Организация связи всегда являлась для человека важной задачей. В современном мире любая крупная компания сталкивается с необходимостью организации надежной и эффективной сетевой инфраструктуры. Одним из ключевых элементов такой инфраструктуры являются коммутаторы, обеспечивающие передачу данных между различными устройствами внутри корпоративной сети. Для достижения максимальной производительности и безопасности используется трехуровневая архитектура: доступ, агрегация и ядро. Каждый из этих уровней выполняет свои специфические задачи и имеет определенные особенности.
Приведенная схема представляет сеть усредненного предприятия, решающую задачи предоставления и разграничения доступа для сотрудников, организации связи между отдельными офисами.
Постановка задачи
Целью данного документа является демонстрация построения корпоративной сети с использованием оборудования компании Eltex и практик использования этого оборудования.
Коммутаторы MES, сервисные маршрутизаторы ESR, контроллеры WLC, IP-АТС SMG, телефоны VP, точки доступа WEP и т. д. являются устройствами, отвечающими современным требованиям к построению сетей передачи данных.
Целевая аудитория
Данный документ будет полезен для инженеров, решающих задачи организации связи в отделениях банков и офисах компаний, на производствах. Возможность масштабирования, а также широкий список поддерживаемых протоколов позволяют использовать предложенную схему для решения более широкого круга задач.
Предлагаемая схема сети
Предлагаемое решение представляет собой стандартную трехуровневую архитектуру (доступ, агрегация, ядро) на базе аппаратных и программных решений Eltex.
Преимущества решения
Предлагаемое решение позволяет построить безопасную (за счет таких функций как 802.1x, Dynamic ARP Inspection, IP Source Guard и других) и надежную (физическое резервирование — стек, VPC + VRRP) корпоративную сеть, используя многолетний опыт Eltex в области телекоммуникаций.
Возможные продуктовые решения
Коммутаторы MES
Уровень
Модель
Количество портов
Размер MAC-таблицы
Маршруты IPv4 Unicast
Доступ
MES2300-24
24
16384
4066
Агрегация
MES3300-24
24
16384
13278
Ядро
MES5332A
32
32768
16286
MES5410-48
48
131072/262144*
292000/16000*
* — в зависимости от режима распределения системных ресурсов mid-l3-mid-l2/min-l3-max-l2.
Сервисные маршрутизаторы ESR
Модель
Количество портов
Размер MAC-таблицы
ESR-3300
4 × 25G SFP28, 4 ×100G QSFP28
1.7М
ESR-3200
12 × 25G SFP28
1.7М
ESR-3100
8 × 1G, 8 × 10G SFP+
1.7М
ESR-1700
4 × 1G Combo, 8 × 10G SFP+
3М
ESR-3200L
8 × 10G SFP, 4 × 25G SFP28
1.7М
IP-АТС
Модель
VoIP-каналы
E1
HDD
SMG-3016
до 768
16
2
Телефоны VP
Модель
SIP
Дисплей
Опции расширения
VP-17P
4
монохромный
нет
VP-30P
8
цветной
до трёх VP-EXT22
Точки доступа WEP
Модель
Стандарт
Размещение
Количество реальных пользователей на ТД
WEP-3ax
Wi-Fi 6
Indoor
до 100
WEP-30L
Wi-Fi 6
Indoor
до 120
Контроллеры беспроводного доступа WLC
Модель
Количество поддерживаемых точек доступа
Количество клиентов
Схема включения клиентов
WLC-15
50, доступно расширение по лицензии до 100
2000
Сentralized forwarding, local switching
WLC-30
150, доступно расширение по лицензии до 500
5000
WLC-3200
1000, доступно расширение по лицензии до 3000
300005
Версии ПО
Устройство
Версия ПО
ESR-3300
1.34.6
MES5410-48
6.6.8.8
MES5332A rev. C
6.6.8.8
MES2300D-24P
6.6.8.8
MES2300-24
6.6.8.8
SMG-3016 rev. B
3.409
WLC-15
1.30.8
WEP-30L
2.8.10
VP-17P
1.5.7
VP-30P
1.4.5
ECCM
2.5.1
NAICE
v1.0
Параметры окружения и сетевой инфраструктуры
В данном руководстве используются внешние сетевые службы, которые находятся за пределами сети. Фактические настройки определяются текущей конфигурацией вашей сети или предоставляются поставщиками услуг.
Назначение
VID
IP Address
Management VLAN
250
10.250.0.0/24
Пользовательская VLAN
100
10.100.0.0/24
Voice VLAN
101
10.101.0.0/24
Guest VLAN
150
10.150.0.0/24
VLAN управления ТД
110
10.110.0.0/24
VLAN пользователей ТД
115
10.115.0.0/24
ISP 1
1000
203.0.113.2/25
ISP 2
2000
203.0.113.130/25
Внешний NTP-сервер
ISP1, ISP2
Внешний DHCP-сервер
300
192.168.1.30
ECCM (SNMP, Syslog, backup)
250
10.250.0.100
NAICE (Radius, Tacacs+)
250
10.250.0.200
Система мониторинга и управления ECCM может выступать в рамках Syslog-сервера, хранилищем backup-ов конфигураций для сетевых устройств.
Система контроля сетевого доступа NAICE может выступать в роли внешнего RADIUS и TACACS+ серверов.
В рамках конфигурации устройств, представленных в гайде, данные опции учтены, т.о. в случае использования иных серверов необходимо настроить соответствующую адресацию.
Настройка коммутаторов уровня доступа
Коммутаторы уровня доступа представляют собой первый уровень взаимодействия пользователей с сетью, к ним подключаются конечные устройства, такие как рабочие станции, принтеры и IP-телефоны, что обеспечивает базовый доступ к ресурсам локальной сети. Основные функции этих устройств включают:
Подключение конечных устройств — коммутатор обеспечивает подключение большого количества рабочих станций и других периферийных устройств.
Управление безопасностью — на уровне доступа реализуются базовые механизмы защиты, такие как фильтрация MAC-адресов и контроль доступа к портам.
PoE (Power over Ethernet) — передача питания по Ethernet-кабелю к таким устройствам как IP-телефоны, точки доступа, камеры видеонаблюдения.
Для обеспечения безопасности на уровне доступа применяются следующие функции: DHCP-Snooping, Dynamic ARP Inspection, IP Source Guard, 802.1x, Storm Control, Loopback Detection, Telnet/SSH, Management ACL, Port Isolation, Voice VLAN.
DHCP Snooping
DHCP Snooping позволяет повысить уровень безопасности сетевой инфраструктуры за счет определения доверенных и недоверенных портов для работы протокола DHCP. Также на базе таблицы DHCP Snooping работуют другие функции, например, IP Source Guard.
MES2300-24Развернуть исходный код
ip dhcp snooping
ip dhcp snooping vlan 100
!
interface range gigabitethernet1/0/1-24
ip dhcp snooping limit clients {количество клиентов}
exit
!
interface Port-Channel1
ip dhcp snooping trust
exit
!
Пояснение к конфигурацииРазвернуть исходный код
Включение функционала DHCP Snooping глобально
Указание VLAN, в которой будет работать DHCP Snooping (клиентская VLAN)
Переход в режим конфигурирования диапазона интерфейсов gi1/0/1-24
Ограничение количества клиентов за портом, от которых могут быть переданы DHCP-запросы (защита от атаки DHCP starvation)
Переход в режим конфигурирования Port-Channel 1
Указание, что интерфейс Port-Channel 1 является доверенным, т. е. пришедшие на него "сверху" ответы от DHCP-сервера могут пересылаться "вниз"
Полезные команды для проверки
show ip dhcp snooping binding — просмотр сведений о том, какие IP-адреса выданы клиентам, за какими портами, в каких VLAN они находятся, клиентских MAC-адресах;
show ip dhcp snooping — просмотр сведений о том, в какой VLAN, на каких интерфейсах включена функция DHCP Snooping, какие интерфейсы являются доверенными.
Dynamic ARP Inspection
Dynamic ARP Inspection (DAI) — функция коммутатора, предназначенная для защиты от атак с использованием протокола ARP (например, ARP Spoofing). Функция позволяет сократить риски от атак MITM, когда злоумышленник перехватывает трафик, изменив ARP-таблицу на коммутаторе таким образом, что настоящий IP-адрес клиента соответствует MAC-адресу злоумышленника (отправляя соответствующие ARP-ответы).
MES2300-24Развернуть исходный код
ip dhcp snooping
ip dhcp snooping vlan 100
ip arp inspection
ip arp inspection vlan 100
!
interface Port-Channel1
ip arp inspection trust
ip dhcp snooping trust
exit
!
Пояснение к конфигурацииРазвернуть исходный код
Включение функционала DHCP Snooping глобально
Указание VLAN, в которой будет работать DHCP Snooping (клиентская VLAN)
Включение DAI глобально
Указание VLAN, в которой будет работать DAI
Переход в режим конфигурирования Port-Channel 1
Указание, что интерфейс Port-Channel 1 является доверенным для DAI
Указание, что интерфейс Port-Channel 1 является доверенным для DHCP Snooping
Полезные команды для проверки
show ip arp inspection — просмотр информации, на каких физических интерфейсах и VLAN работает функция DAI;
show ip arp inspection statistics — просмотр информации о количестве пересланных/отброшенных ARP-пакетах.
IP Source Guard
Функция защиты IP-адреса предназначена для фильтрации IP-трафика, принятого с интерфейса, на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Функционал позволяет защититься от подмены IP-адресов в трафике, приходящем от подключенного клиентского устройства.
MES2300-24Развернуть исходный код
ip dhcp snooping
ip dhcp snooping vlan 100
ip source guard
!
interface range Gigabitethenet1/0/1-24
ip source-guard
!
interface Port-Channel1
ip dhcp snooping trust
exit
!
Пояснение к конфигурацииРазвернуть исходный код
Включение функционала DHCP Snooping глобально
Указание VLAN, в которой будет работать DHCP Snooping (клиентская VLAN)
Включение функционала IP Source Guard глобально
Переход в режим конфигурирования диапазона интерфейсов gi1/0/1-24
Включение функционала IP Source Guard
Переход в режим конфигурирования Port-Channel 1
Указание, что интерфейс Port-Channel 1 является доверенным для DHCP Snooping
Полезные команды для проверки
show ip source-guard configuration — просмотр настройки функции защиты IP-адреса на заданном, либо на всех интерфейсах устройства.
show ip source-guard status — просмотр статуса функции защиты IP-адреса для интерфейса, IP-адреса, МАС-адреса или группы VLAN.
show ip source-guard inactive — просмотр неактивных IP-адресов отправителя.
802.1x
Использование стандарта 802.1x позволяет обеспечить безопасность сети за счет централизованной авторизации пользователей, в результате чего снижается возможность подключения к инфраструктуре злоумышленников.
Включение функционала dot1x на коммутаторе глобально
Указание IP-адреса RADIUS-сервера и секретного ключа
Переход в режим конфигурирования диапазона интерфейсов gi1/0/1-24
Включение режима авторизации каждой сессии за указанным портом
Включение поддержки VLAN на интерфейсе, в которую попадает трафик от неавторизованных клиентов
Указание используемых методов авторизации: 802.1x (логин пароль-TLS-для клиента) и mac-авторизация (для телефона)
Включение обработки опции Tunnel-Private-Group-ID (81) в сообщениях RADIUS-сервера
Использование функционала dot1x для изменения клиента состояния между авторизованным и неавторизованным
Переход в режим конфигурирования интерфейса VLAN 150
Включение функции гостевой VLAN на текущем интерфейсе VLAN
Полезные команды для проверки
show dot1x users — просмотр сведений об авторизованных клиентах;
show dot1x statistics interface {gigabitethernet gi_port | tengigabitethernet te_port} — просмотр статистики по EAP/EAPOL пакетам на интерфейсе;
show dot1x advanced interface {gigabitethernet gi_port | tengigabitethernet te_port} — просмотр расширенной информации по настроенный политике dot1x на интерфейсе;
show mac address-table — просмотр информации, в какой VLAN были изучены MAC-адреса;
show interfaces switchport {gigabitethernet gi_port | tengigabitethernet te_port | port-channel group} — просмотр информации о VLAN на физическом интерфейсе;
show access-lists — просмотр информации о списках контроля доступа.
Storm Control
Функционал предназначен для ограничения скорости BUM трафика (широковещательный (broadcast), многоадресный (multicast) или одноадресный (unknown unicast) трафик) на физическом интерфейсе.
Включение автоматического восстановления интерфейса по причине storm-control
Переход в режим конфигурирования диапазона интерфейсов gi1/0/1-24
Отправка SNMP-trap и лога на внешний Syslog сервер и в консоль при превышении заданного порога для broadcast
Отправка SNMP-trap и лога на внешний Syslog сервер и в консоль при превышении заданного порога для unicast
Отправка SNMP-trap и лога на внешний Syslog сервер и в консоль при превышении заданного порога для multicast
Полезные команды для проверки
show storm-control interface [gigabitethernet gi_port | tengigabitethernet te_port | fortygigabitethernet fo_port] — просмотр конфигурации функции контроля «шторма» для указанного порта либо всех портов.
Loopback Detection
Функционал предназначен для обнаружения петель как на самом устройстве, так и на устройствах, которые подключены к коммутатору. Механизм Loopback Detectin предотвращает и блокирует физические и логические петли как на самом коммутаторе, так и на подключенных к нему устройствах. Настройка loopback-detection возможна и на физическом интерфейсе, и во VLAN. Функционал рекомендован к настройке на всех интерфейсах, к которым подключено клиентское оборудование.
MES2300-24Развернуть исходный код
errdisable recovery cause loopback-detection
loopback-detection enable
loopback-detection interval 5
!
interface range Gigabitethernet1/0/1-24
loopback-detection enable
exit
!
Пояснение к конфигурацииРазвернуть исходный код
Включение автоматического восстановления интерфейса по причине loopback detection
Включение функционала loopback-detection глобально
Установление интервала отправки LBD кадров равный 5 секундам
Переход в режим конфигурирования диапазона интерфейсов gi1/0/1-24
Включение функционала lopback-detection на физическом интерфейсе
Полезные команды для проверки
show loopback-detection — просмотр состояния механизма loopback-detection.
Telnet/SSH
Протоколы TELNET и SSH предоставляет возможность удаленно управлять устройством путем передачи текстовых команд. Однако TELNET не шифрует передаваемые данные, что делает его уязвимым. SSH предоставляет безопасный способ удаленного управления устройствами, передачи файлов и выполнения команд, защищая данные от перехвата и несанкционированного доступа.
MES2300-24Развернуть исходный код
ip ssh server
!
no ip telnet server
!
exit
!
Пояснение к конфигурацииРазвернуть исходный код
Разрешение удаленного конфигурирования устройства через SSH.
Выключение работы Telnet, по умолчанию на все коммутаторах MES он включен
Полезные команды для проверки
show ip ssh — просмотр сведений о работе SSH-сервера: статус сервера, используемые алгоритмы шифрования и обмена ключами, информация об активных сессиях.
show ip telnet — просмотр сведений о работе TELNET-сервера: статус сервера, информация об активных сессиях.
Management ACL
Программное обеспечение коммутаторов позволяет разрешить либо ограничить доступ к управлению устройством через определенные порты или группы VLAN. Для этой цели создаются списки доступа (Access Control List, ACL) для управления.
MES2300-24Развернуть исходный код
management access-list Access
permit ip-source 10.10.10.10 mask 255.255.255.0 service telnet GigabitEthernet1/0/1
permit ip-source 10.10.11.0 mask 255.255.255.0 service http GigabitEthernet1/0/1
permit ip-source 10.10.12.0 mask 255.255.255.0 service https GigabitEthernet1/0/1
permit ip-source 10.10.13.0 mask 255.255.255.0 service ssh GigabitEthernet1/0/1
permit ip-source 10.20.10.0 mask 255.255.255.0 service telnet vlan100
permit ip-source 10.20.11.0 mask 255.255.255.0 service http vlan100
permit ip-source 10.20.12.0 mask 255.255.255.0 service https vlan100
permit ip-source 10.20.13.0 mask 255.255.255.0 service ssh vlan100
exit
!
management access-class Access
!
exit
!
Пояснение к конфигурацииРазвернуть исходный код
Создание Manangement ACL
Правило, разрешающее подключение к устройству по Telnet из сети 10.10.10.0 /24 через интерфейс gigabitethernet1/0/1
Правило, разрешающее подключение к устройству по http из сети 10.10.11.0 /24 через интерфейс gigabitethernet1/0/1
Правило, разрешающее подключение к устройству по https из сети 10.10.12.0 /24 через интерфейс gigabitethernet1/0/1
Правило, разрешающее подключение к устройству по ssh из сети 10.10.13.0 /24 через интерфейс gigabitethernet1/0/1
Правило, разрешающее подключение к устройству по Telnet из сети 10.20.10.0 /24 через интерфейсы, на которые добавлен VLAN 100
Правило, разрешающее подключение к устройству по http из сети 10.20.11.0 /24 через интерфейсы, на которые добавлен VLAN 100
Правило, разрешающее подключение к устройству по https из сети 10.20.12.0 /24 через интерфейсы, на которые добавлен VLAN 100
Правило, разрешающее подключение к устройству по ssh из сети 10.20.13.0 /24 через интерфейсы, на которые добавлен VLAN 100
Ограничивает управление устройством по созданному списку доступа и активирует указанный список доступа
Полезные команды для проверки
show management access-class — просмотр информации об активном списке управления .
show management access-list [name] — просмотр списков доступа (access list) для управления.
Port isolation
Функционал предназначен для запрета обмена трафиком между конкретными интерфейсами, находящимися в одном широковещательном домене.
Переход в режим конфигурирования интерфейса gi1/0/1
Включение интерфейса в число режима изоляции внутри группы портов
Переход в режим конфигурирования интерфейса gi1/0/2
Включение интерфейса в число режима изоляции внутри группы портов
Полезные команды для проверки
show interfaces protected-ports — просмотр состояния интерфейсов в отношении функционала изоляции портов.
Voice VLAN
Voice VLAN используется для выделения VoIP-оборудования в отдельную VLAN. Для VoIP-кадров могут быть назначены QoS-атрибуты для приоритизации трафика. Классификация кадров, относящихся к кадрам VoIP-оборудования, базируется на OUI (Organizationall Unique Identifier — первые 24 бита MAC-адреса) отправителя. Назначение Voice VLAN для порта происходит автоматически, когда на порт поступает кадр с OUI из таблицы Voice VLAN. Когда порт определяется, как принадлежащий Voice VLAN — данный порт добавляется во VLAN как tagged.
MES2300-24Развернуть исходный код
voice vlan id 101
voice vlan state oui-enabled
voice vlan oui-table add 6813e2
!
no lldp med network-policy voice auto
lldp med network-policy 1 voice vlan 101 vlan-type tagged up 4
!
interface GigabitEthernet1/0/11
switchport mode general
switchport general allowed vlan add 101 tagged
switchport general pvid 100
lldp med network-policy add 1
voice vlan enable
exit
!
Пояснение к конфигурацииРазвернуть исходный код
Обозначение VLAN для функционала Voice VLAN
Активация Voice VLAN согласно статической OUI таблице
Добавление записи в таблицу OUI для используемого телефона
Удаление автоматического правила для параметра network-policy
Добавление lldp-med политики с указанием номера voice vlan и приоритета
Переход в режим конфигурирования интерфейса gi1/0/11
Перевод режима работы порта в genera (hybrid)
Разрешение прохождения трафика VLAN 101 в тегированном виде
Настройка, позволяющая поместить весь нетегированный трафик во VLAN 100
Привязка ранее созданной lldp-med политики к интерфейсу
Включение функционала Voice VLAN на интерфейсе
Полезные команды для проверки
show voice vlan — просмотр информации о Voice VLAN.
show voice vlan type oui {физический интерфейс} — просмотр информации о Voice VLAN и OUI таблице.
Syslog
Системные журналы позволяют вести историю событий, произошедших на устройстве, а также контролировать произошедшие события в реальном времени. В журнал заносятся события семи типов: чрезвычайные, сигналы тревоги, критические и не критические ошибки, предупреждения,
уведомления, информационные и отладочные.
В рамках конфигурации гайда, удаленным Syslog сервером является система мониторинга ECCM.
MESРазвернуть исходный код
logging host 10.250.0.100
logging cli-commands
Пояснение к конфигурацииРазвернуть исходный код
Указание IP-адреса внешнего сервера Syslog для передачи аварийных и отладочных сообщений
Включение логирования введенных в CLI команд
Полезные команды для проверки
show logging file — просмотр состояния журнала, аварийных и отладочных сообщений, записанных в файле журнала (локального).
show syslog-servers — просмотр настроек для удаленных Syslog-серверов.
Backup конфигурации на удаленном сервере
Коммутаторы MES позволяют резервировать конфигурацию на TFTP/SFTP/SCP-сервере по таймеру или при сохранении текущей конфигурации. В данной конфигурации будет рассмотрен пример с TFTP.
В рамках конфигурации гайда, резервирование конфигурации осуществляется на системе мониторинга ECCM (автоматически).
Таким образом, настройка резервирования конфигурации, в случае использования ECCM, на внешний TFTP-сервер для MES не требуется.
MESРазвернуть исходный код
backup server tftp://10.250.0.100
backup auto
backup path backup.conf
backup history enable
backup time-period 500
backup write-memory
no backup reachability-check tftp
Пояснение к конфигурацииРазвернуть исходный код
Указание IP-адреса сервера, на который будет производиться резервирование конфигурации
Включение автоматического резервирования конфигурации на сервере
Указание расположения файла на сервере
Включение сохранения истории резервных копий
Указание промежутка времени, по истечении которого будет осуществляться автоматическое резервирование конфигурации
Включение резервирования по сохранению конфигурации пользователем
Отключение отправки пустого пакета для проверки наличия TFTP-сервера
Полезные команды для проверки
show backup — просмотр информации о настройках резервирования конфигурации.
show backup history — просмотр истории успешно сохраненных на сервер конфигураций.
NTP
Функционал предназначен для синхронизации системного времени со стороннего источника. В рамках данного гайда используется синхронизация времени по протоколу NTP.
В случае данной схемы, NTP-сервером является VRRP-пара сервисных маршрутизаторов ESR. В качестве source IP-адреса указан VIP адрес ESR.
MESРазвернуть исходный код
clock source ntp
ntp server 10.250.0.55
Пояснение к конфигурацииРазвернуть исходный код
Включение синхронизации времени по протоколу NTP
Указание IP-адреса NTP сервера, с которого будет происходить синхронизация
Полезные команды для проверки
show ntp — просмотр текущего состояния и статистики службы NTP.
show ntp status — просмотр статуса протокола синхронизации NTP по сети.
Для сохранения конфигурации в энергонезависимую памаять необходимо использовать следующую команду (применимо для линеек MES23xx, MES2300-xx):
Таким образом, сохраненная конфигурация будет применена на коммутаторе даже в случае перезагрузки устройства, т.к. хранится в энергонезависимой памяти.
Начиная с версии ПО 6.6.9 на коммутаторах линейки MES2300-xx/MES3300-xx/MES53xx реализована поддержка функционала replace config, подробная информация представлена в следующей статье.
Система мониторинга и управления ECCM может выступать в рамках Syslog-сервера, хранилищем backup-ов конфигураций для сетевых устройств.
Система контроля сетевого доступа NAICE может выступать в роли внешнего RADIUS и TACACS+ серверов.
В рамках конфигурации устройств, представленных в гайде, данные опции учтены, т.о. в случае использования иных серверов необходимо настроить соответствующую адресацию.
Настройка коммутаторов уровня агрегации
Коммутаторы данного уровня выполняют функцию агрегации и распределения трафика, применение сетевых политик, а также обеспечивают дополнительную безопасность и отказоустойчивость всей сети.
Для обеспечения резервирования каналов на уровне агрегации применяются технологии стекирования и агрегирования каналов.
Стекирование
Стекирование коммутаторов — это объединение двух и более (до восьми) коммутаторов согласно матрице стекирования в одно логическое устройство с одним IP-адресом и одним системным МАС-адресом. Данный функционал предназначен для увеличения портовой емкости и для осуществления резервирования. Стек собирается на интерфейсах с наибольшей скоростью, и на максимальной скорости интерфейса.
Возможны две топологии стекирования — кольцевая (ring) и линейная (chain). Топология определяется в зависимости от количества устройств в стеке: в случае двух устройств – линейная, в случае трех и более устройств – кольцевая.
Из нескольких коммутаторов в стеке с ролями Master/Backup - Master-ом станет то устройство, которое первее всех будет загружено.
Для коммутаторов с количеством портов равным 48 для объединения в линейной топологии стековых портов в LAG необходимо использовать интерфейсы te1-8/0/1, te1-8/0/4 или te1-8/0/2,te1-8/0/3. При любых других комбинациях стековых портов один из них будет находиться в резерве и иметь статус Standby
MES5332AРазвернуть исходный код
Master switch
stack configuration links te 3 , te 4
stack unit-id 1
Backup switch
stack configuration links te 3 , te 4
stack unit-id 2
write startup-config
reload
Пояснение к конфигурацииРазвернуть исходный код
Настройка коммутатора с ролью Master
Назначить стековыми портами te1/0/3 и te1/0/4
Назначить unit id коммутатора в стеке
Настройка коммутатора с ролью Backup
Назначить стековыми портами te1/0/3 и te1/0/4
Назначить unit id коммутатора в стеке
Далее необходимо сохранить startup конфигурацию и перезагрузить все устройства в стеке.
Важно!
Для работы функционала, после конфигурации портов и unit id необходимо сохранить конфигурации на устройствах командой write startup, и перезагрузить все устройства, которые будут входить в состав стека.
Агрегация каналов
Агрегирование каналов -технология, которая позволяет объединить несколько физических каналов в один логический. Объединение портов в группу увеличивает пропускную способность канала между взаимодействующими устройствами и повышает отказоустойчивость. Группа портов является для коммутатора одним логическим портом.
MES5332AРазвернуть исходный код
interface Port-Channel1
switchport mode general
switchport general allowed vlan add 100-101,250 tagged
switchport forbidden default-vlan
exit
!
interface Port-Channel2
switchport mode general
switchport general allowed vlan add 100-101,250 tagged
switchport forbidden default-vlan
exit
!
interface TenGigabitEthernet1/0/1
channel-group 1 mode auto
exit
!
interface TenGigabitEthernet1/0/2
channel-group 2 mode auto
exit
!
interface GigabitEthernet2/0/1
channel-group 1 mode auto
!
interface GigabitEthernet2/0/2
channel-group 2 mode auto
!
Пояснение к конфигурацииРазвернуть исходный код
Переход в режим конфигурирования Port-Channel 1
Включение режима работы интерфейса general
Разрешение прохождения трафика VLAN 100-101,250 в тегированном виде, без снятия метки VLAN
Запрет прохождения трафика в дефолтном VLAN (1)
Переход в режим конфигурирования Port-Channel 2
Включение режима работы интерфейса general
Разрешение прохождения трафика VLAN 100-101,250 в тегированном виде, без снятия метки VLAN
Запрет прохождения трафика в дефолтном VLAN (1)
Переход в режим конфигурирования интерфейса te1/0/1
Добавление интерфейса в члены Port-Channel1, LACP в режиме «active»
Переход в режим конфигурирования интерфейса te1/0/2
Добавление интерфейса в члены Port-Channel2, LACP в режиме «active»
Переход в режим конфигурирования интерфейса te2/0/1
Добавление интерфейса в члены Port-Channel1, LACP в режиме «active»
Переход в режим конфигурирования интерфейса te2/0/2
Добавление интерфейса в члены Port-Channel2, LACP в режиме «active»
Полезные команды для проверки
show interfaces channelgroup [group] — просмотр информации о группе каналов.
Настройка коммутаторов уровня ядра
Уровень ядра обеспечивает высокую пропускную способность и маршрутизацию трафика между различными сегментами сети и межсетевыми экранами. На данном уровне для обеспечения резервирования может применяться функционал VPC.
VPC
VPC или Multi-Switch Link Aggregation Group (MLAG) — это технология, которая позволяет двум независимым коммутаторам выглядеть одним логическим коммутатором для других устройств без объединения в стек.
Peer-Link - основной линк между парой коммутаторов в VPC-домене. Через него проходит весь трафик, все vlan должны быть добавлены в конфигурацию данного линка, иначе не будет резервирования. Требует большой пропускной способности.
Peer-Detection — линк обмена служебными сообщениями peer-detection для определения состояния соседнего коммутатора в VPC-домене. Не требует большой пропускной способности (в рассматриваемой схеме для данного функционала используется интерфейс te1/0/1, можно использовать интерфейсы gi1/0/x).
Как и LAG, виртуальные LAG позволяют объединить одну или несколько Ethernet-линий для увеличения скорости и обеспечения отказоустойчивости. MLAG так же известна как VPC (Virtual port-channel). При обычном LAG агрегированные линии должны быть на одном физическом устройстве, в случае же с VPC агрегированные линии находятся на разных физических устройствах.
MES5410-48Развернуть исходный код
Настройка Primary switch
vpc
vpc domain 1
peer detection
peer detection ipaddr 1.1.1.2 1.1.1.1
peer keepalive
peer keepalive timeout 2
role priority 1
peer link port-channel 1
exit
!
vpc group 2
domain 1
vpc-port port-channel 2
exit
!
!
!
interface TwentyFiveGigaEthernet1/0/1
ip address 1.1.1.1 255.255.255.252
exit
!
interface TwentyFiveGigaEthernet1/0/2
channel-group 1 mode auto
exit
!
interface TwentyFiveGigaEthernet1/0/3
channel-group 1 mode auto
exit
!
interface TwentyFiveGigaEthernet1/0/10
channel-group 2 mode auto
exit
!
!
end
Secondary switch
vpc
vpc domain 1
peer detection
peer detection ipaddr 1.1.1.1 1.1.1.2
peer keepalive
peer keepalive timeout 2
role priority 2
peer link port-channel 1
exit
!
vpc group 2
domain 1
vpc-port port-channel 2
exit
!
!
!
interface TwentyFiveGigaEthernet1/0/1
ip address 1.1.1.2 255.255.255.252
exit
!
interface TwentyFiveGigaEthernet1/0/2
channel-group 1 mode auto
exit
!
interface TwentyFiveGigaEthernet1/0/3
channel-group 1 mode auto
exit
!
interface TwentyFiveGigaEthernet1/0/10
channel-group 2 mode auto
exit
!
!
end
Пояснение к конфигурацииРазвернуть исходный код
Настройка Primary switch
Включение VPC на коммутаторе. Выполняется после конфигурации VPC
Создание VPC-домена и переход в режим его конфигурирования
Включение peer-detection
Указание destination, source IP-адреса для peer-detection protocol
Включение службы keepalive
Указание времени ожидания ответа на запрос целостности peer-link
Установка приоритета устройства. Устройство с меньшим значением будет назначено Primary
Назначение Port-Channel в качестве peer-link
Создание VPC-группы и переход в режим ее конфигурирования
Указание VPC-домена
Указание Port-Channel, в котором будет работать VPC-группа
Переход в режим конфигурирования интерфейса twe1/0
Назначение IP-адреса для функционала Peer Detection
Переход в режим конфигурирования интерфейса twe1/0/2
Включение физического интерфейса в состав Port Channel 1 в режиме LACP
Переход в режим конфигурирования интерфейса twe1/0/3
Включение физического интерфейса в состав Port Channel 1 в режиме LACP
Переход в режим конфигурирования интерфейса twe1/0/10
Включение физического интерфейса в состав Port Channel 2 в режиме LACP
Настройка Secondary switch
Включение VPC на коммутаторе. Выполняется после конфигурации VPC
Создание VPC-домена и переход в режим его конфигурирования
Включение peer-detection
Указание destination, source IP-адреса для peer-detection protocol
Включение службы keepalive
Указание времени ожидания ответа на запрос целостности peer-link
Установка приоритета устройства. Устройство с большим значением будет назначено Secondary
Назначение Port-Channel в качестве peer-link
Создание VPC-группы и переход в режим ее конфигурирования
Указание VPC-домена
Указание Port-Channel, в котором будет работать VPC-группа
Переход в режим конфигурации интерфейса twe1/0/1
Назначение IP-адреса для функционала Peer Detection
Переход в режим конфигурирования интерфейса twe1/0/2
Включение интерфейса в состав Port Channel 1 в режиме LACP
Переход в режим конфигурирования интерфейса twe1/0/3
Включение интерфейса в состав Port Channel 1 в режиме LACP
Переход в режим конфигурирования интерфейса twe1/0/10
Включение интерфейса в состав Port Channel 2 в режиме LACP
Важно!
При настроенном Peer Detection, в случае падения Peer-link, secondary-коммутатор переводит все порты, состоящие в VPC группах, в состояние errdisable с сообщением:
LINK-W-PORT_SUSPENDED: Port Po2 suspended by vpc
Трафик, при этом, будет ходить через primary-коммутатор.
В случае падения Peer-detection линка не происходит никакой реакции
VPC-N-ROLECHANG: Peer detection protocol no longer detected.
Номер VPC домена должен совпадать на обоих коммутаторах, при этом каждый коммутатор может принадлежать только к одному VPC домену. Сам номер VPС домена используется для генерации system-mac-VPC, который является общим для двух коммутаторов.
Primary коммутатор рассылает BPDU (при этом не обязательно чтобы коммутатор был STP Root).
При настройке VPC на одноранговых коммутаторах должна быть одинаковая версия программного обеспечения.
Не следует использовать настройку switchport forbidden default-vlan на interface Po1, т.к. трафик протокола VPC ходит untagged в default vlan.
Для peer-detection сообщений не рекомендуется использовать основной линк VPC (нет смысла), также при падении данного линка, рассинхронизируется VPC пара, что вызовет простой в сети на время до понятия линка и последующего схождения VPC пары.
В VPC группе в выводе show port-channel отображаются локальный и удаленный порты. В качестве удаленного порта согласно логике работы VPC используется ifindex несуществующего 3-го юнита.
Настройка коммутаторов серверной зоны
В рамках представленной схемы часть схемы с сетевыми устройствами (коммутаторами доступа, агрегации, ядра, сервисными маршрутизаторами) отделена от серверов стеком из коммутаторов, в рамках которого настроен функционал DHCP Relay.
DHCP Relay
Задачей DHCP Relay агента является передача DHCP-пакетов от клиента к серверу и обратно в случае, если DHCP-сервер находится в одной сети, а клиент в другой. Другой функцией является добавление дополнительных опций в DHCP-запросы клиента (например, опции 82).
Исходя из того, что DHCP-сервер находится в подсети, отличной от клиентских посетей IP-телефонов, ПК, точек доступа и их клиентов, данный функционал обязателен к настройке.
MES2300-24_stackРазвернуть исходный код
ip dhcp relay enable
ip dhcp relay address 192.168.1.30
ip dhcp information option
!
interface Port-Channel5
description to_NAICE-DHCP
ip dhcp snooping trust
switchport mode general
switchport general allowed vlan add 250,300 tagged
!
interface vlan 1
no ip address dhcp
exit
!
interface vlan 100
name PC
ip address 10.100.0.45 255.255.255.0
ip dhcp relay enable
exit
!
interface vlan 101
name VoIP
ip address 10.101.0.45 255.255.255.0
ip dhcp relay enable
exit
!
interface vlan 110
name AP
ip address 10.110.0.45 255.255.255.0
ip dhcp relay enable
exit
!
interface vlan 115
name AP_users
ip address 10.115.0.45 255.255.255.0
ip dhcp relay enable
exit
Пояснение к конфигурацииРазвернуть исходный код
Включение работы функционала DHCP-Relay глобально
Указание IP-адреса доступного DHCP-сервер
Включение передачи опции dhcp
Переход в режим конфигурации PO, в рамках которого физические интерфейсы подключены к DHCP-серверу
Назначение описания для физического интерфейса
Добавление интерфейса в список «доверенных» при использовании контроля протокола DHCP
Перевод интерфейса в режим работы general
Разрешение прохождения трафика в тегированном виде для VLAN 250 (NAICE) и 300 (DHCP)
Переход в режим конфигурирования интерфейса VLAN 1
Выключение возможности получения IP адреса по DHCP
Переход в режим конфигурирования интерфейса VLAN 100
Назначение описания для VLAN
Назначение IP-адреса VLAN
Включение работы функционала DHCP-Relay в рамках interface VLAN
Переход в режим конфигурирования интерфейса VLAN 101
Назначение описания для VLAN
Назначение IP-адреса VLAN
Включение работы функционала DHCP-Relay в рамках interface VLAN
Переход в режим конфигурирования интерфейса VLAN 110
Назначение описания для VLAN
Назначение IP-адреса VLAN
Включение работы функционала DHCP-Relay в рамках interface VLAN
Переход в режим конфигурирования интерфейса VLAN 115
Назначение описания для VLAN
Назначение IP-адреса VLAN
Включение работы функционала DHCP-Relay в рамках interface VLAN
Полезные команды для проверки
show ip dhcp relay - просмотр информации о настройке функционала DHCP Relay.
Пример конфигурации для isc-dhcp-server, исходя из которого IP-адрес будет раздаваться из того пула, который находится в одном домене с IP-адресом в поле giaddr.
isc-dhcp-serverРазвернуть исходный код
#----------------giaddr for DHCP relay--------------------
class "10.100.0.0" {
match if (binary-to-ascii(10,8, ".", packet(24,4))) = "10.100.0.45";
}
class "10.101.0.0" {
match if (binary-to-ascii(10,8, ".", packet(24,4))) = "10.101.0.45";
}
class "10.110.0.0" {
match if (binary-to-ascii(10,8, ".", packet(24,4))) = "10.110.0.45";
}
class "10.115.0.0" {
match if (binary-to-ascii(10,8, ".", packet(24,4))) = "10.115.0.45"";
}
#----------Сеть для 100-----------------
subnet 10.100.0.0 netmask 255.255.255.0 {
pool {
allow members of "10.100.0.0";
range 10.100.0.100 10.100.0.150;
option subnet-mask 255.255.255.0;
option routers 10.100.0.45;
}
}
#----------Сеть для 101-----------------
subnet 10.101.0.0 netmask 255.255.255.0 {
pool {
allow members of "10.101.0.0";
range 10.101.0.101 10.101.0.150;
option subnet-mask 255.255.255.0;
option routers 10.101.0.45;
}
}
#----------Сеть для 110-----------------
subnet 10.110.0.0 netmask 255.255.255.0 {
pool {
allow members of "10.110.0.0";
range 10.110.0.100 10.110.0.150;
option subnet-mask 255.255.255.0;
option routers 10.110.0.45;
}
host wep-30L_1 {hardware ethernet e4:5a:d4:e8:da:80;
fixed-address 10.110.0.111;
option domain-name-servers 8.8.8.8;
option vendor-encapsulated-options 0c:0a:31:30:2e:31:31:30:2e:30:2e:31:0f:17:68:74:74:70:73:3a:2f:2f:31:30:2e:31:31:30:2e:30:2e:31:3a:38:30:34:33; #12 and 15 option
}
host wep-30L_2 {hardware ethernet 68:13:e2:c2:83:20;
fixed-address 10.110.0.112;
option domain-name-servers 8.8.8.8;
option vendor-encapsulated-options 0c:0a:31:30:2e:31:31:30:2e:30:2e:31:0f:17:68:74:74:70:73:3a:2f:2f:31:30:2e:31:31:30:2e:30:2e:31:3a:38:30:34:33; #12 and 15 option
}
}
#----------Сеть для 115-----------------
subnet 10.115.0.0 netmask 255.255.255.0 {
pool {
allow members of "10.115.0.0";
range 10.115.0.100 10.115.0.150;
option subnet-mask 255.255.255.0;
option routers 10.115.0.45;
}
}
Проверка выданных IP-адресов:
dhcp-lease-list
user@PC:~$ sudo dhcp-lease-list
To get manufacturer names please download http://standards.ieee.org/regauth/oui/oui.txt to /usr/local/etc/oui.txt
Reading leases from /var/lib/dhcp/dhcpd.leases
MAC IP hostname valid until manufacturer
===============================================================================================
68:13:e2:c9:70:ca 10.101.0.102 VP-17P-VI92036 2026-02-11 19:03:32 -NA-
ec:b1:e0:20:48:4c 10.101.0.103 VP-30P-VIA4005 2026-02-11 21:58:01 -NA-
ec:b1:e0:c5:4c:00 10.100.0.100 -NA- 2026-03-17 05:07:27 -NA-
В случае данной конфигурации, IP-адреса, выданные точкам доступа не будут отображаться в выводе вышеуказанной команды.
Для более детального просмотра информации по точкам доступа (DORA), можно воспользоваться командой sudo journalctl -u isc-dhcp-server | grep MAC ТД (или IP option router).
Настройка маршрутизаторов
Транспортная сеть — это совокупность всех ресурсов, выполняющих функции транспортирования в телекоммуникационных сетях. Она включает не только системы передачи, но и относящиеся к ним средства контроля, оперативного переключения, резервирования, управления. При организации транспортной сети на маршрутизаторах ESR используется следующий функционал: Syslog, archive, SSH, LLDP, NTP, SNMP, агрегация каналов, VRRP, IP SLA, BGP, SNAT.
Syslog
Функционал предназначен для сохранения сообщений о событиях на маршрутизаторе в файл.
Настройка ротации syslog-файлов
Настройка ограничения размера syslog-файла
Включение нумерации syslog-сообщений
Настройка сохранения syslog-сообщений в файл flash:syslog/default
Определение типа событий, которые будут сохранены в Syslog файле
Создание удаленного хоста для логирования
Указание удаленного IP-адреса для отправки Syslog
Определение типа событий, которые будут отправлена на внешний Syslog
Полезные команды для проверки
show syslog - для просмотра текущей информации о конфигурации syslog-журнала, созданых файлов.
show syslog configuration - просмотр информации о конфигурации syslog-журнала.
show syslog FILE - просмотр конкретного syslog-файла.
Archive
Функционал предназначен для резервного хранения конфигурации маршрутизатора.
ESR-3300Развернуть исходный код
archive
type local
by-commit
count-backup 10
exit
Пояснения к конфигурацииРазвернуть исходный код
Переход в режим конфигурирования archive
Настройка режима локальной архивации конфигурации
Включение режима архивации конфигурации при успешном изменении конфигурации (commit/confirm)
Настройка максимального количества резервных копий
Полезные команды для проверки
dir flash://backup — просмотр созданного файла в соответствии с резервным архивом конфигурации.
SSH
Функционал предназначен для удаленного подключения к маршрутизатору.
ESR-3300Развернуть исходный код
ip ssh server
security zone-pair MGMT self
rule 10
action permit
match protocol tcp
match destination-port port-range 22
enable
exit
Пояснение к конфигурацииРазвернуть исходный код
Включение работы SSH-сервера на маршрутизаторе
Создание пары зон безопасности, для разрешения SSH в зоне безопасности MGMT
Настройка правила для пары зон безопасности
Задание действия permit для правила
Задание соответствия протокола
Задание соответствия destination TCP port
Включение работы правила
Полезные команды для проверки
show users — просмотр активных сессий пользователей системы (console, telnet, ssh).
LLDP
Функционал предназначен для динамического обнаружения устройств подключаемых к маршрутизатору в локальной сети, а также помогает устройствам получать дополнительную информацию для правильной настройки.
Переход в режим конфигурирования интерфейса twe1/0/1
Включение передачи LLDP кадров
Включение приема LLDP кадров
Полезные команды для проверки
show lldp neighbors — для просмотра информации о подключенных устройствах, от которых получена информация по протоколу LLDP.
NTP
Функционал предназначен для синхронизации внутреннихчасовоборудования.
ESR-3300Развернуть исходный код
object-group network ISP_NTP
ip prefix 10.250.0.0/24
exit
security zone-pair MGMT self
rule 20
action permit
match protocol udp
match destination-port port-range 123
enable
exit
exit
clock timezone gmt +7
ntp enable
ntp object-group serve-only Mgmt_POOL
ntp server 203.0.113.2
prefer
minpoll 4
exit
ntp server 203.0.113.30
exit
Пояснения к конфигурацииРазвернуть исходный код
Создание профиля адресов MGMT-сети
Создание правила zone-pair для разрешение прохождения NTP-трафика в зоне безопасности MGMT
Создание правила для зоны безопасности
Задение действия permit для правила
Задание соответствия протокола
Задание соответствия destination UDP port
Включение работы правила
Задание часового пояса
Включение работы протокола NTP на маршрутизаторе
Разрешение устройствам из MGMT сети синхронизировать время с маршрутизатора
Задание адреса NTP-сервера, с которым маршрутизатор будет синхронизировать время
Задание еще одного NTP-сервера, с которым маршрутизатор будет синхронизировать время
Полезные команды для проверки
show ntp peers — просмотр состояния NTP пиров.
Настройка IP-связности с вышестоящими провайдерами
Для обеспечения связи конечных клиентов с услугой Интернет, необходимо организовать данную связность на уровне маршрутизаторов. Также, благодаря данной конфигурации, будет обеспечена синхронизация времени по протоколу NTP.
ESR-3300Развернуть исходный код
security zone ISP_NTP
exit
interface TwentyFiveGigabitethernet 1/0/1
description "ISP1"
security-zone ISP_NTP
ip address 203.0.113.2/25
exit
Пояснение к конфигурацииРазвернуть исходный код
Создание зоны безопасности
Переход в режим конфигурирования интерфейса twe1/0/1
Задание описания для физического интерфейса
Назначение на интерфейс ранее созданной зоны безопасности
Присвоение IP-адреса физическому интерфейсу
SNMP
Функционал предназначен для управления, мониторинга и конфигурирования маршрутизаторов из системы управления сетью. В данном примере рассмотрен пример конфигурации SNMP v2c.
ESR-3300Развернуть исходный код
snmp-server
snmp-server community public v2c ro
snmp-server community private v2c rw
security zone-pair Management self
rule 1
description "SNMP traffic from ECCM"
action permit
match protocol udp
match destination-port port-range 161
match source-address address-range 10.250.0.100
enable
exit
rule 2
description "SSH traffic from ECCM"
action permit
match protocol tcp
match destination-port port-range 22
match source-address address-range 10.250.0.100
enable
exit
rule 3
action permit
match protocol udp
match destination-port port-range 67
enable
exit
rule 4
action permit
match protocol udp
match destination-port port-range 68
enable
exit
Пояснение к конфигурацииРазвернуть исходный код
Включение SNMP-сервера на маршрутизаторе
Создание коммьюнити public с правами read only
Создание коммьюнити provate с правами read write
Переход в режим конфигурирования группы правил для пары зон безопасности
Создание правила 1 и переход в режим его конфигурации
Создание описания для правила 1
Указание действия, которое будет выполено исходя из условий правила
Указание имени или номера IP-протокола, для которого должно срабатывать правило
Конфигурация профиля TCP/UDP-портов получателя, для которых должно срабатывать правило
Конфигурация профиля IP-адресов отправителя, для которых должно срабатывать правило
Активация работы правила
Создание правила 2 и переход в режим его конфигурации
Создание описания для правила 2
Указание действия, которое будет выполено исходя из условий правила
Указание имени или номера IP-протокола, для которого должно срабатывать правило
Конфигурация профиля TCP/UDP-портов получателя, для которых должно срабатывать правило
Конфигурация профиля IP-адресов отправителя, для которых должно срабатывать правило
Активация работы правила
Создание правила 3 и переход в режим его конфигурации
Указание действия, которое будет выполено исходя из условий правила
Указание имени или номера IP-протокола, для которого должно срабатывать правило
Конфигурация профиля TCP/UDP-портов получателя, для которых должно срабатывать правило
Активация работы правила
Создание правила 4 и переход в режим его конфигурации
Указание действия, которое будет выполено исходя из условий правила
Указание имени или номера IP-протокола, для которого должно срабатывать правило
Конфигурация профиля TCP/UDP-портов получателя, для которых должно срабатывать правило
Активация работы правила
Полезные команды для проверки
show security zone Name — для просмотра интерфейсов, входящих в зону безопасности.
show security zone-pair — для просмотра списка пар зон.
show security zone-pair configuration source zone / destination zone order
Агрегация каналов
Агрегирование каналов — технология, которая позволяет объединить несколько физических каналов в один логический. Объединение портов в группу увеличивает пропускную способность канала между взаимодействующими устройствами и повышает отказоустойчивость. Группа портов является для коммутатора одним логическим портом.
Создание логического интерфейса Port-Channel 1
Переход в режим конфигурирования интерфейса twe1/0/3
Переведение интерфейса в режим switchport
Включение интерфейса в состав Port-Channel 1
Терминация интерфейса для управления маршрутизатором Port-Channel1.250
Задание описания для sub-интерфейса
Определение sub-интерфейса в зону безопапсности
Привязка IP-адреса к sub-интерфейсу
Полезные команды для проверки
show interfaces port-channel X — для просмотра информации о членах группы агрегации каналов.
VRRP
Функционал предназначен для увеличения доступности маршрутизаторов, обеспечения отказоустойчивости сетевого шлюза по умолчанию.
ESR-3300Развернуть исходный код
ROUTER1 (ESR-3300_1)
interface port-channel 1.100
vrrp 1
ip address 10.100.0.1/24
priority 101
group 1
enable
exit
ROUTER2 (ESR-3300_2)
interface port-channel 1.100
vrrp 1
ip address 10.100.0.1/24
priority 100
group 1
enable
exit
Пояснение к конфигурацииРазвернуть исходный код
Конфигурация ROUTER1, VRRP Master
Создание sub-интерфейса Port-Channel 1.100
Создание VRRP процесса 1 и переход в режим его конфигурирования
Привязка виртуального IP-адреса VRRP-маршрутизатора
Задание приоритета VRRP маршрутизатора
Привязка принадлежности VRRP-процесса к группе 1
Включение фукнционала VRRP
Конфигурация ROUTER1, VRRP Backup
Создание sub-интерфейса Port-Channel 1.100
Создание VRRP процесса 1 и переход в режим его конфигурирования
Привязка виртуального IP-адреса VRRP-маршрутизатора
Задание приоритета VRRP маршрутизатора
Привязка принадлежности VRRP-процесса к группе 1
Включение фукнционала VRRP
Полезные команды для проверки
show vrrp — для просмотра информации о протоколе VRRP.
BGP
Для организации стыка с интернет-провайдером самым распостраненным функционалом является BGP.
ESR-3300Развернуть исходный код
security zone-pair Untrusted self
rule 10
action permit
match protocol tcp
match destination-port port-range 179
enable
exit
rule 20
action permit
match protocol udp
match destination-port port-range 3784
enable
exit
exit
route-map BGP_IN
rule 10
match ip address 0.0.0.0/0
exit
rule 20
action deny
exit
exit
router bgp 64515
neighbor 203.0.113.1
remote-as 65500
update-source gigabitethernet 1/0/1
fall-over bfd
address-family ipv4 unicast
route-map BGP_IN in
enable
exit
enable
exit
enable
exit
Пояснение к конфигурацииРазвернуть исходный код
Настройка пары зон безопасности Untrusted-self, для разрешения прохождения трафика TCP port 179 и UDP port 3784
Настройка маршрутной карты
Создание правила 10 для route-map
Обозначение критерия для совпадения
Создание правила 20 для route-map
Обозначение действия, которое будет выполнено после совпадения по правилу 10
Добавление BGP-процесса в систему
Настройка соседа BGP-процесса
Определение номера автономной системы BGP-соседа
Определение источника в отправляемых обновлениях маршрутной инофрмации BGP
Активация протокола BFD на конфигурируемом BGP-соседе
Настройка IPv4 адресации BGP процесса
Терминация маршрутной карты, которая будет входить в BGP процесс
Включение address-family ipv4
Включение процесса
Включение функционала BGP
Полезные команды для проверки
show bgp neighbors — проверка установления BGP соседства, необходимо обратить внимание, чтобы маршрут по умолчанию присутствовал на обоих маршрутизаторах.
IP SLA
Функционал предназначен для проверки работоспособности канала связи.
ESR-3300Развернуть исходный код
ip sla
ip sla logging status
ip sla test 1
icmp-echo 8.8.4.4 source-ip 203.0.113.2 num-packets 5
enable
exit
ip sla schedule all life forever start-time now
track 1
description "Check Internet"
track sla test 1 mode state fail
enable
exit
interface port-channel 1.100
vrrp priority track 1 decrement 10
exit
Пояснение к конфигурацииРазвернуть исходный код
Активация работы функционала
Активация логирования групп событий SLA о смене статуса SLA-агента
Создание SLA-теста 1
Содание icmp-режима тестирования канала связи с заданными параметрами
Включение SLA теста
Создание планировщика расписания работы SLA-тестов, после создания и активации SLA-теста
Создание объекта отслеживания
Задание описания для track 1
Установление слежения за состоянием test 1
Включение SLA track
Переход в режим конфигурирования port-channel 1.100
Добавление условия изменения приоритета VRRP-процесса при активном состоянии track 1, с уменьшением значения равным 10 (decrement)
Полезные команды для проверки:
show ip sla test status — для проверки статуса IP SLA.
show track 1 — для проверки функционала IP SLA по конкретному track-менеджеру.
Source NAT
Функционал используется для подмены адреса источника у пакетов, проходящих через сетевой шлюз. При прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза. Дополнительно к адресу источника может применяться замена порта источника. При прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта.
ESR-3300Развернуть исходный код
object-group network Customers_POOL
ip prefix 10.100.0.0/24
exit
object-group network PROXY
ip address-range 203.0.113.3
exit
interface TwentyFiveGigabitethernet 1/0/1
ip nat proxy-arp PROXY
exit
security zone-pair Customer Untrusted
rule 10
action permit
match source-address object-group Customers_POOL
enable
exit
exit
nat source
pool Customer_Public_IP
ip address-range 203.0.113.3
exit
ruleset SNAT
to zone Untrusted
rule 10
match source-address object-group Customers_POOL
action source-nat pool Customer_Public_IP
enable
exit
exit
exit
Пояснение к конфигурацииРазвернуть исходный код
Создание профиля адресов локальной сети, для которых будет выполняться SNAT
Добавление профиля публичных адресов для функционала Proxy-ARP
Переход в режим конфигурирования интерфейса twe1/0/1
Активация работы протокола Proxy-ARP в рамках физического интерфейса
Настройка прохождения клиентского трафика между соответствующими зоноами безопасности
Конфигурация функционала SNAT
Создание пула Customer_Public_IP с определением диапазона IP-адресов
Создание правила SNAT
Определение зоны, в которую необходимо проксировать трафик
Создание правила для SNAT
Настройка соответствия для выполнения правила
Настройка действия для выполнения правила
Включение функционала
Полезные команды для проверки:
show ip nat source rulesets Name — проверка созданного правила SNAT.
show ip nat translations — просмотр IP-сессий трансляции SNAT.
Все внесенные изменения в конфигурации необходимо записать в постоянную память устройства!
esr-3300#commit (сохранение изменений и запуск таймера)
Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds.
esr-3300#confirm (подтверждение изменений и их применение)
Configuration has been confirmed. Commit timer canceled
Настройка телефонии
В данном разделе рассматривается решение задачи организации внутренней IP телефонии: конфигурация IP АТС, IP-телефонов.
Настройка IP-АТС
На современном предприятии телефонная связь является неотъемлемой частью технологических процессов. В свете повсеместного распространения сетей связи оптимальным видится построение телефонии на базе семейства протоколов TCP/IP.
Для организации телефонной связи рассмотрим IP АТС на базе гибридной платформы SMG-3016. Данное решение поддерживает до 1000 или до 3000 абонентов, в зависимости от лицензии. При росте абонентской базы возможно приобретение лицензии на увеличенное количество абонентов, что позволит распределить инвестиции во времени. Рассмотрим реализацию в отказоустойчивом исполнении в режиме Active+Backup.
Для этого понадобятся:
Шасси цифрового шлюза SMG-3016 — 2 штуки.
Источники питания PM160-220/12 на 220 вольт переменного тока или PM100-48/12 на 48 вольт постоянного тока — одна или две штуки на каждое устройство в любой комбинации в зависимости от требований к электропитанию.
Субмодули SM-VP-M300 для работы с VoIP — от одного до шести на каждое устройство, в зависимости от желаемого количества одновременных VoIP каналов.
Лицензия SMG3-CORP-1000 на активацию функционала IP АТС на 1000 абонентов — 1 штука.
Лицензия SMG3-RESERVE — для активации функционала master-slave - две штуки. В таком варианте при отказе основного устройства резервное будет полноценно обслуживать абонентов в течение 720 часов.
Первоначальный вход в web-интерфейс
1) Войти на web-интерфейс SMG-3016 по default-адресу 192.168.1.2
2) Ввести данные для входа, выбрать русский язык и нажать Войти
Начиная с версии ПО 3.406 при первичной авторизации на устройстве необходима обязательная смена пароля.
Следует учесть, что пользователь admin в web и в CLI — это разные пользователи. На вышеуказанном скриншоте описан пример смены пароля для пользователя admin в web.
Настройка IP-АТС для подключения к коммутаторам
Для обеспечения отказоустойчивости при отказе коммутатора или физического линка между коммутатором и SMG-3016 рекомендуется настроить агрегирование линков с помощью протокола LACP. Настройка LACP на SMG-3016 осуществляется только через CLI. Для настройки необходимо подключиться к SMG через консольный порт, или по протоколу ssh.
Переход в режим конфигурирования
Переход в режим конфигурирования switch
Переход в режим конфигурирования port-channel
Включение протокола LACP
Выбор параметров скорости
Переход в режим конфигурирования интерфейса 1/3
Включение интерфейса в port-channel 1, force - параметр порта для совместимости с группой
Переход в режим конфигурирования интерфейса 1/4
Включение интерфейса в port-channel 1, force - параметр порта для совместимости с группой
Применение конфигурации
Подтверждение конфигурации
Сохранение конфигурации в энергонезависимую память
Настройка IP-адреса IP-АТС
Важно!
Данную настройку можно пропустить, если будет использоваться адрес IP-АТС по умолчанию: 192.168.1.2
В web-интерфейсе:
1) В боковом меню перейти в раздел «Настройки TCP/IP» → «Сетевые интерфейсы».
2) С помощью левой кнопки мыши выбрать строку с интерфейсом eth0.
3) Нажать кнопку Редактировать.
4) Если необходимо, изменить поля IP-адрес, маска сети, шлюз.
1) В боковом меню перейти в раздел «Лицензирование».
2) В вспомогательном меню перейти в блок «Обновить».
3) Сохранить на ПК активный файл лицензии, нажав на кнопку «Скачать» в одноименном блоке. Данный пункт необходим для подстраховки в случае, если новый файл лицензии не удовлетворяет требованиям. Пока текущая лицензия не будет скачана система не даст загрузить новый файл лицензий.
4) Выбрать и загрузить файл лицензии на устройство, нажать на кнопку «Обновить».
5) В случае корректного файла лицензии, далее необходимо два раза нажать нажать «ОК».
Настройка сетевой связности между телефонными аппаратами и IP-АТС
1) В боковом меню перейти в раздел «Настройки TCP/IP» → «Сетевые интерфейсы».
2) Нажать кнопку «Добавить».
3) В открывшемся окне настроить следующие поля:
Имя сети — опционально;
Тип — Tagged;
VLAN ID — номер VLAN с VoIP трафиком;
Маска сети — в данном случае /24;
Шлюз — опционально, в данном случае — указан default gateway;
Сигнализация SIP;
Передача RTP.
Далее нажать кнопку «Применить».
Создание SIP-профиля на IP-АТС
1) В боковом меню перейти в раздел «Маршрутизация» → «Интерфейсы SIP».
2) Во вкладке «Конфигурация» нажать кнопку
3) Если необходимо — изменить поле Название.
4) В поле Режим установить значение «SIP-профиль».
Будет создано указанное количество абонентов. Каждому последующему абоненту будет присвоен номер, увеличивающийся на 1, начиная с начального номера.
На этом необходимая минимальная настройка IP-АТС завершена. По окончании настройки необходимо сохранить текущую конфигурацию в энергонезависимую память.
Сохранение конфигурации
1) В верхнем меню выбрать «Сервис» → «Сохранить конфигурацию во FLASH».
2) Нажать кнопку ОК во всплывающем окне.
Мониторинг регистрации SIP-абонентов
1) В боковом меню перейти в раздел «Абоненты» → SIP абоненты»
2) Перейти во вкладку «Мониторинг»;
3) Проверить индикатор и значение в столбце «Состояние» соответствующего ТА: если индикатор зеленого цвета, а значение в столбце «Состояние» — «Регистрация активна», то телефонный аппарат зарегистрирован и может совершать звонки.
IP-телефон для работы с IP-АТС должен быть предварительно настроен. Предположим, что IP-адрес телефона получен от DHCP-сервера и известен. Далее будут описаны возможные способы настройки.
Настройка IP-телефона через web-интерфейс
1) Войти в web-интерфейс IP-телефона.
Важно!
Для входа по умолчанию используются:
Логин: admin
Пароль: password
2) В меню «IP-телефония» → «SIP-аккаунты» установить флаг Аккаунт. Отобразятся дополнительные пункты настроек.
4) В блоке «Адреса SIP-прокси» вписать адрес IP-АТС в поля:
SIP-прокси сервер;
Сервер регистрации;
5) Нажать кнопку Применить в нижней части страницы.
После выполнения настройки зарегистрированный телефонный аппарат отобразится в разделе Мониторинг.
Важно!
На вышестоящем к IP-телефону и коммутатору доступа оборудовании, а именно коммутаторах агрегации и ядра необходимо разрешить прохождение VLAN ID, настроенного на коммутаторе доступа как Voice VLAN.
Настройка Wi-Fi контроллера серии WLC
В данном разделе будет рассмотрен один из возможных способов реализации сети Wi-Fi на базе Enterprise точек доступа и контроллера беспроводной сети Wi-Fi серии WLC.
Конфигурация, с которой необходимо настраивать контроллер - factory-config, она содержит в себе базовые конфигурации по большинству сервисов, включая syslog, archive, object-group и т.д. Далее необходимо привести сконфигурированный функционал к виду, который представлен в следующем разделе (изменение адресации, добавление security zone-pair, настройка дополнительных блоков).
Для резервирования контроллера предназначен функционал кластера в режиме active-standby, пример настройки приведен в разделе «Управление кластеризацей» руководства по эксплуатации WLC-Series.
Настройка физических интерфейсов
Настройка физических интерфейсов контроллера содержит следующие этапы:
Выбор режима работы сетевого порта:
- switchport — L2-режим. Возможно разрешение VLAN, но запрещает назначение IP-адреса и создание sub-/qinq-интерфейсов; - routerport — L3-режим. Возможно назначение IP-адреса и создание sub-/qinq-интерфейсов.
Добавление VLAN/sub на интерфейс;
Добавление VLAN/sub в бридж (рекомендуется).
В данном примере будет рассмотрена конфигурация в режиме switchport, сконфигурирован Port-channel в сторону коммутаторов MES.
Настройка физических интерфейсов в режиме switchport, создание Port Channel
WLC-15Развернуть исходный код
vlan 110,115,250
exit
bridge 10
vlan 110
ip firewall disable
ip address 10.110.0.1/24
no spanning-tree
enable
exit
bridge 15
vlan 115
ip firewall disable
ip address 10.115.0.1/24
no spanning-tree
enable
exit
bridge 25
vlan 250
ip firewall disable
ip address 10.250.0.1/24
no spanning-tree
enable
exit
interface port-channel 1
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 110,250
exit
interface gigabitethernet 1/0/3
mode switchport
channel-group 1 mode auto
exit
interface gigabitethernet 1/0/4
mode switchport
channel-group 1 mode auto
exit
Пояснение к конфигурацииРазвернуть исходный код
Создание VLAN
Создание bridge и переход в режим его конфигурирования
Привязка VLAN к bridge 10
Отключение работы firewall
Указание IP-адреса для подсети управления точками доступа
Отключение работы STP
Активация работы bridge
Создание bridge и переход в режим его конфигурирования
Привязка VLAN к bridge 15
Отключение работы firewall
Указание IP-адреса для подсети с трафиком точек доступа
Отключение работы STP
Активация работы bridge
Создание bridge и переход в режим его конфигурирования
Привязка VLAN к bridge 25
Отключение работы firewall
Указание IP-адреса для подсети с трафиком точек доступа
Отключение работы STP
Активация работы bridge
Переход в режим конфигурирования port-channel 1
Перевод интерфейса в режим switchport
Выбор режима работы интерфейса
Разрешение прохождения трафика в тегированном формате для выбранных VID
Переход в режим конфигурации физического интерфейса
Перевод интерфейса в режим switchport
Включение интерфейса в состав port channel 1 (LACP)
Переход в режим конфигурации физического интерфейса
Перевод интерфейса в режим switchport
Включение интерфейса в состав port channel 1 (LACP)
Терминирование трафика SoftGRE-туннелей
Для терминирования трафика пользователей, передаваемого внутри SoftGRE-туннелей нужно использовать только интерфейс типа bridge, т.к. терминируемые SoftGRE-туннели обеспечивают L2-связность и могут быть включены только в данный тип интерфейсов.
WLC-15Развернуть исходный код
vlan 115
force-up
mtu 1458
exit
Пояснение к конфигурацииРазвернуть исходный код
Создание VLAN для трафика пользователей
Включение режима активности VLAN вне зависимости от состояния интерфейсов, на которых прописан данный VLAN
Установление размера MTU 1458 для компенсации туннелирования трафика
Настройка SoftGRE-туннелей
Настройка данного функционала используется в случае, если выделение и настройка VLAN при подключении новых точек доступа является трудоемкой задачей, особенно если на сети предприятия между точками доступа и контроллером используется большое количество коммутаторов. Такое решение даже в L2-сети позволяет упростить подключение точек доступа, так как отсутствует необходимость прокидывать VLAN для каждого SSID через все коммутаторы, так как предполагает построение SoftGRE data-туннелей для передачи пользовательского трафика.
Переход в режим настройки SoftGRE-контроллера
Задание IP-адреса, на который будет заменен NAS IP при проксировании пакетов RADIUS
Установка режима конфигурации wLC
Выбор ААА профиля, созданного в разделе "RADIUS"
Отлючение проверки доступности удаленного шлюза туннеля
Разрешение прохождения пользовательского трафика с VID 115
Активация работы SoftGRE-контроллера
Настройка и включение функционала автоматического поднятия SoftGRE-туннелей
WLC-15Развернуть исходный код
tunnel softgre 1
mode data
local address 10.110.0.1
default-profile
enable
exit
Посянение к конфигурацииРазвернуть исходный код
Переход в режим настройки SoftGRE-контроллера
Выбор режима работы data = режим данных
Задание IP-адреса локального шлюза туннеля
Активация использования конфигурации этого туннеля для автоматического поднятия туннелей
Активация работы туннеля
Настройка сервисов
Настройка DHCP
В рассматриваемом решении используется внешний DHCP-сервер для выдачи первоначальной настройки сетевого интерфейса точки доступа и адреса контроллера.
В случае использования внутренней конфигурации DHCP-сервера на контроллере WLC можно воспользоваться примером из статьи «Схемы использования внешнего DHCP».
Настройка RADIUS
Настройка локального RADIUS-сервера
Необходимо настроить NAS IP, которая содержит подсети точек доступа, которые будут обслуживаться локальным RADIUS-сервером при Enterprise-авторищации пользователей Wi-Fi. В рамках настроенной схемы рассмотрена авторизация Enterprise.
WLC-15Развернуть исходный код
radius-server local
nas ap
key ascii-text password
network 10.250.0.0/24
exit
Пояснение к конфигурацииРазвернуть исходный код
Переход в режим конфигурирования локального RADIUS на WLC
Уточнение конфигурации NAS, в данном случае это точки доступа
Задание пароля для проверки подлинности между точками доступа (NAS) и WLC (RADIUS)
Указание подсети, из которой все точки доступа будут использовать указанные настройки
Настройка NAS local применяется при обращении WLC к локальному RADIUS-серверу при построении SoftGRE-туннелей.
WLC-15Развернуть исходный код
nas local
key ascii-text password
network 10.110.0.0/24
exit
Пояснение к конфигурацииРазвернуть исходный код
Указание конфигурации NAS, где local - это определение того, что NAS это сам WLC
Задание пароля для проверки подлинности между WLC (NAS) и WLC (RADIUS)
RADIUS-сервер локальный, поэтому казание nas-ip-address 10.110.0.0/24
Далее необходимо создать домен для пользователей, для управления учетными записями. Все пользователи, которые будут аутентифицироваться через этот RADIUS-сервер, будут принадлежать к домену default и к ним будут применяться одни и те же политики.
WLC-15Развернуть исходный код
radius-server local
domain default
exit
Пояснение к конфигурацииРазвернуть исходный код
Переход в режим конфигурирования локального RADIUS на WLC
Создание домена с именем default
В данном домене необходимо создать учетную запись пользователя Wi-Fi для покдлючения к Enterprise SSID.
WLC-15Развернуть исходный код
radius-server local
domain default
user name1
password ascii-text password1
exit
exit
exit
Пояснение к конфигурацииРазвернуть исходный код
Переход в режим конфигурирования локального RADIUS на WLC
Переход в режим конфигурирования домена с именем default
Создание пользователя
Конфигурация пароля для пользователя
Необходимо определить параметры для взаимодействия с RADIUS-сервером: IP-адрес и ключ.
Переход в режим конфигурирования контроллера
Переход в режим конфигурирования AAA-профиля
Переход в режим конфигурирования виртуального сервера
Активация работы виртуального сервера
Настройка проксирования на внешний RADIUS-сервер
WLC-15Развернуть исходный код
wlc
radius-server local
nas ap
key ascii-text password
network 10.110.0.0/24
exit
Пояснение к конфигурацииРазвернуть исходный код
Переход в режим конфигурирования контроллера
Переход в режим конфигурирования локального RADIUS на WLC
Уточнение конфигурации NAS, в данном случае это точки доступа
Задание пароля для проверки подлинности между точками доступа (NAS) и WLC (RADIUS)
Указание подсети, из которой все точки доступа будут использовать указанные настройки
Переход в режим конфигурации виртуального сервера
Задание nas-ip (адрес контроллера WLC)
Включение proxy-mode для проксирования RADIUS-запросов на внешний сервер
Включение привязки к upstream-pool
Активация работы
Переход в режим конфигурирования внешнего сервера, задание ему имени
Указание IP-адреса внешнего RADIUS-сервера
Указание типа запросов для проксирования, в данном примере - all
Задание пароля для аутентификации между WLC (контроллером) и внешнийм RADIUS-сервером
Переход в режим конфигурирования upstream-pool
Указание необходимого вышестоящего сервера для проксирования RADIUS-запросов
Указание типа запросов для проксирования, в данном примере - all
Настройка модуля управления конфигурацией точками доступа
Переход в режим конфигурации контроллера
Создание RADIUS-профиля и переход в режим его конфигурации
Активация отравки аккаутинга на RADIUS-сервер
Активация отправки индентификатора аутентификации и учета на RADIUS-сервер
Установка интервала отправки идентификатора (в секундах)
Точки доступа: прямое взаимодействие с внешним RADIUS-сервером
Переход в режим конфигурации профиля внешнего RADIUS-сервера
Указание IP-адреса внешнего RADIUS-сервера, используемого для аутентификации
Указание пароля для RADIUS-сервера, используемого для аутентификации
Включение аккаутинга
Указание IP-адреса внешнего RADIUS-сервера, используемого для аккаутинга
Указание пароля для RADIUS-сервера, используемого для аккаутинга
Настройка SSID
Настройка авторизации PSK
WLC-15Развернуть исходный код
wlc
ssid-profile default-ssid
description default-ssid
ssid TEST_PSK
vlan-id 115
security-mode WPA2
key-wpa ascii-text password1!
band 2g
band 5g
enable
exit
Пояснение к конфигурацииРазвернуть исходный код
Переход в режим конфигурации контроллера
Создание профиля для конфигурации SSID, переход в режим его конфигурации
Присвоение описания для профиля SSID
Указание названия беспроводной сети
Указание VLAN ID для передачи пользовательского трафика
Указание режима безопасности для подключения к беспроводной сети
Указание пароля к сети Wi-Fi
Указание дипазона, в котором будет работать SSID: 2.4 ГГц
Указание дипазона, в котором будет работать SSID: 5 ГГц
Активация профиля SSID
Настройка Enterprise-авторизации
WLC-15Развернуть исходный код
wlc
ssid-profile default-ssid
description default-ssid
ssid default-ssid
vlan-id 115
security-mode WPA2_1X
radius-profile default-radius
band 2g
band 5g
enable
exit
Пояснение к конфигурацииРазвернуть исходный код
Переход в режим конфигурации контроллера
Создание профиля для конфигурации SSID, переход в режим его конфигурации
Присвоение описания для профиля SSID
Указание названия беспроводной сети
Указание VLAN ID для передачи пользовательского трафика
Указание режима безопасности доступа к беспроводной сети
Указание профиля настроек RADIUS-сервера, который будет использоваться для аторизации пользователей
Указание дипазона, в котором будет работать SSID: 2.4 ГГц
Указание дипазона, в котором будет работать SSID: 5 ГГц
Активация профиля SSID
Настройка портальной авторизации
Встроенного портала на аппаратном контроллере нет, поэтому необходимо настроить портальную авторизации через RADIUS.
Создание белого списка URL, который может содержать URL и/или регулярные выражения RegExp. Доступ к указанным адресам будет разрешен для авторизации.
Переход в режим конфигурации контроллера
Создание object-group по URL, переход в режим ее конфигурирования
Указание URL страницы, который будет разрешен
Указание regexp
Создание белого списка IP-адресов, доступ к которым будет разрешен до авторизации. В белый список можно добавлять адреса подсетей, которые нужны для авторизации.
WLC-15Развернуть исходный код
wlc
object-group network white_ip
ip prefix 192.168.0.0/24
exit
Пояснение к конфигурацииРазвернуть исходный код
Переход в режим конфигурации контроллера
Создание object-group по URL, переход в режим ее конфигурирования
Указание пула разрешенных IP
Создание portal-profile, где будут указаны все необходимые параметры для перенаправления клиента на внешний портал.
Переход в режим конфигурации контроллера
Создание radius-profile, переход в режим его конфигурирования
Указание IP=адреса RADIUS-сервера, который будет указываться для аутентификации пользователей
Конфигурация пароля для связи с RADIUS-сервером в зашифрованном виде
Включение отправки идентификатора аутентификации и учета на RADIUS-сервер
Включение аккаутинга пользователей
Указание IP-адреса RADIUS-сервер для ведения аккаутинга
Конфигурация пароля для RADIUS-сервера для ведения аккаутинга
Активация переодической отправки информации о сессиях подключенных клиентов
Указание интервала отправки информации
Переход в режим конфигурации контроллера
Создание профиля для конфигурации SSID, переход в режим его конфигурации
Указание названия SSID
Указание профиля RADIUS-сервера, указанного выше
Включение Captive Portal
Привязка профиля
Указание VLAN ID для предачи пользовательского трафика
Указание дипазона, в котором будет работать SSID: 5 ГГц
Активация профиля SSID
Добавление ssid-profile в ap-location.
Локация — это группы точек доступа, предназначенная для предоставления сервиса внутри топографического и/или логического сегмента сети, которые, в общем случае, будут конфигурироваться по одним и тем же правилам 9профилям). Локация для точки (ap-locaton) определяется при подключении точки к контроллеру в зависимости от адресного пространства.
Переход в режим конфигурации контроллера
Переход в режим конфигурации локации
Указание, что SSOD в профиле portal_test относятся к данной локации
Настройка режима туннелирования, если в этом есть необходимость
Если есть необходимость с части SSID трафик выпускать локально, то в настройках SSID-profile необходимо указать режим:
В этом случае весь трафик локации туннелируется, за исключением SSID c указанным режимом.
Настройка AirTune
Основным функционалом сервиса AirTune является Radio Resource Management (RRM).
Radio Resource Management позволяет автоматически оптимизировать характеристики точек доступа в зависимости от текущих условий.Сервис AirTune не заменяет собой процедуры радиопланирования, но позволяет провести финальный этап оптимизации сети, а также осуществлять постоянный контроль.
Также сервис включает в себя функционал роуминга:
Синхронизация списков соседних точек доступа стандарта 802.11k, который позволяет клиенту при ослабевании сигнала с текущей точки доступа искать более подходящую точку доступа из рекомендуемого списка, а не анализируя весь эфир.
Согласование ключей между точками доступа для роуминга стандарта 802.11r, который позволяет значительно ускорять процесс переключения клиента между точками доступа, т. к. клиент проходит на встречной точке доступа только ускоренную авторизацию, без необходимости повторно проходить полную авторизацию.
В контроллере уже присутствует дефолтная конфигурация модуля airtune, которой будет достаточно для полноценной работы сервиса RRM и бесшовного роуминга в рамках определенной локации.
Для работы роуминга стандартов 802.11k/r/v необходима поддержка данных стандартов со стороны клиентов.
Более подробно об алгоритме работы сервиса AirTune можно прочитать в разделе руководства по эксплуатации контроллера Настройка WLC → Настройка AirTune
Применение конфигурации по умолчанию модуля AirTune.
Переход в режим конфигурации контроллера
Создание профиля AirTune, по умолчанию в нем уже указаны оптимальные настройки сервиса
Переход в режим конфигурации контроллера
Переход в режим конфигурации локации
Добавление профиля в локацию
Переход в режим конфигурации контроллера
Переход в режим конфигурации AirTune
Активация функционала AirTune в контроллере
Настройка индивидуального профиля с учетом организации сети W-Fi большого офиса
При необходимости можно изменить необходимые пункты профайла модуля airtune default-location на требуемые. Или создать уникальный профайл (или несколько профайлов) с требуемыми параметрами, которые будут отличаться от параметров по умолчанию, и назначить профайл (или профайлы) на требуемую локацию или локации.
Переход в режим конфигурации контроллера
Создание профиля AirTune, переход в режим его конфигурирования
Выключение ускоренного сканирования
Задание времени включения оптимизации модуля RRM
Выбор типа проведения оптимизации, в данному случае по выше заданному времени
Включение режима управления мощностью точки доступа
Отключение механизма балансировки
Отключение использования протокола 802.11v при бесшовном роуминге
Переход в режим конфигурации контроллера
Переход в режим конфигурирования локации
Применение настроенного профиля
Переход в режим конфигурации контроллера
Переход в режим конфигурации Airtune
Активация функционала AirTune в контроллере
Важно!
Все внесенные изменения в конфигурации необходимо записать в постоянную память устройства!
wlc-15#commit (сохранение изменений и запуск таймера)
Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds.
wlc-15#confirm (подтверждение изменений и их применение)
Configuration has been confirmed. Commit timer canceled
Описание настройки сервиса Airtune через web-интерфейс контроллера приведено в разделе Настройка AirTune.
Добавление сетевого оборудования в систему мониторинга ECCM
ECCM — система, предназначенная для инвентаризации, управления и мониторинга сетевого оборудования Eltex. Поможет автоматизировать рутинные задачи по конфигурированию и обновлению оборудования, осуществить непрерывный мониторинг работы сети для быстрого реагирования и устранения возникающих неисправностей.
В рамках схемы большого офиса, сервер ECCM выделен в ранее созданный Management VLAN.
Для обеспечения отказоустойчивости системы, представляется возможность настройки резервирования серверов, подробнее по следующей ссылке.
Конфигурирование коммутаторов MES для взаимодействия с ECCM
MESРазвернуть исходный код
snmp-server server
snmp-server community eltex_public ro 10.250.0.100
snmp-server community eltex_private rw 10.250.0.100
Пояснение к конфигурацииРазвернуть исходный код
Включение функционала SNMP-сервера на коммутаторе
Создание community public с правами только для чтения и указание IP-адреса сервера ECCM
Создание community private с правами на чтение и запись и указание IP-адреса сервера ECCM
Конфигурирование маршрутизаторов ESR для взаимодействия с ECCM
ESRРазвернуть исходный код
snmp-server
snmp-server community public v2c ro
snmp-server community private v2c rw
security zone-pair Management self
rule 1
description "SNMP traffic from ECCM"
action permit
match protocol udp
match destination-port port-range 161
match source-address address-range 10.250.0.100
enable
exit
rule 2
description "SSH traffic from ECCM"
action permit
match protocol tcp
match destination-port port-range 22
match source-address address-range 10.250.0.100
enable
exit
rule 3
action permit
match protocol udp
match destination-port port-range 67
enable
exit
rule 4
action permit
match protocol udp
match destination-port port-range 68
enable
exit
Пояснение к конфигурацииРазвернуть исходный код
Включение SNMP-сервера на маршрутизаторе
Создание коммьюнити public с правами read only
Создание коммьюнити provate с правами read write
Переход в режим конфигурирования группы правил для пары зон безопасности
Создание правила 1 и переход в режим его конфигурации
Создание описания для правила 1
Указание действия, которое будет выполено исходя из условий правила
Указание имени или номера IP-протокола, для которого должно срабатывать правило
Конфигурация профиля TCP/UDP-портов получателя, для которых должно срабатывать правило
Конфигурация профиля IP-адресов отправителя, для которых должно срабатывать правило
Активация работы правила
Создание правила 2 и переход в режим его конфигурации
Создание описания для правила 2
Указание действия, которое будет выполено исходя из условий правила
Указание имени или номера IP-протокола, для которого должно срабатывать правило
Конфигурация профиля TCP/UDP-портов получателя, для которых должно срабатывать правило
Конфигурация профиля IP-адресов отправителя, для которых должно срабатывать правило
Активация работы правила
Создание правила 3 и переход в режим его конфигурации
Указание действия, которое будет выполено исходя из условий правила
Указание имени или номера IP-протокола, для которого должно срабатывать правило
Конфигурация профиля TCP/UDP-портов получателя, для которых должно срабатывать правило
Активация работы правила
Создание правила 4 и переход в режим его конфигурации
Указание действия, которое будет выполено исходя из условий правила
Указание имени или номера IP-протокола, для которого должно срабатывать правило
Конфигурация профиля TCP/UDP-портов получателя, для которых должно срабатывать правило
Активация работы правила
Конфигурирование контроллера WLC для взаимодействия с ECCM
WLCРазвернуть исходный код
snmp-server server
snmp-server community eltex_public ro 10.250.0.100
snmp-server community eltex_private rw 10.250.0.100
Пояснение к конфигурацииРазвернуть исходный код
Включение функционала SNMP-сервера на коммутаторе
Создание community public с правами только для чтения и указание IP-адреса сервера ECCM
Создание community private с правами на чтение и запись и указание IP-адреса сервера ECCM
Пример добавления, мониторинга и управления контроллера WLC в кластере представлено в статье «Мониторинг и конфигурирование WLC в кластере» раздела «Полезные статьи» документации ECCM.
Добавление сетевого оборудования в систему мониторинга ECCM
Автоматическое добавление используется в случае с мониторингом устройств в определенном диапазоне адресов. В случае с представленной схемой - диапазон от 10.250.0.10 до 10.250.0.254.
1) Во вкладке "Добавить устройства" необходимо выбрать вкладку "Обнаружение"
2) Заполнить следующие данные:
Диапазон, поддержан ввод в различных форматах: 10.25.96.1-90 | 10.25.96-97.1-90 | 10.25.96.1-10.25.96.90 | 10.25.96.1/24;
Версия SNMP;
Порт SNMP - по умолчанию 161;
Таймаут обнаружения устройств (мс)
Communities - пароль для доступа к SNMP.
После указания всех данных необходимо нажать на кнопку "Поиск".
3) Отобразится список устройств, обнаруженных по заданным параметарм. Необходимо выбрать устройства или установить флаг "Выбрать все" и нажать на кнопку "Добавить".
4) После выбора необходимых устройств будет возможным выбрать включение/выключение suslog для всех устройств, или выбранной группы (доступно только для ESR и WLC).
Включение syslog при добавлении устройства в ECCM позволяет сократить время на настройку этой функции отдельно для каждого устройства.
5) После добавления устройства в группу, оно будет доступно для мониторинга и управления. Если статусы не обновились, то, вероятнее всего, данные SSH и SNMP отличаются от стандартных.
В данном случае необходимо изменить данные по SNMP и SSH во вкладке "Доступ", далее нажать кнопку "Определить", чтобы автоматически заполнить поля с информацией или ввести необхоимые данные вручную, затем - нажать кнопку "Применить".
Отображение обновленных статусов
Добавление сетевого оборудования в систему контроля сетевого доступа NAICE
Безопасность инфраструктуры обеспечивается посредством аутентификации клиентов и администраторов оборудования. Eltex предлагает собственное решение — систему контроля и управления доступом NAICE.
Конфигурирование коммутаторов MES для взаимодействия с NAICE
Для того чтобы добавить коммутатор в NAICE, необходимо обеспечить сетевую связность между коммутатором и сервером NAICE. В рамках рассматриваемой схемы, связность обеспечивается в Management VLAN 250.
Инструкция по установке NAICE с учетом резервирования представлена в статье «Установка с резервированием (c использованием VRRP)» раздела «Установка и обновление» документации NAICE. Резервирование Eltex-NAICE выполняется по схеме Active-Active с использованием VRRP-адреса, что позволяет использовать один RADIUS-сервер в настройках сетевых устройств и зарезервировать подключение для сетевых устройств, настройки которых не поддерживают указание нескольких RADIUS-серверов. Также, представляется возможность обеспечения резервирования в статье «Установка с резервированием (без использования VRRP)» раздела «Установка и обновление» документации NAICE.
Назначение IP-адреса.
Конфигурируется список способов учета сессий пользователей. Ведение учета активируется и прекращается, когда пользователь входит и отключается от системы, что соответствует значениям «start» и «stop» в сообщениях протоколов RADIUS и TACACS.
Добавляем TACACS-сервер в список используемых серверов и перехода в командный режим TACACS SERVER. Использование отрицательной формы команды (no) удаляет заданный TACACS-сервер.
Переход в режим конфигурирования соответствующего терминала: локальная консоль, удаленная консоль (Telnet), удаленная защищенная консоль (SSH).
Добавление сетевого оборудования в систему контроля сетевого доступа NAICE
Метод авторизации dot1x
Необходимо использовать интеграцию с Open LDAP. Для создания пользователей необходимо выполнить следующие шаги:
В главном меню перейти в раздел Администрирование → Управление идентификацией → Пользователи сети:
2. Нажать на символ добавления нового пользователя (+), заполнить необходимые поля (логин, пароль, подтверждение пароля):
3. Перейти в раздел Группы пользователей сети, создать новую группу пользователей, добавить пользователей в эту группу:
Настройка сетевых ресурсов NAICE
В главном меню перейти в раздел Администрирование → Сетевые ресурсы → Устройства:
2. Нажать на символ добавления нового устройства (+), заполнить все необходимые поля (имя устройства, профиль, IP-адрес, секретный ключ RADIUS и TACACS+):
Настройка протоколов в NAICE
В главном меню перейти в раздел Политики → Элементы → Разрешенные протоколы:
2. Нажать на символ добавления нового элемента (+), указать название сервиса и выбрать используемые для аутентификации протоколы:
Настройка политик в NAICE
1. В главном меню перейти в раздел Политика → Наборы политик:
2. Нажать на символ добавления новой политики (+), перейти в раздел Условия. В качестве атрибута указать «Service-Type» из словаря «Radius». В качестве Атрибут/значение указать «Framed-User»:
3. В доступных протоколах выбрать ранее созданный список (dot1x):
4. Перейти в режим просмотра созданного набора политик:
5. Добавить новую политику авторизации, заполнить поля Условия (атрибут «Identity group» из словаря «User Identity», атрибут/значение — «Клиенты») и Профили, выбрать необходимый профиль авторизации:
Настройка MAB-авторизации
Перед началом конфигурации профилей устройств, которые будут проходить авторизацию по MAB, необходимо осуществить настройку профиля устройства, за которым будет подключен клиент.
В данном случае — коммутатор MES.
В главном меню перейти в раздел Администрирование → Сетевые ресурсы → Профили устройств:
2. Перейти в профиль Eltex MES:
3. В разделе MAB проставить галочки в пунктах PAP и EAP_MD5:
Также, при необходимости, в данном профиле можно включить работу протокола TACACS+:
Настройка эндпоинтов в NAICE
1. В главном меню перейти в раздел Администрирование → Управление идентификацией → Эндпоинты:
2. Нажать на символ добавления нового эндпоинта (+), заполнить поле MAC-адрес:
3. Перейти во вкладку Группы эндпоинтов, нажать на символ добавления новой группы эндпоинтов (+):
4. Добавить созданные ранее эндпоинты в группу эндпоинтов: нажать на символ добавления эндпоинтов в группу (+), в появившемся окне выбрать необходимые эндпоинты, перенести их в раздел Выбранные, нажать Добавить:
Настройка цепочки идентификации
Перейти во вкладку Цепочки идентификаций, нажать на символ добавления новой цепочки (+) (ниже в качестве примера выбрана существующая цепочка):
2. Заполнить название цепочки и перенести в столбец Используемые объект endpoints:
Настройка протоколов NAICE
В главном меню перейти в раздел Политика → Элементы → Результаты:
2. Нажать на символ добавления нового списка протоколов (+), заполнить название списка, включить MAC Authentication Bypass (MAB):
Настройка политик в NAICE
1. В главном меню перейти в раздел Политика → Наборы политик:
2. Нажать на символ добавления новой политики (+), перейти в раздел Условия. В качестве атрибута указать «Service-Type» из словаря «Radius». В качестве Атрибут/значение указать «Call-Check»:
3. В доступных протоколах выбрать ранее созданный список (MAB):
4. Перейти в режим просмотра созданного набора политик:
5. Добавить новую политику авторизации, заполнить поля Условия (атрибут «Endpoint Group» из словаря «Endpoint Identity», атрибут/значение — «MAB») и Профили, выбрать необходимый профиль авторизации:
В случае корректной настройки и прохождения авторизации, информацию о пользовательских сессиях можно посмотреть в разделе Мониторинг → RADIUS:
Более детализированная информация представлена в блоке "Подробнее":
Примеры конфигураций NAICE с настройкой различных атрибутов представлены в документации NAICE в следующих статьях:
Пример настройки NAICE для контроллера WLC и точек доступа представлен в статье «Настройка Captive Portal» раздела «Быстрый запуск (Quickstart)» документации NAICE.
Также в статье «Настройка 802.1x авторизации в связке с WLC+AP» раздела «Быстрый запуск (Quickstart)» документации NAICE представлен пример настройки 802.1x авторизации в связке контроллера WLC и точек доступа.
Заключение
В рамках данного гайда была рассмотрена типовая аритектура, которая отвечает современным требованиям к организации сетевой архитектуры. Реализованная трехуровневая модель позволяет обеспечить не только высокую производительность и отказоустойчивость, но и легкое масшатбирование.
Использование предложенного комлекса устройств производства компании Eltex покрывает широкий спектр задач: от предоставления клиентам досутпа в сеть до развертывая собственной телефонии и БШПД с использованием собственного NAC-с ервера.
Таким образом, предложенные решения и практики использования оборудования Eltex позволяют создать сбалансированную, защищенную и централизируемую управляему сеть, которая способна обеспечить бесперебойное функционирование бизнес-процессов усредненного предприятия как в текущий момент, так и с учетом перпективы дальнейшего развития.
Общие конфигурации устройств
ESR-3300_1Развернуть исходный код
hostname ESR-3300_1
object-group service NTP
port-range 123
exit
object-group network Customers_POOL
ip prefix 10.100.0.0/24
exit
object-group network ISP_NTP
ip prefix 203.0.113.0/25
exit
object-group network PROXY
ip address-range 203.0.113.3
exit
syslog max-files 3
syslog file-size 512
syslog sequence-numbers
syslog file flash:syslog/default
severity info
exit
syslog host ECCM
remote-address 10.250.0.100
severity info
exit
no spanning-tree
security zone test
exit
security zone Untrusted
exit
security zone Management
exit
security zone Customer
exit
security zone ISP_NTP
exit
route-map BGP_IN
rule 10
match ip address 0.0.0.0/0
exit
rule 20
action deny
exit
exit
router bgp 64515
neighbor 203.0.113.1
remote-as 65500
update-source twentyfivegigabitethernet 1/0/1
fall-over bfd
address-family ipv4 unicast
route-map BGP_IN in
enable
exit
enable
exit
enable
exit
interface port-channel 1
description to_MES5410-48_VPC_
speed 100G
exit
interface port-channel 1.250
security-zone Management
ip address 10.250.0.253/24
vrrp 1
ip address 10.250.0.55/24
priority 101
group 1
enable
exit
exit
interface port-channel 1.100
security-zone Customer
ip address 10.100.0.253/24
vrrp 2
ip address 10.100.0.1/24
priority 101
group 1
enable
exit
exit
interface port-channel 1.115
description "AP_users"
ip address 10.115.0.253/24
vrrp 3
ip address 10.115.0.1/24
priority 101
group 1
enable
exit
exit
interface twentyfivegigabitethernet 1/0/1
description "to_NTP_ISP1"
speed 1000M
ip address 203.0.113.3/21
ip nat proxy-arp PROXY
exit
interface hundredgigabitethernet 1/0/1
description to_MES5410-48_VPC_1
mode switchport
channel-group 1 mode auto
lldp transmit
lldp receive
exit
interface hundredgigabitethernet 1/0/2
description to_MES5410-48_VPC_2
mode switchport
channel-group 1 mode auto
lldp transmit
lldp receive
exit
interface oob 1/0/1
security-zone test
ip address 192.168.1.1/24
exit
snmp-server
snmp-server community public v2c ro
snmp-server community private v2c rw
security zone-pair test self
rule 10
action permit
enable
exit
exit
security zone-pair Management self
rule 10
description "SNMP traffic from ECCM"
action permit
match protocol udp
match source-address address-range 10.250.0.100
match destination-port port-range 161
enable
exit
rule 20
description "SSH traffic from ECCM"
action permit
match protocol tcp
match source-address address-range 10.250.0.100
match destination-port port-range 22
enable
exit
rule 30
action permit
match protocol udp
match destination-port object-group NTP
enable
exit
rule 40
action permit
match protocol udp
match destination-port port-range 161
enable
exit
rule 50
action permit
match protocol icmp
enable
exit
rule 60
action permit
match protocol udp
match destination-port port-range 67
enable
exit
rule 70
action permit
match protocol udp
match destination-port port-range 68
enable
exit
exit
security zone-pair Customer self
rule 10
action permit
match protocol udp
match source-port port-range 68
match destination-port port-range 67
enable
exit
rule 20
action permit
match protocol icmp
enable
exit
rule 30
action permit
match protocol vrrp
exit
exit
security zone-pair Customer ISP_NTP
rule 10
action permit
match source-address object-group Customers_POOL
enable
exit
exit
security zone-pair ISP_NTP self
rule 10
action permit
match protocol udp
match destination-port port-range 123
enable
exit
rule 20
action permit
match protocol tcp
match destination-port port-range 179
enable
exit
rule 30
action permit
match protocol udp
match destination-port port-range 3784
enable
exit
exit
exit
security zone-pair Customer ISP_NTP
rule 10
action permit
match protocol icmp
enable
exit
rule 20
action permit
match source-address object-group Customers_POOL
enable
exit
exit
nat source
pool Customer_Public_IP
ip address-range 203.0.113.3
exit
ruleset SNAT
to zone ISP_NTP
rule 10
match source-address object-group Customers_POOL
action source-nat pool Customer_Public_IP
enable
exit
exit
exit
ip sla
ip sla logging status
ip sla test 1
icmp-echo 8.8.4.4 source-ip 203.0.113.2 num-packets 5
enable
exit
ip sla test 2
icmp-echo 77.88.44.242 source-ip 203.0.113.2 num-packets 5
enable
exit
ip sla schedule all life forever start-time now
ip ssh server
ip ssh key-exchange time 8
archive
type local
by-commit
count-backup 10
exit
lldp enable
lldp system-name "ESR-3300_1"
clock timezone gmt +7
ntp enable
ntp object-group serve-only ISP_NTP
ntp server 203.0.113.2
prefer
minpoll 4
exit
ntp server 203.0.113.130
exit
track 1
description "Check Internet"
track sla test 1 mode state fail
track sla test 2 mode state fail
enable
exit
ESR-3300_2Развернуть исходный код
hostname ESR-3300_2
object-group service NTP
port-range 123
exit
object-group network Customers_POOL
ip prefix 10.100.0.0/24
exit
object-group network ISP_NTP
ip prefix 203.0.113.128/25
exit
object-group network PROXY
ip address-range 203.0.113.131
exit
syslog max-files 3
syslog file-size 512
syslog sequence-numbers
syslog file flash:syslog/default
severity info
exit
syslog host ECCM
remote-address 10.250.0.100
severity info
exit
no spanning-tree
security zone test
exit
security zone Management
exit
security zone Customer
exit
security zone VoIP
exit
security zone ISP_NTP
exit
route-map BGP_IN
rule 10
match ip address 0.0.0.0/0
exit
rule 20
action deny
exit
exit
router bgp 64515
neighbor 203.0.113.129
remote-as 65400
update-source gigabitethernet 1/0/1
fall-over bfd
address-family ipv4 unicast
route-map BGP_IN in
enable
exit
enable
exit
enable
exit
interface port-channel 1
description to_MES5410-48_VPC
speed 100G
exit
interface port-channel 1.250
description "Mangement"
security-zone Management
ip address 10.250.0.254/24
vrrp 1
ip address 10.250.0.55/24
priority 101
group 1
enable
exit
exit
interface port-channel 1.100
security-zone Customer
ip address 10.100.0.254/24
vrrp 2
ip address 10.100.0.1/24
group 1
enable
exit
exit
interface port-channel 1.115
ip address 10.115.0.254/24
vrrp 3
ip address 10.115.0.1/24
group 1
enable
exit
exit
interface twentyfivegigabitethernet 1/0/1
description "to_NTP_ISP2"
speed 1000M
ip address 203.0.113.133/21
ip nat proxy-arp PROXY
exit
interface hundredgigabitethernet 1/0/1
description to_MES5410-48_VPC_1
mode switchport
channel-group 1 mode auto
lldp transmit
lldp receive
exit
interface hundredgigabitethernet 1/0/2
description to_MES5410-48_VPC_2
mode switchport
channel-group 1 mode auto
lldp transmit
lldp receive
exit
snmp-server
snmp-server community public v2c ro
snmp-server community private v2c rw
security zone-pair Management self
rule 10
description "SNMP traffic from ECCM"
action permit
match protocol udp
match source-address address-range 10.250.0.100
match destination-port port-range 161
enable
exit
rule 20
description "SSH traffic from ECCM"
action permit
match protocol tcp
match source-address address-range 10.250.0.100
match destination-port port-range 22
enable
exit
rule 30
action permit
match protocol tcp
match destination-port port-range 22
enable
exit
rule 40
action permit
match protocol udp
match destination-port port-range 161
enable
exit
rule 50
action permit
match protocol icmp
enable
exit
rule 60
action permit
match protocol udp
match destination-port port-range 67
enable
exit
rule 70
action permit
match protocol udp
match destination-port port-range 68
enable
exit
exit
security zone-pair Customer self
rule 10
action permit
match protocol vrrp
enable
exit
rule 20
action permit
match protocol icmp
enable
exit
exit
security zone-pair ISP_NTP self
rule 10
action permit
match protocol udp
match destination-port port-range 123
enable
exit
rule 20
action permit
match protocol tcp
match destination-port port-range 179
enable
exit
rule 30
action permit
match protocol udp
match destination-port port-range 3784
enable
exit
exit
exit
security zone-pair Customer ISP_NTP
rule 10
action permit
match protocol icmp
enable
exit
rule 20
action permit
match source-address object-group Customers_POOL
enable
exit
exit
nat source
pool Customer_Public_IP
ip address-range 203.0.113.131
exit
ruleset SNAT
to zone ISP_NTP
rule 10
match source-address object-group Customers_POOL
action source-nat pool Customer_Public_IP
enable
exit
exit
exit
ip ssh server
ip ssh key-exchange time 8
archive
type local
by-commit
count-backup 10
exit
lldp enable
lldp system-name "ESR-3300_2"
clock timezone gmt +7
ntp enable
ntp object-group serve-only ISP_NTP
ntp server 203.0.113.130
prefer
minpoll 4
exit
ntp server 203.0.113.2
exit
MES5410-48_VPC_1Развернуть исходный код
no spanning-tree
!
vlan database
vlan 100-101,110,250
exit
!
vpc
vpc domain 1
peer detection
peer detection ipaddr 1.1.1.2 1.1.1.1
peer keepalive
role priority 1
peer link port-channel 1
exit
!
vpc group 2
domain 1
vpc-port port-channel 2
exit
!
vpc group 3
domain 1
vpc-port port-channel 3
exit
!
vpc group 4
domain 1
vpc-port port-channel 4
exit
!
vpc group 5
domain 1
vpc-port port-channel 5
exit
!
!
hostname MES5410-48_VPC_1
!
radius-server host 10.250.0.200 key secret
!
tacacs-server host 10.250.0.200 key secret
!
logging host 10.250.0.100
logging cli-commands
!
!
ip ssh server
!
snmp-server server
snmp-server community eltex_public ro 10.250.0.100
snmp-server community eltex_private rw 10.250.0.100
!
clock timezone UTC +7
clock source ntp
!
ntp server 10.250.0.55
!
no ip telnet server
!
interface TwentyFiveGigaEthernet1/0/1
description to_MES5410-48_VPC_2
ip address 1.1.1.1 255.255.255.252
exit
!
interface TwentyFiveGigaEthernet1/0/2
description to_MES2300-24_stack
channel-group 4 mode auto
exit
!
interface TwentyFiveGigaEthernet1/0/3
description to_MES2300-24_stack
channel-group 4 mode auto
exit
!
interface TwentyFiveGigaEthernet1/0/4
description to_MES5332A_stack
channel-group 5 mode auto
exit
!
interface TwentyFiveGigaEthernet1/0/5
description to_MES5332A_stack
channel-group 5 mode auto
exit
!
interface HundredGigabitEthernet1/0/1
description to_MES5410-48_VPC_2
channel-group 1 mode auto
exit
!
interface HundredGigabitEthernet1/0/2
description to_MES5410-48_VPC_2
channel-group 1 mode auto
exit
!
interface HundredGigabitEthernet1/0/3
description to_ESR-3300_1
channel-group 2 mode auto
exit
!
interface HundredGigabitEthernet1/0/4
description to_ESR-3300_2
channel-group 3 mode auto
exit
!
interface Port-Channel1
description to_MES5410-48_VPC_2
switchport mode general
switchport general allowed vlan add 100-101,110,250 tagged
switchport forbidden default-vlan
exit
!
interface Port-Channel2
description to_ESR-3300_1
switchport mode general
switchport general allowed vlan add 100-101,250 tagged
switchport forbidden default-vlan
exit
!
interface Port-Channel3
description to_ESR-3300_2
speed 100000
switchport mode general
switchport general allowed vlan add 100-101,250 tagged
switchport forbidden default-vlan
exit
!
interface Port-Channel4
description to_MES2300-24_stack
speed 10000
switchport mode general
switchport general allowed vlan add 100-101,110,250 tagged
switchport forbidden default-vlan
exit
!
interface Port-Channel5
description to_MES5332A_stack
speed 10000
switchport mode general
switchport general allowed vlan add 100-101,110,250 tagged
switchport forbidden default-vlan
exit
!
interface vlan 250
name ECCM+Naice
ip address 10.250.0.10 255.255.255.0
exit
!
!
end
MES5410-48_VPC_2Развернуть исходный код
no spanning-tree
!
vlan database
vlan 100-101,110,115,250
exit
!
vpc
vpc domain 1
peer detection
peer detection ipaddr 1.1.1.1 1.1.1.2
peer keepalive
role priority 2
peer link port-channel 1
exit
!
vpc group 2
domain 1
vpc-port port-channel 2
exit
!
vpc group 3
domain 1
vpc-port port-channel 3
exit
!
vpc group 4
domain 1
vpc-port port-channel 4
exit
!
vpc group 5
domain 1
vpc-port port-channel 5
exit
!
!
hostname MES5410-48_VPC_2
!
radius-server host 10.250.0.200 key secret
!
tacacs-server host 10.250.0.200 key secret
!
logging host 10.250.0.100
logging cli-commands
!
ip ssh server
!
snmp-server server
snmp-server community eltex_public ro 10.250.0.100
snmp-server community eltex_private rw 10.250.0.100
!
clock timezone UTC +7
clock source ntp
!
ntp server 10.250.0.55
!
no ip telnet server
!
interface TwentyFiveGigaEthernet1/0/1
description to_MES5410-48_VPC_1
ip address 1.1.1.2 255.255.255.252
exit
!
interface TwentyFiveGigaEthernet1/0/2
description to_MES2300-24_Stack
channel-group 4 mode auto
exit
!
interface TwentyFiveGigaEthernet1/0/3
description to_MES2300-24_Stack
channel-group 4 mode auto
exit
!
interface TwentyFiveGigaEthernet1/0/4
description to_MES5332A_Stack
channel-group 5 mode auto
exit
!
interface TwentyFiveGigaEthernet1/0/5
description to_MES5332A_Stack
channel-group 5 mode auto
exit
!
interface HundredGigabitEthernet1/0/1
description to_MES5410-48_VPC_1
channel-group 1 mode auto
exit
!
interface HundredGigabitEthernet1/0/2
description to_MES5410-48_VPC_1
channel-group 1 mode auto
exit
!
interface HundredGigabitEthernet1/0/3
description to_ESR-3300_1
channel-group 2 mode auto
exit
!
interface HundredGigabitEthernet1/0/4
description to_ESR-3300_2
channel-group 3 mode auto
exit
!
interface Port-Channel1
description to_MES5410-48_VPC_1
switchport mode general
switchport general allowed vlan add 100-101,110,250 tagged
exit
!
interface Port-Channel2
description to_ESR-3300_1
speed 100000
switchport mode general
switchport general allowed vlan add 100-101,250 tagged
switchport forbidden default-vlan
exit
!
interface Port-Channel3
description to_ESR-3300_2
speed 100000
switchport mode general
switchport general allowed vlan add 100-101,250 tagged
switchport forbidden default-vlan
exit
!
interface Port-Channel4
description to_MES2300-24_Stack
speed 10000
switchport mode general
switchport general allowed vlan add 100-101,110,250 tagged
switchport forbidden default-vlan
exit
!
interface Port-Channel5
description to_MES5332A_Stack
speed 10000
switchport mode general
switchport general allowed vlan add 100-101,110,250 tagged
switchport forbidden default-vlan
exit
!
interface vlan 250
name ECCM+Naice
ip address 10.250.0.11 255.255.255.0
exit
!
!
end
MES5332A_StackРазвернуть исходный код
vlan database
vlan 100-101,110,115,250
exit
!
hostname MES5332A_Stack
!
radius-server host 10.250.0.200 key secret
!
tacacs-server host 10.250.0.200 key secret
!
logging host 10.250.0.100
logging cli-commands
!
ip ssh server
!
snmp-server server
snmp-server community eltex_public ro 10.250.0.100
snmp-server community eltex_private rw 10.250.0.100
!
clock timezone UTC +7
clock source ntp
!
ntp server 10.250.0.55
!
no ip telnet server
!
interface TenGigabitEthernet1/0/1
description to_MES2300D-24P_1
channel-group 1 mode auto
exit
!
interface TenGigabitEthernet1/0/2
description to_MES2300D-24P_2
channel-group 2 mode auto
exit
!
interface TenGigabitEthernet1/0/3
description to_MES5410-48_VPC_1
channel-group 3 mode auto
exit
!
interface TenGigabitEthernet1/0/4
description to_MES5410-48_VPC_2
channel-group 3 mode auto
exit
!
interface TenGigabitEthernet2/0/1
description to_MES2300D-24P_1
channel-group 1 mode auto
exit
!
interface TenGigabitEthernet2/0/2
description to_MES2300D-24P_2
channel-group 2 mode auto
exit
!
interface TenGigabitEthernet2/0/3
description to_MES5410-48_VPC_1
channel-group 3 mode auto
exit
!
interface TenGigabitEthernet2/0/4
description to_MES5410-48_VPC_2
channel-group 3 mode auto
exit
!
interface Port-Channel1
description to_MES2300D-24P_1
switchport mode general
switchport general allowed vlan add 100-101,110,250 tagged
switchport forbidden default-vlan
exit
!
interface Port-Channel2
description to_MES2300D-24P_2
switchport mode general
switchport general allowed vlan add 100-101,110,250 tagged
switchport forbidden default-vlan
exit
!
interface Port-Channel3
description to_MES5410-48_VPC
speed 10000
switchport mode general
switchport general allowed vlan add 100-101,110,250 tagged
switchport forbidden default-vlan
exit
!
interface vlan 250
name ECCM+Naice
ip address 10.250.0.20 255.255.255.0
exit
!
!
end
MES2300-24_StackРазвернуть исходный код
vlan database
vlan 100-101,110,115,250,300
exit
!
ip dhcp relay address 192.168.1.30
ip dhcp relay enable
ip dhcp information option
!
hostname MES2300-24_Stack
!
radius-server host 10.250.0.200 key secret
!
tacacs-server host 10.250.0.200 key secret
!
logging host 10.250.0.100
logging cli-commands
!
ip ssh server
!
snmp-server server
snmp-server community eltex_public ro 10.250.0.100
snmp-server community eltex_private rw 10.250.0.100
!
clock timezone UTC +7
clock source ntp
!
ntp server 10.250.0.55
!
interface GigabitEthernet1/0/10
description to_WLC-15_1
channel-group 1 mode auto
exit
!
interface GigabitEthernet1/0/11
description to_WLC-15_2
channel-group 1 mode auto
exit
!
interface GigabitEthernet1/0/14
description to_SMG-3016_1
channel-group 2 mode auto
exit
!
interface GigabitEthernet1/0/15
description to_SMG-3016_2
channel-group 3 mode auto
exit
!
interface TenGigabitEthernet1/0/1
description to_MES5410-48_VPC_1
channel-group 4 mode auto
exit
!
interface TenGigabitEthernet1/0/2
description to_MES5410-48_VPC_2
channel-group 4 mode auto
exit
!
interface TenGigabitEthernet1/0/3
description to_NAICE-DHCP
channel-group 5 mode auto
!
interface TenGigabitEthernet1/0/4
description to_ECCM
channel-group 6 mode auto
exit
!
interface GigabitEthernet2/0/10
description to_WLC-15_1
channel-group 1 mode auto
exit
!
interface GigabitEthernet2/0/11
description to_WLC-15_2
channel-group 1 mode auto
!
interface GigabitEthernet2/0/14
description to_SMG-3016_1
channel-group 2 mode auto
exit
!
interface GigabitEthernet2/0/15
description to_SMG-3016_2
channel-group 3 mode auto
exit
!
interface TenGigabitEthernet2/0/1
description to_MES5410-48_VPC_1
channel-group 4 mode auto
exit
!
interface TenGigabitEthernet2/0/2
description to_MES5410-48_VPC_2
channel-group 4 mode auto
exit
!
interface TenGigabitEthernet2/0/3
description to_NAICE-DHCP
channel-group 5 mode auto
!
interface TenGigabitEthernet2/0/4
description to_ECCM
channel-group 6 mode auto
exit
!
interface Port-Channel1
description to_WLC-15
switchport mode general
switchport general allowed vlan add 110,250 tagged
exit
!
interface Port-Channel2
description to_SMG-3016_1
switchport mode general
switchport general allowed vlan add 101,250 tagged
exit
!
interface Port-Channel3
description to_SMG-3016_2
switchport mode general
switchport general allowed vlan add 101,250 tagged
exit
!
interface Port-Channel4
description to_MES5410-48_VPC
speed 10000
switchport mode general
switchport general allowed vlan add 100-101,110,250 tagged
switchport forbidden default-vlan
exit
!
interface Port-Channel5
description to_NAICE-DHCP
ip dhcp snooping trust
switchport mode general
switchport general allowed vlan add 250,300 tagged
exit
interface Port-Channel6
description to_ECCM
switchport mode general
switchport general allowed vlan add 250 tagged
exit
!
interface vlan 1
no ip address dhcp
exit
!
interface vlan 100
name PC
ip address 10.100.0.45 255.255.255.0
ip dhcp relay enable
exit
!
interface vlan 101
name VoIP
ip address 10.101.0.45 255.255.255.0
ip dhcp relay enable
exit
!
interface vlan 110
name WiFi_AP_man
ip address 10.110.0.45 255.255.255.0
ip dhcp relay enable
exit
!
interface vlan 115
name WiFi_AP_Users
ip address 10.115.0.45 255.255.255.0
ip dhcp relay enable
exit
!
interface vlan 250
name ECCM+Naice
ip address 10.250.0.45 255.255.255.0
exit
!
interface vlan 300
name DHCP_server
ip address 192.168.1.45 255.255.255.0
exit
!
!
end
MES2300D-24P_1Развернуть исходный код
vlan database
vlan 11,100-101,110,115,150,250
exit
!
voice vlan id 101
voice vlan state oui-enabled
voice vlan oui-table add 6813e2
!
dot1x system-auth-control
!
no lldp med network-policy voice auto
lldp med network-policy 1 voice vlan 101 vlan-type tagged up 4
!
loopback-detection enable
loopback-detection interval 5
!
errdisable recovery cause loopback-detection
!
ip dhcp snooping
ip dhcp snooping vlan 100
!
ip arp inspection
ip arp inspection vlan 100
!
hostname MES2300D-24P_1
!
radius-server host 10.250.0.200 key secret
!
tacacs-server host 10.250.0.200 key secret
!
logging host 10.250.0.100
logging cli-commands
!
ip ssh server
!
snmp-server server
snmp-server community eltex_public ro 10.250.0.100
snmp-server community eltex_private rw 10.250.0.100
!
clock timezone utc +7
clock source ntp
!
ntp server 10.250.0.55
!
interface GigabitEthernet1/0/4
dot1x host-mode single-host
loopback-detection enable
dot1x guest-vlan enable
dot1x radius-attributes vlan static
dot1x port-control auto
description to_AP
ip dhcp snooping limit clients 5
storm-control broadcast kbps 2048 trap
storm-control unicast kbps 2048 trap
storm-control multicast kbps 2048 trap
spanning-tree disable
spanning-tree bpdu filtering
switchport mode general
switchport general allowed vlan add 110 untagged
switchport general pvid 110
exit
!
interface GigabitEthernet1/0/14
dot1x host-mode multi-sessions
loopback-detection enable
dot1x guest-vlan enable
dot1x reauthentication
dot1x timeout reauth-period 300
dot1x authentication 802.1x mac
dot1x radius-attributes vlan static
dot1x port-control auto
description to_VP-17P+PC
ip dhcp snooping limit clients 5
storm-control broadcast kbps 2048 trap
storm-control unicast kbps 2048 trap
storm-control multicast kbps 2048 trap
spanning-tree disable
spanning-tree bpdu filtering
switchport mode general
switchport general allowed vlan add 100 untagged
switchport general pvid 100
switchport protected-port
lldp med network-policy add 1
voice vlan enable
exit
!
interface TenGigabitEthernet1/0/1
description to_MES5332A_Stack
channel-group 1 mode auto
exit
!
interface TenGigabitEthernet1/0/2
description to_MES5332A_Stack
channel-group 1 mode auto
exit
!
interface Port-Channel1
description to_MES5332A_Stack
ip arp inspection trust
ip dhcp snooping trust
switchport mode general
switchport general allowed vlan add 100-101,110,115,250 tagged
switchport forbidden default-vlan
exit
!
interface vlan 100
name PC
ip address 10.100.0.30 255.255.255.0
exit
!
interface vlan 101
name VoIP
ip address 10.101.0.30 255.255.255.0
exit
!
interface vlan 110
name WiFi_AP_man
ip address 10.110.0.30 255.255.255.0
exit
!
interface vlan 115
name Wifi_AP_users
ip address 10.115.0.30 255.255.255.0
exit
!
interface vlan 150
name Guest
dot1x guest-vlan
exit
!
interface vlan 250
name ECCM+Naice
ip address 10.250.0.30 255.255.255.0
exit
!
!
end
MES2300D-24P_2Развернуть исходный код
vlan database
vlan 100-101,110,115,150,250
exit
!
voice vlan id 101
voice vlan state oui-enabled
voice vlan oui-table add ecb1e0
!
dot1x system-auth-control
!
no lldp med network-policy voice auto
lldp med network-policy 1 voice vlan 101 vlan-type tagged up 4
!
loopback-detection enable
loopback-detection interval 5
!
errdisable recovery cause loopback-detection
!
ip dhcp snooping
ip dhcp snooping vlan 100
!
ip arp inspection
ip arp inspection vlan 100
!
hostname MES2300D-24P_2
!
radius-server host 10.250.0.200 key secret
!
tacacs-server host 10.250.0.200 key secret
!
logging host 10.250.0.100
logging cli-commands
!
ip ssh server
!
snmp-server server
snmp-server community eltex_public ro 10.250.0.100
snmp-server community eltex_private rw 10.250.0.100
!
clock timezone UTC +7
clock source ntp
!
ntp server 10.250.0.55
!
no ip telnet server
!
interface GigabitEthernet1/0/4
dot1x host-mode single-host
loopback-detection enable
dot1x guest-vlan enable
dot1x radius-attributes vlan static
dot1x port-control auto
description to_AP
ip dhcp snooping limit clients 5
storm-control broadcast kbps 2048 trap
storm-control unicast kbps 2048 trap
storm-control multicast kbps 2048 trap
spanning-tree disable
spanning-tree bpdu filtering
switchport mode general
switchport general allowed vlan add 110 untagged
switchport general pvid 110
exit
!
interface GigabitEthernet1/0/14
dot1x host-mode multi-sessions
loopback-detection enable
dot1x guest-vlan enable
dot1x reauthentication
dot1x timeout reauth-period 300
dot1x authentication 802.1x mac
dot1x radius-attributes vlan static
dot1x port-control auto
description to_VP30P+PC
ip dhcp snooping limit clients 5
storm-control broadcast kbps 2048 trap
storm-control unicast kbps 2048 trap
storm-control multicast kbps 2048 trap
spanning-tree disable
spanning-tree bpdu filtering
switchport mode general
switchport general allowed vlan add 100 untagged
switchport general pvid 100
switchport protected-port
lldp med network-policy add 1
voice vlan enable
exit
!
interface TenGigabitEthernet1/0/1
description to_MES5332A_Stack
channel-group 1 mode auto
exit
!
interface TenGigabitEthernet1/0/2
description to_MES5332A_Stack
channel-group 1 mode auto
exit
!
interface Port-Channel1
description to_MES5332A_Stack
ip arp inspection trust
ip dhcp snooping trust
switchport mode general
switchport general allowed vlan add 100-101,110,115,250 tagged
switchport forbidden default-vlan
exit
!
interface vlan 100
name PC
ip address 10.100.0.31 255.255.255.0
exit
!
interface vlan 101
name VoIP
ip address 10.101.0.31 255.255.255.0
exit
!
interface vlan 110
name WiFi_AP_man
ip address 10.110.0.31 255.255.255.0
exit
!
interface vlan 115
name WiFi_AP_users
ip address 10.115.0.31 255.255.255.0
exit
!
interface vlan 150
name Guest
dot1x guest-vlan
exit
!
interface vlan 250
name ECCM+Naice
ip address 10.250.0.31 255.255.255.0
exit
!
!
end
WLC-15Развернуть исходный код
cluster
cluster-interface bridge 1
unit 1
mac-address 90:54:b7:3a:39:d0
exit
unit 2
mac-address 68:13:e2:e1:f6:fe
exit
enable
exit
hostname wlc-1 unit 1
hostname wlc-2 unit 2
object-group service ssh
port-range 22
exit
object-group service dhcp_server
port-range 67
exit
object-group service dhcp_client
port-range 68
exit
object-group service ntp
port-range 123
exit
object-group service netconf
port-range 830
exit
object-group service radius_auth
port-range 1812
exit
object-group service sa
port-range 8043-8044
exit
object-group service dns
port-range 53
exit
object-group service airtune
port-range 8099
exit
object-group service web
port-range 443
exit
syslog max-files 3
syslog file-size 512
syslog file tmpsys:syslog/default
severity info
exit
logging wlc-events
logging wlc-journal
syslog host eccm
remote-address 192.168.71.8
severity debug
exit
radius-server local
nas ap
key ascii-text secretap
network 10.110.0.0/24
exit
nas local
key ascii-text secretap
network 127.0.0.1/32
exit
domain default
user name1
password ascii-text secretap
exit
exit
virtual-server default
mode proxy
upstream-pool default
enable
exit
upstream-server eltex
host 10.250.0.200
server-type all
key ascii-text secretap
exit
upstream-pool default
server-type all
upstream-server eltex
exit
enable
exit
radius-server host 127.0.0.1
key ascii-text secretap
exit
aaa radius-profile default_radius
radius-server host 127.0.0.1
exit
vlan 110
name "AP_man"
exit
vlan 115
name "AP_users"
force-up
exit
vlan 250
name "Management"
exit
security zone sync
exit
security zone trusted
exit
security zone untrusted
exit
security zone users
exit
bridge 1
vlan 1
security-zone sync
ip address 192.51.100.254/24 unit 1
ip address 192.51.100.253/24 unit 2
vrrp id 1
vrrp ip 192.51.100.1/24
vrrp group 1
vrrp
enable
exit
bridge 10
vlan 110
ip firewall disable
ip address 10.110.0.1/24
no spanning-tree
enable
exit
bridge 15
vlan 115
mtu 1458
security-zone users
ip firewall disable
ip address 10.115.0.1/24
no spanning-tree
enable
exit
bridge 25
vlan 250
security-zone trusted
ip firewall disable
ip address 10.250.0.200/24 unit 1
ip address 10.250.0.201/24 unit 2
no spanning-tree
enable
exit
interface port-channel 1
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 110,250
exit
interface gigabitethernet 1/0/1
description vrrp
mode switchport
exit
interface gigabitethernet 1/0/3
description to_MES2300-24_stack
mode switchport
channel-group 1 mode auto
exit
interface gigabitethernet 1/0/4
description to_MES2300-24_stack
mode switchport
channel-group 1 mode auto
exit
interface gigabitethernet 2/0/1
description vrrp
mode switchport
exit
interface gigabitethernet 2/0/3
description to_MES2300-24_stack
mode switchport
channel-group 1 mode auto
exit
interface gigabitethernet 2/0/4
description to_MES2300-24_stack
mode switchport
channel-group 1 mode auto
exit
tunnel softgre 1
mode data
local address 10.110.0.1
default-profile
enable
exit
snmp-server
snmp-server community public v2c ro
snmp-server community private v2c rw
snmp-server host 10.250.0.100
exit
snmp-server enable traps snmp
snmp-server enable traps snmp authentication
snmp-server enable traps snmp coldstart
snmp-server enable traps snmp linkdown
snmp-server enable traps snmp linkup
security zone-pair sync self
rule 1
action permit
match protocol vrrp
enable
exit
exit
security zone-pair trusted untrusted
rule 10
action permit
enable
exit
rule 20
action permit
match protocol tcp
match destination-port object-group airtune
enable
exit
rule 30
action permit
match protocol tcp
match destination-port object-group web
enable
exit
exit
security zone-pair trusted trusted
rule 10
action permit
enable
exit
exit
security zone-pair trusted self
rule 10
action permit
match protocol tcp
match destination-port object-group ssh
enable
exit
rule 20
action permit
match protocol icmp
exit
rule 30
action permit
match protocol udp
match destination-port object-group ntp
enable
exit
rule 40
action permit
match protocol tcp
match destination-port object-group dns
enable
exit
rule 50
action permit
match protocol udp
match destination-port object-group dns
enable
exit
rule 60
action permit
match protocol udp
match destination-port object-group radius_auth
enable
exit
rule 70
action permit
match protocol gre
enable
exit
rule 80
action permit
match protocol udp
match source-address address-range 192.168.71.8
match destination-port port-range 161
enable
exit
rule 90
description "SSH traffic from ECCM"
action permit
match protocol tcp
match source-address address-range 192.168.71.8
match destination-port port-range 22
enable
exit
exit
security zone-pair users self
rule 10
action permit
match protocol icmp
enable
exit
rule 20
action permit
match protocol tcp
match destination-port object-group dns
enable
exit
rule 30
action permit
match protocol udp
match destination-port object-group dns
enable
exit
exit
security zone-pair untrusted self
rule 10
action permit
match protocol udp
match source-port object-group dhcp_server
match destination-port object-group dhcp_client
enable
exit
exit
security zone-pair users untrusted
rule 10
action permit
enable
exit
exit
softgre-controller
nas-ip-address 127.0.0.1
data-tunnel configuration wlc
aaa radius-profile default_radius
keepalive-disable
service-vlan add 115
enable
exit
wlc
outside-address 10.110.0.1
service-activator
aps join auto
exit
airtune
enable
exit
ap-location default-location
mode tunnel
ap-profile default_airtune
airtune-profile big_office
ssid-profile default-ssid
exit
airtune-profile default_airtune
load-balance
exit
airtune-profile big_ofice
eltex-rrm-scan disable
optimization time 02:00
optimization mode time
hd-mode
802.11v disable
exit
airtune-profile big_office
load-balance
exit
ssid-profile default-ssid
description "default-ssid"
ssid "default-ssid"
radius-profile default-radius
vlan-id 115
security-mode WPA2_1X
band 2g
band 5g
enable
exit
ap-profile default_airtune
password ascii-text secretap
exit
radius-profile SSID-radius
auth-address 10.110.0.1
auth-password ascii-text secretap
auth-acct-id-send
acct-enable
acct-address 10.110.0.1
acct-password ascii-text secretap
exit
radius-profile default-radius
auth-address secretap
auth-password ascii-text secretap
exit
radius-profile external-radius
auth-address 10.110.0.1
auth-password ascii-text secretap
acct-enable
acct-address 10.110.0.1
acct-password ascii-text secretap
exit
ip-pool default-ip-pool
ap-location default-location
exit
enable
exit
ip ssh server
clock timezone gmt +7
ntp enable
ntp server 10.250.0.55
prefer
minpoll 4
exit
ip https server
