Использование NQA в IPSec для быстрого переключения между активными ирезервными одно

36 0 2 1

Мы продолжаем рассматривать пример настройки NQA в IPSec для быстрого переключения между активными ирезервными одноранговыми узлами и каналами.

Часть 1 доступна по ссылке –  https://forum.huawei.com/enterprise/ru/использование-nqa-в-ipsec-для-быстрого-переключения-между-активными-ирезервными-одно/thread/596588-100131

 

Напомним топологию:

 

1


2

 

 

Настройте HQ1.

#
sysname HQ1
#
dns resolve //Включите разрешение DNS для разрешения адреса шлюза в штаб-квартире.
dns server 5.1.1.2 //Настройка IP-адреса DNS-сервера.
#
ddns policy ddnspolicy1 //Настройте политику DDNS для обновления IP-адреса, отображающего имя домена.
url oray://username1:password1@phddnsdev.oray.net //Настройте URL-адрес сервера DDNS.
#
ipsec proposal def //Настройте IPSec proposal.
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-192
#
ike proposal 1 //Настройте IKE proposal.
encryption-algorithm aes-cbc-128 //В версиях V200R008 и более поздних версиях параметр aes-cbc-128 изменен на aes-128
authentication-algorithm sha2-256
#
ike peer branch v2 //Команды, используемые для настройки одноранговых узлов IKE и протокола IKE, различаются в зависимости от версии программного
обеспечения. В более ранних версиях V200R008, команда является ike peer peername [ v1 | v2 ]. В V200R008 и более поздних версиях команды является ike peer peer-name и version { 1 | 2 }. По умолчанию IKEv1 и IKEv2 включены одновременно. Инициатор использует IKEv2 для инициирования запроса на согласование, в то время как ответчик использует IKEv1 или IKEv2 для ответа.
Чтобы инициировать запрос на согласование с использованием IKEv1, запустите команду undo version 2.
pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%# // Настройте ключ проверки подлинности «huawei1234» в шифрованном виде. Эта команда в V2R3C00 и более ранних версиях представляет собой предварительно разделяемый ключ huawei1234, и пароль отображается в виде обычного текста.
ike-proposal 1
nat traversal //Включите обход NAT. В версиях V200R008 и более поздних версиях устройство поддерживает обход NAT по умолчанию, и эта команда не поддерживается.
dpd type periodic //Укажите режим DPD как периодический.
dpd retransmit-interval 10 //Установите интервал повторной передачи DPD-пакетов на 10 секунд.
#
ipsec policy-template use1 10 //Настройка шаблона политики IPSec.
ike-peer branch
proposal def
#
ipsec policy branch 1 isakmp template use1 //Примените шаблон политики IPSec к политике IPSec.
#
interface Dialer0 //Настройка параметров интерфейса Dialer.
link-protocol ppp
ppp pap local-user user@huawei.com password cipher %@%@ZX}=YK.{rUa.K#7W\==O)+[c%@%@
ip address ppp-negotiate
dialer user huawei
dialer bundle 1 //Укажите Dialer bundle для интерфейса Dialer RSDCC.
dialer-group 1 //Укажите группу Dialer для интерфейса Dialer.
ddns policy ddnspolicy1 //Примените политику DDNS к интерфейсу, так что интерфейс может перенаправить динамическое обновление на сервер DDNS при изменении IP-адреса интерфейса.
ipsec policy branch //Свяжите политику IPSec.
#
interface GigabitEthernet1/0/0
pppoe-client dial-bundle-number 1 //Свяжите интерфейс Dialer и установите сеанс PPPoE.
#
interface GigabitEthernet2/0/0
ip address 10.1.0.1 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.0.10 //Установите виртуальный адрес группы 1 VRRP 10.1.0.10.
vrrp vrid 1 priority 120 //Настройте приоритет устройства в группе VRRP.
vrrp vrid 1 preempt-mode timer delay 20 //Задайте задержку на отправку для устройства в группе VRRP.
vrrp vrid 1 track nqa user test reduced 40 //Ассоциируйте VRRP с NQA для мониторинга подключения активного канала в штаб-квартиру.
#
dialer-rule //Настройте правило Dialer, разрешающее все пакеты IPv4.
dialer-rule 1 ip permit
#
ip route-static 0.0.0.0 0.0.0.0 Dialer0 //Настройка статического маршрута.
#
nqa test-instance user test //Настройка тестового экземпляра NQA.
test-type icmp //Настройте тестовый тип экземпляра проверки NQA как ICMP.
destination-address ipv4 5.1.1.2
frequency 20 //Настройте интервал запуска теста NQA.
probe-count 5 //Задайте количество отправок для одного теста.
source-interface Dialer0 //Настройте интерфейс источника, который пересылает пакеты NQA.
start now // запустите тест.
#
return

 

 Настройте HQ2.

#
sysname HQ2
#
dns resolve //Включите разрешение DNS для разрешения адреса шлюза в штаб-квартире.
dns server 5.1.1.2 //Настройка IP-адреса DNS-сервера.
#
ddns policy ddnspolicy1 //Настройте политику DDNS для обновления IP-адреса, отображающего имя домена.
url oray://username1:password1@phddnsdev.oray.net //Настройте URL-адрес сервера DDNS.
#
ipsec proposal def //Настройте IPSec proposal.
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-192
#
ike proposal 1 //Настройте IKE proposal.
encryption-algorithm aes-cbc-128
authentication-algorithm sha2-256
#
ike peer branch v2 //Команды, используемые для настройки одноранговых узлов IKE и протокола IKE, различаются в зависимости от версии программного
обеспечения. В более ранних версиях V200R008, команда является ike peer peername [ v1 | v2 ]. В V200R008 и более поздних версиях команды является ike
peer peer-name и version { 1 | 2 }. По умолчанию IKEv1 и IKEv2 включены одновременно. Инициатор использует IKEv2 для инициирования запроса на
согласование, в то время как ответчик использует IKEv1 или IKEv2 для ответа.
Чтобы инициировать запрос на согласование с использованием IKEv1, запустите команду undo version 2.
pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%# // Настройте ключ проверки подлинности «huawei1234» в шифрованном виде. Эта команда в V2R3C00 и более ранних версиях представляет собой предварительно разделяемый ключ huawei1234, и пароль отображается в виде обычного текста.
ike-proposal 1.
nat traversal //Включите обход NAT. В версиях V200R008 и более поздних версиях устройство поддерживает обход NAT по умолчанию, и эта команда не поддерживается.
dpd type periodic //Укажите режим DPD как периодический.
dpd retransmit-interval 10 //Установите интервал повторной передачи DPD-пакетов на 10 секунд.
#
ipsec policy-template use1 10 //Настройка шаблона политики IPSec.
ike-peer branch
proposal def
#
ipsec policy branch 1 isakmp template use1 //Примените шаблон политики IPSec к политике IPSec.
#
interface Dialer0 //Настройка параметров интерфейса Dialer.
link-protocol ppp
ppp pap local-user user@huawei.com password cipher %@%@ZX}=YK.{rUa.K#7W\==O)+[c%@%@
ip address ppp-negotiate
dialer user huawei
dialer bundle 1 //Укажите Dialer bundle для интерфейса Dialer  RSDCC.
dialer-group 1 //Укажите группу dailer для интерфейса Dialer.
ddns policy ddnspolicy1 //Применение политики DDNS к интерфейсу Dialer, так что интерфейс Dialer может перенаправлять динамическое обновление на сервер DDNS при изменении IP-адреса интерфейса.
ipsec policy branch //Свяжите политику IPSec.
#
interface GigabitEthernet1/0/0
pppoe-client dial-bundle-number 1 //Свяжите интерфейс Dialer и установите сеанс PPPoE.
#
interface GigabitEthernet2/0/0
ip address 10.1.0.2 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.0.10 //Установите виртуальный адрес группы 1 VRRP 10.1.0.10.
vrrp vrid 1 priority 90 //Установите приоритет группы VRRP с 1 по 90 и настройте HQ2 как резерв.
vrrp vrid 1 track nqa user test reduced 40 //Свяжите VRRP с NQA для мониторинга подключения активного канала к штаб-квартире.
#
dialer-rule //Настройте правило Dialer, разрешающее все пакеты IPv4.
dialer-rule 1 ip permit
#
ip route-static 0.0.0.0 0.0.0.0 Dialer0 //Настройка статического маршрута.
#
nqa test-instance user test //Настройка тестового экземпляра NQA.
test-type icmp //Настройте тип теста проверки NQA как ICMP.
destination-address ipv4 5.1.1.2
frequency 20 //Настройте интервал запуска тестов NQA.
probe-count 5 //Задайте количество отправок для одного теста.
source-interface Dialer0 //Настройте интерфейс источника, который пересылает пакеты NQA.
start now // запустите тест.
#
return

 

Настройте AR1.

#
sysname AR1
#
dns resolve //Включите разрешение DNS для разрешения адреса шлюза в штаб-квартире.
dns server 5.1.1.2 //Настройка IP-адреса DNS-сервера.
#
acl number 3000 //Настройка ACL.
rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.0.0 0.0.0.255
#
ipsec proposal def //Настройте IPSec proposal.
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-192
#
ike proposal 1 //Настройте IKE proposal.
encryption-algorithm aes-cbc-128
authentication-algorithm sha2-256
#
ike peer center v2 //Команды, используемые для настройки одноранговых узлов IKE и протокола IKE, различаются в зависимости от версии программного обеспечения. В более ранних версиях V200R008, команда является ike peer peername [ v1 | v2 ]. В V200R008 и более поздних версиях команды является ike peer peer-name и version { 1 | 2 }. По умолчанию IKEv1 и IKEv2 включены одновременно. Инициатор использует IKEv2 для инициирования запроса на согласование, в то время как ответчик использует IKEv1 или IKEv2 для ответа. Чтобы инициировать запрос на согласование с использованием IKEv1, запустите команду undo version 2.
pre-shared-key cipher %^%#IRFGEiFPJ1$&a'Qy,L*XQL_+*Grq-=yMb}ULZdS6%^%# //Настройте ключ проверки подлинности «huawei1234» в шифрованном виде. Эта команда в V2R3C00 и более ранних версиях представляет собой предварительно разделяемый ключ huawei1234, и пароль отображается в виде обычного текста.
ike-proposal 1
nat traversal //Включите обход NAT. В версиях V200R008 и более поздних версиях устройство поддерживает обход NAT по умолчанию, и эта команда не поддерживается.
dpd type periodic //Укажите режим DPD как периодический.
dpd retransmit-interval 10 //Установите интервал повторной передачи DPD-пакетов на 10 секунд.
remote-address store1.huawei.com track nqa user test1 up //Когда состояние тестового экземпляра NQA =  Up, доменное имя может использоваться как удаленный адрес для согласования.
remote-address store2.huawei.com track nqa user test1 down //Когда состояние тестового экземпляра NQA =  down, имя домена может использоваться как удаленный адрес для проверки.
switch-back enable
#
ipsec policy center1 1 isakmp //Настройка политики IPSec.
security acl 3000
ike-peer center
proposal def
connect track nqa user test up //Когда состояние тестового экземпляра NQA= Up, установите туннель IPSec, используя политику IPSec.
disconnect track nqa user test down //Когда состояние экземпляра NQA-теста = down, разорвите туннель IPSec, установленный с использованием политики IPSec.
#
ipsec policy center2 1 isakmp //Настройка политики IPSec.
security acl 3000
ike-peer center
proposal def
connect track nqa user test down //Когда состояние тестового экземпляра NQA = down, установите туннель IPSec, используя политику IPSec.
disconnect track nqa user test up //Когда состояние тестового экземпляра NQA = Up, разорвите туннель IPSec, установленный с использованием политики  IPSec.
#
interface GigabitEthernet1/0/0
ip address 10.2.1.2 255.255.255.0
ipsec policy center1 //Свяжите политику IPSec.
#
interface GigabitEthernet2/0/0
ip address 10.1.1.1 255.255.255.0
#
interface Cellular0/0/0
dialer enable-circular
dialer-group 1
dialer timer idle 180
dialer timer autodial 10
dialer number *99#
ipsec policy center2
ip address negotiate
#
ip route-static 0.0.0.0 0.0.0.0 Cellular0/0/0 preference 200 //Настройка статического маршрута в режиме standby.
ip route-static 0.0.0.0 0.0.0.0 10.2.1.1 track nqa user test //Настройте статический маршрут как активный маршрут и настройте тест NQA.
ip route-static 5.1.1.2 255.255.255.0 10.2.1.1 //Настройте статический маршрут для обеспечения возможности свзяи с адресом 5.1.1.2.
#
dialer-rule //Настройте правило набора номера, разрешающее все пакеты IPv4.
dialer-rule 1 ip permit
#
nqa test-instance user test //Настройка тестового экземпляра NQA.
test-type icmp //Настройте тип теста NQA как ICMP.
destination-address ipv4 5.1.1.2 //Укажите IP-адрес в общедоступной сети для проверки возможности подключения.
frequency 20 //Настройте интервал тестов NQA.
probe-count 5 //Задайте количество отправок для одного теста.
source-interface GigabitEthernet1/0/0 /Настройте интерфейс источника, который отправляет тестовые пакеты.
nqa test-instance user test1
test-type icmp
destination-address ipv4 3.1.1.1 //Укажите общий сетевой адрес HQ1 .
frequency 20
probe-count 5
#
return


  • x

Комментарий

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход