![Eltex ESR-100 — настройка удаленного доступа к корпоративной сети по L2TP/IPsec [75/94]](/icons/site-icon-64.png){kind=icon}
Eltex ESR-100 — настройка удаленного доступа к корпоративной сети по L2TP/IPsec [75/94]
Превью страниц
Страница 75 /
94
![Eltex ESR-100 [75/94] Протоколу](/views2/1154409/page75/bg4b.png)
Маршрутизатор ESR-100, ESR-200, ESR-1000, Руководство по эксплуатации 75
7.20 Настройка удаленного доступа к корпоративной сети по L2TP/IPsec
протоколу
L2TP (англ. Layer 2 Tunneling Protocol – протокол туннелирования второго уровня) –
туннельный протокол, использующийся для поддержки виртуальных частных сетей. L2TP помещает
(инкапсулирует) кадры PPP в IP-пакеты для передачи по глобальной IP-сети, например, Интернет.
L2TP может также использоваться для организации туннеля между двумя локальными сетями. L2ТР
использует дополнительное UDP-соединение для обслуживания туннеля. L2TP-протокол не
предоставляет средств шифрования данных и поэтому он обычно используется в связке с группой
протоколов IPsec, которая предоставляет безопасность на пакетном уровне.
Задача: Настроить L2TP-сервера на маршрутизаторе для подключения удаленных
пользователей к ЛВС.
адрес L2TP-сервера 120.11.5.1;
шлюз внутри туннеля – 10.10.10.1;
пул клиентских IP-адресов 10.10.10.5-10.10.10.25;
для IPsec используется метод аутентификации по ключу: ключ — «password», учетные
записи пользователей – fedor, ivan.
Рисунок 7.21 – Схема сети
Решение:
Создадим профиль адресов, содержащий адрес, который должен слушать сервер:
esr-1000# configure
esr-1000(config)# object-group network l2tp_outside
esr-1000(config-object-group-network)# ip address-range 120.11.5.1
esr-1000(config-object-group-network)# exit
Создадим профиль адресов, содержащий адрес локального шлюза:
esr-1000(config)# object-group network l2tp_local
esr-1000(config-object-group-network)# ip address-range 10.10.10.1
esr-1000(config-object-group-network)# exit
Создадим профиль адресов, содержащий адреса клиентов:
esr-1000(config)# object-group network l2tp_remote
Содержание
654- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Аннотация
- Введение
- Целевая аудитория
- Условные обозначения
- Функции интерфейсов
- Функции
- Описание изделия
- Назначение
- Режим обучения
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 7
- В таблице 2 приведены функции устройства при работе с mac адресами
- В таблице 2 приведены функции и особенности второго уровня уровень 2 osi
- Таблица 2 описание функций второго уровня уровень 2 osi поддержка vlan
- Протокол связующего дерева spanning tree protocol
- Функции при работе с mac адресами
- Функции второго уровня сетевой модели osi
- Таблица 2 функции работы с mac адресами таблица mac адресов
- Nat network address translation
- Динамическая маршрутизация
- Трансляция сетевых адресов
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Сервер dhcp
- Статические ip маршруты
- Таблица arp
- Таблица 2 описание функций третьего уровня layer 3
- Клиент dhcp
- В таблице 2 приведены функции третьего уровня уровень 3 osi
- Dynamic host configuration protoco
- Функции третьего уровня сетевой модели osi
- Туннелирования
- Сервер ssh сервер telnet
- Аутентификация
- Syslog
- Таблица 2 функции туннелирования трафика
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 9
- Управление контролируемым доступом уровни привилегий
- Таблица 2 основные функции управления и конфигурирования загрузка и выгрузка файла настройки
- Функции управления и конфигурирования
- Функции туннелирования трафика
- Сетевые утилиты ping traceroute
- Протоколы
- Интерфейс командной строки cli
- Автоматическое восстановление конфигурации
- В таблице приведены функции сетевой защиты выполняемые устройством
- Таблица 2 основные технические характеристики
- Зоны безопасности
- Функции сетевой защиты
- Фильтрация данных
- Таблица 2 функции сетевой защиты
- Основные технические характеристики
- Основные технические параметры маршрутизатора приведены в таблице 2
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 11
- Рисунок 2 передняя панель esr 1000
- Конструктивное исполнение esr 1000
- Конструктивное исполнение
- Конструктив высота корпуса 1u
- Изображения передней задней и боковых панелей устройства описаны разъемы светодиодные индикаторы и органы управления
- Внешний вид передней панели показан на рисунке 2
- В таблице 2 приведен перечень разъемов светодиодных индикаторов и органов
- В данном разделе описано конструктивное исполнение устройства представлены
- Устройство выполнено в металлическом корпусе с возможностью установки в 19
- Управления расположенных на передней панели устройства
- Таблица 2 описание разъемов индикаторов и органов управления передней панели
- Передняя панель устройства esr 1000
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Управления расположенных на передней панели устройств esr 100 esr 200
- Таблица 2 1 описание разъемов индикаторов и органов управления передней панели
- Рисунок 2 передняя панель esr 200
- Рисунок 2 передняя панель esr 100
- Передняя панель устройств esr 100 esr 200
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Конструктивное исполнение esr 100 esr 200
- Внешний вид передней панели esr 200 показан на рисунке 2
- Внешний вид передней панели esr 100 показан на рисунке 2
- В таблице 2 1 приведен перечень разъемов светодиодных индикаторов и органов
- Световая индикация
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 17
- Таблица 2 5 состояния системных индикаторов
- Таблица 2 4 световая индикация состояния sfp sfp интерфейсов
- Значений
- В следующей таблице приведено описание состояний системных индикаторов устройства и их
- Световая индикация esr 100 esr 200
- Таблица 2 7 состояния системных индикаторов
- Таблица 2 6 световая индикация состояния медных интерфейсов и sfp интерфейсов
- Состояние медных интерфейсов gigabitethernet и sfp интерфейсов отображается двумя
- Светодиодными индикаторами link act зеленого цвета и speed янтарного цвета расположение индикаторов медных интерфейсов показано на рисунке 2 0 состояние sfp интерфейсов указано на рисунке 2 2 значения световой индикации описаны в таблице 2 6
- Рисунок 2 2 расположение индикаторов оптических интерфейсов
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Значений
- В следующей таблице приведено описание состояний системных индикаторов устройства и их
- Комплект поставки
- Установка и подключение
- Крепление кронштейнов
- Установка устройства в стойку
- Установка модулей питания esr 1000
- Подключение питающей сети
- Установка и удаление sfp трансиверов
- Интерфейсы управления
- Интерфейс командной строки cli
- Начальная настройка маршрутизатора
- Заводская конфигурация маршрутизатора esr
- Подключение к маршрутизатору
- Подключение и конфигурирование маршрутизатора
- Базовая настройка маршрутизатора
- Провайдер может использовать динамически назначаемые адреса в своей сети для
- После применения конфигурации
- Telnet или ssh из зоны trusted для того чтобы разрешить удаленный доступ к маршрутизатору из других зон например из публичной сети необходимо создать соответствующие правила в firewall
- Source zone source zone зона из которой будет осуществляться удаленный доступ
- Self self зона в которой находится интерфейс управления маршрутизатором
- Пример настройки предназначенной для получения динамического ip адреса от dhcp сервера на интерфейсе gigabitethernet 1 0 10
- Пример команд для разрешения пользователям из зоны untrusted с ip адресами 132 6 132 6 0 подключаться к маршрутизатору с ip адресом 40 3 2 по протоколу ssh
- При конфигурировании доступа к маршрутизатору правила создаются для пары зон
- Получения ip адреса может использоваться протокол dhcp если в сети присутствует сервер dhcp
- Настройка удаленного доступа к маршрутизатору
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 29
- Для того чтобы убедиться что адрес был назначен интерфейсу введите следующую команду
- Для создания разрешающего правила используются следующие команды
- В заводской конфигурации разрешен удаленный доступ к маршрутизатору по протоколам
- Применение базовых настроек
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Конфигурация устройства вернётся в прежнее состояние существовавшее до ввода команды commit
- Если при конфигурировании использовался удаленный доступ к устройству и сетевые
- Если ввести команду confirm не удастся то по истечении таймера подтверждения
- Для применения выполненных изменений конфигурации маршрутизатора требуется ввести
- Следующие команды из корневого раздела командного интерфейса
- Параметры интерфейса управления изменились то после ввода команды commit соединение с устройством может быть потеряно используйте новые сетевые параметры заданные в конфигурации для подключения к устройству и ввода команды confirm
- Обновление программного обеспечения средствами системы
- Обновление программного обеспечения
- Укажите ip адрес маршрутизатора
- Укажите ip адрес tftp сервера
- Следующим образом
- Программное обеспечение маршрутизатора можно обновить из начального загрузчика
- Остановите загрузку устройства после окончания инициализации маршрутизатора
- Обновление программного обеспечения из начального загрузчика
- Можно сохранить окружение командой saveenv для будущих обновлений
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 33
- Запустите процедуру обновления программного обеспечения
- Запустите загруженное программное обеспечение
- Вторичный загрузчик занимается инициализацией nand и маршрутизатора при обновлении
- Укажите ip адрес маршрутизатора
- Укажите ip адрес tftp сервера
- Процедура обновления по
- Перезагрузите маршрутизатор
- Остановите загрузку устройства после окончания инициализации маршрутизатора
- Обновление вторичного загрузчика u boot
- Новый файл вторичного загрузчика сохраняется на flash на месте старого
- Можно сохранить окружение командой saveenv для будущих обновлений
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Команду version в cli u boot также версия отображается в процессе загрузки маршрутизатора
- Запустите процедуру обновления программного обеспечения
- Для просмотра текущей версии загрузочного файла работающего на устройстве введите
- Vlan virtual local area network логическая виртуальная локальная сеть представляет
- Рисунок 7 схема сети
- Изменения конфигурации вступят в действие после применения
- Задача 2 настроить порт gi1 0 1 для передачи и приема пакетов в vlan 2 vlan 64 vlan
- Задача 1 на основе заводской конфигурации удалить из vlan 2 порт gi1 0 1
- Удалим vlan 2 с порта gi1 0 1
- Создадим vlan 2 vlan 64 vlan 2000 на esr 1000
- Собой группу устройств которые взаимодействуют между собой на канальном уровне независимо от их физического местонахождения
- Решение
- Примеры настройки маршрутизатора
- Настройка vlan
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 35
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Aaa authentication authorization accounting используется для описания процесса
- Предоставления доступа и контроля над ним
- Изменения конфигурации вступят в действие после применения
- Задача настроить аутентификацию пользователей подключающихся по telnet через radius
- Authorization авторизация проверка полномочий проверка уровня доступа authorization авторизация проверка полномочий проверка уровня доступа сопоставление учётной записи в системе и определённых полномочий
- Authentication аутентификация сопоставление персоны запроса существующей authentication аутентификация сопоставление персоны запроса существующей учётной записи в системе безопасности осуществляется по логину паролю
- Accounting учёт слежение за подключением пользователя или внесенным им accounting учёт слежение за подключением пользователя или внесенным им изменениям
- 192 68 6 24
- Укажем режим аутентификации используемый при подключении по telnet протоколу
- Создадим профиль аутентификации
- Решение
- Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 2
- Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1
- Настройка ааа
- Настроим подключение к radius серверу и укажем ключ password
- Просмотреть информацию по настройкам подключения к radius серверу можно командой
- Посмотреть профили аутентификации можно командой
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 37
- Изменения конфигурации вступят в действие после применения
- Настройка привилегий команд
- Настройка dhcp сервера
- Для того чтобы dhcp сервер мог раздавать ip адреса из конфигурируемого пула на
- Для разрешения прохождения сообщений протокола dhcp к серверу необходимо создать
- Соответствующие профили портов включающие порт источника 68 и порт назначения 67 используемые протоколом dhcp и создать разрешающее правило в политике безопасности для прохождения пакетов протокола udp
- Разрешим работу сервера
- Просмотреть список арендованных адресов можно с помощью команды
- Просмотреть сконфигурированные пулы адресов можно командами
- Маршрутизаторе должен быть создан ip интерфейс принадлежащий к той же подсети что и адреса пула
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Конфигурирование настроек для ipv6 производится по аналогии с ipv4
- Изменения конфигурации вступят в действие после применения
- Функция destination nat dnat состоит в преобразовании ip адреса назначения у пакетов
- Используемых сетевых интерфейсов к зонам одновременно назначим ip адреса интерфейсам
- Задача организовать доступ из публичной сети относящейся к зоне untrust к серверу
- Адрес в публичной сети на реальный сервер в локальной сети находящийся за сетевым шлюзом эту функцию можно использовать для организации публичного доступа к серверам находящимся в частной сети и не имеющим публичного сетевого адреса
- Srv_http профиль портов srv_http профиль портов
- Server_ip профиль адресов локальной сети server_ip профиль адресов локальной сети
- Net_uplink профиль адресов публичной сети net_uplink профиль адресов публичной сети
- Dnat используется для перенаправления трафика идущего на некоторый виртуальный
- Создадим профили ip адресов и портов которые потребуются для настройки правил firewall и
- Destinatio
- Создадим зоны безопасности untrust и trust установим принадлежность
- Рисунок 7 схема сети
- Решение
- Проходящих через сетевой шлюз
- Правил dnat
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 41
- Локальной сети в зоне trust адрес сервера в локальной сети 10 00 сервер должен быть доступным извне по адресу 1 доступный порт 80
- Конфигурирование
- Назначения в которые будут транслироваться адреса пакетов поступающие на адрес 1 из внешней сети
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Изменения конфигурации вступят в действие после применения
- Для пропуска трафика идущего из зоны untrust в trust создадим соответствующую
- Войдем в режим конфигурирования функции dnat и создадим пул адресов и портов
- Адресов в атрибутах набора укажем что правила применяются только для пакетов пришедших из зоны untrust набор правил включает в себя требования соответствия данных по адресу и порту назначения match destination address match destination port и по протоколу кроме этого в наборе задано действие применяемое к данным удовлетворяющим всем правилам action destination nat набор правил вводится в действие командой enable
- Создадим набор правил dnat в соответствии с которыми будет производиться трансляция
- Произведенные настройки можно посмотреть с помощью команд
- Пару зон пропускать следует только трафик с адресом назначения соответствующим заданному в профиле server_ip и прошедший преобразование dnat
- Рисунок 7 схема сети
- Функция snat может быть использована для предоставления доступа в интернет
- Создать профиль адресов локальной сети local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool
- Решение
- Проходящих через сетевой шлюз при прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза дополнительно к адресу источника может применяться замена порта источника при прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта
- Определения их принадлежности к зонам безопасности создадим доверенную зону trust для локальной сети и зону untrust для публичной сети
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 43
- Конфигурирование начнем с создания зон безопасности настройки сетевых интерфейсов и
- Конфигурирование source nat
- Компьютерам находящимся в локальной сети при этом не требуется назначения публичных ip адресов этим компьютерам
- Использованием функции source nat задать диапазон адресов публичной сети для использования snat 100 00 100 49
- Задача 1 настроить доступ пользователей локальной сети 10 24 к публичной сети с
- Для конфигурирования функции snat и настройки правил зон безопасности потребуется
- Функция source nat snat используется для подмены адреса источника у пакетов
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool
- Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды
- Применяются только для пакетов направляющихся в публичную сеть в зону untrust правила включают проверку адреса источника данных на принадлежность к пулу local_net
- Правила разрешающие проходить трафику в этом направлении дополнительно включена проверка адреса источника данных на принадлежность к диапазону адресов local_net для соблюдения ограничения на выход в публичную сеть действие правил разрешается командой enable
- На самом маршрутизаторе также должен быть создан маршрут для направления на
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети
- Используемых для сервиса snat
- Изменения конфигурации вступают в действие по команде применения
- Должна быть настроена маршрутизация адрес 10 должен быть назначен адресом шлюза
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в
- Для пропуска трафика из зоны trust в зону untrust создадим пару зон и добавим
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила
- Local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool
- Экрана
- Рисунок 7 схема сети
- Решение
- Применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net
- Первым шагом создаётся пул адресов публичной сети используемых для сервиса snat
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 45
- Конфигурируем сервис snat
- Конфигурирование начнем с настройки сетевых интерфейсов и отключения межсетевого
- Использованием функции source nat без использования межсетевого экрана firewall диапазон адресов публичной сети для использования snat 200 0 00 200 0 49
- Задача 2 настроить доступ пользователей локальной сети 21 2 24 к публичной сети с
- Для конфигурирования функции snat потребуется создать профиль адресов локальной сети
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила
- Изменения конфигурации вступают в действие по команде применения
- Должна быть настроена маршрутизация адрес 21 2 должен быть назначен адресом шлюза
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool
- Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды
- На самом маршрутизаторе также должен быть создан маршрут для направления на
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Решение
- Разрешающее проходить icmp трафику от пк1 к пк2 действие правил разрешается командой enable
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 47
- Конфигурирование firewall
- Задача разрешить обмен сообщениями по протоколу icmp между устройствами пк1 пк2 и
- Для пропуска трафика из зоны lan в зону wan создадим пару зон и добавим правило
- Для настройки правил зон безопасности потребуется создать профиль адресов сети lan
- Для каждой сети esr 1000 создадим свою зону безопасности
- Включающий адреса которым разрешен выход в сеть wan и профиль адресов сети wan
- Firewall комплекс аппаратных или программных средств осуществляющий контроль и
- Esr 1000
- Фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами
- Рисунок 7 схема сети
- Посмотреть пары зон и их конфигурацию можно с помощью команд
- Создадим пару зон для трафика идущего из зоны lan в зону self добавим правило
- Разрешающее проходить icmp трафику от пк2 к пк1 действие правил разрешается командой enable
- Разрешающее проходить icmp трафику между пк1 и esr 1000 для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны lan
- Посмотреть членство портов в зонах можно с помощью команды
- Получателя трафика выступает сам маршрутизатор то есть трафик не является транзитным то в качестве параметра указывается зона self создадим пару зон для трафика идущего из зоны wan в зону self добавим правило разрешающее проходить icmp трафику между пк2 и esr 1000 для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны wan
- На маршрутизаторе всегда существует зона безопасности с именем self если в качестве
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Изменения конфигурации вступят в действие по следующим командам
- Для пропуска трафика из зоны wan в зону lan создадим пару зон и добавим правило
- Access control list или acl список контроля доступа содержит правила определяющие
- В текущей версии по данный функционал поддерживается только на маршрутизаторе esr 1000
- Настройка списков доступа acl
- Изменения конфигурации вступят в действие по следующим командам
- Задача разрешить прохождения трафика только из подсети 192 68 0 24
- Решение
- Прохождение трафика через интерфейс
- Просмотреть детальную информацию о списке доступа возможно через команду
- Применим список доступа на интерфейс gi1 0 19 для входящего трафика
- Настроим список доступа для фильтрации по подсетям
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 49
- Интерфейс r1 будет подключен к устройству r2 для последующей маршрутизации трафика
- Задача настроить доступ к сети internet для пользователей локальной сети 192 68 24 и
- Зададим имя устройства для маршрутизатора r1
- Для интерфейса gi1 0 3 укажем адрес 128 07 30 и зону wan через данный интерфейс
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный
- Для интерфейса gi1 0 1 укажем адрес 192 68 24 и зону lan через данный интерфейс
- R1 будет подключен к сети internet
- R1 будет подключен к сети 192 68 24
- 8 используя статическую маршрутизацию на устройстве r1 создать шлюз для доступа к сети internet трафик внутри локальной сети должен маршрутизироваться внутри зоны lan трафик из сети internet должен относиться к зоне wan
- Явном виде при конфигурации маршрутизатора без использования протоколов динамической маршрутизации
- Статическая маршрутизация вид маршрутизации при котором маршруты указываются в
- Рисунок 7 схема сети
- Решение
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Конфигурирование статических маршрутов
- Маршрутизатора r1 192 68 00
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 51
- Командам
- Интерфейс r2 будет подключен к устройству r1 для последующей маршрутизации трафика
- Изменения конфигурации на маршрутизаторе r2 вступят в действие по следующим
- Изменения конфигурации на маршрутизаторе r1 вступят в действие по следующим
- Зададим имя устройства для маршрутизатора r2
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный
- Для интерфейса gi1 0 1 укажем адрес 10 8 и зону lan через данный интерфейс r2
- Будет подключен к сети 10 8
- Устройство r2 192 68 00
- Создадим маршрут по умолчанию указав в качестве nexthop ip адрес интерфейса gi1 0 2
- Создадим маршрут для взаимодействия с сетью internet используя в качестве nexthop шлюз
- Создадим маршрут для взаимодействия с сетью 10 8 используя в качестве шлюза
- Проверить таблицу маршрутов можно командой
- Провайдера 128 07
- Решение
- Переключаем интерфейс gigabitethernet 1 0 10 в режим работы е1
- Настройка mlppp
- Настроим mlppp 3
- Методы для распространения трафика через несколько физических каналов имея одно логическое соединение этот вариант позволяет расширить пропускную способность и обеспечивает балансировку нагрузки
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Изменения конфигурации вступят в действие по следующим командам
- Задача задача настроить mlppp соединение с встречной стороной с ip адресом 10 7 24 через
- Включим interface e1 1 0 1 interface e1 1 0 4 в группу агрегации mlppp 3
- Multilink ppp mlppp предоставляет собой агрегированный канал включающий в себя
- Устройство mxe
- Рисунок 7 схема сети
- Установим принадлежность l2tpv3 туннеля к мосту который связан с локальной сетью
- Создадим зону безопасности trusted
- Создадим vlan 333
- Создадим bridge 333 привяжем к нему vlan 333 и укажем членство в зоне trusted
- Рисунок 7 схема сети
- Решение
- Настройка l2tpv3 туннеля рассматривается в разделе 7 7 в общем случае идентификаторы моста и туннеля не должны совпадать с vid как в данном примере
- Настройка bridge
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 53
- Локальной сети и l2tpv3 туннель проходящий по публичной сети для объединения использовать vlan 333
- Использования протоколов более высокого уровня таких как ip пакеты передаются на основе ethernet адресов а не ip адресов поскольку передача выполняется на канальном уровне уровень 2 модели osi трафик протоколов более высокого уровня прозрачно проходит через мост
- Задача 1 объединить в единый l2 домен интерфейсы маршрутизатора относящиеся к
- Добавим интерфейсы gi1 0 11 gi1 0 12 в vlan 333
- Bridge мост это способ соединения двух сегментов ethernet на канальном уровне без
- Создадим зоны безопасности lan1 и lan2
- Создадим vlan 50 60
- Создадим bridge 60 привяжем vlan 60 укажем ip адрес 10 0 24 и членство в зоне
- Создадим bridge 50 привяжем vlan 50 укажем ip адрес 10 0 24 и членство в зоне
- Рисунок 7 0 схема сети
- Решение
- Назначим интерфейсу gi1 0 14 vlan 60
- Назначим интерфейсам gi1 0 11 gi1 0 12 vlan 50
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Задача 2 настроить маршрутизацию между vlan 50 10 0 24 и vlan 60 10 0 24
- Vlan 50 должен относиться к зоне lan1 vlan 60 к зоне lan2 разрешить свободную передачу трафика между зонами
- Создадим правила в firewall разрешающие свободное прохождение трафика между зонами
- Посмотреть членство интерфейсов в мосте можно командой
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 55
- Изменения конфигурации вступят в действие по следующим командам
- Настройка rip
- Помимо настройки протокола rip необходимо в firewall разрешить udp порт 520
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 57
- Для того чтобы просмотреть таблицу маршрутов rip воспользуемся командой
- Настройка ospf
- Протокола rip
- Приведенной на рисунке 7 3
- Предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме
- На тупиковом маршрутизаторе r3 включим анонсирование маршрутной информации из
- Маршрутизатор должен анонсировать маршруты полученные по протоколу rip
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 59
- Конфигурирования области выполним команду
- Изменим тип области на тупиковый на каждом маршрутизаторе из области 1 в режиме
- Изменения конфигурации вступят в действие после применения
- Изменения конфигурации вступают в действие по команде применения
- Задача 3 объединить две магистральные области в одну с помощью virtual link
- Задача 2 изменить тип области 1 область должна быть тупиковой тупиковый
- Рисунок 7 4 схема сети
- Рисунок 7 3 схема сети
- Решение
- Решение
- Рассмотрим таблицу маршрутизации на маршрутизаторе r3
- Рассмотрим таблицу маршрутизации на маршрутизаторе r1
- Приведенной на рисунке 7 4
- Предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме
- На маршрутизаторе r3 перейдем в режим конфигурирования области 1
- На маршрутизаторе r1 перейдем в режим конфигурирования области 1
- Маршруты полученные от r3 отмечены как внутризоновые и наоборот
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Изменения конфигурации вступят в действие после применения
- Для просмотра соседей можно воспользоваться следующей командой
- В firewall необходимо разрешить протокол ospf 89
- Части зону или присоединить зону к магистральной через другую зону настраивается между двумя пограничными маршрутизаторами зоны area border router abr
- Virtual link это специальное соединение которое позволяет соединять разорванную на
- Так как ospf считает виртуальный канал частью области в таблице маршрутизации r1
- Таблицу маршрутов протокола ospf можно просмотреть командой
- Создадим virtual link с идентификатором 0 и включим его
- Настройка bgp
- Необходимо в firewall разрешить tcp порт 179
- Таблицу маршрутов протокола bgp можно просмотреть с помощью команды
- Создадим соседства с 185 219 с указанием автономных систем
- Объявим подсети подключённые напрямую
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Информацию о bgp пирах можно посмотреть командой
- Изменения конфигурации вступят в действие после применения
- Включим работу протокола
- Настройка route map
- Если community содержит 2500 25 то назначаем ему med 240 и origin egp
- В bgp процессе as 2500 заходим в настройки параметров соседа
- Создаем правило
- Создаем политику
- Привязываем политику к анонсируемой маршрутной информации
- Предварительно настроить bgp c as 2500 на esr 1000 решение
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Изменения конфигурации вступят в действие после применения
- Настройка gre туннелей
- Опционально для gre туннеля можно указать следующие параметры
- Настройка туннеля ipv4 over ipv4 производится аналогичным образом
- На маршрутизаторе должен быть создан маршрут до локальной сети партнера в качестве
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Конфигурацию туннеля можно посмотреть командой
- Интерфейса назначения указываем ранее созданный туннель gre
- Для применения изменений конфигурации выполним следующие команды
- Включить проверку наличия и корректности контрольной суммы gre для входящего трафика
- Включить вычисление и включение в пакет контрольной суммы заголовка gre и включить вычисление и включение в пакет контрольной суммы заголовка gre и инкапсулированного пакета для исходящего трафика
- Указать уникальный идентификатор
- Указать значение dscp mtu ttl
- Счетчики входящих и отправленных пакетов можно посмотреть командой
- Состояние туннеля можно посмотреть командой
- При создании туннеля необходимо в firewall разрешить протокол gre 47
- После применения настроек трафик будет инкапсулироваться в туннель и отправляться
- Партеру независимо от наличия gre туннеля и правильности настроек с его стороны
- Настройка l2tpv3 туннелей
- Создадим саб интерфейс для коммутации трафика поступающего из туннеля в локальную
- Партнеру независимо от наличия l2tpv3 туннеля и правильности настроек с его стороны
- Настройки туннеля в удаленном офисе должны быть зеркальными локальным в качестве
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Локальной сетью настройка моста рассматривается в пункте 7 0
- Локального шлюза должен использоваться ip адрес 183 0 в качестве удаленного шлюза должен использоваться ip адрес 21 номер порта инкапсулирующего протокола на локальной стороне должен быть 520 на стороне партнера 519 идентификатор туннеля на локальной стороне должен быть равным 3 на стороне партнера 2 идентификатор сессии внутри туннеля должен быть равным 200 на стороне партнера 100 также туннель должен принадлежать мосту который необходимо соединить с сетью партнера
- Конфигурацию туннеля можно посмотреть командой
- Установим принадлежность саб интерфейса к мосту который должен быть связан с
- Для применения изменений конфигурации выполним следующие команды
- Установим принадлежность l2tpv3 туннеля к мосту который должен быть связан с сетью
- Включим ранее созданный туннель и выйдем
- Укажем идентификаторы сессии внутри туннеля для локальной и удаленной сторон
- Удаленного офиса настройка моста рассматривается в пункте 7 0
- Счетчики входящих и отправленных пакетов можно посмотреть командой
- Состояние туннеля можно посмотреть командой
- Сеть с тегом vlan id 333
- После применения настроек трафик будет инкапсулироваться в туннель и отправляться
- Помимо создания туннеля необходимо в firewall разрешить входящий трафик по протоколу udp с портом отправителя 520 и портом назначения 519
- Для настройки правил зон безопасности потребуется создать профиль порта протокола isakmp
- R2 ip адрес 180 00 r2 ip адрес 180 00
- R1 ip адрес 120 1 r1 ip адрес 120 1
- Ipsec это набор протоколов которые обеспечивают защиту передаваемых с помощью ip
- Ipsec ipsec алгоритм шифрования blowfish 128 bit алгоритм аутентификации md5
- Ike ike группа диффи хэллмана 2 алгоритм шифрования aes 128 bit алгоритм аутентификации md5
- Создадим туннель vti трафик будет перенаправляться через vti в ipsec туннель в качестве
- Рисунок 7 9 схема сети
- Решение
- Протокола данных данный набор протоколов позволяет осуществлять подтверждение подлинности аутентификацию проверку целостности и шифрование ip пакетов а также включает в себя протоколы для защищённого обмена ключами в сети интернет
- Настройка route based ipsec vpn
- Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 69
- Локального и удаленного шлюза указываются ip адреса интерфейсов граничащих с wan
- Конфигурирование r1
- Задача настроить ipsec туннель между r1 и r2
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим
- Протокола и режим перенаправления трафика в туннель
- По которым могут согласовываться узлы и ключ аутентификации
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable
- Находится за ipsec туннелем нужно указать маршрут через vti туннель
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Шифрования blowfish 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения
- Туннеля по которым могут согласовываться узлы
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия
- Создадим статический маршрут до удаленной lan сети для каждой подсети которая
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм
- Создадим политику протокола ike в политике указывается список профилей протокола ike
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec
- Находится за ipsec туннелем нужно указать маршрут через vti туннель
- Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 71
- Локального и удаленного шлюза указываются ip адреса интерфейсов граничащих с wan
- Которым могут согласовываться узлы и ключ аутентификации
- Конфигурирование r2
- Для настройки правил зон безопасности потребуется создать профиль порта протокола isakmp
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия
- Создадим туннель vti трафик будет перенаправляться через vti в ipsec туннель в качестве
- Создадим статический маршрут до удаленной lan сети для каждой подсети которая
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм
- Создадим политику протокола ike в политике указывается список профилей протокола ike по
- Протокола и режим перенаправления трафика в туннель
- Туннеля по которым могут согласовываться узлы
- Состояние туннеля можно посмотреть командой
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Конфигурацию туннеля можно посмотреть командой
- В firewall необходимо разрешить протокол esp и isakmp udp порт 500
- Шифрования blowfish 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля
- Протоколу
- Настройка удаленного доступа к корпоративной сети по pptp
- Счетчики сессий pptp сервера можно посмотреть командой
- Состояние сессий pptp сервера можно посмотреть командой
- Создадим профиль адресов содержащий dns серверы
- Создадим pptp сервер и привяжем вышеуказанные профили
- Создадим pptp пользователей ivan и fedor для pptp сервера
- После применения конфигурации маршрутизатор будет прослушивать 120 1 1723
- Помимо создания pptp сервера необходимо в firewall открыть tcp порт 1723 для обслуживания соединений и разрешить протокол gre 47 для туннельного трафика
- Очистить счетчики сессий pptp сервера можно командой
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Конфигурацию pptp сервера можно посмотреть командой
- Завершить сессию пользователя fedor pptp сервера можно одной из следующих команд
- Выберем метод аутентификации пользователей pptp сервера
- Включим pptp сервер
- Укажем зону безопасности к которой будут относиться сессии пользователей
- Протоколу
- Настройка удаленного доступа к корпоративной сети по l2tp ipsec
- Укажем зону безопасности к которой будут относиться сессии пользователей
- Счетчики сессий l2tp сервера можно посмотреть командой
- Создадим профиль адресов содержащий dns сервера
- Создадим l2tp сервер и привяжем к нему вышеуказанные профили
- Создадим l2tp пользователей ivan и fedor
- После применения конфигурации маршрутизатор будет прослушивать ip адрес 120 1 и
- Порт 1701 состояние сессий l2tp сервера можно посмотреть командой
- Очистить счетчики сессий l2tp сервера можно командой
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Выберем метод аутентификации пользователей l2tp сервера
- Выберем метод аутентификации первой фазы ike и зададим ключ аутентификации
- Включим l2tp сервер
- Настройка dual homing
- Трафик с dscp 22 в восьмую приоритетную очередь трафик с dscp 14 в седьмую взвешенную очередь установить ограничение по скорости в 60 мбит с для седьмой очереди
- Рисунок 7 3 схема сети
- Решение
- Приоритетов в обслуживании использование службы qos позволяет сетевым приложениям сосуществовать в одной сети не уменьшая при этом пропускную способность других приложений
- Перенаправим трафик с dscp 22 в восьмую приоритетную очередь
- Перенаправим трафик с dscp 14 в седьмую взвешенную очередь
- Ограничим количество приоритетных очередей до 1
- Настройка qos
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 79
- Изменения конфигурации вступят в действие после применения
- Задача настроить следующие ограничения на интерфейсе gigabitethernet 1 0 8 передавать
- Для того чтобы восьмая очередь стала приоритетной а с первой по седьмую взвешенной
- Включим qos на интерфейсе со стороны wan
- Включим qos на входящем интерфейсе со стороны lan
- Базовый qos
- Установим ограничение по скорости в 60мбит с для седьмой очереди
- Qos quality of service технология предоставления различным классам трафика различных
- Создаем классы fl1 и fl2 указываем соответствующие списки доступа настраиваем
- Рисунок 7 4 схема сети
- Решение
- Расширенный qos
- Просмотреть статистику по qos можно командой
- Произвести маркировку по dscp 38 и 42 и произвести разграничение по подсетям 40 мбит с и 60 мбит с ограничить общую полосу до 250 мбит с остальной трафик обрабатывать через механизм sfq
- Настроим списки доступа для фильтрации по подсетям выходим в глобальный режим
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Маркировку
- Конфигурации
- Задача классифицировать приходящий трафик по подсетям 10 1 24 10 2 24
- В текущей версии по данный функционал поддерживается только на маршрутизаторе esr 1000
- Для другого трафика настраиваем класс с режимом sfq
- Выходим
- Включаем qos на интерфейсах политику на входе интерфейса gi 1 0 19 для классификации и
- Создаём политику и определяем ограничение общей полосы пропускания
- Осуществляем привязку класса к политике настраиваем ограничение полосы пропускания и
- На выходе gi1 0 20 для применения ограничений и режима sfq для класса по умолчанию
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 81
- Изменения конфигурации вступят в действие после применения
- Для просмотра статистики используется команда
- Настройка зеркалирования
- Настройка netflow
- Настройка sflow
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Задача организовать учет трафика между зонами trusted и untrusted
- Для сетей esr 1000 создадим две зоны безопасности
- Включим сбор экспорта для любого трафика sflow в правиле rule1 для интерзон trusted
- Untrusted
- Sflow стандарт для мониторинга компьютерных сетей беспроводных сетей и сетевых
- Устройств предназначенный для учета и анализа трафика
- Укажем ip адрес коллектора
- Рисунок 7 7 схема сети
- Решение
- Настройка sflow для учета трафика с интерфейса осуществляется аналогично п 24
- Настройка sflow для учета трафика между зонами аналогична настройке netflow описание приведено в разделе 7 4 настройка netflow
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 85
- Изменения конфигурации вступят в действие после применения
- Активируем sflow на маршрутизаторе
- Настройка lacp
- Настройка vrrp
- Помимо создания туннеля необходимо в firewall разрешить протокол vrrp 112
- Настроим vrrp для подсети 192 68 0 24 в созданном саб интерфейсе
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 89
- Изменения конфигурации вступят в действие после применения
- Включим vrrp
- Укажем уникальный идентификатор vrrp
- Укажем идентификатор vrrp группы
- Укажем ip адрес виртуального шлюза 192 68 0 24
- Произвести аналогичные настройки на r2
- Создадим правило интерзон и разрешим любой tcp udp трафик
- Создадим зону безопасности
- Создадим vrf
- Рисунок 7 1 схема сети
- Решение
- Остальных сетей
- Настройка vrf lite
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации
- Информацию принадлежащую различным классам например маршруты одного клиента
- Задача к маршрутизатору esr 1000 подключены 2 сети которые необходимо изолировать от
- Vrf virtual routing and forwarding технология которая позволяет изолировать маршрутную
- Таблицу маршрутов vrf можно просмотреть с помощью команды
- Изменения конфигурации вступят в действие после применения
- Создадим привязку интерфейсов назначим ip адреса укажем принадлежность к зоне
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 91
- Информацию об интерфейсах привязанных к vrf можно посмотреть командой
- Настройка multiwan
- Функция multiwan также может работать в режиме резервирования в котором трафик будет
- Соединения
- Настроим интерфейсы в режиме конфигурирования интерфейса te1 0 1 указываем nexthop
- Направляться в активный интерфейс c наибольшим весом включить данный режим можно следующей командой
- Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 93
- Изменения конфигурации вступят в действие после применения
- Заходим в режим настройки правила wan
- Для переключения в режим резервирования настроим следующее
- В режиме конфигурирования интерфейса te1 0 2 указываем nexthop
- В режиме конфигурирования интерфейса te1 0 2 включаем wan режим и выходим
- В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки
- В режиме конфигурирования интерфейса te1 0 1 включаем wan режим и выходим
Похожие устройства
-
Eltex RG-5440G-WZРуководство по работе с устройством -
Eltex RG-5440G-WACРуководство по настройке
-
Eltex RG-35-WACРуководство по эксплуатации -
Eltex ME5100SСправочник команд CLI -
Eltex ME5100SТехническое описание -
Eltex ME5100SРуководство по настройке -
Eltex ME5100SРуководство по установке и быстрому запуску -
Eltex ME5000MСправочник команд CLI
-
Eltex ME5000MТехническое описание -
Eltex ME5000MРуководство по настройке
-
Eltex ME5000MРуководство по установке и быстрому запуску
-
Eltex ME2001Техническое описание
Узнайте, как настроить удаленный доступ к корпоративной сети с помощью протокола L2TP/IPsec. Подробное руководство по настройке серверов и безопасности.