![Eltex ESR-1200 [11/125] Сервер ssh](/img/pdf.png)
Eltex ESR-1200 [11/125] Сервер ssh
![Eltex ESR-1200 [11/125] Сервер ssh](/views2/1262091/page11/bgb.png)
Маршрутизаторы серии ESR, Руководство по эксплуатации 11
2.2.5 Функции туннелирования трафика
Таблица 2.5 – Функции туннелирования трафика.
Протоколы
туннелирования
Туннелирование – это способ преобразования пакетов данных при передаче
их по сети, при котором происходит замена, модификация или добавление
нового сетевого заголовка пакета. Такой способ может быть использован для
согласования транспортных протоколов при прохождении данных через
транзитную сеть, для создания защищенных соединений, при которых
туннелированные данные подвергаются шифрованию.
Маршрутизаторы поддерживают следующие виды туннелей:
GRE - инкапсуляция IP-пакета в другой IP-пакет c добавлением GRE
(General Routing Encapsulation) заголовка;
IPv4-IPv4 – туннель, использующий инкапсуляцию исходных IP-пакетов в
IP-пакеты с другими сетевыми параметрами;
L2TPv3 – туннель для передачи L2-трафика с помощью IP-пакетов;
IPsec – туннель с шифрованием передаваемых данных;
L2TP, PPTP – туннели, использующиеся для организации удаленного
доступа клиент-сервер.
2.2.6 Функции управления и конфигурирования
Таблица 2.6 – Основные функции управления и конфигурирования
Загрузка и выгрузка
файла настройки
Параметры устройства сохраняются в файле настройки, который содержит
данные конфигурации как всей системы в целом, так и определенного порта
устройства. Для передачи файлов могут использоваться протоколы TFTP, FTP,
SCP.
Интерфейс
командной строки
(CLI)
Управление посредством CLI осуществляется локально через
последовательный порт RS-232 либо удаленно через Telnet, SSH. Интерфейс
командной строки консоли (CLI) является промышленным стандартом.
Интерпретатор CLI предоставляет список команд и ключевых слов для
помощи пользователю и сокращению объема вводимых данных.
Syslog
Протокол Syslog обеспечивает передачу информационных сообщений о
происходящих в системе событиях и ведение журнала событий.
Сетевые утилиты
ping,traceroute
Утилиты ping и traceroute – предназначены для проверки доступности
сетевых устройств и для определения маршрутов передачи данных в IP-сетях.
Управление
контролируемым
доступом – уровни
привилегий
Маршрутизаторы поддерживают управление уровнем доступа пользователей
к системе. Уровни доступа позволяют управлять зонами ответственности
администраторов устройств. Уровни доступа нумеруются от 1 до 15, уровень
15 соответствует полному доступу к управлению устройством.
Аутентификация
Аутентификация – это процедура проверки подлинности пользователя.
Маршрутизаторы поддерживают следующие методы аутентификации:
локальная – для аутентификации используется локальная база данных
пользователей, хранящаяся на самом устройстве;
групповая – база данных пользователей хранится на сервере
аутентификации. Для взаимодействия с сервером используются
протоколы RADIUS и TACACS.
Сервер SSH
Функции сервера SSH и Telnet позволяют установить соединение с
Содержание
- Маршрутизаторы серии esr руководство по эксплуатации 2
- Маршрутизаторы серии esr руководство по эксплуатации 3 3
- Аннотация 6
- Введение 6
- Целевая аудитория 6
- Условные обозначения 7
- Назначение 8
- Описание изделия 8
- Функции 8
- Функции интерфейсов 8
- В таблице 2 приведены функции и особенности второго уровня уровень 2 osi 9
- В таблице 2 приведены функции устройства при работе с mac адресами 9
- Маршрутизаторы серии esr руководство по эксплуатации 9 9
- Поддержка vlan 9
- Протокол связующего дерева spanning tree protocol 9
- Режим обучения 9
- Таблица 2 описание функций второго уровня уровень 2 osi 9
- Таблица 2 функции работы с mac адресами 9
- Таблица mac адресов 9
- Функции второго уровня сетевой модели osi 9
- Функции при работе с mac адресами 9
- Dynamic host configuration protoco 10
- В таблице 2 приведены функции третьего уровня уровень 3 osi 10
- Динамическая маршрутизация 10
- Клиент dhcp 10
- Маршрутизаторы серии esr руководство по эксплуатации 10
- Сервер dhcp 10
- Статические ip маршруты 10
- Таблица 2 описание функций третьего уровня layer 3 10
- Таблица arp 10
- Трансляция сетевых адресов nat network address translation 10
- Функции третьего уровня сетевой модели osi 10
- Syslog 11
- Аутентификация 11
- Загрузка и выгрузка файла настройки 11
- Интерфейс командной строки cli 11
- Маршрутизаторы серии esr руководство по эксплуатации 11 11
- Протоколы туннелирования 11
- Сервер ssh 11
- Сетевые утилиты ping traceroute 11
- Таблица 2 основные функции управления и конфигурирования 11
- Таблица 2 функции туннелирования трафика 11
- Управление контролируемым доступом уровни привилегий 11
- Функции туннелирования трафика 11
- Функции управления и конфигурирования 11
- Автоматическое восстановление конфигурации 12
- В таблице приведены функции сетевой защиты выполняемые устройством 12
- Зоны безопасности 12
- Маршрутизаторы серии esr руководство по эксплуатации 12
- Основные технические параметры маршрутизатора приведены в таблице 2 12
- Основные технические характеристики 12
- Сервер telnet 12
- Таблица 2 основные технические характеристики 12
- Таблица 2 функции сетевой защиты 12
- Фильтрация данных 12
- Функции сетевой защиты 12
- Маршрутизаторы серии esr руководство по эксплуатации 13 13
- Маршрутизаторы серии esr руководство по эксплуатации 14
- В данном разделе описано конструктивное исполнение устройства представлены 15
- В таблице 2 приведен перечень разъемов светодиодных индикаторов и органов 15
- Внешний вид передней панели показан на рисунке 2 15
- Изображения передней задней и боковых панелей устройства описаны разъемы светодиодные индикаторы и органы управления 15
- Конструктив высота корпуса 1u 15
- Конструктивное исполнение 15
- Конструктивное исполнение esr 1000 esr 1200 15
- Маршрутизаторы серии esr руководство по эксплуатации 15 15
- Передняя панель устройства esr 1200 15
- Рисунок 2 передняя панель esr 1200 15
- Таблица 2 описание разъемов индикаторов и органов управления передней панели esr 1200 15
- Управления расположенных на передней панели устройства esr 1200 15
- Устройство выполнено в металлическом корпусе с возможностью установки в 19 15
- В таблице 2 0 приведен перечень разъемов светодиодных индикаторов и органов 16
- Внешний вид передней панели показан на рисунке 2 16
- Маршрутизаторы серии esr руководство по эксплуатации 16
- Передняя панель устройства esr 1000 16
- Рисунок 2 передняя панель esr 1000 16
- Таблица 2 0 описание разъемов индикаторов и органов управления передней панели esr 1000 16
- Управления расположенных на передней панели устройства esr 1000 16
- В таблице 2 2 приведен перечень разъемов светодиодных индикаторов и органов 18
- Внешний вид передней панели esr 100 показан на рисунке 2 18
- Внешний вид передней панели esr 200 показан на рисунке 2 18
- Конструктивное исполнение esr 100 esr 200 18
- Маршрутизаторы серии esr руководство по эксплуатации 18
- Передняя панель устройств esr 100 esr 200 18
- Привести к перегреву компонентов устройства и вызвать нарушения в его работе рекомендации по установке устройства расположены в разделе установка и подключение 18
- Рисунок 2 передняя панель esr 100 18
- Рисунок 2 передняя панель esr 200 18
- Таблица 2 2 описание разъемов индикаторов и органов управления передней панели 18
- Управления расположенных на передней панели устройств esr 100 esr 200 18
- Световая индикация 20
- В следующей таблице приведено описание состояний системных индикаторов устройства и их 21
- Значений 21
- Маршрутизаторы серии esr руководство по эксплуатации 21 21
- Таблица 2 5 световая индикация состояния sfp sfp интерфейсов 21
- Таблица 2 6 состояния системных индикаторов 21
- В следующей таблице приведено описание состояний системных индикаторов устройства и их 22
- Значений 22
- Маршрутизаторы серии esr руководство по эксплуатации 22
- Рисунок 2 3 расположение индикаторов оптических интерфейсов 22
- Световая индикация esr 100 esr 200 22
- Светодиодными индикаторами link act зеленого цвета и speed янтарного цвета расположение индикаторов медных интерфейсов показано на рисунке 2 1 состояние sfp интерфейсов указано на рисунке 2 3 значения световой индикации описаны в таблице 2 7 22
- Состояние медных интерфейсов gigabitethernet и sfp интерфейсов отображается двумя 22
- Таблица 2 7 световая индикация состояния медных интерфейсов и sfp интерфейсов 22
- Комплект поставки 23
- Крепление кронштейнов 25
- Установка и подключение 25
- Установка устройства в стойку 26
- Подключение питающей сети 27
- Установка модулей питания esr 1000 esr 1200 27
- Установка и удаление sfp трансиверов 28
- Интерфейс командной строки cli 30
- Интерфейсы управления 30
- Заводская конфигурация маршрутизатора esr 31
- Начальная настройка маршрутизатора 31
- Подключение и конфигурирование маршрутизатора 32
- Базовая настройка маршрутизатора 33
- Подключение к маршрутизатору 33
- Gigabitethernet 1 0 2 50 для доступа к маршрутизатору через vlan 150 35
- Ip адрес 192 68 6 44 35
- Ip адрес шлюза по умолчанию 192 68 6 35
- Для назначения имени устройства используются следующие команды 35
- Для настройки сетевого интерфейса маршрутизатора в публичной сети необходимо назначить 35
- Для того чтобы убедиться что адрес был назначен интерфейсу после применения 35
- Конфигурации введите следующую команду 35
- Маршрутизаторы серии esr руководство по эксплуатации 35 35
- Маска подсети 255 55 55 35
- Назначение имени устройства 35
- Настройка параметров публичной сети 35
- Параметры интерфейса 35
- Получения ip адреса может использоваться протокол dhcp если в сети присутствует сервер dhcp 35
- После применения конфигурации приглашение командной строки изменится на значение 35
- Пример команд настройки статического ip адреса для субинтерфейса 35
- Провайдер может использовать динамически назначаемые адреса в своей сети для 35
- Устройству параметры определённые провайдером сети ip адрес маска подсети и адрес шлюза по умолчанию 35
- 6 132 6 0 подключаться к маршрутизатору с ip адресом 40 3 2 по протоколу ssh 36
- Self зона в которой находится интерфейс управления маршрутизатором 36
- Source zone зона из которой будет осуществляться удаленный доступ 36
- Telnet или ssh из зоны trusted для того чтобы разрешить удаленный доступ к маршрутизатору из других зон например из публичной сети необходимо создать соответствующие правила в firewall 36
- В заводской конфигурации разрешен удаленный доступ к маршрутизатору по протоколам 36
- Для создания разрешающего правила используются следующие команды 36
- Для того чтобы убедиться что адрес был назначен интерфейсу введите следующую 36
- Команду после применения конфигурации 36
- Маршрутизаторы серии esr руководство по эксплуатации 36
- Настройка удаленного доступа к маршрутизатору 36
- При конфигурировании доступа к маршрутизатору правила создаются для пары зон 36
- Пример команд для разрешения пользователям из зоны untrusted с ip адресами 36
- Пример настройки предназначенной для получения динамического ip адреса от dhcp 36
- Сервера на интерфейсе gigabitethernet 1 0 10 36
- Для применения выполненных изменений конфигурации маршрутизатора требуется ввести 37
- Если ввести команду confirm не удастся то по истечении таймера подтверждения 37
- Если при конфигурировании использовался удаленный доступ к устройству и сетевые 37
- Конфигурация устройства вернётся в прежнее состояние существовавшее до ввода команды commit 37
- Маршрутизаторы серии esr руководство по эксплуатации 37 37
- Параметры интерфейса управления изменились то после ввода команды commit соединение с устройством может быть потеряно используйте новые сетевые параметры заданные в конфигурации для подключения к устройству и ввода команды confirm 37
- Применение базовых настроек 37
- Следующие команды из корневого раздела командного интерфейса 37
- Обновление программного обеспечения 38
- Обновление программного обеспечения средствами системы 38
- Загрузчика 40
- Запустите процедуру обновления программного обеспечения 40
- Маршрутизаторы серии esr руководство по эксплуатации 40
- Можно сохранить окружение командой saveenv для будущих обновлений 40
- Обновление программного обеспечения из начального 40
- Остановите загрузку устройства после окончания инициализации маршрутизатора 40
- Программное обеспечение маршрутизатора можно обновить из начального загрузчика 40
- Следующим образом 40
- Укажите ip адрес tftp сервера 40
- Укажите ip адрес маршрутизатора 40
- Вторичный загрузчик занимается инициализацией nand и маршрутизатора при обновлении 41
- Для просмотра текущей версии загрузочного файла работающего на устройстве введите 41
- Запустите загруженное программное обеспечение 41
- Запустите процедуру обновления программного обеспечения 41
- Команду version в cli u boot также версия отображается в процессе загрузки маршрутизатора 41
- Маршрутизаторы серии esr руководство по эксплуатации 41 41
- Можно сохранить окружение командой saveenv для будущих обновлений 41
- Новый файл вторичного загрузчика сохраняется на flash на месте старого 41
- Обновление вторичного загрузчика u boot 41
- Остановите загрузку устройства после окончания инициализации маршрутизатора 41
- Процедура обновления по 41
- Укажите ip адрес tftp сервера 41
- Укажите ip адрес маршрутизатора 41
- Маршрутизаторы серии esr руководство по эксплуатации 42
- Перезагрузите маршрутизатор 42
- Настройка vlan 43
- Примеры настройки маршрутизатора 43
- В режиме trunk настроить порт gi1 0 2 в режиме access для vlan 2 на esr 100 esr 200 44
- Задача 3 настроить порты gi1 0 1 для передачи и приема пакетов в vlan 2 vlan 64 vlan 44
- Изменения конфигурации вступят в действие после применения 44
- Маршрутизаторы серии esr руководство по эксплуатации 44
- Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1 44
- Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1 2 44
- Пропишем vlan 2 на порт gi1 0 2 44
- Решение 44
- Рисунок 7 схема сети 44
- Создадим vlan 2 vlan 64 vlan 2000 на esr 100 esr 200 44
- Создадим vlan 2 vlan 64 vlan 2000 на esr 1000 44
- Q in q технология передачи пакетов с двумя 802 q тэгами данная технология используется 45
- Включим поддержку протокола 802 ad на физическом интерфейсе 45
- Для расширения количества используемых vlan в сети передачи данных внутренним тэгом innertag называется 802 q заголовок ближе к payload так же внутренний тэг называют c vlan custimer vlan внешний тэг outertag это 802 q заголовок добавленный к изначальному 802 q пакетом так же называется s vlan service vlan использование двойных меток в ethernet фрэймах описывается протоколом 802 ad 45
- Задача настроить терминацию подсети 192 68 24 комбинации c vlan 741 s vlan 828 на 45
- Изменения конфигурации вступят в действие после применения 45
- Маршрутизаторы серии esr руководство по эксплуатации 45 45
- Настройка терминации q in q 45
- Помимо назначения ip адреса на q in q саб интерфейсе необходимо либо отключить firewall либо настроить соответствующую зону безопасности 45
- Решение 45
- Создадим q in q саб интерфейс для s vlan 741 45
- Создадим саб интерфейс для s vlan 828 45
- Физическом интерфейсе gigabitethernet 1 0 1 45
- 192 68 6 24 46
- Aaa authentication authorization accounting используется для описания процесса 46
- Accounting учёт слежение за подключением пользователя или внесенным им 46
- Authentication аутентификация сопоставление персоны запроса существующей учётной 46
- Authorization авторизация проверка полномочий проверка уровня доступа 46
- Задача настроить аутентификацию пользователей подключающихся по telnet через radius 46
- Записи в системе безопасности осуществляется по логину паролю 46
- Изменения конфигурации вступят в действие после применения 46
- Изменениям 46
- Маршрутизаторы серии esr руководство по эксплуатации 46
- Настроим подключение к radius серверу и укажем ключ password 46
- Настройка ааа 46
- Посмотреть профили аутентификации можно командой 46
- Предоставления доступа и контроля над ним 46
- Просмотреть информацию по настройкам подключения к radius серверу можно командой 46
- Решение 46
- Создадим профиль аутентификации 46
- Сопоставление учётной записи в системе и определённых полномочий 46
- Укажем режим аутентификации используемый при подключении по telnet протоколу 46
- Настройка привилегий команд 47
- Настройка dhcp сервера 48
- Для разрешения прохождения сообщений протокола dhcp к серверу необходимо создать 49
- Для того чтобы dhcp сервер мог раздавать ip адреса из конфигурируемого пула на 49
- Изменения конфигурации вступят в действие после применения 49
- Маршрутизаторе должен быть создан ip интерфейс принадлежащий к той же подсети что и адреса пула 49
- Маршрутизаторы серии esr руководство по эксплуатации 49 49
- Просмотреть сконфигурированные пулы адресов можно командами 49
- Просмотреть список арендованных адресов можно с помощью команды 49
- Разрешим работу сервера 49
- Соответствующие профили портов включающие порт источника 68 и порт назначения 67 используемые протоколом dhcp и создать разрешающее правило в политике безопасности для прохождения пакетов протокола udp 49
- Destinatio 50
- Dnat используется для перенаправления трафика идущего на некоторый виртуальный 50
- Адрес в публичной сети на реальный сервер в локальной сети находящийся за сетевым шлюзом эту функцию можно использовать для организации публичного доступа к серверам находящимся в частной сети и не имеющим публичного сетевого адреса 50
- Задача организовать доступ из публичной сети относящейся к зоне untrust к серверу 50
- Используемых сетевых интерфейсов к зонам одновременно назначим ip адреса интерфейсам 50
- Конфигурирование 50
- Конфигурирование настроек для ipv6 производится по аналогии с ipv4 50
- Локальной сети в зоне trust адрес сервера в локальной сети 10 00 сервер должен быть доступным извне по адресу 1 доступный порт 80 50
- Маршрутизаторы серии esr руководство по эксплуатации 50
- Правил dnat 50
- Проходящих через сетевой шлюз 50
- Решение 50
- Рисунок 7 схема сети 50
- Создадим зоны безопасности untrust и trust установим принадлежность 50
- Создадим профили ip адресов и портов которые потребуются для настройки правил firewall и 50
- Функция destination nat dnat состоит в преобразовании ip адреса назначения у пакетов 50
- Net_uplink профиль адресов публичной сети 51
- Server_ip профиль адресов локальной сети 51
- Srv_http профиль портов 51
- Адресов в атрибутах набора укажем что правила применяются только для пакетов пришедших из зоны untrust набор правил включает в себя требования соответствия данных по адресу и порту назначения match destination address match destination port и по протоколу кроме этого в наборе задано действие применяемое к данным удовлетворяющим всем правилам action destination nat набор правил вводится в действие командой enable 51
- Войдем в режим конфигурирования функции dnat и создадим пул адресов и портов 51
- Для пропуска трафика идущего из зоны untrust в trust создадим соответствующую 51
- Маршрутизаторы серии esr руководство по эксплуатации 51 51
- Назначения в которые будут транслироваться адреса пакетов поступающие на адрес 1 из внешней сети 51
- Пару зон пропускать следует только трафик с адресом назначения соответствующим заданному в профиле server_ip и прошедший преобразование dnat 51
- Создадим набор правил dnat в соответствии с которыми будет производиться трансляция 51
- Задача 1 настроить доступ пользователей локальной сети 10 24 к публичной сети с 52
- Изменения конфигурации вступят в действие после применения 52
- Использованием функции source nat задать диапазон адресов публичной сети для использования snat 100 00 100 49 52
- Компьютерам находящимся в локальной сети при этом не требуется назначения публичных ip адресов этим компьютерам 52
- Конфигурирование source nat 52
- Маршрутизаторы серии esr руководство по эксплуатации 52
- Произведенные настройки можно посмотреть с помощью команд 52
- Проходящих через сетевой шлюз при прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза дополнительно к адресу источника может применяться замена порта источника при прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта 52
- Рисунок 7 схема сети 52
- Функция snat может быть использована для предоставления доступа в интернет 52
- Функция source nat snat используется для подмены адреса источника у пакетов 52
- Для конфигурирования функции snat и настройки правил зон безопасности потребуется 53
- Для пропуска трафика из зоны trust в зону untrust создадим пару зон и добавим 53
- Используемых для сервиса snat 53
- Конфигурирование начнем с создания зон безопасности настройки сетевых интерфейсов и 53
- Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети 53
- Маршрутизаторы серии esr руководство по эксплуатации 53 53
- Определения их принадлежности к зонам безопасности создадим доверенную зону trust для локальной сети и зону untrust для публичной сети 53
- Правила разрешающие проходить трафику в этом направлении дополнительно включена проверка адреса источника данных на принадлежность к диапазону адресов local_net для соблюдения ограничения на выход в публичную сеть действие правил разрешается командой enable 53
- Решение 53
- Создать профиль адресов локальной сети local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool 53
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила 54
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в 54
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них 54
- Должна быть настроена маршрутизация адрес 10 должен быть назначен адресом шлюза 54
- Задача 2 настроить доступ пользователей локальной сети 21 2 24 к публичной сети с 54
- Изменения конфигурации вступают в действие по команде применения 54
- Использованием функции source nat без использования межсетевого экрана firewall диапазон адресов публичной сети для использования snat 200 0 00 200 0 49 54
- Маршрутизаторы серии esr руководство по эксплуатации 54
- На самом маршрутизаторе также должен быть создан маршрут для направления на 54
- Применяются только для пакетов направляющихся в публичную сеть в зону untrust правила включают проверку адреса источника данных на принадлежность к пулу local_net 54
- Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды 54
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool 54
- Рисунок 7 схема сети 54
- Local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool 55
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила 55
- Для конфигурирования функции snat потребуется создать профиль адресов локальной сети 55
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в 55
- Конфигурирование начнем с настройки сетевых интерфейсов и отключения межсетевого 55
- Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети используемых для сервиса snat 55
- Маршрутизаторы серии esr руководство по эксплуатации 55 55
- Применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net 55
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool 55
- Решение 55
- Экрана 55
- Firewall комплекс аппаратных или программных средств осуществляющий контроль и 56
- Для каждой сети esr создадим свою зону безопасности 56
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них 56
- Должна быть настроена маршрутизация адрес 21 2 должен быть назначен адресом шлюза 56
- Задача разрешить обмен сообщениями по протоколу icmp между устройствами пк1 пк2 и b 56
- Изменения конфигурации вступают в действие по команде применения 56
- Конфигурирование firewall 56
- Маршрутизатором esr 56
- Маршрутизаторы серии esr руководство по эксплуатации 56
- На самом маршрутизаторе также должен быть создан маршрут для направления на 56
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 56
- Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды 56
- Решение 56
- Рисунок 7 схема сети 56
- Фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами 56
- Включающий адреса которым разрешен выход в сеть wan и профиль адресов сети wan 57
- Для настройки правил зон безопасности потребуется создать профиль адресов сети lan 57
- Для пропуска трафика из зоны lan в зону wan создадим пару зон и добавим правило 57
- Для пропуска трафика из зоны wan в зону lan создадим пару зон и добавим правило 57
- Маршрутизаторы серии esr руководство по эксплуатации 57 57
- На маршрутизаторе всегда существует зона безопасности с именем self если в качестве 57
- Получателя трафика выступает сам маршрутизатор то есть трафик не является транзитным то в качестве параметра указывается зона self создадим пару зон для трафика идущего из зоны wan в зону self добавим правило разрешающее проходить icmp трафику между пк2 и маршрутизатором esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны wan 57
- Разрешающее проходить icmp трафику от пк1 к пк2 действие правил разрешается командой enable 57
- Разрешающее проходить icmp трафику от пк2 к пк1 действие правил разрешается командой enable 57
- Access control list или acl список контроля доступа содержит правила определяющие 58
- Задача разрешить прохождения трафика только из подсети 192 68 0 24 58
- Изменения конфигурации вступят в действие по следующим командам 58
- Маршрутизаторы серии esr руководство по эксплуатации 58
- Настроим список доступа для фильтрации по подсетям 58
- Настройка списков доступа acl 58
- Посмотреть активные сессии можно с помощью команд 58
- Посмотреть пары зон и их конфигурацию можно с помощью команд 58
- Посмотреть членство портов в зонах можно с помощью команды 58
- Прохождение трафика через интерфейс 58
- Разрешающее проходить icmp трафику между пк1 и esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны lan 58
- Решение 58
- Создадим пару зон для трафика идущего из зоны lan в зону self добавим правило 58
- 8 используя статическую маршрутизацию на устройстве r1 создать шлюз для доступа к сети internet трафик внутри локальной сети должен маршрутизироваться внутри зоны lan трафик из сети internet должен относиться к зоне wan 59
- Задача настроить доступ к сети internet для пользователей локальной сети 192 68 24 и 59
- Изменения конфигурации вступят в действие по следующим командам 59
- Конфигурирование статических маршрутов 59
- Маршрутизаторы серии esr руководство по эксплуатации 59 59
- Применим список доступа на интерфейс gi1 0 19 для входящего трафика 59
- Просмотреть детальную информацию о списке доступа возможно через команду 59
- Рисунок 7 схема сети 59
- Статическая маршрутизация вид маршрутизации при котором маршруты указываются в 59
- Явном виде при конфигурации маршрутизатора без использования протоколов динамической маршрутизации 59
- R1 будет подключен к сети 192 68 24 60
- R1 будет подключен к сети internet 60
- Для интерфейса gi1 0 1 укажем адрес 192 68 24 и зону lan через данный интерфейс 60
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный 60
- Для интерфейса gi1 0 3 укажем адрес 128 07 30 и зону wan через данный интерфейс 60
- Зададим имя устройства для маршрутизатора r1 60
- Зададим имя устройства для маршрутизатора r2 60
- Изменения конфигурации на маршрутизаторе r1 вступят в действие по следующим 60
- Интерфейс r1 будет подключен к устройству r2 для последующей маршрутизации трафика 60
- Командам 60
- Маршрутизаторы серии esr руководство по эксплуатации 60
- Провайдера 128 07 60
- Решение 60
- Создадим маршрут для взаимодействия с сетью 10 8 используя в качестве шлюза 60
- Создадим маршрут для взаимодействия с сетью internet используя в качестве nexthop шлюз 60
- Устройство r2 192 68 00 60
- Multilink ppp mlppp предоставляет собой агрегированный канал включающий в себя 61
- Будет подключен к сети 10 8 61
- Для интерфейса gi1 0 1 укажем адрес 10 8 и зону lan через данный интерфейс r2 61
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный 61
- Изменения конфигурации на маршрутизаторе r2 вступят в действие по следующим 61
- Интерфейс r2 будет подключен к устройству r1 для последующей маршрутизации трафика 61
- Командам 61
- Маршрутизатора r1 192 68 00 61
- Маршрутизаторы серии esr руководство по эксплуатации 61 61
- Методы для распространения трафика через несколько физических каналов имея одно логическое соединение этот вариант позволяет расширить пропускную способность и обеспечивает балансировку нагрузки 61
- Настройка mlppp 61
- Проверить таблицу маршрутов можно командой 61
- Рисунок 7 схема сети 61
- Создадим маршрут по умолчанию указав в качестве nexthop ip адрес интерфейса gi1 0 2 61
- Bridge мост это способ соединения двух сегментов ethernet на канальном уровне без 62
- Включим interface e1 1 0 1 interface e1 1 0 4 в группу агрегации mlppp 3 62
- Задача 1 объединить в единый l2 домен интерфейсы маршрутизатора относящиеся к 62
- Задача настроить mlppp соединение с встречной стороной с ip адресом 10 7 24 через 62
- Изменения конфигурации вступят в действие по следующим командам 62
- Использования протоколов более высокого уровня таких как ip пакеты передаются на основе ethernet адресов а не ip адресов поскольку передача выполняется на канальном уровне уровень 2 модели osi трафик протоколов более высокого уровня прозрачно проходит через мост 62
- Локальной сети и l2tpv3 туннель проходящий по публичной сети для объединения использовать vlan 333 62
- Маршрутизаторы серии esr руководство по эксплуатации 62
- Настроим mlppp 3 62
- Настройка bridge 62
- Переключаем интерфейс gigabitethernet 1 0 10 в режим работы е1 62
- Решение 62
- Устройство mxe 62
- Vlan 50 должен относиться к зоне lan1 vlan 60 к зоне lan2 разрешить свободную передачу трафика между зонами 63
- Добавим интерфейсы gi1 0 11 gi1 0 12 в vlan 333 63
- Задача 2 настроить маршрутизацию между vlan 50 10 0 24 и vlan 60 10 0 24 63
- Маршрутизаторы серии esr руководство по эксплуатации 63 63
- Настройка l2tpv3 туннеля рассматривается в разделе 7 8 в общем случае идентификаторы моста и туннеля не должны совпадать с vid как в данном примере 63
- Решение 63
- Рисунок 7 0 схема сети 63
- Создадим bridge 333 привяжем к нему vlan 333 и укажем членство в зоне trusted 63
- Создадим vlan 333 63
- Создадим зону безопасности trusted 63
- Установим принадлежность l2tpv3 туннеля к мосту который связан с локальной сетью 63
- Маршрутизаторы серии esr руководство по эксплуатации 64
- Назначим интерфейсам gi1 0 11 gi1 0 12 vlan 50 64
- Назначим интерфейсу gi1 0 14 vlan 60 64
- Решение 64
- Рисунок 7 1 схема сети 64
- Создадим bridge 50 привяжем vlan 50 укажем ip адрес 10 0 24 и членство в зоне 64
- Создадим bridge 60 привяжем vlan 60 укажем ip адрес 10 0 24 и членство в зоне 64
- Создадим vlan 50 60 64
- Создадим зоны безопасности lan1 и lan2 64
- Изменения конфигурации вступят в действие по следующим командам 65
- Маршрутизаторы серии esr руководство по эксплуатации 65 65
- Посмотреть членство интерфейсов в мосте можно командой 65
- Создадим правила в firewall разрешающие свободное прохождение трафика между зонами 65
- Настройка rip 66
- Настройка ospf 67
- Включим ospf процесс 68
- Включим анонсирование маршрутной информации из протокола rip 68
- Задача 2 изменить тип области 1 область должна быть тупиковой тупиковый 68
- Изменения конфигурации вступят в действие после применения 68
- Маршрутизатор должен анонсировать маршруты полученные по протоколу rip 68
- Маршрутизаторы серии esr руководство по эксплуатации 68
- Протокола ospf 68
- Рисунок 7 4 схема сети 68
- Создадим ospf процесс с идентификатором 10 и перейдём в режим конфигурирования 68
- Создадим и включим требуемую область 68
- Соседние маршрутизаторы подключены к интерфейсам gi1 0 5 и gi1 0 15 для установления 68
- Соседства с другими маршрутизаторами привяжем их к ospf процессу и области далее включим на интерфейсе маршрутизацию по протоколу ospf 68
- В firewall необходимо разрешить протокол ospf 89 70
- Для просмотра соседей можно воспользоваться следующей командой 70
- Изменения конфигурации вступят в действие после применения 70
- Маршрутизаторы серии esr руководство по эксплуатации 70
- Маршруты полученные от r3 отмечены как внутризоновые и наоборот 70
- Рассмотрим таблицу маршрутизации на маршрутизаторе r1 70
- Рассмотрим таблицу маршрутизации на маршрутизаторе r3 70
- Создадим virtual link с идентификатором 0 и включим его 70
- Таблицу маршрутов протокола ospf можно просмотреть командой 70
- Так как ospf считает виртуальный канал частью области в таблице маршрутизации r1 70
- Автономными системами далее ас то есть группами маршрутизаторов под единым техническим управлением использующими протокол внутридоменной маршрутизации для определения маршрутов внутри себя и протокол междоменной маршрутизации для определения маршрутов доставки пакетов в другие ас передаваемая информация включает в себя список ас к которым имеется доступ через данную систему выбор наилучших маршрутов осуществляется исходя из правил принятых в сети 71
- Анонсирование подсетей подключенных напрямую 71
- Второе соседство подсеть 185 30 собственный ip адрес 185 ip адрес соседа 185 as 20 71
- Задача настроить bgp протокол на маршрутизаторе со следующими параметрами 71
- Маршрутизаторы серии esr руководство по эксплуатации 71 71
- Настройка bgp 71
- Первое соседство подсеть 219 30 собственный ip адрес 219 ip адрес соседа 219 as 2500 71
- Протокол bgp предназначен для обмена информацией о достижимости подсетей между 71
- Решение 71
- Рисунок 7 6 схема сети 71
- Сконфигурируем необходимые сетевые параметры 71
- Собственная as 2500 71
- Собственные подсети 80 6 24 80 6 6 24 71
- Включим работу протокола 72
- Входим в режим конфигурирования маршрутной информации для ipv4 72
- Изменения конфигурации вступят в действие после применения 72
- Информацию о bgp пирах можно посмотреть командой 72
- Маршрутизаторы серии esr руководство по эксплуатации 72
- Необходимо в firewall разрешить tcp порт 179 72
- Объявим подсети подключённые напрямую 72
- Процесса 72
- Создадим bgp процесс для as 2500 и войдем в режим конфигурирования параметров 72
- Создадим соседства с 185 219 с указанием автономных систем и включим их 72
- Таблицу маршрутов протокола bgp можно просмотреть с помощью команды 72
- Настройка route map для bgp 73
- Настройка политики маршрутизации pbr 73
- Med равный 240 и указать источник маршрутной информации egp 74
- В bgp процессе as 2500 заходим в настройки параметров соседа 74
- Если community содержит 2500 25 то назначаем ему med 240 и origin egp 74
- Задача 2 для всей передаваемой маршрутной информации с community 2500 25 назначить 74
- Изменения конфигурации вступят в действие после применения 74
- Маршрутизаторы серии esr руководство по эксплуатации 74
- Предварительно настроить bgp c as 2500 на esr 74
- Привязываем политику к анонсируемой маршрутной информации 74
- Привязываем политику к принимаемой маршрутной информации 74
- Решение 74
- Создаем политику 74
- Создаем правило 74
- Route map на основе списков доступа policy based routing 75
- Адресов 10 0 24 через isp2 80 6 3 требуется контролировать доступность адресов провайдеров работоспособность подключений к isp и при неработоспособности одного из подключений переводить с него на рабочее подключение весь трафик 75
- Задача 1 распределить трафик между интернет провайдерами на основе подсетей 75
- Маршрутизаторы серии esr руководство по эксплуатации 75 75
- Назначить ip адреса на интерфейсы 75
- Пользователей 75
- Предварительно нужно выполнить следующие действия 75
- Решение 75
- Рисунок 7 8 схема сети 75
- Создаем acl 75
- Создаем политику 75
- Требуется направлять трафик с адресов 10 0 24 через isp1 184 5 50 а трафик с 75
- 5 50 а при его недоступности на адрес 80 6 3 приоритетность шлюзов задается значениями метрик 10 и 30 76
- А при его недоступности на адрес 184 5 50 приоритетность задается значениями метрик 76
- Заходим на интерфейс te 1 0 1 76
- Маршрутизаторы серии esr руководство по эксплуатации 76
- Правилом 1 будет обеспечена маршрутизация трафика с сети 10 0 24 на адрес 76
- Правилом 2 будет обеспечена маршрутизация трафика с сети 10 0 24 на адрес 80 6 3 76
- Привязываем политику на соответствующий интерфейс 76
- Создаем правило 1 76
- Создаем правило 2 76
- Указываем nexthop для sub20 76
- Указываем nexthop для sub30 и выходим 76
- Указываем список доступа acl в качестве фильтра 76
- Настройка gre туннелей 77
- Включить вычисление и включение в пакет контрольной суммы заголовка gre и инкапсулированного пакета для исходящего трафика 78
- Включить проверку наличия и корректности контрольной суммы gre для входящего трафика 78
- Для применения изменений конфигурации выполним следующие команды 78
- Интерфейса назначения указываем ранее созданный туннель gre 78
- Конфигурацию туннеля можно посмотреть командой 78
- Маршрутизаторы серии esr руководство по эксплуатации 78
- На маршрутизаторе должен быть создан маршрут до локальной сети партнера в качестве 78
- Опционально для gre туннеля можно указать следующие параметры 78
- Партеру независимо от наличия gre туннеля и правильности настроек с его стороны 78
- После применения настроек трафик будет инкапсулироваться в туннель и отправляться 78
- Состояние туннеля можно посмотреть командой 78
- Счетчики входящих и отправленных пакетов можно посмотреть командой 78
- Указать значение dscp mtu ttl 78
- Указать уникальный идентификатор 78
- Настройка l2tpv3 туннелей 79
- Включим ранее созданный туннель и выйдем 80
- Для применения изменений конфигурации выполним следующие команды 80
- Локального шлюза должен использоваться ip адрес 183 0 в качестве удаленного шлюза 80
- Локальной сетью настройка моста рассматривается в пункте 7 1 80
- Маршрутизаторы серии esr руководство по эксплуатации 80
- Настройки туннеля в удаленном офисе должны быть зеркальными локальным в качестве 80
- Партнеру независимо от наличия l2tpv3 туннеля и правильности настроек с его стороны 80
- После применения настроек трафик будет инкапсулироваться в туннель и отправляться 80
- Сеть с тегом vlan id 333 80
- Создадим саб интерфейс для коммутации трафика поступающего из туннеля в локальную 80
- Удаленного офиса настройка моста рассматривается в пункте 7 1 80
- Укажем идентификаторы сессии внутри туннеля для локальной и удаленной сторон 80
- Укажем идентификаторы туннеля для локальной и удаленной сторон 80
- Укажем локальный и удаленный шлюз ip адреса интерфейсов граничащих с wan 80
- Укажем тип инкапсулирующего протокола и номера udp портов 80
- Установим принадлежность l2tpv3 туннеля к мосту который должен быть связан с сетью 80
- Установим принадлежность саб интерфейса к мосту который должен быть связан с 80
- Настройка ipsec vpn 82
- Настройка route based ipsec vpn 82
- Isakmp 83
- Для настройки правил зон безопасности потребуется создать профиль порта протокола 83
- Маршрутизаторы серии esr руководство по эксплуатации 83 83
- Находится за ipsec туннелем нужно указать маршрут через vti туннель 83
- По которым могут согласовываться узлы и ключ аутентификации 83
- Протокола и режим перенаправления трафика в туннель 83
- Создадим политику протокола ike в политике указывается список профилей протокола ike 83
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 83
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм 83
- Создадим статический маршрут до удаленной lan сети для каждой подсети которая 83
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия 83
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения 83
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 83
- Для настройки правил зон безопасности потребуется создать профиль порта протокола isakmp 84
- Конфигурирование r2 84
- Локального и удаленного шлюза указываются ip адреса интерфейсов граничащих с wan 84
- Маршрутизаторы серии esr руководство по эксплуатации 84
- Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности 84
- Находится за ipsec туннелем нужно указать маршрут через vti туннель 84
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 84
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 84
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec 84
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм 84
- Создадим статический маршрут до удаленной lan сети для каждой подсети которая 84
- Создадим туннель vti трафик будет перенаправляться через vti в ipsec туннель в качестве 84
- Туннеля по которым могут согласовываться узлы 84
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения 84
- Которым могут согласовываться узлы и ключ аутентификации 85
- Маршрутизаторы серии esr руководство по эксплуатации 85 85
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 85
- Протокола и режим перенаправления трафика в туннель 85
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 85
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec 85
- Создадим политику протокола ike в политике указывается список профилей протокола ike по 85
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 85
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия 85
- Состояние туннеля можно посмотреть командой 85
- Туннеля по которым могут согласовываться узлы 85
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 85
- Isakmp 86
- В firewall необходимо разрешить протокол esp и isakmp udp порт 500 86
- Для настройки правил зон безопасности потребуется создать профиль порта протокола 86
- Конфигурацию туннеля можно посмотреть командой 86
- Конфигурирование r1 86
- Которым могут согласовываться узлы и ключ аутентификации 86
- Маршрутизаторы серии esr руководство по эксплуатации 86
- Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности 86
- Настройка policy based ipsec vpn 86
- Протокола и режим перенаправления трафика в туннель 86
- Решение 86
- Создадим политику протокола ike в политике указывается список профилей протокола ike по 86
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм 86
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия 86
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения 86
- Isakmp 87
- Для настройки правил зон безопасности потребуется создать профиль порта протокола 87
- Конфигурирование r2 87
- Маршрутизаторы серии esr руководство по эксплуатации 87 87
- Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности 87
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 87
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 87
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec 87
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 87
- Туннеля по которым могут согласовываться узлы 87
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 87
- Которым могут согласовываться узлы и ключ аутентификации 88
- Маршрутизаторы серии esr руководство по эксплуатации 88
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 88
- Протокола и режим перенаправления трафика в туннель 88
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 88
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec 88
- Создадим политику протокола ike в политике указывается список профилей протокола ike по 88
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 88
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм 88
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия 88
- Туннеля по которым могут согласовываться узлы 88
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения 88
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 88
- Lt англ logical tunnel логический туннель тип туннелей предназначенный для передачи 89
- В firewall необходимо разрешить протокол esp и isakmp udp порт 500 89
- Задача организовать взаимодействие между хостами терминированными в двух vrf vrf_1 и 89
- Использоваться для организации взаимодействия между двумя или более vrf с применением ограничений firewall 89
- Исходная конфигурация 89
- Конфигурацию туннеля можно посмотреть командой 89
- Маршрутизаторы серии esr руководство по эксплуатации 89 89
- Маршрутной информации и трафика между различными виртуальными маршрутизаторами vrf lite сконфигурированными на одном аппаратном маршрутизаторе lt туннель может 89
- Настройка lt туннелей 89
- Решение 89
- Создадим lt туннели для каждого vrf с указанием ip адресов из одной подсети 89
- Состояние туннеля можно посмотреть командой 89
- Активируем их 90
- Если в vrf не работает ни один из протоколов динамической маршрутизации то необходимо указать статические маршруты для каждого vrf 90
- Маршрутизаторы серии esr руководство по эксплуатации 90
- Укажем для каждого lt туннеля lt туннель из vrf с которым необходимо установить связь и 90
- Настройка удаленного доступа к корпоративной сети по pptp 91
- Протоколу 91
- Включим pptp сервер 92
- Выберем метод аутентификации пользователей pptp сервера 92
- Маршрутизаторы серии esr руководство по эксплуатации 92
- Очистить счетчики сессий pptp сервера можно командой 92
- После применения конфигурации маршрутизатор будет прослушивать 120 1 1723 92
- Создадим pptp пользователей ivan и fedor для pptp сервера 92
- Создадим pptp сервер и привяжем вышеуказанные профили 92
- Создадим профиль адресов содержащий dns серверы 92
- Создадим профиль адресов содержащий адреса клиентов 92
- Состояние сессий pptp сервера можно посмотреть командой 92
- Счетчики сессий pptp сервера можно посмотреть командой 92
- Укажем зону безопасности к которой будут относиться сессии пользователей 92
- Over ipsec протоколу 93
- Настройка удаленного доступа к корпоративной сети по l2tp 93
- Включим l2tp сервер 94
- Выберем метод аутентификации первой фазы ike и зададим ключ аутентификации 94
- Выберем метод аутентификации пользователей l2tp сервера 94
- Маршрутизаторы серии esr руководство по эксплуатации 94
- Настроить зоны для интерфейсов te1 0 1 и gi1 0 1 94
- Настроить подключение к radius серверу 94
- Очистить счетчики сессий l2tp сервера можно командой 94
- Порт 1701 состояние сессий l2tp сервера можно посмотреть командой 94
- После применения конфигурации маршрутизатор будет прослушивать ip адрес 120 1 и 94
- Создадим l2tp сервер и привяжем к нему вышеуказанные профили 94
- Создадим профиль адресов содержащий dns серверы 94
- Создадим профиль адресов содержащий адрес локального шлюза 94
- Счетчики сессий l2tp сервера можно посмотреть командой 94
- Укажем зону безопасности к которой будут относиться сессии пользователей 94
- Указать ip адреса для интерфейсов te1 0 1 и te1 0 1 94
- Настройка удаленного доступа к корпоративной сети по openvpn 95
- Протоколу 95
- O ключ диффи хелмена и hmac для tls 96
- O ключ и сертификат для openvpn сервера 96
- Openvpn сервером 96
- Включим openvpn сервер 96
- Выберем алгоритм шифрования aes128 96
- Импортируем по tftp сертификаты и ключи 96
- Маршрутизаторы серии esr руководство по эксплуатации 96
- Настроить зону для интерфейса te1 0 1 96
- Объявим подсети лвс которые будут доступны через openvpn соединение и укажем dns 96
- Сервер 96
- Создадим openvpn сервер и подсеть в которой он будет работать 96
- Укажем зону безопасности к которой будут относиться сессии пользователей 96
- Укажем ранее импортированные сертификаты и ключи которые будет использоваться 96
- Укажем тип соединения l3 и протокол инкапсуляции 96
- Указать ip адреса для интерфейса te1 0 1 96
- Настройка dual homing 97
- Базовый qos 98
- Настройка qos 98
- Включим qos на входящем интерфейсе со стороны lan 99
- Включим qos на интерфейсе со стороны wan 99
- Для того чтобы восьмая очередь стала приоритетной а с первой по седьмую взвешенной 99
- Изменения конфигурации вступят в действие после применения 99
- Маршрутизаторы серии esr руководство по эксплуатации 99 99
- Ограничим количество приоритетных очередей до 1 99
- Перенаправим трафик с dscp 14 в седьмую взвешенную очередь 99
- Перенаправим трафик с dscp 22 в восьмую приоритетную очередь 99
- Просмотреть статистику по qos можно командой 99
- Решение 99
- Рисунок 7 6 схема сети 99
- Установим ограничение по скорости в 60мбит с для седьмой очереди 99
- Задача классифицировать приходящий трафик по подсетям 10 1 24 10 2 24 100
- Конфигурации 100
- Маркировку 100
- Маршрутизаторы серии esr руководство по эксплуатации 100
- Настроим списки доступа для фильтрации по подсетям выходим в глобальный режим 100
- Произвести маркировку по dscp 38 и 42 и произвести разграничение по подсетям 40 мбит с и 60 мбит с ограничить общую полосу до 250 мбит с остальной трафик обрабатывать через механизм sfq 100
- Расширенный qos 100
- Решение 100
- Рисунок 7 7 схема сети 100
- Создаем классы fl1 и fl2 указываем соответствующие списки доступа настраиваем 100
- Включаем qos на интерфейсах политику на входе интерфейса gi 1 0 19 для классификации и 101
- Выходим 101
- Для другого трафика настраиваем класс с режимом sfq 101
- Для просмотра статистики используется команда 101
- Изменения конфигурации вступят в действие после применения 101
- Маршрутизаторы серии esr руководство по эксплуатации 101 101
- На выходе gi1 0 20 для применения ограничений и режима sfq для класса по умолчанию 101
- Осуществляем привязку класса к политике настраиваем ограничение полосы пропускания и 101
- Создаём политику и определяем ограничение общей полосы пропускания 101
- Настройка зеркалирования 102
- Настройка netflow 103
- Sflow стандарт для мониторинга компьютерных сетей беспроводных сетей и сетевых 104
- Для просмотра статистики netflow используется команда 104
- Для сетей esr создадим две зоны безопасности 104
- Задача организовать учет трафика между зонами trusted и untrusted 104
- Изменения конфигурации вступят в действие после применения 104
- Маршрутизаторы серии esr руководство по эксплуатации 104
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 104
- Настройка netflow для учета трафика между зонами аналогична настройке sflow описание приведено в разделе 7 8 настройка sflow 104
- Настройка sflow 104
- Решение 104
- Рисунок 7 0 схема сети 104
- Устройств предназначенный для учета и анализа трафика 104
- Lacp протокол для агрегирования каналов позволяет объединить несколько 105
- Активируем sflow на маршрутизаторе 105
- Включим экспорт статистики по протоколу sflow для любого трафика в правиле rule1 для 105
- Задача настроить агрегированный канал между маршрутизатором esr и коммутатором 105
- Изменения конфигурации вступят в действие после применения 105
- Маршрутизаторы серии esr руководство по эксплуатации 105 105
- Направления trusted untrusted 105
- Настройка lacp 105
- Настройка sflow для учета трафика с интерфейса осуществляется аналогично 7 105
- Укажем ip адрес коллектора 105
- Физических каналов в один логический такое объединение позволяет увеличивать пропускную способность и надежность канала 105
- Настройка vrrp 106
- Включим vrrp 109
- Изменения конфигурации вступят в действие после применения 109
- Маршрутизаторы серии esr руководство по эксплуатации 109 109
- Настроим vrrp для подсети 192 68 0 24 в созданном саб интерфейсе 109
- Помимо создания туннеля необходимо в firewall разрешить протокол vrrp 112 109
- Произвести аналогичные настройки на r2 109
- Укажем ip адрес виртуального шлюза 192 68 0 109
- Укажем идентификатор vrrp группы 109
- Укажем уникальный идентификатор vrrp 109
- Настройка vrrp tracking 110
- Будет работать в случае удовлетворения условия из tracking 1 111
- Маршрутизатор r2 111
- Маршрутизаторы серии esr руководство по эксплуатации 111 111
- На маршрутизаторе r2 никаких изменений не требуется так как подсеть 10 24 на маршрутизаторе r2 никаких изменений не требуется так как подсеть 10 24 111
- Решение 111
- Создадим статический маршрут в подсеть 10 24 через 192 68 который 111
- Терминируется на нем и в момент когда r1 выступает в роли vrrp master пакеты будут переданы в соответствующий интерфейс на маршрутизаторе необходимо создать маршрут для пакетов с ip адресом назначения из сети 10 24 в момент когда r1 выступает в роли vrrp master для этого создадим tracking ogject с соответствующим условием 111
- Vrf virtual routing and forwarding технология которая позволяет изолировать маршрутную 112
- Задача к маршрутизатору серии esr подключены 2 сети которые необходимо изолировать 112
- Информацию принадлежащую различным классам например маршруты одного клиента 112
- Маршрутизаторы серии esr руководство по эксплуатации 112
- Настройка vrf lite 112
- От остальных сетей 112
- Решение 112
- Рисунок 7 5 схема сети 112
- Создадим vrf 112
- Создадим зону безопасности 112
- Создадим правило для пары зон и разрешим любой tcp udp трафик 112
- Задача настроить маршрут к серверу 108 6 28 с возможностью балансировки нагрузки 113
- Изменения конфигурации вступят в действие после применения 113
- Информацию об интерфейсах привязанных к vrf можно посмотреть командой 113
- Маршрутизаторы серии esr руководство по эксплуатации 113 113
- Настройка multiwan 113
- Резервированием линков от нескольких провайдеров а также решает проблему балансировки трафика между резервными линками 113
- Рисунок 7 6 схема сети 113
- Создадим привязку интерфейсов назначим ip адреса укажем принадлежность к зоне 113
- Таблицу маршрутов vrf можно просмотреть с помощью команды 113
- Технология multiwan позволяет организовать отказоустойчивое соединение с 113
- В режиме конфигурирования интерфейса te1 0 1 включаем wan режим и выходим 114
- В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки 114
- Включим созданное правило балансировки и выйдем из режима конфигурирования правила 114
- Зададим адрес для проверки включим проверку указанного адреса и выйдем 114
- Маршрутизаторы серии esr руководство по эксплуатации 114
- Настроим интерфейсы в режиме конфигурирования интерфейса te1 0 1 указываем nexthop 114
- Настроим маршрутизацию 114
- Настроить зоны для интерфейсов te1 0 1 и te1 0 2 114
- Основной этап конфигурирования 114
- Предварительно нужно выполнить следующие действия 114
- Решение 114
- Соединения 114
- Создадим правило wan 114
- Создадим список для проверки целостности соединения 114
- Создадим цель проверки целостности 114
- Укажем участвующие интерфейсы 114
- Указать ip адреса для интерфейсов te1 0 1 и te1 0 2 114
- Snmp англ simple network management protocol простой протокол сетевого управления 115
- В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки 115
- В режиме конфигурирования интерфейса te1 0 2 включаем wan режим и выходим 115
- В режиме конфигурирования интерфейса te1 0 2 указываем nexthop 115
- Для переключения в режим резервирования настроим следующее 115
- Задача настроить snmpv3 сервер с аутентификацией и шифрованием данных для 115
- Заходим в режим настройки правила wan 115
- Изменения конфигурации вступят в действие после применения 115
- Маршрутизаторы серии esr руководство по эксплуатации 115 115
- Направляться в активный интерфейс с наибольшим весом включить данный режим можно следующей командой 115
- Настройка snmp 115
- Пользователя admin ip адрес маршрутизатора esr 192 68 2 1 ip адрес сервера 192 68 2 115
- Протокол предназначенный для управления устройствами в ip сетях на основе архитектур tcp udp snmp предоставляет данные для управления в виде переменных описывающих конфигурацию управляемой системы 115
- Соединения 115
- Функция multiwan также может работать в режиме резервирования в котором трафик будет 115
- Активируем snmpv3 пользователя 116
- Включаем snmp сервер 116
- Маршрутизаторы серии esr руководство по эксплуатации 116
- Настроить ip адрес для интерфейсов gi1 0 1 116
- Определим алгоритм аутентификации для snmpv3 запросов 116
- Определим алгоритм шифрования передаваемых данных 116
- Определим режим безопасности 116
- Определяем сервер приемник trap pdu сообщений 116
- Основной этап конфигурирования 116
- Предварительно нужно выполнить следующие действия 116
- Решение 116
- Рисунок 7 7 схема сети 116
- Создаем пользователя snmpv3 116
- Указать зону для интерфейса gi1 0 1 116
- Устанавим пароль для аутентификации snmpv3 запросов 116
- Устанавим пароль для шифрования передаваемых данных 116
- Http kcs eltex nsk ru articles 474 установка softwlc из репозиториев 117
- Http kcs eltex nsk ru articles 960 общая статья по softwlc 117
- Softwlc информацию по установке и настройке сервера softwlc можно найти по ссылкам ниже 117
- Для маршрутизатора необходимо наличие лицензии bras после ее активации можно 117
- За хранение учетных данных пользователей и параметров тарифных планов отвечает сервер 117
- Задача предоставлять доступ до ресурсов сети интернет только для авторизованных 117
- Изменения конфигурации вступят в действие после применения 117
- Маршрутизаторы серии esr руководство по эксплуатации 117 117
- Настройка bras broadband remote access server 117
- Переходить к конфигурированию устройства 117
- Пользователей 117
- Решение 117
- Рисунок 7 88 схема сети 117
- Создадим три зоны безопасности на устройстве согласно схеме сети 117
- Зададим параметры для взаимодействия с этим модулем 118
- Маршрутизаторы серии esr руководство по эксплуатации 118
- Модуль отвечающий за ааа операции основан на eltex radius и доступен по ip адресу 118
- Подключать клиентов необходимо через сабинтерейсы в бриджы причем от параметра location смотри конфигурацию bridge 2 зависит выбор тарифного плана 118
- Сервера softwlc номера портов для аутентификации и аккаутинга в нашем примере это значения по умолчанию для softwlc 118
- Сконфигурируем параметры публичного порта и сразу пропишем шлюз по умолчанию 118
- Сконфигурируем порт в сторону сервера softwlc 118
- Сконфигурируем порт для подключения wi fi точки доступа 118
- Создадим профиль aaa 118
- Укажем параметры доступа к das direct attached storage серверу 118
- Далее создаем правила для редиректа на портал и пропуска трафика в интернет 119
- До аутентификации весь трафик из зоны trusted блокируется в том числе dhcp и dns запросы 119
- Зададим web ресурсы доступные без авторизации 119
- Маршрутизаторы серии esr руководство по эксплуатации 119 119
- Необходимо настроить разрешающие правила для пропуска dhcp и dns запросов 119
- Softwlc в данном примере это ip адрес интерфейса gigabitethernet 1 0 24 120
- Softwlc если используется адресация отличная от данного примера все остальное в url оставить без изменения 120
- Далее необходимо сконфигурировать правила перехода между зонами безопасности 120
- Маршрутизаторы серии esr руководство по эксплуатации 120
- Разрешим доступ в интернет из зон trusted и dmz 120
- Сконфигурируем и включим bras в качестве nas ip указываем адрес интерфейса на стыке с 120
- Списки фильтрации по url находятся на сервере softwlc меняется только ip адрес сервера 120
- Веб проксирования tcp 3129 3128 netport discovery port active api server port 121
- Маршрутизаторы серии esr руководство по эксплуатации 121 121
- Разрешим прохождение dhcp из trusted в dmz 121
- Разрешим прохождение icmp к устройству для работы bras необходимо открыть порты для 121
- Активируем dhcp relay 122
- Изменения конфигурации вступят в действие после применения 122
- Маршрутизаторы серии esr руководство по эксплуатации 122
- Настроим snat в порт gigabitethernet 1 0 1 122
- Часто задаваемые вопросы 123
Похожие устройства
- Eltex ESR-1200 Справочник команд CLI
- Eltex ESR-1200 Техническое описание
- Eltex ESR-10 Техническое описание
- Eltex ESR-10 Руководство по эксплуатации
- Eltex ESR-10 Справочник команд CLI
- Eltex ESR-12V Техническое описание
- Eltex ESR-12V Руководство по эксплуатации
- Eltex ESR-12V Справочник команд CLI
- Eltex RG-31-WAC Техническое описание
- Eltex RG-31-WAC Руководство по эксплуатации
- Eltex RG-35-WAC Техническое описание
- Eltex RG-35-WAC Руководство по эксплуатации
- Eltex WEP-2ac Краткое руководство по настройке
- Eltex WEP-2ac Руководство по настройке точки доступа с помощью CLI
- Eltex WEP-2ac Руководство по эксплуатации
- Eltex WEP-2ac Техническое описание
- Eltex WEP-2ac Управление устройством через WEB-конфигуратор
- Eltex WEP-2ac Smart Краткое руководство по настройке
- Eltex WEP-2ac Smart Руководство по настройке точки доступа с помощью CLI
- Eltex WEP-2ac Smart Руководство по эксплуатации
Скачать
Случайные обсуждения