Введение
Организация связи всегда являлась для человека важной задачей. В современном мире любая крупная компания сталкивается с необходимостью организации надежной и эффективной сетевой инфраструктуры. Одним из ключевых элементов такой инфраструктуры являются коммутаторы, обеспечивающие передачу данных между различными устройствами внутри корпоративной сети. Для достижения максимальной производительности и безопасности используется трехуровневая архитектура: доступ, агрегация и ядро. Каждый из этих уровней выполняет свои специфические задачи и имеет определенные особенности.
Приведенная схема представляет сеть усредненного предприятия, решающую задачи предоставления и разграничения доступа для сотрудников, организации связи между отдельными офисами.
Постановка задачи
Целью данного документа является демонстрация построения корпоративной сети с использованием оборудования компании Eltex и практик использования этого оборудования.
Коммутаторы MES, сервисные маршрутизаторы ESR, контроллеры WLC, IP-АТС SMG, телефоны VP, точки доступа WEP и т. д. являются устройствами, отвечающими современным требованиям к построению сетей передачи данных.
Целевая аудитория
Данный документ будет полезен для инженеров, решающих задачи организации связи в отделениях банков и офисах компаний, на производствах. Возможность масштабирования, а также широкий список поддерживаемых протоколов позволяют использовать предложенную схему для решения более широкого круга задач.
Предлагаемая схема сети
Предлагаемое решение представляет собой стандартную трехуровневую архитектуру (доступ, агрегация, ядро) на базе аппаратных и программных решений Eltex.
Преимущества решения
Предлагаемое решение позволяет построить безопасную (за счет таких функций как 802.1x, Dynamic ARP Inspection, IP Source Guard и других) и надежную (физическое резервирование — стек, VPC + VRRP) корпоративную сеть, используя многолетний опыт Eltex в области телекоммуникаций.
Возможные продуктовые решения
Коммутаторы MES
| Уровень | Модель | Количество портов | Размер MAC-таблицы | Маршруты IPv4 Unicast |
|---|---|---|---|---|
| Доступ | MES2300-24 | 24 | 16384 | 4066 |
| Агрегация | MES3300-24 | 24 | 16384 | 13278 |
| Ядро | MES5332A | 32 | 32768 | 16286 |
| MES5410-48 | 48 | 131072/262144* | 292000/16000* |
* — в зависимости от режима распределения системных ресурсов mid-l3-mid-l2/min-l3-max-l2.
Сервисные маршрутизаторы ESR
| Модель | Количество портов | Размер MAC-таблицы |
|---|---|---|
| ESR-3300 | 4 × 25G SFP28, 4 ×100G QSFP28 | 1.7М |
| ESR-3200 | 12 × 25G SFP28 | 1.7М |
| ESR-3100 | 8 × 1G, 8 × 10G SFP+ | 1.7М |
| ESR-1700 | 4 × 1G Combo, 8 × 10G SFP+ | 3М |
| ESR-3200L | 8 × 10G SFP, 4 × 25G SFP28 | 1.7М |
IP-АТС
| Модель | VoIP-каналы | E1 | HDD |
|---|---|---|---|
| SMG-3016 | до 768 | 16 | 2 |
Телефоны VP
| Модель | SIP | Дисплей | Опции расширения |
|---|---|---|---|
| VP-17P | 4 | монохромный | нет |
| VP-30P | 8 | цветной | до трёх VP-EXT22 |
Точки доступа WEP
| Модель | Стандарт | Размещение | Количество реальных пользователей на ТД |
|---|---|---|---|
| WEP-3ax | Wi-Fi 6 | Indoor | до 100 |
| WEP-30L | Wi-Fi 6 | Indoor | до 120 |
Контроллеры беспроводного доступа WLC
| Модель | Количество поддерживаемых точек доступа | Количество клиентов | Схема включения клиентов |
|---|---|---|---|
| WLC-15 | 50, доступно расширение по лицензии до 100 | 2000 | Сentralized forwarding, local switching |
| WLC-30 | 150, доступно расширение по лицензии до 500 | 5000 | |
| WLC-3200 | 1000, доступно расширение по лицензии до 3000 | 300005 |
Версии ПО
| Устройство | Версия ПО |
|---|---|
| ESR-3300 | 1.34.6 |
| MES5410-48 | 6.6.8.8 |
| MES5332A rev. C | 6.6.8.8 |
| MES2300D-24P | 6.6.8.8 |
| MES2300-24 | 6.6.8.8 |
| SMG-3016 rev. B | 3.409 |
WLC-15 | 1.30.8 |
| WEP-30L | 2.8.10 |
| VP-17P | 1.5.7 |
| VP-30P | 1.4.5 |
| ECCM | 2.5.1 |
| NAICE | v1.0 |
Параметры окружения и сетевой инфраструктуры
В данном руководстве используются внешние сетевые службы, которые находятся за пределами сети. Фактические настройки определяются текущей конфигурацией вашей сети или предоставляются поставщиками услуг.
| Назначение | VID | IP Address |
|---|---|---|
| Management VLAN | 250 | 10.250.0.0/24 |
| Пользовательская VLAN | 100 | 10.100.0.0/24 |
| Voice VLAN | 101 | 10.101.0.0/24 |
| Guest VLAN | 150 | 10.150.0.0/24 |
| VLAN управления ТД | 110 | 10.110.0.0/24 |
| VLAN пользователей ТД | 115 | 10.115.0.0/24 |
| ISP 1 | 1000 | 203.0.113.2/25 |
| ISP 2 | 2000 | 203.0.113.130/25 |
| Внешний NTP-сервер | ISP1, ISP2 | |
| Внешний DHCP-сервер | 300 | 192.168.1.30 |
| ECCM (SNMP, Syslog, backup) | 250 | 10.250.0.100 |
| NAICE (Radius, Tacacs+) | 250 | 10.250.0.200 |
Настройка коммутаторов уровня доступа
Коммутаторы уровня доступа представляют собой первый уровень взаимодействия пользователей с сетью, к ним подключаются конечные устройства, такие как рабочие станции, принтеры и IP-телефоны, что обеспечивает базовый доступ к ресурсам локальной сети. Основные функции этих устройств включают:
- Подключение конечных устройств — коммутатор обеспечивает подключение большого количества рабочих станций и других периферийных устройств.
- Управление безопасностью — на уровне доступа реализуются базовые механизмы защиты, такие как фильтрация MAC-адресов и контроль доступа к портам.
- PoE (Power over Ethernet) — передача питания по Ethernet-кабелю к таким устройствам как IP-телефоны, точки доступа, камеры видеонаблюдения.
Для обеспечения безопасности на уровне доступа применяются следующие функции: DHCP-Snooping, Dynamic ARP Inspection, IP Source Guard, 802.1x, Storm Control, Loopback Detection, Telnet/SSH, Management ACL, Port Isolation, Voice VLAN.
DHCP Snooping
DHCP Snooping позволяет повысить уровень безопасности сетевой инфраструктуры за счет определения доверенных и недоверенных портов для работы протокола DHCP. Также на базе таблицы DHCP Snooping работуют другие функции, например, IP Source Guard.
Полезные команды для проверки
show ip dhcp snooping binding — просмотр сведений о том, какие IP-адреса выданы клиентам, за какими портами, в каких VLAN они находятся, клиентских MAC-адресах;
show ip dhcp snooping — просмотр сведений о том, в какой VLAN, на каких интерфейсах включена функция DHCP Snooping, какие интерфейсы являются доверенными.
Dynamic ARP Inspection
Dynamic ARP Inspection (DAI) — функция коммутатора, предназначенная для защиты от атак с использованием протокола ARP (например, ARP Spoofing). Функция позволяет сократить риски от атак MITM, когда злоумышленник перехватывает трафик, изменив ARP-таблицу на коммутаторе таким образом, что настоящий IP-адрес клиента соответствует MAC-адресу злоумышленника (отправляя соответствующие ARP-ответы).
Полезные команды для проверки
show ip arp inspection — просмотр информации, на каких физических интерфейсах и VLAN работает функция DAI;
show ip arp inspection statistics — просмотр информации о количестве пересланных/отброшенных ARP-пакетах.
IP Source Guard
Функция защиты IP-адреса предназначена для фильтрации IP-трафика, принятого с интерфейса, на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Функционал позволяет защититься от подмены IP-адресов в трафике, приходящем от подключенного клиентского устройства.
Полезные команды для проверки
show ip source-guard configuration — просмотр настройки функции защиты IP-адреса на заданном, либо на всех интерфейсах устройства.
show ip source-guard status — просмотр статуса функции защиты IP-адреса для интерфейса, IP-адреса, МАС-адреса или группы VLAN.
show ip source-guard inactive — просмотр неактивных IP-адресов отправителя.
802.1x
Использование стандарта 802.1x позволяет обеспечить безопасность сети за счет централизованной авторизации пользователей, в результате чего снижается возможность подключения к инфраструктуре злоумышленников.
Полезные команды для проверки
show dot1x users — просмотр сведений об авторизованных клиентах;
show dot1x statistics interface {gigabitethernet gi_port | tengigabitethernet te_port} — просмотр статистики по EAP/EAPOL пакетам на интерфейсе;
show dot1x advanced interface {gigabitethernet gi_port | tengigabitethernet te_port} — просмотр расширенной информации по настроенный политике dot1x на интерфейсе;
show mac address-table — просмотр информации, в какой VLAN были изучены MAC-адреса;
show interfaces switchport {gigabitethernet gi_port | tengigabitethernet te_port | port-channel group} — просмотр информации о VLAN на физическом интерфейсе;
show access-lists — просмотр информации о списках контроля доступа.
Storm Control
Функционал предназначен для ограничения скорости BUM трафика (широковещательный (broadcast), многоадресный (multicast) или одноадресный (unknown unicast) трафик) на физическом интерфейсе.
Полезные команды для проверки
show storm-control interface [gigabitethernet gi_port | tengigabitethernet te_port | fortygigabitethernet fo_port] — просмотр конфигурации функции контроля «шторма» для указанного порта либо всех портов.
Loopback Detection
Функционал предназначен для обнаружения петель как на самом устройстве, так и на устройствах, которые подключены к коммутатору. Механизм Loopback Detectin предотвращает и блокирует физические и логические петли как на самом коммутаторе, так и на подключенных к нему устройствах. Настройка loopback-detection возможна и на физическом интерфейсе, и во VLAN. Функционал рекомендован к настройке на всех интерфейсах, к которым подключено клиентское оборудование.
Полезные команды для проверки
show loopback-detection — просмотр состояния механизма loopback-detection.
Telnet/SSH
Протоколы TELNET и SSH предоставляет возможность удаленно управлять устройством путем передачи текстовых команд. Однако TELNET не шифрует передаваемые данные, что делает его уязвимым. SSH предоставляет безопасный способ удаленного управления устройствами, передачи файлов и выполнения команд, защищая данные от перехвата и несанкционированного доступа.
Полезные команды для проверки
show ip ssh — просмотр сведений о работе SSH-сервера: статус сервера, используемые алгоритмы шифрования и обмена ключами, информация об активных сессиях.
show ip telnet — просмотр сведений о работе TELNET-сервера: статус сервера, информация об активных сессиях.
Management ACL
Программное обеспечение коммутаторов позволяет разрешить либо ограничить доступ к управлению устройством через определенные порты или группы VLAN. Для этой цели создаются списки доступа (Access Control List, ACL) для управления.
Полезные команды для проверки
show management access-class — просмотр информации об активном списке управления .
show management access-list [name] — просмотр списков доступа (access list) для управления.
Port isolation
Функционал предназначен для запрета обмена трафиком между конкретными интерфейсами, находящимися в одном широковещательном домене.
Полезные команды для проверки
show interfaces protected-ports — просмотр состояния интерфейсов в отношении функционала изоляции портов.
Voice VLAN
Voice VLAN используется для выделения VoIP-оборудования в отдельную VLAN. Для VoIP-кадров могут быть назначены QoS-атрибуты для приоритизации трафика. Классификация кадров, относящихся к кадрам VoIP-оборудования, базируется на OUI (Organizationall Unique Identifier — первые 24 бита MAC-адреса) отправителя. Назначение Voice VLAN для порта происходит автоматически, когда на порт поступает кадр с OUI из таблицы Voice VLAN. Когда порт определяется, как принадлежащий Voice VLAN — данный порт добавляется во VLAN как tagged.
Полезные команды для проверки
show voice vlan — просмотр информации о Voice VLAN.
show voice vlan type oui {физический интерфейс} — просмотр информации о Voice VLAN и OUI таблице.
Syslog
Системные журналы позволяют вести историю событий, произошедших на устройстве, а также контролировать произошедшие события в реальном времени. В журнал заносятся события семи типов: чрезвычайные, сигналы тревоги, критические и не критические ошибки, предупреждения,
уведомления, информационные и отладочные.
В рамках конфигурации гайда, удаленным Syslog сервером является система мониторинга ECCM.
Полезные команды для проверки
show logging file — просмотр состояния журнала, аварийных и отладочных сообщений, записанных в файле журнала (локального).
show syslog-servers — просмотр настроек для удаленных Syslog-серверов.
Backup конфигурации на удаленном сервере
Коммутаторы MES позволяют резервировать конфигурацию на TFTP/SFTP/SCP-сервере по таймеру или при сохранении текущей конфигурации. В данной конфигурации будет рассмотрен пример с TFTP.
Полезные команды для проверки
show backup — просмотр информации о настройках резервирования конфигурации.
show backup history — просмотр истории успешно сохраненных на сервер конфигураций.
NTP
Функционал предназначен для синхронизации системного времени со стороннего источника. В рамках данного гайда используется синхронизация времени по протоколу NTP.
В случае данной схемы, NTP-сервером является VRRP-пара сервисных маршрутизаторов ESR. В качестве source IP-адреса указан VIP адрес ESR.
Полезные команды для проверки
show ntp — просмотр текущего состояния и статистики службы NTP.
show ntp status — просмотр статуса протокола синхронизации NTP по сети.
Настройка коммутаторов уровня агрегации
Коммутаторы данного уровня выполняют функцию агрегации и распределения трафика, применение сетевых политик, а также обеспечивают дополнительную безопасность и отказоустойчивость всей сети.
Для обеспечения резервирования каналов на уровне агрегации применяются технологии стекирования и агрегирования каналов.
Стекирование
Стекирование коммутаторов — это объединение двух и более (до восьми) коммутаторов согласно матрице стекирования в одно логическое устройство с одним IP-адресом и одним системным МАС-адресом. Данный функционал предназначен для увеличения портовой емкости и для осуществления резервирования. Стек собирается на интерфейсах с наибольшей скоростью, и на максимальной скорости интерфейса.
Возможны две топологии стекирования — кольцевая (ring) и линейная (chain). Топология определяется в зависимости от количества устройств в стеке: в случае двух устройств – линейная, в случае трех и более устройств – кольцевая.
Из нескольких коммутаторов в стеке с ролями Master/Backup - Master-ом станет то устройство, которое первее всех будет загружено.
Для коммутаторов с количеством портов равным 48 для объединения в линейной топологии стековых портов в LAG необходимо использовать интерфейсы te1-8/0/1, te1-8/0/4 или te1-8/0/2,te1-8/0/3. При любых других комбинациях стековых портов один из них будет находиться в резерве и иметь статус Standby
Важно!
Для работы функционала, после конфигурации портов и unit id необходимо сохранить конфигурации на устройствах командой write startup, и перезагрузить все устройства, которые будут входить в состав стека.
Агрегация каналов
Агрегирование каналов - технология, которая позволяет объединить несколько физических каналов в один логический. Объединение портов в группу увеличивает пропускную способность канала между взаимодействующими устройствами и повышает отказоустойчивость. Группа портов является для коммутатора одним логическим портом.
Полезные команды для проверки
show interfaces channelgroup [group] — просмотр информации о группе каналов.
Настройка коммутаторов уровня ядра
Уровень ядра обеспечивает высокую пропускную способность и маршрутизацию трафика между различными сегментами сети и межсетевыми экранами. На данном уровне для обеспечения резервирования может применяться функционал VPC.
VPC
VPC или Multi-Switch Link Aggregation Group (MLAG) — это технология, которая позволяет двум независимым коммутаторам выглядеть одним логическим коммутатором для других устройств без объединения в стек.
Peer-Link - основной линк между парой коммутаторов в VPC-домене. Через него проходит весь трафик, все vlan должны быть добавлены в конфигурацию данного линка, иначе не будет резервирования. Требует большой пропускной способности.
Peer-Detection — линк обмена служебными сообщениями peer-detection для определения состояния соседнего коммутатора в VPC-домене. Не требует большой пропускной способности (в рассматриваемой схеме для данного функционала используется интерфейс te1/0/1, можно использовать интерфейсы gi1/0/x).
Как и LAG, виртуальные LAG позволяют объединить одну или несколько Ethernet-линий для увеличения скорости и обеспечения отказоустойчивости. MLAG так же известна как VPC (Virtual port-channel). При обычном LAG агрегированные линии должны быть на одном физическом устройстве, в случае же с VPC агрегированные линии находятся на разных физических устройствах.
Важно!
- При настроенном Peer Detection, в случае падения Peer-link, secondary-коммутатор переводит все порты, состоящие в VPC группах, в состояние errdisable с сообщением:
LINK-W-PORT_SUSPENDED: Port Po2 suspended by vpc
Трафик, при этом, будет ходить через primary-коммутатор.
- В случае падения Peer-detection линка не происходит никакой реакции
VPC-N-ROLECHANG: Peer detection protocol no longer detected.
- Номер VPC домена должен совпадать на обоих коммутаторах, при этом каждый коммутатор может принадлежать только к одному VPC домену. Сам номер VPС домена используется для генерации system-mac-VPC, который является общим для двух коммутаторов.
- Primary коммутатор рассылает BPDU (при этом не обязательно чтобы коммутатор был STP Root).
- При настройке VPC на одноранговых коммутаторах должна быть одинаковая версия программного обеспечения.
- Не следует использовать настройку switchport forbidden default-vlan на interface Po1, т.к. трафик протокола VPC ходит untagged в default vlan.
- Для peer-detection сообщений не рекомендуется использовать основной линк VPC (нет смысла), также при падении данного линка, рассинхронизируется VPC пара, что вызовет простой в сети на время до понятия линка и последующего схождения VPC пары.
- В VPC группе в выводе show port-channel отображаются локальный и удаленный порты. В качестве удаленного порта согласно логике работы VPC используется ifindex несуществующего 3-го юнита.
Настройка коммутаторов серверной зоны
В рамках представленной схемы часть схемы с сетевыми устройствами (коммутаторами доступа, агрегации, ядра, сервисными маршрутизаторами) отделена от серверов стеком из коммутаторов, в рамках которого настроен функционал DHCP Relay.
DHCP Relay
Задачей DHCP Relay агента является передача DHCP-пакетов от клиента к серверу и обратно в случае, если DHCP-сервер находится в одной сети, а клиент в другой. Другой функцией является добавление дополнительных опций в DHCP-запросы клиента (например, опции 82).
Исходя из того, что DHCP-сервер находится в подсети, отличной от клиентских посетей IP-телефонов, ПК, точек доступа и их клиентов, данный функционал обязателен к настройке.
Полезные команды для проверки
show ip dhcp relay - просмотр информации о настройке функционала DHCP Relay.
Пример конфигурации для isc-dhcp-server, исходя из которого IP-адрес будет раздаваться из того пула, который находится в одном домене с IP-адресом в поле giaddr.
Проверка выданных IP-адресов:
user@PC:~$ sudo dhcp-lease-list To get manufacturer names please download http://standards.ieee.org/regauth/oui/oui.txt to /usr/local/etc/oui.txt Reading leases from /var/lib/dhcp/dhcpd.leases MAC IP hostname valid until manufacturer =============================================================================================== 68:13:e2:c9:70:ca 10.101.0.102 VP-17P-VI92036 2026-02-11 19:03:32 -NA- ec:b1:e0:20:48:4c 10.101.0.103 VP-30P-VIA4005 2026-02-11 21:58:01 -NA- ec:b1:e0:c5:4c:00 10.100.0.100 -NA- 2026-03-17 05:07:27 -NA-
В случае данной конфигурации, IP-адреса, выданные точкам доступа не будут отображаться в выводе вышеуказанной команды.
Для более детального просмотра информации по точкам доступа (DORA), можно воспользоваться командой sudo journalctl -u isc-dhcp-server | grep MAC ТД (или IP option router).
Настройка маршрутизаторов
Транспортная сеть — это совокупность всех ресурсов, выполняющих функции транспортирования в телекоммуникационных сетях. Она включает не только системы передачи, но и относящиеся к ним средства контроля, оперативного переключения, резервирования, управления. При организации транспортной сети на маршрутизаторах ESR используется следующий функционал: Syslog, archive, SSH, LLDP, NTP, SNMP, агрегация каналов, VRRP, IP SLA, BGP, SNAT.
Syslog
Функционал предназначен для сохранения сообщений о событиях на маршрутизаторе в файл.
Полезные команды для проверки
show syslog - для просмотра текущей информации о конфигурации syslog-журнала, созданых файлов.
show syslog configuration - просмотр информации о конфигурации syslog-журнала.
show syslog FILE - просмотр конкретного syslog-файла.
Archive
Функционал предназначен для резервного хранения конфигурации маршрутизатора.
Полезные команды для проверки
dir flash://backup — просмотр созданного файла в соответствии с резервным архивом конфигурации.
SSH
Функционал предназначен для удаленного подключения к маршрутизатору.
Полезные команды для проверки
show users — просмотр активных сессий пользователей системы (console, telnet, ssh).
LLDP
Функционал предназначен для динамического обнаружения устройств подключаемых к маршрутизатору в локальной сети, а также помогает устройствам получать дополнительную информацию для правильной настройки.
Полезные команды для проверки
show lldp neighbors — для просмотра информации о подключенных устройствах, от которых получена информация по протоколу LLDP.
NTP
Функционал предназначен для синхронизации внутренних часов оборудования.
Полезные команды для проверки
show ntp peers — просмотр состояния NTP пиров.
Настройка IP-связности с вышестоящими провайдерами
Для обеспечения связи конечных клиентов с услугой Интернет, необходимо организовать данную связность на уровне маршрутизаторов. Также, благодаря данной конфигурации, будет обеспечена синхронизация времени по протоколу NTP.
SNMP
Функционал предназначен для управления, мониторинга и конфигурирования маршрутизаторов из системы управления сетью. В данном примере рассмотрен пример конфигурации SNMP v2c.
Полезные команды для проверки
show security zone Name — для просмотра интерфейсов, входящих в зону безопасности.
show security zone-pair — для просмотра списка пар зон.
show security zone-pair configuration source zone / destination zone order
Агрегация каналов
Агрегирование каналов — технология, которая позволяет объединить несколько физических каналов в один логический. Объединение портов в группу увеличивает пропускную способность канала между взаимодействующими устройствами и повышает отказоустойчивость. Группа портов является для коммутатора одним логическим портом.
Полезные команды для проверки
show interfaces port-channel X — для просмотра информации о членах группы агрегации каналов.
VRRP
Функционал предназначен для увеличения доступности маршрутизаторов, обеспечения отказоустойчивости сетевого шлюза по умолчанию.
Полезные команды для проверки
show vrrp — для просмотра информации о протоколе VRRP.
BGP
Для организации стыка с интернет-провайдером самым распостраненным функционалом является BGP.
Полезные команды для проверки
show bgp neighbors — проверка установления BGP соседства, необходимо обратить внимание, чтобы маршрут по умолчанию присутствовал на обоих маршрутизаторах.
IP SLA
Функционал предназначен для проверки работоспособности канала связи.
Полезные команды для проверки:
show ip sla test status — для проверки статуса IP SLA.
show track 1 — для проверки функционала IP SLA по конкретному track-менеджеру.
Source NAT
Функционал используется для подмены адреса источника у пакетов, проходящих через сетевой шлюз. При прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза. Дополнительно к адресу источника может применяться замена порта источника. При прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта.
Полезные команды для проверки:
show ip nat source rulesets Name — проверка созданного правила SNAT.
show ip nat translations — просмотр IP-сессий трансляции SNAT.
Настройка телефонии
В данном разделе рассматривается решение задачи организации внутренней IP телефонии: конфигурация IP АТС, IP-телефонов.
Настройка IP-АТС
На современном предприятии телефонная связь является неотъемлемой частью технологических процессов. В свете повсеместного распространения сетей связи оптимальным видится построение телефонии на базе семейства протоколов TCP/IP.
Для организации телефонной связи рассмотрим IP АТС на базе гибридной платформы SMG-3016. Данное решение поддерживает до 1000 или до 3000 абонентов, в зависимости от лицензии. При росте абонентской базы возможно приобретение лицензии на увеличенное количество абонентов, что позволит распределить инвестиции во времени. Рассмотрим реализацию в отказоустойчивом исполнении в режиме Active+Backup.
Для этого понадобятся:
- Шасси цифрового шлюза SMG-3016 — 2 штуки.
- Источники питания PM160-220/12 на 220 вольт переменного тока или PM100-48/12 на 48 вольт постоянного тока — одна или две штуки на каждое устройство в любой комбинации в зависимости от требований к электропитанию.
- Субмодули SM-VP-M300 для работы с VoIP — от одного до шести на каждое устройство, в зависимости от желаемого количества одновременных VoIP каналов.
- Лицензия SMG3-CORP-1000 на активацию функционала IP АТС на 1000 абонентов — 1 штука.
- Лицензия SMG3-RESERVE — для активации функционала master-slave - две штуки. В таком варианте при отказе основного устройства резервное будет полноценно обслуживать абонентов в течение 720 часов.
Первоначальный вход в web-интерфейс
1) Войти на web-интерфейс SMG-3016 по default-адресу 192.168.1.2
2) Ввести данные для входа, выбрать русский язык и нажать Войти
Начиная с версии ПО 3.406 при первичной авторизации на устройстве необходима обязательная смена пароля.
Настройка IP-АТС для подключения к коммутаторам
Для обеспечения отказоустойчивости при отказе коммутатора или физического линка между коммутатором и SMG-3016 рекомендуется настроить агрегирование линков с помощью протокола LACP. Настройка LACP на SMG-3016 осуществляется только через CLI. Для настройки необходимо подключиться к SMG через консольный порт, или по протоколу ssh.
Настройка IP-адреса IP-АТС
Важно!
Данную настройку можно пропустить, если будет использоваться адрес IP-АТС по умолчанию: 192.168.1.2
В web-интерфейсе:
1) В боковом меню перейти в раздел «Настройки TCP/IP» → «Сетевые интерфейсы».
2) С помощью левой кнопки мыши выбрать строку с интерфейсом eth0.
3) Нажать кнопку Редактировать.
4) Если необходимо, изменить поля IP-адрес, маска сети, шлюз.
5) Нажать кнопку Применить.
6) Зайти в web-интерфейс по новому IP-адресу.
7) Во всплывающем окне нажать кнопку Подтвердить.
Установка лицензии
1) В боковом меню перейти в раздел «Лицензирование».
2) В вспомогательном меню перейти в блок «Обновить».
3) Сохранить на ПК активный файл лицензии, нажав на кнопку «Скачать» в одноименном блоке. Данный пункт необходим для подстраховки в случае, если новый файл лицензии не удовлетворяет требованиям. Пока текущая лицензия не будет скачана система не даст загрузить новый файл лицензий.
4) Выбрать и загрузить файл лицензии на устройство, нажать на кнопку «Обновить».
5) В случае корректного файла лицензии, далее необходимо два раза нажать нажать «ОК».
Настройка сетевой связности между телефонными аппаратами и IP-АТС
1) В боковом меню перейти в раздел «Настройки TCP/IP» → «Сетевые интерфейсы».
2) Нажать кнопку «Добавить».
3) В открывшемся окне настроить следующие поля:
- Имя сети — опционально;
- Тип — Tagged;
- VLAN ID — номер VLAN с VoIP трафиком;
- Маска сети — в данном случае /24;
- Шлюз — опционально, в данном случае — указан default gateway;
- Сигнализация SIP;
- Передача RTP.
Далее нажать кнопку «Применить».
Создание SIP-профиля на IP-АТС
1) В боковом меню перейти в раздел «Маршрутизация» → «Интерфейсы SIP».
2) Во вкладке «Конфигурация» нажать кнопку 
3) Если необходимо — изменить поле Название.
4) В поле Режим установить значение «SIP-профиль».
5) Нажать кнопку Применить.
Добавление имени домена
1) В боковом меню выбрать «Настройки TCP/IP» → «Список доменных имен».
2) В свободное поле в столбце «Список доменных имен» вписать желаемое имя домена. Например eltex.loc
3) Нажать кнопку «Применить»
Создание SIP-абонентов
1) В боковом меню перейти в раздел «Абоненты» → «SIP-абоненты».
2) Во вкладке «Конфигурация» нажать на кнопку .
3) Заполнить поля:
- Число абонентов — количество создаваемых абонентов;
- Начальный номер — номер первого создаваемого абонента;
- SIP-домен — домен созданный на предыдущем шаге;
- SIP-профиль — выбрать ранее созданный профиль;
- Авторизация — выбрать «With Register»;
- Пароль— пароль авторизации SIP-абонентов;
4) Нажать кнопку Применить.
Будет создано указанное количество абонентов. Каждому последующему абоненту будет присвоен номер, увеличивающийся на 1, начиная с начального номера.
На этом необходимая минимальная настройка IP-АТС завершена. По окончании настройки необходимо сохранить текущую конфигурацию в энергонезависимую память.
Сохранение конфигурации
1) В верхнем меню выбрать «Сервис» → «Сохранить конфигурацию во FLASH».
2) Нажать кнопку ОК во всплывающем окне.
Мониторинг регистрации SIP-абонентов
1) В боковом меню перейти в раздел «Абоненты» → SIP абоненты»
2) Перейти во вкладку «Мониторинг»;
3) Проверить индикатор и значение в столбце «Состояние» соответствующего ТА: если индикатор зеленого цвета, а значение в столбце «Состояние» — «Регистрация активна», то телефонный аппарат зарегистрирован и может совершать звонки.
IP-телефон для работы с IP-АТС должен быть предварительно настроен. Предположим, что IP-адрес телефона получен от DHCP-сервера и известен. Далее будут описаны возможные способы настройки.
Настройка IP-телефона через web-интерфейс
1) Войти в web-интерфейс IP-телефона.
Важно!
Для входа по умолчанию используются:
Логин: admin
Пароль: password
2) В меню «IP-телефония» → «SIP-аккаунты» установить флаг Аккаунт. Отобразятся дополнительные пункты настроек.
3) Заполнить следующие поля:
- Номер телефона — номер, созданный на IP-АТС;
- Логин — значение такое же, как в предыдущем пункте;
- Пароль — пароль, заданный на IP-АТС.
4) В блоке «Адреса SIP-прокси» вписать адрес IP-АТС в поля:
- SIP-прокси сервер;
- Сервер регистрации;
5) Нажать кнопку Применить в нижней части страницы.
После выполнения настройки зарегистрированный телефонный аппарат отобразится в разделе Мониторинг.
Важно!
На вышестоящем к IP-телефону и коммутатору доступа оборудовании, а именно коммутаторах агрегации и ядра необходимо разрешить прохождение VLAN ID, настроенного на коммутаторе доступа как Voice VLAN.
Настройка Wi-Fi контроллера серии WLC
В данном разделе будет рассмотрен один из возможных способов реализации сети Wi-Fi на базе Enterprise точек доступа и контроллера беспроводной сети Wi-Fi серии WLC.
Конфигурация, с которой необходимо настраивать контроллер - factory-config, она содержит в себе базовые конфигурации по большинству сервисов, включая syslog, archive, object-group и т.д. Далее необходимо привести сконфигурированный функционал к виду, который представлен в следующем разделе (изменение адресации, добавление security zone-pair, настройка дополнительных блоков).
Для резервирования контроллера предназначен функционал кластера в режиме active-standby, пример настройки приведен в разделе «Управление кластеризацей» руководства по эксплуатации WLC-Series.
Настройка физических интерфейсов
Настройка физических интерфейсов контроллера содержит следующие этапы:
- Выбор режима работы сетевого порта:
- switchport — L2-режим. Возможно разрешение VLAN, но запрещает назначение IP-адреса и создание sub-/qinq-интерфейсов;
- routerport — L3-режим. Возможно назначение IP-адреса и создание sub-/qinq-интерфейсов.
- Добавление VLAN/sub на интерфейс;
- Добавление VLAN/sub в бридж (рекомендуется).
В данном примере будет рассмотрена конфигурация в режиме switchport, сконфигурирован Port-channel в сторону коммутаторов MES.
Настройка физических интерфейсов в режиме switchport, создание Port Channel
Терминирование трафика SoftGRE-туннелей
Для терминирования трафика пользователей, передаваемого внутри SoftGRE-туннелей нужно использовать только интерфейс типа bridge, т.к. терминируемые SoftGRE-туннели обеспечивают L2-связность и могут быть включены только в данный тип интерфейсов.
Настройка SoftGRE-туннелей
Настройка данного функционала используется в случае, если выделение и настройка VLAN при подключении новых точек доступа является трудоемкой задачей, особенно если на сети предприятия между точками доступа и контроллером используется большое количество коммутаторов. Такое решение даже в L2-сети позволяет упростить подключение точек доступа, так как отсутствует необходимость прокидывать VLAN для каждого SSID через все коммутаторы, так как предполагает построение SoftGRE data-туннелей для передачи пользовательского трафика.
Настройка SoftGRE-контроллера туннелей
Настройка и включение функционала автоматического поднятия SoftGRE-туннелей
Настройка сервисов
Настройка DHCP
В рассматриваемом решении используется внешний DHCP-сервер для выдачи первоначальной настройки сетевого интерфейса точки доступа и адреса контроллера.
В случае использования внутренней конфигурации DHCP-сервера на контроллере WLC можно воспользоваться примером из статьи «Схемы использования внешнего DHCP».
Настройка RADIUS
Настройка локального RADIUS-сервера
Необходимо настроить NAS IP, которая содержит подсети точек доступа, которые будут обслуживаться локальным RADIUS-сервером при Enterprise-авторищации пользователей Wi-Fi. В рамках настроенной схемы рассмотрена авторизация Enterprise.
Настройка NAS local применяется при обращении WLC к локальному RADIUS-серверу при построении SoftGRE-туннелей.
Далее необходимо создать домен для пользователей, для управления учетными записями. Все пользователи, которые будут аутентифицироваться через этот RADIUS-сервер, будут принадлежать к домену default и к ним будут применяться одни и те же политики.
В данном домене необходимо создать учетную запись пользователя Wi-Fi для покдлючения к Enterprise SSID.
Необходимо определить параметры для взаимодействия с RADIUS-сервером: IP-адрес и ключ.
Добавить профиль AAA, указать адрес сервера, который будет использоваться в настройках SSID.
Включить RADIUS-сервер
Настройка проксирования на внешний RADIUS-сервер
Настройка внешнего сервера (virtual-server)
Настройка модуля управления конфигурацией точками доступа
Настойка подключения к RADIUS-серверу
Настройка и включение отправки аккаунтинга на RADIUS-сервер
Точки доступа: прямое взаимодействие с внешним RADIUS-сервером
Настройка SSID
Настройка авторизации PSK
Настройка Enterprise-авторизации
Настройка портальной авторизации
Встроенного портала на аппаратном контроллере нет, поэтому необходимо настроить портальную авторизации через RADIUS.
Создание белого списка URL, который может содержать URL и/или регулярные выражения RegExp. Доступ к указанным адресам будет разрешен для авторизации.
Создание белого списка IP-адресов, доступ к которым будет разрешен до авторизации. В белый список можно добавлять адреса подсетей, которые нужны для авторизации.
Создание portal-profile, где будут указаны все необходимые параметры для перенаправления клиента на внешний портал.
Создание ssid-profile.
Добавление ssid-profile в ap-location.
Локация — это группы точек доступа, предназначенная для предоставления сервиса внутри топографического и/или логического сегмента сети, которые, в общем случае, будут конфигурироваться по одним и тем же правилам 9профилям). Локация для точки (ap-locaton) определяется при подключении точки к контроллеру в зависимости от адресного пространства.
Если есть необходимость с части SSID трафик выпускать локально, то в настройках SSID-profile необходимо указать режим:
local-switching → wlc(config-wlc-ssid-profile)# local-switching
В этом случае весь трафик локации туннелируется, за исключением SSID c указанным режимом.
Настройка AirTune
Основным функционалом сервиса AirTune является Radio Resource Management (RRM).
Radio Resource Management позволяет автоматически оптимизировать характеристики точек доступа в зависимости от текущих условий. Сервис AirTune не заменяет собой процедуры радиопланирования, но позволяет провести финальный этап оптимизации сети, а также осуществлять постоянный контроль.
Также сервис включает в себя функционал роуминга:
- Синхронизация списков соседних точек доступа стандарта 802.11k, который позволяет клиенту при ослабевании сигнала с текущей точки доступа искать более подходящую точку доступа из рекомендуемого списка, а не анализируя весь эфир.
- Согласование ключей между точками доступа для роуминга стандарта 802.11r, который позволяет значительно ускорять процесс переключения клиента между точками доступа, т. к. клиент проходит на встречной точке доступа только ускоренную авторизацию, без необходимости повторно проходить полную авторизацию.
В контроллере уже присутствует дефолтная конфигурация модуля airtune, которой будет достаточно для полноценной работы сервиса RRM и бесшовного роуминга в рамках определенной локации.
Применение конфигурации по умолчанию модуля AirTune.
Настройка индивидуального профиля с учетом организации сети W-Fi большого офиса
При необходимости можно изменить необходимые пункты профайла модуля airtune default-location на требуемые. Или создать уникальный профайл (или несколько профайлов) с требуемыми параметрами, которые будут отличаться от параметров по умолчанию, и назначить профайл (или профайлы) на требуемую локацию или локации.
Важно!
Все внесенные изменения в конфигурации необходимо записать в постоянную память устройства!
wlc-15#commit (сохранение изменений и запуск таймера)
Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds.
wlc-15#confirm (подтверждение изменений и их применение)
Configuration has been confirmed. Commit timer canceled
Для проверки работы функционала и траблшутинга предназначен гайд WLC Troubleshooting Guide.
Добавление сетевого оборудования в систему мониторинга ECCM
ECCM — система, предназначенная для инвентаризации, управления и мониторинга сетевого оборудования Eltex. Поможет автоматизировать рутинные задачи по конфигурированию и обновлению оборудования, осуществить непрерывный мониторинг работы сети для быстрого реагирования и устранения возникающих неисправностей.
В рамках схемы большого офиса, сервер ECCM выделен в ранее созданный Management VLAN.
Для обеспечения отказоустойчивости системы, представляется возможность настройки резервирования серверов, подробнее по следующей ссылке.
Конфигурирование коммутаторов MES для взаимодействия с ECCM
Конфигурирование маршрутизаторов ESR для взаимодействия с ECCM
Конфигурирование контроллера WLC для взаимодействия с ECCM
Пример добавления, мониторинга и управления контроллера WLC в кластере представлен в статье «Мониторинг и конфигурирование WLC в кластере» раздела «Полезные статьи» документации ECCM.
Добавление сетевого оборудования в систему мониторинга ECCM
Автоматическое добавление используется в случае с мониторингом устройств в определенном диапазоне адресов. В случае с представленной схемой - диапазон от 10.250.0.10 до 10.250.0.254.
1) Во вкладке "Добавить устройства" необходимо выбрать вкладку "Обнаружение"
2) Заполнить следующие данные:
- Диапазон, поддержан ввод в различных форматах: 10.25.96.1-90 | 10.25.96-97.1-90 | 10.25.96.1-10.25.96.90 | 10.25.96.1/24;
- Версия SNMP;
- Порт SNMP - по умолчанию 161;
- Таймаут обнаружения устройств (мс)
- Communities - пароль для доступа к SNMP.
После указания всех данных необходимо нажать на кнопку "Поиск".
3) Отобразится список устройств, обнаруженных по заданным параметарм. Необходимо выбрать устройства или установить флаг "Выбрать все" и нажать на кнопку "Добавить".
4) После выбора необходимых устройств будет возможным выбрать включение/выключение suslog для всех устройств, или выбранной группы (доступно только для ESR и WLC).
Включение syslog при добавлении устройства в ECCM позволяет сократить время на настройку этой функции отдельно для каждого устройства.
5) После добавления устройства в группу, оно будет доступно для мониторинга и управления. Если статусы не обновились, то, вероятнее всего, данные SSH и SNMP отличаются от стандартных.
В данном случае необходимо изменить данные по SNMP и SSH во вкладке "Доступ", далее нажать кнопку "Определить", чтобы автоматически заполнить поля с информацией или ввести необхоимые данные вручную, затем - нажать кнопку "Применить".
Отображение обновленных статусов
Добавление сетевого оборудования в систему контроля сетевого доступа NAICE
Безопасность инфраструктуры обеспечивается посредством аутентификации клиентов и администраторов оборудования. Eltex предлагает собственное решение — систему контроля и управления доступом NAICE.
Конфигурирование коммутаторов MES для взаимодействия с NAICE
Для того чтобы добавить коммутатор в NAICE, необходимо обеспечить сетевую связность между коммутатором и сервером NAICE. В рамках рассматриваемой схемы, связность обеспечивается в Management VLAN 250.
Инструкция по установке NAICE с учетом резервирования представлена в статье «Установка с резервированием (c использованием VRRP)» раздела «Установка и обновление» документации NAICE. Резервирование Eltex-NAICE выполняется по схеме Active-Active с использованием VRRP-адреса, что позволяет использовать один RADIUS-сервер в настройках сетевых устройств и зарезервировать подключение для сетевых устройств, настройки которых не поддерживают указание нескольких RADIUS-серверов. Также представляется возможность обеспечения резервирования в статье «Установка с резервированием (без использования VRRP)» раздела «Установка и обновление» документации NAICE.
Настройки клиентских интерфейсов MES приведены в разделе 802.1x.
Порядок настройки NAICE для добавления оборудования описан в разделе «Добавление оборудования в NAICE и настройка MAB-авторизации (Wi-Fi)» гайда «Настройка безопасности Wi-Fi».
Конфигурирование маршрутизаторов ESR для взаимодействия с NAICE
Для того чтобы добавить маршрутизатор в NAICE, необходимо обеспечить сетевую связность между маршрутизатором и сервером NAICE.
Добавление сетевого оборудования в систему контроля сетевого доступа NAICE
Метод авторизации dot1x
Необходимо использовать интеграцию с Open LDAP. Для создания пользователей необходимо выполнить следующие шаги:
- В главном меню перейти в раздел Администрирование → Управление идентификацией → Пользователи сети:
2. Нажать на символ добавления нового пользователя (+), заполнить необходимые поля (логин, пароль, подтверждение пароля):
3. Перейти в раздел Группы пользователей сети, создать новую группу пользователей, добавить пользователей в эту группу:
Настройка сетевых ресурсов NAICE
- В главном меню перейти в раздел Администрирование → Сетевые ресурсы → Устройства:
2. Нажать на символ добавления нового устройства (+), заполнить все необходимые поля (имя устройства, профиль, IP-адрес, секретный ключ RADIUS и TACACS+):
Настройка протоколов в NAICE
- В главном меню перейти в раздел Политики → Элементы → Разрешенные протоколы:
2. Нажать на символ добавления нового элемента (+), указать название сервиса и выбрать используемые для аутентификации протоколы:
Настройка политик в NAICE
1. В главном меню перейти в раздел Политика → Наборы политик:
2. Нажать на символ добавления новой политики (+), перейти в раздел Условия. В качестве атрибута указать «Service-Type» из словаря «Radius». В качестве Атрибут/значение указать «Framed-User»:
3. В доступных протоколах выбрать ранее созданный список (dot1x):
4. Перейти в режим просмотра созданного набора политик:
5. Добавить новую политику авторизации, заполнить поля Условия (атрибут «Identity group» из словаря «User Identity», атрибут/значение — «Клиенты») и Профили, выбрать необходимый профиль авторизации:
Настройка MAB-авторизации
Перед началом конфигурации профилей устройств, которые будут проходить авторизацию по MAB, необходимо осуществить настройку профиля устройства, за которым будет подключен клиент.
В данном случае — коммутатор MES.
- В главном меню перейти в раздел Администрирование → Сетевые ресурсы → Профили устройств:
2. Перейти в профиль Eltex MES:
3. В разделе MAB проставить галочки в пунктах PAP и EAP_MD5:
Также, при необходимости, в данном профиле можно включить работу протокола TACACS+:
Настройка эндпоинтов в NAICE
1. В главном меню перейти в раздел Администрирование → Управление идентификацией → Эндпоинты:
2. Нажать на символ добавления нового эндпоинта (+), заполнить поле MAC-адрес:
3. Перейти во вкладку Группы эндпоинтов, нажать на символ добавления новой группы эндпоинтов (+):
4. Добавить созданные ранее эндпоинты в группу эндпоинтов: нажать на символ добавления эндпоинтов в группу (+), в появившемся окне выбрать необходимые эндпоинты, перенести их в раздел Выбранные, нажать Добавить:
Настройка цепочки идентификации
- Перейти во вкладку Цепочки идентификаций, нажать на символ добавления новой цепочки (+) (ниже в качестве примера выбрана существующая цепочка):
2. Заполнить название цепочки и перенести в столбец Используемые объект endpoints:
Настройка протоколов NAICE
- В главном меню перейти в раздел Политика → Элементы → Результаты:
2. Нажать на символ добавления нового списка протоколов (+), заполнить название списка, включить MAC Authentication Bypass (MAB):
Настройка политик в NAICE
1. В главном меню перейти в раздел Политика → Наборы политик:
2. Нажать на символ добавления новой политики (+), перейти в раздел Условия. В качестве атрибута указать «Service-Type» из словаря «Radius». В качестве Атрибут/значение указать «Call-Check»:
3. В доступных протоколах выбрать ранее созданный список (MAB):
4. Перейти в режим просмотра созданного набора политик:
5. Добавить новую политику авторизации, заполнить поля Условия (атрибут «Endpoint Group» из словаря «Endpoint Identity», атрибут/значение — «MAB») и Профили, выбрать необходимый профиль авторизации:
В случае корректной настройки и прохождения авторизации, информацию о пользовательских сессиях можно посмотреть в разделе Мониторинг → RADIUS:
Более детализированная информация представлена в блоке "Подробнее":
Примеры конфигураций NAICE с настройкой различных атрибутов представлены в документации NAICE в следующих статьях:
Пример настройки NAICE для контроллера WLC и точек доступа представлен в статье «Настройка Captive Portal» раздела «Быстрый запуск (Quickstart)» документации NAICE.
Также в статье «Настройка 802.1x авторизации в связке с WLC+AP» раздела «Быстрый запуск (Quickstart)» документации NAICE представлен пример настройки 802.1x авторизации в связке контроллера WLC и точек доступа.
Заключение
В рамках данного гайда была рассмотрена типовая аритектура, которая отвечает современным требованиям к организации сетевой архитектуры. Реализованная трехуровневая модель позволяет обеспечить не только высокую производительность и отказоустойчивость, но и легкое масшатбирование.
Использование предложенного комлекса устройств производства компании Eltex покрывает широкий спектр задач: от предоставления клиентам досутпа в сеть до развертывая собственной телефонии и БШПД с использованием собственного NAC-с ервера.
Таким образом, предложенные решения и практики использования оборудования Eltex позволяют создать сбалансированную, защищенную и централизируемую управляему сеть, которая способна обеспечить бесперебойное функционирование бизнес-процессов усредненного предприятия как в текущий момент, так и с учетом перпективы дальнейшего развития.
Общие конфигурации устройств
Полезные ссылки
Документы и версии ПО для устройств производства компании Eltex
Схемы использования DHCP-сервера для контроллера WLC
Управление контроллером WLC посредством WEB-интерфейса
Мониторинг и конфигурирования WLC в кластере
Настройка отказоустойчивой системы ECCM
Установка NAC системы NAICE с резервированием (с использованием VRRP)
Установка NAC системы NAICE с резервированием (без использования VRRP)
Настройка выдачи динамического VLAN клиенту (cVLAN) в NAC системе NAICE
Настройка выдачи nACL в NAC системе NAICE
Настройка выдачи динамического ACL клиенту (dACL) в NAC системе NAICE
Настройка Captive Portal на контроллере WLC и в NAC системе NAICE
Настройка 802.1x авторизации в связке WLC+AP в NAC системе NAICE