Транспортная сеть — это совокупность всех ресурсов, выполняющих функции транспортирования в телекоммуникационных сетях. Она включает не только системы передачи, но и относящиеся к ним средства контроля, оперативного переключения, резервирования, управления.

При организации транспортной сети на оборудовании Eltex используется следующий функционал (на сервисных маршрутизаторах ESR):

  1. Firewall
  2. Агрегирование каналов
  3. VRRP

Приведем схему и пример настройки:

Настройка IP-связности с вышестоящими провайдерами

ESR1 
security zone Untrusted
exit
 
interface gigabitethernet 1/0/1
  description "ISP1"
  security-zone Untrusted
  ip address 203.0.113.2/25
exit
ESR2 
security zone Untrusted
exit
 
interface gigabitethernet 1/0/1
  description "ISP2"
  security-zone Untrusted
  ip address 203.0.113.130/25
exit
Пояснение 
Создаем зону безопасности


Назначаем на интерфейс ранее созданную зону, присваиваем IP-адрес

Для взаимодействия с коммутатором ядра выполним агрегацию каналов. Для этого воспользуемся протоколом LACP, который позволяет объединять несколько физических каналов в один логический. Такое объединение позволяет увеличивать пропускную способность и надежность канала. Далее  произведем терминацию MGMT-трафика, которая будет осуществляться на соответствующем саб-интерфейсе агрегированного канала.

ESR1 
interface port-channel 1
exit
 
interface gigabitethernet 1/0/3
  mode switchport
  channel-group 1 mode auto
exit
 
interface gigabitethernet 1/0/4
  mode switchport
  channel-group 1 mode auto
exit

security zone MGMT
exit

interface port-channel 1.250
  description "MGMT"
  security-zone MGMT
  ip address 10.250.0.1/24
exit
ESR2 
interface port-channel 1
exit
 
interface gigabitethernet 1/0/3
  mode switchport
  channel-group 1 mode auto
exit
 
interface gigabitethernet 1/0/4
  mode switchport
  channel-group 1 mode auto
exit

security zone MGMT
exit

interface port-channel 1.250
  description "MGMT"
  security-zone MGMT
  ip address 10.250.0.2/24
exit
Пояснение 
Создаем логический интерфейс


Добавляем соответствующие интерфейсы в группу агрегации













Терминируем интерфейс для управления маршрутизатором

Настройка общесистемных параметров на маршрутизаторах 

syslog

Функционал предназначен для сохранения сообщений о событиях на маршрутизаторе в файл.

ESR1/ESR2 
syslog max-files 3
syslog file-size 512
syslog sequence-numbers
syslog file flash:syslog/default
  severity info
exit
Пояснение 
Настраиваем ротацию syslog-файлов
Настраиваем ограничение размера syslog-файла
Включаем нумерацию syslog-сообщений
Настраиваем сохранение syslog-сообщений в файл

archive

Функционал предназначен для резервного хранения конфигурации маршрутизатора.

ESR1/ESR2 
archive
  type local
  by-commit
  count-backup 10
exit
Пояснение 
 
Настраиваем режим локальной архивации конфигурации
Включаем режим архивации конфигурации при успешном изменении конфигурации 
Настраиваем максимальное количество локальных резервных копий

ssh

Функционал предназначен для удаленного подключения к маршрутизатору.

ESR1/ESR2 
security zone-pair MGMT self
  rule 10
    action permit
    match protocol tcp
    match destination-port port-range 22
    enable
  exit
exit

ip ssh server
Пояснение 
Разрешаем прохождение SSH-трафика в зоне безопасности MGMT








Включаем работу SSH-сервера на маршрутизаторе

lldp

Функционал предназначен для динамического обнаружения устройств подключаемых к маршрутизатору в локальной сети, а также помогает устройствам получать дополнительную информацию для правильной настройки.

ESR1/ESR2 
interface gigabitethernet 1/0/3
  lldp transmit 
  lldp receive 
exit
interface gigabitethernet 1/0/4
  lldp transmit 
  lldp receive 
exit

lldp enable
Пояснение 
 
Разрешаем на интерфейсе отправку LLDP-сообщений
Разрешаем на интерфейсе прием LLDP-сообщений


Разрешаем на интерфейсе отправку LLDP-сообщений
Разрешаем на интерфейсе прием LLDP-сообщений
 

Включаем работу протокола LLDP на маршрутизаторе

ntp

Функционал предназначен для синхронизации внутренних часов оборудования.

ESR1/ESR2 
object-group network Mgmt_POOL
  ip prefix 10.250.0.0/24
exit

security zone-pair MGMT self
  rule 20
    action permit
    match protocol udp
    match destination-port port-range 123
    enable
  exit
exit

ntp enable 
ntp object-group serve-only Mgmt_POOL
ntp server 198.51.100.100
exit
ntp server 198.51.100.101
exit
Пояснение 
Создаем профиль адресов MGMT-сети



Разрешаем прохождение NTP-трафика в зоне безопасности MGMT








Включаем работу протокола NTP на маршрутизаторе
Разрешим устройствам из MGMT-сети получать время с маршрутизатора
Конфигурируем NTP-сервер, с которым маршрутизатор будет синхронизировать время

Конфигурируем еще один NTP-сервер, с которым маршрутизатор будет синхронизировать время

snmp

Функционал предназначен для управления, мониторинга и конфигурирования маршрутизаторов из системы управления сетью.

ESR1/ESR2 
security zone-pair MGMT self
  rule 20
    action permit
    match protocol udp
    match destination-port port-range 161
    enable
  exit
exit
 
snmp-server
snmp-server community private rw
Пояснение 
Разрешаем прохождение SNMP-трафика в зоне безопасности MGMT








Включаем работу протокола SNMP на маршрутизаторе
Определяем community для работы протокола SNMP

Настройка коммутаторов уровня ядра

На уровне ядра необходимо настроить прохождение трафика к сервисным маршрутизаторам и коммутаторам уровня агрегации и IP-адрес из сети управления.

MES_Ядро_1 
vlan database
 vlan 250
exit
!
interface vlan 250
 name Management
 ip address 10.250.0.10 /24
exit
!
MES_Ядро_2 
vlan database
 vlan 250
exit
!
interface vlan 250
 name Management
 ip address 10.250.0.11 /24
exit
!
Пояснение 
Создание необходимых VLAN
 
 
 
Переход в режим конфигурации интерфейса VLAN
Добавление описания
Конфигурация IP-адреса для управления
 

Настройка каналов в сторону сервисных маршрутизаторов ESR (вверх) и в сторону коммутаторов агрегации (вниз).

MES_Ядро_1 
interface TenGigabitEthernet1/0/4
 channel-group 2 mode auto
exit
!
interface TenGigabitEthernet1/0/5
 channel-group 3 mode auto
exit
!
interface TenGigabitEthernet1/0/6
 channel-group 4 mode auto
exit
!
interface TenGigabitEthernet1/0/7
 channel-group 5 mode auto
exit
!
interface range Port-Channel1-5
 switchport mode general
 switchport general allowed vlan add 250 tagged
exit
!
interface range Port-Channel2-5
 switchport forbidden default-vlan
exit
!
MES_Ядро_2 
interface TenGigabitEthernet1/0/4
 channel-group 2 mode auto
exit
!
interface TenGigabitEthernet1/0/5
 channel-group 3 mode auto
exit
!
interface TenGigabitEthernet1/0/6
 channel-group 4 mode auto
exit
!
interface TenGigabitEthernet1/0/7
 channel-group 5 mode auto
exit
!
interface range Port-Channel1-5
 switchport mode general
 switchport general allowed vlan add 250 tagged
exit
!
interface range Port-Channel2-5
 switchport forbidden default-vlan
exit
!
Пояснение 
 
Port-Channel 2 будет использован для организации связности с сервисным маршрутизатором ESR1
 
 
 
Port-Channel 3 будет использован для организации связности с сервисным маршрутизатором ESR2
 
 
 
Port-Channel 4 будет использован для организации связности с коммутаторами уровня агрегации
 
 
 
Port-Channel 5 будет использован для организации связности с коммутаторами уровня агрегации
 
 
Переход в режим конфигурации нескольких интерфейсов одновременно
Перевод интерфейса в режим general
Указание VLAN id, которые будут проходить через интерфейс



Запрет добавления дефолтной VLAN на интерфейсах, кроме Peer-Link

Для обеспечения резервирования в данной схеме на уровне ядра применяется технология VPC.

MES_Ядро_1 
interface TenGigabitEthernet1/0/1
 ip address 1.1.1.1 255.255.255.252
exit
!
interface TenGigabitEthernet1/0/2
 channel-group 1 mode auto
exit
!
interface TenGigabitEthernet1/0/3
 channel-group 1 mode auto
exit
!
vpc domain 1
 peer detection
 peer detection ipaddr 1.1.1.2 1.1.1.1
 peer keepalive
 peer keepalive timeout 5
 role priority 1
 peer link port-channel 1
exit
!
vpc
!
vpc group 2
 domain 1
 vpc-port port-channel 2
exit
!
vpc group 3
 domain 1
 vpc-port port-channel 3
exit
!
vpc group 4
 domain 1
 vpc-port port-channel 4
exit
!
vpc group 5
 domain 1
 vpc-port port-channel 5
exit
!
MES_Ядро_2 
interface TenGigabitEthernet1/0/1
 ip address 1.1.1.2 255.255.255.252
exit
!
interface TenGigabitEthernet1/0/2
 channel-group 1 mode auto
exit
!
interface TenGigabitEthernet1/0/3
 channel-group 1 mode auto
exit
!
vpc domain 1
 peer detection
 peer detection ipaddr 1.1.1.2 1.1.1.1
 peer keepalive
 peer keepalive timeout 5
 role priority 2
 peer link port-channel 1
exit
!
vpc
!
vpc group 2
 domain 1
 vpc-port port-channel 2
exit
!
vpc group 3
 domain 1
 vpc-port port-channel 3
exit
!
vpc group 4
 domain 1
 vpc-port port-channel 4
exit
!
vpc group 5
 domain 1
 vpc-port port-channel 5
exit
!
Пояснение 
Настройка IP-адреса для Peer-detection



Добавление интерфейса в Port-Channel 1 (будет использован для Peer-Link)







Создание VPC-домена
Включение peer-detection
Указание destination, source IP-адреса для peer-detection protocol
Включение службы keepalive
Указание времени ожидания ответа на запрос целостности peer-link
Установка приоритета устройства. Устройство с меньшим значением будет назначено Primary
Назначение Port-Channel 1 в качестве peer-link
 
 
Включение VPC на коммутаторе

Создание VPC-группы
Указание VPC-домена
Указание Port-Channel, в котором будет работать VPC-группа

Настройка коммутаторов уровня агрегации

В качестве технологии резервирования на уровне агрегации в рассматриваемой схеме применяется стекирование.

Перед базовой конфигурацией коммутаторов уровня агрегации (в рассматриваемой схеме) необходимо настроить стекирование.

После конфигурации cтековых настроек устройства необходимо перезагрузить, чтобы настройки применились. Перезагрузку лучше начать с юнита 1.

Устройства в стеке управляются через Master.
Конфигурация MES_Агрегация_1 
stack configuration unit-id 1
!
stack configuration links te1-2
!
stack nsf
Конфигурация MES_Агрегация_2 
stack configuration unit-id 2
!
stack configuration links te1-2
!
stack nsf
Пояснение 
Конфигурация unit-id внутри стека

Конфигурация стековых линков. Стекирование будет осуществляться через интерфейсы TenGigabitEthernet1 и TenGigabitEthernet2

Включение функционала Non-Stop Forwarding

Настройка управления коммутаторов уровня агрегации. Т. к. коммутаторы на данном уровне работают в стеке, то они являются одним логическим устройством.

Конфигурация_MES_Агрегация_Stack 
vlan database
 vlan 250
exit
!
interface vlan 250
 name Management
 ip address 10.250.0.20 /24
exit
Пояснение 
Создание необходимых VLAN
  
  
  
Переход в режим конфигурации интерфейса VLAN
Добавление описания
Конфигурация IP-адреса для управления


Настройка каналов в сторону коммутаторов ядра (вверх) и в сторону коммутаторов доступа (вниз).

Конфигурация_MES_Агрегация_Stack 
interface GigabitEthernet1/0/1
 channel-group 1 mode auto
exit
!
interface GigabitEthernet2/0/1
 channel-group 1 mode auto
exit
!
interface GigabitEthernet1/0/2
 channel-group 2 mode auto
exit
!
interface GigabitEthernet2/0/2
 channel-group 2 mode auto
exit
!
interface GigabitEthernet1/0/3
 channel-group 3 mode auto
exit
!
interface GigabitEthernet2/0/3
 channel-group 3 mode auto
exit
!
interface GigabitEthernet1/0/4
 channel-group 4 mode auto
exit
!
interface GigabitEthernet2/0/4
 channel-group 4 mode auto
exit
!
interface range Port-Channel1-4
 switchport mode general
 switchport general allowed vlan add 250 tagged
 switchport forbidden default-vlan 
exit
!
Пояснение 
Port-Channel 1 будет использоваться для организации связности с комммутаторами уровня ядра
 
 
 
 
 
 
Port-Channel 2 будет использоваться для организации связности с комммутаторами уровня ядра
 
 
 
 
 
 
 
Port-Channel 3 будет использоваться для организации связности с комммутаторами уровня доступа
 
 
 
 
 
 
 
Port-Channel 4 будет использоваться для организации связности с комммутаторами уровня доступа

Настройка коммутаторов уровня доступа

Конфигурация MES_Доступ 
vlan database
 vlan 250
exit
!
interface vlan 250
 name Management
 ip address 10.250.0.30 /24
exit
!
!
end
Пояснение 
Создание необходимых VLAN
 
 
 
Переход в режим конфигурации интерфейса VLAN
Добавление описания
Конфигурация IP-адреса для управления

Настройка каналов в сторону коммутаторов агрегации (вверх).

Конфигурация MES_Доступ 
interface TenGigabitEthernet1/0/1
 channel-group 1 mode auto
exit
!
interface TenGigabitEthernet1/0/2
 channel-group 1 mode auto
exit
!
interface Port-Channel1
 switchport mode general
 switchport general allowed vlan add 250 tagged
 switchport forbidden default-vlan 
exit
!
Пояснение 
Port-Channel 1 будет использоваться для организации связности с комммутаторами уровня агрегации

Настройка клиентских портов.

Конфигурация_MES_Доступ 
interface range GigabitEthernet1/0/1-24
 switchport mode general
exit
!
Пояснение 
Перевод клиентских портов в режим General

Настройка безопасности транспортной сети на клиентских портах

Loopback Detection

Функционал предназначен для обнаружения петель как на самом устройстве, так и на устройствах, которые подключены к коммутатору.

Конфигурация_MES_Доступ 
errdisable recovery cause loopback-detection
!
loopback-detection mode multicast-mac-addr
loopback-detection interval 1
!
loopback-detection enable
!
interface range gigabitethernet1/0/1-24
 loopback-detection enable
 spanning-tree disable
 spanning-tree bpdu filtering
exit
Пояснение 
Включение автоматического восстановления интерфейса после административного отключения из-за LBD

Для LBD-кадров использовать MAC-адрес Multicast как MAC-адрес назначения
Установка интервала отправки LBD-кадров (в секундах)

Глобальное включение функционала LBD

Переход в режим конфигурирования группы интерфейсов
Включение функционала LBD на клиентском порту
Отключение функционала spanning tree на клиентском порту
Включение функционала BPDU Filtering на клиентском порту

Storm Control

Функционал предназначен для ограничения скорости BUM (широковещательного (broadcast), многоадресного (multicast) или одноадресного (unknown unicast)) трафика на физическом интерфейсе.

Конфигурация_MES_Доступ 
traffic-limiter mode kbps
!
interface range gigabitethernet1/0/1-24
storm-control broadcast kbps 2048 trap
storm-control unicast kbps 2048 trap  
storm-control multicast kbps 2048 trap  
exit
Пояснение 
Указание единиц измерения, которые будет использовать Storm Control. По умолчанию используются kbps, также возможно использовать pps

Переход в режим конфигурации группы интерфейсов
Конфигурация уровня трафика. При превышении указанной величины в журнал событий вносится соответствующая запись

Port Isolation

Функционал необходим для изоляции портов (запрета прохождения трафика) в одном широковещательном домене.

Конфигурация_MES_Доступ 
interface range gigabitethernet1/0/1-24
 switchport protected-port
exit
Пояснение 
Перевод порта в режим изоляции
  • Нет меток