Как сделать шлюз в cisco

Добавил пользователь Skiper
Обновлено: 05.10.2024

Наша компания специализируется на оказании профессиональных услуг по обеспечению информационной безопасности - мелкого, среднего и крупного бизнеса. Мы предлагаем современные и надежные ИТ-решения, которые позволяют осуществлять управление доступом к сети Интернет и осуществлять защиту сети от внешних угроз.

Портфель компетенций включает в себя внедрение, настройку и последующую поддержку следующих направлений:

1. Сетевые системы контроля доступа - межсетевые экраны Firewall и системы обнаружения/предотвращения вторжений (IPS/IDS):

  • Cisco (ASA, FirePower, FTD), Juniper (SRX), Checkpoint, Palo-Alto; FortiNet, Barracuda (F-серия, X-серия), VMware (NSX);
  • Cisco ISE, Windows RADIUS, Windows AD (NTLM, Kerberos, Смарт-карты, Windows PKI).

2. Безопасность данных (Data Secreсy) - сетевые системы защиты данных, в том числе на уровне конечных устройств:

  • VPN: Cisco (ISR, ASR, CSR, ASA, FirePower), Juniper (SRX), Checkpoint;
  • Anti-spam, anti-malware, proxy: Cisco (Ironport), Barracuda anti-spam;
  • WAF: Barracuda WAF;
  • DLP: IPS, SearchInform DLP, Cisco ISE (профилирование).

3. Контроль доступности данных:

  • Системы резервного копирования - Veeam, HP dataProtector, VMwre SRM (Site Recovery Manager);
  • Системы хранения данных с функциями зеркалирования, резервирования - NetApp (25xx, 85xx, 9xxx);
  • Реализация любых других решений: AlienVault (SIEM).

Только сейчас - Бесплатная диагностика, расчёт сметы, техническая поддержка, гарантия - 2 месяца!


Данная серия устройств отлично подходит для малого и среднего бизнеса с различной инфраструктурой. Множество дополнительных функций позволяет развернуть сеть под конкретные нужды, а в будущем - увеличить её, не меняя оборудование. Голосовой шлюз - один из примеров широкого функционирования маршрутизатора за счет дополнительной гибкости устройства.

IP-телефония - ещё один бонус в копилку данных устройств, поскольку также открывает широкие возможности по обустройству офиса или компании.
Интеграция сервисов как раз и рассчитана на уменьшение расходов на построение инфраструктуры, предоставляя большие возможности для функционирования определенной сети. Высокая производительность Cisco 2911 создает комфортные условия для его использования.

Для обновленных версий устройства появились возможности по обеспечению информационной безопасности, стали доступны упомянутые выше голосовые шлюзы. Также удобными инновациями стали IP- маршрутизация, групповая адресация, обеспечение качества обслуживания (QoS), мобильность IP-адресов, поддержка технологий MPLS, VPN и встроенные средства управления.

Настройка SSH

Прежде чем приступить непосредственно к настройке оборудования, необходимо обеспечить к нему доступ по протоколу SSH. Это защищенный протокол, который обеспечивает безопасность при работе с маршрутизатором. При первом подключении к Cisco 2911 необходимо произвести базовую настройку оборудования. К ней относится настройка подключения по протоколу Telnet (устаревший протокол, передающий все пароли в открытом виде и открывающий широкие возможности для различных атак).

Для настройки необходимо использовать программу Putty, выбрав в ней тип подключения Serial и COM-порт. В консольном окне прописать следующее:

Настройка интерфейсов внутренней сети выглядит следующим образом:

Теперь устройство доступно для подключения по протоколу Telnet по адресу 192.168.0.1.

Далее производим настройку SSH:

Активируем протокол ААА

Далее необходимо выйти из конфигурационного режима командой Ctrl+Z

Теперь оборудование доступно через защищенный канал SSH.

Настройка USB

Если вернуться к началу статьи, то стоит обратить внимание на то, что подключение к консоли возможно не только через COM-порт, но и через USB. Для этого необходимо скачать и установить специальный драйвер (cisco usb console driver). Происходит распаковка, установка, перезагрузка системы.


Далее в диспетчере устройств необходимо посмотреть, какой COM-порт присвоен Cisco USB Console. После этого в Putty необходимо выбрать Serial - подключение и выбрать тот самый COM-порт (см.рис.1).

Теперь можно перейти к полноценной настройке. Первым этапом будет рассмотрен процесс маршрутизации.

Процесс назначения маршрута на роутере выглядит следующим образом:

enable
configure terminal
ip route 172.16.0.0 255.255.255.128 Serial0/0/0// Используем команду для ввода статического маршрута

Данная команда указывает на то, что далее будет прописан маршрут. В конкретном случае, адрес 172.16.0.0 – та самая неизвестная роутеру сеть, 255.255.255.128 – маска неизвестной удаленной сети. Serial0/0/0 – интерфейс, на который будут поступать пакеты данных, предназначенные для той самой удаленной сети.

Вместе интерфейса можно указать IP-адрес шлюза.

ip route 0.0.0.0 0.0.0.0 Serial0/0/0
означает маршрут по умолчанию.
end// Выход из режима глобальной конфигурации
show running-config// Проверка введенных данных.
copy running-config startup-config// Сохранение настроек

Настройка VLAN

По правилам хорошего тона, прежде чем настраивать маршруты, стоило прописать VLAN. VLAN – virtual local area network – функция, которая позволяет на одном физическом интерфейсе создать несколько виртуальных сетей. К примеру, можно представить офис, в котором к одному роутеру подключено несколько ПК. Необходимо, чтобы ПК-1 и ПК-2 – общались между собой, ПК-3 и ПК-4 тоже только между собой. Как раз для этого и нужно создание VLAN.


Прописывать статические маршруты также намного удобнее до VLAN, чем до каждого ПК в отдельности. Можно указать один шлюз сети и IP-адрес конкретного VLAN – сэкономить время и упростить себе задачу.

Разобравшись в необходимости и полезности VLAN, можно переходить к их настройке.

VLAN находится непосредственно на коммутаторе. Маршрутизатор подключается к коммутатору посредством trunk-порта и позволяет VLAN-ам общаться между собой при необходимости. Трафик передается через этот порт и помечается номером VLAN-а. Далее на интерфейсе необходимо настроить sub-интерфейсы с соответствующими для каждого VLAN IP-адресами. За счет этого происходит корректное перенаправление пакетов.

Первым делом настраивается интерфейс для управления оборудованием. Номер VLAN в данном случае не указывается, он равен 1 по умолчанию.

conf t
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0

Предварительно рекомендуется очистить используемый интерфейс, выполнив команды:

interface FastEthernet0/0
no shut
no ip address

Далее происходит настройка sub-интерфейсов:

interface FastEthernet0/0.10
encapsulation dot1q 10
ip address 192.168.10.1 255.255.255.0
description NoName

Стоит обратить внимание, после указания интерфейса через точку, а также после указания инкапсуляции стоит номера VLAN (в данном случае 10). Порядковый номер sub-интерфейса при этом может быть любым. В строчке с указанием инкапсуляции обязательно должен стоять номер того VLAN-а, которому принадлежит сеть.

Теперь для взаимодействия устройств из разных VLAN необходимо прописать:

switchport access vlan Х
Где Х – номер VLAN. Это указывается на портах, к которым подключаются рабочие станции.

Также не стоит забывать о том, что на каждом устройстве в качестве шлюза по умолчанию должен быть указан IP-адрес sub-интерфейса маршрутизатора того же VLAN, что и само устройство.

Итак, теперь рабочие станции способны общаться друг с другом в пределах подключения к одному коммутатору/роутеру, а также в пределах одного VLAN. Что же делать, если необходимо связаться с устройством вне локальной сети?

Настройка NAT


Для доступа в Интернет из локальной сети необходимо динамически переводить все внутренние адреса в определенный внешний IP-адрес.

Указываем внутренний интерфейс для процедуры трансляции

Interface Vlan 1
ip nat inside

Указываем внешний интерфейс для процедуры трансляции

Interface Fa 4
ip nat outside

Создаем правило трансляции (NAT)

ip nat inside source list ACL_NAT interface fa4

В результате должен появиться доступ с любого устройства локальной сети в Интернет при условии, что шлюзом по умолчанию указан внутренний IP-адрес маршрутизатора (192.168.0.1).

Сохраняем все настройки:

Настройка VPN

Теперь можно познакомиться с таким понятием, как VPN. VPN - virtual private network, виртуальная частная сеть. То есть, поверх существующей сети создается некая виртуальная сеть, которая объединяет в себя несколько устройств. Первой задачей VPN является маркировка участников данной сети, чтобы она не смешивалась с чужой. Второй (и одной из главных) задачей является защита информации, передаваемой между участниками сети.


Такая сеть абстрагирована от физической составляющей. То есть, совсем неважно, каким образом будет установлено соединение, и проходить оно может через публичные сети.

Для маршрутизаторов VPN представляет собой туннель - допустим, между сетями двух офисов одной компании. Это довольно удобно, поскольку данные защищены от посторонних глаз, а работать можно без привязки к физическим интерфейсам. VPN способен объединять географически удаленные объекты в одну сеть.

К рассмотрению предлагается настройка VPN-туннеля между двумя маршрутизаторами с заданными параметрами:

crypto ipsec transform-set ESP_3DES_SHA_HMAC esp-3des esp-sha-hmac

crypto ipsec df-bit clear

crypto ipsec profile VTI_PROF
set transform-set ESP_3DES_SHA_HMAC
set pfs group2

Ключ шифрования должен быть одинаковым на обоих роутерах.

Для главного офиса:

В каждом офисе необходимо указать внешний адрес соседней площадки.
На каждом маршрутизаторе создаем виртуальный туннельный интерфейс.
В главном офисе:

Если все этапы выполнены правильно, то состояние интерфейса перейдет из состояния up/down в состояние up/up. Посмотреть это можно следующей командой:

В удаленном офисе:

После всех этапов настройки все устройства настроенных сетей должны быть доступны друг другу, а связь должна быть защищенной.

Настройка PPPoE

Теперь стоит познакомиться с протоколом PPPoE, который, по факту, и предоставляет доступ в Интернет через Cisco 2911.

Суть протокола в том, что в локальной сети Ethernet, где все устройства обладают своим MAC-адресом, наличие IP-адреса устройства необязательно. Он назначается только тогда, когда устройству необходимо соединение с сервером.

Дополнительно протокол выполняет такие функции как аутентификация, сжатие данных и контроль качества данных.

Рассмотрим пример настройки PPPoE подключения на маршрутизаторах Cisco.

vpdn enable
vpdn-group 1
request-dialin
protocol pppoe
interface GigabitEthernet0/0
no ip address
pppoe enable
pppoe-client dial-pool-number 1
no shu
interface Dialer1
description Logical ADSL Interface
ip address negotiated
ip mtu 1492
encapsulation ppp
ip tcp adjust-mss 1452
no ip mroute-cache
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname 77896040263
ppp chap password 0 bzBdfVpAWU8
ppp pap sent-username 77896040263 password 0 bzBdfVpAWU8
ppp ipcp route default

ip route 0.0.0.0 0.0.0.0 Dialer1
Где:
- GigabitEthernet0/0 - физический интерфейс провайдера.
-Dialer1- Виртуальный интерфейс
- 77896040263 - имя пользователя от провайдера
- bzBdfVpAWU8 - пароль от провайдера
Дальнейшие настройки и службы следует настраивать с интерфейсом Dialer1, например настройка NAT будет выглядеть:
ip nat inside source list acl_nat_rules interface Dialer1 overload
Проверка осуществляется следующим образом:
show pppoe session
show pppoe summary
show interface dialer 1

В данной статье были описаны общие принципы по настройке cisco 2911. Каждый этап описан с точки зрения наглядности процесса (в какой ситуации чаще применяется тот или иной функционал). На основе данных пояснений по каждому этапу и описания принципов настройки можно построить собственную сеть под конкретные потребности. А поскольку рассматриваемый маршрутизатор отличается своей масштабируемостью, открываются широкие возможности по его функционалу.

Когда возникает необходимость подключить к Asterisk’у пару аналоговых телефонных аппаратов, то стоит рассмотреть в качестве решения данной проблемы шлюзы Cisco SPA112/122. Они довольно просты в настройке как через веб-интерфейс, так и с помощью механизма провиженинга, а также стоит отметить что они достаточно надежны.
VoIP-адаптеры Cisco серии SPA112 и SPA122 фактически идентичны — к обоим есть возможность подключения двух аналоговых телефонных аппаратов через стандартные порты RJ-11, но главная отличительная особенность в том что SPA122 в свою очередь имеет функционал роутера. Тем не менее не рекомендуется выставлять его напрямую в интернет, так как на нем отсутствует механизм защиты наподобие файервола.
В рамках статьи будет рассмотрена настройка на примере шлюза Cisco SPA122.

WEB-интерфейс шлюза

Шлюз сразу же перекидывает на вкладку быстрой настройки — Quick Setup, на которой возможно настроить SIP-учетки для обоих телефонных портов. Для настройки достаточно заполнить следующие поля:
Proxy — ip-адрес Asterisk’а
Display Name — любое имя — можно указать внутренний номер
User ID — внутренний номер
Password — пароль внутреннего номера
Dial Plan — план набора

Quick setup

Далее необходимо настроить сетевые параметры. В первую очередь отключить NAT на LAN-порту. Для этого перейти в раздел Network Setup > Basic Settings > Network Service и выставить значение параметра Networking Service = Bridge, этими действиями будет реализован мост между WAN и LAN портами.

Network service

На вкладке Network Setup > Basic Setup > Internet Settings настраивается тип получения ip-адреса на порт WAN. Возможны три варианта: DHCP, Static IP и PPPoP
pic4

Internet settings

Настройки даты и времени производятся на вкладке Network Setup > Basic Setup > Time Settings. Установка возможна вручную или синхронизацией с NTP сервером. Для автоматической синхронизации выбирается Time Zone — часовой пояс, соответствующий региону, сервер синхронизации Time Server — также можно указать в ручную.

Time settings

Если необходимо использовать VLAN, то его можно настроить на вкладке Network setup > Advanced Settings > VLAN, установить флаг Enabled в параметре Enable VLAN и указать VLAN ID.

VLAN

Далее в разделе Voice необходимо выполнить нижеуказанные настройки.
Подраздел System — задать пароль на встроенный IVR (IVR Admin Passwd), также здесь возможно настроить подключение к Syslog-серверу и Debug-серверу

System

Глобальные настройки SIP доступны в подразделе SIP. Здесь возможно задать значения различных таймеров, способ получение номера звонящего из заголовков и т. д. В 99.9% эти настройки можно оставить по умолчанию.

SIP

В подразделе Provisioning настраиваются параметры автоконфигурирования шлюза.

Provisioning

Подраздел Regional отвечает за настройки различных тонов на линии, например тоны дозвона, тоны занято и т. д.

Regional

Подразделы Line1 и Line2 отвечают за настройку соответствующих портов шлюза. Для активации регистрации порта необходимо выставить значение параметра Line Enable = yes, далее выбрать тип протокола в параметре SIP Transport. Также если шлюз будет находиться за NAT’ом относительно Asterisk’а, то необходимо активировать опции NAT Mapping Enable и NAT Keep Alive Enable.

Настройки линии

Далее необходимо в параметр Proxy прописать ip-адрес или доменное имя Asterisk’а и заполнить параметры аутентификации:
Display Name — отображаемое имя, возможно указывать внутренний номер
User ID — внутренний номер
Password — пароль внутреннего номера

Настройки линии

Далее рекомендуется настроить администраторский доступ в разделе Administration > Managment > Web Access Management. В разделе Admin Access — активируется доступ, в параметре Web Utility Access — выбирается протокол.

Web access management

Для сброса шлюза к заводским настройкам необходимо перейти в раздел Administration > Log > Factory Defaults — следует обратить внимание, что можно раздельно сбросить настройки сети и настройки голоса.

Как подключиться к коммутатору CISCO через терминальный кабель? Как настроить удаленное подключение по SSH к коммутатору CISCO? Ответы на эти вопросы найдете в нашей статье.

Настройка коммутаторов Cisco представляет несколько специфичную задачу и обычно отличается от интерфейса настройки других производителей. Традиционно, Cisco использует для настройки текстовый интерфейс (CLI – Command Line Interface). Рассмотрим первичную настройку на примере коммутатора Cisco 2960:

коммутатор Cisco 2960

Подключение к коммутатору CISCO через терминальный кабель

Оборудование CISCO комплектуется двумя видами кабелей. Ранее в комплекте шел кабель для COM-порта (RS-232).

Кабель RS-232 для терминального порта CISCO.

Рис. 2. Кабель RS-232 для терминального порта CISCO.

В настоящее время коммутаторы CISCO комплектуются консольными USB кабелями.

Кабель USB для терминального порта CISCO

Рис. 3 Кабель USB для терминального порта CISCO.

После нажатия кнопки “Open” должна открыться командная консоль. При первом запуске нового коммутатора автоматически запускается встроенный setup, который в большинстве случаев лучше обойти нажатием ”n”.

Рис. 5 Автоматическое приглашение запуска первого setup в коммутаторах CISCO

На экране после отказа от запуска setup появляется приглашение в пользовательский режим.

В построении сети обычно не обойтись без использования VLAN. Существует два режима передачи тегированного и нетегированного трафика. В терминологии Cisco эти режимы носят названия trunk и access . К портам типа access подключаются устройства, которые не умеют работать с тегированным трафиком. Порты trunk предназначены для передачи данных по VLAN в сети.

При первом запуске нового коммутатора автоматически запускается встроенный setup, который в большинстве случаев лучше обойти нажатием ”NO”. На экране появляется приглашение в пользовательский режим.

Для перехода в привилегированный режим используем команду “Enable”. Если коммутатор новый, пароль пустой. В противном случае, необходимо ввести установленный ранее пароль коммутатора.

Желательно сделать сброс коммутатора, провести очистку старых настроек.

После перезагрузки тем же способом возвращаемся в привилегированный режим. После чего переходим в режим глобального конфигурирования.

Данную команду можно вводить сокращенно для простоты управления.

Рассмотрим конфигурацию порта access . Если коммутатор имеет Fast Internet (100 Мбит/с) порты, то интерфейс называется “fa”, если порты Gigabit Internet (1000 Мбит/с), то его название “gi”.

Для конфигурации VLAN порта используем другую команду.

Включаем выбранный интерфейс.

Необходимо задавать IP-адрес и маску.

Выходим из интерфейсной конфигурации.

Устанавливаем пароль для привилегированного режима (в случае его отсутствия).

Выходим из режима конфигурирования.

Записываем конфигурацию в память.

Задание IP-адреса закончено.

Настройка удаленного подключения по SSH к коммутатору CISCO

Для дальнейшей работы с коммутатором прямое подключение по терминальному кабелю не используется, потому желательно сразу провести конфигурирование SSH-доступа для управления коммутатором по сети.

После перехода в привилегированный режим (указанный выше), устанавливаем время и дату.

Переходим в режим общей конфигурации.

Указываем домен (при необходимости).

Для протокола SSH генерируем ключ RSA.

Указываем номер версии ssh-протокола.

Задаем желаемое количество попыток подключения по SSH.

Сохраняем пароли в зашифрованном виде.

Переходим в режим настройки терминальных портов.

Разрешаем подключения только по протоколу SSH.

Настраиваем ограничение длительности ssh-сессии на 20 минут.

Выходим из режима настройки конфигурации.

На этом процедура настройки IP-адреса и базового уровня безопасности коммутатора CISCO закончена.

Примечание: если выходим из подменю конфигурации в подменю верхнего уровня (к примеру, из ”config-line” в “config), то используем команду “exit”. Для окончания конфигурации используем команду ”end”.

Системный интегратор ВИСТЛАН производит настройку и подключение коммутаторов и маршрутизаторов CISCO в локальных сетях любой конфигурации.

Сеть без резервирования


Данная сеть не лишена недостатков. При выходе из строя маршрутизатора доступа в интернет лишаются все пользователи данной сети.

Однако не стоит отчаиваться, так как у нас есть решение. Можно подключить второй роутер параллельно первому. Причем он будет имеет идентичную конфигурацию с первоначальным шлюзом (за исключением IP адресов своих интерфейсов):

Сеть с резервированием

Теперь при отказе основного роутера все функции на себя возьмет резервный и обрыв связи никто не заметит.

Но как об этом узнают хосты пользователей? У них же настроен шлюз по умолчанию.

Они об этом не узнают. Им достаточно знать IP адрес виртуального шлюза по умолчанию, который существует в виде группы основного и резервного маршрутизаторов.

В этой группе всегда активным является только один маршрутизатор. Когда хосты пользователей просятся в интернет активный роутер отправляет свой МАС адрес в ARP запросе от пользователей.

Когда активный шлюз теряет связь с провайдером или выходит из строя, то об этом узнает резервный роутер и отправляет хостам пользователей свой МАС адрес.

Как видно принцип резервирования достаточно прост.

Но кто управляет всем этим процессом?

Для управления резервированием было разработано целое семейство протоколов First Hop Redundancy Protocol, FHRP . В него вошли протоколы HSRP, VRRP, GLBP. Опишем каждый из них в отдельности.

HSRP, описание и настройка

Hot Standby Router Protocol - разработка Cisco. Все потенциальные шлюзы по умолчанию объединяются в группу. Таких групп может быть несколько. В группе активным является всегда только один маршрутизатор/коммутатор. В группе также имеется резервный роутер, который постоянно следит за активным маршрутизатором. И если тот выйдет из строя, то резервный шлюз сразу его заменит.

Как определяются активный и резервный маршрутизаторы?

Все маршрутизаторы группы между собой общаются по адресу 224.0.0.2 (UDP порт 1985). После подачи питания они начинают выборы на право быть активным и резервным маршрутизаторами. Побеждает тот, у которого больше приоритет (0 - 255). По умолчанию он равен 100. Если приоритеты у всех равны, то сравниваются IP адреса. Побеждает маршрутизатор с большим адресом. Он и становится активным и переводится в состояние Active. Следующий за ним маршрутизатор становится резервным и переводится в состоянии Standby. Все остальные маршрутизаторы переводятся в состояние Listen. Они ждут следующих выборов в случае отказа активного маршрутизатора.

Все маршрутизаторы последовательно проходят следующие состояния:

Disabled → Init → Listen → Speak → Standby → Active

Как резервный маршрутизатор узнает, что активный роутер уже не в “строю”?

Активный маршрутизатор каждые 3 с (Hello интервал) рассылает пакеты Hello, которые прослушивает резервный маршрутизатор. Если после 3 с не поступит пакет Hello, то запустится Dead таймер, который равен 10с. По истечении этого таймера резервный маршрутизатор переводится в состояние Active и выбирается новый резервный маршрутизатор.

А что происходит, когда “оживает” бывший активный маршрутизатор?

Возможны 2 варианта:

1-й вариант. Ничего не происходит пока не “умрет” действующий активный маршрутизатор.

2-й вариант. “Оживший” роутер может снова переключится в состояние Active. Но для этого необходимо настроить функцию Preemtion на всех устройствах группы (об этом немного позже).


А если вдруг uplink одного из маршрутизаторов отключится. Что произойдет в данном случае?

Если это произойдет на активном шлюзе, то все хосты останутся без интернета. Но и здесь есть решение. В HSRP предусмотрена возможность для отслеживания uplink интерфейса. Как только роутер обнаруживает, что его WAN/uplink интерфейс не работает, то сразу же понизит приоритет HSRP в своей группе. Резервное устройство сразу же это узнает и примет управление на себя, став активным шлюзом. Но для этого необходимо активировать функцию Preemtion.

Настройка протокола очень проста, достаточно выполнить следующую команду:

Данную команду необходимо выполнить на всех роутерах группы.

Для того, чтобы повлиять на результаты выборов активного шлюза можно настроить приоритет:

Для возврата “ожившего” маршрутизатора в активное состояние необходимо на нем выполнить команду:

Для отслеживания WAN/Uplink интерфейса на случай его отказа необходимо выполнить команду на всех роутерах:

Функция Preemtion должна быть включена на всех маршрутизаторах.

Теперь посмотрим на состояние активного и резервного шлюзов с помощью следующих команд:

Основной шлюз

Вывод команды show standby

Резервный шлюз

Вывод команды show standby

Основной шлюз

Вывод команды show standby brief

Резервный шлюз

Вывод команды show standby brief


Протокол также поддерживает аутентификацию простым текстом:

VRRP, описание и настройка

Virtual Router Redundancy Protocol - альтернативный открытый HSRP протокол. Работает точно так же, как и HSRP. Протокол использует адрес 224.0.0.18 и отправляет пакеты Hello c интервалом в 1 с. Активный маршрутизатор называется master, все остальные - backup. Кроме того, все backup слушают master. Preemtion уже включена по умолчанию.

Настройка идентична HSRP с небольшим отличием:

Для просмотра информации о работе и настройках:

GLBP, описание и настройка

Gateway Load Balancing Protocol - проприетарный протокол Cisco. В отличие от предыдущих протоколов позволяет еще и балансировать нагрузкой. Для этого создается группа из 4 активных маршрутизаторов, через которые и осуществляется балансировка.

Кто управляет процессом балансировки?

В начале происходят выборы, по итогам которых выбирается главный шлюз. Данное устройство называется Active Virtual Gateway, AVG. Затем выбираются еще 3 ведомых устройства, которые называются Active Virtual Forwarder, AVF.

Все роутеры группы, помимо общего виртуального IP адреса (VIP), имеют и индивидуальный виртуальный МАС адрес. Когда хост посылает ARP запрос с целью узнать МАС адрес шлюза, то AVG выдает один из виртуальных МАС адресов группы. Таким образом и осуществляется балансировка нагрузки.

На основе чего происходят выборы?

На основе приоритета (по умолчанию 100) или IP адреса, если приоритеты равны.

Виртуальный МАС адрес тоже надо вручную настраивать?

Нет, он настраивается автоматически и принимает значения 0007.b400.01xx, где хх означает номер AVG/AVF.

Что произойдет, если из строя выйдет AVG или AVF?

Его место займет резервный маршрутизатор. Все активные устройства обмениваются каждые 3 с Hello пакетами. Резервные роутеры тоже принимают пакеты и ждут своего часа. Если через 3 с пакет Hello не будет получен, то запустится Dead таймер, который равен 10 с. В качестве резервного (Standby) маршрутизатора выбирается один из AVF. Когда Standby шлюз становится Active, то снова выбирается Standby.

Какой IP адрес используется для обмена Hello пакетами?

224.0.0.102, UDP порт 3222.

По какому принципу AVG балансирует нагрузкой?

GLBP поддерживает 3 режима балансировки:

Round Robin (включен по умолчанию) - балансировка осуществляется равномерно между всеми устройствами.

Weighted - балансировка осуществляется по весу AVF. У кого больше вес тот и принимает большую нагрузку.

Host dependent - используется, когда определенным хостам требуется постоянный МАС шлюза.

Настройка схожа с настройкой протоколов HSRP/VRRP:

Уже после данной команды начнут работать балансировка нагрузки и резервирование. Следует помнить, что preemtion в AVG по умолчанию выключена, а на AVF - включена.

Для проверки работы и распределения ролей используй команды:

Вывод команды show glbp brief

Вывод команды show glbp


Как работает отслеживание WAN/Uplink интерфейса?

Отслеживание работает немного по-другому в отличие от HSRP/VRRP. Каждому интерфейсу AVF присваивается определенный вес (по умолчанию 100, максимум -254). Кроме того, устанавливаются нижний (lower) и верхний (upper) пороги весов. Когда GLBP обнаружит, что интерфейс WAN/Uplink недоступен, то уменьшит вес GLBP интерфейса на определенное значение (по умолчанию 10). То есть, если было 100, то после отказа линии станет 90. Если уменьшенное значение веса окажется ниже порога lower, то маршрутизатор теряет статус AVF и не участвует в балансировке нагрузки, а также не принимает участие в выборах. Если после того, как WAN/Uplink интерфейс восстановится, то восстановится и первоначальный вес GLBP интерфейса. Если этот вес окажется больше порога upper, то сможет снова стать AVF и принимать участие в выборах.

По умолчанию lower = 1, upper =100.

Для отслеживания состояния интерфейса используется специальный track объект. Данному объекту указывается номер и тип интерфейса, а также механизм запуска. После этого данный track объект привязывается к определенной GLBP группе. Поддерживаются 2 механизма запуска: состояние интерфейса на канальном уровне (line-protocol) и способность интерфейса передавать данные (ip routing).

То есть, если указать 1-й способ, то операционная система будет отслеживать состояние интерфейса на канальном и следовательно на физическом уровнях. Как только произойдет отказ интерфейса либо обрыв линии, то активируется механизм запуска и вес GLBP интерфейса уменьшится.

2-й способ отвечает за следующие состояния:

  • Наличие IP адреса на интерфейсе. Это особенно актуально, если настроен DHCP клиент.
  • Состояние интерфейса на канальном уровне
  • Маршрутизация на интерфейсе. К примеру, у нас могут быть настроены виртуальные интерфейсы (Dialer, Tunnel). Сам канальный протокол может быть в состоянии UP, но маршрутизация не будет работать. В этом случае нам и сгодится данная опция отслеживания.

Попробуем настроить сначала 1-й способ.

Создаем трэкинг объект:

Затем определим вес самого AVF и его нижний и верхний пороги весов:

И привязываем трэкинг объект к GLBP группе c шагом уменьшения веса:

Теперь, выключив интерфейс на основном маршрутизаторе, через 30 секунд резервный шлюз изменит свой статус GLBP.

Для настройки 2-го способа достаточно в трэкинг объекте выбрать ip routing:

Читайте также: