![Eltex ESR-1200 — настройка терминации Q-in-Q для маршрутизаторов [45/125]](/icons/site-icon-64.png){kind=icon}
Eltex ESR-1200 — настройка терминации Q-in-Q для маршрутизаторов [45/125]
Превью страниц
Страница 45 /
125
![Eltex ESR-1200 [45/125] Задача настроить терминацию подсети 192 68 24 комбинации c vlan 741 s vlan 828 на](/views2/1262091/page45/bg2d.png)
Маршрутизаторы серии ESR, Руководство по эксплуатации 45
esr# commit
Configuration has been successfully committed
esr# confirm
7.2 Настройка терминации Q-in-Q
Q-in-Q - технология передачи пакетов с двумя 802.1q тэгами. Данная технология используется
для расширения количества используемых VLAN в сети передачи данных. Внутренним тэгом
(InnerTag) называется 802.1q заголовок ближе к payload. Так же внутренний тэг называют C-VLAN
(Custimer VLAN). Внешний тэг (OuterTag) - это 802.1q заголовок, добавленный к изначальному 802.1q
пакетом, так же называется S-VLAN (Service VLAN). Использование двойных меток в ethernet
фрэймах описывается протоколом 802.1ad.
Задача: Настроить терминацию подсети 192.168.1.1/24 комбинации C-VLAN: 741, S-VLAN: 828 на
физическом интерфейсе gigabitethernet 1/0/1.
Решение:
Включим поддержку протокола 802.1ad на физическом интерфейсе:
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# switchport dot1q ethertype egress stag 802.1ad
esr(config-if-gi)# exit
Создадим саб-интерфейс для S-VLAN: 828
esr(config)# interface gigabitethernet 1/0/1.828
esr(config-subif)# exit
Создадим q-in-q саб-интерфейс для S-VLAN: 741
esr(config)# interface gigabitethernet 1/0/1.828.741
esr(config-qinq-if)# ip address 192.168.1.1/24
esr(config-qinq-if)# exit
Изменения конфигурации вступят в действие после применения:
esr-1000# commit
Configuration has been successfully committed
esr-1000# confirm
Configuration has been successfully confirmed
Помимо назначения IP адреса, на q-in-q саб-интерфейсе необходимо либо отключить
firewall, либо настроить соответствующую зону безопасности.
Содержание
877- Маршрутизаторы серии esr руководство по эксплуатации
- Маршрутизаторы серии esr руководство по эксплуатации 3
- Введение
- Аннотация
- Целевая аудитория
- Условные обозначения
- Описание изделия
- Функции интерфейсов
- Функции
- Назначение
- Режим обучения
- Поддержка vlan
- В таблице 2 приведены функции и особенности второго уровня уровень 2 osi
- Функции при работе с mac адресами
- Протокол связующего дерева spanning tree protocol
- Маршрутизаторы серии esr руководство по эксплуатации 9
- В таблице 2 приведены функции устройства при работе с mac адресами
- Функции второго уровня сетевой модели osi
- Таблица mac адресов
- Таблица 2 функции работы с mac адресами
- Таблица 2 описание функций второго уровня уровень 2 osi
- Маршрутизаторы серии esr руководство по эксплуатации
- Функции третьего уровня сетевой модели osi
- Трансляция сетевых адресов nat network address translation
- Таблица arp
- Таблица 2 описание функций третьего уровня layer 3
- Статические ip маршруты
- Сервер dhcp
- Клиент dhcp
- Динамическая маршрутизация
- В таблице 2 приведены функции третьего уровня уровень 3 osi
- Dynamic host configuration protoco
- Сервер ssh
- Протоколы туннелирования
- Загрузка и выгрузка файла настройки
- Аутентификация
- Функции управления и конфигурирования
- Функции туннелирования трафика
- Управление контролируемым доступом уровни привилегий
- Таблица 2 функции туннелирования трафика
- Таблица 2 основные функции управления и конфигурирования
- Сетевые утилиты ping traceroute
- Маршрутизаторы серии esr руководство по эксплуатации 11
- Интерфейс командной строки cli
- Syslog
- Зоны безопасности
- Функции сетевой защиты
- В таблице приведены функции сетевой защиты выполняемые устройством
- Автоматическое восстановление конфигурации
- Фильтрация данных
- Таблица 2 функции сетевой защиты
- Таблица 2 основные технические характеристики
- Сервер telnet
- Основные технические характеристики
- Основные технические параметры маршрутизатора приведены в таблице 2
- Маршрутизаторы серии esr руководство по эксплуатации
- Маршрутизаторы серии esr руководство по эксплуатации 13
- Маршрутизаторы серии esr руководство по эксплуатации
- Управления расположенных на передней панели устройства esr 1200
- Конструктивное исполнение
- Конструктив высота корпуса 1u
- Изображения передней задней и боковых панелей устройства описаны разъемы светодиодные индикаторы и органы управления
- Внешний вид передней панели показан на рисунке 2
- В таблице 2 приведен перечень разъемов светодиодных индикаторов и органов
- В данном разделе описано конструктивное исполнение устройства представлены
- Устройство выполнено в металлическом корпусе с возможностью установки в 19
- Таблица 2 описание разъемов индикаторов и органов управления передней панели esr 1200
- Рисунок 2 передняя панель esr 1200
- Передняя панель устройства esr 1200
- Маршрутизаторы серии esr руководство по эксплуатации 15
- Конструктивное исполнение esr 1000 esr 1200
- Маршрутизаторы серии esr руководство по эксплуатации
- Управления расположенных на передней панели устройства esr 1000
- Таблица 2 0 описание разъемов индикаторов и органов управления передней панели esr 1000
- Рисунок 2 передняя панель esr 1000
- Передняя панель устройства esr 1000
- Внешний вид передней панели показан на рисунке 2
- В таблице 2 0 приведен перечень разъемов светодиодных индикаторов и органов
- Внешний вид передней панели esr 100 показан на рисунке 2
- В таблице 2 2 приведен перечень разъемов светодиодных индикаторов и органов
- Управления расположенных на передней панели устройств esr 100 esr 200
- Таблица 2 2 описание разъемов индикаторов и органов управления передней панели
- Рисунок 2 передняя панель esr 200
- Рисунок 2 передняя панель esr 100
- Привести к перегреву компонентов устройства и вызвать нарушения в его работе рекомендации по установке устройства расположены в разделе установка и подключение
- Передняя панель устройств esr 100 esr 200
- Маршрутизаторы серии esr руководство по эксплуатации
- Конструктивное исполнение esr 100 esr 200
- Внешний вид передней панели esr 200 показан на рисунке 2
- Световая индикация
- Таблица 2 6 состояния системных индикаторов
- Таблица 2 5 световая индикация состояния sfp sfp интерфейсов
- Маршрутизаторы серии esr руководство по эксплуатации 21
- Значений
- В следующей таблице приведено описание состояний системных индикаторов устройства и их
- В следующей таблице приведено описание состояний системных индикаторов устройства и их
- Таблица 2 7 световая индикация состояния медных интерфейсов и sfp интерфейсов
- Состояние медных интерфейсов gigabitethernet и sfp интерфейсов отображается двумя
- Светодиодными индикаторами link act зеленого цвета и speed янтарного цвета расположение индикаторов медных интерфейсов показано на рисунке 2 1 состояние sfp интерфейсов указано на рисунке 2 3 значения световой индикации описаны в таблице 2 7
- Световая индикация esr 100 esr 200
- Рисунок 2 3 расположение индикаторов оптических интерфейсов
- Маршрутизаторы серии esr руководство по эксплуатации
- Значений
- Комплект поставки
- Установка и подключение
- Крепление кронштейнов
- Установка устройства в стойку
- Установка модулей питания esr 1000 esr 1200
- Подключение питающей сети
- Установка и удаление sfp трансиверов
- Интерфейсы управления
- Интерфейс командной строки cli
- Начальная настройка маршрутизатора
- Заводская конфигурация маршрутизатора esr
- Подключение и конфигурирование маршрутизатора
- Подключение к маршрутизатору
- Базовая настройка маршрутизатора
- Устройству параметры определённые провайдером сети ip адрес маска подсети и адрес шлюза по умолчанию
- Настройка параметров публичной сети
- Назначение имени устройства
- Маска подсети 255 55 55
- Маршрутизаторы серии esr руководство по эксплуатации 35
- Конфигурации введите следующую команду
- Для того чтобы убедиться что адрес был назначен интерфейсу после применения
- Для настройки сетевого интерфейса маршрутизатора в публичной сети необходимо назначить
- Для назначения имени устройства используются следующие команды
- Ip адрес шлюза по умолчанию 192 68 6
- Ip адрес 192 68 6 44
- Gigabitethernet 1 0 2 50 для доступа к маршрутизатору через vlan 150
- Провайдер может использовать динамически назначаемые адреса в своей сети для
- Пример команд настройки статического ip адреса для субинтерфейса
- После применения конфигурации приглашение командной строки изменится на значение
- Получения ip адреса может использоваться протокол dhcp если в сети присутствует сервер dhcp
- Параметры интерфейса
- Telnet или ssh из зоны trusted для того чтобы разрешить удаленный доступ к маршрутизатору из других зон например из публичной сети необходимо создать соответствующие правила в firewall
- Настройка удаленного доступа к маршрутизатору
- Маршрутизаторы серии esr руководство по эксплуатации
- Команду после применения конфигурации
- Для того чтобы убедиться что адрес был назначен интерфейсу введите следующую
- Для создания разрешающего правила используются следующие команды
- В заводской конфигурации разрешен удаленный доступ к маршрутизатору по протоколам
- Source zone зона из которой будет осуществляться удаленный доступ
- Self зона в которой находится интерфейс управления маршрутизатором
- 6 132 6 0 подключаться к маршрутизатору с ip адресом 40 3 2 по протоколу ssh
- Сервера на интерфейсе gigabitethernet 1 0 10
- Пример настройки предназначенной для получения динамического ip адреса от dhcp
- Пример команд для разрешения пользователям из зоны untrusted с ip адресами
- При конфигурировании доступа к маршрутизатору правила создаются для пары зон
- Следующие команды из корневого раздела командного интерфейса
- Применение базовых настроек
- Параметры интерфейса управления изменились то после ввода команды commit соединение с устройством может быть потеряно используйте новые сетевые параметры заданные в конфигурации для подключения к устройству и ввода команды confirm
- Маршрутизаторы серии esr руководство по эксплуатации 37
- Конфигурация устройства вернётся в прежнее состояние существовавшее до ввода команды commit
- Если при конфигурировании использовался удаленный доступ к устройству и сетевые
- Если ввести команду confirm не удастся то по истечении таймера подтверждения
- Для применения выполненных изменений конфигурации маршрутизатора требуется ввести
- Обновление программного обеспечения средствами системы
- Обновление программного обеспечения
- Запустите процедуру обновления программного обеспечения
- Загрузчика
- Укажите ip адрес маршрутизатора
- Укажите ip адрес tftp сервера
- Следующим образом
- Программное обеспечение маршрутизатора можно обновить из начального загрузчика
- Остановите загрузку устройства после окончания инициализации маршрутизатора
- Обновление программного обеспечения из начального
- Можно сохранить окружение командой saveenv для будущих обновлений
- Маршрутизаторы серии esr руководство по эксплуатации
- Новый файл вторичного загрузчика сохраняется на flash на месте старого
- Можно сохранить окружение командой saveenv для будущих обновлений
- Маршрутизаторы серии esr руководство по эксплуатации 41
- Команду version в cli u boot также версия отображается в процессе загрузки маршрутизатора
- Запустите процедуру обновления программного обеспечения
- Запустите загруженное программное обеспечение
- Для просмотра текущей версии загрузочного файла работающего на устройстве введите
- Вторичный загрузчик занимается инициализацией nand и маршрутизатора при обновлении
- Укажите ip адрес маршрутизатора
- Укажите ip адрес tftp сервера
- Процедура обновления по
- Остановите загрузку устройства после окончания инициализации маршрутизатора
- Обновление вторичного загрузчика u boot
- Перезагрузите маршрутизатор
- Маршрутизаторы серии esr руководство по эксплуатации
- Примеры настройки маршрутизатора
- Настройка vlan
- Пропишем vlan 2 на порт gi1 0 2
- Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1 2
- Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1
- Маршрутизаторы серии esr руководство по эксплуатации
- Изменения конфигурации вступят в действие после применения
- Задача 3 настроить порты gi1 0 1 для передачи и приема пакетов в vlan 2 vlan 64 vlan
- В режиме trunk настроить порт gi1 0 2 в режиме access для vlan 2 на esr 100 esr 200
- Создадим vlan 2 vlan 64 vlan 2000 на esr 1000
- Создадим vlan 2 vlan 64 vlan 2000 на esr 100 esr 200
- Рисунок 7 схема сети
- Решение
- Физическом интерфейсе gigabitethernet 1 0 1
- Создадим саб интерфейс для s vlan 828
- Создадим q in q саб интерфейс для s vlan 741
- Решение
- Помимо назначения ip адреса на q in q саб интерфейсе необходимо либо отключить firewall либо настроить соответствующую зону безопасности
- Настройка терминации q in q
- Маршрутизаторы серии esr руководство по эксплуатации 45
- Изменения конфигурации вступят в действие после применения
- Задача настроить терминацию подсети 192 68 24 комбинации c vlan 741 s vlan 828 на
- Для расширения количества используемых vlan в сети передачи данных внутренним тэгом innertag называется 802 q заголовок ближе к payload так же внутренний тэг называют c vlan custimer vlan внешний тэг outertag это 802 q заголовок добавленный к изначальному 802 q пакетом так же называется s vlan service vlan использование двойных меток в ethernet фрэймах описывается протоколом 802 ad
- Включим поддержку протокола 802 ad на физическом интерфейсе
- Q in q технология передачи пакетов с двумя 802 q тэгами данная технология используется
- Решение
- Просмотреть информацию по настройкам подключения к radius серверу можно командой
- Предоставления доступа и контроля над ним
- Посмотреть профили аутентификации можно командой
- Настройка ааа
- Настроим подключение к radius серверу и укажем ключ password
- Маршрутизаторы серии esr руководство по эксплуатации
- Изменениям
- Изменения конфигурации вступят в действие после применения
- Записи в системе безопасности осуществляется по логину паролю
- Задача настроить аутентификацию пользователей подключающихся по telnet через radius
- Authorization авторизация проверка полномочий проверка уровня доступа
- Authentication аутентификация сопоставление персоны запроса существующей учётной
- Укажем режим аутентификации используемый при подключении по telnet протоколу
- Accounting учёт слежение за подключением пользователя или внесенным им
- Сопоставление учётной записи в системе и определённых полномочий
- Aaa authentication authorization accounting используется для описания процесса
- Создадим профиль аутентификации
- 192 68 6 24
- Настройка привилегий команд
- Настройка dhcp сервера
- Соответствующие профили портов включающие порт источника 68 и порт назначения 67 используемые протоколом dhcp и создать разрешающее правило в политике безопасности для прохождения пакетов протокола udp
- Разрешим работу сервера
- Просмотреть список арендованных адресов можно с помощью команды
- Просмотреть сконфигурированные пулы адресов можно командами
- Маршрутизаторы серии esr руководство по эксплуатации 49
- Маршрутизаторе должен быть создан ip интерфейс принадлежащий к той же подсети что и адреса пула
- Изменения конфигурации вступят в действие после применения
- Для того чтобы dhcp сервер мог раздавать ip адреса из конфигурируемого пула на
- Для разрешения прохождения сообщений протокола dhcp к серверу необходимо создать
- Dnat используется для перенаправления трафика идущего на некоторый виртуальный
- Destinatio
- Функция destination nat dnat состоит в преобразовании ip адреса назначения у пакетов
- Создадим профили ip адресов и портов которые потребуются для настройки правил firewall и
- Создадим зоны безопасности untrust и trust установим принадлежность
- Рисунок 7 схема сети
- Решение
- Проходящих через сетевой шлюз
- Правил dnat
- Маршрутизаторы серии esr руководство по эксплуатации
- Локальной сети в зоне trust адрес сервера в локальной сети 10 00 сервер должен быть доступным извне по адресу 1 доступный порт 80
- Конфигурирование настроек для ipv6 производится по аналогии с ipv4
- Конфигурирование
- Используемых сетевых интерфейсов к зонам одновременно назначим ip адреса интерфейсам
- Задача организовать доступ из публичной сети относящейся к зоне untrust к серверу
- Адрес в публичной сети на реальный сервер в локальной сети находящийся за сетевым шлюзом эту функцию можно использовать для организации публичного доступа к серверам находящимся в частной сети и не имеющим публичного сетевого адреса
- Server_ip профиль адресов локальной сети
- Net_uplink профиль адресов публичной сети
- Создадим набор правил dnat в соответствии с которыми будет производиться трансляция
- Пару зон пропускать следует только трафик с адресом назначения соответствующим заданному в профиле server_ip и прошедший преобразование dnat
- Назначения в которые будут транслироваться адреса пакетов поступающие на адрес 1 из внешней сети
- Маршрутизаторы серии esr руководство по эксплуатации 51
- Для пропуска трафика идущего из зоны untrust в trust создадим соответствующую
- Войдем в режим конфигурирования функции dnat и создадим пул адресов и портов
- Адресов в атрибутах набора укажем что правила применяются только для пакетов пришедших из зоны untrust набор правил включает в себя требования соответствия данных по адресу и порту назначения match destination address match destination port и по протоколу кроме этого в наборе задано действие применяемое к данным удовлетворяющим всем правилам action destination nat набор правил вводится в действие командой enable
- Srv_http профиль портов
- Проходящих через сетевой шлюз при прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза дополнительно к адресу источника может применяться замена порта источника при прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта
- Произведенные настройки можно посмотреть с помощью команд
- Маршрутизаторы серии esr руководство по эксплуатации
- Конфигурирование source nat
- Компьютерам находящимся в локальной сети при этом не требуется назначения публичных ip адресов этим компьютерам
- Использованием функции source nat задать диапазон адресов публичной сети для использования snat 100 00 100 49
- Изменения конфигурации вступят в действие после применения
- Задача 1 настроить доступ пользователей локальной сети 10 24 к публичной сети с
- Функция source nat snat используется для подмены адреса источника у пакетов
- Функция snat может быть использована для предоставления доступа в интернет
- Рисунок 7 схема сети
- Создать профиль адресов локальной сети local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool
- Решение
- Правила разрешающие проходить трафику в этом направлении дополнительно включена проверка адреса источника данных на принадлежность к диапазону адресов local_net для соблюдения ограничения на выход в публичную сеть действие правил разрешается командой enable
- Определения их принадлежности к зонам безопасности создадим доверенную зону trust для локальной сети и зону untrust для публичной сети
- Маршрутизаторы серии esr руководство по эксплуатации 53
- Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети
- Конфигурирование начнем с создания зон безопасности настройки сетевых интерфейсов и
- Используемых для сервиса snat
- Для пропуска трафика из зоны trust в зону untrust создадим пару зон и добавим
- Для конфигурирования функции snat и настройки правил зон безопасности потребуется
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила
- Рисунок 7 схема сети
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool
- Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды
- Применяются только для пакетов направляющихся в публичную сеть в зону untrust правила включают проверку адреса источника данных на принадлежность к пулу local_net
- На самом маршрутизаторе также должен быть создан маршрут для направления на
- Маршрутизаторы серии esr руководство по эксплуатации
- Использованием функции source nat без использования межсетевого экрана firewall диапазон адресов публичной сети для использования snat 200 0 00 200 0 49
- Изменения конфигурации вступают в действие по команде применения
- Задача 2 настроить доступ пользователей локальной сети 21 2 24 к публичной сети с
- Должна быть настроена маршрутизация адрес 10 должен быть назначен адресом шлюза
- Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети используемых для сервиса snat
- Конфигурирование начнем с настройки сетевых интерфейсов и отключения межсетевого
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в
- Для конфигурирования функции snat потребуется создать профиль адресов локальной сети
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила
- Local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool
- Экрана
- Решение
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool
- Применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net
- Маршрутизаторы серии esr руководство по эксплуатации 55
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности
- На самом маршрутизаторе также должен быть создан маршрут для направления на
- Маршрутизаторы серии esr руководство по эксплуатации
- Маршрутизатором esr
- Конфигурирование firewall
- Изменения конфигурации вступают в действие по команде применения
- Задача разрешить обмен сообщениями по протоколу icmp между устройствами пк1 пк2 и b
- Должна быть настроена маршрутизация адрес 21 2 должен быть назначен адресом шлюза
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них
- Для каждой сети esr создадим свою зону безопасности
- Firewall комплекс аппаратных или программных средств осуществляющий контроль и
- Фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами
- Рисунок 7 схема сети
- Решение
- Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды
- Разрешающее проходить icmp трафику от пк2 к пк1 действие правил разрешается командой enable
- Разрешающее проходить icmp трафику от пк1 к пк2 действие правил разрешается командой enable
- Получателя трафика выступает сам маршрутизатор то есть трафик не является транзитным то в качестве параметра указывается зона self создадим пару зон для трафика идущего из зоны wan в зону self добавим правило разрешающее проходить icmp трафику между пк2 и маршрутизатором esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны wan
- На маршрутизаторе всегда существует зона безопасности с именем self если в качестве
- Маршрутизаторы серии esr руководство по эксплуатации 57
- Для пропуска трафика из зоны wan в зону lan создадим пару зон и добавим правило
- Для пропуска трафика из зоны lan в зону wan создадим пару зон и добавим правило
- Для настройки правил зон безопасности потребуется создать профиль адресов сети lan
- Включающий адреса которым разрешен выход в сеть wan и профиль адресов сети wan
- Изменения конфигурации вступят в действие по следующим командам
- Задача разрешить прохождения трафика только из подсети 192 68 0 24
- Access control list или acl список контроля доступа содержит правила определяющие
- Создадим пару зон для трафика идущего из зоны lan в зону self добавим правило
- Решение
- Разрешающее проходить icmp трафику между пк1 и esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны lan
- Прохождение трафика через интерфейс
- Посмотреть членство портов в зонах можно с помощью команды
- Посмотреть пары зон и их конфигурацию можно с помощью команд
- Посмотреть активные сессии можно с помощью команд
- Настройка списков доступа acl
- Настроим список доступа для фильтрации по подсетям
- Маршрутизаторы серии esr руководство по эксплуатации
- Применим список доступа на интерфейс gi1 0 19 для входящего трафика
- Маршрутизаторы серии esr руководство по эксплуатации 59
- Конфигурирование статических маршрутов
- Изменения конфигурации вступят в действие по следующим командам
- Задача настроить доступ к сети internet для пользователей локальной сети 192 68 24 и
- 8 используя статическую маршрутизацию на устройстве r1 создать шлюз для доступа к сети internet трафик внутри локальной сети должен маршрутизироваться внутри зоны lan трафик из сети internet должен относиться к зоне wan
- Явном виде при конфигурации маршрутизатора без использования протоколов динамической маршрутизации
- Статическая маршрутизация вид маршрутизации при котором маршруты указываются в
- Рисунок 7 схема сети
- Просмотреть детальную информацию о списке доступа возможно через команду
- Провайдера 128 07
- Маршрутизаторы серии esr руководство по эксплуатации
- Командам
- Интерфейс r1 будет подключен к устройству r2 для последующей маршрутизации трафика
- Изменения конфигурации на маршрутизаторе r1 вступят в действие по следующим
- Зададим имя устройства для маршрутизатора r2
- Зададим имя устройства для маршрутизатора r1
- Для интерфейса gi1 0 3 укажем адрес 128 07 30 и зону wan через данный интерфейс
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный
- Для интерфейса gi1 0 1 укажем адрес 192 68 24 и зону lan через данный интерфейс
- R1 будет подключен к сети internet
- R1 будет подключен к сети 192 68 24
- Устройство r2 192 68 00
- Создадим маршрут для взаимодействия с сетью internet используя в качестве nexthop шлюз
- Создадим маршрут для взаимодействия с сетью 10 8 используя в качестве шлюза
- Решение
- Проверить таблицу маршрутов можно командой
- Настройка mlppp
- Методы для распространения трафика через несколько физических каналов имея одно логическое соединение этот вариант позволяет расширить пропускную способность и обеспечивает балансировку нагрузки
- Маршрутизаторы серии esr руководство по эксплуатации 61
- Маршрутизатора r1 192 68 00
- Командам
- Интерфейс r2 будет подключен к устройству r1 для последующей маршрутизации трафика
- Изменения конфигурации на маршрутизаторе r2 вступят в действие по следующим
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный
- Для интерфейса gi1 0 1 укажем адрес 10 8 и зону lan через данный интерфейс r2
- Будет подключен к сети 10 8
- Multilink ppp mlppp предоставляет собой агрегированный канал включающий в себя
- Создадим маршрут по умолчанию указав в качестве nexthop ip адрес интерфейса gi1 0 2
- Рисунок 7 схема сети
- Настройка bridge
- Устройство mxe
- Решение
- Переключаем интерфейс gigabitethernet 1 0 10 в режим работы е1
- Настроим mlppp 3
- Маршрутизаторы серии esr руководство по эксплуатации
- Локальной сети и l2tpv3 туннель проходящий по публичной сети для объединения использовать vlan 333
- Использования протоколов более высокого уровня таких как ip пакеты передаются на основе ethernet адресов а не ip адресов поскольку передача выполняется на канальном уровне уровень 2 модели osi трафик протоколов более высокого уровня прозрачно проходит через мост
- Изменения конфигурации вступят в действие по следующим командам
- Задача настроить mlppp соединение с встречной стороной с ip адресом 10 7 24 через
- Задача 1 объединить в единый l2 домен интерфейсы маршрутизатора относящиеся к
- Включим interface e1 1 0 1 interface e1 1 0 4 в группу агрегации mlppp 3
- Bridge мост это способ соединения двух сегментов ethernet на канальном уровне без
- Vlan 50 должен относиться к зоне lan1 vlan 60 к зоне lan2 разрешить свободную передачу трафика между зонами
- Установим принадлежность l2tpv3 туннеля к мосту который связан с локальной сетью
- Создадим зону безопасности trusted
- Создадим vlan 333
- Создадим bridge 333 привяжем к нему vlan 333 и укажем членство в зоне trusted
- Рисунок 7 0 схема сети
- Решение
- Настройка l2tpv3 туннеля рассматривается в разделе 7 8 в общем случае идентификаторы моста и туннеля не должны совпадать с vid как в данном примере
- Маршрутизаторы серии esr руководство по эксплуатации 63
- Задача 2 настроить маршрутизацию между vlan 50 10 0 24 и vlan 60 10 0 24
- Добавим интерфейсы gi1 0 11 gi1 0 12 в vlan 333
- Создадим bridge 50 привяжем vlan 50 укажем ip адрес 10 0 24 и членство в зоне
- Рисунок 7 1 схема сети
- Решение
- Назначим интерфейсу gi1 0 14 vlan 60
- Назначим интерфейсам gi1 0 11 gi1 0 12 vlan 50
- Маршрутизаторы серии esr руководство по эксплуатации
- Создадим зоны безопасности lan1 и lan2
- Создадим vlan 50 60
- Создадим bridge 60 привяжем vlan 60 укажем ip адрес 10 0 24 и членство в зоне
- Создадим правила в firewall разрешающие свободное прохождение трафика между зонами
- Посмотреть членство интерфейсов в мосте можно командой
- Маршрутизаторы серии esr руководство по эксплуатации 65
- Изменения конфигурации вступят в действие по следующим командам
- Настройка rip
- Настройка ospf
- Протокола ospf
- Маршрутизаторы серии esr руководство по эксплуатации
- Маршрутизатор должен анонсировать маршруты полученные по протоколу rip
- Изменения конфигурации вступят в действие после применения
- Задача 2 изменить тип области 1 область должна быть тупиковой тупиковый
- Включим анонсирование маршрутной информации из протокола rip
- Включим ospf процесс
- Соседства с другими маршрутизаторами привяжем их к ospf процессу и области далее включим на интерфейсе маршрутизацию по протоколу ospf
- Соседние маршрутизаторы подключены к интерфейсам gi1 0 5 и gi1 0 15 для установления
- Создадим и включим требуемую область
- Создадим ospf процесс с идентификатором 10 и перейдём в режим конфигурирования
- Рисунок 7 4 схема сети
- Так как ospf считает виртуальный канал частью области в таблице маршрутизации r1
- Таблицу маршрутов протокола ospf можно просмотреть командой
- Создадим virtual link с идентификатором 0 и включим его
- Рассмотрим таблицу маршрутизации на маршрутизаторе r3
- Рассмотрим таблицу маршрутизации на маршрутизаторе r1
- Маршруты полученные от r3 отмечены как внутризоновые и наоборот
- Маршрутизаторы серии esr руководство по эксплуатации
- Изменения конфигурации вступят в действие после применения
- Для просмотра соседей можно воспользоваться следующей командой
- В firewall необходимо разрешить протокол ospf 89
- Автономными системами далее ас то есть группами маршрутизаторов под единым техническим управлением использующими протокол внутридоменной маршрутизации для определения маршрутов внутри себя и протокол междоменной маршрутизации для определения маршрутов доставки пакетов в другие ас передаваемая информация включает в себя список ас к которым имеется доступ через данную систему выбор наилучших маршрутов осуществляется исходя из правил принятых в сети
- Собственные подсети 80 6 24 80 6 6 24
- Собственная as 2500
- Сконфигурируем необходимые сетевые параметры
- Рисунок 7 6 схема сети
- Решение
- Протокол bgp предназначен для обмена информацией о достижимости подсетей между
- Первое соседство подсеть 219 30 собственный ip адрес 219 ip адрес соседа 219 as 2500
- Настройка bgp
- Маршрутизаторы серии esr руководство по эксплуатации 71
- Задача настроить bgp протокол на маршрутизаторе со следующими параметрами
- Второе соседство подсеть 185 30 собственный ip адрес 185 ip адрес соседа 185 as 20
- Анонсирование подсетей подключенных напрямую
- Информацию о bgp пирах можно посмотреть командой
- Изменения конфигурации вступят в действие после применения
- Входим в режим конфигурирования маршрутной информации для ipv4
- Включим работу протокола
- Таблицу маршрутов протокола bgp можно просмотреть с помощью команды
- Создадим соседства с 185 219 с указанием автономных систем и включим их
- Создадим bgp процесс для as 2500 и войдем в режим конфигурирования параметров
- Процесса
- Объявим подсети подключённые напрямую
- Необходимо в firewall разрешить tcp порт 179
- Маршрутизаторы серии esr руководство по эксплуатации
- Настройка политики маршрутизации pbr
- Настройка route map для bgp
- Предварительно настроить bgp c as 2500 на esr
- Маршрутизаторы серии esr руководство по эксплуатации
- Изменения конфигурации вступят в действие после применения
- Задача 2 для всей передаваемой маршрутной информации с community 2500 25 назначить
- Если community содержит 2500 25 то назначаем ему med 240 и origin egp
- В bgp процессе as 2500 заходим в настройки параметров соседа
- Med равный 240 и указать источник маршрутной информации egp
- Создаем правило
- Создаем политику
- Решение
- Привязываем политику к принимаемой маршрутной информации
- Привязываем политику к анонсируемой маршрутной информации
- Создаем политику
- Создаем acl
- Рисунок 7 8 схема сети
- Решение
- Предварительно нужно выполнить следующие действия
- Пользователей
- Назначить ip адреса на интерфейсы
- Маршрутизаторы серии esr руководство по эксплуатации 75
- Задача 1 распределить трафик между интернет провайдерами на основе подсетей
- Адресов 10 0 24 через isp2 80 6 3 требуется контролировать доступность адресов провайдеров работоспособность подключений к isp и при неработоспособности одного из подключений переводить с него на рабочее подключение весь трафик
- Route map на основе списков доступа policy based routing
- Требуется направлять трафик с адресов 10 0 24 через isp1 184 5 50 а трафик с
- Указываем список доступа acl в качестве фильтра
- Указываем nexthop для sub30 и выходим
- Указываем nexthop для sub20
- Создаем правило 2
- Создаем правило 1
- Привязываем политику на соответствующий интерфейс
- Правилом 2 будет обеспечена маршрутизация трафика с сети 10 0 24 на адрес 80 6 3
- Правилом 1 будет обеспечена маршрутизация трафика с сети 10 0 24 на адрес
- Маршрутизаторы серии esr руководство по эксплуатации
- Заходим на интерфейс te 1 0 1
- А при его недоступности на адрес 184 5 50 приоритетность задается значениями метрик
- 5 50 а при его недоступности на адрес 80 6 3 приоритетность шлюзов задается значениями метрик 10 и 30
- Настройка gre туннелей
- Включить проверку наличия и корректности контрольной суммы gre для входящего трафика
- Включить вычисление и включение в пакет контрольной суммы заголовка gre и инкапсулированного пакета для исходящего трафика
- Указать уникальный идентификатор
- Указать значение dscp mtu ttl
- Счетчики входящих и отправленных пакетов можно посмотреть командой
- Состояние туннеля можно посмотреть командой
- После применения настроек трафик будет инкапсулироваться в туннель и отправляться
- Партеру независимо от наличия gre туннеля и правильности настроек с его стороны
- Опционально для gre туннеля можно указать следующие параметры
- На маршрутизаторе должен быть создан маршрут до локальной сети партнера в качестве
- Маршрутизаторы серии esr руководство по эксплуатации
- Конфигурацию туннеля можно посмотреть командой
- Интерфейса назначения указываем ранее созданный туннель gre
- Для применения изменений конфигурации выполним следующие команды
- Настройка l2tpv3 туннелей
- Локального шлюза должен использоваться ip адрес 183 0 в качестве удаленного шлюза
- Для применения изменений конфигурации выполним следующие команды
- Включим ранее созданный туннель и выйдем
- Установим принадлежность саб интерфейса к мосту который должен быть связан с
- Установим принадлежность l2tpv3 туннеля к мосту который должен быть связан с сетью
- Укажем тип инкапсулирующего протокола и номера udp портов
- Укажем локальный и удаленный шлюз ip адреса интерфейсов граничащих с wan
- Укажем идентификаторы туннеля для локальной и удаленной сторон
- Укажем идентификаторы сессии внутри туннеля для локальной и удаленной сторон
- Удаленного офиса настройка моста рассматривается в пункте 7 1
- Создадим саб интерфейс для коммутации трафика поступающего из туннеля в локальную
- Сеть с тегом vlan id 333
- После применения настроек трафик будет инкапсулироваться в туннель и отправляться
- Партнеру независимо от наличия l2tpv3 туннеля и правильности настроек с его стороны
- Настройки туннеля в удаленном офисе должны быть зеркальными локальным в качестве
- Маршрутизаторы серии esr руководство по эксплуатации
- Локальной сетью настройка моста рассматривается в пункте 7 1
- Настройка route based ipsec vpn
- Настройка ipsec vpn
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия
- Создадим статический маршрут до удаленной lan сети для каждой подсети которая
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм
- Создадим политику протокола ike в политике указывается список профилей протокола ike
- Протокола и режим перенаправления трафика в туннель
- По которым могут согласовываться узлы и ключ аутентификации
- Находится за ipsec туннелем нужно указать маршрут через vti туннель
- Маршрутизаторы серии esr руководство по эксплуатации 83
- Для настройки правил зон безопасности потребуется создать профиль порта протокола
- Isakmp
- Локального и удаленного шлюза указываются ip адреса интерфейсов граничащих с wan
- Конфигурирование r2
- Для настройки правил зон безопасности потребуется создать профиль порта протокола isakmp
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения
- Туннеля по которым могут согласовываться узлы
- Создадим туннель vti трафик будет перенаправляться через vti в ipsec туннель в качестве
- Создадим статический маршрут до удаленной lan сети для каждой подсети которая
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable
- Находится за ipsec туннелем нужно указать маршрут через vti туннель
- Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности
- Маршрутизаторы серии esr руководство по эксплуатации
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим
- Протокола и режим перенаправления трафика в туннель
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable
- Маршрутизаторы серии esr руководство по эксплуатации 85
- Которым могут согласовываться узлы и ключ аутентификации
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля
- Туннеля по которым могут согласовываться узлы
- Состояние туннеля можно посмотреть командой
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм
- Создадим политику протокола ike в политике указывается список профилей протокола ike по
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec
- Настройка policy based ipsec vpn
- Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности
- Маршрутизаторы серии esr руководство по эксплуатации
- Которым могут согласовываться узлы и ключ аутентификации
- Конфигурирование r1
- Конфигурацию туннеля можно посмотреть командой
- Для настройки правил зон безопасности потребуется создать профиль порта протокола
- В firewall необходимо разрешить протокол esp и isakmp udp порт 500
- Isakmp
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм
- Создадим политику протокола ike в политике указывается список профилей протокола ike по
- Решение
- Протокола и режим перенаправления трафика в туннель
- Туннеля по которым могут согласовываться узлы
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable
- Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности
- Маршрутизаторы серии esr руководство по эксплуатации 87
- Конфигурирование r2
- Для настройки правил зон безопасности потребуется создать профиль порта протокола
- Isakmp
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения
- Туннеля по которым могут согласовываться узлы
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм
- Создадим политику протокола ike в политике указывается список профилей протокола ike по
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим
- Протокола и режим перенаправления трафика в туннель
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable
- Маршрутизаторы серии esr руководство по эксплуатации
- Которым могут согласовываться узлы и ключ аутентификации
- В firewall необходимо разрешить протокол esp и isakmp udp порт 500
- Lt англ logical tunnel логический туннель тип туннелей предназначенный для передачи
- Состояние туннеля можно посмотреть командой
- Создадим lt туннели для каждого vrf с указанием ip адресов из одной подсети
- Решение
- Настройка lt туннелей
- Маршрутной информации и трафика между различными виртуальными маршрутизаторами vrf lite сконфигурированными на одном аппаратном маршрутизаторе lt туннель может
- Маршрутизаторы серии esr руководство по эксплуатации 89
- Конфигурацию туннеля можно посмотреть командой
- Исходная конфигурация
- Использоваться для организации взаимодействия между двумя или более vrf с применением ограничений firewall
- Задача организовать взаимодействие между хостами терминированными в двух vrf vrf_1 и
- Укажем для каждого lt туннеля lt туннель из vrf с которым необходимо установить связь и
- Маршрутизаторы серии esr руководство по эксплуатации
- Если в vrf не работает ни один из протоколов динамической маршрутизации то необходимо указать статические маршруты для каждого vrf
- Активируем их
- Протоколу
- Настройка удаленного доступа к корпоративной сети по pptp
- Укажем зону безопасности к которой будут относиться сессии пользователей
- Счетчики сессий pptp сервера можно посмотреть командой
- Состояние сессий pptp сервера можно посмотреть командой
- Создадим профиль адресов содержащий адреса клиентов
- Создадим профиль адресов содержащий dns серверы
- Создадим pptp сервер и привяжем вышеуказанные профили
- Создадим pptp пользователей ivan и fedor для pptp сервера
- После применения конфигурации маршрутизатор будет прослушивать 120 1 1723
- Очистить счетчики сессий pptp сервера можно командой
- Маршрутизаторы серии esr руководство по эксплуатации
- Выберем метод аутентификации пользователей pptp сервера
- Включим pptp сервер
- Настройка удаленного доступа к корпоративной сети по l2tp
- Over ipsec протоколу
- Выберем метод аутентификации первой фазы ike и зададим ключ аутентификации
- Включим l2tp сервер
- Указать ip адреса для интерфейсов te1 0 1 и te1 0 1
- Укажем зону безопасности к которой будут относиться сессии пользователей
- Счетчики сессий l2tp сервера можно посмотреть командой
- Создадим профиль адресов содержащий адрес локального шлюза
- Создадим профиль адресов содержащий dns серверы
- Создадим l2tp сервер и привяжем к нему вышеуказанные профили
- После применения конфигурации маршрутизатор будет прослушивать ip адрес 120 1 и
- Порт 1701 состояние сессий l2tp сервера можно посмотреть командой
- Очистить счетчики сессий l2tp сервера можно командой
- Настроить подключение к radius серверу
- Настроить зоны для интерфейсов te1 0 1 и gi1 0 1
- Маршрутизаторы серии esr руководство по эксплуатации
- Выберем метод аутентификации пользователей l2tp сервера
- Протоколу
- Настройка удаленного доступа к корпоративной сети по openvpn
- O ключ диффи хелмена и hmac для tls
- Указать ip адреса для интерфейса te1 0 1
- Укажем тип соединения l3 и протокол инкапсуляции
- Укажем ранее импортированные сертификаты и ключи которые будет использоваться
- Укажем зону безопасности к которой будут относиться сессии пользователей
- Создадим openvpn сервер и подсеть в которой он будет работать
- Сервер
- Объявим подсети лвс которые будут доступны через openvpn соединение и укажем dns
- Настроить зону для интерфейса te1 0 1
- Маршрутизаторы серии esr руководство по эксплуатации
- Импортируем по tftp сертификаты и ключи
- Выберем алгоритм шифрования aes128
- Включим openvpn сервер
- Openvpn сервером
- O ключ и сертификат для openvpn сервера
- Настройка dual homing
- Базовый qos
- Настройка qos
- Установим ограничение по скорости в 60мбит с для седьмой очереди
- Рисунок 7 6 схема сети
- Решение
- Просмотреть статистику по qos можно командой
- Перенаправим трафик с dscp 22 в восьмую приоритетную очередь
- Перенаправим трафик с dscp 14 в седьмую взвешенную очередь
- Ограничим количество приоритетных очередей до 1
- Маршрутизаторы серии esr руководство по эксплуатации 99
- Изменения конфигурации вступят в действие после применения
- Для того чтобы восьмая очередь стала приоритетной а с первой по седьмую взвешенной
- Включим qos на интерфейсе со стороны wan
- Включим qos на входящем интерфейсе со стороны lan
- Маркировку
- Конфигурации
- Задача классифицировать приходящий трафик по подсетям 10 1 24 10 2 24
- Создаем классы fl1 и fl2 указываем соответствующие списки доступа настраиваем
- Рисунок 7 7 схема сети
- Решение
- Расширенный qos
- Произвести маркировку по dscp 38 и 42 и произвести разграничение по подсетям 40 мбит с и 60 мбит с ограничить общую полосу до 250 мбит с остальной трафик обрабатывать через механизм sfq
- Настроим списки доступа для фильтрации по подсетям выходим в глобальный режим
- Маршрутизаторы серии esr руководство по эксплуатации
- Создаём политику и определяем ограничение общей полосы пропускания
- Осуществляем привязку класса к политике настраиваем ограничение полосы пропускания и
- На выходе gi1 0 20 для применения ограничений и режима sfq для класса по умолчанию
- Маршрутизаторы серии esr руководство по эксплуатации 101
- Изменения конфигурации вступят в действие после применения
- Для просмотра статистики используется команда
- Для другого трафика настраиваем класс с режимом sfq
- Выходим
- Включаем qos на интерфейсах политику на входе интерфейса gi 1 0 19 для классификации и
- Настройка зеркалирования
- Настройка netflow
- Устройств предназначенный для учета и анализа трафика
- Рисунок 7 0 схема сети
- Решение
- Настройка sflow
- Настройка netflow для учета трафика между зонами аналогична настройке sflow описание приведено в разделе 7 8 настройка sflow
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности
- Маршрутизаторы серии esr руководство по эксплуатации
- Изменения конфигурации вступят в действие после применения
- Задача организовать учет трафика между зонами trusted и untrusted
- Для сетей esr создадим две зоны безопасности
- Для просмотра статистики netflow используется команда
- Sflow стандарт для мониторинга компьютерных сетей беспроводных сетей и сетевых
- Активируем sflow на маршрутизаторе
- Lacp протокол для агрегирования каналов позволяет объединить несколько
- Физических каналов в один логический такое объединение позволяет увеличивать пропускную способность и надежность канала
- Укажем ip адрес коллектора
- Настройка sflow для учета трафика с интерфейса осуществляется аналогично 7
- Настройка lacp
- Направления trusted untrusted
- Маршрутизаторы серии esr руководство по эксплуатации 105
- Изменения конфигурации вступят в действие после применения
- Задача настроить агрегированный канал между маршрутизатором esr и коммутатором
- Включим экспорт статистики по протоколу sflow для любого трафика в правиле rule1 для
- Настройка vrrp
- Произвести аналогичные настройки на r2
- Помимо создания туннеля необходимо в firewall разрешить протокол vrrp 112
- Настроим vrrp для подсети 192 68 0 24 в созданном саб интерфейсе
- Маршрутизаторы серии esr руководство по эксплуатации 109
- Изменения конфигурации вступят в действие после применения
- Включим vrrp
- Укажем уникальный идентификатор vrrp
- Укажем идентификатор vrrp группы
- Укажем ip адрес виртуального шлюза 192 68 0
- Настройка vrrp tracking
- Терминируется на нем и в момент когда r1 выступает в роли vrrp master пакеты будут переданы в соответствующий интерфейс на маршрутизаторе необходимо создать маршрут для пакетов с ip адресом назначения из сети 10 24 в момент когда r1 выступает в роли vrrp master для этого создадим tracking ogject с соответствующим условием
- Создадим статический маршрут в подсеть 10 24 через 192 68 который
- Решение
- На маршрутизаторе r2 никаких изменений не требуется так как подсеть 10 24 на маршрутизаторе r2 никаких изменений не требуется так как подсеть 10 24
- Маршрутизаторы серии esr руководство по эксплуатации 111
- Маршрутизатор r2
- Будет работать в случае удовлетворения условия из tracking 1
- Настройка vrf lite
- Маршрутизаторы серии esr руководство по эксплуатации
- Информацию принадлежащую различным классам например маршруты одного клиента
- Задача к маршрутизатору серии esr подключены 2 сети которые необходимо изолировать
- Vrf virtual routing and forwarding технология которая позволяет изолировать маршрутную
- Создадим правило для пары зон и разрешим любой tcp udp трафик
- Создадим зону безопасности
- Создадим vrf
- Рисунок 7 5 схема сети
- Решение
- От остальных сетей
- Технология multiwan позволяет организовать отказоустойчивое соединение с
- Таблицу маршрутов vrf можно просмотреть с помощью команды
- Создадим привязку интерфейсов назначим ip адреса укажем принадлежность к зоне
- Рисунок 7 6 схема сети
- Резервированием линков от нескольких провайдеров а также решает проблему балансировки трафика между резервными линками
- Настройка multiwan
- Маршрутизаторы серии esr руководство по эксплуатации 113
- Информацию об интерфейсах привязанных к vrf можно посмотреть командой
- Изменения конфигурации вступят в действие после применения
- Задача настроить маршрут к серверу 108 6 28 с возможностью балансировки нагрузки
- Укажем участвующие интерфейсы
- Создадим цель проверки целостности
- Создадим список для проверки целостности соединения
- Создадим правило wan
- Соединения
- Решение
- Предварительно нужно выполнить следующие действия
- Основной этап конфигурирования
- Настроить зоны для интерфейсов te1 0 1 и te1 0 2
- Настроим маршрутизацию
- Настроим интерфейсы в режиме конфигурирования интерфейса te1 0 1 указываем nexthop
- Маршрутизаторы серии esr руководство по эксплуатации
- Зададим адрес для проверки включим проверку указанного адреса и выйдем
- Включим созданное правило балансировки и выйдем из режима конфигурирования правила
- В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки
- В режиме конфигурирования интерфейса te1 0 1 включаем wan режим и выходим
- Указать ip адреса для интерфейсов te1 0 1 и te1 0 2
- Функция multiwan также может работать в режиме резервирования в котором трафик будет
- Соединения
- Протокол предназначенный для управления устройствами в ip сетях на основе архитектур tcp udp snmp предоставляет данные для управления в виде переменных описывающих конфигурацию управляемой системы
- Пользователя admin ip адрес маршрутизатора esr 192 68 2 1 ip адрес сервера 192 68 2
- Настройка snmp
- Направляться в активный интерфейс с наибольшим весом включить данный режим можно следующей командой
- Маршрутизаторы серии esr руководство по эксплуатации 115
- Изменения конфигурации вступят в действие после применения
- Заходим в режим настройки правила wan
- Задача настроить snmpv3 сервер с аутентификацией и шифрованием данных для
- Для переключения в режим резервирования настроим следующее
- В режиме конфигурирования интерфейса te1 0 2 указываем nexthop
- В режиме конфигурирования интерфейса te1 0 2 включаем wan режим и выходим
- В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки
- Snmp англ simple network management protocol простой протокол сетевого управления
- Устанавим пароль для шифрования передаваемых данных
- Устанавим пароль для аутентификации snmpv3 запросов
- Указать зону для интерфейса gi1 0 1
- Создаем пользователя snmpv3
- Рисунок 7 7 схема сети
- Решение
- Предварительно нужно выполнить следующие действия
- Основной этап конфигурирования
- Определяем сервер приемник trap pdu сообщений
- Определим режим безопасности
- Определим алгоритм шифрования передаваемых данных
- Определим алгоритм аутентификации для snmpv3 запросов
- Настроить ip адрес для интерфейсов gi1 0 1
- Маршрутизаторы серии esr руководство по эксплуатации
- Включаем snmp сервер
- Активируем snmpv3 пользователя
- Создадим три зоны безопасности на устройстве согласно схеме сети
- Рисунок 7 88 схема сети
- Решение
- Пользователей
- Переходить к конфигурированию устройства
- Настройка bras broadband remote access server
- Маршрутизаторы серии esr руководство по эксплуатации 117
- Изменения конфигурации вступят в действие после применения
- Задача предоставлять доступ до ресурсов сети интернет только для авторизованных
- За хранение учетных данных пользователей и параметров тарифных планов отвечает сервер
- Для маршрутизатора необходимо наличие лицензии bras после ее активации можно
- Softwlc информацию по установке и настройке сервера softwlc можно найти по ссылкам ниже
- Http kcs eltex nsk ru articles 960 общая статья по softwlc
- Http kcs eltex nsk ru articles 474 установка softwlc из репозиториев
- Маршрутизаторы серии esr руководство по эксплуатации
- Зададим параметры для взаимодействия с этим модулем
- Укажем параметры доступа к das direct attached storage серверу
- Создадим профиль aaa
- Сконфигурируем порт для подключения wi fi точки доступа
- Сконфигурируем порт в сторону сервера softwlc
- Сконфигурируем параметры публичного порта и сразу пропишем шлюз по умолчанию
- Сервера softwlc номера портов для аутентификации и аккаутинга в нашем примере это значения по умолчанию для softwlc
- Подключать клиентов необходимо через сабинтерейсы в бриджы причем от параметра location смотри конфигурацию bridge 2 зависит выбор тарифного плана
- Модуль отвечающий за ааа операции основан на eltex radius и доступен по ip адресу
- Необходимо настроить разрешающие правила для пропуска dhcp и dns запросов
- Маршрутизаторы серии esr руководство по эксплуатации 119
- Зададим web ресурсы доступные без авторизации
- До аутентификации весь трафик из зоны trusted блокируется в том числе dhcp и dns запросы
- Далее создаем правила для редиректа на портал и пропуска трафика в интернет
- Далее необходимо сконфигурировать правила перехода между зонами безопасности
- Softwlc если используется адресация отличная от данного примера все остальное в url оставить без изменения
- Softwlc в данном примере это ip адрес интерфейса gigabitethernet 1 0 24
- Списки фильтрации по url находятся на сервере softwlc меняется только ip адрес сервера
- Сконфигурируем и включим bras в качестве nas ip указываем адрес интерфейса на стыке с
- Разрешим доступ в интернет из зон trusted и dmz
- Маршрутизаторы серии esr руководство по эксплуатации
- Разрешим прохождение icmp к устройству для работы bras необходимо открыть порты для
- Разрешим прохождение dhcp из trusted в dmz
- Маршрутизаторы серии esr руководство по эксплуатации 121
- Веб проксирования tcp 3129 3128 netport discovery port active api server port
- Активируем dhcp relay
- Настроим snat в порт gigabitethernet 1 0 1
- Маршрутизаторы серии esr руководство по эксплуатации
- Изменения конфигурации вступят в действие после применения
- Часто задаваемые вопросы
Похожие устройства
-
Eltex RG-5440G-WZРуководство по работе с устройством -
Eltex RG-5440G-WACРуководство по настройке
-
Eltex RG-35-WACРуководство по эксплуатации -
Eltex ME5100SСправочник команд CLI -
Eltex ME5100SТехническое описание -
Eltex ME5100SРуководство по настройке -
Eltex ME5100SРуководство по установке и быстрому запуску -
Eltex ME5000MСправочник команд CLI
-
Eltex ME5000MТехническое описание -
Eltex ME5000MРуководство по настройке
-
Eltex ME5000MРуководство по установке и быстрому запуску
-
Eltex ME2001Техническое описание
Узнайте, как настроить терминацию Q-in-Q на маршрутизаторах, включая создание саб-интерфейсов и применение конфигурации для VLAN. Подробное руководство.