![Eltex ESR-10 [40/97] Конфигурирование firewall](/img/pdf.png)
Eltex ESR-10 [40/97] Конфигурирование firewall
![Eltex ESR-10 [40/97] Конфигурирование firewall](/views2/1262095/page40/bg28.png)
40 Маршрутизаторы ESR-10, ESR-12V, Руководство по эксплуатации
esr(config)# nat source
esr(config-snat)# pool TRANSLATE_ADDRESS
esr(config-snat-pool)# ip address-range 200.10.0.100-200.10.0.249
esr(config-snat-pool)# exit
Вторым шагом создаётся набор правил SNAT. В атрибутах набора укажем, что правила
применяются только для пакетов, направляющихся в публичную сеть через порт te1/0/1. Правила
включают проверку адреса источника данных на принадлежность к пулу «LOCAL_NET»:
esr(config-snat)# ruleset SNAT
esr(config-snat-ruleset)# to interface gi1/0/2
esr(config-snat-ruleset)# rule 1
esr(config-snat-rule)# match source-address LOCAL_NET
esr(config-snat-rule)# match destination-address any
esr(config-snat-rule)# match protocol any
esr(config-snat-rule)# action source-nat pool TRANSLATE_ADDRESS
esr(config-snat-rule)# enable
esr(config-snat-rule)# exit
esr(config-snat-ruleset)# exit
Для того чтобы маршрутизатор отвечал на запросы протокола ARP для адресов, входящих в
публичный пул, необходимо запустить сервис ARP Proxy. Сервис ARP Proxy настраивается на
интерфейсе, которому принадлежит IP-адрес из подсети профиля адресов публичной сети
«PUBLIC_POOL»:
esr(config)# interface gigabitethernet 1/0/2
esr(config-if-te)# ip nat proxy-arp PUBLIC_POOL
Для того чтобы устройства локальной сети могли получить доступ к публичной сети, на них
должна быть настроена маршрутизация – адрес 21.12.2.1 должен быть назначен адресом шлюза.
На самом маршрутизаторе также должен быть создан маршрут для направления на
публичную сеть. Этот маршрут может быть назначен маршрутом по умолчанию с помощью
следующей команды:
esr(config)# ip route 0.0.0.0/0 200.10.0.99
esr(config)# exit
Изменения конфигурации вступают в действие по команде применения:
esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed
7.7 Конфигурирование Firewall
Firewall – комплекс аппаратных или программных средств, осуществляющий контроль и
фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Задача: Разрешить обмен сообщениями по протоколу ICMP между устройствами ПК1, ПК2 и b
маршрутизатором ESR.
Рисунок 7.6 – Схема сети
Содержание
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 2
- Аннотация 5
- Введение 5
- Условные обозначения 5
- Целевая аудитория 5
- Назначение 7
- Описание изделия 7
- Функции 7
- Функции интерфейсов 7
- В таблице 2 приведены функции и особенности второго уровня уровень 2 osi 8
- В таблице 2 приведены функции третьего уровня уровень 3 osi 8
- В таблице 2 приведены функции устройства при работе с mac адресами 8
- Динамическая маршрутизация 8
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 8
- Режим обучения 8
- Статические ip маршруты 8
- Таблица 2 описание функций второго уровня уровень 2 osi поддержка vlan 8
- Таблица 2 описание функций третьего уровня layer 3 8
- Таблица 2 функции работы с mac адресами таблица mac адресов 8
- Таблица arp 8
- Функции второго уровня сетевой модели osi 8
- Функции при работе с mac адресами 8
- Функции третьего уровня сетевой модели osi 8
- Dynamic host configuration protoco 9
- Nat network address translation 9
- Клиент dhcp 9
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 9 9
- Протоколы 9
- Сервер dhcp 9
- Таблица 2 функции туннелирования трафика 9
- Трансляция сетевых адресов 9
- Туннелирования 9
- Функции туннелирования трафика 9
- Syslog 10
- Автоматическое восстановление конфигурации 10
- Аутентификация 10
- В таблице приведены функции сетевой защиты выполняемые устройством 10
- В таблице приведены функции телефонии реализованные на esr 12v 10
- Зоны безопасности 10
- Интерфейс командной строки cli 10
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 10
- Сервер ssh сервер telnet 10
- Сетевые утилиты ping traceroute 10
- Таблица 2 основные функции управления и конфигурирования загрузка и выгрузка файла настройки 10
- Таблица 2 функции сетевой защиты 10
- Управление контролируемым доступом уровни привилегий 10
- Фильтрация данных 10
- Функции сетевой защиты 10
- Функции телефонии 10
- Функции управления и конфигурирования 10
- Голосовые функции 11
- Дополнительные виды обслуживания 11
- Кодеки 11
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 11 11
- Основные технические параметры маршрутизатора приведены в таблице таблица 2 11
- Основные технические характеристики 11
- Протоколы ip телефонии 11
- Таблица 2 основные технические характеристики 11
- Таблица 2 функции телефонии 11
- В данном разделе описано конструктивное исполнение устройства представлены 12
- Изображения передней задней и боковых панелей устройства описаны разъемы светодиодные индикаторы и органы управления 12
- Конструктивное исполнение 12
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 12
- В таблице таблица 2 0 приведен перечень разъемов светодиодных индикаторов и органов 13
- Внешний вид задней панели устройства esr 12v приведен на рисунке рисунок 2 задняя 13
- Внешний вид передней панели esr 12v показан на рисункерисунок 2 передняя панель esr 13
- Задняя панель устройств esr 12v 13
- Конструктив высота корпуса 1u 13
- Конструктивное исполнение esr 12v 13
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 13 13
- Панель esr 12v 13
- Передняя панель устройств esr 12v 13
- Рисунок 2 передняя панель esr 12v 13
- Таблица 2 0 описание разъемов индикаторов и органов управления передней панели esr 12v 13
- Управления расположенных на передней панели устройства esr 12v 13
- Устройство выполнено в металлическом корпусе с возможностью установки в 19 13
- Световая индикация esr 12v 14
- В следующей таблице приведено описание состояний системных индикаторов устройства и их 15
- В таблице 2 4 приведен перечень разъемов светодиодных индикаторов и органов 15
- Внешний вид задней панели esr 10 показан на рисунке 2 15
- Задняя панель устройств esr 10 15
- Значений 15
- Конструктивное исполнение esr 10 15
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 15 15
- Рисунок 2 задняя панель esr 10 15
- Таблица 2 3 состояния системных индикаторов 15
- Таблица 2 4 описание разъемов задней панели 15
- Управления расположенных на задней панели устройства esr 10 15
- Боковые панели устройства esr 10 16
- В таблице таблица 2 5 приведен перечень органов управления расположенных на правой 16
- В таблице таблица 2 6 приведен перечень разъемов светодиодных индикаторов и органов 16
- Верхняя панель устройство esr 10 16
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 16
- Панели маршрутизатора 16
- Рисунок 2 боковая панель маршрутизатора esr 10 16
- Рисунок 2 верхняя панель маршрутизатора esr 10 16
- Таблица 2 5 описание разъемов панели маршрутизатора 16
- Таблица 2 6 описание индикаторов верхней панели 16
- Управления расположенных на верхней панели устройства esr 10 16
- В базовый комплект поставки esr 10 входят 17
- В базовый комплект поставки esr 12v входят 17
- В следующей таблице приведено описание состояний системных индикаторов устройства и их 17
- Значений 17
- Комплект поставки 17
- Маршрутизатор esr 10 внешний блок питания 12v dc кабель для подключения к порту console rj 45 db9f документация 17
- Маршрутизатор esr 12v кабель питания кабель для подключения к порту console rj 45 db9f документация 17
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 17 17
- По заказу покупателя в комплект поставки могут быть включены sfp трансиверы по заказу покупателя в комплект поставки могут быть включены sfp трансиверы 17
- Световая индикация esr 10 17
- Светодиодными индикаторами link act зеленого цвета и speed янтарного цвета 17
- Состояние медных интерфейсов gigabitethernet и sfp интерфейсов отображается двумя 17
- Таблица 2 7 световая индикация состояния медных интерфейсов и sfp интерфейсов 17
- Таблица 2 8 состояния системных индикаторов 17
- Крепление крронштейнов для esr 12v 18
- Установка esr 12v в стойку 18
- Установка и подключение 18
- Подключение питающей сети 19
- Интерфейс командной строки cli 20
- Интерфейсы управления 20
- Заводская конфигурация маршрутизатора esr 21
- Начальная настройка маршрутизатора 21
- Подключение и конфигурирование маршрутизатора 22
- Подключение к маршрутизатору 22
- Базовая настройка маршрутизатора 23
- Dhcp сервера на интерфейсе gigabitethernet 1 0 3 25
- Self зона в которой находится интерфейс управления маршрутизатором 25
- Source zone зона из которой будет осуществляться удаленный доступ 25
- Telnet или ssh из зоны trusted для того чтобы разрешить удаленный доступ к маршрутизатору из других зон например из публичной сети необходимо создать соответствующие правила в firewall 25
- В заводской конфигурации разрешен удаленный доступ к маршрутизатору по протоколам 25
- Для создания разрешающего правила используются следующие команды 25
- Для того чтобы убедиться что адрес был назначен интерфейсу введите следующую команду 25
- Для того чтобы убедиться что адрес был назначен интерфейсу после применения 25
- Конфигурации введите следующую команду 25
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 25 25
- Настройка удаленного доступа к маршрутизатору 25
- Получения ip адреса может использоваться протокол dhcp если в сети присутствует сервер dhcp 25
- После применения конфигурации 25
- При конфигурировании доступа к маршрутизатору правила создаются для пары зон 25
- Пример настройки предназначенной для получения динамического ip адреса от 25
- Провайдер может использовать динамически назначаемые адреса в своей сети для 25
- 6 132 6 0 подключаться к маршрутизатору с ip адресом 40 3 2 по протоколу ssh 26
- Для применения выполненных изменений конфигурации маршрутизатора требуется ввести 26
- Если ввести команду confirm не удастся то по истечении таймера подтверждения 26
- Если при конфигурировании использовался удаленный доступ к устройству и сетевые 26
- Конфигурация устройства вернётся в прежнее состояние существовавшее до ввода команды commit 26
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 26
- Параметры интерфейса управления изменились то после ввода команды commit соединение с устройством может быть потеряно используйте новые сетевые параметры заданные в конфигурации для подключения к устройству и ввода команды confirm 26
- Применение базовых настроек 26
- Пример команд для разрешения пользователям из зоны untrusted с ip адресами 26
- Следующие команды из корневого раздела командного интерфейса 26
- Обновление программного обеспечения 27
- Обновление программного обеспечения средствами системы 27
- Обновление программного обеспечения из начального загрузчика 28
- Вторичный загрузчик занимается инициализацией nand и маршрутизатора при обновлении 29
- Для просмотра текущей версии загрузочного файла работающего на устройстве введите 29
- Запустите загруженное программное обеспечение 29
- Запустите процедуру обновления программного обеспечения 29
- Команду version в cli u boot также версия отображается в процессе загрузки маршрутизатора 29
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 29 29
- Можно сохранить окружение командой saveenv для будущих обновлений 29
- Новый файл вторичного загрузчика сохраняется на flash на месте старого 29
- Обновление вторичного загрузчика u boot 29
- Остановите загрузку устройства после окончания инициализации маршрутизатора 29
- Процедура обновления по 29
- Укажите ip адрес маршрутизатора 29
- Запустите процедуру обновления программного обеспечения 30
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 30
- Можно сохранить окружение командой saveenv для будущих обновлений 30
- Перезагрузите маршрутизатор 30
- Укажите ip адрес tftp сервера 30
- Укажите ip адрес маршрутизатора 30
- Vlan virtual local area network логическая виртуальная локальная сеть представляет 31
- В режиме trunk настроить порт gi1 0 2 в режиме access для vlan 2 на esr 31
- Задача 1 настроить порты gi1 0 1 для передачи и приема пакетов в vlan 2 vlan 64 vlan 31
- Изменения конфигурации вступят в действие после применения 31
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 31 31
- Настройка vlan 31
- Примеры настройки маршрутизатора 31
- Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1 31
- Пропишем vlan 2 на порт gi1 0 2 31
- Решение 31
- Рисунок 7 схема сети 31
- Собой группу устройств которые взаимодействуют между собой на канальном уровне независимо от их физического местонахождения 31
- Создадим vlan 2 vlan 64 vlan 2000 на esr 12v esr 200 31
- 192 68 6 24 32
- Aaa authentication authorization accounting используется для описания процесса 32
- Accounting учёт слежение за подключением пользователя или внесенным им изменениям 32
- Authentication аутентификация сопоставление персоны запроса существующей учётной записи в системе безопасности осуществляется по логину паролю 32
- Authorization авторизация проверка полномочий проверка уровня доступа сопоставление учётной записи в системе и определённых полномочий 32
- Задача настроить аутентификацию пользователей подключающихся по telnet через radius 32
- Изменения конфигурации вступят в действие после применения 32
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 32
- Набору команд минимально необходимый уровень пользовательских привилегий 1 15 в дальнейшем при создании пользователя можно задать уровень привилегий определяя ему доступный набор команд 32
- Настроим подключение к radius серверу и укажем ключ password 32
- Настройка ааа 32
- Настройка привилегий команд 32
- Настройка привилегий команд является гибким инструментом который позволяет назначить 32
- Посмотреть профили аутентификации можно командой 32
- Предоставления доступа и контроля над ним 32
- Просмотреть информацию по настройкам подключения к radius серверу можно командой 32
- Решение 32
- Создадим профиль аутентификации 32
- Укажем режим аутентификации используемый при подключении по telnet протоколу 32
- Настройка dhcp сервера 33
- Адресов для выдачи в аренду клиентам сервера укажем параметры подсети к которой принадлежит данный пул и время аренды для выдаваемых адресов 34
- Для разрешения прохождения сообщений протокола dhcp к серверу необходимо создать 34
- Для того чтобы dhcp сервер мог раздавать ip адреса из конфигурируемого пула на 34
- Имя домена eltex loc 34
- Маршрут по умолчанию 192 68 34
- Маршрутизаторе должен быть создан ip интерфейс принадлежащий к той же подсети что и адреса пула 34
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 34
- Разрешим работу сервера 34
- Сконфигурируем передачу клиентам дополнительных сетевых параметров 34
- Создадим пул адресов с именем simple и добавим в данный пул адресов диапазон ip 34
- Соответствующие профили портов включающие порт источника 68 и порт назначения 67 используемые протоколом dhcp и создать разрешающее правило в политике безопасности для прохождения пакетов протокола udp 34
- Список dns серверов dns1 172 6 dns2 8 34
- Destinatio 35
- Dnat используется для перенаправления трафика идущего на некоторый виртуальный 35
- Адрес в публичной сети на реальный сервер в локальной сети находящийся за сетевым шлюзом эту функцию можно использовать для организации публичного доступа к серверам находящимся в частной сети и не имеющим публичного сетевого адреса 35
- Задача организовать доступ из публичной сети относящейся к зоне untrust к серверу 35
- Изменения конфигурации вступят в действие после применения 35
- Используемых сетевых интерфейсов к зонам одновременно назначим ip адреса интерфейсам 35
- Конфигурирование 35
- Конфигурирование настроек для ipv6 производится по аналогии с ipv4 35
- Локальной сети в зоне trust адрес сервера в локальной сети 10 00 сервер должен быть доступным извне по адресу 1 доступный порт 80 35
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 35 35
- Просмотреть сконфигурированные пулы адресов можно командами 35
- Просмотреть список арендованных адресов можно с помощью команды 35
- Проходящих через сетевой шлюз 35
- Решение 35
- Рисунок 7 схема сети 35
- Создадим зоны безопасности untrust и trust установим принадлежность 35
- Функция destination nat dnat состоит в преобразовании ip адреса назначения у пакетов 35
- Net_uplink профиль адресов публичной сети 36
- Server_ip профиль адресов локальной сети 36
- Srv_http профиль портов 36
- Адресов в атрибутах набора укажем что правила применяются только для пакетов пришедших из зоны untrust набор правил включает в себя требования соответствия данных по адресу и порту назначения match destination address match destination port и по протоколу кроме этого в наборе задано действие применяемое к данным удовлетворяющим всем правилам action destination nat набор правил вводится в действие командой enable 36
- Войдем в режим конфигурирования функции dnat и создадим пул адресов и портов 36
- Для пропуска трафика идущего из зоны untrust в trust создадим соответствующую 36
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 36
- Назначения в которые будут транслироваться адреса пакетов поступающие на адрес 1 из внешней сети 36
- Пару зон пропускать следует только трафик с адресом назначения соответствующим заданному в профиле server_ip и прошедший преобразование dnat 36
- Правил dnat 36
- Создадим набор правил dnat в соответствии с которыми будет производиться трансляция 36
- Создадим профили ip адресов и портов которые потребуются для настройки правил firewall и 36
- Задача 1 настроить доступ пользователей локальной сети 10 24 к публичной сети с 37
- Изменения конфигурации вступят в действие после применения 37
- Использованием функции source nat задать диапазон адресов публичной сети для использования snat 100 00 100 49 37
- Компьютерам находящимся в локальной сети при этом не требуется назначения публичных ip адресов этим компьютерам 37
- Конфигурирование source nat 37
- Конфигурирование начнем с создания зон безопасности настройки сетевых интерфейсов и 37
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 37 37
- Определения их принадлежности к зонам безопасности создадим доверенную зону trust для локальной сети и зону untrust для публичной сети 37
- Произведенные настройки можно посмотреть с помощью команд 37
- Проходящих через сетевой шлюз при прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза дополнительно к адресу источника может применяться замена порта источника при прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта 37
- Решение 37
- Рисунок 7 схема сети 37
- Функция snat может быть использована для предоставления доступа в интернет 37
- Функция source nat snat используется для подмены адреса источника у пакетов 37
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила 38
- Для конфигурирования функции snat и настройки правил зон безопасности потребуется 38
- Для пропуска трафика из зоны trust в зону untrust создадим пару зон и добавим 38
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в 38
- Используемых для сервиса snat 38
- Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети 38
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 38
- Правила разрешающие проходить трафику в этом направлении дополнительно включена проверка адреса источника данных на принадлежность к диапазону адресов local_net для соблюдения ограничения на выход в публичную сеть действие правил разрешается командой enable 38
- Применяются только для пакетов направляющихся в публичную сеть в зону untrust правила включают проверку адреса источника данных на принадлежность к пулу local_net 38
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool 38
- Создать профиль адресов локальной сети local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool 38
- Local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool 39
- Для конфигурирования функции snat потребуется создать профиль адресов локальной сети 39
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них 39
- Должна быть настроена маршрутизация адрес 10 должен быть назначен адресом шлюза 39
- Задача 2 настроить доступ пользователей локальной сети 21 2 24 к публичной сети с 39
- Изменения конфигурации вступают в действие по команде применения 39
- Использованием функции source nat без использования межсетевого экрана firewall диапазон адресов публичной сети для использования snat 200 0 00 200 0 49 39
- Конфигурирование начнем с настройки сетевых интерфейсов и отключения межсетевого 39
- Конфигурируем сервис snat 39
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 39 39
- На самом маршрутизаторе также должен быть создан маршрут для направления на 39
- Первым шагом создаётся пул адресов публичной сети используемых для сервиса snat 39
- Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды 39
- Решение 39
- Рисунок 7 схема сети 39
- Экрана 39
- Firewall комплекс аппаратных или программных средств осуществляющий контроль и 40
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила 40
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в 40
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них 40
- Должна быть настроена маршрутизация адрес 21 2 должен быть назначен адресом шлюза 40
- Задача разрешить обмен сообщениями по протоколу icmp между устройствами пк1 пк2 и b 40
- Изменения конфигурации вступают в действие по команде применения 40
- Конфигурирование firewall 40
- Маршрутизатором esr 40
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 40
- На самом маршрутизаторе также должен быть создан маршрут для направления на 40
- Применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net 40
- Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды 40
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool 40
- Рисунок 7 схема сети 40
- Фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами 40
- Включающий адреса которым разрешен выход в сеть wan и профиль адресов сети wan 41
- Для каждой сети esr создадим свою зону безопасности 41
- Для настройки правил зон безопасности потребуется создать профиль адресов сети lan 41
- Для пропуска трафика из зоны lan в зону wan создадим пару зон и добавим правило 41
- Для пропуска трафика из зоны wan в зону lan создадим пару зон и добавим правило 41
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 41 41
- На маршрутизаторе всегда существует зона безопасности с именем self если в качестве 41
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 41
- Получателя трафика выступает сам маршрутизатор то есть трафик не является транзитным то в 41
- Разрешающее проходить icmp трафику от пк1 к пк2 действие правил разрешается командой enable 41
- Разрешающее проходить icmp трафику от пк2 к пк1 действие правил разрешается командой enable 41
- Решение 41
- Access control list или acl список контроля доступа содержит правила определяющие 42
- Задача разрешить прохождения трафика только из подсети 192 68 0 24 42
- Изменения конфигурации вступят в действие по следующим командам 42
- Качестве параметра указывается зона self создадим пару зон для трафика идущего из зоны wan в зону self добавим правило разрешающее проходить icmp трафику между пк2 имаршрутизатором esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны wan 42
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 42
- Настройка списков доступа acl 42
- Посмотреть активные сессии можно с помощью команд 42
- Посмотреть пары зон и их конфигурацию можно с помощью команд 42
- Посмотреть членство портов в зонах можно с помощью команды 42
- Прохождение трафика через интерфейс 42
- Разрешающее проходить icmp трафику между пк1 и esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны lan 42
- Создадим пару зон для трафика идущего из зоны lan в зону self добавим правило 42
- 8 используя статическую маршрутизацию на устройстве r1 создать шлюз для доступа к сети internet трафик внутри локальной сети должен маршрутизироваться внутри зоны lan трафик из сети internet должен относиться к зоне wan 43
- Зададим имя устройства для маршрутизатора r1 43
- Задача настроить доступ к сети internet для пользователей локальной сети 192 68 24 и 43
- Изменения конфигурации вступят в действие по следующим командам 43
- Конфигурирование статических маршрутов 43
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 43 43
- Настроим список доступа для фильтрации по подсетям 43
- Применим список доступа на интерфейс gi1 0 4 для входящего трафика 43
- Просмотреть детальную информацию о списке доступа возможно через команду 43
- Решение 43
- Рисунок 7 схема сети 43
- Статическая маршрутизация вид маршрутизации при котором маршруты указываются в 43
- Явном виде при конфигурации маршрутизатора без использования протоколов динамической маршрутизации 43
- R1 будет подключен к сети 192 68 24 44
- R1 будет подключен к сети internet 44
- Будет подключен к сети 10 8 44
- Для интерфейса gi1 0 1 укажем адрес 10 8 и зону lan через данный интерфейс r2 44
- Для интерфейса gi1 0 1 укажем адрес 192 68 24 и зону lan через данный интерфейс 44
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный 44
- Для интерфейса gi1 0 3 укажем адрес 128 07 30 и зону wan через данный интерфейс 44
- Зададим имя устройства для маршрутизатора r2 44
- Изменения конфигурации на маршрутизаторе r1 вступят в действие по следующим 44
- Интерфейс r1 будет подключен к устройству r2 для последующей маршрутизации трафика 44
- Командам 44
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 44
- Провайдера 128 07 44
- Создадим маршрут для взаимодействия с сетью 10 8 используя в качестве шлюза 44
- Создадим маршрут для взаимодействия с сетью internet используя в качестве nexthop шлюз 44
- Устройство r2 192 68 00 44
- Multilink ppp mlppp предоставляет собой агрегированный канал включающий в себя 45
- Включим interface e1 1 0 1 interface e1 1 0 4 в группу агрегации mlppp 3 45
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный 45
- Задача настроить mlppp соединение с встречной стороной с ip адресом 10 7 24 через 45
- Изменения конфигурации на маршрутизаторе r2 вступят в действие по следующим 45
- Интерфейс r2 будет подключен к устройству r1 для последующей маршрутизации трафика 45
- Командам 45
- Маршрутизатора r1 192 68 00 45
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 45 45
- Методы для распространения трафика через несколько физических каналов имея одно логическое соединение этот вариант позволяет расширить пропускную способность и обеспечивает балансировку нагрузки 45
- Настройка mlppp 45
- Переключаем интерфейс gigabitethernet 1 0 3 в режим работы е1 45
- Проверить таблицу маршрутов можно командой 45
- Решение 45
- Рисунок 7 схема сети 45
- Создадим маршрут по умолчанию указав в качестве nexthop ip адрес интерфейса gi1 0 2 45
- Устройство mxe 45
- Bridge мост это способ соединения двух сегментов ethernet на канальном уровне без 46
- Добавим интерфейсы gi1 0 11 gi1 0 12 в vlan 333 46
- Задача 1 объединить в единый l2 домен интерфейсы маршрутизатора относящиеся к 46
- Изменения конфигурации вступят в действие по следующим командам 46
- Использования протоколов более высокого уровня таких как ip пакеты передаются на основе ethernet адресов а не ip адресов поскольку передача выполняется на канальном уровне уровень 2 модели osi трафик протоколов более высокого уровня прозрачно проходит через мост 46
- Локальной сети и l2tpv3 туннель проходящий по публичной сети для объединения использовать vlan 333 46
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 46
- Настроим mlppp 3 46
- Настройка bridge 46
- Решение 46
- Рисунок 7 схема сети 46
- Создадим vlan 333 46
- Создадим зону безопасности trusted 46
- Vlan 50 должен относиться к зоне lan1 vlan 60 к зоне lan2 разрешить свободную передачу трафика между зонами 47
- Задача 2 настроить маршрутизацию между vlan 50 10 0 24 и vlan 60 10 0 24 47
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 47 47
- Назначим интерфейсам gi1 0 11 gi1 0 12 vlan 50 47
- Назначим интерфейсу gi1 0 14 vlan 60 47
- Настройка l2tpv3 туннеля рассматривается в разделе 7 7 в общем случае идентификаторы моста и туннеля не должны совпадать с vid как в данном примере 47
- Решение 47
- Рисунок 7 0 схема сети 47
- Создадим bridge 333 привяжем к нему vlan 333 и укажем членство в зоне trusted 47
- Создадим vlan 50 60 47
- Создадим зоны безопасности lan1 и lan2 47
- Установим принадлежность l2tpv3 туннеля к мосту который связан с локальной сетью 47
- Rip дистанционно векторный протокол динамической маршрутизации который использует 48
- Изменения конфигурации вступят в действие по следующим командам 48
- Количество транзитных участков в качестве метрики маршрута максимальное количество транзитных участков hop разрешенное в rip равно 15 каждый rip маршрутизатор по умолчанию вещает в сеть свою полную таблицу маршрутизации один раз в 30 секунд rip работает на 3 м уровне стека tcp ip используя udp порт 520 48
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 48
- Настройка rip 48
- Посмотреть членство интерфейсов в мосте можно командой 48
- Создадим bridge 50 привяжем vlan 50 укажем ip адрес 10 0 24 и членство в зоне 48
- Создадим bridge 60 привяжем vlan 60 укажем ip адрес 10 0 24 и членство в зоне 48
- Создадим правила в firewall разрешающие свободное прохождение трафика между зонами 48
- Для анонсирования протоколом статических маршрутов выполним команду 49
- Для того чтобы просмотреть таблицу маршрутов rip воспользуемся командой 49
- Задача настроить на маршрутизаторе протокол rip для обмена маршрутной информацией с 49
- Изменения конфигурации вступят в действие после применения 49
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 49 49
- Настроим таймер отвечающий за отправку маршрутной информации 49
- Перейдём в режим конфигурирования протокола rip 49
- После установки всех требуемых настроек включаем протокол 49
- Предварительно нужно настроить ip адреса на интерфейсах согласно схеме сети 49
- Приведенной на рисунке 7 1 49
- Решение 49
- Рисунок 7 1 схема сети 49
- Соседними маршрутизаторами маршрутизатор должен анонсировать статические маршруты и подсети 115 24 14 24 10 24 анонсирование маршрутов должно происходить каждые 25 секунд 49
- Укажем подсети которые будут анонсироваться протоколом 115 24 14 24 и 49
- Настройка ospf 50
- Задача 2 изменить тип области 1 область должна быть тупиковой тупиковый 51
- Задача 3 объединить две магистральные области в одну с помощью virtual link 51
- Изменения конфигурации вступают в действие по команде применения 51
- Изменения конфигурации вступят в действие после применения 51
- Изменим тип области на тупиковый на каждом маршрутизаторе из области 1 в режиме 51
- Конфигурирования области выполним команду 51
- Маршрутизатор должен анонсировать маршруты полученные по протоколу rip 51
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 51 51
- На тупиковом маршрутизаторе r3 включим анонсирование маршрутной информации из 51
- Предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме 51
- Приведенной на рисунке 7 3 51
- Протокола rip 51
- Решение 51
- Рисунок 7 3 схема сети 51
- Соседние маршрутизаторы подключены к интерфейсам gi1 0 5 и gi1 0 4 для установления 51
- Соседства с другими маршрутизаторами привяжем их к ospf процессу и области далее включим на интерфейсе маршрутизацию по протоколу ospf 51
- Настройка bgp 53
- Route map могут служить фильтрами позволяющими обрабатывать маршрутную 54
- Включим работу протокола 54
- Входим в режим конфигурирования маршрутной информации для ipv4 54
- Изменения конфигурации вступят в действие после применения 54
- Информацию о bgp пирах можно посмотреть командой 54
- Информацию при её приёме от соседа либо при её передаче соседу обработка может включать в себя фильтрацию на основании различных признаков маршрута а также установку атрибутов med as path community localpreference и другое на соответствующие маршруты 54
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 54
- Настройка route map для bgp 54
- Настройка политики маршрутизации pbr 54
- Необходимо в firewall разрешить tcp порт 179 54
- Объявим подсети подключённые напрямую 54
- Процесса 54
- Создадим bgp процесс для as 2500 и войдем в режим конфигурирования параметров 54
- Создадим соседства с 185 219 с указанием автономных систем 54
- Таблицу маршрутов протокола bgp можно просмотреть с помощью команды 54
- Также route map может назначать маршруты на основе списков доступа acl 54
- Route map на основе списков доступа policy based routing 56
- Адресов 10 0 24 через isp2 80 6 3 требуется контролировать доступность адресов провайдеров работоспособность подключений к isp и при неработоспособности одного из подключений переводить с него на рабочее подключение весь трафик 56
- В bgp процессе as 2500 заходим в настройки параметров соседа 56
- Если community содержит 2500 25 то назначаем ему med 240 и origin egp 56
- Задача 1 распределить трафик между интернет провайдерами на основе подсетей 56
- Изменения конфигурации вступят в действие после применения 56
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 56
- Назначить ip адреса на интерфейсы 56
- Пользователей 56
- Предварительно нужно выполнить следующие действия 56
- Привязываем политику к анонсируемой маршрутной информации 56
- Рисунок 7 7 схема сети 56
- Создаем правило 56
- Требуется направлять трафик с адресов 10 0 24 через isp1 184 5 50 а трафик с требуется направлять трафик с адресов 10 0 24 через isp1 184 5 50 а трафик с 56
- 5 50 а при его недоступности на адрес 80 6 3 приоритетность шлюзов задается значениями метрик 10 и 30 57
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 57 57
- Правилом 1 будет обеспечена маршрутизация трафика с сети 10 0 24 на адрес 57
- Решение 57
- Создаем acl 57
- Создаем политику 57
- Создаем правило 1 57
- Создаем правило 2 57
- Указываем nexthop для sub20 57
- Указываем nexthop для sub30 и выходим 57
- Указываем список доступа acl в качестве фильтра 57
- Настройка gre туннелей 58
- Включим туннель 59
- Включить вычисление и включение в пакет контрольной суммы заголовка gre и инкапсулированного пакета для исходящего трафика 59
- Включить проверку наличия и корректности контрольной суммы gre для входящего трафика 59
- Для применения изменений конфигурации выполним следующие команды 59
- Интерфейса назначения указываем ранее созданный туннель gre 59
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 59 59
- На маршрутизаторе должен быть создан маршрут до локальной сети партнера в качестве 59
- Опционально для gre туннеля можно указать следующие параметры 59
- Партеру независимо от наличия gre туннеля и правильности настроек с его стороны 59
- После применения настроек трафик будет инкапсулироваться в туннель и отправляться 59
- Создать правила разрешающие прохождение трафика в firewall принадлежность туннеля к зоне задается следующей командой 59
- Состояние туннеля можно посмотреть командой 59
- Счетчики входящих и отправленных пакетов можно посмотреть командой 59
- Также туннель должен принадлежать к зоне безопасности для того чтобы можно было 59
- Указать значение dscp mtu ttl 59
- Указать уникальный идентификатор 59
- Настройка l2tpv3 туннелей 60
- Включим ранее созданный туннель и выйдем 61
- Для применения изменений конфигурации выполним следующие команды 61
- Локального шлюза должен использоваться ip адрес 183 0 в качестве удаленного шлюза должен использоваться ip адрес 21 номер порта инкапсулирующего протокола на локальной стороне должен быть 520 на стороне партнера 519 идентификатор туннеля на локальной стороне должен быть равным 3 на стороне партнера 2 идентификатор сессии внутри туннеля должен быть равным 200 на стороне партнера 100 также туннель должен принадлежать мосту который необходимо соединить с сетью партнера 61
- Локальной сетью настройка моста рассматривается в пункте 7 0 61
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 61 61
- Настройки туннеля в удаленном офисе должны быть зеркальными локальным в качестве 61
- Партнеру независимо от наличия l2tpv3 туннеля и правильности настроек с его стороны 61
- После применения настроек трафик будет инкапсулироваться в туннель и отправляться 61
- Сеть с тегом vlan id 333 61
- Создадим саб интерфейс для коммутации трафика поступающего из туннеля в локальную 61
- Состояние туннеля можно посмотреть командой 61
- Удаленного офиса настройка моста рассматривается в пункте 7 0 61
- Укажем идентификаторы сессии внутри туннеля для локальной и удаленной сторон 61
- Укажем идентификаторы туннеля для локальной и удаленной сторон 61
- Установим принадлежность l2tpv3 туннеля к мосту который должен быть связан с сетью 61
- Установим принадлежность саб интерфейса к мосту который должен быть связан с 61
- Настройка ipsec vpn 62
- Настройка route based ipsec vpn 62
- Isakmp 63
- Для настройки правил зон безопасности потребуется создать профиль порта протокола 63
- Локального и удаленного шлюза указываются ip адреса интерфейсов граничащих с wan 63
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 63 63
- Находится за ipsec туннелем нужно указать маршрут через vti туннель 63
- По которым могут согласовываться узлы и ключ аутентификации 63
- Протокола и режим перенаправления трафика в туннель 63
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec 63
- Создадим политику протокола ike в политике указывается список профилей протокола ike 63
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 63
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм 63
- Создадим статический маршрут до удаленной lan сети для каждой подсети которая 63
- Создадим туннель vti трафик будет перенаправляться через vti в ipsec туннель в качестве 63
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия 63
- Туннеля по которым могут согласовываться узлы 63
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения 63
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 63
- Для настройки правил зон безопасности потребуется создать профиль порта протокола isakmp 64
- Конфигурирование r2 64
- Которым могут согласовываться узлы и ключ аутентификации 64
- Локального и удаленного шлюза указываются ip адреса интерфейсов граничащих с wan 64
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 64
- Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности 64
- Находится за ipsec туннелем нужно указать маршрут через vti туннель 64
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 64
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 64
- Создадим политику протокола ike в политике указывается список профилей протокола ike по 64
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм 64
- Создадим статический маршрут до удаленной lan сети для каждой подсети которая 64
- Создадим туннель vti трафик будет перенаправляться через vti в ipsec туннель в качестве 64
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения 64
- В firewall необходимо разрешить протокол esp и isakmp udp порт 500 65
- Конфигурацию туннеля можно посмотреть командой 65
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 65 65
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 65
- Протокола и режим перенаправления трафика в туннель 65
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 65
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec 65
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 65
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия 65
- Состояние туннеля можно посмотреть командой 65
- Туннеля по которым могут согласовываться узлы 65
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 65
- Isakmp 66
- Для настройки правил зон безопасности потребуется создать профиль порта протокола 66
- Конфигурирование r1 66
- Которым могут согласовываться узлы и ключ аутентификации 66
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 66
- Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности 66
- Настройка policy based ipsec vpn 66
- Протокола и режим перенаправления трафика в туннель 66
- Решение 66
- Создадим политику протокола ike в политике указывается список профилей протокола ike по 66
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 66
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм 66
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия 66
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения 66
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 66
- Isakmp 67
- Для настройки правил зон безопасности потребуется создать профиль порта протокола 67
- Конфигурирование r2 67
- Которым могут согласовываться узлы и ключ аутентификации 67
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 67 67
- Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности 67
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 67
- Протокола и режим перенаправления трафика в туннель 67
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 67
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec 67
- Создадим политику протокола ike в политике указывается список профилей протокола ike по 67
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм 67
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия 67
- Туннеля по которым могут согласовываться узлы 67
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения 67
- Pptp англ point to point tunneling protocol туннельный протокол типа точка точка 68
- В firewall необходимо разрешить протокол esp и isakmp udp порт 500 68
- Задача настроить pptp сервер на маршрутизаторе 68
- Конфигурацию туннеля можно посмотреть командой 68
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 68
- Настройка удаленного доступа к корпоративной сети по pptp 68
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 68
- Позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в обычной незащищенной сети pptp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет pptp может также использоваться для организации туннеля между двумя локальными сетями рртр использует дополнительное tcp соединение для обслуживания туннеля 68
- Протоколу 68
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 68
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec 68
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 68
- Состояние туннеля можно посмотреть командой 68
- Туннеля по которым могут согласовываться узлы 68
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 68
- Dns серверы 8 8 69
- Адрес pptp сервера 120 1 69
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 69 69
- Пул ip адресов для выдачи 10 0 0 10 0 0 5 69
- Решение 69
- Рисунок 7 1 схема сети 69
- Создадим pptp сервер и привяжем вышеуказанные профили 69
- Создадим профиль адресов содержащий dns серверы 69
- Создадим профиль адресов содержащий адрес который должен слушать сервер 69
- Создадим профиль адресов содержащий адрес локального шлюза 69
- Создадим профиль адресов содержащий адреса клиентов 69
- Учетные записи для подключения fedor ivan 69
- Шлюз внутри туннеля для подключающихся клиентов 10 0 0 69
- Ipsec протоколу 70
- L2tp англ layer 2 tunneling protocol протокол туннелирования второго уровня 70
- Включим pptp сервер 70
- Выберем метод аутентификации пользователей pptp сервера 70
- Завершить сессию пользователя fedor pptp сервера можно одной из следующих команд 70
- Конфигурацию pptp сервера можно посмотреть командой 70
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 70
- Настройка удаленного доступа к корпоративной сети по l2tp over 70
- Очистить счетчики сессий pptp сервера можно командой 70
- Помимо создания pptp сервера необходимо в firewall открыть tcp порт 1723 для обслуживания соединений и разрешить протокол gre 47 для туннельного трафика 70
- После применения конфигурации маршрутизатор будет прослушивать 120 1 1723 70
- Создадим pptp пользователей ivan и fedor для pptp сервера 70
- Состояние сессий pptp сервера можно посмотреть командой 70
- Счетчики сессий pptp сервера можно посмотреть командой 70
- Туннельный протокол использующийся для поддержки виртуальных частных сетей l2tp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет l2tp может также использоваться для организации туннеля между двумя локальными сетями l2тр использует дополнительное udp соединение для обслуживания туннеля l2tp протокол не предоставляет средств шифрования данных и поэтому он обычно используется в связке с группой протоколов ipsec которая предоставляет безопасность на пакетном уровне 70
- Укажем зону безопасности к которой будут относиться сессии пользователей 70
- Настройка удаленного доступа к корпоративной сети по openvpn 72
- Протоколу 72
- O ключ диффи хелмена и hmac для tls 73
- O ключ и сертификат для openvpn сервера 73
- O сертификат удостоверяющего центра са 73
- Openvpn сервером 73
- Импортируем по tftp сертификаты и ключи 73
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 73 73
- Настроить зону для интерфейса te1 0 1 73
- Объявим подсети лвс которые будут доступны через openvpn соединение и укажем dns 73
- Подготовить сертификаты и ключи 73
- Предварительно нужно выполнить следующие действия 73
- Решение 73
- Рисунок 7 3 схема сети 73
- Сервер 73
- Создадим openvpn сервер и подсеть в которой он будет работать 73
- Укажем ранее импортированные сертификаты и ключи которые будет использоваться 73
- Укажем тип соединения l3 и протокол инкапсуляции 73
- Указать ip адреса для интерфейса te1 0 1 73
- Базовый qos 74
- Настройка qos 74
- Включим qos на входящем интерфейсе со стороны lan 75
- Включим qos на интерфейсе со стороны wan 75
- Для того чтобы восьмая очередь стала приоритетной а с первой по седьмую взвешенной 75
- Задача классифицировать приходящий трафик по подсетям 10 1 24 10 2 24 75
- Изменения конфигурации вступят в действие после применения 75
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 75 75
- Ограничим количество приоритетных очередей до 1 75
- Перенаправим трафик с dscp 14 в седьмую взвешенную очередь 75
- Перенаправим трафик с dscp 22 в восьмую приоритетную очередь 75
- Произвести маркировку по dscp 38 и 42 и произвести разграничение по подсетям 40 мбит с и 60 мбит с ограничить общую полосу до 250 мбит с остальной трафик обрабатывать через механизм sfq 75
- Просмотреть статистику по qos можно командой 75
- Расширенный qos 75
- Решение 75
- Рисунок 7 4 схема сети 75
- Установим ограничение по скорости в 60мбит с для седьмой очереди 75
- Выходим 76
- Конфигурации 76
- Маркировку 76
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 76
- Настроим списки доступа для фильтрации по подсетям выходим в глобальный режим 76
- Осуществляем привязку класса к политике настраиваем ограничение полосы пропускания и 76
- Решение 76
- Рисунок 7 5 схема сети 76
- Создаем классы fl1 и fl2 указываем соответствующие списки доступа настраиваем 76
- Создаём политику и определяем ограничение общей полосы пропускания 76
- Netflow сетевой протокол предназначенный для учета и анализа трафика netflow 77
- Включаем qos на интерфейсах политику на входе интерфейса gi 1 0 19 для классификации и 77
- Для другого трафика настраиваем класс с режимом sfq 77
- Для просмотра статистики используется команда 77
- Задача организовать учет трафика с интерфейса gi1 0 1 для передачи на сервер через 77
- Изменения конфигурации вступят в действие после применения 77
- Интерфейс gi1 0 4 для обработки 77
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 77 77
- На выходе gi1 0 20 для применения ограничений и режима sfq для класса по умолчанию 77
- Настройка netflow 77
- Позволяет передавать данные о трафике адрес отправителя и получателя порт количество информации и др с сетевого оборудования сенсора на коллектор в качестве коллектора может использоваться обычный сервер 77
- Рисунок 7 6 схема сети 77
- Настройка sflow 78
- Активируем sflow на маршрутизаторе 79
- Включим экспорт статистики по протоколу sflow для любого трафика в правиле rule1 для 79
- Для сетей esr создадим две зоны безопасности 79
- Изменения конфигурации вступят в действие после применения 79
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 79 79
- Направления trusted untrusted 79
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 79
- Настройка sflow для учета трафика с интерфейса осуществляется аналогично 7 3 настройка netflow 79
- Решение 79
- Укажем ip адрес коллектора 79
- Настройка lacp 80
- Настройка vrrp 80
- Vrf virtual routing and forwarding технология которая позволяет изолировать маршрутную 83
- Включим vrrp 83
- Задача к маршрутизатору серии esr подключены 2 сети которые необходимо изолировать 83
- Изменения конфигурации вступят в действие после применения 83
- Информацию принадлежащую различным классам например маршруты одного клиента 83
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 83 83
- Настройка vrf lite 83
- От остальных сетей 83
- Помимо создания туннеля необходимо в firewall разрешить протокол vrrp 112 83
- Произвести аналогичные настройки на r2 83
- Решение 83
- Рисунок 7 1 схема сети 83
- Создадим vrf 83
- Укажем ip адрес виртуального шлюза 192 68 0 83
- Укажем идентификатор vrrp группы 83
- Изменения конфигурации вступят в действие после применения 84
- Информацию об интерфейсах привязанных к vrf можно посмотреть командой 84
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 84
- Настройка multiwan 84
- Резервированием линков от нескольких провайдеров а также решает проблему балансировки трафика между резервными линками 84
- Создадим зону безопасности 84
- Создадим правило для пары зон и разрешим любой tcp udp трафик 84
- Создадим привязку интерфейсов назначим ip адреса укажем принадлежность к зоне 84
- Таблицу маршрутов vrf можно просмотреть с помощью команды 84
- Технология multiwan позволяет организовать отказоустойчивое соединение с 84
- Включим созданное правило балансировки и выйдем из режима конфигурирования правила 85
- Зададим адрес для проверки включим проверку указанного адреса и выйдем 85
- Задача настроить маршрут к серверу 108 6 28 с возможностью балансировки нагрузки 85
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 85 85
- Настроим интерфейсы в режиме конфигурирования интерфейса gi1 0 1 указываем nexthop 85
- Настроим маршрутизацию 85
- Настроить зоны для интерфейсов gi1 0 1 и gi1 0 2 85
- Основной этап конфигурирования 85
- Предварительно нужно выполнить следующие действия 85
- Решение 85
- Рисунок 7 2 схема сети 85
- Создадим правило wan 85
- Создадим список для проверки целостности соединения 85
- Создадим цель проверки целостности 85
- Укажем участвующие интерфейсы 85
- Указать ip адреса для интерфейсов gi1 0 1 и gi1 0 2 85
- Snmp англ simple network management protocol простой протокол сетевого управления 86
- В режиме конфигурирования интерфейса gi1 0 1 включаем wan режим и выходим 86
- В режиме конфигурирования интерфейса gi1 0 1 указываем список целей для проверки 86
- В режиме конфигурирования интерфейса gi1 0 2 включаем wan режим и выходим 86
- В режиме конфигурирования интерфейса gi1 0 2 указываем nexthop 86
- Для переключения в режим резервирования настроим следующее 86
- Заходим в режим настройки правила wan 86
- Изменения конфигурации вступят в действие после применения 86
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 86
- Направляться в активный интерфейс c наибольшим весом включить данный режим можно следующей командой 86
- Настройка snmp 86
- Протокол предназначенный для управления устройствами в ip сетях на основе архитектур tcp udp snmp предоставляет данные для управления в виде переменных описывающих конфигурацию управляемой системы 86
- Соединения 86
- Функция multiwan также может работать в режиме резервирования в котором трафик будет 86
- Voip англ voice over ip набор протоколов которые позволяют передавать речевую 88
- Базовая настройка 88
- Выбор интерфейса для работы voip 88
- Если используется стандартный порт 5060 то его можно не указывать 88
- Если необходимо использовать регистрацию на сервере то необходимо выполнить 88
- Задача подключить аналоговые телефонные аппараты и факс модемы к ip сети посредством 88
- Информацию посредством ip сетей в рамках данного устройства voip используется для подключения аналоговых телефонных аппаратов к ip сети с возможностью совершения телефонных вызовов 88
- Маршрутизатора esr 12v 88
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 88
- Настройка sip профиля 88
- Настройка voip 88
- Настройка адреса sip proxy сервера 88
- Настройка адреса сервера регистрации 88
- Настройка основного sip proxy сервера и сервера регистрации 88
- Настройка порта sip proxy сервера 88
- Решение 88
- Рисунок 7 4 схема сети 88
- Следующие три пункта 88
- Активация proxy сервера и сервера регистрации 89
- Активация sip профиля 89
- Активация регистрации 89
- В такой конфигурации все вызовы будут направлены sip proxy серверу если необходимо 89
- Далее продолжается настройка sip профиля 89
- Далее созданный план маршрутизации необходимо присвоить sip профилю 89
- Если используется стандартный порт 5060 то его можно не указывать 89
- Если необходимо использовать sip domain для регистрации 89
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 89 89
- На этом конфигурация sip proxy сервера и сервера регистрации закончена 89
- На этом минимально необходимая настройка sip профиля закончена 89
- На этом настройка плана нумерации для sip профиля закончена 89
- Настройка sip домена 89
- Настройка порта сервера регистрации 89
- Следующим этапом является настройка абонентских портов 89
- Создать план нумерации см раздел 7 0 89
- Указать абонентский номер 89
- Указать другое направление для исходящих вызовов то необходимо проделать следующее 89
- S5 l5 410 1 3 local xabcd s где 4101 3 local значит что вызовы на номера 4101 4102 4103 будут коммутироваться локально xabcd s вызовы на все остальные номера будут направлены к sip прокси 90
- Активировать план нумерации 90
- Будет иметь вид 90
- Данному esr 12v коммутировались локально а вызовы на все остальные направления через sip прокси 90
- Задача настроить план нумерации так чтобы вызовы на локальных подключенных к 90
- Изменения конфигурации вступят в действие после применения 90
- Используемый sip профиль 90
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 90
- На этом минимальная настройка абонентского порта закончена 90
- Настройка логина и пароля для аутентификации 90
- Настройка плана нумерации 90
- Настройка плана нумерации закончена 90
- План нумерации задается при помощи регулярных выражений 90
- Решение 90
- Создать план нумерации 90
- Указать отображаемое имя 90
- Настройка fxo порта 93
- Активировать услугу hostline pstn to ip 94
- Для работы исходящих вызовов необходимо в настройках плана нумерации указать 94
- Для того чтобы принимать вызовы с тфоп необходимо выбрать абонента на которого будут 94
- Запретить передачу префикса 94
- Изменения конфигурации вступят в действие после применения 94
- Маршрутизаторы esr 10 esr 12v руководство по эксплуатации 94
- На этом базовая настройка fxo порта закончена 94
- На этом минимальная настройка исходящих вызовов на тфоп закончена для того чтобы 94
- Поступать все вызовы их тфоп допустим это будет абонент с номером 305 94
- Следующее правило которое означает что исходящие вызовы на номера имеющие префикс 9 маршрутизируются локально на fxo комплект 94
- Совершить вызов в тфоп нужно набрать номер вызываемого абонента с указанным префиксом телефонный номер fxo комплекта 94
- Указать номер абонента который будет получать вызовы с тфоп 94
- Часто задаваемые вопросы 95
Похожие устройства
- Eltex ESR-10 Справочник команд CLI
- Eltex ESR-12V Техническое описание
- Eltex ESR-12V Руководство по эксплуатации
- Eltex ESR-12V Справочник команд CLI
- Eltex RG-31-WAC Техническое описание
- Eltex RG-31-WAC Руководство по эксплуатации
- Eltex RG-35-WAC Техническое описание
- Eltex RG-35-WAC Руководство по эксплуатации
- Eltex WEP-2ac Краткое руководство по настройке
- Eltex WEP-2ac Руководство по настройке точки доступа с помощью CLI
- Eltex WEP-2ac Руководство по эксплуатации
- Eltex WEP-2ac Техническое описание
- Eltex WEP-2ac Управление устройством через WEB-конфигуратор
- Eltex WEP-2ac Smart Краткое руководство по настройке
- Eltex WEP-2ac Smart Руководство по настройке точки доступа с помощью CLI
- Eltex WEP-2ac Smart Руководство по эксплуатации
- Eltex WEP-2ac Smart Техническое описание
- Eltex WEP-2ac Smart Управление устройством через WEB-конфигуратор
- Eltex WОP-2ac Краткое руководство по настройке
- Eltex WОP-2ac Руководство по настройке точки доступа с помощью CLI
Скачать
Случайные обсуждения