Eltex ESR-10 — настройка маршрутизаторов и DHCP-сервера для локальной сети [33/97]

Содержание

• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.2
• Целевая аудитория p.5
• Введение p.5
• Аннотация p.5
• Условные обозначения p.5
• Функции интерфейсов p.7
• Функции p.7
• Назначение p.7
• Описание изделия p.7
• Статические ip маршруты p.8
• В таблице 2 приведены функции и особенности второго уровня уровень 2 osi p.8
• Режим обучения p.8
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.8
• Динамическая маршрутизация p.8
• Таблица arp p.8
• Таблица 2 описание функций третьего уровня layer 3 p.8
• Таблица 2 описание функций второго уровня уровень 2 osi поддержка vlan p.8
• В таблице 2 приведены функции третьего уровня уровень 3 osi p.8
• В таблице 2 приведены функции устройства при работе с mac адресами p.8
• Функции третьего уровня сетевой модели osi p.8
• Функции при работе с mac адресами p.8
• Функции второго уровня сетевой модели osi p.8
• Таблица 2 функции работы с mac адресами таблица mac адресов p.8
• Туннелирования p.9
• Трансляция сетевых адресов p.9
• Сервер dhcp p.9
• Функции туннелирования трафика p.9
• Таблица 2 функции туннелирования трафика p.9
• Протоколы p.9
• Клиент dhcp p.9
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 9 p.9
• Nat network address translation p.9
• Dynamic host configuration protoco p.9
• Функции телефонии p.10
• В таблице приведены функции телефонии реализованные на esr 12v p.10
• Фильтрация данных p.10
• Таблица 2 основные функции управления и конфигурирования загрузка и выгрузка файла настройки p.10
• Сетевые утилиты ping traceroute p.10
• Сервер ssh сервер telnet p.10
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.10
• Аутентификация p.10
• Функции управления и конфигурирования p.10
• Syslog p.10
• Функции сетевой защиты p.10
• Управление контролируемым доступом уровни привилегий p.10
• Таблица 2 функции сетевой защиты p.10
• Интерфейс командной строки cli p.10
• Зоны безопасности p.10
• В таблице приведены функции сетевой защиты выполняемые устройством p.10
• Автоматическое восстановление конфигурации p.10
• Голосовые функции p.11
• Протоколы ip телефонии p.11
• Таблица 2 функции телефонии p.11
• Таблица 2 основные технические характеристики p.11
• Основные технические характеристики p.11
• Основные технические параметры маршрутизатора приведены в таблице таблица 2 p.11
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 11 p.11
• Кодеки p.11
• Дополнительные виды обслуживания p.11
• Изображения передней задней и боковых панелей устройства описаны разъемы светодиодные индикаторы и органы управления p.12
• В данном разделе описано конструктивное исполнение устройства представлены p.12
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.12
• Конструктивное исполнение p.12
• Таблица 2 0 описание разъемов индикаторов и органов управления передней панели esr 12v p.13
• Панель esr 12v p.13
• Внешний вид передней панели esr 12v показан на рисункерисунок 2 передняя панель esr p.13
• Внешний вид задней панели устройства esr 12v приведен на рисунке рисунок 2 задняя p.13
• В таблице таблица 2 0 приведен перечень разъемов светодиодных индикаторов и органов p.13
• Устройство выполнено в металлическом корпусе с возможностью установки в 19 p.13
• Управления расположенных на передней панели устройства esr 12v p.13
• Рисунок 2 передняя панель esr 12v p.13
• Передняя панель устройств esr 12v p.13
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 13 p.13
• Конструктивное исполнение esr 12v p.13
• Конструктив высота корпуса 1u p.13
• Задняя панель устройств esr 12v p.13
• Световая индикация esr 12v p.14
• Значений p.15
• Задняя панель устройств esr 10 p.15
• Внешний вид задней панели esr 10 показан на рисунке 2 p.15
• В таблице 2 4 приведен перечень разъемов светодиодных индикаторов и органов p.15
• В следующей таблице приведено описание состояний системных индикаторов устройства и их p.15
• Управления расположенных на задней панели устройства esr 10 p.15
• Таблица 2 4 описание разъемов задней панели p.15
• Таблица 2 3 состояния системных индикаторов p.15
• Рисунок 2 задняя панель esr 10 p.15
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 15 p.15
• Конструктивное исполнение esr 10 p.15
• Таблица 2 6 описание индикаторов верхней панели p.16
• Таблица 2 5 описание разъемов панели маршрутизатора p.16
• Рисунок 2 верхняя панель маршрутизатора esr 10 p.16
• Рисунок 2 боковая панель маршрутизатора esr 10 p.16
• Панели маршрутизатора p.16
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.16
• Верхняя панель устройство esr 10 p.16
• В таблице таблица 2 6 приведен перечень разъемов светодиодных индикаторов и органов p.16
• В таблице таблица 2 5 приведен перечень органов управления расположенных на правой p.16
• Боковые панели устройства esr 10 p.16
• Управления расположенных на верхней панели устройства esr 10 p.16
• Таблица 2 8 состояния системных индикаторов p.17
• Таблица 2 7 световая индикация состояния медных интерфейсов и sfp интерфейсов p.17
• Состояние медных интерфейсов gigabitethernet и sfp интерфейсов отображается двумя p.17
• Светодиодными индикаторами link act зеленого цвета и speed янтарного цвета p.17
• Световая индикация esr 10 p.17
• По заказу покупателя в комплект поставки могут быть включены sfp трансиверы по заказу покупателя в комплект поставки могут быть включены sfp трансиверы p.17
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 17 p.17
• Маршрутизатор esr 12v кабель питания кабель для подключения к порту console rj 45 db9f документация p.17
• Маршрутизатор esr 10 внешний блок питания 12v dc кабель для подключения к порту console rj 45 db9f документация p.17
• Комплект поставки p.17
• Значений p.17
• В следующей таблице приведено описание состояний системных индикаторов устройства и их p.17
• В базовый комплект поставки esr 12v входят p.17
• В базовый комплект поставки esr 10 входят p.17
• Крепление крронштейнов для esr 12v p.18
• Установка и подключение p.18
• Установка esr 12v в стойку p.18
• Подключение питающей сети p.19
• Интерфейсы управления p.20
• Интерфейс командной строки cli p.20
• Начальная настройка маршрутизатора p.21
• Заводская конфигурация маршрутизатора esr p.21
• Подключение к маршрутизатору p.22
• Подключение и конфигурирование маршрутизатора p.22
• Базовая настройка маршрутизатора p.23
• Провайдер может использовать динамически назначаемые адреса в своей сети для p.25
• Для того чтобы убедиться что адрес был назначен интерфейсу после применения p.25
• Для создания разрешающего правила используются следующие команды p.25
• В заводской конфигурации разрешен удаленный доступ к маршрутизатору по протоколам p.25
• Telnet или ssh из зоны trusted для того чтобы разрешить удаленный доступ к маршрутизатору из других зон например из публичной сети необходимо создать соответствующие правила в firewall p.25
• Source zone зона из которой будет осуществляться удаленный доступ p.25
• Self зона в которой находится интерфейс управления маршрутизатором p.25
• Dhcp сервера на интерфейсе gigabitethernet 1 0 3 p.25
• Пример настройки предназначенной для получения динамического ip адреса от p.25
• При конфигурировании доступа к маршрутизатору правила создаются для пары зон p.25
• После применения конфигурации p.25
• Получения ip адреса может использоваться протокол dhcp если в сети присутствует сервер dhcp p.25
• Настройка удаленного доступа к маршрутизатору p.25
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 25 p.25
• Конфигурации введите следующую команду p.25
• Для того чтобы убедиться что адрес был назначен интерфейсу введите следующую команду p.25
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.26
• Конфигурация устройства вернётся в прежнее состояние существовавшее до ввода команды commit p.26
• Если при конфигурировании использовался удаленный доступ к устройству и сетевые p.26
• Если ввести команду confirm не удастся то по истечении таймера подтверждения p.26
• Для применения выполненных изменений конфигурации маршрутизатора требуется ввести p.26
• 6 132 6 0 подключаться к маршрутизатору с ip адресом 40 3 2 по протоколу ssh p.26
• Следующие команды из корневого раздела командного интерфейса p.26
• Пример команд для разрешения пользователям из зоны untrusted с ip адресами p.26
• Применение базовых настроек p.26
• Параметры интерфейса управления изменились то после ввода команды commit соединение с устройством может быть потеряно используйте новые сетевые параметры заданные в конфигурации для подключения к устройству и ввода команды confirm p.26
• Обновление программного обеспечения средствами системы p.27
• Обновление программного обеспечения p.27
• Обновление программного обеспечения из начального загрузчика p.28
• Обновление вторичного загрузчика u boot p.29
• Новый файл вторичного загрузчика сохраняется на flash на месте старого p.29
• Можно сохранить окружение командой saveenv для будущих обновлений p.29
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 29 p.29
• Команду version в cli u boot также версия отображается в процессе загрузки маршрутизатора p.29
• Запустите процедуру обновления программного обеспечения p.29
• Запустите загруженное программное обеспечение p.29
• Для просмотра текущей версии загрузочного файла работающего на устройстве введите p.29
• Вторичный загрузчик занимается инициализацией nand и маршрутизатора при обновлении p.29
• Укажите ip адрес маршрутизатора p.29
• Процедура обновления по p.29
• Остановите загрузку устройства после окончания инициализации маршрутизатора p.29
• Укажите ip адрес маршрутизатора p.30
• Укажите ip адрес tftp сервера p.30
• Перезагрузите маршрутизатор p.30
• Можно сохранить окружение командой saveenv для будущих обновлений p.30
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.30
• Запустите процедуру обновления программного обеспечения p.30
• Примеры настройки маршрутизатора p.31
• Настройка vlan p.31
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 31 p.31
• Изменения конфигурации вступят в действие после применения p.31
• Задача 1 настроить порты gi1 0 1 для передачи и приема пакетов в vlan 2 vlan 64 vlan p.31
• В режиме trunk настроить порт gi1 0 2 в режиме access для vlan 2 на esr p.31
• Vlan virtual local area network логическая виртуальная локальная сеть представляет p.31
• Создадим vlan 2 vlan 64 vlan 2000 на esr 12v esr 200 p.31
• Собой группу устройств которые взаимодействуют между собой на канальном уровне независимо от их физического местонахождения p.31
• Рисунок 7 схема сети p.31
• Решение p.31
• Пропишем vlan 2 на порт gi1 0 2 p.31
• Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1 p.31
• Настроим подключение к radius серверу и укажем ключ password p.32
• Набору команд минимально необходимый уровень пользовательских привилегий 1 15 в дальнейшем при создании пользователя можно задать уровень привилегий определяя ему доступный набор команд p.32
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.32
• Изменения конфигурации вступят в действие после применения p.32
• Задача настроить аутентификацию пользователей подключающихся по telnet через radius p.32
• Authorization авторизация проверка полномочий проверка уровня доступа сопоставление учётной записи в системе и определённых полномочий p.32
• Authentication аутентификация сопоставление персоны запроса существующей учётной записи в системе безопасности осуществляется по логину паролю p.32
• Укажем режим аутентификации используемый при подключении по telnet протоколу p.32
• Accounting учёт слежение за подключением пользователя или внесенным им изменениям p.32
• Создадим профиль аутентификации p.32
• Aaa authentication authorization accounting используется для описания процесса p.32
• Решение p.32
• 192 68 6 24 p.32
• Просмотреть информацию по настройкам подключения к radius серверу можно командой p.32
• Предоставления доступа и контроля над ним p.32
• Посмотреть профили аутентификации можно командой p.32
• Настройка привилегий команд является гибким инструментом который позволяет назначить p.32
• Настройка привилегий команд p.32
• Настройка ааа p.32
• Настройка dhcp сервера p.33
• Создадим пул адресов с именем simple и добавим в данный пул адресов диапазон ip p.34
• Маршрутизаторе должен быть создан ip интерфейс принадлежащий к той же подсети что и адреса пула p.34
• Маршрут по умолчанию 192 68 p.34
• Имя домена eltex loc p.34
• Для того чтобы dhcp сервер мог раздавать ip адреса из конфигурируемого пула на p.34
• Для разрешения прохождения сообщений протокола dhcp к серверу необходимо создать p.34
• Адресов для выдачи в аренду клиентам сервера укажем параметры подсети к которой принадлежит данный пул и время аренды для выдаваемых адресов p.34
• Список dns серверов dns1 172 6 dns2 8 p.34
• Соответствующие профили портов включающие порт источника 68 и порт назначения 67 используемые протоколом dhcp и создать разрешающее правило в политике безопасности для прохождения пакетов протокола udp p.34
• Сконфигурируем передачу клиентам дополнительных сетевых параметров p.34
• Разрешим работу сервера p.34
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.34
• Рисунок 7 схема сети p.35
• Проходящих через сетевой шлюз p.35
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 35 p.35
• Локальной сети в зоне trust адрес сервера в локальной сети 10 00 сервер должен быть доступным извне по адресу 1 доступный порт 80 p.35
• Конфигурирование настроек для ipv6 производится по аналогии с ipv4 p.35
• Конфигурирование p.35
• Используемых сетевых интерфейсов к зонам одновременно назначим ip адреса интерфейсам p.35
• Изменения конфигурации вступят в действие после применения p.35
• Задача организовать доступ из публичной сети относящейся к зоне untrust к серверу p.35
• Адрес в публичной сети на реальный сервер в локальной сети находящийся за сетевым шлюзом эту функцию можно использовать для организации публичного доступа к серверам находящимся в частной сети и не имеющим публичного сетевого адреса p.35
• Dnat используется для перенаправления трафика идущего на некоторый виртуальный p.35
• Функция destination nat dnat состоит в преобразовании ip адреса назначения у пакетов p.35
• Destinatio p.35
• Создадим зоны безопасности untrust и trust установим принадлежность p.35
• Решение p.35
• Просмотреть список арендованных адресов можно с помощью команды p.35
• Просмотреть сконфигурированные пулы адресов можно командами p.35
• Пару зон пропускать следует только трафик с адресом назначения соответствующим заданному в профиле server_ip и прошедший преобразование dnat p.36
• Назначения в которые будут транслироваться адреса пакетов поступающие на адрес 1 из внешней сети p.36
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.36
• Для пропуска трафика идущего из зоны untrust в trust создадим соответствующую p.36
• Войдем в режим конфигурирования функции dnat и создадим пул адресов и портов p.36
• Адресов в атрибутах набора укажем что правила применяются только для пакетов пришедших из зоны untrust набор правил включает в себя требования соответствия данных по адресу и порту назначения match destination address match destination port и по протоколу кроме этого в наборе задано действие применяемое к данным удовлетворяющим всем правилам action destination nat набор правил вводится в действие командой enable p.36
• Srv_http профиль портов p.36
• Server_ip профиль адресов локальной сети p.36
• Net_uplink профиль адресов публичной сети p.36
• Создадим профили ip адресов и портов которые потребуются для настройки правил firewall и p.36
• Создадим набор правил dnat в соответствии с которыми будет производиться трансляция p.36
• Правил dnat p.36
• Функция snat может быть использована для предоставления доступа в интернет p.37
• Рисунок 7 схема сети p.37
• Решение p.37
• Проходящих через сетевой шлюз при прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза дополнительно к адресу источника может применяться замена порта источника при прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта p.37
• Произведенные настройки можно посмотреть с помощью команд p.37
• Определения их принадлежности к зонам безопасности создадим доверенную зону trust для локальной сети и зону untrust для публичной сети p.37
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 37 p.37
• Конфигурирование начнем с создания зон безопасности настройки сетевых интерфейсов и p.37
• Конфигурирование source nat p.37
• Компьютерам находящимся в локальной сети при этом не требуется назначения публичных ip адресов этим компьютерам p.37
• Использованием функции source nat задать диапазон адресов публичной сети для использования snat 100 00 100 49 p.37
• Изменения конфигурации вступят в действие после применения p.37
• Задача 1 настроить доступ пользователей локальной сети 10 24 к публичной сети с p.37
• Функция source nat snat используется для подмены адреса источника у пакетов p.37
• Создать профиль адресов локальной сети local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool p.38
• Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool p.38
• Применяются только для пакетов направляющихся в публичную сеть в зону untrust правила включают проверку адреса источника данных на принадлежность к пулу local_net p.38
• Правила разрешающие проходить трафику в этом направлении дополнительно включена проверка адреса источника данных на принадлежность к диапазону адресов local_net для соблюдения ограничения на выход в публичную сеть действие правил разрешается командой enable p.38
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.38
• Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети p.38
• Используемых для сервиса snat p.38
• Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в p.38
• Для пропуска трафика из зоны trust в зону untrust создадим пару зон и добавим p.38
• Для конфигурирования функции snat и настройки правил зон безопасности потребуется p.38
• Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила p.38
• Должна быть настроена маршрутизация адрес 10 должен быть назначен адресом шлюза p.39
• Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них p.39
• Для конфигурирования функции snat потребуется создать профиль адресов локальной сети p.39
• Local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool p.39
• Экрана p.39
• Рисунок 7 схема сети p.39
• Решение p.39
• Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды p.39
• Первым шагом создаётся пул адресов публичной сети используемых для сервиса snat p.39
• На самом маршрутизаторе также должен быть создан маршрут для направления на p.39
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 39 p.39
• Конфигурируем сервис snat p.39
• Конфигурирование начнем с настройки сетевых интерфейсов и отключения межсетевого p.39
• Использованием функции source nat без использования межсетевого экрана firewall диапазон адресов публичной сети для использования snat 200 0 00 200 0 49 p.39
• Изменения конфигурации вступают в действие по команде применения p.39
• Задача 2 настроить доступ пользователей локальной сети 21 2 24 к публичной сети с p.39
• Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них p.40
• Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в p.40
• Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила p.40
• Firewall комплекс аппаратных или программных средств осуществляющий контроль и p.40
• Фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами p.40
• Рисунок 7 схема сети p.40
• Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool p.40
• Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды p.40
• Применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net p.40
• На самом маршрутизаторе также должен быть создан маршрут для направления на p.40
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.40
• Маршрутизатором esr p.40
• Конфигурирование firewall p.40
• Изменения конфигурации вступают в действие по команде применения p.40
• Задача разрешить обмен сообщениями по протоколу icmp между устройствами пк1 пк2 и b p.40
• Должна быть настроена маршрутизация адрес 21 2 должен быть назначен адресом шлюза p.40
• Для пропуска трафика из зоны lan в зону wan создадим пару зон и добавим правило p.41
• Для настройки правил зон безопасности потребуется создать профиль адресов сети lan p.41
• Для каждой сети esr создадим свою зону безопасности p.41
• Включающий адреса которым разрешен выход в сеть wan и профиль адресов сети wan p.41
• Решение p.41
• Разрешающее проходить icmp трафику от пк2 к пк1 действие правил разрешается командой enable p.41
• Разрешающее проходить icmp трафику от пк1 к пк2 действие правил разрешается командой enable p.41
• Получателя трафика выступает сам маршрутизатор то есть трафик не является транзитным то в p.41
• Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности p.41
• На маршрутизаторе всегда существует зона безопасности с именем self если в качестве p.41
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 41 p.41
• Для пропуска трафика из зоны wan в зону lan создадим пару зон и добавим правило p.41
• Посмотреть пары зон и их конфигурацию можно с помощью команд p.42
• Посмотреть активные сессии можно с помощью команд p.42
• Настройка списков доступа acl p.42
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.42
• Качестве параметра указывается зона self создадим пару зон для трафика идущего из зоны wan в зону self добавим правило разрешающее проходить icmp трафику между пк2 имаршрутизатором esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны wan p.42
• Изменения конфигурации вступят в действие по следующим командам p.42
• Задача разрешить прохождения трафика только из подсети 192 68 0 24 p.42
• Access control list или acl список контроля доступа содержит правила определяющие p.42
• Создадим пару зон для трафика идущего из зоны lan в зону self добавим правило p.42
• Разрешающее проходить icmp трафику между пк1 и esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны lan p.42
• Прохождение трафика через интерфейс p.42
• Посмотреть членство портов в зонах можно с помощью команды p.42
• Статическая маршрутизация вид маршрутизации при котором маршруты указываются в p.43
• Рисунок 7 схема сети p.43
• Решение p.43
• Просмотреть детальную информацию о списке доступа возможно через команду p.43
• Применим список доступа на интерфейс gi1 0 4 для входящего трафика p.43
• Настроим список доступа для фильтрации по подсетям p.43
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 43 p.43
• Конфигурирование статических маршрутов p.43
• Изменения конфигурации вступят в действие по следующим командам p.43
• Задача настроить доступ к сети internet для пользователей локальной сети 192 68 24 и p.43
• Зададим имя устройства для маршрутизатора r1 p.43
• 8 используя статическую маршрутизацию на устройстве r1 создать шлюз для доступа к сети internet трафик внутри локальной сети должен маршрутизироваться внутри зоны lan трафик из сети internet должен относиться к зоне wan p.43
• Явном виде при конфигурации маршрутизатора без использования протоколов динамической маршрутизации p.43
• Создадим маршрут для взаимодействия с сетью internet используя в качестве nexthop шлюз p.44
• Создадим маршрут для взаимодействия с сетью 10 8 используя в качестве шлюза p.44
• Провайдера 128 07 p.44
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.44
• Командам p.44
• Интерфейс r1 будет подключен к устройству r2 для последующей маршрутизации трафика p.44
• Изменения конфигурации на маршрутизаторе r1 вступят в действие по следующим p.44
• Зададим имя устройства для маршрутизатора r2 p.44
• Для интерфейса gi1 0 3 укажем адрес 128 07 30 и зону wan через данный интерфейс p.44
• Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный p.44
• Для интерфейса gi1 0 1 укажем адрес 192 68 24 и зону lan через данный интерфейс p.44
• Для интерфейса gi1 0 1 укажем адрес 10 8 и зону lan через данный интерфейс r2 p.44
• Будет подключен к сети 10 8 p.44
• R1 будет подключен к сети internet p.44
• R1 будет подключен к сети 192 68 24 p.44
• Устройство r2 192 68 00 p.44
• Включим interface e1 1 0 1 interface e1 1 0 4 в группу агрегации mlppp 3 p.45
• Рисунок 7 схема сети p.45
• Решение p.45
• Проверить таблицу маршрутов можно командой p.45
• Переключаем интерфейс gigabitethernet 1 0 3 в режим работы е1 p.45
• Настройка mlppp p.45
• Методы для распространения трафика через несколько физических каналов имея одно логическое соединение этот вариант позволяет расширить пропускную способность и обеспечивает балансировку нагрузки p.45
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 45 p.45
• Маршрутизатора r1 192 68 00 p.45
• Командам p.45
• Интерфейс r2 будет подключен к устройству r1 для последующей маршрутизации трафика p.45
• Изменения конфигурации на маршрутизаторе r2 вступят в действие по следующим p.45
• Задача настроить mlppp соединение с встречной стороной с ip адресом 10 7 24 через p.45
• Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный p.45
• Устройство mxe p.45
• Multilink ppp mlppp предоставляет собой агрегированный канал включающий в себя p.45
• Создадим маршрут по умолчанию указав в качестве nexthop ip адрес интерфейса gi1 0 2 p.45
• Создадим зону безопасности trusted p.46
• Создадим vlan 333 p.46
• Рисунок 7 схема сети p.46
• Решение p.46
• Настройка bridge p.46
• Настроим mlppp 3 p.46
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.46
• Локальной сети и l2tpv3 туннель проходящий по публичной сети для объединения использовать vlan 333 p.46
• Использования протоколов более высокого уровня таких как ip пакеты передаются на основе ethernet адресов а не ip адресов поскольку передача выполняется на канальном уровне уровень 2 модели osi трафик протоколов более высокого уровня прозрачно проходит через мост p.46
• Изменения конфигурации вступят в действие по следующим командам p.46
• Задача 1 объединить в единый l2 домен интерфейсы маршрутизатора относящиеся к p.46
• Добавим интерфейсы gi1 0 11 gi1 0 12 в vlan 333 p.46
• Bridge мост это способ соединения двух сегментов ethernet на канальном уровне без p.46
• Назначим интерфейсу gi1 0 14 vlan 60 p.47
• Vlan 50 должен относиться к зоне lan1 vlan 60 к зоне lan2 разрешить свободную передачу трафика между зонами p.47
• Установим принадлежность l2tpv3 туннеля к мосту который связан с локальной сетью p.47
• Создадим зоны безопасности lan1 и lan2 p.47
• Создадим vlan 50 60 p.47
• Создадим bridge 333 привяжем к нему vlan 333 и укажем членство в зоне trusted p.47
• Рисунок 7 0 схема сети p.47
• Решение p.47
• Настройка l2tpv3 туннеля рассматривается в разделе 7 7 в общем случае идентификаторы моста и туннеля не должны совпадать с vid как в данном примере p.47
• Назначим интерфейсам gi1 0 11 gi1 0 12 vlan 50 p.47
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 47 p.47
• Задача 2 настроить маршрутизацию между vlan 50 10 0 24 и vlan 60 10 0 24 p.47
• Настройка rip p.48
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.48
• Количество транзитных участков в качестве метрики маршрута максимальное количество транзитных участков hop разрешенное в rip равно 15 каждый rip маршрутизатор по умолчанию вещает в сеть свою полную таблицу маршрутизации один раз в 30 секунд rip работает на 3 м уровне стека tcp ip используя udp порт 520 p.48
• Изменения конфигурации вступят в действие по следующим командам p.48
• Rip дистанционно векторный протокол динамической маршрутизации который использует p.48
• Создадим правила в firewall разрешающие свободное прохождение трафика между зонами p.48
• Создадим bridge 60 привяжем vlan 60 укажем ip адрес 10 0 24 и членство в зоне p.48
• Создадим bridge 50 привяжем vlan 50 укажем ip адрес 10 0 24 и членство в зоне p.48
• Посмотреть членство интерфейсов в мосте можно командой p.48
• Рисунок 7 1 схема сети p.49
• Решение p.49
• Приведенной на рисунке 7 1 p.49
• Предварительно нужно настроить ip адреса на интерфейсах согласно схеме сети p.49
• После установки всех требуемых настроек включаем протокол p.49
• Перейдём в режим конфигурирования протокола rip p.49
• Настроим таймер отвечающий за отправку маршрутной информации p.49
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 49 p.49
• Изменения конфигурации вступят в действие после применения p.49
• Задача настроить на маршрутизаторе протокол rip для обмена маршрутной информацией с p.49
• Для того чтобы просмотреть таблицу маршрутов rip воспользуемся командой p.49
• Для анонсирования протоколом статических маршрутов выполним команду p.49
• Укажем подсети которые будут анонсироваться протоколом 115 24 14 24 и p.49
• Соседними маршрутизаторами маршрутизатор должен анонсировать статические маршруты и подсети 115 24 14 24 10 24 анонсирование маршрутов должно происходить каждые 25 секунд p.49
• Настройка ospf p.50
• Решение p.51
• Протокола rip p.51
• Приведенной на рисунке 7 3 p.51
• Предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме p.51
• На тупиковом маршрутизаторе r3 включим анонсирование маршрутной информации из p.51
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 51 p.51
• Маршрутизатор должен анонсировать маршруты полученные по протоколу rip p.51
• Конфигурирования области выполним команду p.51
• Изменим тип области на тупиковый на каждом маршрутизаторе из области 1 в режиме p.51
• Изменения конфигурации вступят в действие после применения p.51
• Изменения конфигурации вступают в действие по команде применения p.51
• Задача 3 объединить две магистральные области в одну с помощью virtual link p.51
• Задача 2 изменить тип области 1 область должна быть тупиковой тупиковый p.51
• Соседства с другими маршрутизаторами привяжем их к ospf процессу и области далее включим на интерфейсе маршрутизацию по протоколу ospf p.51
• Соседние маршрутизаторы подключены к интерфейсам gi1 0 5 и gi1 0 4 для установления p.51
• Рисунок 7 3 схема сети p.51
• Настройка bgp p.53
• Процесса p.54
• Объявим подсети подключённые напрямую p.54
• Необходимо в firewall разрешить tcp порт 179 p.54
• Настройка политики маршрутизации pbr p.54
• Настройка route map для bgp p.54
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.54
• Информацию при её приёме от соседа либо при её передаче соседу обработка может включать в себя фильтрацию на основании различных признаков маршрута а также установку атрибутов med as path community localpreference и другое на соответствующие маршруты p.54
• Информацию о bgp пирах можно посмотреть командой p.54
• Изменения конфигурации вступят в действие после применения p.54
• Входим в режим конфигурирования маршрутной информации для ipv4 p.54
• Включим работу протокола p.54
• Route map могут служить фильтрами позволяющими обрабатывать маршрутную p.54
• Также route map может назначать маршруты на основе списков доступа acl p.54
• Таблицу маршрутов протокола bgp можно просмотреть с помощью команды p.54
• Создадим соседства с 185 219 с указанием автономных систем p.54
• Создадим bgp процесс для as 2500 и войдем в режим конфигурирования параметров p.54
• Рисунок 7 7 схема сети p.56
• Привязываем политику к анонсируемой маршрутной информации p.56
• Предварительно нужно выполнить следующие действия p.56
• Пользователей p.56
• Назначить ip адреса на интерфейсы p.56
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.56
• Изменения конфигурации вступят в действие после применения p.56
• Задача 1 распределить трафик между интернет провайдерами на основе подсетей p.56
• Если community содержит 2500 25 то назначаем ему med 240 и origin egp p.56
• В bgp процессе as 2500 заходим в настройки параметров соседа p.56
• Адресов 10 0 24 через isp2 80 6 3 требуется контролировать доступность адресов провайдеров работоспособность подключений к isp и при неработоспособности одного из подключений переводить с него на рабочее подключение весь трафик p.56
• Route map на основе списков доступа policy based routing p.56
• Требуется направлять трафик с адресов 10 0 24 через isp1 184 5 50 а трафик с требуется направлять трафик с адресов 10 0 24 через isp1 184 5 50 а трафик с p.56
• Создаем правило p.56
• Указываем список доступа acl в качестве фильтра p.57
• Указываем nexthop для sub30 и выходим p.57
• Указываем nexthop для sub20 p.57
• Создаем правило 2 p.57
• Создаем правило 1 p.57
• Создаем политику p.57
• Создаем acl p.57
• Решение p.57
• Правилом 1 будет обеспечена маршрутизация трафика с сети 10 0 24 на адрес p.57
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 57 p.57
• 5 50 а при его недоступности на адрес 80 6 3 приоритетность шлюзов задается значениями метрик 10 и 30 p.57
• Настройка gre туннелей p.58
• Включить вычисление и включение в пакет контрольной суммы заголовка gre и инкапсулированного пакета для исходящего трафика p.59
• Включим туннель p.59
• Указать уникальный идентификатор p.59
• Указать значение dscp mtu ttl p.59
• Также туннель должен принадлежать к зоне безопасности для того чтобы можно было p.59
• Счетчики входящих и отправленных пакетов можно посмотреть командой p.59
• Состояние туннеля можно посмотреть командой p.59
• Создать правила разрешающие прохождение трафика в firewall принадлежность туннеля к зоне задается следующей командой p.59
• После применения настроек трафик будет инкапсулироваться в туннель и отправляться p.59
• Партеру независимо от наличия gre туннеля и правильности настроек с его стороны p.59
• Опционально для gre туннеля можно указать следующие параметры p.59
• На маршрутизаторе должен быть создан маршрут до локальной сети партнера в качестве p.59
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 59 p.59
• Интерфейса назначения указываем ранее созданный туннель gre p.59
• Для применения изменений конфигурации выполним следующие команды p.59
• Включить проверку наличия и корректности контрольной суммы gre для входящего трафика p.59
• Настройка l2tpv3 туннелей p.60
• Включим ранее созданный туннель и выйдем p.61
• Установим принадлежность саб интерфейса к мосту который должен быть связан с p.61
• Установим принадлежность l2tpv3 туннеля к мосту который должен быть связан с сетью p.61
• Укажем идентификаторы туннеля для локальной и удаленной сторон p.61
• Укажем идентификаторы сессии внутри туннеля для локальной и удаленной сторон p.61
• Удаленного офиса настройка моста рассматривается в пункте 7 0 p.61
• Состояние туннеля можно посмотреть командой p.61
• Создадим саб интерфейс для коммутации трафика поступающего из туннеля в локальную p.61
• Сеть с тегом vlan id 333 p.61
• После применения настроек трафик будет инкапсулироваться в туннель и отправляться p.61
• Партнеру независимо от наличия l2tpv3 туннеля и правильности настроек с его стороны p.61
• Настройки туннеля в удаленном офисе должны быть зеркальными локальным в качестве p.61
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 61 p.61
• Локальной сетью настройка моста рассматривается в пункте 7 0 p.61
• Локального шлюза должен использоваться ip адрес 183 0 в качестве удаленного шлюза должен использоваться ip адрес 21 номер порта инкапсулирующего протокола на локальной стороне должен быть 520 на стороне партнера 519 идентификатор туннеля на локальной стороне должен быть равным 3 на стороне партнера 2 идентификатор сессии внутри туннеля должен быть равным 200 на стороне партнера 100 также туннель должен принадлежать мосту который необходимо соединить с сетью партнера p.61
• Для применения изменений конфигурации выполним следующие команды p.61
• Настройка ipsec vpn p.62
• Настройка route based ipsec vpn p.62
• Туннеля по которым могут согласовываться узлы p.63
• Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия p.63
• Создадим туннель vti трафик будет перенаправляться через vti в ipsec туннель в качестве p.63
• Создадим статический маршрут до удаленной lan сети для каждой подсети которая p.63
• Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм p.63
• Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм p.63
• Создадим политику протокола ike в политике указывается список профилей протокола ike p.63
• Создадим политику для ipsec туннеля в политике указывается список профилей ipsec p.63
• Протокола и режим перенаправления трафика в туннель p.63
• По которым могут согласовываться узлы и ключ аутентификации p.63
• Находится за ipsec туннелем нужно указать маршрут через vti туннель p.63
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 63 p.63
• Локального и удаленного шлюза указываются ip адреса интерфейсов граничащих с wan p.63
• Для настройки правил зон безопасности потребуется создать профиль порта протокола p.63
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля p.63
• Isakmp p.63
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения p.63
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения p.64
• Создадим туннель vti трафик будет перенаправляться через vti в ipsec туннель в качестве p.64
• Создадим статический маршрут до удаленной lan сети для каждой подсети которая p.64
• Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм p.64
• Создадим политику протокола ike в политике указывается список профилей протокола ike по p.64
• Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим p.64
• Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable p.64
• Находится за ipsec туннелем нужно указать маршрут через vti туннель p.64
• Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности p.64
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.64
• Локального и удаленного шлюза указываются ip адреса интерфейсов граничащих с wan p.64
• Которым могут согласовываться узлы и ключ аутентификации p.64
• Конфигурирование r2 p.64
• Для настройки правил зон безопасности потребуется создать профиль порта протокола isakmp p.64
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля p.65
• Туннеля по которым могут согласовываться узлы p.65
• Состояние туннеля можно посмотреть командой p.65
• Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия p.65
• Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм p.65
• Создадим политику для ipsec туннеля в политике указывается список профилей ipsec p.65
• Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим p.65
• Протокола и режим перенаправления трафика в туннель p.65
• Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable p.65
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 65 p.65
• Конфигурацию туннеля можно посмотреть командой p.65
• В firewall необходимо разрешить протокол esp и isakmp udp порт 500 p.65
• Которым могут согласовываться узлы и ключ аутентификации p.66
• Конфигурирование r1 p.66
• Для настройки правил зон безопасности потребуется создать профиль порта протокола p.66
• Isakmp p.66
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля p.66
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения p.66
• Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия p.66
• Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм p.66
• Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм p.66
• Создадим политику протокола ike в политике указывается список профилей протокола ike по p.66
• Решение p.66
• Протокола и режим перенаправления трафика в туннель p.66
• Настройка policy based ipsec vpn p.66
• Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности p.66
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.66
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 67 p.67
• Которым могут согласовываться узлы и ключ аутентификации p.67
• Конфигурирование r2 p.67
• Для настройки правил зон безопасности потребуется создать профиль порта протокола p.67
• Isakmp p.67
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения p.67
• Туннеля по которым могут согласовываться узлы p.67
• Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия p.67
• Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм p.67
• Создадим политику протокола ike в политике указывается список профилей протокола ike по p.67
• Создадим политику для ipsec туннеля в политике указывается список профилей ipsec p.67
• Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим p.67
• Протокола и режим перенаправления трафика в туннель p.67
• Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable p.67
• Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности p.67
• Настройка удаленного доступа к корпоративной сети по pptp p.68
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.68
• Конфигурацию туннеля можно посмотреть командой p.68
• Задача настроить pptp сервер на маршрутизаторе p.68
• В firewall необходимо разрешить протокол esp и isakmp udp порт 500 p.68
• Pptp англ point to point tunneling protocol туннельный протокол типа точка точка p.68
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля p.68
• Туннеля по которым могут согласовываться узлы p.68
• Состояние туннеля можно посмотреть командой p.68
• Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм p.68
• Создадим политику для ipsec туннеля в политике указывается список профилей ipsec p.68
• Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим p.68
• Протоколу p.68
• Позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в обычной незащищенной сети pptp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет pptp может также использоваться для организации туннеля между двумя локальными сетями рртр использует дополнительное tcp соединение для обслуживания туннеля p.68
• Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable p.68
• Создадим pptp сервер и привяжем вышеуказанные профили p.69
• Рисунок 7 1 схема сети p.69
• Решение p.69
• Пул ip адресов для выдачи 10 0 0 10 0 0 5 p.69
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 69 p.69
• Адрес pptp сервера 120 1 p.69
• Dns серверы 8 8 p.69
• Шлюз внутри туннеля для подключающихся клиентов 10 0 0 p.69
• Учетные записи для подключения fedor ivan p.69
• Создадим профиль адресов содержащий адреса клиентов p.69
• Создадим профиль адресов содержащий адрес локального шлюза p.69
• Создадим профиль адресов содержащий адрес который должен слушать сервер p.69
• Создадим профиль адресов содержащий dns серверы p.69
• Помимо создания pptp сервера необходимо в firewall открыть tcp порт 1723 для обслуживания соединений и разрешить протокол gre 47 для туннельного трафика p.70
• Очистить счетчики сессий pptp сервера можно командой p.70
• Настройка удаленного доступа к корпоративной сети по l2tp over p.70
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.70
• Конфигурацию pptp сервера можно посмотреть командой p.70
• Завершить сессию пользователя fedor pptp сервера можно одной из следующих команд p.70
• Выберем метод аутентификации пользователей pptp сервера p.70
• Включим pptp сервер p.70
• L2tp англ layer 2 tunneling protocol протокол туннелирования второго уровня p.70
• Ipsec протоколу p.70
• Укажем зону безопасности к которой будут относиться сессии пользователей p.70
• Туннельный протокол использующийся для поддержки виртуальных частных сетей l2tp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет l2tp может также использоваться для организации туннеля между двумя локальными сетями l2тр использует дополнительное udp соединение для обслуживания туннеля l2tp протокол не предоставляет средств шифрования данных и поэтому он обычно используется в связке с группой протоколов ipsec которая предоставляет безопасность на пакетном уровне p.70
• Счетчики сессий pptp сервера можно посмотреть командой p.70
• Состояние сессий pptp сервера можно посмотреть командой p.70
• Создадим pptp пользователей ivan и fedor для pptp сервера p.70
• После применения конфигурации маршрутизатор будет прослушивать 120 1 1723 p.70
• Протоколу p.72
• Настройка удаленного доступа к корпоративной сети по openvpn p.72
• Объявим подсети лвс которые будут доступны через openvpn соединение и укажем dns p.73
• Настроить зону для интерфейса te1 0 1 p.73
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 73 p.73
• Импортируем по tftp сертификаты и ключи p.73
• Openvpn сервером p.73
• O сертификат удостоверяющего центра са p.73
• O ключ и сертификат для openvpn сервера p.73
• Указать ip адреса для интерфейса te1 0 1 p.73
• O ключ диффи хелмена и hmac для tls p.73
• Укажем тип соединения l3 и протокол инкапсуляции p.73
• Укажем ранее импортированные сертификаты и ключи которые будет использоваться p.73
• Создадим openvpn сервер и подсеть в которой он будет работать p.73
• Сервер p.73
• Рисунок 7 3 схема сети p.73
• Решение p.73
• Предварительно нужно выполнить следующие действия p.73
• Подготовить сертификаты и ключи p.73
• Настройка qos p.74
• Базовый qos p.74
• Изменения конфигурации вступят в действие после применения p.75
• Задача классифицировать приходящий трафик по подсетям 10 1 24 10 2 24 p.75
• Для того чтобы восьмая очередь стала приоритетной а с первой по седьмую взвешенной p.75
• Включим qos на интерфейсе со стороны wan p.75
• Включим qos на входящем интерфейсе со стороны lan p.75
• Установим ограничение по скорости в 60мбит с для седьмой очереди p.75
• Рисунок 7 4 схема сети p.75
• Решение p.75
• Расширенный qos p.75
• Просмотреть статистику по qos можно командой p.75
• Произвести маркировку по dscp 38 и 42 и произвести разграничение по подсетям 40 мбит с и 60 мбит с ограничить общую полосу до 250 мбит с остальной трафик обрабатывать через механизм sfq p.75
• Перенаправим трафик с dscp 22 в восьмую приоритетную очередь p.75
• Перенаправим трафик с dscp 14 в седьмую взвешенную очередь p.75
• Ограничим количество приоритетных очередей до 1 p.75
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 75 p.75
• Осуществляем привязку класса к политике настраиваем ограничение полосы пропускания и p.76
• Настроим списки доступа для фильтрации по подсетям выходим в глобальный режим p.76
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.76
• Маркировку p.76
• Конфигурации p.76
• Выходим p.76
• Создаём политику и определяем ограничение общей полосы пропускания p.76
• Создаем классы fl1 и fl2 указываем соответствующие списки доступа настраиваем p.76
• Рисунок 7 5 схема сети p.76
• Решение p.76
• Рисунок 7 6 схема сети p.77
• Позволяет передавать данные о трафике адрес отправителя и получателя порт количество информации и др с сетевого оборудования сенсора на коллектор в качестве коллектора может использоваться обычный сервер p.77
• Настройка netflow p.77
• На выходе gi1 0 20 для применения ограничений и режима sfq для класса по умолчанию p.77
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 77 p.77
• Интерфейс gi1 0 4 для обработки p.77
• Изменения конфигурации вступят в действие после применения p.77
• Задача организовать учет трафика с интерфейса gi1 0 1 для передачи на сервер через p.77
• Для просмотра статистики используется команда p.77
• Для другого трафика настраиваем класс с режимом sfq p.77
• Включаем qos на интерфейсах политику на входе интерфейса gi 1 0 19 для классификации и p.77
• Netflow сетевой протокол предназначенный для учета и анализа трафика netflow p.77
• Настройка sflow p.78
• Укажем ip адрес коллектора p.79
• Решение p.79
• Настройка sflow для учета трафика с интерфейса осуществляется аналогично 7 3 настройка netflow p.79
• Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности p.79
• Направления trusted untrusted p.79
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 79 p.79
• Изменения конфигурации вступят в действие после применения p.79
• Для сетей esr создадим две зоны безопасности p.79
• Включим экспорт статистики по протоколу sflow для любого трафика в правиле rule1 для p.79
• Активируем sflow на маршрутизаторе p.79
• Настройка vrrp p.80
• Настройка lacp p.80
• Задача к маршрутизатору серии esr подключены 2 сети которые необходимо изолировать p.83
• Включим vrrp p.83
• Vrf virtual routing and forwarding технология которая позволяет изолировать маршрутную p.83
• Укажем идентификатор vrrp группы p.83
• Укажем ip адрес виртуального шлюза 192 68 0 p.83
• Создадим vrf p.83
• Рисунок 7 1 схема сети p.83
• Решение p.83
• Произвести аналогичные настройки на r2 p.83
• Помимо создания туннеля необходимо в firewall разрешить протокол vrrp 112 p.83
• От остальных сетей p.83
• Настройка vrf lite p.83
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 83 p.83
• Информацию принадлежащую различным классам например маршруты одного клиента p.83
• Изменения конфигурации вступят в действие после применения p.83
• Настройка multiwan p.84
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.84
• Информацию об интерфейсах привязанных к vrf можно посмотреть командой p.84
• Изменения конфигурации вступят в действие после применения p.84
• Технология multiwan позволяет организовать отказоустойчивое соединение с p.84
• Таблицу маршрутов vrf можно просмотреть с помощью команды p.84
• Создадим привязку интерфейсов назначим ip адреса укажем принадлежность к зоне p.84
• Создадим правило для пары зон и разрешим любой tcp udp трафик p.84
• Создадим зону безопасности p.84
• Резервированием линков от нескольких провайдеров а также решает проблему балансировки трафика между резервными линками p.84
• Решение p.85
• Предварительно нужно выполнить следующие действия p.85
• Основной этап конфигурирования p.85
• Настроить зоны для интерфейсов gi1 0 1 и gi1 0 2 p.85
• Настроим маршрутизацию p.85
• Настроим интерфейсы в режиме конфигурирования интерфейса gi1 0 1 указываем nexthop p.85
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 85 p.85
• Задача настроить маршрут к серверу 108 6 28 с возможностью балансировки нагрузки p.85
• Зададим адрес для проверки включим проверку указанного адреса и выйдем p.85
• Включим созданное правило балансировки и выйдем из режима конфигурирования правила p.85
• Указать ip адреса для интерфейсов gi1 0 1 и gi1 0 2 p.85
• Укажем участвующие интерфейсы p.85
• Создадим цель проверки целостности p.85
• Создадим список для проверки целостности соединения p.85
• Создадим правило wan p.85
• Рисунок 7 2 схема сети p.85
• В режиме конфигурирования интерфейса gi1 0 1 включаем wan режим и выходим p.86
• Направляться в активный интерфейс c наибольшим весом включить данный режим можно следующей командой p.86
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.86
• Изменения конфигурации вступят в действие после применения p.86
• Заходим в режим настройки правила wan p.86
• Для переключения в режим резервирования настроим следующее p.86
• В режиме конфигурирования интерфейса gi1 0 2 указываем nexthop p.86
• В режиме конфигурирования интерфейса gi1 0 2 включаем wan режим и выходим p.86
• В режиме конфигурирования интерфейса gi1 0 1 указываем список целей для проверки p.86
• Snmp англ simple network management protocol простой протокол сетевого управления p.86
• Функция multiwan также может работать в режиме резервирования в котором трафик будет p.86
• Соединения p.86
• Протокол предназначенный для управления устройствами в ip сетях на основе архитектур tcp udp snmp предоставляет данные для управления в виде переменных описывающих конфигурацию управляемой системы p.86
• Настройка snmp p.86
• Настройка voip p.88
• Настройка адреса sip proxy сервера p.88
• Настройка sip профиля p.88
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.88
• Маршрутизатора esr 12v p.88
• Информацию посредством ip сетей в рамках данного устройства voip используется для подключения аналоговых телефонных аппаратов к ip сети с возможностью совершения телефонных вызовов p.88
• Задача подключить аналоговые телефонные аппараты и факс модемы к ip сети посредством p.88
• Если необходимо использовать регистрацию на сервере то необходимо выполнить p.88
• Если используется стандартный порт 5060 то его можно не указывать p.88
• Выбор интерфейса для работы voip p.88
• Следующие три пункта p.88
• Базовая настройка p.88
• Рисунок 7 4 схема сети p.88
• Voip англ voice over ip набор протоколов которые позволяют передавать речевую p.88
• Решение p.88
• Настройка порта sip proxy сервера p.88
• Настройка основного sip proxy сервера и сервера регистрации p.88
• Настройка адреса сервера регистрации p.88
• На этом конфигурация sip proxy сервера и сервера регистрации закончена p.89
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 89 p.89
• Если необходимо использовать sip domain для регистрации p.89
• Если используется стандартный порт 5060 то его можно не указывать p.89
• Далее созданный план маршрутизации необходимо присвоить sip профилю p.89
• Далее продолжается настройка sip профиля p.89
• В такой конфигурации все вызовы будут направлены sip proxy серверу если необходимо p.89
• Активация регистрации p.89
• Активация sip профиля p.89
• Указать другое направление для исходящих вызовов то необходимо проделать следующее p.89
• Активация proxy сервера и сервера регистрации p.89
• Указать абонентский номер p.89
• Создать план нумерации см раздел 7 0 p.89
• Следующим этапом является настройка абонентских портов p.89
• Настройка порта сервера регистрации p.89
• Настройка sip домена p.89
• На этом настройка плана нумерации для sip профиля закончена p.89
• На этом минимально необходимая настройка sip профиля закончена p.89
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.90
• Используемый sip профиль p.90
• Изменения конфигурации вступят в действие после применения p.90
• Задача настроить план нумерации так чтобы вызовы на локальных подключенных к p.90
• Данному esr 12v коммутировались локально а вызовы на все остальные направления через sip прокси p.90
• Будет иметь вид p.90
• Активировать план нумерации p.90
• S5 l5 410 1 3 local xabcd s где 4101 3 local значит что вызовы на номера 4101 4102 4103 будут коммутироваться локально xabcd s вызовы на все остальные номера будут направлены к sip прокси p.90
• Указать отображаемое имя p.90
• Создать план нумерации p.90
• Решение p.90
• План нумерации задается при помощи регулярных выражений p.90
• Настройка плана нумерации закончена p.90
• Настройка плана нумерации p.90
• Настройка логина и пароля для аутентификации p.90
• На этом минимальная настройка абонентского порта закончена p.90
• Настройка fxo порта p.93
• На этом базовая настройка fxo порта закончена p.94
• Маршрутизаторы esr 10 esr 12v руководство по эксплуатации p.94
• Изменения конфигурации вступят в действие после применения p.94
• Запретить передачу префикса p.94
• Для того чтобы принимать вызовы с тфоп необходимо выбрать абонента на которого будут p.94
• Для работы исходящих вызовов необходимо в настройках плана нумерации указать p.94
• Активировать услугу hostline pstn to ip p.94
• Указать номер абонента который будет получать вызовы с тфоп p.94
• Совершить вызов в тфоп нужно набрать номер вызываемого абонента с указанным префиксом телефонный номер fxo комплекта p.94
• Следующее правило которое означает что исходящие вызовы на номера имеющие префикс 9 маршрутизируются локально на fxo комплект p.94
• Поступать все вызовы их тфоп допустим это будет абонент с номером 305 p.94
• На этом минимальная настройка исходящих вызовов на тфоп закончена для того чтобы p.94
• Часто задаваемые вопросы p.95