1.    Запустите бесконечный пинг с устройства host_behind_spoke на host_behind_hub:

root@host_behind_spoke:~# ping 192.168.20.100

2.    Войдите в ESR CLI устройства Hub-n2.

3.    Выключите устройство Hub-n1 или отключите любой из его интерфейсов gi1/0/1, gi1/0/3 от коммутатора. На консоли Hub-n2 будут следующие сообщения, свидетельствующие о корректном переключении:

2017-12-05T15:09:09+00:00 %VRRP-I-INSTANCE: 1 messages suppressed

2017-12-05T15:09:09+00:00 %VRRP-I-INSTANCE: VRRP2 Transition to MASTER state

2017-12-05T15:09:09+00:00 %VRRP-I-GROUP: GROUP1 Syncing instances to MASTER state

2017-12-05T15:09:09+00:00 %VRRP-I-INSTANCE: VRRP1 Entering MASTER state

2017-12-05T15:09:10+00:00 %VRRP-I-INSTANCE: VRRP2 Entering MASTER state

4.    Проверьте состояние кластера на ноде Hub-n2 (нода должна быть в состоянии Master):

esr:hub-n2# show vrrp

Virtual router   Virtual IP         Priority   Preemption   State

--------------   ----------------   --------   ----------   ------

1                172.16.15.2/24     50         Enabled      Master

2                192.168.20.1/32    50         Enabled      Master

5.    В выводе программы ping на устройстве host_behind_spoke видны потери пакетов, после чего связь успешно восстанавливается:

64 bytes from 192.168.20.100: icmp_req=276 ttl=62 time=1.74 ms

64 bytes from 192.168.20.100: icmp_req=277 ttl=62 time=1.73 ms

64 bytes from 192.168.20.100: icmp_req=278 ttl=62 time=1.86 ms

64 bytes from 192.168.20.100: icmp_req=296 ttl=62 time=3295 ms

64 bytes from 192.168.20.100: icmp_req=297 ttl=62 time=2287 ms

64 bytes from 192.168.20.100: icmp_req=298 ttl=62 time=1279 ms

64 bytes from 192.168.20.100: icmp_req=299 ttl=62 time=271 ms

64 bytes from 192.168.20.100: icmp_req=300 ttl=62 time=2.03 ms

64 bytes from 192.168.20.100: icmp_req=301 ttl=62 time=1.51 ms

64 bytes from 192.168.20.100: icmp_req=302 ttl=62 time=1.90 ms

64 bytes from 192.168.20.100: icmp_req=303 ttl=62 time=1.79 ms

6.    Проверьте на ноде Hub-n2 наличие защищенного соединения:

administrator@hub-n2] run sa_mgr show

ISAKMP sessions: 0 initiated, 0 responded

 

ISAKMP connections:

Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd

1 5 (172.16.15.2,500)-(172.16.10.2,500) active 1884 1968

 

IPsec connections:

Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd

1 1 (192.168.20.0-192.168.20.255,*)-(192.168.1.0-192.168.1.255,*) * ESP tunn 29656 29832

Видно, что переключение с основной на резервную ноду, в случае отказа основной, выполнено успешно. Защищенное соединение построено, трафик шифруется.

7.    Если при проведении теста нода Hub-n1 не выключалась, а производилось отсоединение ее внешнего сетевого интерфейса gi1/0/1 от коммутатора, то войдите в ESR CLI и проверьте наличие маршрута по умолчанию через 192.168.20.1:

esr:hub-n1# sh ip route

 Codes: C - connected, S - static, R - RIP derived,

        O - OSPF derived, IA - OSPF inter area route,

        E1 - OSPF external type 1 route, E2 - OSPF external type 2 route

        B - BGP derived, D - DHCP derived, K - kernel route,

        * - FIB route

 

S     * 0.0.0.0/0          [1/1]   via 192.168.20.1 on gi1/0/3       [static 15:23:44]

C     * 192.168.20.0/24    [0/0]   dev gi1/0/3                       [direct 15:23:44]

7.1.     Убедитесь, что нода Hub-n1 имеет доступ в Интернет:

esr:hub-n1# ping 172.17.10.100 packets 4

PING 172.17.10.100 (172.17.10.100) 56(84) bytes of data.

!!!!

--- 172.17.10.100 ping statistics ---

4 packets transmitted, 4 received, 0% packet loss, time 3005ms

rtt min/avg/max/mdev = 0.697/0.798/0.886/0.071 ms