Мы продолжаем рассматривать пример настройки NQA в IPSec для быстрого переключения между активными ирезервными одноранговыми узлами и каналами.
Часть 1 доступна по ссылке – https://forum.huawei.com/enterprise/ru/использование-nqa-в-ipsec-для-быстрого-переключения-между-активными-ирезервными-одно/thread/596588-100131
Напомним топологию:
Настройте HQ1.
# sysname HQ1 # dns resolve //Включите разрешение DNS для разрешения адреса шлюза в штаб-квартире. dns server 5.1.1.2 //Настройка IP-адреса DNS-сервера. # ddns policy ddnspolicy1 //Настройте политику DDNS для обновления IP-адреса, отображающего имя домена. url oray://username1:password1@phddnsdev.oray.net //Настройте URL-адрес сервера DDNS. # ipsec proposal def //Настройте IPSec proposal. esp authentication-algorithm sha2-256 esp encryption-algorithm aes-192 # ike proposal 1 //Настройте IKE proposal. encryption-algorithm aes-cbc-128 //В версиях V200R008 и более поздних версиях параметр aes-cbc-128 изменен на aes-128 authentication-algorithm sha2-256 # ike peer branch v2 //Команды, используемые для настройки одноранговых узлов IKE и протокола IKE, различаются в зависимости от версии программного обеспечения. В более ранних версиях V200R008, команда является ike peer peername [ v1 | v2 ]. В V200R008 и более поздних версиях команды является ike peer peer-name и version { 1 | 2 }. По умолчанию IKEv1 и IKEv2 включены одновременно. Инициатор использует IKEv2 для инициирования запроса на согласование, в то время как ответчик использует IKEv1 или IKEv2 для ответа. Чтобы инициировать запрос на согласование с использованием IKEv1, запустите команду undo version 2. pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%# // Настройте ключ проверки подлинности «huawei1234» в шифрованном виде. Эта команда в V2R3C00 и более ранних версиях представляет собой предварительно разделяемый ключ huawei1234, и пароль отображается в виде обычного текста. ike-proposal 1 nat traversal //Включите обход NAT. В версиях V200R008 и более поздних версиях устройство поддерживает обход NAT по умолчанию, и эта команда не поддерживается. dpd type periodic //Укажите режим DPD как периодический. dpd retransmit-interval 10 //Установите интервал повторной передачи DPD-пакетов на 10 секунд. # ipsec policy-template use1 10 //Настройка шаблона политики IPSec. ike-peer branch proposal def # ipsec policy branch 1 isakmp template use1 //Примените шаблон политики IPSec к политике IPSec. # interface Dialer0 //Настройка параметров интерфейса Dialer. link-protocol ppp ppp pap local-user user@huawei.com password cipher %@%@ZX}=YK.{rUa.K#7W\==O)+[c%@%@ ip address ppp-negotiate dialer user huawei dialer bundle 1 //Укажите Dialer bundle для интерфейса Dialer RSDCC. dialer-group 1 //Укажите группу Dialer для интерфейса Dialer. ddns policy ddnspolicy1 //Примените политику DDNS к интерфейсу, так что интерфейс может перенаправить динамическое обновление на сервер DDNS при изменении IP-адреса интерфейса. ipsec policy branch //Свяжите политику IPSec. # interface GigabitEthernet1/0/0 pppoe-client dial-bundle-number 1 //Свяжите интерфейс Dialer и установите сеанс PPPoE. # interface GigabitEthernet2/0/0 ip address 10.1.0.1 255.255.255.0 vrrp vrid 1 virtual-ip 10.1.0.10 //Установите виртуальный адрес группы 1 VRRP 10.1.0.10. vrrp vrid 1 priority 120 //Настройте приоритет устройства в группе VRRP. vrrp vrid 1 preempt-mode timer delay 20 //Задайте задержку на отправку для устройства в группе VRRP. vrrp vrid 1 track nqa user test reduced 40 //Ассоциируйте VRRP с NQA для мониторинга подключения активного канала в штаб-квартиру. # dialer-rule //Настройте правило Dialer, разрешающее все пакеты IPv4. dialer-rule 1 ip permit # ip route-static 0.0.0.0 0.0.0.0 Dialer0 //Настройка статического маршрута. # nqa test-instance user test //Настройка тестового экземпляра NQA. test-type icmp //Настройте тестовый тип экземпляра проверки NQA как ICMP. destination-address ipv4 5.1.1.2 frequency 20 //Настройте интервал запуска теста NQA. probe-count 5 //Задайте количество отправок для одного теста. source-interface Dialer0 //Настройте интерфейс источника, который пересылает пакеты NQA. start now // запустите тест. # return
Настройте HQ2.
# sysname HQ2 # dns resolve //Включите разрешение DNS для разрешения адреса шлюза в штаб-квартире. dns server 5.1.1.2 //Настройка IP-адреса DNS-сервера. # ddns policy ddnspolicy1 //Настройте политику DDNS для обновления IP-адреса, отображающего имя домена. url oray://username1:password1@phddnsdev.oray.net //Настройте URL-адрес сервера DDNS. # ipsec proposal def //Настройте IPSec proposal. esp authentication-algorithm sha2-256 esp encryption-algorithm aes-192 # ike proposal 1 //Настройте IKE proposal. encryption-algorithm aes-cbc-128 authentication-algorithm sha2-256 # ike peer branch v2 //Команды, используемые для настройки одноранговых узлов IKE и протокола IKE, различаются в зависимости от версии программного обеспечения. В более ранних версиях V200R008, команда является ike peer peername [ v1 | v2 ]. В V200R008 и более поздних версиях команды является ike peer peer-name и version { 1 | 2 }. По умолчанию IKEv1 и IKEv2 включены одновременно. Инициатор использует IKEv2 для инициирования запроса на согласование, в то время как ответчик использует IKEv1 или IKEv2 для ответа. Чтобы инициировать запрос на согласование с использованием IKEv1, запустите команду undo version 2. pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%# // Настройте ключ проверки подлинности «huawei1234» в шифрованном виде. Эта команда в V2R3C00 и более ранних версиях представляет собой предварительно разделяемый ключ huawei1234, и пароль отображается в виде обычного текста. ike-proposal 1. nat traversal //Включите обход NAT. В версиях V200R008 и более поздних версиях устройство поддерживает обход NAT по умолчанию, и эта команда не поддерживается. dpd type periodic //Укажите режим DPD как периодический. dpd retransmit-interval 10 //Установите интервал повторной передачи DPD-пакетов на 10 секунд. # ipsec policy-template use1 10 //Настройка шаблона политики IPSec. ike-peer branch proposal def # ipsec policy branch 1 isakmp template use1 //Примените шаблон политики IPSec к политике IPSec. # interface Dialer0 //Настройка параметров интерфейса Dialer. link-protocol ppp ppp pap local-user user@huawei.com password cipher %@%@ZX}=YK.{rUa.K#7W\==O)+[c%@%@ ip address ppp-negotiate dialer user huawei dialer bundle 1 //Укажите Dialer bundle для интерфейса Dialer RSDCC. dialer-group 1 //Укажите группу dailer для интерфейса Dialer. ddns policy ddnspolicy1 //Применение политики DDNS к интерфейсу Dialer, так что интерфейс Dialer может перенаправлять динамическое обновление на сервер DDNS при изменении IP-адреса интерфейса. ipsec policy branch //Свяжите политику IPSec. # interface GigabitEthernet1/0/0 pppoe-client dial-bundle-number 1 //Свяжите интерфейс Dialer и установите сеанс PPPoE. # interface GigabitEthernet2/0/0 ip address 10.1.0.2 255.255.255.0 vrrp vrid 1 virtual-ip 10.1.0.10 //Установите виртуальный адрес группы 1 VRRP 10.1.0.10. vrrp vrid 1 priority 90 //Установите приоритет группы VRRP с 1 по 90 и настройте HQ2 как резерв. vrrp vrid 1 track nqa user test reduced 40 //Свяжите VRRP с NQA для мониторинга подключения активного канала к штаб-квартире. # dialer-rule //Настройте правило Dialer, разрешающее все пакеты IPv4. dialer-rule 1 ip permit # ip route-static 0.0.0.0 0.0.0.0 Dialer0 //Настройка статического маршрута. # nqa test-instance user test //Настройка тестового экземпляра NQA. test-type icmp //Настройте тип теста проверки NQA как ICMP. destination-address ipv4 5.1.1.2 frequency 20 //Настройте интервал запуска тестов NQA. probe-count 5 //Задайте количество отправок для одного теста. source-interface Dialer0 //Настройте интерфейс источника, который пересылает пакеты NQA. start now // запустите тест. # return
Настройте AR1.
# sysname AR1 # dns resolve //Включите разрешение DNS для разрешения адреса шлюза в штаб-квартире. dns server 5.1.1.2 //Настройка IP-адреса DNS-сервера. # acl number 3000 //Настройка ACL. rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.0.0 0.0.0.255 # ipsec proposal def //Настройте IPSec proposal. esp authentication-algorithm sha2-256 esp encryption-algorithm aes-192 # ike proposal 1 //Настройте IKE proposal. encryption-algorithm aes-cbc-128 authentication-algorithm sha2-256 # ike peer center v2 //Команды, используемые для настройки одноранговых узлов IKE и протокола IKE, различаются в зависимости от версии программного обеспечения. В более ранних версиях V200R008, команда является ike peer peername [ v1 | v2 ]. В V200R008 и более поздних версиях команды является ike peer peer-name и version { 1 | 2 }. По умолчанию IKEv1 и IKEv2 включены одновременно. Инициатор использует IKEv2 для инициирования запроса на согласование, в то время как ответчик использует IKEv1 или IKEv2 для ответа. Чтобы инициировать запрос на согласование с использованием IKEv1, запустите команду undo version 2. pre-shared-key cipher %^%#IRFGEiFPJ1$&a'Qy,L*XQL_+*Grq-=yMb}ULZdS6%^%# //Настройте ключ проверки подлинности «huawei1234» в шифрованном виде. Эта команда в V2R3C00 и более ранних версиях представляет собой предварительно разделяемый ключ huawei1234, и пароль отображается в виде обычного текста. ike-proposal 1 nat traversal //Включите обход NAT. В версиях V200R008 и более поздних версиях устройство поддерживает обход NAT по умолчанию, и эта команда не поддерживается. dpd type periodic //Укажите режим DPD как периодический. dpd retransmit-interval 10 //Установите интервал повторной передачи DPD-пакетов на 10 секунд. remote-address store1.huawei.com track nqa user test1 up //Когда состояние тестового экземпляра NQA = Up, доменное имя может использоваться как удаленный адрес для согласования. remote-address store2.huawei.com track nqa user test1 down //Когда состояние тестового экземпляра NQA = down, имя домена может использоваться как удаленный адрес для проверки. switch-back enable # ipsec policy center1 1 isakmp //Настройка политики IPSec. security acl 3000 ike-peer center proposal def connect track nqa user test up //Когда состояние тестового экземпляра NQA= Up, установите туннель IPSec, используя политику IPSec. disconnect track nqa user test down //Когда состояние экземпляра NQA-теста = down, разорвите туннель IPSec, установленный с использованием политики IPSec. # ipsec policy center2 1 isakmp //Настройка политики IPSec. security acl 3000 ike-peer center proposal def connect track nqa user test down //Когда состояние тестового экземпляра NQA = down, установите туннель IPSec, используя политику IPSec. disconnect track nqa user test up //Когда состояние тестового экземпляра NQA = Up, разорвите туннель IPSec, установленный с использованием политики IPSec. # interface GigabitEthernet1/0/0 ip address 10.2.1.2 255.255.255.0 ipsec policy center1 //Свяжите политику IPSec. # interface GigabitEthernet2/0/0 ip address 10.1.1.1 255.255.255.0 # interface Cellular0/0/0 dialer enable-circular dialer-group 1 dialer timer idle 180 dialer timer autodial 10 dialer number *99# ipsec policy center2 ip address negotiate # ip route-static 0.0.0.0 0.0.0.0 Cellular0/0/0 preference 200 //Настройка статического маршрута в режиме standby. ip route-static 0.0.0.0 0.0.0.0 10.2.1.1 track nqa user test //Настройте статический маршрут как активный маршрут и настройте тест NQA. ip route-static 5.1.1.2 255.255.255.0 10.2.1.1 //Настройте статический маршрут для обеспечения возможности свзяи с адресом 5.1.1.2. # dialer-rule //Настройте правило набора номера, разрешающее все пакеты IPv4. dialer-rule 1 ip permit # nqa test-instance user test //Настройка тестового экземпляра NQA. test-type icmp //Настройте тип теста NQA как ICMP. destination-address ipv4 5.1.1.2 //Укажите IP-адрес в общедоступной сети для проверки возможности подключения. frequency 20 //Настройте интервал тестов NQA. probe-count 5 //Задайте количество отправок для одного теста. source-interface GigabitEthernet1/0/0 /Настройте интерфейс источника, который отправляет тестовые пакеты. nqa test-instance user test1 test-type icmp destination-address ipv4 3.1.1.1 //Укажите общий сетевой адрес HQ1 . frequency 20 probe-count 5 # return