- Cette configuration permet :
- De créer une interconnexion entre le MX-204 et le CPR client via un bloc d'IP privé.
- D'établir une session BGP entre le MX-204 et le CPR afin d'exporter l'IP WAN présente sur le CPR en /32.
- De faire transiter la configuration via notre backbone de niveau 2 (encapsulation dans un VLAN).
- De limiter le débit du client.
set groups $INET_CLIENT-VILLE interfaces $INTERF-L2L3 unit $VLAN_CLIENT description $CLIENT-VILLE-REF_SRV
set groups $INET_CLIENT-VILLE interfaces $INTERF-L2L3 unit $VLAN_CLIENT vlan-id $VLAN_CLIENT
set groups $INET_CLIENT-VILLE interfaces $INTERF-L2L3 unit $VLAN_CLIENT family inet address $IP-GW_CGN/29
set groups $INET_CLIENT-VILLE class-of-service interfaces $INTERF-L2L3 unit $VLAN_CLIENT output-traffic-control-profile TRAFFIC_CONTROL_$DEBIT
set groups $INET_CLIENT-VILLE class-of-service interfaces $INTERF-L2L3 unit $VLAN_CLIENT classifiers dscp CLASSIFIER_DSCP_IN_FAI
set groups $INET_CLIENT-VILLE routing-instances GLOBAL-INTERNET protocols bgp group SINGLE_HOMED_CGN neighbor $LAST-IP_CGN description $CLIENT-VILLE-REF_SRV
set groups $INET_CLIENT-VILLE routing-instances GLOBAL-INTERNET protocols bgp group SINGLE_HOMED_CGN neighbor $LAST-IP_CGN import IMPORT_ROUTES_FROM_CPE
set groups $INET_CLIENT-VILLE routing-instances GLOBAL-INTERNET protocols bgp group SINGLE_HOMED_CGN neighbor $LAST-IP_CGN remove-private
set groups $INET_CLIENT-VILLE routing-instances GLOBAL-INTERNET protocols bgp group SINGLE_HOMED_CGN neighbor $LAST-IP_CGN bfd-liveness-detection minimum-interval 1000
set groups $INET_CLIENT-VILLE routing-instances GLOBAL-INTERNET interface $INTERF-L2L3.$VLAN_CLIENT
set apply-groups $INET_CLIENT-VILLE
- $INET_CLIENT-VILLE - C'est le nom du groupe de notre client, par exemple : "INET-EUROFIBER-LILLE"
- $CLIENT-VILLE-REF_SRV - C'est la description de notre service, par exemple: "EUROFIBER-LILLE-SRV123456789"
- $VLAN_CLIENT - C'est le VLAN de notre client, par exemple : "899"
- $IP-GW_CGN - C'est la passerelle du bloc d'interconnexion privé pour notre client, par exemple pour le bloc 100.106.5.144/29, on utilisera "100.106.5.145/29"
- $LAST-IP_CGN - C'est la dernière IP de notre bloc 100.106.5.144/29, qui est utiliser sur notre CPR, par exemple "100.106.5.159"
- $DEBIT - C'est la limite de débit appliqué pour notre client, par exemple : "100Mbps" ou "1Gbps" ou "200Mbps" ect..
- $INTERF-L2L3 - C'est l'interface de sortie pour envoyé notre VLAN sur le backbone de transport, par exemple : "ae4" ou "xe-0/1/2" ect..
set groups INET_CHEOPS-TECHNOLOGY-NANTES interfaces ae4 unit 808 description CHEOPS-TECHNOLOGY-NANTES
set groups INET_CHEOPS-TECHNOLOGY-NANTES interfaces ae4 unit 808 vlan-id 808
set groups INET_CHEOPS-TECHNOLOGY-NANTES interfaces ae4 unit 808 family inet address 100.106.5.145/29
set groups INET_CHEOPS-TECHNOLOGY-NANTES class-of-service interfaces ae4 unit 808 output-traffic-control-profile TRAFFIC_CONTROL_100Mbps
set groups INET_CHEOPS-TECHNOLOGY-NANTES class-of-service interfaces ae4 unit 808 classifiers dscp CLASSIFIER_DSCP_IN_FAI
set groups INET_CHEOPS-TECHNOLOGY-NANTES routing-instances GLOBAL-INTERNET protocols bgp group SINGLE_HOMED_CGN neighbor 100.106.5.150 description CHEOPS-TECHNOLOGY-NANTES
set groups INET_CHEOPS-TECHNOLOGY-NANTES routing-instances GLOBAL-INTERNET protocols bgp group SINGLE_HOMED_CGN neighbor 100.106.5.150 import IMPORT_ROUTES_FROM_CPE
set groups INET_CHEOPS-TECHNOLOGY-NANTES routing-instances GLOBAL-INTERNET protocols bgp group SINGLE_HOMED_CGN neighbor 100.106.5.150 remove-private
set groups INET_CHEOPS-TECHNOLOGY-NANTES routing-instances GLOBAL-INTERNET protocols bgp group SINGLE_HOMED_CGN neighbor 100.106.5.150 bfd-liveness-detection minimum-interval 1000
set groups INET_CHEOPS-TECHNOLOGY-NANTES routing-instances GLOBAL-INTERNET interface ae4.808
set apply-groups INET_CHEOPS-TECHNOLOGY-NANTES
- Cette configuration permet :
- De récupérer et propager le VLAN provenant de la couche 3.
- De transporter ce VLAN via un EVC vers l'équipement de raccordement du client.
interface $Interface.$Vlan l2transport
description $DescriptionClientEtP2P
encapsulation dot1q $Vlan
rewrite ingress tag pop 1 symmetric
mtu 9018
l2vpn
xconnect group CUST-VLL
p2p $DescriptionClientEtP2P
interface $Interface.$Vlan
neighbor ipv4 $Lo0PeDistant pw-id $IDmpls
- $Interface - C'est l'interface du NCS raccordé au MX-204, par exemple "Te0/0/0/45".
- $Vlan - C'est le VLAN de notre client, par exemple "899".
- $DescriptionClientEtP2P - C'est la description de notre service, par exemple "EUROFIBER-LILLE-SRV123456789".
- $Lo0PeDistant - C'est la loopback du EDGE2 où est raccordé notre client, par exemple "100.67.0.6".
- $IDmpls - C'est l'identifiant de notre EVC qui permet de monter la liaison MPLS, par exemple "30161808".
interface Te0/0/0/45.808 l2transport
description CHEOPS-TECHNOLOGY-NANTES [SRV240777745-2]
encapsulation dot1q 808
rewrite ingress tag pop 1 symmetric
mtu 9018
l2vpn
xconnect group CUST-VLL
p2p CHEOPS-TECHNOLOGY-NANTES
interface Te0/0/0/45.808
neighbor ipv4 100.67.0.6 pw-id 30161808
- Cette configuration permet :
- De récupérer et propager le VLAN provenant de la couche 3.
- De transporter ce VLAN via un EVC vers l'équipement de la couche 2, puis vers le VLAN 50 associé à l'interface de raccordement du client.
- De récupérer et propager le VLAN 10 vers le CPR client et l'interface Bdi10 pour la gestion.
- De limiter le débit du client.
interface $InterfaceClient
description $DescriptionClientEtP2P
mtu 9216
no ip address
negotiation auto
service instance 10 ethernet
description $CPR-DESC
encapsulation dot1q 10
rewrite ingress tag pop 1 symmetric
bridge-domain 10
!
service instance 50 ethernet
description $DescriptionClientEtP2P
encapsulation dot1q 50
rewrite ingress tag pop 1 symmetric
service-policy output $DebitClient
xconnect $Lo0PeDistant2 $IDmpls encapsulation mpls
mtu 9000
- $InterfaceClient : C'est l'interface où notre client est raccordé physiquement, par exemple Gi0/0/12.
- $DescriptionClientEtP2P : C'est la description de notre client et de notre service, par exemple EUROFIBER-LILLE - {SRV123456789-001}.
- $CPR-DESC : C'est le hostname de notre CPR, par exemple CPR-295.
- $DebitClient : C'est le débit fourni au client, exprimé en bits, par exemple 100000000. Un convertisseur est disponible ici
- $Lo0PeDistant2 : Il s'agit de la loopback du EDGE2 où est raccordé notre MX-204, par exemple 100.80.10.16.
- $IDmpls : C'est l'identifiant de notre EVC qui permet d'établir la liaison MPLS, par exemple 30161808. Cet identifiant doit être identique sur chaque EDGE2.
interface GigabitEthernet0/0/6
description CHEOPS-TECHNOLOGY-NANTES [SRV240777745-2]
mtu 9216
no ip address
negotiation auto
service instance 10 ethernet
description CPR-295
encapsulation dot1q 10
rewrite ingress tag pop 1 symmetric
bridge-domain 10
!
service instance 50 ethernet
description CHEOPS-TECHNOLOGY-NANTES [SRV240777745-2]
encapsulation dot1q 50
rewrite ingress tag pop 1 symmetric
service-policy output 100000000
xconnect 172.31.3.91 30161808 encapsulation mpls
mtu 9000
- Cette configuration permet :
- D'exporter l'IP WAN (/32) pour fournir une connexion Internet avec une seule IP.
- De fournir un réseau LAN via le VLAN 1 au client.
- De limiter le débit du client.
sysname cpr-295
header login information "
# Elephant Network # Unauthorized access prosecuted #
..,,**///, (((((((((((((/
((((((((((((((((((((((((((((( ((((((((((((((((/
/((((((((((((((((((((((((((((((( (((((((((((((((((/
((((((((((((((((((((((((((((((((/ /(((((((((((((((((
((((((((((((((((((((((((((((((((( (((((((((((((((((
(((((((((((((((((((((((((((((((((( (((((((((((((((((/
,((((((((((((((((((((((((((((((((( (((((((((((((((((
(((((((((((((((((((((((((((((((((( ,((((((.
/(((((((((((((((((((((((((((((((((((((//((((* .(((((
/((((((((((((((((((((((((((((((((((((((((((((* .((((
.((((((((((((((((((((((((((((((((((((((((((( (((((
(((((((((((((((((((((((((((((((((((((((((((( ((((,
(((((((((((((((((((((///(((((((((((((((((((/ ((((
*(((((((((((* .(((((((((((( ,((((((
(((((((((((, ((((((((((((
((((((((((( ((((((((((((
*(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((*
"
#
drop illegal-mac alarm
#
clock timezone CET add 01:00:00
clock daylight-saving-time CEST repeating 2:0 last Sunday March 3:0 last Sunday October 01:00 2017 2037
#
authentication-profile name default_authen_profile
authentication-profile name dot1x_authen_profile
authentication-profile name dot1xmac_authen_profile
authentication-profile name mac_authen_profile
authentication-profile name multi_authen_profile
authentication-profile name portal_authen_profile
#
dhcp enable
#
ip vpn-instance MANAGEMENT_CPR
ipv4-family
#
radius-server template default
#
hwtacacs-server template TACACS
hwtacacs-server authentication 100.80.15.5 vpn-instance MANAGEMENT_CPR
hwtacacs-server authentication 100.80.15.133 vpn-instance MANAGEMENT_CPR secondary
hwtacacs-server authorization 100.80.15.5 vpn-instance MANAGEMENT_CPR
hwtacacs-server authorization 100.80.15.133 vpn-instance MANAGEMENT_CPR secondary
hwtacacs-server accounting 100.80.15.5 vpn-instance MANAGEMENT_CPR
hwtacacs-server accounting 100.80.15.133 vpn-instance MANAGEMENT_CPR secondary
hwtacacs-server shared-key cipher %^%#:wNuQ\"Mv+KwiAJA(,{;/'e/PxTX83y>|.,_/;J4%^%#
#
bfd
#
pki realm default
certificate-check none
#
ssl policy default_policy type server
pki-realm default
version tls1.2
ciphersuite rsa_aes_128_sha256 rsa_aes_256_sha256 ecdhe_rsa_aes128_gcm_sha256 ecdhe_rsa_aes256_gcm_sha384
#
acl name ADMIN 2000
rule 5 permit source 100.80.0.192 0.0.0.7
rule 10 permit source 100.80.0.224 0.0.0.7
rule 15 permit source 100.80.15.0 0.0.0.255
rule 20 permit source 100.106.5.144 0.0.0.7
rule 30 permit source 100.75.0.192 0.0.0.63
#
acl name NAT 3000
rule 10 permit ip source 10.44.255.32 0.0.0.15
rule 20 deny ip source 100.81.32.0 0.0.15.255
acl name NETWORK_CONTROL_FAI 3999
rule 10 permit tcp destination-port eq bgp
rule 20 permit tcp source-port eq bgp
rule 30 permit udp source-port eq snmp destination 10.80.0.0 0.0.255.255
rule 40 permit udp source-port eq snmptrap destination 10.80.0.0 0.0.255.255
rule 50 permit tcp source 100.81.32.0 0.0.15.255 source-port eq 22 destination 10.80.0.0 0.0.255.255
rule 60 permit udp destination 100.106.5.144 0.0.0.7 destination-port eq 3784
rule 70 permit udp source-port eq snmp destination 100.75.0.199 0
rule 75 permit udp source-port eq snmptrap destination 100.75.0.199 0
#
ike proposal default
encryption-algorithm aes-256 aes-192 aes-128
dh group14
authentication-algorithm sha2-512 sha2-384 sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
#
traffic classifier CLASS_MISSION_CRITICAL_FAI operator or
if-match dscp af31
traffic classifier CLASS_NETWORK_CONTROL_FAI operator or
if-match dscp cs2
if-match acl NETWORK_CONTROL_FAI
traffic classifier CLASS_REALTIME_FAI operator or
if-match dscp ef
traffic classifier CLASS_VIDEO_STREAMING_FAI operator or
if-match dscp af41
#
traffic behavior BEHA_VIDEO_STREAMING_FAI
queue af bandwidth pct 30
statistic enable
traffic behavior BEHA_MISSION_CRITICAL_FAI
queue af bandwidth pct 30
statistic enable
traffic behavior BEHA_REALTIME_FAI
queue ef bandwidth pct 10
statistic enable
traffic behavior BEHA_BEST_EFFORT_FAI
queue wfq
statistic enable
traffic behavior BEHA_NETWORK_CONTROL_FAI
queue llq bandwidth pct 5
statistic enable
#
traffic policy WAN_FAI
classifier CLASS_REALTIME_FAI behavior BEHA_REALTIME_FAI precedence 5
classifier CLASS_NETWORK_CONTROL_FAI behavior BEHA_NETWORK_CONTROL_FAI precedence 10
classifier CLASS_MISSION_CRITICAL_FAI behavior BEHA_MISSION_CRITICAL_FAI precedence 15
classifier CLASS_VIDEO_STREAMING_FAI behavior BEHA_VIDEO_STREAMING_FAI precedence 20
classifier default-class behavior BEHA_BEST_EFFORT_FAI precedence 65535
#
free-rule-template name default_free_rule
#
portal-access-profile name portal_access_profile
#
aaa
authentication-scheme AAA
authentication-mode hwtacacs local
authentication-scheme default
authentication-mode local
authentication-scheme radius
authentication-mode radius
authorization-scheme AAA
authorization-mode hwtacacs local
authorization-scheme default
authorization-mode local
accounting-scheme AAA
accounting-mode hwtacacs
accounting realtime 3
accounting start-fail online
accounting-scheme default
accounting-mode none
local-aaa-user password policy administrator
domain default
authentication-scheme default
accounting-scheme default
radius-server default
domain default_admin
authentication-scheme AAA
accounting-scheme AAA
authorization-scheme AAA
hwtacacs-server TACACS
local-user admin password irreversible-cipher $1a$KWdw2ftOQP$ZezD<a4by7]>7(Feu_%J,"5{Ed4PF#Na:c9Q6u3#$
local-user admin privilege level 15
local-user admin service-type terminal ssh http
#
web
set fast-configuration state disable
user-set Default
user-set VIP
#
firewall zone Local
#
interface Vlanif1
ip address 10.44.255.46 255.255.255.240
#
interface GigabitEthernet0/0/0
stp disable
#
interface GigabitEthernet0/0/1
stp disable
#
interface GigabitEthernet0/0/2
stp disable
#
interface GigabitEthernet0/0/3
stp disable
#
interface GigabitEthernet0/0/4
stp disable
#
interface GigabitEthernet0/0/5
stp disable
#
interface GigabitEthernet0/0/6
stp disable
#
interface GigabitEthernet0/0/7
stp disable
#
interface GigabitEthernet0/0/8
ip address dhcp-alloc
#
interface GigabitEthernet0/0/8.10
description Wan Management CPR
dot1q termination vid 10
ip binding vpn-instance MANAGEMENT_CPR
ip address dhcp-alloc
#
interface GigabitEthernet0/0/8.50
description WAN IP SERVICE
dot1q termination vid 50
ip address 100.106.5.150 255.255.255.248
nat outbound 3000 interface LoopBack 50
trust dscp
qos pre-nat
qos gts cir 1000000 cbs 25000000
traffic-policy WAN_FAI outbound
#
interface GigabitEthernet0/0/9
#
interface GigabitEthernet0/0/10
description VirtualPort
#
interface Cellular0/0/0
#
interface NULL0
#
interface LoopBack50
description ISP PA
ip address 185.227.0.3 255.255.255.255
#
cellular profile default
modem auto-recovery dial action modem-reboot fail-times 128
modem auto-recovery icmp-unreachable action modem-reboot
modem auto-recovery services-unavailable action modem-reboot test-times 0 interval 3600
#
bgp 65000
router-id 100.91.10.101
peer 100.106.5.145 as-number 39405
peer 100.106.5.145 description EDGE3-59SAI01-1
peer 100.106.5.145 bfd enable
#
ipv4-family unicast
undo synchronization
default-route imported
import-route direct
peer 100.106.5.145 enable
peer 100.106.5.145 route-policy IMPORT_FROM_PE import
peer 100.106.5.145 route-policy EXPORT_TO_PE export
peer 100.106.5.145 next-hop-local
#
route-policy EXPORT_TO_PE permit node 10
if-match ip-prefix PA_CUSTOMER
apply cost 0
#
route-policy EXPORT_TO_PE deny node 100
#
route-policy IMPORT_FROM_PE permit node 10
if-match ip-prefix PFIX_DEFAULT_ROUTE
#
undo icmp name timestamp-request receive
#
snmp-agent local-engineid 800007DB03A46DA42D01DD
snmp-agent community read %^%#G5{<2fuRKT_=c8("`(='NfyU(f0Fb;A5!~D-]$!DVBMb/-PnWUOox@57s8yA5P3iIMV$[.#:#x(RXZW3%^%# acl 2000
snmp-agent sys-info contact support@fullsave.com
snmp-agent sys-info location "CHEOPS TECHNOLOGY FRANCE - NANTES"
snmp-agent sys-info version v2c
snmp-agent trap enable
snmp-agent permit interface all
snmp-agent complexity-check disable
snmp-agent server-source -a 100.91.10.101
snmp-agent
#
stelnet server enable
ssh server permit interface all
#
http acl 2000
http secure-server port 50443
http secure-server ssl-policy default_policy
http secure-server enable
http server permit interface all
#
ip ip-prefix PFIX_DEFAULT_ROUTE index 10 permit 0.0.0.0 0
ip ip-prefix PA_CUSTOMER index 10 permit 185.227.0.3 32
#
fib regularly-refresh disable
#
user-interface con 0
authentication-mode aaa
user-interface vty 0 4
acl 2000 inbound
authentication-mode aaa
user privilege level 15
protocol inbound ssh
#
wlan ac
traffic-profile name default
security-profile name default
security-profile name default-wds
security wpa2 psk pass-phrase %^%#.x5K#7sR1Xp0"A>%*17QS$*IH.9R'CRrT`#^5d<K%^%# aes
ssid-profile name default
vap-profile name default
wds-profile name default
regulatory-domain-profile name default
air-scan-profile name default
rrm-profile name default
radio-2g-profile name default
radio-5g-profile name default
wids-spoof-profile name default
wids-profile name default
ap-system-profile name default
port-link-profile name default
wired-port-profile name default
ap-group name default
#
dot1x-access-profile name dot1x_access_profile
#
mac-access-profile name mac_access_profile
#
ntp-service unicast-server 100.80.15.4 vpn-instance MANAGEMENT_CPR source-interface GigabitEthernet0/0/8.10
ntp-service unicast-server 100.80.15.132 vpn-instance MANAGEMENT_CPR source-interface GigabitEthernet0/0/8.10
#
ops
#
autostart
#
secelog
#
ms-channel
#
return