Eltex ESR-1000 — настройка маршрутизатора: VLAN и управление портами [35/94]

Содержание

• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.2
• Аннотация p.5
• Условные обозначения p.5
• Введение p.5
• Целевая аудитория p.5
• Функции интерфейсов p.6
• Функции p.6
• Описание изделия p.6
• Назначение p.6
• Протокол связующего дерева spanning tree protocol p.7
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 7 p.7
• Функции при работе с mac адресами p.7
• Таблица 2 функции работы с mac адресами таблица mac адресов p.7
• Таблица 2 описание функций второго уровня уровень 2 osi поддержка vlan p.7
• Режим обучения p.7
• В таблице 2 приведены функции устройства при работе с mac адресами p.7
• В таблице 2 приведены функции и особенности второго уровня уровень 2 osi p.7
• Функции второго уровня сетевой модели osi p.7
• Динамическая маршрутизация p.8
• Dynamic host configuration protoco p.8
• Функции третьего уровня сетевой модели osi p.8
• Трансляция сетевых адресов p.8
• Таблица arp p.8
• Таблица 2 описание функций третьего уровня layer 3 p.8
• Статические ip маршруты p.8
• Сервер dhcp p.8
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.8
• Клиент dhcp p.8
• В таблице 2 приведены функции третьего уровня уровень 3 osi p.8
• Nat network address translation p.8
• Syslog p.9
• Функции управления и конфигурирования p.9
• Автоматическое восстановление конфигурации p.9
• Функции туннелирования трафика p.9
• Управление контролируемым доступом уровни привилегий p.9
• Туннелирования p.9
• Таблица 2 функции туннелирования трафика p.9
• Таблица 2 основные функции управления и конфигурирования загрузка и выгрузка файла настройки p.9
• Сетевые утилиты ping traceroute p.9
• Сервер ssh сервер telnet p.9
• Протоколы p.9
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 9 p.9
• Интерфейс командной строки cli p.9
• Аутентификация p.9
• Основные технические параметры маршрутизатора приведены в таблице 2 p.10
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.10
• Зоны безопасности p.10
• В таблице приведены функции сетевой защиты выполняемые устройством p.10
• Функции сетевой защиты p.10
• Фильтрация данных p.10
• Таблица 2 функции сетевой защиты p.10
• Таблица 2 основные технические характеристики p.10
• Основные технические характеристики p.10
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 11 p.11
• Рисунок 2 передняя панель esr 1000 p.12
• Передняя панель устройства esr 1000 p.12
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.12
• Конструктивное исполнение esr 1000 p.12
• Конструктивное исполнение p.12
• Конструктив высота корпуса 1u p.12
• Изображения передней задней и боковых панелей устройства описаны разъемы светодиодные индикаторы и органы управления p.12
• Внешний вид передней панели показан на рисунке 2 p.12
• В таблице 2 приведен перечень разъемов светодиодных индикаторов и органов p.12
• В данном разделе описано конструктивное исполнение устройства представлены p.12
• Устройство выполнено в металлическом корпусе с возможностью установки в 19 p.12
• Управления расположенных на передней панели устройства p.12
• Таблица 2 описание разъемов индикаторов и органов управления передней панели p.12
• Управления расположенных на передней панели устройств esr 100 esr 200 p.14
• Таблица 2 1 описание разъемов индикаторов и органов управления передней панели p.14
• Рисунок 2 передняя панель esr 200 p.14
• Рисунок 2 передняя панель esr 100 p.14
• Передняя панель устройств esr 100 esr 200 p.14
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.14
• Конструктивное исполнение esr 100 esr 200 p.14
• Внешний вид передней панели esr 200 показан на рисунке 2 p.14
• Внешний вид передней панели esr 100 показан на рисунке 2 p.14
• В таблице 2 1 приведен перечень разъемов светодиодных индикаторов и органов p.14
• Световая индикация p.16
• Значений p.17
• В следующей таблице приведено описание состояний системных индикаторов устройства и их p.17
• Таблица 2 5 состояния системных индикаторов p.17
• Таблица 2 4 световая индикация состояния sfp sfp интерфейсов p.17
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 17 p.17
• Таблица 2 7 состояния системных индикаторов p.18
• Таблица 2 6 световая индикация состояния медных интерфейсов и sfp интерфейсов p.18
• Состояние медных интерфейсов gigabitethernet и sfp интерфейсов отображается двумя p.18
• Светодиодными индикаторами link act зеленого цвета и speed янтарного цвета расположение индикаторов медных интерфейсов показано на рисунке 2 0 состояние sfp интерфейсов указано на рисунке 2 2 значения световой индикации описаны в таблице 2 6 p.18
• Световая индикация esr 100 esr 200 p.18
• Рисунок 2 2 расположение индикаторов оптических интерфейсов p.18
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.18
• Значений p.18
• В следующей таблице приведено описание состояний системных индикаторов устройства и их p.18
• Комплект поставки p.19
• Установка и подключение p.20
• Крепление кронштейнов p.20
• Установка устройства в стойку p.21
• Установка модулей питания esr 1000 p.22
• Подключение питающей сети p.22
• Установка и удаление sfp трансиверов p.23
• Интерфейсы управления p.24
• Интерфейс командной строки cli p.24
• Начальная настройка маршрутизатора p.25
• Заводская конфигурация маршрутизатора esr p.25
• Подключение к маршрутизатору p.26
• Подключение и конфигурирование маршрутизатора p.26
• Базовая настройка маршрутизатора p.27
• Для того чтобы убедиться что адрес был назначен интерфейсу введите следующую команду p.29
• Для создания разрешающего правила используются следующие команды p.29
• В заводской конфигурации разрешен удаленный доступ к маршрутизатору по протоколам p.29
• Telnet или ssh из зоны trusted для того чтобы разрешить удаленный доступ к маршрутизатору из других зон например из публичной сети необходимо создать соответствующие правила в firewall p.29
• Source zone source zone зона из которой будет осуществляться удаленный доступ p.29
• Self self зона в которой находится интерфейс управления маршрутизатором p.29
• Провайдер может использовать динамически назначаемые адреса в своей сети для p.29
• Пример настройки предназначенной для получения динамического ip адреса от dhcp сервера на интерфейсе gigabitethernet 1 0 10 p.29
• Пример команд для разрешения пользователям из зоны untrusted с ip адресами 132 6 132 6 0 подключаться к маршрутизатору с ip адресом 40 3 2 по протоколу ssh p.29
• При конфигурировании доступа к маршрутизатору правила создаются для пары зон p.29
• После применения конфигурации p.29
• Получения ip адреса может использоваться протокол dhcp если в сети присутствует сервер dhcp p.29
• Настройка удаленного доступа к маршрутизатору p.29
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 29 p.29
• Следующие команды из корневого раздела командного интерфейса p.30
• Применение базовых настроек p.30
• Параметры интерфейса управления изменились то после ввода команды commit соединение с устройством может быть потеряно используйте новые сетевые параметры заданные в конфигурации для подключения к устройству и ввода команды confirm p.30
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.30
• Конфигурация устройства вернётся в прежнее состояние существовавшее до ввода команды commit p.30
• Если при конфигурировании использовался удаленный доступ к устройству и сетевые p.30
• Если ввести команду confirm не удастся то по истечении таймера подтверждения p.30
• Для применения выполненных изменений конфигурации маршрутизатора требуется ввести p.30
• Обновление программного обеспечения средствами системы p.31
• Обновление программного обеспечения p.31
• Укажите ip адрес маршрутизатора p.33
• Укажите ip адрес tftp сервера p.33
• Следующим образом p.33
• Программное обеспечение маршрутизатора можно обновить из начального загрузчика p.33
• Остановите загрузку устройства после окончания инициализации маршрутизатора p.33
• Обновление программного обеспечения из начального загрузчика p.33
• Можно сохранить окружение командой saveenv для будущих обновлений p.33
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 33 p.33
• Запустите процедуру обновления программного обеспечения p.33
• Запустите загруженное программное обеспечение p.33
• Команду version в cli u boot также версия отображается в процессе загрузки маршрутизатора p.34
• Запустите процедуру обновления программного обеспечения p.34
• Для просмотра текущей версии загрузочного файла работающего на устройстве введите p.34
• Вторичный загрузчик занимается инициализацией nand и маршрутизатора при обновлении p.34
• Укажите ip адрес маршрутизатора p.34
• Укажите ip адрес tftp сервера p.34
• Процедура обновления по p.34
• Перезагрузите маршрутизатор p.34
• Остановите загрузку устройства после окончания инициализации маршрутизатора p.34
• Обновление вторичного загрузчика u boot p.34
• Новый файл вторичного загрузчика сохраняется на flash на месте старого p.34
• Можно сохранить окружение командой saveenv для будущих обновлений p.34
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.34
• Настройка vlan p.35
• Примеры настройки маршрутизатора p.35
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 35 p.35
• Изменения конфигурации вступят в действие после применения p.35
• Задача 2 настроить порт gi1 0 1 для передачи и приема пакетов в vlan 2 vlan 64 vlan p.35
• Задача 1 на основе заводской конфигурации удалить из vlan 2 порт gi1 0 1 p.35
• Vlan virtual local area network логическая виртуальная локальная сеть представляет p.35
• Удалим vlan 2 с порта gi1 0 1 p.35
• Создадим vlan 2 vlan 64 vlan 2000 на esr 1000 p.35
• Собой группу устройств которые взаимодействуют между собой на канальном уровне независимо от их физического местонахождения p.35
• Рисунок 7 схема сети p.35
• Решение p.35
• Предоставления доступа и контроля над ним p.36
• Настройка ааа p.36
• Настроим подключение к radius серверу и укажем ключ password p.36
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.36
• Изменения конфигурации вступят в действие после применения p.36
• Задача настроить аутентификацию пользователей подключающихся по telnet через radius p.36
• Authorization авторизация проверка полномочий проверка уровня доступа authorization авторизация проверка полномочий проверка уровня доступа сопоставление учётной записи в системе и определённых полномочий p.36
• Authentication аутентификация сопоставление персоны запроса существующей authentication аутентификация сопоставление персоны запроса существующей учётной записи в системе безопасности осуществляется по логину паролю p.36
• Accounting учёт слежение за подключением пользователя или внесенным им accounting учёт слежение за подключением пользователя или внесенным им изменениям p.36
• Aaa authentication authorization accounting используется для описания процесса p.36
• 192 68 6 24 p.36
• Укажем режим аутентификации используемый при подключении по telnet протоколу p.36
• Создадим профиль аутентификации p.36
• Решение p.36
• Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 2 p.36
• Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1 p.36
• Просмотреть информацию по настройкам подключения к radius серверу можно командой p.37
• Посмотреть профили аутентификации можно командой p.37
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 37 p.37
• Изменения конфигурации вступят в действие после применения p.37
• Настройка привилегий команд p.38
• Настройка dhcp сервера p.39
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.40
• Конфигурирование настроек для ipv6 производится по аналогии с ipv4 p.40
• Изменения конфигурации вступят в действие после применения p.40
• Для того чтобы dhcp сервер мог раздавать ip адреса из конфигурируемого пула на p.40
• Для разрешения прохождения сообщений протокола dhcp к серверу необходимо создать p.40
• Соответствующие профили портов включающие порт источника 68 и порт назначения 67 используемые протоколом dhcp и создать разрешающее правило в политике безопасности для прохождения пакетов протокола udp p.40
• Разрешим работу сервера p.40
• Просмотреть список арендованных адресов можно с помощью команды p.40
• Просмотреть сконфигурированные пулы адресов можно командами p.40
• Маршрутизаторе должен быть создан ip интерфейс принадлежащий к той же подсети что и адреса пула p.40
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 41 p.41
• Локальной сети в зоне trust адрес сервера в локальной сети 10 00 сервер должен быть доступным извне по адресу 1 доступный порт 80 p.41
• Конфигурирование p.41
• Используемых сетевых интерфейсов к зонам одновременно назначим ip адреса интерфейсам p.41
• Задача организовать доступ из публичной сети относящейся к зоне untrust к серверу p.41
• Адрес в публичной сети на реальный сервер в локальной сети находящийся за сетевым шлюзом эту функцию можно использовать для организации публичного доступа к серверам находящимся в частной сети и не имеющим публичного сетевого адреса p.41
• Srv_http профиль портов srv_http профиль портов p.41
• Server_ip профиль адресов локальной сети server_ip профиль адресов локальной сети p.41
• Net_uplink профиль адресов публичной сети net_uplink профиль адресов публичной сети p.41
• Dnat используется для перенаправления трафика идущего на некоторый виртуальный p.41
• Функция destination nat dnat состоит в преобразовании ip адреса назначения у пакетов p.41
• Destinatio p.41
• Создадим профили ip адресов и портов которые потребуются для настройки правил firewall и p.41
• Создадим зоны безопасности untrust и trust установим принадлежность p.41
• Рисунок 7 схема сети p.41
• Решение p.41
• Проходящих через сетевой шлюз p.41
• Правил dnat p.41
• Создадим набор правил dnat в соответствии с которыми будет производиться трансляция p.42
• Произведенные настройки можно посмотреть с помощью команд p.42
• Пару зон пропускать следует только трафик с адресом назначения соответствующим заданному в профиле server_ip и прошедший преобразование dnat p.42
• Назначения в которые будут транслироваться адреса пакетов поступающие на адрес 1 из внешней сети p.42
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.42
• Изменения конфигурации вступят в действие после применения p.42
• Для пропуска трафика идущего из зоны untrust в trust создадим соответствующую p.42
• Войдем в режим конфигурирования функции dnat и создадим пул адресов и портов p.42
• Адресов в атрибутах набора укажем что правила применяются только для пакетов пришедших из зоны untrust набор правил включает в себя требования соответствия данных по адресу и порту назначения match destination address match destination port и по протоколу кроме этого в наборе задано действие применяемое к данным удовлетворяющим всем правилам action destination nat набор правил вводится в действие командой enable p.42
• Компьютерам находящимся в локальной сети при этом не требуется назначения публичных ip адресов этим компьютерам p.43
• Функция source nat snat используется для подмены адреса источника у пакетов p.43
• Функция snat может быть использована для предоставления доступа в интернет p.43
• Создать профиль адресов локальной сети local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool p.43
• Рисунок 7 схема сети p.43
• Решение p.43
• Проходящих через сетевой шлюз при прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза дополнительно к адресу источника может применяться замена порта источника при прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта p.43
• Определения их принадлежности к зонам безопасности создадим доверенную зону trust для локальной сети и зону untrust для публичной сети p.43
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 43 p.43
• Конфигурирование начнем с создания зон безопасности настройки сетевых интерфейсов и p.43
• Конфигурирование source nat p.43
• Использованием функции source nat задать диапазон адресов публичной сети для использования snat 100 00 100 49 p.43
• Задача 1 настроить доступ пользователей локальной сети 10 24 к публичной сети с p.43
• Для конфигурирования функции snat и настройки правил зон безопасности потребуется p.43
• Для пропуска трафика из зоны trust в зону untrust создадим пару зон и добавим p.44
• Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила p.44
• Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool p.44
• Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды p.44
• Применяются только для пакетов направляющихся в публичную сеть в зону untrust правила включают проверку адреса источника данных на принадлежность к пулу local_net p.44
• Правила разрешающие проходить трафику в этом направлении дополнительно включена проверка адреса источника данных на принадлежность к диапазону адресов local_net для соблюдения ограничения на выход в публичную сеть действие правил разрешается командой enable p.44
• На самом маршрутизаторе также должен быть создан маршрут для направления на p.44
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.44
• Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети p.44
• Используемых для сервиса snat p.44
• Изменения конфигурации вступают в действие по команде применения p.44
• Должна быть настроена маршрутизация адрес 10 должен быть назначен адресом шлюза p.44
• Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них p.44
• Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в p.44
• Задача 2 настроить доступ пользователей локальной сети 21 2 24 к публичной сети с p.45
• Для конфигурирования функции snat потребуется создать профиль адресов локальной сети p.45
• Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила p.45
• Local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool p.45
• Экрана p.45
• Рисунок 7 схема сети p.45
• Решение p.45
• Применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net p.45
• Первым шагом создаётся пул адресов публичной сети используемых для сервиса snat p.45
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 45 p.45
• Конфигурируем сервис snat p.45
• Конфигурирование начнем с настройки сетевых интерфейсов и отключения межсетевого p.45
• Использованием функции source nat без использования межсетевого экрана firewall диапазон адресов публичной сети для использования snat 200 0 00 200 0 49 p.45
• Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды p.46
• На самом маршрутизаторе также должен быть создан маршрут для направления на p.46
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.46
• Изменения конфигурации вступают в действие по команде применения p.46
• Должна быть настроена маршрутизация адрес 21 2 должен быть назначен адресом шлюза p.46
• Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них p.46
• Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в p.46
• Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool p.46
• Фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами p.47
• Рисунок 7 схема сети p.47
• Решение p.47
• Разрешающее проходить icmp трафику от пк1 к пк2 действие правил разрешается командой enable p.47
• Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности p.47
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 47 p.47
• Конфигурирование firewall p.47
• Задача разрешить обмен сообщениями по протоколу icmp между устройствами пк1 пк2 и p.47
• Для пропуска трафика из зоны lan в зону wan создадим пару зон и добавим правило p.47
• Для настройки правил зон безопасности потребуется создать профиль адресов сети lan p.47
• Для каждой сети esr 1000 создадим свою зону безопасности p.47
• Включающий адреса которым разрешен выход в сеть wan и профиль адресов сети wan p.47
• Firewall комплекс аппаратных или программных средств осуществляющий контроль и p.47
• Esr 1000 p.47
• Для пропуска трафика из зоны wan в зону lan создадим пару зон и добавим правило p.48
• Создадим пару зон для трафика идущего из зоны lan в зону self добавим правило p.48
• Разрешающее проходить icmp трафику от пк2 к пк1 действие правил разрешается командой enable p.48
• Разрешающее проходить icmp трафику между пк1 и esr 1000 для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны lan p.48
• Посмотреть членство портов в зонах можно с помощью команды p.48
• Посмотреть пары зон и их конфигурацию можно с помощью команд p.48
• Получателя трафика выступает сам маршрутизатор то есть трафик не является транзитным то в качестве параметра указывается зона self создадим пару зон для трафика идущего из зоны wan в зону self добавим правило разрешающее проходить icmp трафику между пк2 и esr 1000 для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны wan p.48
• На маршрутизаторе всегда существует зона безопасности с именем self если в качестве p.48
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.48
• Изменения конфигурации вступят в действие по следующим командам p.48
• Настройка списков доступа acl p.49
• Настроим список доступа для фильтрации по подсетям p.49
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 49 p.49
• Изменения конфигурации вступят в действие по следующим командам p.49
• Задача разрешить прохождения трафика только из подсети 192 68 0 24 p.49
• В текущей версии по данный функционал поддерживается только на маршрутизаторе esr 1000 p.49
• Access control list или acl список контроля доступа содержит правила определяющие p.49
• Решение p.49
• Прохождение трафика через интерфейс p.49
• Просмотреть детальную информацию о списке доступа возможно через команду p.49
• Применим список доступа на интерфейс gi1 0 19 для входящего трафика p.49
• Решение p.50
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.50
• Конфигурирование статических маршрутов p.50
• Интерфейс r1 будет подключен к устройству r2 для последующей маршрутизации трафика p.50
• Задача настроить доступ к сети internet для пользователей локальной сети 192 68 24 и p.50
• Зададим имя устройства для маршрутизатора r1 p.50
• Для интерфейса gi1 0 3 укажем адрес 128 07 30 и зону wan через данный интерфейс p.50
• Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный p.50
• Для интерфейса gi1 0 1 укажем адрес 192 68 24 и зону lan через данный интерфейс p.50
• R1 будет подключен к сети internet p.50
• R1 будет подключен к сети 192 68 24 p.50
• 8 используя статическую маршрутизацию на устройстве r1 создать шлюз для доступа к сети internet трафик внутри локальной сети должен маршрутизироваться внутри зоны lan трафик из сети internet должен относиться к зоне wan p.50
• Явном виде при конфигурации маршрутизатора без использования протоколов динамической маршрутизации p.50
• Статическая маршрутизация вид маршрутизации при котором маршруты указываются в p.50
• Рисунок 7 схема сети p.50
• Создадим маршрут для взаимодействия с сетью 10 8 используя в качестве шлюза p.51
• Проверить таблицу маршрутов можно командой p.51
• Провайдера 128 07 p.51
• Маршрутизатора r1 192 68 00 p.51
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 51 p.51
• Командам p.51
• Интерфейс r2 будет подключен к устройству r1 для последующей маршрутизации трафика p.51
• Изменения конфигурации на маршрутизаторе r2 вступят в действие по следующим p.51
• Изменения конфигурации на маршрутизаторе r1 вступят в действие по следующим p.51
• Зададим имя устройства для маршрутизатора r2 p.51
• Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный p.51
• Для интерфейса gi1 0 1 укажем адрес 10 8 и зону lan через данный интерфейс r2 p.51
• Будет подключен к сети 10 8 p.51
• Устройство r2 192 68 00 p.51
• Создадим маршрут по умолчанию указав в качестве nexthop ip адрес интерфейса gi1 0 2 p.51
• Создадим маршрут для взаимодействия с сетью internet используя в качестве nexthop шлюз p.51
• Устройство mxe p.52
• Рисунок 7 схема сети p.52
• Решение p.52
• Переключаем интерфейс gigabitethernet 1 0 10 в режим работы е1 p.52
• Настройка mlppp p.52
• Настроим mlppp 3 p.52
• Методы для распространения трафика через несколько физических каналов имея одно логическое соединение этот вариант позволяет расширить пропускную способность и обеспечивает балансировку нагрузки p.52
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.52
• Изменения конфигурации вступят в действие по следующим командам p.52
• Задача задача настроить mlppp соединение с встречной стороной с ip адресом 10 7 24 через p.52
• Включим interface e1 1 0 1 interface e1 1 0 4 в группу агрегации mlppp 3 p.52
• Multilink ppp mlppp предоставляет собой агрегированный канал включающий в себя p.52
• Bridge мост это способ соединения двух сегментов ethernet на канальном уровне без p.53
• Установим принадлежность l2tpv3 туннеля к мосту который связан с локальной сетью p.53
• Создадим зону безопасности trusted p.53
• Создадим vlan 333 p.53
• Создадим bridge 333 привяжем к нему vlan 333 и укажем членство в зоне trusted p.53
• Рисунок 7 схема сети p.53
• Решение p.53
• Настройка l2tpv3 туннеля рассматривается в разделе 7 7 в общем случае идентификаторы моста и туннеля не должны совпадать с vid как в данном примере p.53
• Настройка bridge p.53
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 53 p.53
• Локальной сети и l2tpv3 туннель проходящий по публичной сети для объединения использовать vlan 333 p.53
• Использования протоколов более высокого уровня таких как ip пакеты передаются на основе ethernet адресов а не ip адресов поскольку передача выполняется на канальном уровне уровень 2 модели osi трафик протоколов более высокого уровня прозрачно проходит через мост p.53
• Задача 1 объединить в единый l2 домен интерфейсы маршрутизатора относящиеся к p.53
• Добавим интерфейсы gi1 0 11 gi1 0 12 в vlan 333 p.53
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.54
• Задача 2 настроить маршрутизацию между vlan 50 10 0 24 и vlan 60 10 0 24 p.54
• Vlan 50 должен относиться к зоне lan1 vlan 60 к зоне lan2 разрешить свободную передачу трафика между зонами p.54
• Создадим зоны безопасности lan1 и lan2 p.54
• Создадим vlan 50 60 p.54
• Создадим bridge 60 привяжем vlan 60 укажем ip адрес 10 0 24 и членство в зоне p.54
• Создадим bridge 50 привяжем vlan 50 укажем ip адрес 10 0 24 и членство в зоне p.54
• Рисунок 7 0 схема сети p.54
• Решение p.54
• Назначим интерфейсу gi1 0 14 vlan 60 p.54
• Назначим интерфейсам gi1 0 11 gi1 0 12 vlan 50 p.54
• Создадим правила в firewall разрешающие свободное прохождение трафика между зонами p.55
• Посмотреть членство интерфейсов в мосте можно командой p.55
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 55 p.55
• Изменения конфигурации вступят в действие по следующим командам p.55
• Настройка rip p.56
• Помимо настройки протокола rip необходимо в firewall разрешить udp порт 520 p.57
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 57 p.57
• Для того чтобы просмотреть таблицу маршрутов rip воспользуемся командой p.57
• Настройка ospf p.58
• Рисунок 7 4 схема сети p.59
• Рисунок 7 3 схема сети p.59
• Решение p.59
• Протокола rip p.59
• Приведенной на рисунке 7 3 p.59
• Предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме p.59
• На тупиковом маршрутизаторе r3 включим анонсирование маршрутной информации из p.59
• Маршрутизатор должен анонсировать маршруты полученные по протоколу rip p.59
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 59 p.59
• Конфигурирования области выполним команду p.59
• Изменим тип области на тупиковый на каждом маршрутизаторе из области 1 в режиме p.59
• Изменения конфигурации вступят в действие после применения p.59
• Изменения конфигурации вступают в действие по команде применения p.59
• Задача 3 объединить две магистральные области в одну с помощью virtual link p.59
• Задача 2 изменить тип области 1 область должна быть тупиковой тупиковый p.59
• Так как ospf считает виртуальный канал частью области в таблице маршрутизации r1 p.60
• Таблицу маршрутов протокола ospf можно просмотреть командой p.60
• Создадим virtual link с идентификатором 0 и включим его p.60
• Решение p.60
• Рассмотрим таблицу маршрутизации на маршрутизаторе r3 p.60
• Рассмотрим таблицу маршрутизации на маршрутизаторе r1 p.60
• Приведенной на рисунке 7 4 p.60
• Предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме p.60
• На маршрутизаторе r3 перейдем в режим конфигурирования области 1 p.60
• На маршрутизаторе r1 перейдем в режим конфигурирования области 1 p.60
• Маршруты полученные от r3 отмечены как внутризоновые и наоборот p.60
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.60
• Изменения конфигурации вступят в действие после применения p.60
• Для просмотра соседей можно воспользоваться следующей командой p.60
• В firewall необходимо разрешить протокол ospf 89 p.60
• Части зону или присоединить зону к магистральной через другую зону настраивается между двумя пограничными маршрутизаторами зоны area border router abr p.60
• Virtual link это специальное соединение которое позволяет соединять разорванную на p.60
• Настройка bgp p.61
• Таблицу маршрутов протокола bgp можно просмотреть с помощью команды p.62
• Создадим соседства с 185 219 с указанием автономных систем p.62
• Объявим подсети подключённые напрямую p.62
• Необходимо в firewall разрешить tcp порт 179 p.62
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.62
• Информацию о bgp пирах можно посмотреть командой p.62
• Изменения конфигурации вступят в действие после применения p.62
• Включим работу протокола p.62
• Настройка route map p.63
• Предварительно настроить bgp c as 2500 на esr 1000 решение p.64
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.64
• Изменения конфигурации вступят в действие после применения p.64
• Если community содержит 2500 25 то назначаем ему med 240 и origin egp p.64
• В bgp процессе as 2500 заходим в настройки параметров соседа p.64
• Создаем правило p.64
• Создаем политику p.64
• Привязываем политику к анонсируемой маршрутной информации p.64
• Настройка gre туннелей p.65
• При создании туннеля необходимо в firewall разрешить протокол gre 47 p.66
• После применения настроек трафик будет инкапсулироваться в туннель и отправляться p.66
• Партеру независимо от наличия gre туннеля и правильности настроек с его стороны p.66
• Опционально для gre туннеля можно указать следующие параметры p.66
• Настройка туннеля ipv4 over ipv4 производится аналогичным образом p.66
• На маршрутизаторе должен быть создан маршрут до локальной сети партнера в качестве p.66
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.66
• Конфигурацию туннеля можно посмотреть командой p.66
• Интерфейса назначения указываем ранее созданный туннель gre p.66
• Для применения изменений конфигурации выполним следующие команды p.66
• Включить проверку наличия и корректности контрольной суммы gre для входящего трафика p.66
• Включить вычисление и включение в пакет контрольной суммы заголовка gre и включить вычисление и включение в пакет контрольной суммы заголовка gre и инкапсулированного пакета для исходящего трафика p.66
• Указать уникальный идентификатор p.66
• Указать значение dscp mtu ttl p.66
• Счетчики входящих и отправленных пакетов можно посмотреть командой p.66
• Состояние туннеля можно посмотреть командой p.66
• Настройка l2tpv3 туннелей p.67
• Сеть с тегом vlan id 333 p.68
• После применения настроек трафик будет инкапсулироваться в туннель и отправляться p.68
• Помимо создания туннеля необходимо в firewall разрешить входящий трафик по протоколу udp с портом отправителя 520 и портом назначения 519 p.68
• Партнеру независимо от наличия l2tpv3 туннеля и правильности настроек с его стороны p.68
• Настройки туннеля в удаленном офисе должны быть зеркальными локальным в качестве p.68
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.68
• Локальной сетью настройка моста рассматривается в пункте 7 0 p.68
• Локального шлюза должен использоваться ip адрес 183 0 в качестве удаленного шлюза должен использоваться ip адрес 21 номер порта инкапсулирующего протокола на локальной стороне должен быть 520 на стороне партнера 519 идентификатор туннеля на локальной стороне должен быть равным 3 на стороне партнера 2 идентификатор сессии внутри туннеля должен быть равным 200 на стороне партнера 100 также туннель должен принадлежать мосту который необходимо соединить с сетью партнера p.68
• Конфигурацию туннеля можно посмотреть командой p.68
• Для применения изменений конфигурации выполним следующие команды p.68
• Установим принадлежность саб интерфейса к мосту который должен быть связан с p.68
• Установим принадлежность l2tpv3 туннеля к мосту который должен быть связан с сетью p.68
• Включим ранее созданный туннель и выйдем p.68
• Укажем идентификаторы сессии внутри туннеля для локальной и удаленной сторон p.68
• Удаленного офиса настройка моста рассматривается в пункте 7 0 p.68
• Счетчики входящих и отправленных пакетов можно посмотреть командой p.68
• Состояние туннеля можно посмотреть командой p.68
• Создадим саб интерфейс для коммутации трафика поступающего из туннеля в локальную p.68
• Локального и удаленного шлюза указываются ip адреса интерфейсов граничащих с wan p.69
• Конфигурирование r1 p.69
• Задача настроить ipsec туннель между r1 и r2 p.69
• Для настройки правил зон безопасности потребуется создать профиль порта протокола isakmp p.69
• R2 ip адрес 180 00 r2 ip адрес 180 00 p.69
• R1 ip адрес 120 1 r1 ip адрес 120 1 p.69
• Ipsec это набор протоколов которые обеспечивают защиту передаваемых с помощью ip p.69
• Ipsec ipsec алгоритм шифрования blowfish 128 bit алгоритм аутентификации md5 p.69
• Ike ike группа диффи хэллмана 2 алгоритм шифрования aes 128 bit алгоритм аутентификации md5 p.69
• Создадим туннель vti трафик будет перенаправляться через vti в ipsec туннель в качестве p.69
• Рисунок 7 9 схема сети p.69
• Решение p.69
• Протокола данных данный набор протоколов позволяет осуществлять подтверждение подлинности аутентификацию проверку целостности и шифрование ip пакетов а также включает в себя протоколы для защищённого обмена ключами в сети интернет p.69
• Настройка route based ipsec vpn p.69
• Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности p.69
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 69 p.69
• Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм p.70
• Создадим политику протокола ike в политике указывается список профилей протокола ike p.70
• Создадим политику для ipsec туннеля в политике указывается список профилей ipsec p.70
• Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим p.70
• Протокола и режим перенаправления трафика в туннель p.70
• По которым могут согласовываться узлы и ключ аутентификации p.70
• Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable p.70
• Находится за ipsec туннелем нужно указать маршрут через vti туннель p.70
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.70
• Шифрования blowfish 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля p.70
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения p.70
• Туннеля по которым могут согласовываться узлы p.70
• Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия p.70
• Создадим статический маршрут до удаленной lan сети для каждой подсети которая p.70
• Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм p.70
• Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм p.71
• Создадим политику протокола ike в политике указывается список профилей протокола ike по p.71
• Протокола и режим перенаправления трафика в туннель p.71
• Находится за ipsec туннелем нужно указать маршрут через vti туннель p.71
• Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности p.71
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 71 p.71
• Локального и удаленного шлюза указываются ip адреса интерфейсов граничащих с wan p.71
• Которым могут согласовываться узлы и ключ аутентификации p.71
• Конфигурирование r2 p.71
• Для настройки правил зон безопасности потребуется создать профиль порта протокола isakmp p.71
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения p.71
• Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия p.71
• Создадим туннель vti трафик будет перенаправляться через vti в ipsec туннель в качестве p.71
• Создадим статический маршрут до удаленной lan сети для каждой подсети которая p.71
• Шифрования blowfish 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля p.72
• Туннеля по которым могут согласовываться узлы p.72
• Состояние туннеля можно посмотреть командой p.72
• Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм p.72
• Создадим политику для ipsec туннеля в политике указывается список профилей ipsec p.72
• Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим p.72
• Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable p.72
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.72
• Конфигурацию туннеля можно посмотреть командой p.72
• В firewall необходимо разрешить протокол esp и isakmp udp порт 500 p.72
• Протоколу p.73
• Настройка удаленного доступа к корпоративной сети по pptp p.73
• Укажем зону безопасности к которой будут относиться сессии пользователей p.74
• Счетчики сессий pptp сервера можно посмотреть командой p.74
• Состояние сессий pptp сервера можно посмотреть командой p.74
• Создадим профиль адресов содержащий dns серверы p.74
• Создадим pptp сервер и привяжем вышеуказанные профили p.74
• Создадим pptp пользователей ivan и fedor для pptp сервера p.74
• После применения конфигурации маршрутизатор будет прослушивать 120 1 1723 p.74
• Помимо создания pptp сервера необходимо в firewall открыть tcp порт 1723 для обслуживания соединений и разрешить протокол gre 47 для туннельного трафика p.74
• Очистить счетчики сессий pptp сервера можно командой p.74
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.74
• Конфигурацию pptp сервера можно посмотреть командой p.74
• Завершить сессию пользователя fedor pptp сервера можно одной из следующих команд p.74
• Выберем метод аутентификации пользователей pptp сервера p.74
• Включим pptp сервер p.74
• Протоколу p.75
• Настройка удаленного доступа к корпоративной сети по l2tp ipsec p.75
• Укажем зону безопасности к которой будут относиться сессии пользователей p.76
• Счетчики сессий l2tp сервера можно посмотреть командой p.76
• Создадим профиль адресов содержащий dns сервера p.76
• Создадим l2tp сервер и привяжем к нему вышеуказанные профили p.76
• Создадим l2tp пользователей ivan и fedor p.76
• После применения конфигурации маршрутизатор будет прослушивать ip адрес 120 1 и p.76
• Порт 1701 состояние сессий l2tp сервера можно посмотреть командой p.76
• Очистить счетчики сессий l2tp сервера можно командой p.76
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.76
• Выберем метод аутентификации пользователей l2tp сервера p.76
• Выберем метод аутентификации первой фазы ike и зададим ключ аутентификации p.76
• Включим l2tp сервер p.76
• Настройка dual homing p.78
• Включим qos на входящем интерфейсе со стороны lan p.79
• Базовый qos p.79
• Установим ограничение по скорости в 60мбит с для седьмой очереди p.79
• Qos quality of service технология предоставления различным классам трафика различных p.79
• Трафик с dscp 22 в восьмую приоритетную очередь трафик с dscp 14 в седьмую взвешенную очередь установить ограничение по скорости в 60 мбит с для седьмой очереди p.79
• Рисунок 7 3 схема сети p.79
• Решение p.79
• Приоритетов в обслуживании использование службы qos позволяет сетевым приложениям сосуществовать в одной сети не уменьшая при этом пропускную способность других приложений p.79
• Перенаправим трафик с dscp 22 в восьмую приоритетную очередь p.79
• Перенаправим трафик с dscp 14 в седьмую взвешенную очередь p.79
• Ограничим количество приоритетных очередей до 1 p.79
• Настройка qos p.79
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 79 p.79
• Изменения конфигурации вступят в действие после применения p.79
• Задача настроить следующие ограничения на интерфейсе gigabitethernet 1 0 8 передавать p.79
• Для того чтобы восьмая очередь стала приоритетной а с первой по седьмую взвешенной p.79
• Включим qos на интерфейсе со стороны wan p.79
• Задача классифицировать приходящий трафик по подсетям 10 1 24 10 2 24 p.80
• В текущей версии по данный функционал поддерживается только на маршрутизаторе esr 1000 p.80
• Создаем классы fl1 и fl2 указываем соответствующие списки доступа настраиваем p.80
• Рисунок 7 4 схема сети p.80
• Решение p.80
• Расширенный qos p.80
• Просмотреть статистику по qos можно командой p.80
• Произвести маркировку по dscp 38 и 42 и произвести разграничение по подсетям 40 мбит с и 60 мбит с ограничить общую полосу до 250 мбит с остальной трафик обрабатывать через механизм sfq p.80
• Настроим списки доступа для фильтрации по подсетям выходим в глобальный режим p.80
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.80
• Маркировку p.80
• Конфигурации p.80
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 81 p.81
• Изменения конфигурации вступят в действие после применения p.81
• Для просмотра статистики используется команда p.81
• Для другого трафика настраиваем класс с режимом sfq p.81
• Выходим p.81
• Включаем qos на интерфейсах политику на входе интерфейса gi 1 0 19 для классификации и p.81
• Создаём политику и определяем ограничение общей полосы пропускания p.81
• Осуществляем привязку класса к политике настраиваем ограничение полосы пропускания и p.81
• На выходе gi1 0 20 для применения ограничений и режима sfq для класса по умолчанию p.81
• Настройка зеркалирования p.82
• Настройка netflow p.83
• Укажем ip адрес коллектора p.84
• Рисунок 7 7 схема сети p.84
• Решение p.84
• Настройка sflow p.84
• Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности p.84
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.84
• Задача организовать учет трафика между зонами trusted и untrusted p.84
• Для сетей esr 1000 создадим две зоны безопасности p.84
• Включим сбор экспорта для любого трафика sflow в правиле rule1 для интерзон trusted p.84
• Untrusted p.84
• Sflow стандарт для мониторинга компьютерных сетей беспроводных сетей и сетевых p.84
• Устройств предназначенный для учета и анализа трафика p.84
• Настройка sflow для учета трафика с интерфейса осуществляется аналогично п 24 p.85
• Настройка sflow для учета трафика между зонами аналогична настройке netflow описание приведено в разделе 7 4 настройка netflow p.85
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 85 p.85
• Изменения конфигурации вступят в действие после применения p.85
• Активируем sflow на маршрутизаторе p.85
• Настройка lacp p.86
• Настройка vrrp p.87
• Укажем идентификатор vrrp группы p.89
• Укажем ip адрес виртуального шлюза 192 68 0 24 p.89
• Произвести аналогичные настройки на r2 p.89
• Помимо создания туннеля необходимо в firewall разрешить протокол vrrp 112 p.89
• Настроим vrrp для подсети 192 68 0 24 в созданном саб интерфейсе p.89
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 89 p.89
• Изменения конфигурации вступят в действие после применения p.89
• Включим vrrp p.89
• Укажем уникальный идентификатор vrrp p.89
• Создадим vrf p.90
• Vrf virtual routing and forwarding технология которая позволяет изолировать маршрутную p.90
• Создадим правило интерзон и разрешим любой tcp udp трафик p.90
• Создадим зону безопасности p.90
• Рисунок 7 1 схема сети p.90
• Решение p.90
• Остальных сетей p.90
• Настройка vrf lite p.90
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации p.90
• Информацию принадлежащую различным классам например маршруты одного клиента p.90
• Задача к маршрутизатору esr 1000 подключены 2 сети которые необходимо изолировать от p.90
• Создадим привязку интерфейсов назначим ip адреса укажем принадлежность к зоне p.91
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 91 p.91
• Информацию об интерфейсах привязанных к vrf можно посмотреть командой p.91
• Изменения конфигурации вступят в действие после применения p.91
• Таблицу маршрутов vrf можно просмотреть с помощью команды p.91
• Настройка multiwan p.92
• Функция multiwan также может работать в режиме резервирования в котором трафик будет p.93
• Соединения p.93
• Настроим интерфейсы в режиме конфигурирования интерфейса te1 0 1 указываем nexthop p.93
• Направляться в активный интерфейс c наибольшим весом включить данный режим можно следующей командой p.93
• Маршрутизатор esr 100 esr 200 esr 1000 руководство по эксплуатации 93 p.93
• Изменения конфигурации вступят в действие после применения p.93
• Заходим в режим настройки правила wan p.93
• Для переключения в режим резервирования настроим следующее p.93
• В режиме конфигурирования интерфейса te1 0 2 указываем nexthop p.93
• В режиме конфигурирования интерфейса te1 0 2 включаем wan режим и выходим p.93
• В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки p.93
• В режиме конфигурирования интерфейса te1 0 1 включаем wan режим и выходим p.93