Раздел "VXLAN шлюзы" предназначен для управления VXLAN и Wireguard+VXLAN (VXLAN через Wireguard) шлюзами и туннелями, которые могут автоматически настраиваться контроллером как на нем самом, так и на удаленных шлюзах, и далее использоваться для терминации в них клиентского трафика.

Для перехода в раздел нажмите на вкладку бокового меню "Конфигурация" и в открывшемся выпадающем списке выберите раздел "VXLAN шлюзы".

Данный раздел веб-интерфейса позволяет просматривать список настроенных шлюзов и их статус работы, создавать или удалять шлюзы, а также вносить изменения в их конфигурацию.

В списке шлюзов на данной странице отображаются все настроенные VXLAN и Wireguard+VXLAN шлюзы. Для каждого шлюза указано его название , IP адрес или имя узла (при кластерной конфигурации) и заданный в настройках шлюза MTU.

Для каждого шлюза в списке слева от его имени имеется цветная иконка статуса его работы, которая меняется в зависимости от доступности шлюза с контроллера:

• зеленый - шлюз доступен и настроенные туннели на нем работают;
• красный - шлюз недоступен;
• серый - статус неизвестен или не удалось подключиться к шлюзу (неправильный пароль или другие неполадки при связи со шлюзом).

Для изменения настроек шлюза нажмите на кнопку "", откроется страница для внесения изменений в настройки выбранного шлюза (см. пункт "Просмотр и изменение настроек VXLAN"). 

Для удаления VXLAN шлюза из базы данных нажмите на кнопку "", и подтвердите операцию удаления в открывшемся модальном окне.

Для использования быстрого поиска по имени шлюза нажмите на поисковую строку со знаком "", расположенную справа под названием открытого раздела "VXLAN шлюзы" и введите в поисковой строке название шлюза полностью или частично, после этого веб-интерфейс автоматически отобразит найденные варианты в таблице.

7.3.9.1 Механика работы контроллера с шлюзами:

При создании туннеля контроллер динамически формирует команды для создания VXLAN или Wireguard+VXLAN туннеля локально или удаленно на другом хосте в зависимости от настроек профиля шлюза, а далее выполняет их, используя подключение по протоколу SSH. Команды, выполняемые контроллером, делают следующие действия:

• для VXLAN туннеля:
  • создается туннельный интерфейс VXLAN с названием vxN и выбранным номером VXLAN ID на порте UDP 4789 (например vx5 при выбранном VXLAN ID 5);
  • при терминации туннеля в VLAN, на основе выбранного интерфейса создается VLAN интерфейс (например eth1.200 при выборе интерфейса eth1 и VLAN ID 200);
  • создается пустой мост с названием br-<iface_name>, где iface_name - имя интерфейса, для которого создается туннель (например br-eth1 если туннель выходит в интерфейс eth1, или br-eth1-200 если туннель выходит в VLAN 200 интерфейса eth1);
  • интерфейс VXLAN помещается в созданный мост;
  • интерфейс, из которого будет выходить туннелированный трафик (например, eth1 или eth1.200), также помещается в созданный мост;
  • при варианте, когда выбранный интерфейс является дефолтным интерфейсом контроллера, мосту задается IP адрес интерфейса;
  • мост и оба интерфейса поднимаются и начинают работу;
• для Wireguard+VXLAN туннеля:
  • выполняются пункты выше для создания VXLAN туннеля;
  • создается туннельный интерфейс Wireguard на порте 51820, а также генерируются публичный и приватный ключи, и записываются в конфигурационный файл на шлюзе, а также в базу данных контроллера;
  • интерфейсу назначается IP-адрес из диапазона 100.100.2.0/16;
  • интерфейс поднимается и начинает работу;
  • при настройке данного туннеля для какого-либо SSID, контроллер автоматически добавляет точки, на которых будет использоваться данный туннель, в список пиров на шлюзе.

После добавления шлюза и создания туннелей контроллер периодически проверяет доступность шлюза и работу настроенных на нем туннелей, и отображает статус проверки доступности в виде иконки слева от имени шлюза (описано выше).

Контроллер имеет функционал восстановления настроек туннелей на шлюзах при каких-либо неполадках: если туннели на шлюзе каким-либо образом были удалены или отключены (шлюз был перезагружен, настройки туннелей изменены извне и т.д.), то контроллер в автоматическом режиме пересоздает туннели на шлюзе.

7.3.9.2 Создание нового шлюза

Для создания нового шлюза нажмите на кнопку "Создать новый", расположенную слева под названием открытого раздела "VXLAN шлюзы". После нажатия откроется страница создания нового шлюза.

Задайте следующие параметры при создании нового шлюза:

• в поле "Название" впишите желаемое название шлюза;
• установите чек-бокс напротив необходимого типа шлюза для настройки ("VXLAN" или "WIREGUARD+VXLAN");
  • для каждого типа шлюза дополнительно указаны пакеты, которые должны быть установлены в системе машины шлюза для правильной работы туннелей. Эта информация нужна при создании удаленного шлюза, при создании локального шлюза на самом контроллере данные пакеты уже есть в его системе;
• в выпадающем списке "Удаленный шлюз" выберите, где необходимо создать шлюз:
  • "Этот контроллер" (или "Этот узел кластера" при использовании кластерной конфигурации) - шлюз будет создан на данном контроллере (или узле кластера);
  • (при кластерной конфигурации) "Второй узел кластера" - шлюз будет создан на втором (соседнем) узле кластера;
  • "Заданный шлюз" - шлюз будет создан на внешнем хосте:
    • при выборе данного пункта введите IP-адрес удаленного хоста, который вы будете использовать в качестве туннельного шлюза, в поле "Удаленный IP";
    • заданный адрес шлюза должен быть доступен как со стороны контроллера, так и со стороны точек доступа, которые будут использовать сети с терминацией в туннели данного шлюза;
• в поле "MTU" введите необходимый MTU (maximum transmission unit - максимальный размер пакета);

  Важные правила:

  • Максимальное значение MTU не должно превышать PMTU (Path MTU - минимальный размер пакета, поддерживаемый на пути между шлюзом и точкой доступа).

  • Как выбрать оптимальное значение:

    • Определите PMTU для каждого маршрута от точек доступа до туннельного шлюза.

    •  Если шлюз работает с несколькими точками доступа, установите MTU равным наименьшему PMTU среди всех точек (это гарантирует работу для всех подключений).

  • Автоматическая настройка:

    •  Контроллер сам настроит производные параметры MTU на шлюзе и точках доступа. Вручную их менять не требуется.

  Совет: Для измерения PMTU используйте команды ping -f -l <размер полезных данных> (Windows) или tracepath (Linux), чтобы избежать ручных расчетов.

• в поле "Порт SSH" введите порт, на котором работает SSH сервер на данном шлюзе. По умолчанию SSH в большинстве инсталляций работает на порте 22;
• в поле "Логин SSH" и "Пароль SSH" введите логин и пароль для доступа к хосту, на котором будет настраиваться шлюз, по протоколу SSH;
  • если вы создаете шлюз на контроллере (или узле кластера), то это можно сделать при помощи задания имени пользователя vxlan: 
    • в поле "Логин SSH" введите логин vxlan
    • в поле "Пароль SSH" введите любой пароль, так как он обязателен при создании шлюза, но не будет использоваться. Пароль для специального пользователя vxlan по умолчанию генерируется и сохраняется при установке контроллера, и далее используется при создании туннелей на хосте контроллера.

После того как данные будут заполнены, нажмите кнопку "Создать новый". Если при создании шлюза не все обязательные поля будут заполнены, то при нажатии на кнопку "Создать новый" веб-интерфейс проинформирует Вас об этом, выделив пустые поля цветом. Если в процессе создания шлюза возникнут какие-либо ошибки, в веб-интерфейсе будет отображен текст ошибки.

7.3.9.2 Просмотр и изменение настроек шлюза

Для просмотра и изменения настроек шлюза нажмите на кнопку изменить "", расположенную справа напротив названия шлюза, после этого откроется страница с настройками выбранного шлюза.

Поля на странице "Редактирование VXLAN" аналогичны полям при создании нового шлюза, описанным в пункте "Создание нового шлюза". Если настройки на шлюзе поменялись (изменился IP адрес, пароль SSH и т.д.), то измените соответствующие поля.

Каждый шлюз может иметь несколько настроенных на нем туннелей. Для добавления нового туннеля на шлюзе нажмите кнопку "Добавить туннель" внизу страницы, после этого под настройками шлюза появится дополнительный блок "Туннель N" с его настройками:

Настройки туннеля задаются следующим образом:

• в выпадающем списке "Интерфейс" указаны все физические сетевые интерфейсы на шлюзе. Выберите сетевой интерфейс, на котором будет работать настраиваемый туннель;
• в выпадающем списке "Терминируется" выберите желаемый тип терминации трафика из туннеля:
  • в Access порт интерфейса - трафик будет выходить напрямую в выбранный интерфейс; 
  • в VLAN порт интерфейса - трафик будет выходить в VLAN сеть на данном интерфейсе;
    • в поле "VLAN ID" укажите номер VLAN, который должен использоваться для терминации трафика;
• в выпадающем списке "Номер туннеля" выберите желаемый свободный номер для туннеля, который будет использоваться в качестве VXLAN ID;

Для сохранения изменений, внесённых в конфигурацию шлюза, нажмите кнопку "Сохранить изменения". При задании неправильных значений параметров веб-интерфейс подсветит их красным цветом.

После нажатия кнопки сохранения контроллер выполнит настройки туннелей на данном шлюзе. При возникновении каких-либо ошибок при создании новых или изменении уже имеющихся туннелей в веб-интерфейсе будет отображен текст ошибки.