![Eltex ESR-1200 [121/125] Маршрутизаторы серии esr руководство по эксплуатации 121](/img/pdf.png)
Eltex ESR-1200 [121/125] Маршрутизаторы серии esr руководство по эксплуатации 121
![Eltex ESR-1200 [121/125] Маршрутизаторы серии esr руководство по эксплуатации 121](/views2/1262091/page121/bg79.png)
Маршрутизаторы серии ESR, Руководство по эксплуатации 121
esr(config-zone-pair-rule)# match protocol any
esr(config-zone-pair-rule)# match source-address any
esr(config-zone-pair-rule)# match destination-address any
esr(config-zone-pair-rule)# enable
esr(config-zone-pair-rule)# exit
esr(config-zone-pair)# exit
esr(config)# security zone-pair dmz trusted
esr(config-zone-pair)# rule 10
esr(config-zone-pair-rule)# action permit
esr(config-zone-pair-rule)# match protocol any
esr(config-zone-pair-rule)# match source-address any
esr(config-zone-pair-rule)# match destination-address any
esr(config-zone-pair-rule)# enable
esr(config-zone-pair-rule)# exit
esr(config-zone-pair)# exit
Разрешим прохождение DHCP из trusted в dmz:
esr (config)# security zone-pair trusted dmz
esr (config-zone-pair)# rule 10
esr(config-zone-pair-rule)# action permit
esr(config-zone-pair-rule)# match protocol udp
esr(config-zone-pair-rule)# match source-address any
esr(config-zone-pair-rule)# match destination-address any
esr(config-zone-pair-rule)# match source-port dhcp_client
esr(config-zone-pair-rule)# match destination-port dhcp_server
esr(config-zone-pair-rule)# enable
esr(config-zone-pair-rule)# exit
esr(config-zone-pair)# exit
Разрешим прохождение ICMP к устройству, для работы BRAS необходимо открыть порты для
веб проксирования – TCP 3129/3128 (NetPort Discovery Port/Active API Server Port):
esr(config)# object-group service bras
esr(config-object-group-service)# port-range 3129
esr(config-object-group-service)# port-range 3128
esr(config-object-group-service)# exit
esr(config)# security zone-pair trusted self
esr(config-zone-pair)# rule 10
esr(config-zone-pair-rule)# action permit
esr(config-zone-pair-rule)# match protocol tcp
esr(config-zone-pair-rule)# match source-address any
esr(config-zone-pair-rule)# match destination-address any
esr(config-zone-pair-rule)# match source-port any
esr(config-zone-pair-rule)# match destination-port bras
esr(config-zone-pair-rule)# enable
esr (config-zone-pair-rule)# exit
esr(config-zone-pair)# rule 20
esr(config-zone-pair-rule)# action permit
esr(config-zone-pair-rule)# match protocol icmp
esr(config-zone-pair-rule)# match source-address any
esr(config-zone-pair-rule)# match destination-address any
esr(config-zone-pair-rule)# enable
esr(config-zone-pair-rule)# exit
esr(config-zone-pair-rule)# exit
esr(config)# security zone-pair dmz self
esr(config-zone-pair)# rule 20
esr(config-zone-pair-rule)# action permit
esr(config-zone-pair-rule)# match protocol icmp
esr(config-zone-pair-rule)# match source-address any
esr(config-zone-pair-rule)# match destination-address any
Содержание
- Маршрутизаторы серии esr руководство по эксплуатации 2
- Маршрутизаторы серии esr руководство по эксплуатации 3 3
- Аннотация 6
- Введение 6
- Целевая аудитория 6
- Условные обозначения 7
- Назначение 8
- Описание изделия 8
- Функции 8
- Функции интерфейсов 8
- В таблице 2 приведены функции и особенности второго уровня уровень 2 osi 9
- В таблице 2 приведены функции устройства при работе с mac адресами 9
- Маршрутизаторы серии esr руководство по эксплуатации 9 9
- Поддержка vlan 9
- Протокол связующего дерева spanning tree protocol 9
- Режим обучения 9
- Таблица 2 описание функций второго уровня уровень 2 osi 9
- Таблица 2 функции работы с mac адресами 9
- Таблица mac адресов 9
- Функции второго уровня сетевой модели osi 9
- Функции при работе с mac адресами 9
- Dynamic host configuration protoco 10
- В таблице 2 приведены функции третьего уровня уровень 3 osi 10
- Динамическая маршрутизация 10
- Клиент dhcp 10
- Маршрутизаторы серии esr руководство по эксплуатации 10
- Сервер dhcp 10
- Статические ip маршруты 10
- Таблица 2 описание функций третьего уровня layer 3 10
- Таблица arp 10
- Трансляция сетевых адресов nat network address translation 10
- Функции третьего уровня сетевой модели osi 10
- Syslog 11
- Аутентификация 11
- Загрузка и выгрузка файла настройки 11
- Интерфейс командной строки cli 11
- Маршрутизаторы серии esr руководство по эксплуатации 11 11
- Протоколы туннелирования 11
- Сервер ssh 11
- Сетевые утилиты ping traceroute 11
- Таблица 2 основные функции управления и конфигурирования 11
- Таблица 2 функции туннелирования трафика 11
- Управление контролируемым доступом уровни привилегий 11
- Функции туннелирования трафика 11
- Функции управления и конфигурирования 11
- Автоматическое восстановление конфигурации 12
- В таблице приведены функции сетевой защиты выполняемые устройством 12
- Зоны безопасности 12
- Маршрутизаторы серии esr руководство по эксплуатации 12
- Основные технические параметры маршрутизатора приведены в таблице 2 12
- Основные технические характеристики 12
- Сервер telnet 12
- Таблица 2 основные технические характеристики 12
- Таблица 2 функции сетевой защиты 12
- Фильтрация данных 12
- Функции сетевой защиты 12
- Маршрутизаторы серии esr руководство по эксплуатации 13 13
- Маршрутизаторы серии esr руководство по эксплуатации 14
- В данном разделе описано конструктивное исполнение устройства представлены 15
- В таблице 2 приведен перечень разъемов светодиодных индикаторов и органов 15
- Внешний вид передней панели показан на рисунке 2 15
- Изображения передней задней и боковых панелей устройства описаны разъемы светодиодные индикаторы и органы управления 15
- Конструктив высота корпуса 1u 15
- Конструктивное исполнение 15
- Конструктивное исполнение esr 1000 esr 1200 15
- Маршрутизаторы серии esr руководство по эксплуатации 15 15
- Передняя панель устройства esr 1200 15
- Рисунок 2 передняя панель esr 1200 15
- Таблица 2 описание разъемов индикаторов и органов управления передней панели esr 1200 15
- Управления расположенных на передней панели устройства esr 1200 15
- Устройство выполнено в металлическом корпусе с возможностью установки в 19 15
- В таблице 2 0 приведен перечень разъемов светодиодных индикаторов и органов 16
- Внешний вид передней панели показан на рисунке 2 16
- Маршрутизаторы серии esr руководство по эксплуатации 16
- Передняя панель устройства esr 1000 16
- Рисунок 2 передняя панель esr 1000 16
- Таблица 2 0 описание разъемов индикаторов и органов управления передней панели esr 1000 16
- Управления расположенных на передней панели устройства esr 1000 16
- В таблице 2 2 приведен перечень разъемов светодиодных индикаторов и органов 18
- Внешний вид передней панели esr 100 показан на рисунке 2 18
- Внешний вид передней панели esr 200 показан на рисунке 2 18
- Конструктивное исполнение esr 100 esr 200 18
- Маршрутизаторы серии esr руководство по эксплуатации 18
- Передняя панель устройств esr 100 esr 200 18
- Привести к перегреву компонентов устройства и вызвать нарушения в его работе рекомендации по установке устройства расположены в разделе установка и подключение 18
- Рисунок 2 передняя панель esr 100 18
- Рисунок 2 передняя панель esr 200 18
- Таблица 2 2 описание разъемов индикаторов и органов управления передней панели 18
- Управления расположенных на передней панели устройств esr 100 esr 200 18
- Световая индикация 20
- В следующей таблице приведено описание состояний системных индикаторов устройства и их 21
- Значений 21
- Маршрутизаторы серии esr руководство по эксплуатации 21 21
- Таблица 2 5 световая индикация состояния sfp sfp интерфейсов 21
- Таблица 2 6 состояния системных индикаторов 21
- В следующей таблице приведено описание состояний системных индикаторов устройства и их 22
- Значений 22
- Маршрутизаторы серии esr руководство по эксплуатации 22
- Рисунок 2 3 расположение индикаторов оптических интерфейсов 22
- Световая индикация esr 100 esr 200 22
- Светодиодными индикаторами link act зеленого цвета и speed янтарного цвета расположение индикаторов медных интерфейсов показано на рисунке 2 1 состояние sfp интерфейсов указано на рисунке 2 3 значения световой индикации описаны в таблице 2 7 22
- Состояние медных интерфейсов gigabitethernet и sfp интерфейсов отображается двумя 22
- Таблица 2 7 световая индикация состояния медных интерфейсов и sfp интерфейсов 22
- Комплект поставки 23
- Крепление кронштейнов 25
- Установка и подключение 25
- Установка устройства в стойку 26
- Подключение питающей сети 27
- Установка модулей питания esr 1000 esr 1200 27
- Установка и удаление sfp трансиверов 28
- Интерфейс командной строки cli 30
- Интерфейсы управления 30
- Заводская конфигурация маршрутизатора esr 31
- Начальная настройка маршрутизатора 31
- Подключение и конфигурирование маршрутизатора 32
- Базовая настройка маршрутизатора 33
- Подключение к маршрутизатору 33
- Gigabitethernet 1 0 2 50 для доступа к маршрутизатору через vlan 150 35
- Ip адрес 192 68 6 44 35
- Ip адрес шлюза по умолчанию 192 68 6 35
- Для назначения имени устройства используются следующие команды 35
- Для настройки сетевого интерфейса маршрутизатора в публичной сети необходимо назначить 35
- Для того чтобы убедиться что адрес был назначен интерфейсу после применения 35
- Конфигурации введите следующую команду 35
- Маршрутизаторы серии esr руководство по эксплуатации 35 35
- Маска подсети 255 55 55 35
- Назначение имени устройства 35
- Настройка параметров публичной сети 35
- Параметры интерфейса 35
- Получения ip адреса может использоваться протокол dhcp если в сети присутствует сервер dhcp 35
- После применения конфигурации приглашение командной строки изменится на значение 35
- Пример команд настройки статического ip адреса для субинтерфейса 35
- Провайдер может использовать динамически назначаемые адреса в своей сети для 35
- Устройству параметры определённые провайдером сети ip адрес маска подсети и адрес шлюза по умолчанию 35
- 6 132 6 0 подключаться к маршрутизатору с ip адресом 40 3 2 по протоколу ssh 36
- Self зона в которой находится интерфейс управления маршрутизатором 36
- Source zone зона из которой будет осуществляться удаленный доступ 36
- Telnet или ssh из зоны trusted для того чтобы разрешить удаленный доступ к маршрутизатору из других зон например из публичной сети необходимо создать соответствующие правила в firewall 36
- В заводской конфигурации разрешен удаленный доступ к маршрутизатору по протоколам 36
- Для создания разрешающего правила используются следующие команды 36
- Для того чтобы убедиться что адрес был назначен интерфейсу введите следующую 36
- Команду после применения конфигурации 36
- Маршрутизаторы серии esr руководство по эксплуатации 36
- Настройка удаленного доступа к маршрутизатору 36
- При конфигурировании доступа к маршрутизатору правила создаются для пары зон 36
- Пример команд для разрешения пользователям из зоны untrusted с ip адресами 36
- Пример настройки предназначенной для получения динамического ip адреса от dhcp 36
- Сервера на интерфейсе gigabitethernet 1 0 10 36
- Для применения выполненных изменений конфигурации маршрутизатора требуется ввести 37
- Если ввести команду confirm не удастся то по истечении таймера подтверждения 37
- Если при конфигурировании использовался удаленный доступ к устройству и сетевые 37
- Конфигурация устройства вернётся в прежнее состояние существовавшее до ввода команды commit 37
- Маршрутизаторы серии esr руководство по эксплуатации 37 37
- Параметры интерфейса управления изменились то после ввода команды commit соединение с устройством может быть потеряно используйте новые сетевые параметры заданные в конфигурации для подключения к устройству и ввода команды confirm 37
- Применение базовых настроек 37
- Следующие команды из корневого раздела командного интерфейса 37
- Обновление программного обеспечения 38
- Обновление программного обеспечения средствами системы 38
- Загрузчика 40
- Запустите процедуру обновления программного обеспечения 40
- Маршрутизаторы серии esr руководство по эксплуатации 40
- Можно сохранить окружение командой saveenv для будущих обновлений 40
- Обновление программного обеспечения из начального 40
- Остановите загрузку устройства после окончания инициализации маршрутизатора 40
- Программное обеспечение маршрутизатора можно обновить из начального загрузчика 40
- Следующим образом 40
- Укажите ip адрес tftp сервера 40
- Укажите ip адрес маршрутизатора 40
- Вторичный загрузчик занимается инициализацией nand и маршрутизатора при обновлении 41
- Для просмотра текущей версии загрузочного файла работающего на устройстве введите 41
- Запустите загруженное программное обеспечение 41
- Запустите процедуру обновления программного обеспечения 41
- Команду version в cli u boot также версия отображается в процессе загрузки маршрутизатора 41
- Маршрутизаторы серии esr руководство по эксплуатации 41 41
- Можно сохранить окружение командой saveenv для будущих обновлений 41
- Новый файл вторичного загрузчика сохраняется на flash на месте старого 41
- Обновление вторичного загрузчика u boot 41
- Остановите загрузку устройства после окончания инициализации маршрутизатора 41
- Процедура обновления по 41
- Укажите ip адрес tftp сервера 41
- Укажите ip адрес маршрутизатора 41
- Маршрутизаторы серии esr руководство по эксплуатации 42
- Перезагрузите маршрутизатор 42
- Настройка vlan 43
- Примеры настройки маршрутизатора 43
- В режиме trunk настроить порт gi1 0 2 в режиме access для vlan 2 на esr 100 esr 200 44
- Задача 3 настроить порты gi1 0 1 для передачи и приема пакетов в vlan 2 vlan 64 vlan 44
- Изменения конфигурации вступят в действие после применения 44
- Маршрутизаторы серии esr руководство по эксплуатации 44
- Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1 44
- Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1 2 44
- Пропишем vlan 2 на порт gi1 0 2 44
- Решение 44
- Рисунок 7 схема сети 44
- Создадим vlan 2 vlan 64 vlan 2000 на esr 100 esr 200 44
- Создадим vlan 2 vlan 64 vlan 2000 на esr 1000 44
- Q in q технология передачи пакетов с двумя 802 q тэгами данная технология используется 45
- Включим поддержку протокола 802 ad на физическом интерфейсе 45
- Для расширения количества используемых vlan в сети передачи данных внутренним тэгом innertag называется 802 q заголовок ближе к payload так же внутренний тэг называют c vlan custimer vlan внешний тэг outertag это 802 q заголовок добавленный к изначальному 802 q пакетом так же называется s vlan service vlan использование двойных меток в ethernet фрэймах описывается протоколом 802 ad 45
- Задача настроить терминацию подсети 192 68 24 комбинации c vlan 741 s vlan 828 на 45
- Изменения конфигурации вступят в действие после применения 45
- Маршрутизаторы серии esr руководство по эксплуатации 45 45
- Настройка терминации q in q 45
- Помимо назначения ip адреса на q in q саб интерфейсе необходимо либо отключить firewall либо настроить соответствующую зону безопасности 45
- Решение 45
- Создадим q in q саб интерфейс для s vlan 741 45
- Создадим саб интерфейс для s vlan 828 45
- Физическом интерфейсе gigabitethernet 1 0 1 45
- 192 68 6 24 46
- Aaa authentication authorization accounting используется для описания процесса 46
- Accounting учёт слежение за подключением пользователя или внесенным им 46
- Authentication аутентификация сопоставление персоны запроса существующей учётной 46
- Authorization авторизация проверка полномочий проверка уровня доступа 46
- Задача настроить аутентификацию пользователей подключающихся по telnet через radius 46
- Записи в системе безопасности осуществляется по логину паролю 46
- Изменения конфигурации вступят в действие после применения 46
- Изменениям 46
- Маршрутизаторы серии esr руководство по эксплуатации 46
- Настроим подключение к radius серверу и укажем ключ password 46
- Настройка ааа 46
- Посмотреть профили аутентификации можно командой 46
- Предоставления доступа и контроля над ним 46
- Просмотреть информацию по настройкам подключения к radius серверу можно командой 46
- Решение 46
- Создадим профиль аутентификации 46
- Сопоставление учётной записи в системе и определённых полномочий 46
- Укажем режим аутентификации используемый при подключении по telnet протоколу 46
- Настройка привилегий команд 47
- Настройка dhcp сервера 48
- Для разрешения прохождения сообщений протокола dhcp к серверу необходимо создать 49
- Для того чтобы dhcp сервер мог раздавать ip адреса из конфигурируемого пула на 49
- Изменения конфигурации вступят в действие после применения 49
- Маршрутизаторе должен быть создан ip интерфейс принадлежащий к той же подсети что и адреса пула 49
- Маршрутизаторы серии esr руководство по эксплуатации 49 49
- Просмотреть сконфигурированные пулы адресов можно командами 49
- Просмотреть список арендованных адресов можно с помощью команды 49
- Разрешим работу сервера 49
- Соответствующие профили портов включающие порт источника 68 и порт назначения 67 используемые протоколом dhcp и создать разрешающее правило в политике безопасности для прохождения пакетов протокола udp 49
- Destinatio 50
- Dnat используется для перенаправления трафика идущего на некоторый виртуальный 50
- Адрес в публичной сети на реальный сервер в локальной сети находящийся за сетевым шлюзом эту функцию можно использовать для организации публичного доступа к серверам находящимся в частной сети и не имеющим публичного сетевого адреса 50
- Задача организовать доступ из публичной сети относящейся к зоне untrust к серверу 50
- Используемых сетевых интерфейсов к зонам одновременно назначим ip адреса интерфейсам 50
- Конфигурирование 50
- Конфигурирование настроек для ipv6 производится по аналогии с ipv4 50
- Локальной сети в зоне trust адрес сервера в локальной сети 10 00 сервер должен быть доступным извне по адресу 1 доступный порт 80 50
- Маршрутизаторы серии esr руководство по эксплуатации 50
- Правил dnat 50
- Проходящих через сетевой шлюз 50
- Решение 50
- Рисунок 7 схема сети 50
- Создадим зоны безопасности untrust и trust установим принадлежность 50
- Создадим профили ip адресов и портов которые потребуются для настройки правил firewall и 50
- Функция destination nat dnat состоит в преобразовании ip адреса назначения у пакетов 50
- Net_uplink профиль адресов публичной сети 51
- Server_ip профиль адресов локальной сети 51
- Srv_http профиль портов 51
- Адресов в атрибутах набора укажем что правила применяются только для пакетов пришедших из зоны untrust набор правил включает в себя требования соответствия данных по адресу и порту назначения match destination address match destination port и по протоколу кроме этого в наборе задано действие применяемое к данным удовлетворяющим всем правилам action destination nat набор правил вводится в действие командой enable 51
- Войдем в режим конфигурирования функции dnat и создадим пул адресов и портов 51
- Для пропуска трафика идущего из зоны untrust в trust создадим соответствующую 51
- Маршрутизаторы серии esr руководство по эксплуатации 51 51
- Назначения в которые будут транслироваться адреса пакетов поступающие на адрес 1 из внешней сети 51
- Пару зон пропускать следует только трафик с адресом назначения соответствующим заданному в профиле server_ip и прошедший преобразование dnat 51
- Создадим набор правил dnat в соответствии с которыми будет производиться трансляция 51
- Задача 1 настроить доступ пользователей локальной сети 10 24 к публичной сети с 52
- Изменения конфигурации вступят в действие после применения 52
- Использованием функции source nat задать диапазон адресов публичной сети для использования snat 100 00 100 49 52
- Компьютерам находящимся в локальной сети при этом не требуется назначения публичных ip адресов этим компьютерам 52
- Конфигурирование source nat 52
- Маршрутизаторы серии esr руководство по эксплуатации 52
- Произведенные настройки можно посмотреть с помощью команд 52
- Проходящих через сетевой шлюз при прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза дополнительно к адресу источника может применяться замена порта источника при прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта 52
- Рисунок 7 схема сети 52
- Функция snat может быть использована для предоставления доступа в интернет 52
- Функция source nat snat используется для подмены адреса источника у пакетов 52
- Для конфигурирования функции snat и настройки правил зон безопасности потребуется 53
- Для пропуска трафика из зоны trust в зону untrust создадим пару зон и добавим 53
- Используемых для сервиса snat 53
- Конфигурирование начнем с создания зон безопасности настройки сетевых интерфейсов и 53
- Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети 53
- Маршрутизаторы серии esr руководство по эксплуатации 53 53
- Определения их принадлежности к зонам безопасности создадим доверенную зону trust для локальной сети и зону untrust для публичной сети 53
- Правила разрешающие проходить трафику в этом направлении дополнительно включена проверка адреса источника данных на принадлежность к диапазону адресов local_net для соблюдения ограничения на выход в публичную сеть действие правил разрешается командой enable 53
- Решение 53
- Создать профиль адресов локальной сети local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool 53
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила 54
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в 54
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них 54
- Должна быть настроена маршрутизация адрес 10 должен быть назначен адресом шлюза 54
- Задача 2 настроить доступ пользователей локальной сети 21 2 24 к публичной сети с 54
- Изменения конфигурации вступают в действие по команде применения 54
- Использованием функции source nat без использования межсетевого экрана firewall диапазон адресов публичной сети для использования snat 200 0 00 200 0 49 54
- Маршрутизаторы серии esr руководство по эксплуатации 54
- На самом маршрутизаторе также должен быть создан маршрут для направления на 54
- Применяются только для пакетов направляющихся в публичную сеть в зону untrust правила включают проверку адреса источника данных на принадлежность к пулу local_net 54
- Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды 54
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool 54
- Рисунок 7 схема сети 54
- Local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool 55
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила 55
- Для конфигурирования функции snat потребуется создать профиль адресов локальной сети 55
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в 55
- Конфигурирование начнем с настройки сетевых интерфейсов и отключения межсетевого 55
- Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети используемых для сервиса snat 55
- Маршрутизаторы серии esr руководство по эксплуатации 55 55
- Применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net 55
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool 55
- Решение 55
- Экрана 55
- Firewall комплекс аппаратных или программных средств осуществляющий контроль и 56
- Для каждой сети esr создадим свою зону безопасности 56
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них 56
- Должна быть настроена маршрутизация адрес 21 2 должен быть назначен адресом шлюза 56
- Задача разрешить обмен сообщениями по протоколу icmp между устройствами пк1 пк2 и b 56
- Изменения конфигурации вступают в действие по команде применения 56
- Конфигурирование firewall 56
- Маршрутизатором esr 56
- Маршрутизаторы серии esr руководство по эксплуатации 56
- На самом маршрутизаторе также должен быть создан маршрут для направления на 56
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 56
- Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды 56
- Решение 56
- Рисунок 7 схема сети 56
- Фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами 56
- Включающий адреса которым разрешен выход в сеть wan и профиль адресов сети wan 57
- Для настройки правил зон безопасности потребуется создать профиль адресов сети lan 57
- Для пропуска трафика из зоны lan в зону wan создадим пару зон и добавим правило 57
- Для пропуска трафика из зоны wan в зону lan создадим пару зон и добавим правило 57
- Маршрутизаторы серии esr руководство по эксплуатации 57 57
- На маршрутизаторе всегда существует зона безопасности с именем self если в качестве 57
- Получателя трафика выступает сам маршрутизатор то есть трафик не является транзитным то в качестве параметра указывается зона self создадим пару зон для трафика идущего из зоны wan в зону self добавим правило разрешающее проходить icmp трафику между пк2 и маршрутизатором esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны wan 57
- Разрешающее проходить icmp трафику от пк1 к пк2 действие правил разрешается командой enable 57
- Разрешающее проходить icmp трафику от пк2 к пк1 действие правил разрешается командой enable 57
- Access control list или acl список контроля доступа содержит правила определяющие 58
- Задача разрешить прохождения трафика только из подсети 192 68 0 24 58
- Изменения конфигурации вступят в действие по следующим командам 58
- Маршрутизаторы серии esr руководство по эксплуатации 58
- Настроим список доступа для фильтрации по подсетям 58
- Настройка списков доступа acl 58
- Посмотреть активные сессии можно с помощью команд 58
- Посмотреть пары зон и их конфигурацию можно с помощью команд 58
- Посмотреть членство портов в зонах можно с помощью команды 58
- Прохождение трафика через интерфейс 58
- Разрешающее проходить icmp трафику между пк1 и esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны lan 58
- Решение 58
- Создадим пару зон для трафика идущего из зоны lan в зону self добавим правило 58
- 8 используя статическую маршрутизацию на устройстве r1 создать шлюз для доступа к сети internet трафик внутри локальной сети должен маршрутизироваться внутри зоны lan трафик из сети internet должен относиться к зоне wan 59
- Задача настроить доступ к сети internet для пользователей локальной сети 192 68 24 и 59
- Изменения конфигурации вступят в действие по следующим командам 59
- Конфигурирование статических маршрутов 59
- Маршрутизаторы серии esr руководство по эксплуатации 59 59
- Применим список доступа на интерфейс gi1 0 19 для входящего трафика 59
- Просмотреть детальную информацию о списке доступа возможно через команду 59
- Рисунок 7 схема сети 59
- Статическая маршрутизация вид маршрутизации при котором маршруты указываются в 59
- Явном виде при конфигурации маршрутизатора без использования протоколов динамической маршрутизации 59
- R1 будет подключен к сети 192 68 24 60
- R1 будет подключен к сети internet 60
- Для интерфейса gi1 0 1 укажем адрес 192 68 24 и зону lan через данный интерфейс 60
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный 60
- Для интерфейса gi1 0 3 укажем адрес 128 07 30 и зону wan через данный интерфейс 60
- Зададим имя устройства для маршрутизатора r1 60
- Зададим имя устройства для маршрутизатора r2 60
- Изменения конфигурации на маршрутизаторе r1 вступят в действие по следующим 60
- Интерфейс r1 будет подключен к устройству r2 для последующей маршрутизации трафика 60
- Командам 60
- Маршрутизаторы серии esr руководство по эксплуатации 60
- Провайдера 128 07 60
- Решение 60
- Создадим маршрут для взаимодействия с сетью 10 8 используя в качестве шлюза 60
- Создадим маршрут для взаимодействия с сетью internet используя в качестве nexthop шлюз 60
- Устройство r2 192 68 00 60
- Multilink ppp mlppp предоставляет собой агрегированный канал включающий в себя 61
- Будет подключен к сети 10 8 61
- Для интерфейса gi1 0 1 укажем адрес 10 8 и зону lan через данный интерфейс r2 61
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный 61
- Изменения конфигурации на маршрутизаторе r2 вступят в действие по следующим 61
- Интерфейс r2 будет подключен к устройству r1 для последующей маршрутизации трафика 61
- Командам 61
- Маршрутизатора r1 192 68 00 61
- Маршрутизаторы серии esr руководство по эксплуатации 61 61
- Методы для распространения трафика через несколько физических каналов имея одно логическое соединение этот вариант позволяет расширить пропускную способность и обеспечивает балансировку нагрузки 61
- Настройка mlppp 61
- Проверить таблицу маршрутов можно командой 61
- Рисунок 7 схема сети 61
- Создадим маршрут по умолчанию указав в качестве nexthop ip адрес интерфейса gi1 0 2 61
- Bridge мост это способ соединения двух сегментов ethernet на канальном уровне без 62
- Включим interface e1 1 0 1 interface e1 1 0 4 в группу агрегации mlppp 3 62
- Задача 1 объединить в единый l2 домен интерфейсы маршрутизатора относящиеся к 62
- Задача настроить mlppp соединение с встречной стороной с ip адресом 10 7 24 через 62
- Изменения конфигурации вступят в действие по следующим командам 62
- Использования протоколов более высокого уровня таких как ip пакеты передаются на основе ethernet адресов а не ip адресов поскольку передача выполняется на канальном уровне уровень 2 модели osi трафик протоколов более высокого уровня прозрачно проходит через мост 62
- Локальной сети и l2tpv3 туннель проходящий по публичной сети для объединения использовать vlan 333 62
- Маршрутизаторы серии esr руководство по эксплуатации 62
- Настроим mlppp 3 62
- Настройка bridge 62
- Переключаем интерфейс gigabitethernet 1 0 10 в режим работы е1 62
- Решение 62
- Устройство mxe 62
- Vlan 50 должен относиться к зоне lan1 vlan 60 к зоне lan2 разрешить свободную передачу трафика между зонами 63
- Добавим интерфейсы gi1 0 11 gi1 0 12 в vlan 333 63
- Задача 2 настроить маршрутизацию между vlan 50 10 0 24 и vlan 60 10 0 24 63
- Маршрутизаторы серии esr руководство по эксплуатации 63 63
- Настройка l2tpv3 туннеля рассматривается в разделе 7 8 в общем случае идентификаторы моста и туннеля не должны совпадать с vid как в данном примере 63
- Решение 63
- Рисунок 7 0 схема сети 63
- Создадим bridge 333 привяжем к нему vlan 333 и укажем членство в зоне trusted 63
- Создадим vlan 333 63
- Создадим зону безопасности trusted 63
- Установим принадлежность l2tpv3 туннеля к мосту который связан с локальной сетью 63
- Маршрутизаторы серии esr руководство по эксплуатации 64
- Назначим интерфейсам gi1 0 11 gi1 0 12 vlan 50 64
- Назначим интерфейсу gi1 0 14 vlan 60 64
- Решение 64
- Рисунок 7 1 схема сети 64
- Создадим bridge 50 привяжем vlan 50 укажем ip адрес 10 0 24 и членство в зоне 64
- Создадим bridge 60 привяжем vlan 60 укажем ip адрес 10 0 24 и членство в зоне 64
- Создадим vlan 50 60 64
- Создадим зоны безопасности lan1 и lan2 64
- Изменения конфигурации вступят в действие по следующим командам 65
- Маршрутизаторы серии esr руководство по эксплуатации 65 65
- Посмотреть членство интерфейсов в мосте можно командой 65
- Создадим правила в firewall разрешающие свободное прохождение трафика между зонами 65
- Настройка rip 66
- Настройка ospf 67
- Включим ospf процесс 68
- Включим анонсирование маршрутной информации из протокола rip 68
- Задача 2 изменить тип области 1 область должна быть тупиковой тупиковый 68
- Изменения конфигурации вступят в действие после применения 68
- Маршрутизатор должен анонсировать маршруты полученные по протоколу rip 68
- Маршрутизаторы серии esr руководство по эксплуатации 68
- Протокола ospf 68
- Рисунок 7 4 схема сети 68
- Создадим ospf процесс с идентификатором 10 и перейдём в режим конфигурирования 68
- Создадим и включим требуемую область 68
- Соседние маршрутизаторы подключены к интерфейсам gi1 0 5 и gi1 0 15 для установления 68
- Соседства с другими маршрутизаторами привяжем их к ospf процессу и области далее включим на интерфейсе маршрутизацию по протоколу ospf 68
- В firewall необходимо разрешить протокол ospf 89 70
- Для просмотра соседей можно воспользоваться следующей командой 70
- Изменения конфигурации вступят в действие после применения 70
- Маршрутизаторы серии esr руководство по эксплуатации 70
- Маршруты полученные от r3 отмечены как внутризоновые и наоборот 70
- Рассмотрим таблицу маршрутизации на маршрутизаторе r1 70
- Рассмотрим таблицу маршрутизации на маршрутизаторе r3 70
- Создадим virtual link с идентификатором 0 и включим его 70
- Таблицу маршрутов протокола ospf можно просмотреть командой 70
- Так как ospf считает виртуальный канал частью области в таблице маршрутизации r1 70
- Автономными системами далее ас то есть группами маршрутизаторов под единым техническим управлением использующими протокол внутридоменной маршрутизации для определения маршрутов внутри себя и протокол междоменной маршрутизации для определения маршрутов доставки пакетов в другие ас передаваемая информация включает в себя список ас к которым имеется доступ через данную систему выбор наилучших маршрутов осуществляется исходя из правил принятых в сети 71
- Анонсирование подсетей подключенных напрямую 71
- Второе соседство подсеть 185 30 собственный ip адрес 185 ip адрес соседа 185 as 20 71
- Задача настроить bgp протокол на маршрутизаторе со следующими параметрами 71
- Маршрутизаторы серии esr руководство по эксплуатации 71 71
- Настройка bgp 71
- Первое соседство подсеть 219 30 собственный ip адрес 219 ip адрес соседа 219 as 2500 71
- Протокол bgp предназначен для обмена информацией о достижимости подсетей между 71
- Решение 71
- Рисунок 7 6 схема сети 71
- Сконфигурируем необходимые сетевые параметры 71
- Собственная as 2500 71
- Собственные подсети 80 6 24 80 6 6 24 71
- Включим работу протокола 72
- Входим в режим конфигурирования маршрутной информации для ipv4 72
- Изменения конфигурации вступят в действие после применения 72
- Информацию о bgp пирах можно посмотреть командой 72
- Маршрутизаторы серии esr руководство по эксплуатации 72
- Необходимо в firewall разрешить tcp порт 179 72
- Объявим подсети подключённые напрямую 72
- Процесса 72
- Создадим bgp процесс для as 2500 и войдем в режим конфигурирования параметров 72
- Создадим соседства с 185 219 с указанием автономных систем и включим их 72
- Таблицу маршрутов протокола bgp можно просмотреть с помощью команды 72
- Настройка route map для bgp 73
- Настройка политики маршрутизации pbr 73
- Med равный 240 и указать источник маршрутной информации egp 74
- В bgp процессе as 2500 заходим в настройки параметров соседа 74
- Если community содержит 2500 25 то назначаем ему med 240 и origin egp 74
- Задача 2 для всей передаваемой маршрутной информации с community 2500 25 назначить 74
- Изменения конфигурации вступят в действие после применения 74
- Маршрутизаторы серии esr руководство по эксплуатации 74
- Предварительно настроить bgp c as 2500 на esr 74
- Привязываем политику к анонсируемой маршрутной информации 74
- Привязываем политику к принимаемой маршрутной информации 74
- Решение 74
- Создаем политику 74
- Создаем правило 74
- Route map на основе списков доступа policy based routing 75
- Адресов 10 0 24 через isp2 80 6 3 требуется контролировать доступность адресов провайдеров работоспособность подключений к isp и при неработоспособности одного из подключений переводить с него на рабочее подключение весь трафик 75
- Задача 1 распределить трафик между интернет провайдерами на основе подсетей 75
- Маршрутизаторы серии esr руководство по эксплуатации 75 75
- Назначить ip адреса на интерфейсы 75
- Пользователей 75
- Предварительно нужно выполнить следующие действия 75
- Решение 75
- Рисунок 7 8 схема сети 75
- Создаем acl 75
- Создаем политику 75
- Требуется направлять трафик с адресов 10 0 24 через isp1 184 5 50 а трафик с 75
- 5 50 а при его недоступности на адрес 80 6 3 приоритетность шлюзов задается значениями метрик 10 и 30 76
- А при его недоступности на адрес 184 5 50 приоритетность задается значениями метрик 76
- Заходим на интерфейс te 1 0 1 76
- Маршрутизаторы серии esr руководство по эксплуатации 76
- Правилом 1 будет обеспечена маршрутизация трафика с сети 10 0 24 на адрес 76
- Правилом 2 будет обеспечена маршрутизация трафика с сети 10 0 24 на адрес 80 6 3 76
- Привязываем политику на соответствующий интерфейс 76
- Создаем правило 1 76
- Создаем правило 2 76
- Указываем nexthop для sub20 76
- Указываем nexthop для sub30 и выходим 76
- Указываем список доступа acl в качестве фильтра 76
- Настройка gre туннелей 77
- Включить вычисление и включение в пакет контрольной суммы заголовка gre и инкапсулированного пакета для исходящего трафика 78
- Включить проверку наличия и корректности контрольной суммы gre для входящего трафика 78
- Для применения изменений конфигурации выполним следующие команды 78
- Интерфейса назначения указываем ранее созданный туннель gre 78
- Конфигурацию туннеля можно посмотреть командой 78
- Маршрутизаторы серии esr руководство по эксплуатации 78
- На маршрутизаторе должен быть создан маршрут до локальной сети партнера в качестве 78
- Опционально для gre туннеля можно указать следующие параметры 78
- Партеру независимо от наличия gre туннеля и правильности настроек с его стороны 78
- После применения настроек трафик будет инкапсулироваться в туннель и отправляться 78
- Состояние туннеля можно посмотреть командой 78
- Счетчики входящих и отправленных пакетов можно посмотреть командой 78
- Указать значение dscp mtu ttl 78
- Указать уникальный идентификатор 78
- Настройка l2tpv3 туннелей 79
- Включим ранее созданный туннель и выйдем 80
- Для применения изменений конфигурации выполним следующие команды 80
- Локального шлюза должен использоваться ip адрес 183 0 в качестве удаленного шлюза 80
- Локальной сетью настройка моста рассматривается в пункте 7 1 80
- Маршрутизаторы серии esr руководство по эксплуатации 80
- Настройки туннеля в удаленном офисе должны быть зеркальными локальным в качестве 80
- Партнеру независимо от наличия l2tpv3 туннеля и правильности настроек с его стороны 80
- После применения настроек трафик будет инкапсулироваться в туннель и отправляться 80
- Сеть с тегом vlan id 333 80
- Создадим саб интерфейс для коммутации трафика поступающего из туннеля в локальную 80
- Удаленного офиса настройка моста рассматривается в пункте 7 1 80
- Укажем идентификаторы сессии внутри туннеля для локальной и удаленной сторон 80
- Укажем идентификаторы туннеля для локальной и удаленной сторон 80
- Укажем локальный и удаленный шлюз ip адреса интерфейсов граничащих с wan 80
- Укажем тип инкапсулирующего протокола и номера udp портов 80
- Установим принадлежность l2tpv3 туннеля к мосту который должен быть связан с сетью 80
- Установим принадлежность саб интерфейса к мосту который должен быть связан с 80
- Настройка ipsec vpn 82
- Настройка route based ipsec vpn 82
- Isakmp 83
- Для настройки правил зон безопасности потребуется создать профиль порта протокола 83
- Маршрутизаторы серии esr руководство по эксплуатации 83 83
- Находится за ipsec туннелем нужно указать маршрут через vti туннель 83
- По которым могут согласовываться узлы и ключ аутентификации 83
- Протокола и режим перенаправления трафика в туннель 83
- Создадим политику протокола ike в политике указывается список профилей протокола ike 83
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 83
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм 83
- Создадим статический маршрут до удаленной lan сети для каждой подсети которая 83
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия 83
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения 83
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 83
- Для настройки правил зон безопасности потребуется создать профиль порта протокола isakmp 84
- Конфигурирование r2 84
- Локального и удаленного шлюза указываются ip адреса интерфейсов граничащих с wan 84
- Маршрутизаторы серии esr руководство по эксплуатации 84
- Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности 84
- Находится за ipsec туннелем нужно указать маршрут через vti туннель 84
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 84
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 84
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec 84
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм 84
- Создадим статический маршрут до удаленной lan сети для каждой подсети которая 84
- Создадим туннель vti трафик будет перенаправляться через vti в ipsec туннель в качестве 84
- Туннеля по которым могут согласовываться узлы 84
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения 84
- Которым могут согласовываться узлы и ключ аутентификации 85
- Маршрутизаторы серии esr руководство по эксплуатации 85 85
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 85
- Протокола и режим перенаправления трафика в туннель 85
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 85
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec 85
- Создадим политику протокола ike в политике указывается список профилей протокола ike по 85
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 85
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия 85
- Состояние туннеля можно посмотреть командой 85
- Туннеля по которым могут согласовываться узлы 85
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 85
- Isakmp 86
- В firewall необходимо разрешить протокол esp и isakmp udp порт 500 86
- Для настройки правил зон безопасности потребуется создать профиль порта протокола 86
- Конфигурацию туннеля можно посмотреть командой 86
- Конфигурирование r1 86
- Которым могут согласовываться узлы и ключ аутентификации 86
- Маршрутизаторы серии esr руководство по эксплуатации 86
- Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности 86
- Настройка policy based ipsec vpn 86
- Протокола и режим перенаправления трафика в туннель 86
- Решение 86
- Создадим политику протокола ike в политике указывается список профилей протокола ike по 86
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм 86
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия 86
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения 86
- Isakmp 87
- Для настройки правил зон безопасности потребуется создать профиль порта протокола 87
- Конфигурирование r2 87
- Маршрутизаторы серии esr руководство по эксплуатации 87 87
- Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности 87
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 87
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 87
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec 87
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 87
- Туннеля по которым могут согласовываться узлы 87
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 87
- Которым могут согласовываться узлы и ключ аутентификации 88
- Маршрутизаторы серии esr руководство по эксплуатации 88
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 88
- Протокола и режим перенаправления трафика в туннель 88
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 88
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec 88
- Создадим политику протокола ike в политике указывается список профилей протокола ike по 88
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 88
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм 88
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия 88
- Туннеля по которым могут согласовываться узлы 88
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения 88
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 88
- Lt англ logical tunnel логический туннель тип туннелей предназначенный для передачи 89
- В firewall необходимо разрешить протокол esp и isakmp udp порт 500 89
- Задача организовать взаимодействие между хостами терминированными в двух vrf vrf_1 и 89
- Использоваться для организации взаимодействия между двумя или более vrf с применением ограничений firewall 89
- Исходная конфигурация 89
- Конфигурацию туннеля можно посмотреть командой 89
- Маршрутизаторы серии esr руководство по эксплуатации 89 89
- Маршрутной информации и трафика между различными виртуальными маршрутизаторами vrf lite сконфигурированными на одном аппаратном маршрутизаторе lt туннель может 89
- Настройка lt туннелей 89
- Решение 89
- Создадим lt туннели для каждого vrf с указанием ip адресов из одной подсети 89
- Состояние туннеля можно посмотреть командой 89
- Активируем их 90
- Если в vrf не работает ни один из протоколов динамической маршрутизации то необходимо указать статические маршруты для каждого vrf 90
- Маршрутизаторы серии esr руководство по эксплуатации 90
- Укажем для каждого lt туннеля lt туннель из vrf с которым необходимо установить связь и 90
- Настройка удаленного доступа к корпоративной сети по pptp 91
- Протоколу 91
- Включим pptp сервер 92
- Выберем метод аутентификации пользователей pptp сервера 92
- Маршрутизаторы серии esr руководство по эксплуатации 92
- Очистить счетчики сессий pptp сервера можно командой 92
- После применения конфигурации маршрутизатор будет прослушивать 120 1 1723 92
- Создадим pptp пользователей ivan и fedor для pptp сервера 92
- Создадим pptp сервер и привяжем вышеуказанные профили 92
- Создадим профиль адресов содержащий dns серверы 92
- Создадим профиль адресов содержащий адреса клиентов 92
- Состояние сессий pptp сервера можно посмотреть командой 92
- Счетчики сессий pptp сервера можно посмотреть командой 92
- Укажем зону безопасности к которой будут относиться сессии пользователей 92
- Over ipsec протоколу 93
- Настройка удаленного доступа к корпоративной сети по l2tp 93
- Включим l2tp сервер 94
- Выберем метод аутентификации первой фазы ike и зададим ключ аутентификации 94
- Выберем метод аутентификации пользователей l2tp сервера 94
- Маршрутизаторы серии esr руководство по эксплуатации 94
- Настроить зоны для интерфейсов te1 0 1 и gi1 0 1 94
- Настроить подключение к radius серверу 94
- Очистить счетчики сессий l2tp сервера можно командой 94
- Порт 1701 состояние сессий l2tp сервера можно посмотреть командой 94
- После применения конфигурации маршрутизатор будет прослушивать ip адрес 120 1 и 94
- Создадим l2tp сервер и привяжем к нему вышеуказанные профили 94
- Создадим профиль адресов содержащий dns серверы 94
- Создадим профиль адресов содержащий адрес локального шлюза 94
- Счетчики сессий l2tp сервера можно посмотреть командой 94
- Укажем зону безопасности к которой будут относиться сессии пользователей 94
- Указать ip адреса для интерфейсов te1 0 1 и te1 0 1 94
- Настройка удаленного доступа к корпоративной сети по openvpn 95
- Протоколу 95
- O ключ диффи хелмена и hmac для tls 96
- O ключ и сертификат для openvpn сервера 96
- Openvpn сервером 96
- Включим openvpn сервер 96
- Выберем алгоритм шифрования aes128 96
- Импортируем по tftp сертификаты и ключи 96
- Маршрутизаторы серии esr руководство по эксплуатации 96
- Настроить зону для интерфейса te1 0 1 96
- Объявим подсети лвс которые будут доступны через openvpn соединение и укажем dns 96
- Сервер 96
- Создадим openvpn сервер и подсеть в которой он будет работать 96
- Укажем зону безопасности к которой будут относиться сессии пользователей 96
- Укажем ранее импортированные сертификаты и ключи которые будет использоваться 96
- Укажем тип соединения l3 и протокол инкапсуляции 96
- Указать ip адреса для интерфейса te1 0 1 96
- Настройка dual homing 97
- Базовый qos 98
- Настройка qos 98
- Включим qos на входящем интерфейсе со стороны lan 99
- Включим qos на интерфейсе со стороны wan 99
- Для того чтобы восьмая очередь стала приоритетной а с первой по седьмую взвешенной 99
- Изменения конфигурации вступят в действие после применения 99
- Маршрутизаторы серии esr руководство по эксплуатации 99 99
- Ограничим количество приоритетных очередей до 1 99
- Перенаправим трафик с dscp 14 в седьмую взвешенную очередь 99
- Перенаправим трафик с dscp 22 в восьмую приоритетную очередь 99
- Просмотреть статистику по qos можно командой 99
- Решение 99
- Рисунок 7 6 схема сети 99
- Установим ограничение по скорости в 60мбит с для седьмой очереди 99
- Задача классифицировать приходящий трафик по подсетям 10 1 24 10 2 24 100
- Конфигурации 100
- Маркировку 100
- Маршрутизаторы серии esr руководство по эксплуатации 100
- Настроим списки доступа для фильтрации по подсетям выходим в глобальный режим 100
- Произвести маркировку по dscp 38 и 42 и произвести разграничение по подсетям 40 мбит с и 60 мбит с ограничить общую полосу до 250 мбит с остальной трафик обрабатывать через механизм sfq 100
- Расширенный qos 100
- Решение 100
- Рисунок 7 7 схема сети 100
- Создаем классы fl1 и fl2 указываем соответствующие списки доступа настраиваем 100
- Включаем qos на интерфейсах политику на входе интерфейса gi 1 0 19 для классификации и 101
- Выходим 101
- Для другого трафика настраиваем класс с режимом sfq 101
- Для просмотра статистики используется команда 101
- Изменения конфигурации вступят в действие после применения 101
- Маршрутизаторы серии esr руководство по эксплуатации 101 101
- На выходе gi1 0 20 для применения ограничений и режима sfq для класса по умолчанию 101
- Осуществляем привязку класса к политике настраиваем ограничение полосы пропускания и 101
- Создаём политику и определяем ограничение общей полосы пропускания 101
- Настройка зеркалирования 102
- Настройка netflow 103
- Sflow стандарт для мониторинга компьютерных сетей беспроводных сетей и сетевых 104
- Для просмотра статистики netflow используется команда 104
- Для сетей esr создадим две зоны безопасности 104
- Задача организовать учет трафика между зонами trusted и untrusted 104
- Изменения конфигурации вступят в действие после применения 104
- Маршрутизаторы серии esr руководство по эксплуатации 104
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 104
- Настройка netflow для учета трафика между зонами аналогична настройке sflow описание приведено в разделе 7 8 настройка sflow 104
- Настройка sflow 104
- Решение 104
- Рисунок 7 0 схема сети 104
- Устройств предназначенный для учета и анализа трафика 104
- Lacp протокол для агрегирования каналов позволяет объединить несколько 105
- Активируем sflow на маршрутизаторе 105
- Включим экспорт статистики по протоколу sflow для любого трафика в правиле rule1 для 105
- Задача настроить агрегированный канал между маршрутизатором esr и коммутатором 105
- Изменения конфигурации вступят в действие после применения 105
- Маршрутизаторы серии esr руководство по эксплуатации 105 105
- Направления trusted untrusted 105
- Настройка lacp 105
- Настройка sflow для учета трафика с интерфейса осуществляется аналогично 7 105
- Укажем ip адрес коллектора 105
- Физических каналов в один логический такое объединение позволяет увеличивать пропускную способность и надежность канала 105
- Настройка vrrp 106
- Включим vrrp 109
- Изменения конфигурации вступят в действие после применения 109
- Маршрутизаторы серии esr руководство по эксплуатации 109 109
- Настроим vrrp для подсети 192 68 0 24 в созданном саб интерфейсе 109
- Помимо создания туннеля необходимо в firewall разрешить протокол vrrp 112 109
- Произвести аналогичные настройки на r2 109
- Укажем ip адрес виртуального шлюза 192 68 0 109
- Укажем идентификатор vrrp группы 109
- Укажем уникальный идентификатор vrrp 109
- Настройка vrrp tracking 110
- Будет работать в случае удовлетворения условия из tracking 1 111
- Маршрутизатор r2 111
- Маршрутизаторы серии esr руководство по эксплуатации 111 111
- На маршрутизаторе r2 никаких изменений не требуется так как подсеть 10 24 на маршрутизаторе r2 никаких изменений не требуется так как подсеть 10 24 111
- Решение 111
- Создадим статический маршрут в подсеть 10 24 через 192 68 который 111
- Терминируется на нем и в момент когда r1 выступает в роли vrrp master пакеты будут переданы в соответствующий интерфейс на маршрутизаторе необходимо создать маршрут для пакетов с ip адресом назначения из сети 10 24 в момент когда r1 выступает в роли vrrp master для этого создадим tracking ogject с соответствующим условием 111
- Vrf virtual routing and forwarding технология которая позволяет изолировать маршрутную 112
- Задача к маршрутизатору серии esr подключены 2 сети которые необходимо изолировать 112
- Информацию принадлежащую различным классам например маршруты одного клиента 112
- Маршрутизаторы серии esr руководство по эксплуатации 112
- Настройка vrf lite 112
- От остальных сетей 112
- Решение 112
- Рисунок 7 5 схема сети 112
- Создадим vrf 112
- Создадим зону безопасности 112
- Создадим правило для пары зон и разрешим любой tcp udp трафик 112
- Задача настроить маршрут к серверу 108 6 28 с возможностью балансировки нагрузки 113
- Изменения конфигурации вступят в действие после применения 113
- Информацию об интерфейсах привязанных к vrf можно посмотреть командой 113
- Маршрутизаторы серии esr руководство по эксплуатации 113 113
- Настройка multiwan 113
- Резервированием линков от нескольких провайдеров а также решает проблему балансировки трафика между резервными линками 113
- Рисунок 7 6 схема сети 113
- Создадим привязку интерфейсов назначим ip адреса укажем принадлежность к зоне 113
- Таблицу маршрутов vrf можно просмотреть с помощью команды 113
- Технология multiwan позволяет организовать отказоустойчивое соединение с 113
- В режиме конфигурирования интерфейса te1 0 1 включаем wan режим и выходим 114
- В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки 114
- Включим созданное правило балансировки и выйдем из режима конфигурирования правила 114
- Зададим адрес для проверки включим проверку указанного адреса и выйдем 114
- Маршрутизаторы серии esr руководство по эксплуатации 114
- Настроим интерфейсы в режиме конфигурирования интерфейса te1 0 1 указываем nexthop 114
- Настроим маршрутизацию 114
- Настроить зоны для интерфейсов te1 0 1 и te1 0 2 114
- Основной этап конфигурирования 114
- Предварительно нужно выполнить следующие действия 114
- Решение 114
- Соединения 114
- Создадим правило wan 114
- Создадим список для проверки целостности соединения 114
- Создадим цель проверки целостности 114
- Укажем участвующие интерфейсы 114
- Указать ip адреса для интерфейсов te1 0 1 и te1 0 2 114
- Snmp англ simple network management protocol простой протокол сетевого управления 115
- В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки 115
- В режиме конфигурирования интерфейса te1 0 2 включаем wan режим и выходим 115
- В режиме конфигурирования интерфейса te1 0 2 указываем nexthop 115
- Для переключения в режим резервирования настроим следующее 115
- Задача настроить snmpv3 сервер с аутентификацией и шифрованием данных для 115
- Заходим в режим настройки правила wan 115
- Изменения конфигурации вступят в действие после применения 115
- Маршрутизаторы серии esr руководство по эксплуатации 115 115
- Направляться в активный интерфейс с наибольшим весом включить данный режим можно следующей командой 115
- Настройка snmp 115
- Пользователя admin ip адрес маршрутизатора esr 192 68 2 1 ip адрес сервера 192 68 2 115
- Протокол предназначенный для управления устройствами в ip сетях на основе архитектур tcp udp snmp предоставляет данные для управления в виде переменных описывающих конфигурацию управляемой системы 115
- Соединения 115
- Функция multiwan также может работать в режиме резервирования в котором трафик будет 115
- Активируем snmpv3 пользователя 116
- Включаем snmp сервер 116
- Маршрутизаторы серии esr руководство по эксплуатации 116
- Настроить ip адрес для интерфейсов gi1 0 1 116
- Определим алгоритм аутентификации для snmpv3 запросов 116
- Определим алгоритм шифрования передаваемых данных 116
- Определим режим безопасности 116
- Определяем сервер приемник trap pdu сообщений 116
- Основной этап конфигурирования 116
- Предварительно нужно выполнить следующие действия 116
- Решение 116
- Рисунок 7 7 схема сети 116
- Создаем пользователя snmpv3 116
- Указать зону для интерфейса gi1 0 1 116
- Устанавим пароль для аутентификации snmpv3 запросов 116
- Устанавим пароль для шифрования передаваемых данных 116
- Http kcs eltex nsk ru articles 474 установка softwlc из репозиториев 117
- Http kcs eltex nsk ru articles 960 общая статья по softwlc 117
- Softwlc информацию по установке и настройке сервера softwlc можно найти по ссылкам ниже 117
- Для маршрутизатора необходимо наличие лицензии bras после ее активации можно 117
- За хранение учетных данных пользователей и параметров тарифных планов отвечает сервер 117
- Задача предоставлять доступ до ресурсов сети интернет только для авторизованных 117
- Изменения конфигурации вступят в действие после применения 117
- Маршрутизаторы серии esr руководство по эксплуатации 117 117
- Настройка bras broadband remote access server 117
- Переходить к конфигурированию устройства 117
- Пользователей 117
- Решение 117
- Рисунок 7 88 схема сети 117
- Создадим три зоны безопасности на устройстве согласно схеме сети 117
- Зададим параметры для взаимодействия с этим модулем 118
- Маршрутизаторы серии esr руководство по эксплуатации 118
- Модуль отвечающий за ааа операции основан на eltex radius и доступен по ip адресу 118
- Подключать клиентов необходимо через сабинтерейсы в бриджы причем от параметра location смотри конфигурацию bridge 2 зависит выбор тарифного плана 118
- Сервера softwlc номера портов для аутентификации и аккаутинга в нашем примере это значения по умолчанию для softwlc 118
- Сконфигурируем параметры публичного порта и сразу пропишем шлюз по умолчанию 118
- Сконфигурируем порт в сторону сервера softwlc 118
- Сконфигурируем порт для подключения wi fi точки доступа 118
- Создадим профиль aaa 118
- Укажем параметры доступа к das direct attached storage серверу 118
- Далее создаем правила для редиректа на портал и пропуска трафика в интернет 119
- До аутентификации весь трафик из зоны trusted блокируется в том числе dhcp и dns запросы 119
- Зададим web ресурсы доступные без авторизации 119
- Маршрутизаторы серии esr руководство по эксплуатации 119 119
- Необходимо настроить разрешающие правила для пропуска dhcp и dns запросов 119
- Softwlc в данном примере это ip адрес интерфейса gigabitethernet 1 0 24 120
- Softwlc если используется адресация отличная от данного примера все остальное в url оставить без изменения 120
- Далее необходимо сконфигурировать правила перехода между зонами безопасности 120
- Маршрутизаторы серии esr руководство по эксплуатации 120
- Разрешим доступ в интернет из зон trusted и dmz 120
- Сконфигурируем и включим bras в качестве nas ip указываем адрес интерфейса на стыке с 120
- Списки фильтрации по url находятся на сервере softwlc меняется только ip адрес сервера 120
- Веб проксирования tcp 3129 3128 netport discovery port active api server port 121
- Маршрутизаторы серии esr руководство по эксплуатации 121 121
- Разрешим прохождение dhcp из trusted в dmz 121
- Разрешим прохождение icmp к устройству для работы bras необходимо открыть порты для 121
- Активируем dhcp relay 122
- Изменения конфигурации вступят в действие после применения 122
- Маршрутизаторы серии esr руководство по эксплуатации 122
- Настроим snat в порт gigabitethernet 1 0 1 122
- Часто задаваемые вопросы 123
Похожие устройства
- Eltex ESR-1200 Справочник команд CLI
- Eltex ESR-1200 Техническое описание
- Eltex ESR-10 Техническое описание
- Eltex ESR-10 Руководство по эксплуатации
- Eltex ESR-10 Справочник команд CLI
- Eltex ESR-12V Техническое описание
- Eltex ESR-12V Руководство по эксплуатации
- Eltex ESR-12V Справочник команд CLI
- Eltex RG-31-WAC Техническое описание
- Eltex RG-31-WAC Руководство по эксплуатации
- Eltex RG-35-WAC Техническое описание
- Eltex RG-35-WAC Руководство по эксплуатации
- Eltex WEP-2ac Краткое руководство по настройке
- Eltex WEP-2ac Руководство по настройке точки доступа с помощью CLI
- Eltex WEP-2ac Руководство по эксплуатации
- Eltex WEP-2ac Техническое описание
- Eltex WEP-2ac Управление устройством через WEB-конфигуратор
- Eltex WEP-2ac Smart Краткое руководство по настройке
- Eltex WEP-2ac Smart Руководство по настройке точки доступа с помощью CLI
- Eltex WEP-2ac Smart Руководство по эксплуатации
Скачать
Случайные обсуждения