции 43 подопции 11 и 12, передаются 2 адреса для поднятия GRE туннелей: 10.0.0.1 и 10.0.0.2 (см. описание опций v1.16_Как сконфигурировать 43 опцию и другие особенности настройки). В этом случае весь трафик от ТД будет нетегированным. ТД поднимают 2 EoGRE туннеля с первичного адреса, полученного по DHCP на адреса полученные в 11 и 12 подопциях:
- в Management GRE туннеле на адрес 10.0.0.1 с vlan id = 1, передается трафик управления ТД.
- в Data GRE туннеле на адрес 10.0.0.2 с vlan id = N, идет передача трафика пользователей, подключенных ТД, на которой настроена SSID (в приведенном примере vlanы 10 и 11). - Через Management GRE туннель (vlan id 1) от АР приходят DHCP запросы, которые при помощи DHCP-relay на ESR, перенаправляются на SoftWLC. DHCP сервер, настроенный на SoftWLC, выдает для ТД IP адрес из сети 10.10.10.0/23, шлюзом будет выступать bridge 3 ESR с адресом 10.10.10.1. В опции 43.10 передается адрес SoftWLC сервера: 10.20.20.2, (см. описание опций v1.16_Как сконфигурировать 43 опцию и другие особенности настройки). По этому же адресу будет производить обмен служебной информацией между ТД и SoftWLC.
- На ТД настраивается SSID 1 и SSID 2, указывается vlan id 10 и 11. Весь трафик пользователей будет передаваться c vlan 10 и 11 внутри Data GRE туннеля на ESR. DHCP запросы клиента, при помощи DHCP-relay ESR будет перенаправляться на SoftWLC. Пользователи получают адреса из сети bridge 10 ESR 100.64.0.0/22, адрес шлюза 100.64.0.1.
Получение первичного адреса ТД и отправка трафика выполняется без тэга vlan. Поэтому для направления этого трафика в нужный vlan необходимо назначить ему нужный тэг на порту коммутатора, к которому подключена ТД. Ниже приведен пример настройки для коммутаторов типа MES: interface gigabitethernet1/0/1
description AP_1
switchport mode accesss
switchport access vlan 100
! |
|
Внимание! ТД Eltex после получения первичного адреса с 43 опцией 11, 12 под опциями, сформирует два GRE туннеля для управления и пользовательского трафика и станет недоступна для управления (по telnet, ssh, web-gui) по первичному адресу ТД. Управление станет доступным по вторичному адресу (адресу управления), полученному через GRE туннель управления. |
MTU передаваемых внутри EoGRE пакетов
Инкапсуляция пакетов в туннели EoGRE вызывает снижение MTU для передаваемого трафика на 42 байта. Что означает, что MTU для трафика управления и пользователей ТД (в условиях стандартного MTU L3 1500 байт на транспортной сети) составит 1458 байт. Данное значение будет установлено автоматически при автоматическом поднятии туннелей со стороны ESR.
Так же, для снижения количества пакетов ICMP типа "fragmentation needed" и предотвращения сброса TCP сессий клиентов, необходимо на всех интерфейсах, которые выполняют передачу трафика управления и пользователей ТД, выполнить настройку подмены TCP MSS в соответствии с полученным MTU - ip tcp adjust-mss 1418.
Приведенные выше расчеты соответствуют MTU L3 транспортной сети, через которую передаются GRE пакеты, 1500 байт. В случае необходимости увеличения MTU для пакетов пользователей ТД до стандартного значения 1500 байт, инкапсулируемых в EoGRE, необходимо увеличить MTU L3 на транспортной сети и ESR до 1542 байт.
Конфигурация ESR
Выполним загрузку лицензии для возможности использования функционала Wireless-Controller:
#Загрузим файл с лицензией с TFTP сервера
esr-1000# copy tftp://<IP адрес tftp-сервера>:/<серийный номер ESR>.lic system:licence
|******************************************| 100% (678B) Licence loaded successfully. Please reboot system to apply changes.
#После успешной загрузки выполним перезагрузку ESR
esr-1000#reload system
Do you really want to reload system ? (y/N): y |
|
По вопросам приобретения лицензии необходимо обратиться в коммерческий отдел компании Элтекс. Необходимо сообщить модель и серийный номер ESR. |
В общем настройка маршрутизатора предполагает следующую последовательность действий:
- Разработка плана адресации, выделение подсетей и адресов (пример приведен выше в таблице 1).
- Настройка первоначальной конфигурации ESR, которая выполняется через консольное подключение. В ходе данной настройки удаляется заводская конфигурация ESR, настраивается ip адрес управления и включается доступ по telnet/SSH, настраивается файрвол для возможности выполнения данных подключений (либо отключается на интерфейсе управления командой ip firewall disable).
- Подключения ESR к сети и настройка сопрягаемого оборудования.
- Настройка интерфейсов.
- Настройка параметров взаимодействия с радиус-сервером.
- Настройка и включение функционала Wireless-Controller., на который настроен
- Настройка правил файрвола.
- Настройка дополнительного функционала - SNMP сервера, NTP клиента.
Перед выполнением настроек маршрутизатора требуется выполнить сброс конфигурации на дефолтную (подробнее Руководство по установке и быстрому запуску). Пример команд соответствует версии ПО ESR 1.11.0. В приводимом примере конфигурации будет использоваться динамический профиль конфигурирования туннелей SoftGRE.
Включаем управление по протоколам telnet, SSH:
ip telnet server
ip ssh server |
Создаем профили объектов tcp/udp портов, подсетей:
object-group service dhcp_server
port-range 67
exit
object-group service dhcp_client
port-range 68
exit
object-group network MGMT
ip prefix 10.10.10.0/23
ip prefix 10.20.20.0/28
exit |
На маршрутизаторах типа ESR 100/200/1000 отключаем spanning-tree, т. к. маршрутизатор будет подключаться через один порт:
Создаем зоны безопасности:
security zone trusted
exit
security zone untrusted
exit
security zone gre
exit
security zone user
exit |
Настраиваем параметры SNMP, что бы можно было контролировать состояние маршрутизатора со стороны SoftWLC:
snmp-server
snmp-server system-shutdown
snmp-server community "public11" ro
snmp-server community "private1" rw
snmp-server host 10.20.20.2
exit
snmp-server enable traps
snmp-server enable traps config
snmp-server enable traps config commit
snmp-server enable traps config confirm
snmp-server enable traps environment
snmp-server enable traps environment pwrin
snmp-server enable traps environment pwrin-insert
snmp-server enable traps environment fan
snmp-server enable traps environment fan-speed-changed
snmp-server enable traps environment fan-speed-high
snmp-server enable traps environment memory-flash-critical-low
snmp-server enable traps environment memory-flash-low
snmp-server enable traps environment memory-ram-critical-low
snmp-server enable traps environment memory-ram-low
snmp-server enable traps environment cpu-load
snmp-server enable traps environment cpu-critical-temp
snmp-server enable traps environment cpu-overheat-temp
snmp-server enable traps environment cpu-supercooling-temp
snmp-server enable traps environment board-overheat-temp
snmp-server enable traps environment board-supercooling-temp
snmp-server enable traps environment sfp-overheat-temp
snmp-server enable traps environment sfp-supercooling-temp
snmp-server enable traps environment switch-overheat-temp
snmp-server enable traps environment switch-supercooling-temp
snmp-server enable traps wifi
snmp-server enable traps wifi wifi-tunnels-number-in-bridge-high
snmp-server enable traps file-operations
snmp-server enable traps file-operations successful
snmp-server enable traps file-operations failed
snmp-server enable traps file-operations canceled
snmp-server enable traps interfaces
snmp-server enable traps interfaces rx-utilization-high
snmp-server enable traps interfaces tx-utilization-high
snmp-server enable traps interfaces number-high
snmp-server enable traps screen
snmp-server enable traps screen dest-limit
snmp-server enable traps screen source-limit
snmp-server enable traps screen icmp-threshold
snmp-server enable traps screen udp-threshold
snmp-server enable traps screen syn-flood
snmp-server enable traps screen land
snmp-server enable traps screen winnuke
snmp-server enable traps screen icmp-frag
snmp-server enable traps screen udp-frag
snmp-server enable traps screen icmp-large
snmp-server enable traps screen syn-frag
snmp-server enable traps screen unknown-proto
snmp-server enable traps screen ip-frag
snmp-server enable traps screen port-scan
snmp-server enable traps screen ip-sweep
snmp-server enable traps screen syn-fin
snmp-server enable traps screen fin-no-ack
snmp-server enable traps screen no-flag
snmp-server enable traps screen spoofing
snmp-server enable traps screen reserved
snmp-server enable traps screen quench
snmp-server enable traps screen echo-request
snmp-server enable traps screen time-exceeded
snmp-server enable traps screen unreachable
snmp-server enable traps screen tcp-all-flags
snmp-server enable traps entity
snmp-server enable traps entity config-change
snmp-server enable traps entity-sensor
snmp-server enable traps entity-sensor threshold
snmp-server enable traps envmon
snmp-server enable traps envmon fan
snmp-server enable traps envmon shutdown
snmp-server enable traps envmon supply
snmp-server enable traps envmon temperature
snmp-server enable traps flash
snmp-server enable traps flash insertion
snmp-server enable traps flash removal
snmp-server enable traps snmp
snmp-server enable traps snmp authentication
snmp-server enable traps snmp coldstart
snmp-server enable traps snmp linkdown
snmp-server enable traps snmp linkup
snmp-server enable traps syslog
|
|
Создаем интерфейсы для взаимодействия с подсетями управления и пользователей SSID ТД, комплекса SoftWLC, Интернет, первичных адресов ТД:
bridge 3
description "AP_MANAGMENT"
security-zone trusted
ip address 10.10.10.1/23
ip helper-address 10.20.20.2
ip tcp adjust-mss 1418
protected-ports local
enable
exit
bridge 10
description "AP_SSID_USERS"
security-zone user
ip address 100.64.0.1/22
ip helper-address 10.20.20.2
ip tcp adjust-mss 1418
location data10
protected-ports local
enable
exit
interface gigabitethernet 1/0/1.200
description "GRE_AP"
security-zone gre
ip address 10.0.0.1/28
ip address 10.0.0.2/28
exit
interface gigabitethernet 1/0/1.1200
description "MANAGMENT"
security-zone trusted
ip address 10.20.20.1/28
ip tcp adjust-mss 1418
exit
interface gigabitethernet 1/0/1.3500
description "INTERNET"
security-zone untrusted
ip address 172.16.0.2/28
ip tcp adjust-mss 1418
exit |
Включаем глобально пересылку DHCP запросов:
Добавляем шлюз по умолчанию:
ip route 0.0.0.0/0 172.16.0.1 |
Добавляем маршрут к подсети первичных адресов ТД:
ip route 192.168.100.0/23 10.0.0.3 |
Настраиваем взаимодействие с радиус-сервером (PCRF):
Если используется резервирование SoftWLC и сервис Eltex-PCRF работает кластере - необходимо в конфигурации ESR настроить взаимодействие для каждого сервиса по его реальному адресу и указать оба инстанса в настройке aaa radius-profile! Использовать VRRP адрес для взаимодействие нельзя! radius-server host 10.20.20.2
key ascii-text testing123
timeout 11
source-address 10.20.20.1
auth-port 31812
acct-port 31813
retransmit 2
dead-interval 10
exit
radius-server host 10.20.20.3
key ascii-text testing123
timeout 11
source-address 10.20.20.1
auth-port 31812
acct-port 31813
retransmit 2
dead-interval 10
exit
aaa radius-profile PCRF
radius-server host 10.20.20.2
radius-server host 10.20.20.3
exit |
|
radius-server timeout 10
radius-server host 10.20.20.2
key ascii-text testing123
timeout 11
source-address 10.20.20.1
auth-port 31812
acct-port 31813
retransmit 2
dead-interval 10
exit
aaa radius-profile PCRF
radius-server host 10.20.20.2
exit
das-server COA
key ascii-text testing123
port 3799
clients object-group MGMT
exit
aaa das-profile COA
das-server COA
exit
|
Настраиваем профили для поднятия туннелей:
tunnel softgre 1
description "managment"
mode management
local address 10.0.0.1
default-profile
enable
exit
tunnel softgre 1.1
bridge-group 3
enable
exit
tunnel softgre 2
description "data"
mode data
local address 10.0.0.2
default-profile
enable
exit |
Настраиваем и включаем функционал "Wireless-Controller":
wireless-controller
nas-ip-address 10.20.20.1
data-tunnel configuration radius
aaa das-profile COA
aaa radius-profile PCRF
enable
exit |
Настраиваем правила файрвола:
#Разрешаем принимать все GRE пакеты и ICMP запросы из зоны gre:
security zone-pair gre self
rule 1
action permit
match protocol gre
enable
exit
rule 2
action permit
match protocol icmp
enable
exit
exit
#Разрешаем разрешаем маршрутизатору принимать все пакеты из подсетей MGMT:
security zone-pair trusted self
rule 1
action permit
match source-address MGMT
enable
exit
exit
#Разрешаем обмен трафиком между зонами trusted в рамках используемых подсетей:
security zone-pair trusted trusted
rule 1
action permit
match source-address MGMT
enable
exit
exit
#Разрешаем прохождение любого трафика из зоны trusted к пользователям ТД:
security zone-pair trusted user
rule 1
action permit
enable
exit
exit
#Разрешаем прохождение лбого трафика из зоны trusted в зону gre:
security zone-pair trusted gre
rule 1
action permit
enable
exit
exit
#Разрешаем маршрутизатору принимать от пользователей ТД DHCP, что бы они могли получить адреса:
security zone-pair user self
rule 1
action permit
match protocol udp
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
exit
#Разрешаем пользователям продлять адрес, полученный по DHCP:
security zone-pair user trusted
rule 1
action permit
match protocol udp
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
exit
#Разрешаем весь трафик от пользователей в сеть Интернет:
security zone-pair user untrusted
rule 1
action permit
enable
exit
exit
|
Добавление ESR в дерево EMS
Открываем EMS, встаем на узел, в который планируем добавить ESR и нажимаем кнопку "+", расположенную вверху слева от дерева узлов:
Рис. 3.
В открывшемся окне, в поле:
- "Имя объекта" - указываем произвольное название ESR "esr-gre".
- "Тип" - выбираем тип оборудования, соответствующий используемому типу ESR "ESR1000".
- "IP адрес" - указываем адрес управления ESR "10.20.20.1".
Нажимаем кнопку "Добавить".
После этого необходимо встать на добавленный ESR (если он не появился в дереве - надо нажать вверху кнопку "" ) и открыть справа вкладку "Доступ":
Рис. 4.
В открывшемся окне редактируем поля:
- "Файловый протокол" - выбираем "FTP".
- "Read community" - указываем имя SNMP RO community, настроенное ранее "public11".
- "Write community" - указываем имя SNMP RW community, настроенное ранее "private1".
При добавлении ESR-100/200 значение поля "Режим ESR" будет "StationCE". В этом случае необходимо изменить значение поля на "Station", в противном случае такой ESR не будет использоваться для построения дата-туннелей для ТД. |
Изменить пароль radius, который будет использоваться при взаимодействии с ESR. Для этого в меню EMS открываем "RADIUS" → "Управление точками доступа". Выбираем добавленный ранее ESR (при большом количестве устройств можно выполнить фильтрацию по IP адресу ESR) и нажимаем кнопку "Редактировать":
Рис. 5.
В открывшемся окне меняем, в поле "Ключ" задаем ранее настроенный на ESR ключ "testing123" и нажимаем "Принять".
В случае, если ключ отличается от testing123, необходимо поменять значение ключ в ЛК→Настройки PCRF→BRAS VRF |
Приложения
Полная конфигурация ESR для схемы с динамическим профилем конфигурирования туннелей SoftGRE
#!/usr/bin/clish
#18
object-group service dhcp_server
port-range 67
exit
object-group service dhcp_client
port-range 68
exit
object-group network MGMT
ip prefix 10.10.10.0/23
ip prefix 10.20.20.0/28
exit
radius-server timeout 10
radius-server host 10.20.20.2
key ascii-text encrypted 88B11079B9014FAAF7B9
timeout 11
source-address 10.20.20.1
auth-port 31812
acct-port 31813
retransmit 2
dead-interval 10
exit
aaa radius-profile PCRF
radius-server host 10.20.20.2
exit
das-server COA
key ascii-text encrypted 88B11079B9014FAAF7B9
port 3799
clients object-group MGMT
exit
aaa das-profile COA
das-server COA
exit
no spanning-tree
security zone trusted
exit
security zone untrusted
exit
security zone gre
exit
security zone user
exit
snmp-server
snmp-server system-shutdown
snmp-server community "public11" ro
snmp-server community "private1" rw
snmp-server host 10.20.20.2
exit
snmp-server enable traps
snmp-server enable traps config
snmp-server enable traps config commit
snmp-server enable traps config confirm
snmp-server enable traps environment
snmp-server enable traps environment pwrin
snmp-server enable traps environment pwrin-insert
snmp-server enable traps environment fan
snmp-server enable traps environment fan-speed-changed
snmp-server enable traps environment fan-speed-high
snmp-server enable traps environment memory-flash-critical-low
snmp-server enable traps environment memory-flash-low
snmp-server enable traps environment memory-ram-critical-low
snmp-server enable traps environment memory-ram-low
snmp-server enable traps environment cpu-load
snmp-server enable traps environment cpu-critical-temp
snmp-server enable traps environment cpu-overheat-temp
snmp-server enable traps environment cpu-supercooling-temp
snmp-server enable traps environment board-overheat-temp
snmp-server enable traps environment board-supercooling-temp
snmp-server enable traps environment sfp-overheat-temp
snmp-server enable traps environment sfp-supercooling-temp
snmp-server enable traps environment switch-overheat-temp
snmp-server enable traps environment switch-supercooling-temp
snmp-server enable traps ports
snmp-server enable traps ports port-counters-errors
snmp-server enable traps wifi
snmp-server enable traps wifi wifi-tunnels-number-in-bridge-high
snmp-server enable traps file-operations
snmp-server enable traps file-operations successful
snmp-server enable traps file-operations failed
snmp-server enable traps file-operations canceled
snmp-server enable traps interfaces
snmp-server enable traps interfaces rx-utilization-high
snmp-server enable traps interfaces tx-utilization-high
snmp-server enable traps interfaces number-high
snmp-server enable traps bras
snmp-server enable traps bras sessions-number-high
snmp-server enable traps screen
snmp-server enable traps screen dest-limit
snmp-server enable traps screen source-limit
snmp-server enable traps screen icmp-threshold
snmp-server enable traps screen udp-threshold
snmp-server enable traps screen syn-flood
snmp-server enable traps screen land
snmp-server enable traps screen winnuke
snmp-server enable traps screen icmp-frag
snmp-server enable traps screen udp-frag
snmp-server enable traps screen icmp-large
snmp-server enable traps screen syn-frag
snmp-server enable traps screen unknown-proto
snmp-server enable traps screen ip-frag
snmp-server enable traps screen port-scan
snmp-server enable traps screen ip-sweep
snmp-server enable traps screen syn-fin
snmp-server enable traps screen fin-no-ack
snmp-server enable traps screen no-flag
snmp-server enable traps screen spoofing
snmp-server enable traps screen reserved
snmp-server enable traps screen quench
snmp-server enable traps screen echo-request
snmp-server enable traps screen time-exceeded
snmp-server enable traps screen unreachable
snmp-server enable traps screen tcp-all-flags
snmp-server enable traps entity
snmp-server enable traps entity config-change
snmp-server enable traps entity-sensor
snmp-server enable traps entity-sensor threshold
snmp-server enable traps envmon
snmp-server enable traps envmon fan
snmp-server enable traps envmon shutdown
snmp-server enable traps envmon supply
snmp-server enable traps envmon temperature
snmp-server enable traps flash
snmp-server enable traps flash insertion
snmp-server enable traps flash removal
snmp-server enable traps snmp
snmp-server enable traps snmp authentication
snmp-server enable traps snmp coldstart
snmp-server enable traps snmp linkdown
snmp-server enable traps snmp linkup
snmp-server enable traps syslog
bridge 3
description "AP_MANAGMENT"
security-zone trusted
ip address 10.10.10.1/23
ip helper-address 10.20.20.2
ip tcp adjust-mss 1418
protected-ports local
enable
exit
bridge 10
description "AP_SSID_USERS"
security-zone user
ip address 100.64.0.1/22
ip helper-address 10.20.20.2
ip tcp adjust-mss 1418
location data10
protected-ports local
enable
exit
interface gigabitethernet 1/0/1.200
description "GRE_AP"
security-zone gre
ip address 10.0.0.1/28
ip address 10.0.0.2/28
exit
interface gigabitethernet 1/0/1.1200
description "MANAGMENT"
security-zone trusted
ip address 10.20.20.1/28
ip tcp adjust-mss 1418
exit
interface gigabitethernet 1/0/1.3500
description "INTERNET"
security-zone untrusted
ip address 172.16.0.2/28
ip tcp adjust-mss 1418
exit
tunnel softgre 1
description "managment"
mode management
local address 10.0.0.1
default-profile
enable
exit
tunnel softgre 1.1
bridge-group 3
enable
exit
tunnel softgre 2
description "data"
mode data
local address 10.0.0.2
default-profile
enable
exit
security zone-pair gre self
rule 1
action permit
match protocol gre
enable
exit
rule 2
action permit
match protocol icmp
enable
exit
exit
security zone-pair trusted self
rule 1
action permit
match source-address MGMT
enable
exit
exit
security zone-pair trusted trusted
rule 1
action permit
match source-address MGMT
enable
exit
exit
security zone-pair trusted user
rule 1
action permit
enable
exit
exit
security zone-pair trusted gre
rule 1
action permit
enable
exit
exit
security zone-pair user self
rule 1
action permit
match protocol udp
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
exit
security zone-pair user trusted
rule 1
action permit
match protocol udp
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
exit
security zone-pair user untrusted
rule 1
action permit
enable
exit
exit
ip dhcp-relay
ip route 0.0.0.0/0 172.16.0.1
ip route 192.168.100.0/23 10.0.0.3
wireless-controller
nas-ip-address 10.20.20.1
data-tunnel configuration radius
aaa das-profile COA
aaa radius-profile PCRF
enable
exit
ip telnet server
ip ssh server
|
|
Полная конфигурация ESR для схемы с локальным профилем конфигурирования туннелей SoftGRE
Главным отличием от приведенной выше конфигурации является отсутствие настроек для взаимодействия с radius-сервером и связанного с этим функционала в настройках Wireless-Controller. Добавлены локальные профили для SoftGRE дата-туннелей с vlanами 10 и 11, которые будут включены в Bridge 10.
#!/usr/bin/clish
#18
object-group service dhcp_server
port-range 67
exit
object-group service dhcp_client
port-range 68
exit
object-group network MGMT
ip prefix 10.10.10.0/23
ip prefix 10.20.20.0/28
exit
no spanning-tree
security zone trusted
exit
security zone untrusted
exit
security zone gre
exit
security zone user
exit
snmp-server
snmp-server system-shutdown
snmp-server community "public11" ro
snmp-server community "private1" rw
snmp-server host 10.20.20.2
exit
snmp-server enable traps
snmp-server enable traps config
snmp-server enable traps config commit
snmp-server enable traps config confirm
snmp-server enable traps environment
snmp-server enable traps environment pwrin
snmp-server enable traps environment pwrin-insert
snmp-server enable traps environment fan
snmp-server enable traps environment fan-speed-changed
snmp-server enable traps environment fan-speed-high
snmp-server enable traps environment memory-flash-critical-low
snmp-server enable traps environment memory-flash-low
snmp-server enable traps environment memory-ram-critical-low
snmp-server enable traps environment memory-ram-low
snmp-server enable traps environment cpu-load
snmp-server enable traps environment cpu-critical-temp
snmp-server enable traps environment cpu-overheat-temp
snmp-server enable traps environment cpu-supercooling-temp
snmp-server enable traps environment board-overheat-temp
snmp-server enable traps environment board-supercooling-temp
snmp-server enable traps environment sfp-overheat-temp
snmp-server enable traps environment sfp-supercooling-temp
snmp-server enable traps environment switch-overheat-temp
snmp-server enable traps environment switch-supercooling-temp
snmp-server enable traps ports
snmp-server enable traps ports port-counters-errors
snmp-server enable traps wifi
snmp-server enable traps wifi wifi-tunnels-number-in-bridge-high
snmp-server enable traps file-operations
snmp-server enable traps file-operations successful
snmp-server enable traps file-operations failed
snmp-server enable traps file-operations canceled
snmp-server enable traps interfaces
snmp-server enable traps interfaces rx-utilization-high
snmp-server enable traps interfaces tx-utilization-high
snmp-server enable traps interfaces number-high
snmp-server enable traps bras
snmp-server enable traps bras sessions-number-high
snmp-server enable traps screen
snmp-server enable traps screen dest-limit
snmp-server enable traps screen source-limit
snmp-server enable traps screen icmp-threshold
snmp-server enable traps screen udp-threshold
snmp-server enable traps screen syn-flood
snmp-server enable traps screen land
snmp-server enable traps screen winnuke
snmp-server enable traps screen icmp-frag
snmp-server enable traps screen udp-frag
snmp-server enable traps screen icmp-large
snmp-server enable traps screen syn-frag
snmp-server enable traps screen unknown-proto
snmp-server enable traps screen ip-frag
snmp-server enable traps screen port-scan
snmp-server enable traps screen ip-sweep
snmp-server enable traps screen syn-fin
snmp-server enable traps screen fin-no-ack
snmp-server enable traps screen no-flag
snmp-server enable traps screen spoofing
snmp-server enable traps screen reserved
snmp-server enable traps screen quench
snmp-server enable traps screen echo-request
snmp-server enable traps screen time-exceeded
snmp-server enable traps screen unreachable
snmp-server enable traps screen tcp-all-flags
snmp-server enable traps entity
snmp-server enable traps entity config-change
snmp-server enable traps entity-sensor
snmp-server enable traps entity-sensor threshold
snmp-server enable traps envmon
snmp-server enable traps envmon fan
snmp-server enable traps envmon shutdown
snmp-server enable traps envmon supply
snmp-server enable traps envmon temperature
snmp-server enable traps flash
snmp-server enable traps flash insertion
snmp-server enable traps flash removal
snmp-server enable traps snmp
snmp-server enable traps snmp authentication
snmp-server enable traps snmp coldstart
snmp-server enable traps snmp linkdown
snmp-server enable traps snmp linkup
snmp-server enable traps syslog
bridge 3
description "AP_MANAGMENT"
security-zone trusted
ip address 10.10.10.1/23
ip helper-address 10.20.20.2
ip tcp adjust-mss 1418
protected-ports local
enable
exit
bridge 10
description "AP_SSID_USERS"
security-zone user
ip address 100.64.0.1/22
ip helper-address 10.20.20.2
ip tcp adjust-mss 1418
location data10
protected-ports local
enable
exit
interface gigabitethernet 1/0/1.200
description "GRE_AP"
security-zone gre
ip address 10.0.0.1/28
ip address 10.0.0.2/28
exit
interface gigabitethernet 1/0/1.1200
description "MANAGMENT"
security-zone trusted
ip address 10.20.20.1/28
ip tcp adjust-mss 1418
exit
interface gigabitethernet 1/0/1.3500
description "INTERNET"
security-zone untrusted
ip address 172.16.0.2/28
ip tcp adjust-mss 1418
exit
tunnel softgre 1
description "managment"
mode management
local address 10.0.0.1
default-profile
enable
exit
tunnel softgre 1.1
bridge-group 3
enable
exit
tunnel softgre 2
description "data"
mode data
local address 10.0.0.2
default-profile
enable
exit
tunnel softgre 2.10
bridge-group 10
enable
exit
tunnel softgre 2.11
bridge-group 10
enable
exit
security zone-pair gre self
rule 1
action permit
match protocol gre
enable
exit
rule 2
action permit
match protocol icmp
enable
exit
exit
security zone-pair trusted self
rule 1
action permit
match source-address MGMT
enable
exit
exit
security zone-pair trusted trusted
rule 1
action permit
match source-address MGMT
enable
exit
exit
security zone-pair trusted user
rule 1
action permit
enable
exit
exit
security zone-pair trusted gre
rule 1
action permit
enable
exit
exit
security zone-pair user self
rule 1
action permit
match protocol udp
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
exit
security zone-pair user trusted
rule 1
action permit
match protocol udp
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
exit
security zone-pair user untrusted
rule 1
action permit
enable
exit
exit
ip dhcp-relay
ip route 0.0.0.0/0 172.16.0.1
ip route 192.168.100.0/23 10.0.0.3
wireless-controller
enable
exit
ip telnet server
ip ssh server
|
|
Использование интерфейса типа Bridge
Для терминации GRE туннелей, приходящих от ТД можно использовать только интерфейс типа "Bridge", т.к. термининируемые саб-туннели EoGRE обеспечивают L2 связность и могут быть включены только в данный тип интерфейсов.
Допускается включение в один интерфейс типа "Bridge" SoftGRE туннелей с разным значением vlan-ID.
Для интерфейсов типа "Bridge", терминирующих SoftGRE туннели от ТД всегда рекомендуется включать изоляцию портов для предотвращения обмена трафиком между интерфейсами SoftGRE. Включение выполняется командой "protected-ports local".
Если в настройках интерфейса типа "Bridge" используется vlan, то для возможности обмена трафиком между ним туннелями SoftGR надо исключить vlan из изоляции командой "protected-ports exclude vlan".
bridge 10
vlan 10
protected-ports local
protected-ports exclude vlan
enable
exit
|
|
Пример вывода информации о состоянии SoftGRE туннелей на ESR
Просмотр информации о существующих SoftGRE туннелях:
esr1000# show tunnels status
Tunnel Admin Link MTU Local IP Remote IP Last change
state state
---------------- ----- ----- ------ ---------------- ---------------- -------------------------
softgre 1 Up Up 1462 10.0.0.1 192.168.100.15 4 days, 21 minutes and 32
seconds
softgre 1.1 Up Up 1458 -- -- 4 days, 21 minutes and 32
seconds
softgre 2 Up Up 1462 10.0.0.2 192.168.100.15 4 days, 21 minutes and 32
seconds
softgre 2.10 Up Up 1458 -- -- 4 days, 21 minutes and 32
seconds
softgre 2.11 Up Up 1458 -- -- 4 days, 21 minutes and 32
seconds
softgre 3 Up Up 1462 10.0.0.1 192.168.100.12 4 days, 21 minutes and 14
seconds
softgre 3.1 Up Up 1458 -- -- 4 days, 21 minutes and 14
seconds
softgre 4 Up Up 1462 10.0.0.2 192.168.100.12 4 days, 21 minutes and 14
seconds
softgre 4.10 Up Up 1458 -- -- 4 days, 21 minutes and 14
seconds
softgre 4.11 Up Up 1458 -- -- 4 days, 21 minutes and 14
seconds |
|
Просмотр информации об интерфейсах типа "Bridge" и включенных в них SoftGRE туннелях:
esr1000# show interfaces bridge
Bridges Interfaces
---------- --------------------------------------------------------------
bridge 3 softgre 1.1, softgre 3.1
bridge 10 softgre 2.10, softgre 2.11, softgre 4.10, softgre 4.11
|
|
Конфигурация DHCP сервера
Ниже приведен пример конфигурации DHCP сервера, на основе приведенной выше адресации. В качестве DHCP сервера используется ISC-DHCP-SERVER.
default-lease-time 86400;
max-lease-time 87000;
log-facility local7;
#listening subnet
subnet 10.20.20.0 netmask 255.255.255.240 {}
#Описание классов оборудования, которым будем разрешать получения адреса управления
class "ELTEX-DEVICES" {
match if (
(substring (option vendor-class-identifier, 0, 14)="ELTEX_WEP-12AC") or
(substring (option vendor-class-identifier, 0, 14)="ELTEX_WOP-12AC") or
(substring (option vendor-class-identifier, 0, 14)="ELTX_WEP-12AC") or
(substring (option vendor-class-identifier, 0, 14)="ELTX_WOP-12AC") or
(substring (option vendor-class-identifier, 0, 13)="ELTEX_WEP-2AC") or
(substring (option vendor-class-identifier, 0, 12)="ELTEX_WOP-2L") or
(substring (option vendor-class-identifier, 0, 12)="ELTEX_WEP-2L") or
(substring (option vendor-class-identifier, 0, 12)="ELTEX_WEP-1L")
);
}
#Подсеть первичных адресов ТД в vlan 100
subnet 192.168.100.0 netmask 255.255.255.0 {
pool {
option routers 192.168.100.1;
range 192.168.100.2 192.168.101.254;
option vendor-encapsulated-options 0B:08:31:30:2e:30:2e:30:2e:31:0C:08:31:30:2e:30:2e:30:2e:32;
allow members of "ELTEX-DEVICES";
}
}
#Подсеть управления ТД в vlan 3
subnet 10.10.10.0 netmask 255.255.254.0 {
pool {
option routers 10.10.10.1;
range 10.10.10.2 10.10.11.254;
option vendor-encapsulated-options 0A:0A:31:30:2e:32:30:2e:32:30:2e:32;
allow members of "ELTEX-DEVICES";
option domain-name-servers 172.16.0.254;
}
}
#Подсеть пользователей ТД SSID vlan 10
subnet 100.64.0.0 netmask 255.255.252.0 {
default-lease-time 3600;
max-lease-time 3700;
pool {
option routers 100.64.0.1;
range 10.64.0.2 100.640.3.254;
option domain-name-servers 172.16.0.254;
}
} |
|
Пример настройки NAT на ESR
Если не предполагается использовать сторонний роутер для выполнения трансляции адресов клиентов в сеть Интернет - то можно выполнить настройку NAT непосредственно на ESR. Ниже приведён пример такой настройки:
object-group network nat
ip prefix 100.64.0.0/22
exit
nat source
ruleset NAT
to zone untrusted
rule 1
match source-address nat
action source-nat interface
enable
exit
exit
exit |
|