![Eltex ESR-100 — настройка L2TPv3 туннеля для локальной и удаленной сети [68/94]](/icons/site-icon-64.png){kind=icon}
Eltex ESR-100 — настройка L2TPv3 туннеля для локальной и удаленной сети [68/94]
Превью страниц
Страница 68 /
94
![Eltex ESR-100 [68/94] Создадим саб интерфейс для коммутации трафика поступающего из туннеля в локальную](/views2/1154409/page68/bg44.png)
68 Маршрутизатор ESR-100, ESR-200, ESR-1000, Руководство по эксплуатации
Укажем идентификаторы сессии внутри туннеля для локальной и удаленной сторон:
esr-1000(config-l2tpv3)# local session-id 100
esr-1000(config-l2tpv3)# remote session-id 200
Установим принадлежность L2TPv3-туннеля к мосту, который должен быть связан с сетью
удаленного офиса (настройка моста рассматривается в пункте 7.10):
esr-1000(config-l2tpv3)# bridge-group 333
Включим ранее созданный туннель и выйдем:
esr-1000(config-l2tpv3)# enable
esr-1000(config-l2tpv3)# exit
Создадим саб-интерфейс для коммутации трафика, поступающего из туннеля, в локальную
сеть с тегом VLAN id 333:
esr-1000(config)# interface gi 1/0/2.333
Установим принадлежность саб-интерфейса к мосту, который должен быть связан с
локальной сетью (настройка моста рассматривается в пункте 7.10):
esr-1000(config-subif)# bridge-group 333
esr-1000(config-subif)# exit
Для применения изменений конфигурации выполним следующие команды:
esr-1000# commit
Configuration has been successfully committed
esr-1000# confirm
Configuration has been successfully confirmed
После применения настроек трафик будет инкапсулироваться в туннель и отправляться
партнеру, независимо от наличия L2TPv3 туннеля и правильности настроек с его стороны.
Настройки туннеля в удаленном офисе должны быть зеркальными локальным. В качестве
локального шлюза должен использоваться IP-адрес 183.0.0.10. В качестве удаленного шлюза
должен использоваться IP-адрес 21.0.0.1. Номер порта инкапсулирующего протокола на локальной
стороне должен быть 520, на стороне партнера 519. Идентификатор туннеля на локальной стороне
должен быть равным 3, на стороне партнера 2. Идентификатор сессии внутри туннеля должен быть
равным 200, на стороне партнера 100. Также туннель должен принадлежать мосту, который
необходимо соединить с сетью партнера.
Состояние туннеля можно посмотреть командой:
esr-1000# show tunnels status l2tpv3 333
Счетчики входящих и отправленных пакетов можно посмотреть командой:
esr-1000# show tunnels counters l2tpv3 333
Конфигурацию туннеля можно посмотреть командой:
esr-1000# show tunnels configuration l2tpv3 333
Помимо создания туннеля необходимо в firewall разрешить входящий трафик по
протоколу UDP с портом отправителя 520 и портом назначения 519.
Содержание
654- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Аннотация
- Введение
- Целевая аудитория
- Условные обозначения
- Функции интерфейсов
- Функции
- Описание изделия
- Назначение
- Режим обучения
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 7
- Таблица 2 описание функций второго уровня уровень 2 osi поддержка vlan
- В таблице 2 приведены функции устройства при работе с mac адресами
- В таблице 2 приведены функции и особенности второго уровня уровень 2 osi
- Таблица 2 функции работы с mac адресами таблица mac адресов
- Протокол связующего дерева spanning tree protocol
- Функции при работе с mac адресами
- Функции второго уровня сетевой модели osi
- Nat network address translation
- Динамическая маршрутизация
- Трансляция сетевых адресов
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Сервер dhcp
- Статические ip маршруты
- Функции третьего уровня сетевой модели osi
- Таблица arp
- Таблица 2 описание функций третьего уровня layer 3
- Клиент dhcp
- В таблице 2 приведены функции третьего уровня уровень 3 osi
- Dynamic host configuration protoco
- Туннелирования
- Syslog
- Сервер ssh сервер telnet
- Аутентификация
- Таблица 2 функции туннелирования трафика
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 9
- Управление контролируемым доступом уровни привилегий
- Таблица 2 основные функции управления и конфигурирования загрузка и выгрузка файла настройки
- Автоматическое восстановление конфигурации
- Функции управления и конфигурирования
- Функции туннелирования трафика
- Сетевые утилиты ping traceroute
- Протоколы
- Интерфейс командной строки cli
- Зоны безопасности
- В таблице приведены функции сетевой защиты выполняемые устройством
- Таблица 2 основные технические характеристики
- Основные технические параметры маршрутизатора приведены в таблице 2
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Функции сетевой защиты
- Фильтрация данных
- Таблица 2 функции сетевой защиты
- Основные технические характеристики
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 11
- Рисунок 2 передняя панель esr 1000
- Передняя панель устройства esr 1000
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Конструктивное исполнение esr 1000
- Конструктивное исполнение
- Конструктив высота корпуса 1u
- Изображения передней задней и боковых панелей устройства описаны разъемы светодиодные индикаторы и органы управления
- Внешний вид передней панели показан на рисунке 2
- В таблице 2 приведен перечень разъемов светодиодных индикаторов и органов
- В данном разделе описано конструктивное исполнение устройства представлены
- Устройство выполнено в металлическом корпусе с возможностью установки в 19
- Управления расположенных на передней панели устройства
- Таблица 2 описание разъемов индикаторов и органов управления передней панели
- Управления расположенных на передней панели устройств esr 100 esr 200
- Таблица 2 1 описание разъемов индикаторов и органов управления передней панели
- Рисунок 2 передняя панель esr 200
- Рисунок 2 передняя панель esr 100
- Передняя панель устройств esr 100 esr 200
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Конструктивное исполнение esr 100 esr 200
- Внешний вид передней панели esr 200 показан на рисунке 2
- Внешний вид передней панели esr 100 показан на рисунке 2
- В таблице 2 1 приведен перечень разъемов светодиодных индикаторов и органов
- Световая индикация
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 17
- Значений
- В следующей таблице приведено описание состояний системных индикаторов устройства и их
- Таблица 2 5 состояния системных индикаторов
- Таблица 2 4 световая индикация состояния sfp sfp интерфейсов
- Световая индикация esr 100 esr 200
- Таблица 2 7 состояния системных индикаторов
- Таблица 2 6 световая индикация состояния медных интерфейсов и sfp интерфейсов
- Состояние медных интерфейсов gigabitethernet и sfp интерфейсов отображается двумя
- Светодиодными индикаторами link act зеленого цвета и speed янтарного цвета расположение индикаторов медных интерфейсов показано на рисунке 2 0 состояние sfp интерфейсов указано на рисунке 2 2 значения световой индикации описаны в таблице 2 6
- Рисунок 2 2 расположение индикаторов оптических интерфейсов
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Значений
- В следующей таблице приведено описание состояний системных индикаторов устройства и их
- Комплект поставки
- Установка и подключение
- Крепление кронштейнов
- Установка устройства в стойку
- Установка модулей питания esr 1000
- Подключение питающей сети
- Установка и удаление sfp трансиверов
- Интерфейсы управления
- Интерфейс командной строки cli
- Начальная настройка маршрутизатора
- Заводская конфигурация маршрутизатора esr
- Подключение к маршрутизатору
- Подключение и конфигурирование маршрутизатора
- Базовая настройка маршрутизатора
- Провайдер может использовать динамически назначаемые адреса в своей сети для
- После применения конфигурации
- Для того чтобы убедиться что адрес был назначен интерфейсу введите следующую команду
- Для создания разрешающего правила используются следующие команды
- В заводской конфигурации разрешен удаленный доступ к маршрутизатору по протоколам
- Telnet или ssh из зоны trusted для того чтобы разрешить удаленный доступ к маршрутизатору из других зон например из публичной сети необходимо создать соответствующие правила в firewall
- Source zone source zone зона из которой будет осуществляться удаленный доступ
- Self self зона в которой находится интерфейс управления маршрутизатором
- Пример настройки предназначенной для получения динамического ip адреса от dhcp сервера на интерфейсе gigabitethernet 1 0 10
- Пример команд для разрешения пользователям из зоны untrusted с ip адресами 132 6 132 6 0 подключаться к маршрутизатору с ip адресом 40 3 2 по протоколу ssh
- При конфигурировании доступа к маршрутизатору правила создаются для пары зон
- Получения ip адреса может использоваться протокол dhcp если в сети присутствует сервер dhcp
- Настройка удаленного доступа к маршрутизатору
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 29
- Применение базовых настроек
- Следующие команды из корневого раздела командного интерфейса
- Параметры интерфейса управления изменились то после ввода команды commit соединение с устройством может быть потеряно используйте новые сетевые параметры заданные в конфигурации для подключения к устройству и ввода команды confirm
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Конфигурация устройства вернётся в прежнее состояние существовавшее до ввода команды commit
- Если при конфигурировании использовался удаленный доступ к устройству и сетевые
- Если ввести команду confirm не удастся то по истечении таймера подтверждения
- Для применения выполненных изменений конфигурации маршрутизатора требуется ввести
- Обновление программного обеспечения средствами системы
- Обновление программного обеспечения
- Укажите ip адрес маршрутизатора
- Укажите ip адрес tftp сервера
- Следующим образом
- Программное обеспечение маршрутизатора можно обновить из начального загрузчика
- Остановите загрузку устройства после окончания инициализации маршрутизатора
- Обновление программного обеспечения из начального загрузчика
- Можно сохранить окружение командой saveenv для будущих обновлений
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 33
- Запустите процедуру обновления программного обеспечения
- Запустите загруженное программное обеспечение
- Команду version в cli u boot также версия отображается в процессе загрузки маршрутизатора
- Запустите процедуру обновления программного обеспечения
- Для просмотра текущей версии загрузочного файла работающего на устройстве введите
- Вторичный загрузчик занимается инициализацией nand и маршрутизатора при обновлении
- Укажите ip адрес маршрутизатора
- Укажите ip адрес tftp сервера
- Процедура обновления по
- Перезагрузите маршрутизатор
- Остановите загрузку устройства после окончания инициализации маршрутизатора
- Обновление вторичного загрузчика u boot
- Новый файл вторичного загрузчика сохраняется на flash на месте старого
- Можно сохранить окружение командой saveenv для будущих обновлений
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Vlan virtual local area network логическая виртуальная локальная сеть представляет
- Рисунок 7 схема сети
- Примеры настройки маршрутизатора
- Настройка vlan
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 35
- Изменения конфигурации вступят в действие после применения
- Задача 2 настроить порт gi1 0 1 для передачи и приема пакетов в vlan 2 vlan 64 vlan
- Задача 1 на основе заводской конфигурации удалить из vlan 2 порт gi1 0 1
- Удалим vlan 2 с порта gi1 0 1
- Создадим vlan 2 vlan 64 vlan 2000 на esr 1000
- Собой группу устройств которые взаимодействуют между собой на канальном уровне независимо от их физического местонахождения
- Решение
- Предоставления доступа и контроля над ним
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Aaa authentication authorization accounting используется для описания процесса
- Настройка ааа
- Настроим подключение к radius серверу и укажем ключ password
- Изменения конфигурации вступят в действие после применения
- Задача настроить аутентификацию пользователей подключающихся по telnet через radius
- Authorization авторизация проверка полномочий проверка уровня доступа authorization авторизация проверка полномочий проверка уровня доступа сопоставление учётной записи в системе и определённых полномочий
- Authentication аутентификация сопоставление персоны запроса существующей authentication аутентификация сопоставление персоны запроса существующей учётной записи в системе безопасности осуществляется по логину паролю
- Accounting учёт слежение за подключением пользователя или внесенным им accounting учёт слежение за подключением пользователя или внесенным им изменениям
- 192 68 6 24
- Укажем режим аутентификации используемый при подключении по telnet протоколу
- Создадим профиль аутентификации
- Решение
- Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 2
- Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1
- Просмотреть информацию по настройкам подключения к radius серверу можно командой
- Посмотреть профили аутентификации можно командой
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 37
- Изменения конфигурации вступят в действие после применения
- Настройка привилегий команд
- Настройка dhcp сервера
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Конфигурирование настроек для ipv6 производится по аналогии с ipv4
- Изменения конфигурации вступят в действие после применения
- Для того чтобы dhcp сервер мог раздавать ip адреса из конфигурируемого пула на
- Для разрешения прохождения сообщений протокола dhcp к серверу необходимо создать
- Соответствующие профили портов включающие порт источника 68 и порт назначения 67 используемые протоколом dhcp и создать разрешающее правило в политике безопасности для прохождения пакетов протокола udp
- Разрешим работу сервера
- Просмотреть список арендованных адресов можно с помощью команды
- Просмотреть сконфигурированные пулы адресов можно командами
- Маршрутизаторе должен быть создан ip интерфейс принадлежащий к той же подсети что и адреса пула
- Функция destination nat dnat состоит в преобразовании ip адреса назначения у пакетов
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 41
- Локальной сети в зоне trust адрес сервера в локальной сети 10 00 сервер должен быть доступным извне по адресу 1 доступный порт 80
- Конфигурирование
- Используемых сетевых интерфейсов к зонам одновременно назначим ip адреса интерфейсам
- Задача организовать доступ из публичной сети относящейся к зоне untrust к серверу
- Адрес в публичной сети на реальный сервер в локальной сети находящийся за сетевым шлюзом эту функцию можно использовать для организации публичного доступа к серверам находящимся в частной сети и не имеющим публичного сетевого адреса
- Srv_http профиль портов srv_http профиль портов
- Server_ip профиль адресов локальной сети server_ip профиль адресов локальной сети
- Net_uplink профиль адресов публичной сети net_uplink профиль адресов публичной сети
- Dnat используется для перенаправления трафика идущего на некоторый виртуальный
- Создадим профили ip адресов и портов которые потребуются для настройки правил firewall и
- Destinatio
- Создадим зоны безопасности untrust и trust установим принадлежность
- Рисунок 7 схема сети
- Решение
- Проходящих через сетевой шлюз
- Правил dnat
- Создадим набор правил dnat в соответствии с которыми будет производиться трансляция
- Произведенные настройки можно посмотреть с помощью команд
- Пару зон пропускать следует только трафик с адресом назначения соответствующим заданному в профиле server_ip и прошедший преобразование dnat
- Назначения в которые будут транслироваться адреса пакетов поступающие на адрес 1 из внешней сети
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Изменения конфигурации вступят в действие после применения
- Для пропуска трафика идущего из зоны untrust в trust создадим соответствующую
- Войдем в режим конфигурирования функции dnat и создадим пул адресов и портов
- Адресов в атрибутах набора укажем что правила применяются только для пакетов пришедших из зоны untrust набор правил включает в себя требования соответствия данных по адресу и порту назначения match destination address match destination port и по протоколу кроме этого в наборе задано действие применяемое к данным удовлетворяющим всем правилам action destination nat набор правил вводится в действие командой enable
- Рисунок 7 схема сети
- Функция source nat snat используется для подмены адреса источника у пакетов
- Функция snat может быть использована для предоставления доступа в интернет
- Создать профиль адресов локальной сети local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool
- Решение
- Проходящих через сетевой шлюз при прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза дополнительно к адресу источника может применяться замена порта источника при прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта
- Определения их принадлежности к зонам безопасности создадим доверенную зону trust для локальной сети и зону untrust для публичной сети
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 43
- Конфигурирование начнем с создания зон безопасности настройки сетевых интерфейсов и
- Конфигурирование source nat
- Компьютерам находящимся в локальной сети при этом не требуется назначения публичных ip адресов этим компьютерам
- Использованием функции source nat задать диапазон адресов публичной сети для использования snat 100 00 100 49
- Задача 1 настроить доступ пользователей локальной сети 10 24 к публичной сети с
- Для конфигурирования функции snat и настройки правил зон безопасности потребуется
- Для пропуска трафика из зоны trust в зону untrust создадим пару зон и добавим
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool
- Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды
- Применяются только для пакетов направляющихся в публичную сеть в зону untrust правила включают проверку адреса источника данных на принадлежность к пулу local_net
- Правила разрешающие проходить трафику в этом направлении дополнительно включена проверка адреса источника данных на принадлежность к диапазону адресов local_net для соблюдения ограничения на выход в публичную сеть действие правил разрешается командой enable
- На самом маршрутизаторе также должен быть создан маршрут для направления на
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети
- Используемых для сервиса snat
- Изменения конфигурации вступают в действие по команде применения
- Должна быть настроена маршрутизация адрес 10 должен быть назначен адресом шлюза
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в
- Задача 2 настроить доступ пользователей локальной сети 21 2 24 к публичной сети с
- Для конфигурирования функции snat потребуется создать профиль адресов локальной сети
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила
- Local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool
- Экрана
- Рисунок 7 схема сети
- Решение
- Применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net
- Первым шагом создаётся пул адресов публичной сети используемых для сервиса snat
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 45
- Конфигурируем сервис snat
- Конфигурирование начнем с настройки сетевых интерфейсов и отключения межсетевого
- Использованием функции source nat без использования межсетевого экрана firewall диапазон адресов публичной сети для использования snat 200 0 00 200 0 49
- Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды
- На самом маршрутизаторе также должен быть создан маршрут для направления на
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Изменения конфигурации вступают в действие по команде применения
- Должна быть настроена маршрутизация адрес 21 2 должен быть назначен адресом шлюза
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool
- Фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами
- Рисунок 7 схема сети
- Решение
- Разрешающее проходить icmp трафику от пк1 к пк2 действие правил разрешается командой enable
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 47
- Конфигурирование firewall
- Задача разрешить обмен сообщениями по протоколу icmp между устройствами пк1 пк2 и
- Для пропуска трафика из зоны lan в зону wan создадим пару зон и добавим правило
- Для настройки правил зон безопасности потребуется создать профиль адресов сети lan
- Для каждой сети esr 1000 создадим свою зону безопасности
- Включающий адреса которым разрешен выход в сеть wan и профиль адресов сети wan
- Firewall комплекс аппаратных или программных средств осуществляющий контроль и
- Esr 1000
- Посмотреть пары зон и их конфигурацию можно с помощью команд
- Для пропуска трафика из зоны wan в зону lan создадим пару зон и добавим правило
- Создадим пару зон для трафика идущего из зоны lan в зону self добавим правило
- Разрешающее проходить icmp трафику от пк2 к пк1 действие правил разрешается командой enable
- Разрешающее проходить icmp трафику между пк1 и esr 1000 для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны lan
- Посмотреть членство портов в зонах можно с помощью команды
- Получателя трафика выступает сам маршрутизатор то есть трафик не является транзитным то в качестве параметра указывается зона self создадим пару зон для трафика идущего из зоны wan в зону self добавим правило разрешающее проходить icmp трафику между пк2 и esr 1000 для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны wan
- На маршрутизаторе всегда существует зона безопасности с именем self если в качестве
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Изменения конфигурации вступят в действие по следующим командам
- Access control list или acl список контроля доступа содержит правила определяющие
- Настройка списков доступа acl
- В текущей версии по данный функционал поддерживается только на маршрутизаторе esr 1000
- Настроим список доступа для фильтрации по подсетям
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 49
- Изменения конфигурации вступят в действие по следующим командам
- Задача разрешить прохождения трафика только из подсети 192 68 0 24
- Решение
- Прохождение трафика через интерфейс
- Просмотреть детальную информацию о списке доступа возможно через команду
- Применим список доступа на интерфейс gi1 0 19 для входящего трафика
- Решение
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Конфигурирование статических маршрутов
- Интерфейс r1 будет подключен к устройству r2 для последующей маршрутизации трафика
- Задача настроить доступ к сети internet для пользователей локальной сети 192 68 24 и
- Зададим имя устройства для маршрутизатора r1
- Для интерфейса gi1 0 3 укажем адрес 128 07 30 и зону wan через данный интерфейс
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный
- Для интерфейса gi1 0 1 укажем адрес 192 68 24 и зону lan через данный интерфейс
- R1 будет подключен к сети internet
- R1 будет подключен к сети 192 68 24
- 8 используя статическую маршрутизацию на устройстве r1 создать шлюз для доступа к сети internet трафик внутри локальной сети должен маршрутизироваться внутри зоны lan трафик из сети internet должен относиться к зоне wan
- Явном виде при конфигурации маршрутизатора без использования протоколов динамической маршрутизации
- Статическая маршрутизация вид маршрутизации при котором маршруты указываются в
- Рисунок 7 схема сети
- Создадим маршрут для взаимодействия с сетью 10 8 используя в качестве шлюза
- Проверить таблицу маршрутов можно командой
- Провайдера 128 07
- Маршрутизатора r1 192 68 00
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 51
- Командам
- Интерфейс r2 будет подключен к устройству r1 для последующей маршрутизации трафика
- Изменения конфигурации на маршрутизаторе r2 вступят в действие по следующим
- Изменения конфигурации на маршрутизаторе r1 вступят в действие по следующим
- Зададим имя устройства для маршрутизатора r2
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный
- Для интерфейса gi1 0 1 укажем адрес 10 8 и зону lan через данный интерфейс r2
- Будет подключен к сети 10 8
- Устройство r2 192 68 00
- Создадим маршрут по умолчанию указав в качестве nexthop ip адрес интерфейса gi1 0 2
- Создадим маршрут для взаимодействия с сетью internet используя в качестве nexthop шлюз
- Устройство mxe
- Рисунок 7 схема сети
- Решение
- Переключаем интерфейс gigabitethernet 1 0 10 в режим работы е1
- Настройка mlppp
- Настроим mlppp 3
- Методы для распространения трафика через несколько физических каналов имея одно логическое соединение этот вариант позволяет расширить пропускную способность и обеспечивает балансировку нагрузки
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Изменения конфигурации вступят в действие по следующим командам
- Задача задача настроить mlppp соединение с встречной стороной с ip адресом 10 7 24 через
- Включим interface e1 1 0 1 interface e1 1 0 4 в группу агрегации mlppp 3
- Multilink ppp mlppp предоставляет собой агрегированный канал включающий в себя
- Bridge мост это способ соединения двух сегментов ethernet на канальном уровне без
- Установим принадлежность l2tpv3 туннеля к мосту который связан с локальной сетью
- Создадим зону безопасности trusted
- Создадим vlan 333
- Создадим bridge 333 привяжем к нему vlan 333 и укажем членство в зоне trusted
- Рисунок 7 схема сети
- Решение
- Настройка l2tpv3 туннеля рассматривается в разделе 7 7 в общем случае идентификаторы моста и туннеля не должны совпадать с vid как в данном примере
- Настройка bridge
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 53
- Локальной сети и l2tpv3 туннель проходящий по публичной сети для объединения использовать vlan 333
- Использования протоколов более высокого уровня таких как ip пакеты передаются на основе ethernet адресов а не ip адресов поскольку передача выполняется на канальном уровне уровень 2 модели osi трафик протоколов более высокого уровня прозрачно проходит через мост
- Задача 1 объединить в единый l2 домен интерфейсы маршрутизатора относящиеся к
- Добавим интерфейсы gi1 0 11 gi1 0 12 в vlan 333
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Задача 2 настроить маршрутизацию между vlan 50 10 0 24 и vlan 60 10 0 24
- Vlan 50 должен относиться к зоне lan1 vlan 60 к зоне lan2 разрешить свободную передачу трафика между зонами
- Создадим зоны безопасности lan1 и lan2
- Создадим vlan 50 60
- Создадим bridge 60 привяжем vlan 60 укажем ip адрес 10 0 24 и членство в зоне
- Создадим bridge 50 привяжем vlan 50 укажем ip адрес 10 0 24 и членство в зоне
- Рисунок 7 0 схема сети
- Решение
- Назначим интерфейсу gi1 0 14 vlan 60
- Назначим интерфейсам gi1 0 11 gi1 0 12 vlan 50
- Создадим правила в firewall разрешающие свободное прохождение трафика между зонами
- Посмотреть членство интерфейсов в мосте можно командой
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 55
- Изменения конфигурации вступят в действие по следующим командам
- Настройка rip
- Помимо настройки протокола rip необходимо в firewall разрешить udp порт 520
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 57
- Для того чтобы просмотреть таблицу маршрутов rip воспользуемся командой
- Настройка ospf
- Рисунок 7 4 схема сети
- Рисунок 7 3 схема сети
- Решение
- Протокола rip
- Приведенной на рисунке 7 3
- Предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме
- На тупиковом маршрутизаторе r3 включим анонсирование маршрутной информации из
- Маршрутизатор должен анонсировать маршруты полученные по протоколу rip
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 59
- Конфигурирования области выполним команду
- Изменим тип области на тупиковый на каждом маршрутизаторе из области 1 в режиме
- Изменения конфигурации вступят в действие после применения
- Изменения конфигурации вступают в действие по команде применения
- Задача 3 объединить две магистральные области в одну с помощью virtual link
- Задача 2 изменить тип области 1 область должна быть тупиковой тупиковый
- Так как ospf считает виртуальный канал частью области в таблице маршрутизации r1
- Таблицу маршрутов протокола ospf можно просмотреть командой
- Создадим virtual link с идентификатором 0 и включим его
- Решение
- Рассмотрим таблицу маршрутизации на маршрутизаторе r3
- Рассмотрим таблицу маршрутизации на маршрутизаторе r1
- Приведенной на рисунке 7 4
- Предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме
- На маршрутизаторе r3 перейдем в режим конфигурирования области 1
- На маршрутизаторе r1 перейдем в режим конфигурирования области 1
- Маршруты полученные от r3 отмечены как внутризоновые и наоборот
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Изменения конфигурации вступят в действие после применения
- Для просмотра соседей можно воспользоваться следующей командой
- В firewall необходимо разрешить протокол ospf 89
- Virtual link это специальное соединение которое позволяет соединять разорванную на
- Части зону или присоединить зону к магистральной через другую зону настраивается между двумя пограничными маршрутизаторами зоны area border router abr
- Настройка bgp
- Необходимо в firewall разрешить tcp порт 179
- Таблицу маршрутов протокола bgp можно просмотреть с помощью команды
- Создадим соседства с 185 219 с указанием автономных систем
- Объявим подсети подключённые напрямую
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Информацию о bgp пирах можно посмотреть командой
- Изменения конфигурации вступят в действие после применения
- Включим работу протокола
- Настройка route map
- Предварительно настроить bgp c as 2500 на esr 1000 решение
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Изменения конфигурации вступят в действие после применения
- Если community содержит 2500 25 то назначаем ему med 240 и origin egp
- В bgp процессе as 2500 заходим в настройки параметров соседа
- Создаем правило
- Создаем политику
- Привязываем политику к анонсируемой маршрутной информации
- Настройка gre туннелей
- При создании туннеля необходимо в firewall разрешить протокол gre 47
- После применения настроек трафик будет инкапсулироваться в туннель и отправляться
- Партеру независимо от наличия gre туннеля и правильности настроек с его стороны
- Опционально для gre туннеля можно указать следующие параметры
- Настройка туннеля ipv4 over ipv4 производится аналогичным образом
- На маршрутизаторе должен быть создан маршрут до локальной сети партнера в качестве
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Конфигурацию туннеля можно посмотреть командой
- Интерфейса назначения указываем ранее созданный туннель gre
- Для применения изменений конфигурации выполним следующие команды
- Включить проверку наличия и корректности контрольной суммы gre для входящего трафика
- Включить вычисление и включение в пакет контрольной суммы заголовка gre и включить вычисление и включение в пакет контрольной суммы заголовка gre и инкапсулированного пакета для исходящего трафика
- Указать уникальный идентификатор
- Указать значение dscp mtu ttl
- Счетчики входящих и отправленных пакетов можно посмотреть командой
- Состояние туннеля можно посмотреть командой
- Настройка l2tpv3 туннелей
- Создадим саб интерфейс для коммутации трафика поступающего из туннеля в локальную
- Сеть с тегом vlan id 333
- После применения настроек трафик будет инкапсулироваться в туннель и отправляться
- Помимо создания туннеля необходимо в firewall разрешить входящий трафик по протоколу udp с портом отправителя 520 и портом назначения 519
- Партнеру независимо от наличия l2tpv3 туннеля и правильности настроек с его стороны
- Настройки туннеля в удаленном офисе должны быть зеркальными локальным в качестве
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Локальной сетью настройка моста рассматривается в пункте 7 0
- Локального шлюза должен использоваться ip адрес 183 0 в качестве удаленного шлюза должен использоваться ip адрес 21 номер порта инкапсулирующего протокола на локальной стороне должен быть 520 на стороне партнера 519 идентификатор туннеля на локальной стороне должен быть равным 3 на стороне партнера 2 идентификатор сессии внутри туннеля должен быть равным 200 на стороне партнера 100 также туннель должен принадлежать мосту который необходимо соединить с сетью партнера
- Конфигурацию туннеля можно посмотреть командой
- Установим принадлежность саб интерфейса к мосту который должен быть связан с
- Для применения изменений конфигурации выполним следующие команды
- Установим принадлежность l2tpv3 туннеля к мосту который должен быть связан с сетью
- Включим ранее созданный туннель и выйдем
- Укажем идентификаторы сессии внутри туннеля для локальной и удаленной сторон
- Удаленного офиса настройка моста рассматривается в пункте 7 0
- Счетчики входящих и отправленных пакетов можно посмотреть командой
- Состояние туннеля можно посмотреть командой
- Локального и удаленного шлюза указываются ip адреса интерфейсов граничащих с wan
- Конфигурирование r1
- Задача настроить ipsec туннель между r1 и r2
- Для настройки правил зон безопасности потребуется создать профиль порта протокола isakmp
- R2 ip адрес 180 00 r2 ip адрес 180 00
- R1 ip адрес 120 1 r1 ip адрес 120 1
- Ipsec это набор протоколов которые обеспечивают защиту передаваемых с помощью ip
- Ipsec ipsec алгоритм шифрования blowfish 128 bit алгоритм аутентификации md5
- Ike ike группа диффи хэллмана 2 алгоритм шифрования aes 128 bit алгоритм аутентификации md5
- Создадим туннель vti трафик будет перенаправляться через vti в ipsec туннель в качестве
- Рисунок 7 9 схема сети
- Решение
- Протокола данных данный набор протоколов позволяет осуществлять подтверждение подлинности аутентификацию проверку целостности и шифрование ip пакетов а также включает в себя протоколы для защищённого обмена ключами в сети интернет
- Настройка route based ipsec vpn
- Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 69
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм
- Создадим политику протокола ike в политике указывается список профилей протокола ike
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим
- Протокола и режим перенаправления трафика в туннель
- По которым могут согласовываться узлы и ключ аутентификации
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable
- Находится за ipsec туннелем нужно указать маршрут через vti туннель
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Шифрования blowfish 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения
- Туннеля по которым могут согласовываться узлы
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия
- Создадим статический маршрут до удаленной lan сети для каждой подсети которая
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм
- Создадим политику протокола ike в политике указывается список профилей протокола ike по
- Протокола и режим перенаправления трафика в туннель
- Находится за ipsec туннелем нужно указать маршрут через vti туннель
- Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 71
- Локального и удаленного шлюза указываются ip адреса интерфейсов граничащих с wan
- Которым могут согласовываться узлы и ключ аутентификации
- Конфигурирование r2
- Для настройки правил зон безопасности потребуется создать профиль порта протокола isakmp
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия
- Создадим туннель vti трафик будет перенаправляться через vti в ipsec туннель в качестве
- Создадим статический маршрут до удаленной lan сети для каждой подсети которая
- Шифрования blowfish 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля
- Туннеля по которым могут согласовываться узлы
- Состояние туннеля можно посмотреть командой
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Конфигурацию туннеля можно посмотреть командой
- В firewall необходимо разрешить протокол esp и isakmp udp порт 500
- Протоколу
- Настройка удаленного доступа к корпоративной сети по pptp
- Укажем зону безопасности к которой будут относиться сессии пользователей
- Счетчики сессий pptp сервера можно посмотреть командой
- Состояние сессий pptp сервера можно посмотреть командой
- Создадим профиль адресов содержащий dns серверы
- Создадим pptp сервер и привяжем вышеуказанные профили
- Создадим pptp пользователей ivan и fedor для pptp сервера
- После применения конфигурации маршрутизатор будет прослушивать 120 1 1723
- Помимо создания pptp сервера необходимо в firewall открыть tcp порт 1723 для обслуживания соединений и разрешить протокол gre 47 для туннельного трафика
- Очистить счетчики сессий pptp сервера можно командой
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Конфигурацию pptp сервера можно посмотреть командой
- Завершить сессию пользователя fedor pptp сервера можно одной из следующих команд
- Выберем метод аутентификации пользователей pptp сервера
- Включим pptp сервер
- Протоколу
- Настройка удаленного доступа к корпоративной сети по l2tp ipsec
- Укажем зону безопасности к которой будут относиться сессии пользователей
- Счетчики сессий l2tp сервера можно посмотреть командой
- Создадим профиль адресов содержащий dns сервера
- Создадим l2tp сервер и привяжем к нему вышеуказанные профили
- Создадим l2tp пользователей ivan и fedor
- После применения конфигурации маршрутизатор будет прослушивать ip адрес 120 1 и
- Порт 1701 состояние сессий l2tp сервера можно посмотреть командой
- Очистить счетчики сессий l2tp сервера можно командой
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Выберем метод аутентификации пользователей l2tp сервера
- Выберем метод аутентификации первой фазы ike и зададим ключ аутентификации
- Включим l2tp сервер
- Настройка dual homing
- Включим qos на входящем интерфейсе со стороны lan
- Базовый qos
- Установим ограничение по скорости в 60мбит с для седьмой очереди
- Qos quality of service технология предоставления различным классам трафика различных
- Трафик с dscp 22 в восьмую приоритетную очередь трафик с dscp 14 в седьмую взвешенную очередь установить ограничение по скорости в 60 мбит с для седьмой очереди
- Рисунок 7 3 схема сети
- Решение
- Приоритетов в обслуживании использование службы qos позволяет сетевым приложениям сосуществовать в одной сети не уменьшая при этом пропускную способность других приложений
- Перенаправим трафик с dscp 22 в восьмую приоритетную очередь
- Перенаправим трафик с dscp 14 в седьмую взвешенную очередь
- Ограничим количество приоритетных очередей до 1
- Настройка qos
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 79
- Изменения конфигурации вступят в действие после применения
- Задача настроить следующие ограничения на интерфейсе gigabitethernet 1 0 8 передавать
- Для того чтобы восьмая очередь стала приоритетной а с первой по седьмую взвешенной
- Включим qos на интерфейсе со стороны wan
- Задача классифицировать приходящий трафик по подсетям 10 1 24 10 2 24
- В текущей версии по данный функционал поддерживается только на маршрутизаторе esr 1000
- Создаем классы fl1 и fl2 указываем соответствующие списки доступа настраиваем
- Рисунок 7 4 схема сети
- Решение
- Расширенный qos
- Просмотреть статистику по qos можно командой
- Произвести маркировку по dscp 38 и 42 и произвести разграничение по подсетям 40 мбит с и 60 мбит с ограничить общую полосу до 250 мбит с остальной трафик обрабатывать через механизм sfq
- Настроим списки доступа для фильтрации по подсетям выходим в глобальный режим
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Маркировку
- Конфигурации
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 81
- Изменения конфигурации вступят в действие после применения
- Для просмотра статистики используется команда
- Для другого трафика настраиваем класс с режимом sfq
- Выходим
- Включаем qos на интерфейсах политику на входе интерфейса gi 1 0 19 для классификации и
- Создаём политику и определяем ограничение общей полосы пропускания
- Осуществляем привязку класса к политике настраиваем ограничение полосы пропускания и
- На выходе gi1 0 20 для применения ограничений и режима sfq для класса по умолчанию
- Настройка зеркалирования
- Настройка netflow
- Укажем ip адрес коллектора
- Рисунок 7 7 схема сети
- Решение
- Настройка sflow
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Задача организовать учет трафика между зонами trusted и untrusted
- Для сетей esr 1000 создадим две зоны безопасности
- Включим сбор экспорта для любого трафика sflow в правиле rule1 для интерзон trusted
- Untrusted
- Sflow стандарт для мониторинга компьютерных сетей беспроводных сетей и сетевых
- Устройств предназначенный для учета и анализа трафика
- Настройка sflow для учета трафика с интерфейса осуществляется аналогично п 24
- Настройка sflow для учета трафика между зонами аналогична настройке netflow описание приведено в разделе 7 4 настройка netflow
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 85
- Изменения конфигурации вступят в действие после применения
- Активируем sflow на маршрутизаторе
- Настройка lacp
- Настройка vrrp
- Укажем идентификатор vrrp группы
- Укажем ip адрес виртуального шлюза 192 68 0 24
- Произвести аналогичные настройки на r2
- Помимо создания туннеля необходимо в firewall разрешить протокол vrrp 112
- Настроим vrrp для подсети 192 68 0 24 в созданном саб интерфейсе
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 89
- Изменения конфигурации вступят в действие после применения
- Включим vrrp
- Укажем уникальный идентификатор vrrp
- Создадим правило интерзон и разрешим любой tcp udp трафик
- Создадим зону безопасности
- Создадим vrf
- Рисунок 7 1 схема сети
- Решение
- Остальных сетей
- Настройка vrf lite
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Информацию принадлежащую различным классам например маршруты одного клиента
- Задача к маршрутизатору esr 1000 подключены 2 сети которые необходимо изолировать от
- Vrf virtual routing and forwarding технология которая позволяет изолировать маршрутную
- Таблицу маршрутов vrf можно просмотреть с помощью команды
- Создадим привязку интерфейсов назначим ip адреса укажем принадлежность к зоне
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 91
- Информацию об интерфейсах привязанных к vrf можно посмотреть командой
- Изменения конфигурации вступят в действие после применения
- Настройка multiwan
- Функция multiwan также может работать в режиме резервирования в котором трафик будет
- Соединения
- Настроим интерфейсы в режиме конфигурирования интерфейса te1 0 1 указываем nexthop
- Направляться в активный интерфейс c наибольшим весом включить данный режим можно следующей командой
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 93
- Изменения конфигурации вступят в действие после применения
- Заходим в режим настройки правила wan
- Для переключения в режим резервирования настроим следующее
- В режиме конфигурирования интерфейса te1 0 2 указываем nexthop
- В режиме конфигурирования интерфейса te1 0 2 включаем wan режим и выходим
- В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки
- В режиме конфигурирования интерфейса te1 0 1 включаем wan режим и выходим
Похожие устройства
-
Eltex RG-5440G-WZРуководство по работе с устройством -
Eltex RG-5440G-WACРуководство по настройке
-
Eltex RG-35-WACРуководство по эксплуатации -
Eltex ME5100SСправочник команд CLI -
Eltex ME5100SТехническое описание -
Eltex ME5100SРуководство по настройке -
Eltex ME5100SРуководство по установке и быстрому запуску -
Eltex ME5000MСправочник команд CLI
-
Eltex ME5000MТехническое описание -
Eltex ME5000MРуководство по настройке
-
Eltex ME5000MРуководство по установке и быстрому запуску
-
Eltex ME2001Техническое описание
Подробное руководство по настройке L2TPv3 туннеля, включая команды для конфигурации, создание саб-интерфейсов и настройку бриджей для локальной и удаленной сети.