Мы продолжаем рассматривать пример настройки NQA в IPSec для быстрого переключения между активными ирезервными одноранговыми узлами и каналами.
Часть 1 доступна по ссылке – https://forum.huawei.com/enterprise/ru/использование-nqa-в-ipsec-для-быстрого-переключения-между-активными-ирезервными-одно/thread/596588-100131
Напомним топологию:
Настройте HQ1.
#
sysname HQ1
#
dns resolve //Включите разрешение DNS для разрешения адреса шлюза в штаб-квартире.
dns server 5.1.1.2 //Настройка IP-адреса DNS-сервера.
#
ddns policy ddnspolicy1 //Настройте политику DDNS для обновления IP-адреса, отображающего имя домена.
url oray://username1:password1@phddnsdev.oray.net //Настройте URL-адрес сервера DDNS.
#
ipsec proposal def //Настройте IPSec proposal.
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-192
#
ike proposal 1 //Настройте IKE proposal.
encryption-algorithm aes-cbc-128 //В версиях V200R008 и более поздних версиях параметр aes-cbc-128 изменен на aes-128
authentication-algorithm sha2-256
#
ike peer branch v2 //Команды, используемые для настройки одноранговых узлов IKE и протокола IKE, различаются в зависимости от версии программного
обеспечения. В более ранних версиях V200R008, команда является ike peer peername [ v1 | v2 ]. В V200R008 и более поздних версиях команды является ike peer peer-name и version { 1 | 2 }. По умолчанию IKEv1 и IKEv2 включены одновременно. Инициатор использует IKEv2 для инициирования запроса на согласование, в то время как ответчик использует IKEv1 или IKEv2 для ответа.
Чтобы инициировать запрос на согласование с использованием IKEv1, запустите команду undo version 2.
pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%# // Настройте ключ проверки подлинности «huawei1234» в шифрованном виде. Эта команда в V2R3C00 и более ранних версиях представляет собой предварительно разделяемый ключ huawei1234, и пароль отображается в виде обычного текста.
ike-proposal 1
nat traversal //Включите обход NAT. В версиях V200R008 и более поздних версиях устройство поддерживает обход NAT по умолчанию, и эта команда не поддерживается.
dpd type periodic //Укажите режим DPD как периодический.
dpd retransmit-interval 10 //Установите интервал повторной передачи DPD-пакетов на 10 секунд.
#
ipsec policy-template use1 10 //Настройка шаблона политики IPSec.
ike-peer branch
proposal def
#
ipsec policy branch 1 isakmp template use1 //Примените шаблон политики IPSec к политике IPSec.
#
interface Dialer0 //Настройка параметров интерфейса Dialer.
link-protocol ppp
ppp pap local-user user@huawei.com password cipher %@%@ZX}=YK.{rUa.K#7W\==O)+[c%@%@
ip address ppp-negotiate
dialer user huawei
dialer bundle 1 //Укажите Dialer bundle для интерфейса Dialer RSDCC.
dialer-group 1 //Укажите группу Dialer для интерфейса Dialer.
ddns policy ddnspolicy1 //Примените политику DDNS к интерфейсу, так что интерфейс может перенаправить динамическое обновление на сервер DDNS при изменении IP-адреса интерфейса.
ipsec policy branch //Свяжите политику IPSec.
#
interface GigabitEthernet1/0/0
pppoe-client dial-bundle-number 1 //Свяжите интерфейс Dialer и установите сеанс PPPoE.
#
interface GigabitEthernet2/0/0
ip address 10.1.0.1 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.0.10 //Установите виртуальный адрес группы 1 VRRP 10.1.0.10.
vrrp vrid 1 priority 120 //Настройте приоритет устройства в группе VRRP.
vrrp vrid 1 preempt-mode timer delay 20 //Задайте задержку на отправку для устройства в группе VRRP.
vrrp vrid 1 track nqa user test reduced 40 //Ассоциируйте VRRP с NQA для мониторинга подключения активного канала в штаб-квартиру.
#
dialer-rule //Настройте правило Dialer, разрешающее все пакеты IPv4.
dialer-rule 1 ip permit
#
ip route-static 0.0.0.0 0.0.0.0 Dialer0 //Настройка статического маршрута.
#
nqa test-instance user test //Настройка тестового экземпляра NQA.
test-type icmp //Настройте тестовый тип экземпляра проверки NQA как ICMP.
destination-address ipv4 5.1.1.2
frequency 20 //Настройте интервал запуска теста NQA.
probe-count 5 //Задайте количество отправок для одного теста.
source-interface Dialer0 //Настройте интерфейс источника, который пересылает пакеты NQA.
start now // запустите тест.
#
return
Настройте HQ2.
#
sysname HQ2
#
dns resolve //Включите разрешение DNS для разрешения адреса шлюза в штаб-квартире.
dns server 5.1.1.2 //Настройка IP-адреса DNS-сервера.
#
ddns policy ddnspolicy1 //Настройте политику DDNS для обновления IP-адреса, отображающего имя домена.
url oray://username1:password1@phddnsdev.oray.net //Настройте URL-адрес сервера DDNS.
#
ipsec proposal def //Настройте IPSec proposal.
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-192
#
ike proposal 1 //Настройте IKE proposal.
encryption-algorithm aes-cbc-128
authentication-algorithm sha2-256
#
ike peer branch v2 //Команды, используемые для настройки одноранговых узлов IKE и протокола IKE, различаются в зависимости от версии программного
обеспечения. В более ранних версиях V200R008, команда является ike peer peername [ v1 | v2 ]. В V200R008 и более поздних версиях команды является ike
peer peer-name и version { 1 | 2 }. По умолчанию IKEv1 и IKEv2 включены одновременно. Инициатор использует IKEv2 для инициирования запроса на
согласование, в то время как ответчик использует IKEv1 или IKEv2 для ответа.
Чтобы инициировать запрос на согласование с использованием IKEv1, запустите команду undo version 2.
pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%# // Настройте ключ проверки подлинности «huawei1234» в шифрованном виде. Эта команда в V2R3C00 и более ранних версиях представляет собой предварительно разделяемый ключ huawei1234, и пароль отображается в виде обычного текста.
ike-proposal 1.
nat traversal //Включите обход NAT. В версиях V200R008 и более поздних версиях устройство поддерживает обход NAT по умолчанию, и эта команда не поддерживается.
dpd type periodic //Укажите режим DPD как периодический.
dpd retransmit-interval 10 //Установите интервал повторной передачи DPD-пакетов на 10 секунд.
#
ipsec policy-template use1 10 //Настройка шаблона политики IPSec.
ike-peer branch
proposal def
#
ipsec policy branch 1 isakmp template use1 //Примените шаблон политики IPSec к политике IPSec.
#
interface Dialer0 //Настройка параметров интерфейса Dialer.
link-protocol ppp
ppp pap local-user user@huawei.com password cipher %@%@ZX}=YK.{rUa.K#7W\==O)+[c%@%@
ip address ppp-negotiate
dialer user huawei
dialer bundle 1 //Укажите Dialer bundle для интерфейса Dialer RSDCC.
dialer-group 1 //Укажите группу dailer для интерфейса Dialer.
ddns policy ddnspolicy1 //Применение политики DDNS к интерфейсу Dialer, так что интерфейс Dialer может перенаправлять динамическое обновление на сервер DDNS при изменении IP-адреса интерфейса.
ipsec policy branch //Свяжите политику IPSec.
#
interface GigabitEthernet1/0/0
pppoe-client dial-bundle-number 1 //Свяжите интерфейс Dialer и установите сеанс PPPoE.
#
interface GigabitEthernet2/0/0
ip address 10.1.0.2 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.0.10 //Установите виртуальный адрес группы 1 VRRP 10.1.0.10.
vrrp vrid 1 priority 90 //Установите приоритет группы VRRP с 1 по 90 и настройте HQ2 как резерв.
vrrp vrid 1 track nqa user test reduced 40 //Свяжите VRRP с NQA для мониторинга подключения активного канала к штаб-квартире.
#
dialer-rule //Настройте правило Dialer, разрешающее все пакеты IPv4.
dialer-rule 1 ip permit
#
ip route-static 0.0.0.0 0.0.0.0 Dialer0 //Настройка статического маршрута.
#
nqa test-instance user test //Настройка тестового экземпляра NQA.
test-type icmp //Настройте тип теста проверки NQA как ICMP.
destination-address ipv4 5.1.1.2
frequency 20 //Настройте интервал запуска тестов NQA.
probe-count 5 //Задайте количество отправок для одного теста.
source-interface Dialer0 //Настройте интерфейс источника, который пересылает пакеты NQA.
start now // запустите тест.
#
return
Настройте AR1.
#
sysname AR1
#
dns resolve //Включите разрешение DNS для разрешения адреса шлюза в штаб-квартире.
dns server 5.1.1.2 //Настройка IP-адреса DNS-сервера.
#
acl number 3000 //Настройка ACL.
rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.0.0 0.0.0.255
#
ipsec proposal def //Настройте IPSec proposal.
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-192
#
ike proposal 1 //Настройте IKE proposal.
encryption-algorithm aes-cbc-128
authentication-algorithm sha2-256
#
ike peer center v2 //Команды, используемые для настройки одноранговых узлов IKE и протокола IKE, различаются в зависимости от версии программного обеспечения. В более ранних версиях V200R008, команда является ike peer peername [ v1 | v2 ]. В V200R008 и более поздних версиях команды является ike peer peer-name и version { 1 | 2 }. По умолчанию IKEv1 и IKEv2 включены одновременно. Инициатор использует IKEv2 для инициирования запроса на согласование, в то время как ответчик использует IKEv1 или IKEv2 для ответа. Чтобы инициировать запрос на согласование с использованием IKEv1, запустите команду undo version 2.
pre-shared-key cipher %^%#IRFGEiFPJ1$&a'Qy,L*XQL_+*Grq-=yMb}ULZdS6%^%# //Настройте ключ проверки подлинности «huawei1234» в шифрованном виде. Эта команда в V2R3C00 и более ранних версиях представляет собой предварительно разделяемый ключ huawei1234, и пароль отображается в виде обычного текста.
ike-proposal 1
nat traversal //Включите обход NAT. В версиях V200R008 и более поздних версиях устройство поддерживает обход NAT по умолчанию, и эта команда не поддерживается.
dpd type periodic //Укажите режим DPD как периодический.
dpd retransmit-interval 10 //Установите интервал повторной передачи DPD-пакетов на 10 секунд.
remote-address store1.huawei.com track nqa user test1 up //Когда состояние тестового экземпляра NQA = Up, доменное имя может использоваться как удаленный адрес для согласования.
remote-address store2.huawei.com track nqa user test1 down //Когда состояние тестового экземпляра NQA = down, имя домена может использоваться как удаленный адрес для проверки.
switch-back enable
#
ipsec policy center1 1 isakmp //Настройка политики IPSec.
security acl 3000
ike-peer center
proposal def
connect track nqa user test up //Когда состояние тестового экземпляра NQA= Up, установите туннель IPSec, используя политику IPSec.
disconnect track nqa user test down //Когда состояние экземпляра NQA-теста = down, разорвите туннель IPSec, установленный с использованием политики IPSec.
#
ipsec policy center2 1 isakmp //Настройка политики IPSec.
security acl 3000
ike-peer center
proposal def
connect track nqa user test down //Когда состояние тестового экземпляра NQA = down, установите туннель IPSec, используя политику IPSec.
disconnect track nqa user test up //Когда состояние тестового экземпляра NQA = Up, разорвите туннель IPSec, установленный с использованием политики IPSec.
#
interface GigabitEthernet1/0/0
ip address 10.2.1.2 255.255.255.0
ipsec policy center1 //Свяжите политику IPSec.
#
interface GigabitEthernet2/0/0
ip address 10.1.1.1 255.255.255.0
#
interface Cellular0/0/0
dialer enable-circular
dialer-group 1
dialer timer idle 180
dialer timer autodial 10
dialer number *99#
ipsec policy center2
ip address negotiate
#
ip route-static 0.0.0.0 0.0.0.0 Cellular0/0/0 preference 200 //Настройка статического маршрута в режиме standby.
ip route-static 0.0.0.0 0.0.0.0 10.2.1.1 track nqa user test //Настройте статический маршрут как активный маршрут и настройте тест NQA.
ip route-static 5.1.1.2 255.255.255.0 10.2.1.1 //Настройте статический маршрут для обеспечения возможности свзяи с адресом 5.1.1.2.
#
dialer-rule //Настройте правило набора номера, разрешающее все пакеты IPv4.
dialer-rule 1 ip permit
#
nqa test-instance user test //Настройка тестового экземпляра NQA.
test-type icmp //Настройте тип теста NQA как ICMP.
destination-address ipv4 5.1.1.2 //Укажите IP-адрес в общедоступной сети для проверки возможности подключения.
frequency 20 //Настройте интервал тестов NQA.
probe-count 5 //Задайте количество отправок для одного теста.
source-interface GigabitEthernet1/0/0 /Настройте интерфейс источника, который отправляет тестовые пакеты.
nqa test-instance user test1
test-type icmp
destination-address ipv4 3.1.1.1 //Укажите общий сетевой адрес HQ1 .
frequency 20
probe-count 5
#
return
