Eltex ESR-20 [76/325] Пропишем vlan 2 на порт gi1 0 2

Содержание

• Сервисные маршрутизаторы серии esr 1
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 2
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 3 3
• Аннотация 15
• Введение 15
• Условные обозначения 15
• Целевая аудитория 15
• Назначение 17
• Описание изделия 17
• Функции 17
• Функции интерфейсов 17
• В таблице 2 приведены функции устройства при работе с mac адресами 18
• В таблице 3 приведены функции и особенности второго уровня уровень 2 osi 18
• Поддержка vlan 18
• Протокол связующего дерева spanning tree protocol 18
• Режим обучения 18
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 18
• Таблица 2 функции работы с mac адресами 18
• Таблица 3 описание функций второго уровня уровень 2 osi 18
• Таблица mac адресов 18
• Функции второго уровня сетевой модели osi 18
• Функции при работе с mac адресами 18
• В таблице 4 приведены функции третьего уровня уровень 3 osi 19
• Динамическая маршрутизация 19
• Клиент dhcp 19
• Сервер dhcp 19
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 19 19
• Статические ip маршруты 19
• Таблица 4 описание функций третьего уровня layer 3 19
• Таблица arp 19
• Трансляция сетевых адресов nat network address translation 19
• Функции третьего уровня сетевой модели osi 19
• Syslog 20
• Автоматическое восстановление конфигурации 20
• Аутентификация 20
• Загрузка и выгрузка файла настройки 20
• Интерфейс командной строки cli 20
• Протоколы туннелирования 20
• Сервер ssh сервер telnet 20
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 20
• Сетевые утилиты ping traceroute 20
• Таблица 5 функции туннелирования трафика 20
• Таблица 6 основные функции управления и конфигурирования 20
• Управление контролируемым доступом уровни привилегий 20
• Функции туннелирования трафика 20
• Функции управления и конфигурирования 20
• В таблице 7 приведены функции сетевой защиты выполняемые устройством 21
• Зоны безопасности 21
• Основные технические параметры маршрутизатора приведены в таблице 8 21
• Основные технические характеристики 21
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 21 21
• Таблица 7 функции сетевой защиты 21
• Таблица 8 основные технические характеристики 21
• Фильтрация данных 21
• Функции сетевой защиты 21
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 22
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 23 23
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 24
• В данном разделе описано конструктивное исполнение устройства представлены 25
• Высота корпуса 1u 25
• Изображения передней задней и боковых панелей устройства описаны разъемы светодиодные индикаторы и органы управления 25
• Конструктивное исполнение 25
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 25 25
• Устройство выполнено в металлическом корпусе с возможностью установки в 19 конструктив 25
• В таблице 9 приведен перечень разъемов светодиодных индикаторов и органов управления 26
• Внешний вид передней панели показан на рисунке 1 26
• Конструктивное исполнение esr 1700 26
• Передняя панель устройства esr 1700 26
• Расположенных на передней панели устройства esr 1700 26
• Рисунок 1 передняя панель esr 1700 26
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 26
• Таблица 9 описание разъемов индикаторов и органов управления передней панели esr 1700 26
• В таблице 11 приведен перечень разъемов светодиодных индикаторов и органов управления 28
• Внешний вид передней панели показан на рисунке 5 28
• Конструктивное исполнение esr 1510 esr 1500 28
• Передняя панель устройств esr 1510 esr 1500 28
• Расположенных на передней панели устройств esr 1510 esr 1500 28
• Рисунок 5 передняя панель esr 1510 esr 1500 28
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 28
• Таблица 11 описание разъемов индикаторов и органов управления передней панели esr 1510 esr 1500 28
• Конструктивное исполнение esr 1200 esr 1000 29
• В таблице 13 приведен перечень разъемов светодиодных индикаторов и органов управления 30
• Внешний вид передней панели показан на рисунке 10 30
• Передняя панель устройства esr 1000 30
• Расположенных на передней панели устройства esr 1200 30
• Рисунок 9 передняя панель esr 1200 30
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 30
• Таблица 13 описание разъемов индикаторов и органов управления передней панели esr 1200 30
• 2 3 3 4 31
• В таблице 14 приведен перечень разъемов светодиодных индикаторов и органов управления 31
• Внешний вид задней панели устройств esr 1000 приведен на рисунке ниж 31
• Задняя панель устройств esr 1200 1000 31
• Расположенных на передней панели устройства esr 1000 31
• Рисунок 10 передняя панель esr 1000 31
• Рисунок 11 задняя панель esr 1000 31
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 31 31
• Таблица 14 описание разъемов индикаторов и органов управления передней панели esr 1000 31
• Конструктивное исполнение esr 200 esr 100 32
• В таблице 16 приведен перечень разъемов светодиодных индикаторов и органов управления 33
• В таблице 17 приведен перечень разъемов расположенных на задней панели 33
• Внешний вид задней панели устройств esr 200 esr 100 приведен на рисунке 16 33
• Задняя панель устройств esr 200 esr 100 33
• Маршрутизатора 33
• Расположенных на передней панели устройств esr 200 esr 100 33
• Рисунок 15 передняя панель esr 100 33
• Рисунок 16 esr 200 esr 100 задняя панель 33
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 33 33
• Таблица 16 описание разъемов индикаторов и органов управления передней панели esr 200 esr 100 33
• Конструктивное исполнение esr 21 34
• Рисунок 19 передняя панель esr 21 34
• Боковые панели устройства esr 21 35
• В таблице 19 приведен перечень разъемов расположенных на задней панели 35
• Внешний вид боковых панелей устройства esr 21 приведен на рисунках 21 и 22 35
• Внешний вид задней панели устройства esr 21 показан на рисунке 20 35
• Задняя панель устройств esr 21 35
• Маршрутизатора 35
• Рисунок 20 задняя панель esr 21 35
• Рисунок 21 левая панель esr 21 35
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 35 35
• Таблица 19 описание разъемов задней панели маршрутизатора 35
• В таблице 20 приведен перечень разъемов светодиодных индикаторов и органов управления 36
• Внешний вид передней панели показан на рисунке 23 36
• Высота корпуса 1u 36
• Конструктивное исполнение esr 20 36
• Передняя панель устройства esr 20 36
• Расположенных на передней панели устройства esr 20 36
• Рисунок 22 правая панель esr 21 36
• Рисунок 23 передняя панель esr 20 36
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 36
• Таблица 20 описание разъемов индикаторов и органов управления передней панели esr 20 36
• Устройство выполнено в металлическом корпусе с возможностью установки в 19 конструктив 36
• Конструктивное исполнение esr 14vf esr 12vf 37
• В таблице 22 приведен перечень разъемов светодиодных индикаторов и органов управления 38
• Расположенных на передней панели устройства esr 12vf esr 14vf 38
• Рисунок 27 передняя панель esr 14vf esr 12vf 38
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 38
• Таблица 22 описание разъемов индикаторов и органов управления передней панели esr 12vf esr 14vf 38
• В таблице 24 приведен перечень разъемов светодиодных индикаторов и органов управления 40
• Внешний вид передней панели показан на рисунке 31 40
• Высота корпуса 1u 40
• Конструктивное исполнение esr 12v 40
• Передняя панель устройства esr 12v 40
• Расположенных на передней панели устройства esr 12v 40
• Рисунок 31 передняя панель esr 12v 40
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 40
• Таблица 24 описание разъемов индикаторов и органов управления передней панели esr 12v 40
• Устройство выполнено в металлическом корпусе с возможностью установки в 19 конструктив 40
• Конструктивное исполнение esr 10 42
• В таблице 28 приведен перечень светодиодных индикаторов расположенных на верхней 43
• Верхняя панель устройство esr 10 43
• Внешний вид верхней панели устройства esr 10 показан на рисунке 37 43
• Панели устройства esr 10 43
• Рисунок 37 верхняя панель маршрутизатора esr 10 43
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 43 43
• Таблица 27 описание разъемов панели маршрутизатора 43
• Таблица 28 описание индикаторов верхней панели 43
• Световая индикация 44
• В следующей таблице приведено описание состояний системных индикаторов устройства и их 45
• Значений 45
• Световая индикация esr 200 esr 100 45
• Светодиодными индикаторами link act зеленого цвета и speed янтарного цвета расположение индикаторов медных интерфейсов показано на рисунке 38 состояние sfp интерфейсов указано на рисунке 40 значения световой индикации описаны в таблице 32 45
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 45 45
• Состояние медных интерфейсов gigabit ethernet и sfp интерфейсов отображается двумя 45
• Таблица 31 состояния системных индикаторов 45
• В следующей таблице приведено описание состояний системных индикаторов устройства и их 46
• Значений 46
• Рисунок 40 расположение индикаторов оптических интерфейсов 46
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 46
• Таблица 32 световая индикация состояния медных интерфейсов и sfp интерфейсов 46
• Таблица 33 состояния системных индикаторов 46
• В следующей таблице приведено описание состояний системных индикаторов устройства и 47
• Индикаторами link act зеленого цвета и speed янтарного цвета 47
• Их значений 47
• Рисунок 41 расположение индикаторов разъема sfp 47
• Рисунок 42 расположение индикаторов разъема rj 45 47
• Световая индикация esr 21 esr 20 47
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 47 47
• Состояние медных интерфейсов gigabit ethernet отображается двумя светодиодными 47
• Таблица 34 световая индикация состояния медных интерфейсов и sfp интерфейсов 47
• Таблица 35 состояния системных индикаторов 47
• В следующей таблице приведено описание состояний системных индикаторов устройства и 48
• Индикаторами link act зеленого цвета и speed янтарного цвета 48
• Их значений 48
• Рисунок 43 расположение индикаторов разъема sfp только для esr 12vf esr 14vf 48
• Рисунок 44 расположение индикаторов разъема rj 45 48
• Световая индикация esr 12v f 48
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 48
• Состояние медных интерфейсов gigabit ethernet отображается двумя светодиодными 48
• Таблица 36 световая индикация состояния медных интерфейсов и sfp интерфейсов 48
• Таблица 37 состояния системных индикаторов 48
• Комплект поставки 49
• Крепление кронштейнов 52
• Установка и подключение 52
• Установка устройства в стойку 53
• Esr 1700 54
• Подключение питающей сети 54
• Установка модулей питания esr 1000 esr 1200 esr 1500 esr 1510 54
• Удаление трансивера 55
• Установка и удаление sfp трансиверов 55
• Установка трансивера 55
• Интерфейс командной строки cli 57
• Интерфейсы управления 57
• Типы и порядок именования интерфейсов маршрутизатора 58
• Типы и порядок именования туннелей маршрутизатора 59
• Заводская конфигурация маршрутизатора esr 61
• Начальная настройка маршрутизатора 61
• Описание заводской конфигурации 61
• Подключение и конфигурирование маршрутизатора 62
• Подключение к маршрутизатору 63
• Применение изменения конфигурации 63
• Базовая настройка маршрутизатора 64
• 6 132 6 0 подключаться к маршрутизатору с ip адресом 40 3 2 по протоколу ssh 66
• Self зона в которой находится интерфейс управления маршрутизатором 66
• Source zone зона из которой будет осуществляться удаленный доступ 66
• Telnet или ssh из зоны trusted для того чтобы разрешить удаленный доступ к маршрутизатору из других зон например из публичной сети необходимо создать соответствующие правила в firewall 66
• В заводской конфигурации разрешен удаленный доступ к маршрутизатору по протоколам 66
• Для создания разрешающего правила используются следующие команды 66
• Для того чтобы убедиться что адрес был назначен интерфейсу введите следующую команду 66
• Настройка удаленного доступа к маршрутизатору 66
• Получения ip адреса может использоваться протокол dhcp если в сети присутствует сервер dhcp 66
• После применения конфигурации 66
• При конфигурировании доступа к маршрутизатору правила создаются для пары зон 66
• Пример команд для разрешения пользователям из зоны untrusted с ip адресами 66
• Пример настройки предназначенной для получения динамического ip адреса от dhcp 66
• Провайдер может использовать динамически назначаемые адреса в своей сети для 66
• Сервера на интерфейсе gigabitethernet 1 0 10 66
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 66
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 67 67
• Обновление программного обеспечения 68
• Обновление программного обеспечения средствами системы 68
• Обновление программного обеспечения из начального загрузчика 69
• Запустите процедуру обновления программного обеспечения 70
• Можно сохранить окружение командой saveenv для будущих обновлений 70
• Остановите загрузку устройства после окончания инициализации маршрутизатора 70
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 70
• Укажите ip адрес tftp сервера 70
• Укажите ip адрес маршрутизатора 70
• Укажите имя файла программного обеспечения на tftp сервере 70
• Вторичный загрузчик занимается инициализацией nand и маршрутизатора при обновлении 71
• Для просмотра текущей версии загрузочного файла работающего на устройстве введите 71
• Запустите процедуру обновления программного обеспечения 71
• Команду version в cli u boot также версия отображается в процессе загрузки маршрутизатора 71
• Можно сохранить окружение командой saveenv для будущих обновлений 71
• Новый файл вторичного загрузчика сохраняется на flash на месте старого 71
• Обновление вторичного загрузчика u boot 71
• Остановите загрузку устройства после окончания инициализации маршрутизатора 71
• Перезагрузите роутер 71
• Процедура обновления по 71
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 71 71
• Укажите ip адрес tftp сервера 71
• Укажите ip адрес маршрутизатора 71
• Укажите имя файла загрузчика на tftp сервере 71
• Установите загруженное программное обеспечение в качестве образа для запуска системы и 71
• Перезагрузите маршрутизатор 72
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 72
• Vlan virtual local area network логическая виртуальная локальная сеть представляет 73
• Алгоритм настройки 73
• Настройка vlan 73
• Примеры настройки маршрутизатора 73
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 73 73
• Собой группу устройств которые взаимодействуют между собой на канальном уровне независимо от их физического местонахождения работа vlan основана на использовании дополнительных полей ethernet заголовка согласно стандарту 802 q по сути vlan изолирует широковещательный домен путем ограничения коммутации ethernet фреймов только с одинаковым vlan id в ethernet заголовке 73
• Задача 74
• На основе заводской конфигурации удалить из vlan 2 порт gi1 0 1 74
• Настроить порты gi1 0 1 и gi1 0 2 для передачи и приема пакетов в vlan 2 vlan 64 vlan 74
• Пример настройки 1 удаление vlan с интерфейса 74
• Пример настройки 2 разрешение обработки vlan в тегированном 74
• Режиме 74
• Решение 74
• Рисунок 53 схема сети 74
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 74
• Удалим vlan 2 с порта gi1 0 1 74
• И не тегированном режиме 75
• Пример настройки 3 разрешение обработки vlan в тегированном 75
• Link layer discovery protocol lldp протокол канального уровня позволяющий сетевому 76
• Алгоритм настройки 76
• Задача 76
• Настройка lldp 76
• Оборудованию оповещать оборудование работающее в локальной сети о своём существовании и передавать ему свои характеристики а также получать от него аналогичные сведения 76
• Пример настройки 76
• Пропишем vlan 2 на порт gi1 0 2 76
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 76
• Настройка lldp med 77
• Voice vlan vlan id при получении которого ip телефон переходит в режим trunk с 78
• Алгоритм настройки 78
• Заданным vlan id для приема и отправки voip трафика передача vlan id осуществляется посредством расширения med протокола lldp 78
• Задача 78
• Пример настройки voice vlan 78
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 78
• Gi 1 0 1 79
• Wan lan 79
• Включим lldp и поддержку med в lldp глобально на маршрутизаторе 79
• Для телефонии и настроить отправку voice vlan с порта gi 1 0 1 esr при этом на ip телефоне должен поддерживаться и быть включен voice vlan 79
• Для терминирования ethernet фреймов конкретного vlan на определенном физическом 79
• Интерфейсе необходимо создать саб интерфейс с указанием номера vlan фреймы которого будут терминироваться при создании двух саб интерфейсов с одинаковыми vlan но на разных физических агрегированных интерфейсах коммутация ethernet фреймов между данными саб интерфейсами будет невозможна т к сегменты за пределами саб интерфейсов будут являться отдельными широковещательными доменами для обмена данными между абонентами разных саб интерфейсов даже с одинаковым vlan id будет использоваться маршрутизация т е обмен данными будет происходить на третьем уровне модели osi 79
• Настроим lldp на интерфейсе и установим на него сетевую политику 79
• Настройка терминации на саб интерфейсе 79
• Необходимо разделить трафик телефонии и данных по разным vlan vid 10 для данных и vid 79
• Предварительно необходимо создать vlan 10 и 20 и настроить интерфейс gi 1 0 1 в режиме 79
• Решение 79
• Рисунок 57 схема сети 79
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 79 79
• Создадим и настроим сетевую политику таким образом чтобы для приложения voice 79
• Указывался vlan id 20 79
• Gigabitethernet 1 0 1 80
• Алгоритм настройки 80
• Задача 80
• Настроим ip адрес из необходимой подсети 80
• Настроить терминацию подсети 192 68 24 в vlan 828 на физическом интерфейсе 80
• Пример настройки саб интерфейса 80
• Решение 80
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 80
• Создадим саб интерфейс для vlan 828 80
• Q in q 81
• Алгоритм настройки 81
• Для расширения количества используемых vlan в сети передачи данных внутренним тегом innertag называется 802 q заголовок ближе к payload так же внутренний тег называют c vlan customer vlan внешний тег outertag 81
• Настройка терминации на q in q интерфейсе 81
• Помимо назначения ip адреса на саб интерфейсе необходимо либо отключить firewall либо настроить соответствующую зону безопасности 81
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 81 81
• Технология передачи пакетов с двумя 802 q тегами данная технология используется 81
• Это 802 q заголовок добавленный к изначальному 802 q пакетом так же называется s vlan service vlan использование двойных меток в ethernet фреймах описывается протоколом 802 ad 81
• Алгоритм настройки usb модемов 82
• Задача 82
• Использование usb модемов позволяет организовать дополнительный канал связи для 82
• Концентраторы одновременно в системе может быть сконфигурировано до 10 ти usb модемов 82
• Настроить терминацию подсети 192 68 24 комбинации c vlan 741 s vlan 828 на 82
• Настройка usb модемов 82
• Помимо назначения ip адреса на q in q саб интерфейсе необходимо либо отключить firewall либо настроить соответствующую зону безопасности 82
• Пример настройки q in q интерфейса 82
• Работы маршрутизатора при подключении usb модемов возможно использовать usb 82
• Решение 82
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 82
• Создадим q in q саб интерфейс для s vlan 741 и настроим ip адрес из необходимой подсети 82
• Создадим саб интерфейс для s vlan 828 82
• Физическом интерфейсе gigabitethernet 1 0 1 82
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 83 83
• Активировать usb модем 84
• Аутентификации 84
• Для примера разберём подключение к сотовому оператору мтс 84
• Зададим apn который требует провайдер или иной необходимый адрес ниже показан 84
• Задать предпочтительный режим работы usb модема в мобильной сети не обязательно 84
• Задача 84
• Назначим соответствующий профиль настроек и активируем модем 84
• Настроить подключение к сети интернет используя usb модем 84
• Определим порт устройства который был назначен на подключённый usb модем 84
• Перейдём к конфигурированию usb модема и зададим идентификатор соответствующий 84
• Порту устройства который был определён в начале 84
• После подключения модема необходимо дождаться когда система обнаружит устройство 84
• Предпочтительный режим работы usb модема 2g 3g 4g 84
• При необходимости задаём имя пользователя пароль номер дозвона и метод 84
• Пример настройки 84
• Пример подключения к apn мтс 84
• Решение 84
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 84
• Создадим профиль настроек для usb модема 84
• Aaa authentication authorization accounting используется для описания процесса 85
• Accounting учёт слежение за подключением пользователя или внесенным им изменениям 85
• Authentication аутентификация сопоставление персоны запроса существующей учётной записи в системе безопасности осуществляется по логину паролю 85
• Authorization авторизация проверка полномочий проверка уровня доступа сопоставление учётной записи в системе и определённых полномочий 85
• Алгоритм настройки локальной аутентификации 85
• Настройка ааа 85
• Предоставления доступа и контроля над ним 85
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 85 85
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 86
• Алгоритм настройки aaa по протоколу radius 87
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 87 87
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 88
• Алгоритм настройки aaa по протоколу tacacs 89
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 89 89
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 90
• Алгоритм настройки aaa по протоколу ldap 91
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 91 91
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 92
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 93 93
• 192 68 6 24 94
• Задача 94
• Настроим подключение к radius серверу и укажем ключ password 94
• Настроить аутентификацию пользователей подключающихся по telnet через radius 94
• Пример настройки аутентификации по telnet через radius сервер 94
• Решение 94
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 94
• Создадим профиль аутентификации 94
• Алгоритм настройки 95
• Настройка привилегий команд 95
• Пример настройки привилегий команд 95
• Default router ip адрес маршрутизатора используемого в качестве шлюза по умолчанию 96
• Dns server список адресов серверов доменных имен в данной сети о которых должен знать клиент адреса серверов в списке располагаются в порядке убывания предпочтения 96
• Domain name доменное имя которое должен будет использовать клиент при разрешении имен хостов через систему доменных имен dns 96
• Алгоритм настройки 96
• В режиме конфигурирования определим команды разрешенные на использование с уровнем 96
• Встроенный dhcp сервер маршрутизатора может быть использован для настройки сетевых 96
• Настройка dhcp сервера 96
• Параметров устройств в локальной сети dhcp сервер маршрутизаторов способен передавать дополнительные опции на сетевые устройства например 96
• Привилегий 10 и уровнем привилегий 3 96
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 96
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 97 97
• Задача 98
• Пример настройки dhcp сервера 98
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 98
• Адресов для выдачи в аренду клиентам сервера укажем параметры подсети к которой принадлежит данный пул и время аренды для выдаваемых адресов 99
• Для разрешения прохождения сообщений протокола dhcp к серверу необходимо создать 99
• Для того чтобы dhcp сервер мог раздавать ip адреса из конфигурируемого пула на 99
• Задать пул ip адресов из подсети 192 68 24 для раздачи клиентам задать время аренды адресов 1 день настроить передачу клиентам маршрута по умолчанию доменного имени и адресов dns серверов с помощью dhcp опций 99
• Имя домена eltex loc 99
• Интерфейсов к зонам 99
• Маршрут по умолчанию 192 68 99
• Маршрутизаторе должен быть создан ip интерфейс принадлежащий к той же подсети что и адреса пула 99
• Настроить работу dhcp сервера в локальной сети относящейся к зоне безопасности trusted 99
• Решение 99
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 99 99
• Сконфигурируем передачу клиентам дополнительных сетевых параметров 99
• Создадим зону безопасности trusted и установим принадлежность используемых сетевых 99
• Создадим пул адресов с именем simple и добавим в данный пул адресов диапазон ip 99
• Соответствующие профили портов включающие порт источника 68 и порт назначения 67 используемые протоколом dhcp и создать разрешающее правило в политике безопасности для прохождения пакетов протокола udp 99
• Список dns серверов dns1 172 6 dns2 8 99
• Cоздать пул ip адресов и или tcp udp портов с определённым именем не обязательно 100
• Dnat используется для перенаправления трафика идущего на некоторый виртуальный 100
• Ip адрес задаётся в виде aaa bbb ccc ddd где каждая часть принимает значения 0 55 100
• Tcp udp порт принимает значения 1 5535 100
• Адрес в публичной сети на реальный сервер в локальной сети находящийся за сетевым шлюзом эту функцию можно использовать для организации публичного доступа к серверам находящимся в частной сети и не имеющим публичного сетевого адреса 100
• Алгоритм настройки 100
• Имя пула nat адресов задаётся строкой до 31 символа 100
• Конфигурирование destination nat 100
• Конфигурирование настроек для ipv6 производится по аналогии с ipv4 100
• Перейти в режим настройки сервиса трансляции адресов получателя 100
• Просмотреть сконфигурированные пулы адресов можно командами 100
• Просмотреть список арендованных адресов можно с помощью команды 100
• Проходящих через сетевой шлюз 100
• Разрешим работу сервера 100
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 100
• Установить внутренний ip адрес на который будет заменяться ip адрес получателя 100
• Установить внутренний tcp udp порт на который будет заменяться tcp udp порт получателя 100
• Функция destination nat dnat состоит в преобразовании ip адреса назначения у пакетов 100
• Шаг описание команда ключи 100
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 101 101
• Ip адрес и маска подсети используемые при трансляции параметр задаётся в виде aaa bbb ccc ddd ee где каждая часть aaa ddd принимает значения 0 55 и ee принимает значения 1 2 102
• Активировать конфигурируемое правило 102
• Более подробная информация о командах для настройки маршрутизатора содержится в 102
• Задать действие трансляция адреса и порта получателя для трафика удовлетворяющего критериям заданным командами match 102
• Задача 102
• Используемых сетевых интерфейсов к зонам одновременно назначим ip адреса интерфейсам 102
• Каждая команда match может содержать ключ not при использовании данного ключа 102
• Организовать доступ из публичной сети относящейся к зоне untrust к серверу локальной 102
• Под правило будут подпадать пакеты не удовлетворяющие заданному критерию 102
• Пример настройки destination nat 102
• Решение 102
• Рисунок 58 схема сети 102
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 102
• Сети в зоне trust адрес сервера в локальной сети 10 00 сервер должен быть доступным извне по адресу 1 доступный порт 80 102
• Создадим зоны безопасности untrust и trust установим принадлежность 102
• Справочнике команд cli 102
• Net_uplink профиль адресов публичной сети 103
• Server_ip профиль адресов локальной сети 103
• Srv_http профиль портов 103
• Адресов в атрибутах набора укажем что правила применяются только для пакетов пришедших из зоны untrust набор правил включает в себя требования соответствия данных по адресу и порту назначения match destination address match destination port и по протоколу кроме этого в наборе задано действие применяемое к данным удовлетворяющим всем правилам action destination nat набор правил вводится в действие командой enable 103
• Войдем в режим конфигурирования функции dnat и создадим пул адресов и портов 103
• Для пропуска трафика идущего из зоны untrust в trust создадим соответствующую 103
• Назначения в которые будут транслироваться адреса пакетов поступающие на адрес 1 из внешней сети 103
• Пару зон пропускать следует только трафик с адресом назначения соответствующим заданному в профиле server_ip и прошедший преобразование dnat 103
• Правил dnat 103
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 103 103
• Создадим набор правил dnat в соответствии с которыми будет производиться трансляция 103
• Создадим профили ip адресов и портов которые потребуются для настройки правил firewall и 103
• Алгоритм настройки 104
• Компьютерам находящимся в локальной сети при этом не требуется назначения публичных ip адресов этим компьютерам 104
• Конфигурирование source nat 104
• Произведенные настройки можно посмотреть с помощью команд 104
• Проходящих через сетевой шлюз при прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза дополнительно к адресу источника может применяться замена порта источника при прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта 104
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 104
• Функция snat может быть использована для предоставления доступа в интернет 104
• Функция source nat snat используется для подмены адреса источника у пакетов 104
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 105 105
• Более подробная информация о командах для настройки маршрутизатора содержится в 106
• Задача 106
• Использованием функции source nat задать диапазон адресов публичной сети для использования snat 100 00 100 49 106
• Каждая команда match может содержать ключ not при использовании данного ключа 106
• Конфигурирование начнем с создания зон безопасности настройки сетевых интерфейсов и 106
• Настроить доступ пользователей локальной сети 10 24 к публичной сети с 106
• Определения их принадлежности к зонам безопасности создадим доверенную зону trust для локальной сети и зону untrust для публичной сети 106
• Под правило будут подпадать пакеты не удовлетворяющие заданному критерию 106
• Пример настройки 1 106
• Решение 106
• Рисунок 59 схема сети 106
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 106
• Справочнике команд cli 106
• Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила 107
• Для конфигурирования функции snat и настройки правил зон безопасности потребуется 107
• Для пропуска трафика из зоны trust в зону untrust создадим пару зон и добавим 107
• Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в 107
• Используемых для сервиса snat 107
• Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети 107
• Правила разрешающие проходить трафику в этом направлении дополнительно включена проверка адреса источника данных на принадлежность к диапазону адресов local_net для соблюдения ограничения на выход в публичную сеть действие правил разрешается командой enable 107
• Применяются только для пакетов направляющихся в публичную сеть в зону untrust правила включают проверку адреса источника данных на принадлежность к пулу local_net 107
• Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на 107
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 107 107
• Создать профиль адресов локальной сети local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool 107
• Local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool 108
• Для конфигурирования функции snat потребуется создать профиль адресов локальной сети 108
• Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них 108
• Должна быть настроена маршрутизация адрес 10 должен быть назначен адресом шлюза 108
• Задача 108
• Интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool 108
• Использованием функции source nat без использования межсетевого экрана firewall диапазон адресов публичной сети для использования snat 200 0 00 200 0 49 108
• Конфигурирование начнем с настройки сетевых интерфейсов и отключения межсетевого 108
• На самом маршрутизаторе также должен быть создан маршрут для направления на 108
• Настроить доступ пользователей локальной сети 21 2 24 к публичной сети с 108
• Пример настройки 2 108
• Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды 108
• Решение 108
• Рисунок 60 схема сети 108
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 108
• Экрана 108
• Static nat статический nat задает однозначное соответствие одного адреса другому 109
• Алгоритм настройки 109
• Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила 109
• Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в 109
• Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них 109
• Должна быть настроена маршрутизация адрес 21 2 должен быть назначен адресом шлюза 109
• Иными словами при прохождении через маршрутизатор адрес меняется на другой строго заданный адрес один к одному запись о такой трансляции хранится неограниченно долго пока не будет произведена перенастройка nat на маршрутизаторе 109
• Конфигурирование static nat 109
• Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети используемых для сервиса snat 109
• На самом маршрутизаторе также должен быть создан маршрут для направления на 109
• Настройка static nat осуществляется средствами source nat алгоритм настройки которой 109
• Описан в разделе 7 1 настоящего руководства 109
• Применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net 109
• Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды 109
• Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool 109
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 109 109
• Local_net включающий локальную подсеть и профиль адресов публичной сети public_pool 110
• Адресов 21 2 00 21 2 50 в публичную сеть 200 0 24 диапазон адресов публичной сети для использования трансляции 200 0 00 200 0 50 110
• Диапазон адресов публичной сети для использования static nat задаем в профиле proxy 110
• Для конфигурирования static nat потребуется создать профиль адресов локальной сети 110
• Задача 110
• Конфигурируем сервис static nat в режиме конфигурирования snat в атрибутах набора 110
• Настроить двухстороннюю и постоянную трансляцию из локальной сети для диапазона 110
• Начнем конфигурирование с настройки сетевых интерфейсов и отключения межсетевого 110
• Пример настройки static nat 110
• Решение 110
• Рисунок 61 схема сети 110
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 110
• Укажем что правила применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net и проверку адресов назначения на принадлежность к пулу public_pool 110
• Экрана 110
• Блокировать доступ к ресурсам youtube bittorrent и facebook 111
• Внимание использование механизма фильтрации приложений многократно снижает производительность маршрутизатора из за необходимости проверки каждого пакета производительность снижается с ростом количества выбранных приложений для фильтрации 111
• Для каждой сети esr создадим свою зону безопасности 111
• Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в 111
• Для того чтобы устройства локальной сети могли получить доступ к cети 200 0 24 на них 111
• Должна быть настроена маршрутизация адрес 21 2 должен быть назначен адресом шлюза 111
• Задача 111
• Изменения конфигурации вступают в действие по команде применения 111
• Посмотреть активные трансляции можно с помощью команды 111
• Пример настройки фильтрации приложений dpi 111
• Пул трансляции proxy необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов proxy 111
• Решение 111
• Рисунок 62 схема сети 111
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 111 111
• Для настройки правил зон безопасности потребуется создать профиль приложений которые 112
• Для установки правил прохождения трафика из зоны lan в зону wan создадим пару зон 112
• Для установки правил прохождения трафика из зоны wan в зону lan создадим пару зон 112
• И добавим правило запрещающее проходить трафику приложений и правило разрешающее проходить остальному трафику действие правил разрешается командой enable 112
• И добавим правило разрешающее прохождение всего трафика действие правил разрешается командой enable 112
• Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 112
• Необходимо будет блокировать 112
• Посмотреть активные сессии можно с помощью команд 112
• Посмотреть пары зон и их конфигурацию можно с помощью команд 112
• Посмотреть членство портов в зонах можно с помощью команды 112
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 112
• Алгоритм настройки 113
• Проксирование http https трафика 113
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 113 113
• Если функция firewall на esr принудительно не отключена необходимо создать разрешающее правило для зоны self 114
• Задача 114
• И укажем действия для созданного набора url 114
• Организовать фильтрацию по url для ряда адресов посредством прокси 114
• Пример настройки http прокси 114
• Решение 114
• Рисунок 63 схема сети 114
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 114
• Создадим набор url по которым будет осуществляться фильтрация настроим прокси фильтр 114
• Алгоритм настройки 115
• Включим проксирование на интерфейсе по профилю list 115
• Включить защиту от icmp flood атак 115
• Включить защиту от land атак 115
• Включить ограничение количества одновременных сессий на основании адреса источника которое смягчает dos атаки 115
• Включить ограничение количества одновременных сессий на основании адреса назначения 115
• Если используется firewall создадим для него разрешающие правила 115
• Количество icmp пакетов в секунду задается в диапазоне 1 0000 115
• Настройка логирования и защиты от сетевых атак 115
• Ограничение количества ip сессий задается в диапазоне 1 0000 115
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 115 115
• Создаем профиль 115
• Создаем профиль портов прокси сервера 115
• Создаем разрешающе правило межзонового взаимодействия 115
• Шаг описание команда ключи 115
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 116
• Ip firewall screen dos defense icmp threshold 117
• Данная команда включает защиту от icmp flood атак при включенной защите ограничивается 117
• Количество icmp пакетов всех типов в секунду для одного адреса назначения атака приводит к перегрузке хоста и выводу его из строя из за необходимости обрабатывать каждый запрос и отвечать на него 117
• Описание механизмов защиты от атак 117
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 117 117
• Firewall screen dos defense land 118
• Ip firewall screen dos defense limit session destination 118
• Ip firewall screen dos defense limit session source 118
• Ip firewall screen dos defense syn flood 118
• Ip firewall screen dos defense udp threshold 118
• Ip firewall screen dos defense winnuke 118
• Ip firewall screen spy blocking fin no ack 118
• Ip firewall screen spy blocking icmp type destination unreachable 119
• Ip firewall screen spy blocking icmp type echo request 119
• Ip firewall screen spy blocking icmp type reserved 119
• Ip firewall screen spy blocking icmp type source quench 119
• Ip firewall screen spy blocking icmp type time exceeded 119
• Ip firewall screen spy blocking ip sweep 119
• Ip firewall screen spy blocking port scan 119
• Ip firewall screen spy blocking spoofing 120
• Ip firewall screen spy blocking syn fin 120
• Ip firewall screen spy blocking tcp all flag 120
• Ip firewall screen spy blocking tcp no flag 120
• Ip firewall screen suspicious packets icmp fragment 120
• Ip firewall screen suspicious packets ip fragment 120
• Ip firewall screen suspicious packets large icmp 120
• Ip firewall screen suspicious packets syn fragment 120
• Ip firewall screen suspicious packets udp fragment 120
• Flood и настроить оповещение об атаках по snmp на snmp сервер 192 68 0 121
• Ip firewall screen suspicious packets unknown protocols 121
• Более 121
• Данная команда включает блокировку пакетов с id протокола в заголовке ip равном 137 и 121
• Задача 121
• Настроим защиту от land syn flood icmp flood атак 121
• Необходимо защитить lan сеть и маршрутизатор esr от сетевых атак land syn flood icmp 121
• Отсутствие не повлияют на работу защиты от сетевых атак 121
• Предварительно необходимо настроить интерфейсы и firewall настройка firewall или ее 121
• Пример настройки логирования и защиты от сетевых атак 121
• Решение 121
• Рисунок 64 схема сети 121
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 121 121
• Firewall комплекс аппаратных или программных средств осуществляющий контроль и 122
• Алгоритм настройки 122
• Конфигурирование firewall 122
• Настроим snmp сервер на который будут отправляться трапы 122
• Настроим логирование обнаруженных атак 122
• Посмотреть статистику по зафиксированным сетевым атакам можно командой 122
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 122
• Фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами 122
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 123 123
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 124
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 125 125
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 126
• Более подробная информация о командах для настройки межсетевого экрана содержится в 127
• Для каждой сети esr создадим свою зону безопасности 127
• Задача 127
• Каждая команда match может содержать ключ not при использовании данного ключа 127
• Маршрутизатором esr 127
• Под правило будут подпадать пакеты не удовлетворяющие заданному критерию 127
• Пример настройки firewall 127
• Разрешить обмен сообщениями по протоколу icmp между устройствами пк1 пк2 и 127
• Решение 127
• Рисунок 65 схема сети 127
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 127 127
• Справочнике команд cli 127
• Включающий адреса которым разрешен выход в сеть wan и профиль адресов сети wan 128
• Для настройки правил зон безопасности потребуется создать профиль адресов сети lan 128
• Для пропуска трафика из зоны lan в зону wan создадим пару зон и добавим правило 128
• Для пропуска трафика из зоны wan в зону lan создадим пару зон и добавим правило 128
• Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 128
• Разрешающее проходить icmp трафику от пк1 к пк2 действие правил разрешается командой enable 128
• Разрешающее проходить icmp трафику от пк2 к пк1 действие правил разрешается командой enable 128
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 128
• Access control list или acl список контроля доступа содержит правила определяющие 129
• Cоздать список контроля доступа и перейти в режим его 129
• Алгоритм настройки 129
• Имя создаваемого списка контроля доступа задаётся строкой до 31 символа 129
• На маршрутизаторе всегда существует зона безопасности с именем self если в качестве 129
• Настройка списков доступа acl 129
• Получателя трафика выступает сам маршрутизатор то есть трафик не является транзитным то в качестве параметра указывается зона self создадим пару зон для трафика идущего из зоны wan в зону self добавим правило разрешающее проходить icmp трафику между пк2 и маршрутизатором esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны wan 129
• Посмотреть активные сессии можно с помощью команд 129
• Посмотреть пары зон и их конфигурацию можно с помощью команд 129
• Посмотреть членство портов в зонах можно с помощью команды 129
• Прохождение трафика через интерфейс 129
• Разрешающее проходить icmp трафику между пк1 и esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны lan 129
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 129 129
• Создадим пару зон для трафика идущего из зоны lan в зону self добавим правило 129
• Шаг описание команда ключи 129
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 130
• Задача 131
• Настроим список доступа для фильтрации по подсетям 131
• Пример настройки списка доступа 131
• Разрешить прохождения трафика только из подсети 192 68 0 24 131
• Решение 131
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 131 131
• Также списки доступа могут использоваться для организации политик qos 131
• Конфигурирование статических маршрутов 132
• Процесс настройки 132
• Пример настройки статических маршрутов 133
• R1 будет подключен к сети 192 68 24 134
• R1 будет подключен к сети internet 134
• Будет подключен к сети 10 8 134
• Для интерфейса gi1 0 1 укажем адрес 10 8 и зону lan через данный интерфейс r2 134
• Для интерфейса gi1 0 1 укажем адрес 192 68 24 и зону lan через данный интерфейс 134
• Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный 134
• Для интерфейса gi1 0 3 укажем адрес 128 07 30 и зону wan через данный интерфейс 134
• Зададим имя устройства для маршрутизатора r1 134
• Зададим имя устройства для маршрутизатора r2 134
• Интерфейс r1 будет подключен к устройству r2 для последующей маршрутизации трафика 134
• Интерфейс r2 будет подключен к устройству r1 для последующей маршрутизации трафика 134
• Провайдера 128 07 134
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 134
• Создадим маршрут для взаимодействия с сетью 10 8 используя в качестве шлюза 134
• Создадим маршрут для взаимодействия с сетью internet используя в качестве nexthop шлюз 134
• Устройство r2 192 68 00 134
• Ppp point to point protocol двухточечный протокол канального уровня используется для 135
• Topgate sfp в маршрутизаторе esr 135
• Для установления ppp соединения через поток e1 необходимо наличие медиаконвертера 135
• Маршрутизатора r1 192 68 00 135
• Настройка ppp через e1 135
• Проверить таблицу маршрутов можно командой 135
• Процесс настройки 135
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 135 135
• Создадим маршрут по умолчанию указав в качестве nexthop ip адрес интерфейса gi1 0 2 135
• Установления прямой связи между двумя узлами сети может обеспечить аутентификацию соединения шифрование и сжатие данных 135
• Задаётся строкой 1 64 символов может включать символы 0 9a fa f 136
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 136
• Sfp используя 1 8 канальные интервалы для передачи данных источник синхросигнала встречная сторона 137
• Задача 137
• Настроить ppp соединение со встречной стороной с ip адресом 10 7 24 через topgate 137
• Переключаем интерфейс в котором установлен topgate sfp gigabitethernet 1 0 3 в режим 137
• Пример конфигурации 137
• Работы е1 137
• Решение 137
• Рисунок 67 схема сети 137
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 137 137
• Multilink ppp mlppp предоставляет собой агрегированный канал включающий в себя 138
• Алгоритм настройки 138
• Включим interface e1 1 3 1 138
• Задать интервал времени за который усредняется статистика о нагрузке на группе агрегации не обязательно 138
• Изменения конфигурации вступят в действие по следующим командам 138
• Интервал в секундах принимает значения 5 50 значение по умолчанию 5 138
• Методы для распространения трафика через несколько физических каналов имея одно логическое соединение этот вариант позволяет расширить пропускную способность и обеспечивает балансировку нагрузки 138
• Наименование интерфейса 138
• Настроить группу агрегации 138
• Настройка mlppp 138
• Описание группы агрегации задаётся строкой до 255 символов 138
• Рисунок 68 схема сети 138
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 138
• Указать описание конфигурируемой группы агрегации не обязательно 138
• Шаг описание команда ключи 138
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 139 139
• Задача 140
• Настроить mlppp соединение с встречной стороной с ip адресом 10 7 24 через 140
• Пример настройки 140
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 140
• Устройство mxe 140
• Bridge мост это способ соединения двух сегментов ethernet на канальном уровне без 141
• Активировать сетевой мост 141
• Алгоритм настройки 141
• Включим interface e1 1 0 1 interface e1 1 0 2 в группу агрегации mlppp 3 141
• Добавить сетевой мост bridge в систему и перейти в режим настройки его параметров 141
• Идентификационный номер моста принимает значения в диапазоне для esr 10 12v f 14vf 1 0 для esr 20 21 100 200 1 50 для esr 1000 1200 1500 1510 1700 1 00 141
• Использования протоколов более высокого уровня таких как ip пакеты передаются на основе ethernet адресов а не ip адресов поскольку передача выполняется на канальном уровне уровень 2 модели osi трафик протоколов более высокого уровня прозрачно проходит через мост 141
• Настроим mlppp 3 141
• Настройка bridge 141
• Переключаем интерфейс gigabitethernet 1 0 10 в режим работы е1 141
• Решение 141
• Рисунок 69 схема сети 141
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 141 141
• Шаг описание команда ключи 141
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 142
• Добавим интерфейсы gi1 0 11 gi1 0 12 в vlan 333 143
• Задача 143
• Запретить коммутацию unknown unicast трафика когда mac адрес назначения не содержится в таблице коммутации в данном bridge не обязательно применимо только на esr 1000 1200 1500 1510 170 0 143
• И l2tpv3 туннель проходящий по публичной сети для объединения использовать vlan 333 143
• Или 143
• Объединить в единый l2 домен интерфейсы маршрутизатора относящиеся к локальной сети 143
• Пример настройки bridge для vlan и l2tpv3 туннеля 143
• Решение 143
• Рисунок 70 схема сети 143
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 143 143
• Создадим vlan 333 143
• Создадим зону безопасности trusted 143
• Установить время жизни ipv4 ipv6 записей в arp таблице изученных на данном bridge не обязательно 143
• Должен относиться к зоне lan1 vlan 60 к зоне lan2 разрешить свободную передачу трафика между зонами 144
• Задача 144
• Назначим интерфейсам gi1 0 11 gi1 0 12 vlan 50 144
• Настроить маршрутизацию между vlan 50 10 0 24 и vlan 60 10 0 24 vlan 50 144
• Настройка l2tpv3 туннеля рассматривается в разделе в общем случае идентификаторы моста и туннеля не должны совпадать с vid как в данном примере 144
• Пример настройки bridge для vlan 144
• Решение 144
• Рисунок 71 схема сети 144
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 144
• Создадим bridge 333 привяжем к нему vlan 333 и укажем членство в зоне trusted 144
• Создадим vlan 50 60 144
• Создадим зоны безопасности lan1 и lan2 144
• Установим принадлежность l2tpv3 туннеля к мосту который связан с локальной сетью 144
• Задача 145
• На интерфейс gigabitethernet 1 0 1 поступают ethernet кадры с различными vlan тегами 145
• Назначим интерфейсу gi1 0 14 vlan 60 145
• Необходимо перенаправить их в интерфейс gigabitethernet 1 0 2 добавив второй vlan id 828 при поступлении на интерфейс gigabitethernet 1 0 2 ethernet кадров с vlan id 828 данный тег должен быть удален и отправлен в интерфейс gigabitethernet 1 0 1 145
• Посмотреть членство интерфейсов в мосте можно командой 145
• Пример настройки добавления удаления второго vlan тега 145
• Решение 145
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 145 145
• Создадим bridge 50 привяжем vlan 50 укажем ip адрес 10 0 24 и членство в зоне 145
• Создадим bridge 60 привяжем vlan 60 укажем ip адрес 10 0 24 и членство в зоне 145
• Создадим на маршрутизаторе bridge без vlan и без ip адреса 145
• Создадим правила в firewall разрешающие свободное прохождение трафика между зонами 145
• Rip дистанционно векторный протокол динамической маршрутизации который использует 146
• Алгоритм настройки 146
• Включим интерфейс gigabitethernet 1 0 1 в bridge 1 146
• Включим саб интерфейс gigabitethernet 1 0 2 28 в bridge 1 146
• Количество транзитных участков в качестве метрики маршрута максимальное количество транзитных участков hop разрешенное в rip равно 15 каждый rip маршрутизатор по умолчанию вещает в сеть свою полную таблицу маршрутизации один раз в 30 секунд rip работает на 3 м уровне стека tcp ip используя udp порт 520 146
• Настройка rip 146
• При добавлении второго vlan тега в ethernet кадр его размер увеличивается на 4 байта на интерфейсе маршрутизатора gigabitethernet 1 0 2 и на всем оборудовании передающем q in q кадры необходимо увеличить mtu на 4 байта или более 146
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 146
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 147 147
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 148
• Задача 149
• Настроить на маршрутизаторе протокол rip для обмена маршрутной информацией с 149
• Перейдём в режим конфигурирования протокола rip 149
• Предварительно нужно настроить ip адреса на интерфейсах согласно схеме сети 149
• Приведенной на рисунке 72 149
• Пример настройки rip 149
• Решение 149
• Рисунок 72 схема сети 149
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 149 149
• Соседними маршрутизаторами маршрутизатор должен анонсировать статические маршруты и подсети 115 24 14 24 10 24 анонсирование маршрутов должно происходить каждые 25 секунд 149
• Укажем подсети которые будут анонсироваться протоколом 115 24 14 24 и 149
• Ospf протокол динамической маршрутизации основанный на технологии отслеживания 150
• Алгоритм настройки 150
• Включить вывод информации о состоянии 150
• Для анонсирования протоколом статических маршрутов выполним команду 150
• Для того чтобы просмотреть таблицу маршрутов rip воспользуемся командой 150
• Количество маршрутов протокола ospf в маршрутной таблице принимает значения в диапазоне для esr 1000 1200 1500 1510 1700 1 00000 для esr 20 21 100 200 1 00000 для esr 10 12v f 14vf 1 0000 значение по умолчанию для глобального режима для esr 1000 1200 1500 1510 1700 500000 для esr 20 21 100 200 300000 для esr 10 12v f 14vf 30000 значение по умолчанию для vrf 0 150
• Настроим таймер отвечающий за отправку маршрутной информации 150
• Настроить емкость таблиц маршрутизации протокола ospf не обязательно 150
• Настроить приоритетность протокола ospf маршрутизации для основной таблицы маршрутизации не обязательно 150
• Настройка ospf 150
• Помимо настройки протокола rip необходимо в firewall разрешить udp порт 520 150
• После установки всех требуемых настроек включаем протокол 150
• Приоритетность протокола принимает значения в диапазоне 1 55 значение по умолчанию 150 150
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 150
• Состояния канала link state technology и использующий для нахождения кратчайшего пути алгоритм дейкстры 150
• Шаг описание команда ключи 150
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 151 151
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 152
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 153 153
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 154
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 155 155
• Задача 156
• Настроить протокол ospf на маршрутизаторе для обмена маршрутной информацией с 156
• Пример настройки ospf 156
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 156
• Соседними маршрутизаторами маршрутизатор должен находится в области с идентификатором 1 и анонсировать маршруты полученные по протоколу rip 156
• Включим ospf процесс 157
• Включим анонсирование маршрутной информации из протокола rip 157
• Предварительно нужно настроить ip адреса на интерфейсах согласно схеме приведенной на 157
• Протокола ospf 157
• Решение 157
• Рисунке 73 157
• Рисунок 73 схема сети 157
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 157 157
• Создадим ospf процесс с идентификатором 10 и перейдём в режим конфигурирования 157
• Создадим и включим требуемую область 157
• Соседние маршрутизаторы подключены к интерфейсам gi1 0 5 и gi1 0 15 для установления 157
• Соседства с другими маршрутизаторами привяжем их к ospf процессу и области далее включим на интерфейсе маршрутизацию по протоколу ospf 157
• Пример настройки ospf stub area 158
• Пример настройки virtual link 158
• Автономными системами далее ас то есть группами маршрутизаторов под единым техническим 159
• В firewall необходимо разрешить протокол ospf 89 159
• Для просмотра соседей можно воспользоваться следующей командой 159
• Маршруты полученные от r3 отмечены как внутризоновые и наоборот 159
• На маршрутизаторе r1 перейдем в режим конфигурирования области 1 159
• На маршрутизаторе r3 перейдем в режим конфигурирования области 1 159
• Настройка bgp 159
• Предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме 159
• Приведенной на рисунке 75 159
• Протокол bgp предназначен для обмена информацией о достижимости подсетей между 159
• Рассмотрим таблицу маршрутизации на маршрутизаторе r1 159
• Рассмотрим таблицу маршрутизации на маршрутизаторе r3 159
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 159 159
• Создадим virtual link с идентификатором 0 и включим его 159
• Таблицу маршрутов протокола ospf можно просмотреть командой 159
• Так как ospf считает виртуальный канал частью области в таблице маршрутизации r1 159
• Алгоритм настройки 160
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 160
• Управлением использующими протокол внутридоменной маршрутизации для определения маршрутов внутри себя и протокол междоменной маршрутизации для определения маршрутов доставки пакетов в другие ас передаваемая информация включает в себя список ас к которым имеется доступ через данную систему выбор наилучших маршрутов осуществляется исходя из правил принятых в сети 160
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 161 161
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 162
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 163 163
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 164
• Анонсирование подсетей подключенных напрямую 165
• Второе соседство подсеть 185 30 собственный ip адрес 185 ip адрес соседа 185 as 20 165
• Задача 165
• Настроить bgp протокол на маршрутизаторе со следующими параметрами 165
• Необходимо настроить несколько bgp neighbor с одинаковыми параметрами во избежание избыточности конфигурации рекомендуется использовать bgp peer group в которой возможно описать общие параметры а в конфигурации bgp neighbor просто указать причастность к bgp peer group 165
• Первое соседство подсеть 219 30 собственный ip адрес 219 ip адрес соседа 219 as 2500 165
• Пример настройки 165
• Рисунок 76 схема сети 165
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 165 165
• Собственная as 2500 165
• Собственные подсети 80 6 24 80 6 6 24 165
• Часто бывает особенно при конфигурировании ibgp что в одном bgp address family 165
• Включим работу протокола 166
• Входим в режим конфигурирования маршрутной информации для ipv4 166
• Информацию о bgp пирах можно посмотреть командой 166
• Необходимо в firewall разрешить tcp порт 179 166
• Объявим подсети подключённые напрямую 166
• Процесса 166
• Решение 166
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 166
• Сконфигурируем необходимые сетевые параметры 166
• Создадим bgp процесс для as 2500 и войдем в режим конфигурирования параметров 166
• Создадим соседства с 185 219 с указанием автономных систем и включим их 166
• Таблицу маршрутов протокола bgp можно просмотреть с помощью команды 166
• Bfd bidirectional forwarding detection это протокол работающий поверх других 167
• Алгоритм настройки 167
• Настройка bfd 167
• Протоколов позволяющий сократить время обнаружения проблемы до 50 мс bfd является двусторонним протоколом т е требует настройки обоих маршрутизаторов оба маршрутизатора генерируют bfd пакеты и отвечают друг другу 167
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 167 167
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 168
• Задача 169
• Необходимо настроить ebgp между esr r1 и r2 и включить bfd 169
• Пример настройки bfd c bgp 169
• Рисунок 77 схема сети 169
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 169 169
• Route map могут служить фильтрами позволяющими обрабатывать маршрутную 170
• Информацию при приеме этой информации от соседа либо при ее передаче соседу обработка может включать в себя фильтрацию на основании различных признаков маршрута а также установку атрибутов med as path community localpreference и другое на соответствующие маршруты 170
• Конфигурирование r1 170
• Конфигурирование r2 170
• Настроим ebgp с bfd 170
• Настройка route map для bgp 170
• Настройка политики маршрутизации pbr 170
• Предварительно необходимо настроить интерфейс gi1 0 1 170
• Решение 170
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 170
• Также route map может назначать маршруты на основе списков доступа acl 170
• Алгоритм настройки 171
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 171 171
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 172
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 173 173
• В bgp процессе as 2500 заходим в настройки параметров соседа 174
• Если as path содержит as 20 то назначаем ему сommunity 20 2020 и выходим 174
• Задача 174
• Назначить сommunity для маршрутной информации приходящей из as 20 174
• Настроить bgp c as 2500 на маршрутизаторе esr 174
• Предварительно нужно выполнить следующие действия 174
• Привязываем политику к принимаемой маршрутной информации 174
• Пример настройки 1 174
• Решение 174
• Рисунок 78 схема сети 174
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 174
• Создаем политику 174
• Создаем правило 1 174
• Установить соседство с as20 174
• Cоздать маршрутную карту для фильтрации и модификации ip маршрутов 175
• Route map на основе списков доступа policy based routing 175
• Алгоритм настройки 175
• В bgp процессе as 2500 заходим в настройки параметров соседа 175
• Для всей передаваемой маршрутной информации с community 2500 25 назначить med 175
• Если community содержит 2500 25 то назначаем ему med 240 и origin egp 175
• Задача 175
• Имя маршрутной карты задаётся строкой до 31 символа 175
• Настроить bgp c as 2500 на esr 175
• Номер правила принимает значения 1 10000 175
• Предварительно 175
• Привязываем политику к анонсируемой маршрутной информации 175
• Пример настройки 2 175
• Равный 240 и указать источник маршрутной информации egp 175
• Решение 175
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 175 175
• Создаем политику 175
• Создаем правило 175
• Создать правило маршрутной карты 175
• Шаг описание команда ключи 175
• Адресов 10 0 24 через isp2 80 6 3 требуется контролировать доступность адресов провайдеров работоспособность подключений к isp и при неработоспособности одного из подключений переводить с него на рабочее подключение весь трафик 176
• Задать acl для которого должно срабатывать правило не обязательно 176
• Задать next hop для пакетов которые попадают под критерии в указанном списке доступа acl не обязательно 176
• Задача 176
• Имя сконфигурированной политики маршрутизации строка до 31 символа 176
• Имя списка контроля доступа задаётся строкой до 31 символа 176
• Метрика маршрута принимает значения 0 55 176
• Назначаемое действие permit прием или анонсирование маршрутной информации разрешено deny запрещено 176
• Назначить политику маршрутизации на основе списков доступа acl 176
• Предварительно нужно назначить ip адреса на интерфейсы 176
• Пример настройки 176
• Распределить трафик между интернет провайдерами на основе подсетей пользователей 176
• Решение 176
• Рисунок 79 схема сети 176
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 176
• Создаем acl 176
• Требуется направлять трафик с адресов 10 0 24 через isp1 184 5 50 а трафик с 176
• Указать действие которое должно быть применено для маршрутной информации 176
• 3 а при его недоступности на адрес 184 5 50 приоритетность задается значениями метрик 177
• 5 50 а при его недоступности на адрес 80 6 3 приоритетность шлюзов задается значениями метрик 10 и 30 177
• Заходим на интерфейс te 1 0 1 177
• Правилом 1 будет обеспечена маршрутизация трафика из сети 10 0 24 на адрес 177
• Правилом 2 будет обеспечена маршрутизация трафика из сети 10 0 24 на адрес 177
• Привязываем политику на соответствующий интерфейс 177
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 177 177
• Создаем политику 177
• Создаем правило 1 177
• Создаем правило 2 177
• Указываем next hop для sub20 177
• Указываем nexthop для sub30 и выходим 177
• Указываем список доступа acl в качестве фильтра 177
• Gre англ generic routing encapsulation общая инкапсуляция маршрутов протокол 178
• Алгоритм настройки 178
• Настройка gre туннелей 178
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 178
• Туннелирования сетевых пакетов его основное назначение инкапсуляция пакетов сетевого уровня сетевой модели osi в ip пакеты gre может использоваться для организации vpn на 3 м уровне модели osi в маршрутизаторе esr реализованы статические неуправляемые gre туннели то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах параметры туннеля для каждой из сторон должны быть взаимосогласованными или переносимые данные не будут декапсулироваться партнером 178
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 179 179
• Ip адрес туннеля на локальной стороне 25 24 180
• Wan разрешено получение пакетов протокола gre из зоны безопасности в которой работают интерфейсы подключенные к сети wan 180
• В качестве локального шлюза для туннеля используется ip адрес 115 180
• В качестве удаленного шлюза для туннеля используется ip адрес 114 0 180
• Задача 180
• Организовать l3 vpn между офисами компании через ip сеть используя для туннелирования 180
• Предварительно на маршрутизаторах должны быть настроены интерфейсы для связи с сетью 180
• Пример настройки ip gre туннеля 180
• Решение 180
• Рисунок 80 схема сети 180
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 180
• Создадим туннель gre 10 180
• Трафика протокол gre 180
• Укажем локальный и удаленный шлюз ip адреса интерфейсов граничащих с wan 180
• Включим туннель 181
• Включить вычисление и включение в пакет контрольной суммы заголовка gre и инкапсулированного пакета для исходящего трафика 181
• Включить и настроить механизм keepalive 181
• Включить проверку наличия и корректности контрольной суммы gre для входящего трафика 181
• Интерфейса назначения указываем ранее созданный туннель gre 181
• На маршрутизаторе должен быть создан маршрут до локальной сети партнера в качестве 181
• Опционально для gre туннеля можно указать следующие параметры 181
• Партнеру независимо от наличия gre туннеля и правильности настроек с его стороны 181
• После применения настроек трафик будет инкапсулироваться в туннель и отправляться 181
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 181 181
• Создать правила разрешающие прохождение трафика в firewall принадлежность туннеля к зоне задается следующей командой 181
• Состояние туннеля можно посмотреть командой 181
• Счетчики входящих и отправленных пакетов можно посмотреть командой 181
• Также туннель должен принадлежать к зоне безопасности для того чтобы можно было 181
• Укажем ip адрес туннеля 25 24 181
• Указать значение dscp mtu ttl 181
• Указать уникальный идентификатор 181
• Dmvpn dynamic multipoint virtual private network технология для создания виртуальных 182
• Алгоритм настройки 182
• Конфигурацию туннеля можно посмотреть командой 182
• Настройка dmvpn 182
• Настройка туннеля ipv4 over ipv4 производится аналогичным образом 182
• Отправляют соответствие своего внутреннего туннельного адреса и внешнего nbma адреса на nhrp сервер nhs когда клиент захочет соединиться с другим nhc он посылает на сервер запрос чтобы узнать его внешний адрес получив ответ от сервера клиент теперь самостоятельно может устанавливать соединение c удалённым филиалом 182
• При создании туннеля необходимо в firewall разрешить протокол gre 47 182
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 182
• Частных сетей с возможностью динамического создания туннелей между узлами преимуществом данного решения является высокая масштабируемость и легкость настройки при подключении филиалов к головному офису dmvpn используется в топологии hub and spoke и позволяет строить прямые vpn туннели spoke to spoke в дополнение к обычным spoke to hub туннелям это означает что филиалы смогут общаться друг с другом напрямую без необходимости прохождения трафика через hub 182
• Чтобы установить такое соединение клиенты nhc по шифрованному ipsec туннелю 182
• Задача 183
• Организовать dmvpn между офисами компании используя mgre туннели nhrp next hop resolution protocol протокол динамической маршрутизации bgp ipsec в нашем примере у нас будет hub маршрутизатор и два филиала hub это dmvpn cервер nhs а филиалы dmpvn клиенты nhc 183
• Пример настройки 183
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 183 183
• Переведём gre туннель в mutipoint режим для возможности соединения с несколькими 185
• Перейдём к настройке nhrp настроим отправку мультикастовых рассылок в динамически 185
• Произведём настройку ipsec для hub 185
• Произведём настройку протокола динамической маршрутизации для hub в нашем примере 185
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 185 185
• Точками 185
• Узнаваемые адреса 185
• Это будет bgp 185
• Адреса назначения a при создании шлюза ike для nhc адрес назначения будет any 186
• Включим работу nhrp и сам туннель 186
• Зададим соответствие туннельному адресу реальный 186
• Конфигурирование spoke 186
• Настроим мультикастовую рассылку на nhrp сервер 186
• Привяжем ipsec к gre туннелю чтобы клиенты могли устанавливать шифрованное привяжем ipsec к gre туннелю чтобы клиенты могли устанавливать шифрованное 186
• Проведём стандартную настройку dmvpn на туннеле 186
• Произведём настройку bgp для spoke 186
• Произведём настройку ipsec при создании шлюза протокола ike для nhs укажем конкретные 186
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 186
• Соединение 186
• Указываем сколько времени будет храниться запись о клиенте на сервере 186
• Указываем туннельный адрес nhs 186
• Включим работу nhrp и сам туннель 187
• Привяжем ipsec к gre туннелю для возможности установления шифрованного соединения с 187
• Сервером и с другими клиентами сети 187
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 187 187
• Состояние nhrp записей можно посмотреть командой 187
• L2tpv3 layer 2 tunneling protocol version 3 протокол для туннелирования пакетов 2 го 188
• Алгоритм настройки 188
• Настройка l2tpv3 туннелей 188
• Очистить nhrp записи можно командой 188
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 188
• Уровня модели osi между двумя ip узлами в качестве инкапсулирующего протокола используется ip или udp l2tpv3 может использоваться как альтернатива mpls p2p l2vpn vll для организации vpn уровня l2 в маршрутизаторе esr реализованы статические неуправляемые l2tpv3 туннели то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах параметры туннеля на каждой из сторон должны быть взаимосогласованными или переносимые данные не будут декапсулироваться партнером 188
• В качестве инкапсулирующего протокола используется udp номер порта на локальной стороне и номер порта на стороне партнера 519 189
• В качестве локального шлюза для туннеля используется ip адрес 21 189
• В качестве удаленного шлюза для туннеля используется ip адрес 183 0 189
• В туннель направим трафик из bridge с идентификатором 333 189
• Задача 189
• Идентификатор сессии внутри туннеля равен 100 на стороне партнера 200 189
• Идентификатор туннеля на локальной стороне равен 2 на стороне партнера 3 189
• Организовать l2 vpn между офисами компании через ip сеть используя для туннелирования 189
• Пример настройки l2tpv3 туннеля 189
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 189 189
• Трафика протокол l2tpv3 189
• Включим ранее созданный туннель и выйдем 190
• Локальной сетью настройка моста рассматривается в пункте 7 8 190
• Партнеру независимо от наличия l2tpv3 туннеля и правильности настроек с его стороны 190
• После применения настроек трафик будет инкапсулироваться в туннель и отправляться 190
• Решение 190
• Рисунок 82 схема сети 190
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 190
• Сеть с тегом vlan id 333 190
• Создадим саб интерфейс для коммутации трафика поступающего из туннеля в локальную 190
• Создадим туннель l2tpv3 333 190
• Удаленного офиса настройка моста рассматривается в пункте 7 0 190
• Укажем идентификаторы сессии внутри туннеля для локальной и удаленной сторон 190
• Укажем локальный и удаленный шлюз ip адреса интерфейсов граничащих с wan 190
• Укажем тип инкапсулирующего протокола и номера udp портов 190
• Установим принадлежность l2tpv3 туннеля к мосту который должен быть связан с сетью 190
• Установим принадлежность саб интерфейса к мосту который должен быть связан с 190
• Ipsec это набор протоколов которые обеспечивают защиту передаваемых с помощью ip 191
• Алгоритм настройки 191
• Конфигурацию туннеля можно посмотреть командой 191
• Локального шлюза должен использоваться ip адрес 183 0 в качестве удаленного шлюза должен использоваться ip адрес 21 номер порта инкапсулирующего протокола на локальной стороне и стороне партнера 519 идентификатор сессии внутри туннеля должен быть равным 200 на стороне партнера 100 также туннель должен принадлежать мосту который необходимо соединить с сетью партнера 191
• Настройка ipsec vpn 191
• Настройка route based ipsec vpn 191
• Настройки туннеля в удаленном офисе должны быть зеркальными локальным в качестве 191
• Помимо создания туннеля необходимо в firewall разрешить входящий трафик по протоколу udp с портом отправителя 519 и портом назначения 519 191
• Протокола данных данный набор протоколов позволяет осуществлять подтверждение подлинности аутентификацию проверку целостности и шифрование ip пакетов а также включает в себя протоколы для защищённого обмена ключами в сети интернет 191
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 191 191
• Состояние туннеля можно посмотреть командой 191
• Счетчики входящих и отправленных пакетов можно посмотреть командой 191
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 192
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 193 193
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 194
• R1 ip адрес 120 1 195
• R2 ip адрес 180 00 195
• Алгоритм аутентификации md5 195
• Алгоритм шифрования aes 128 bit 195
• Группа диффи хэллмана 2 195
• Задача 195
• Настроить ipsec туннель между r1 и r2 195
• Пример настройки 195
• Рисунок 83 схема сети 195
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 195 195
• Isakmp 196
• Алгоритм аутентификации md5 196
• Алгоритм шифрования aes 128 bit 196
• Для настройки правил зон безопасности потребуется создать профиль порта протокола 196
• Конфигурирование r1 196
• Которым могут согласовываться узлы и ключ аутентификации 196
• Локального и удаленного шлюза указываются ip адреса интерфейсов граничащих с wan 196
• Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности 196
• Находится за ipsec туннелем нужно указать маршрут через vti туннель 196
• Протокола и режим перенаправления трафика в туннель 196
• Решение 196
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 196
• Создадим политику протокола ike в политике указывается список профилей протокола ike по 196
• Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм 196
• Создадим статический маршрут до удаленной lan сети для каждой подсети которая 196
• Создадим туннель vti трафик будет перенаправляться через vti в ipsec туннель в качестве 196
• Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия 196
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения 196
• Isakmp 197
• Для настройки правил зон безопасности потребуется создать профиль порта протокола 197
• Конфигурирование r2 197
• Локального и удаленного шлюза указываются ip адреса интерфейсов граничащих с wan 197
• Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности 197
• Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 197
• По которым могут согласовываться узлы 197
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 197 197
• Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 197
• Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля 197
• Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 197
• Создадим туннель vti трафик будет перенаправляться через vti в ipsec туннель в качестве 197
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 197
• Которым могут согласовываться узлы и ключ аутентификации 198
• Находится за ipsec туннелем нужно указать маршрут через vti туннель 198
• Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 198
• По которым могут согласовываться узлы 198
• Протокола и режим перенаправления трафика в туннель 198
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 198
• Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 198
• Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля 198
• Создадим политику протокола ike в политике указывается список профилей протокола ike по 198
• Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 198
• Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм 198
• Создадим статический маршрут до удаленной lan сети для каждой подсети которая 198
• Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия 198
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения 198
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 198
• Алгоритм настройки 199
• В firewall необходимо разрешить протокол esp и isakmp udp порт 500 199
• Конфигурацию туннеля можно посмотреть командой 199
• Настройка policy based ipsec vpn 199
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 199 199
• Состояние туннеля можно посмотреть командой 199
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 200
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 201 201
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 202
• R1 ip адрес 120 1 r2 ip адрес 180 00 ike 203
• Алгоритм аутентификации md5 203
• Алгоритм шифрования aes 128 bit 203
• Группа диффи хэллмана 2 203
• Задача 203
• Настроить ipsec туннель между r1 и r2 настроить ipsec туннель между r1 и r2 203
• Пример настройки 203
• Решение 203
• Рисунок 84 схема сети 203
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 203 203
• Isakmp 204
• Для настройки правил зон безопасности потребуется создать профиль порта протокола 204
• Конфигурирование r1 204
• Которым могут согласовываться узлы и ключ аутентификации 204
• Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности 204
• Протокола и режим перенаправления трафика в туннель 204
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 204
• Создадим политику протокола ike в политике указывается список профилей протокола ike по 204
• Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 204
• Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм 204
• Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия 204
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения 204
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 204
• Isakmp 205
• Для настройки правил зон безопасности потребуется создать профиль порта протокола 205
• Конфигурирование r2 205
• Которым могут согласовываться узлы и ключ аутентификации 205
• Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности 205
• Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 205
• По которым могут согласовываться узлы 205
• Протокола и режим перенаправления трафика в туннель 205
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 205 205
• Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 205
• Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля 205
• Создадим политику протокола ike в политике указывается список профилей протокола ike по 205
• Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм 205
• Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия 205
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения 205
• Remote access ipsec vpn сценарий организации временных vpn подключений в котором 206
• В firewall необходимо разрешить протокол esp и isakmp udp порт 500 206
• Конфигурацию туннеля можно посмотреть командой 206
• Настройка remote access ipsec vpn 206
• Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 206
• По которым могут согласовываться узлы 206
• Сервер ipsec vpn находится в режиме ожидания входящих подключений а клиенты осуществляют временные подключения к серверу для получения доступа к сетевым ресурсам 206
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 206
• Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 206
• Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля 206
• Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 206
• Состояние туннеля можно посмотреть командой 206
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 206
• Алгоритм настройки 207
• Дополнительной особенностью ra ipsec vpn является возможность использования второго 207
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 207 207
• Фактора аутентификации ipsec extended authentication xauth вторым фактором аутентификации является пара логин пароль для клиента ipsec vpn 207
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 208
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 209 209
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 210
• R2 ip адрес 120 1 r1 ip адрес 180 00 клиентам ipsec vpn 211
• Аутентификации ipsec xauth в качестве сервера ipsec vpn настроить маршрутизатор r1 а маршрутизатор r2 в качестве клиента ipsec vpn 211
• Выдавать адреса из пула подсети 192 24 211
• Задача 211
• Настроить remote access ipsec vpn между r1 и r2 с использованием второго фактора 211
• Предоставлять доступ до lan подсети 10 16 211
• Пример настройки 211
• Рисунок 85 схема сети 211
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 211 211
• Isakmp 212
• Алгоритм аутентификации sha1 212
• Алгоритм шифрования 3des 212
• Группа диффи хэллмана 2 212
• Для настройки правил зон безопасности потребуется создать профиль порта протокола 212
• Конфигурирование r1 212
• Которым могут согласовываться узлы ключ аутентификации и метод аутентификации xauth по ключу 212
• Логин client1 212
• Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности 212
• Пароль password123 212
• Решение 212
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 212
• Создадим политику протокола ike в политике указывается список профилей протокола ike по 212
• Создадим профиль доступа и заведем в нем пару логин и пароль для клиента ipsec vpn 212
• Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм 212
• Шифрования 3des алгоритм аутентификации sha1 данные параметры безопасности используются для защиты ike соединения 212
• Ike указать локальную подсеть в качестве удаленной подсети указать пул адресов назначения задать режим перенаправления трафика в туннель по политике и использование второго фактора аутентификации xauth 213
• Обмена ключами и режим ожидания входящего соединения ipsec by request после ввода всех параметров включим туннель командой enable 213
• По которым могут согласовываться узлы 213
• Разрешим протокол esp и udp порты 500 4500 в конфигурации firewall для установления ipsec 213
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 213 213
• Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 213
• Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля 213
• Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 213
• Создадим пул адресов назначения из которого будут выдаваться ip клиентам ipsec vpn 213
• Создадим шлюз протокола ike в данном профиле необходимо указать политику протокола 213
• Шифрования 3des алгоритм аутентификации sha1 данные параметры безопасности используются для защиты ipsec туннеля 213
• Isakmp 214
• Для настройки правил зон безопасности потребуется создать профиль порта протокола 214
• Конфигурирование r2 214
• Которым могут согласовываться узлы ключ аутентификации метод аутентификации xauth по ключу и режим аутентификации клиент 214
• Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности 214
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 214
• Создадим интерфейс loopback для терминации ip адреса полученного от ipsec vpn сервера 214
• Создадим политику протокола ike в политике указывается список профилей протокола ike по 214
• Создадим профиль доступа и заведем в нем пару логин и пароль 214
• Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм 214
• Шифрования 3des алгоритм аутентификации sha1 данные параметры безопасности используются для защиты ike соединения 214
• Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 215
• По которым могут согласовываться узлы 215
• Разрешим протокол esp и udp порты 500 4500 в конфигурации firewall для установления ipsec 215
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 215 215
• Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 215
• Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля 215
• Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 215
• Создадим шлюз протокола ike в данном профиле указывается политика интерфейс 215
• Терминации режим динамического установления удаленной подсети выбор профиля доступа для xauth и режим перенаправления трафика в туннель по политике 215
• Шифрования 3des алгоритм аутентификации sha1 данные параметры безопасности используются для защиты ipsec туннеля 215
• Lt англ logical tunnel логический туннель тип туннелей предназначенный для передачи 216
• Алгоритм настройки 216
• В firewall необходимо разрешить протокол esp и isakmp udp порт 500 4500 216
• Использоваться для организации взаимодействия между двумя или более vrf с применением ограничений firewall 216
• Конфигурацию туннеля можно посмотреть командой 216
• Маршрутной информации и трафика между различными виртуальными маршрутизаторами vrf lite сконфигурированными на одном аппаратном маршрутизаторе lt туннель может 216
• Настройка lt туннелей 216
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 216
• Состояние туннеля можно посмотреть командой 216
• Активируем их 217
• Задача организовать взаимодействие между хостами терминированными в двух vrf vrf_1 и 217
• Значение mtu принимает значения в диапазоне для esr 10 12v f 14vf 1280 600 для esr 20 21 1280 500 для esr 100 200 1000 1200 1500 1510 1700 1280 0000 значение по умолчанию 1500 217
• Исходная конфигурация 217
• Пример настройки 217
• Решение 217
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 217 217
• Создадим lt туннели для каждого vrf с указанием ip адресов из одной подсети 217
• Укажем для каждого lt туннеля lt туннель из vrf с которым необходимо установить связь и 217
• Указать размер mtu maximum transmition unit пакетов которые может пропускать данный bridge не обязательно возможно если в bridge включен только vlan mtu более 1500 будет активно только в случае применения команды system jumbo frames 217
• Pptp англ point to point tunneling protocol туннельный протокол типа точка точка 218
• Алгоритм настройки 218
• Если в vrf не работает ни один из протоколов динамической маршрутизации то необходимо указать статические маршруты для каждого vrf 218
• Настройка удаленного доступа к корпоративной сети по pptp 218
• Позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в обычной незащищенной сети pptp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет pptp может также использоваться для организации туннеля между двумя локальными сетями рртр использует дополнительное tcp соединение для обслуживания туннеля 218
• Протоколу 218
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 218
• Адрес pptp сервера 120 1 219
• Задача 219
• Настроить pptp сервер на маршрутизаторе 219
• Пример настройки pptp сервера 219
• Пул ip адресов для выдачи 10 0 0 10 0 0 5 219
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 219 219
• Шлюз внутри туннеля для подключающихся клиентов 10 0 0 219
• Dns серверы 8 8 220
• Выберем метод аутентификации пользователей pptp сервера 220
• Решение 220
• Рисунок 86 схема сети 220
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 220
• Создадим pptp сервер и привяжем вышеуказанные профили 220
• Создадим профиль адресов содержащий dns серверы 220
• Создадим профиль адресов содержащий адрес который должен слушать сервер 220
• Создадим профиль адресов содержащий адрес локального шлюза 220
• Создадим профиль адресов содержащий адреса клиентов 220
• Учетные записи для подключения fedor ivan 220
• Ipsec протоколу 221
• L2tp англ layer 2 tunneling protocol протокол туннелирования второго уровня 221
• Включим pptp сервер 221
• Завершить сессию пользователя fedor pptp сервера можно одной из следующих команд 221
• Конфигурацию pptp сервера можно посмотреть командой 221
• Настройка удаленного доступа к корпоративной сети по l2tp over 221
• Очистить счетчики сессий pptp сервера можно командой 221
• Помимо создания pptp сервера необходимо в firewall открыть tcp порт 1723 для обслуживания соединений и разрешить протокол gre 47 для туннельного трафика 221
• После применения конфигурации маршрутизатор будет прослушивать 120 1 1723 221
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 221 221
• Создадим pptp пользователей ivan и fedor для pptp сервера 221
• Состояние сессий pptp сервера можно посмотреть командой 221
• Счетчики сессий pptp сервера можно посмотреть командой 221
• Туннельный протокол использующийся для поддержки виртуальных частных сетей l2tp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет l2tp может также использоваться для организации туннеля между двумя локальными сетями l2тр использует дополнительное udp соединение для обслуживания туннеля l2tp протокол не предоставляет средств шифрования данных и поэтому он обычно используется в связке с группой протоколов ipsec которая предоставляет безопасность на пакетном уровне 221
• Укажем зону безопасности к которой будут относиться сессии пользователей 221
• Алгоритм настройки 222
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 222
• Адрес l2tp сервера 120 1 223
• Адрес radius сервера 192 68 223
• Аутентификация пользователей проходит на radius сервере 223
• Для ipsec используется метод аутентификации по ключу ключ password 223
• Задача 223
• Настроить l2tp сервер на маршрутизаторе для подключения удаленных пользователей к лвс 223
• Пример настройки 223
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 223 223
• Шлюз внутри туннеля 10 0 0 223
• Включим l2tp сервер 224
• Выберем метод аутентификации первой фазы ike и зададим ключ аутентификации 224
• Выберем метод аутентификации пользователей l2tp сервера 224
• Настроить зоны для интерфейсов te1 0 1 и gi1 0 1 224
• Настроить подключение к radius серверу 224
• Предварительно нужно выполнить следующие действия 224
• Решение 224
• Рисунок 87 схема сети 224
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 224
• Создадим l2tp сервер и привяжем к нему вышеуказанные профили 224
• Создадим профиль адресов содержащий dns серверы 224
• Создадим профиль адресов содержащий адрес локального шлюза 224
• Укажем зону безопасности к которой будут относиться сессии пользователей 224
• Указать ip адреса для интерфейсов te1 0 1 и te1 0 1 224
• Openvpn полнофункциональное средство для построения виртуальных частных сетей 225
• Virtual private networks vpn организации удалённого доступа и решения ряда других задач связанных с безопасностью передачи данных базирующееся на ssl 225
• Алгоритм настройки 225
• Завершить сессию пользователя fedor l2tp сервера можно одной из следующих команд 225
• Конфигурацию l2tp сервера можно посмотреть командой 225
• Настройка удаленного доступа к корпоративной сети по openvpn 225
• Очистить счетчики сессий l2tp сервера можно командой 225
• Помимо создания l2tp сервера необходимо в firewall открыть udp порты 500 1701 4500 для обслуживания соединений и разрешить протоколы esp 50 и gre 47 для туннельного трафика 225
• Порт 1701 состояние сессий l2tp сервера можно посмотреть командой 225
• После применения конфигурации маршрутизатор будет прослушивать ip адрес 120 1 и 225
• Протоколу 225
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 225 225
• Счетчики сессий l2tp сервера можно посмотреть командой 225
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 226
• Задача 227
• Пример настройки 227
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 227 227
• Настройка клиента удаленного доступа по протоколу pppoe 229
• Алгоритм настройки 230
• С логином и паролем для интернет соединений кроме того ip адрес по другую сторону соединения назначается только когда pppoe соединение открыто позволяя динамическое переиспользование ip адресов 230
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 230
• Активировать конфигурируемый профиль 231
• Задача 231
• Зайдем в режим конфигурирования pppoe клиента и отключим межсетевой экран 231
• Имя зоны безопасности задаётся строкой до 31 символа 231
• Настроить pppoe клиент на маршрутизаторе 231
• Настройка зоны безопасности 231
• Пароли учетных записей password 231
• Подключение должно осуществляться с интерфейса gigabitethernet 1 0 7 231
• Предварительно настроить pppoe сервер с учетными записями 231
• Пример настройки pppoe клиента 231
• Решение 231
• Рисунок 89 схема сети 231
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 231 231
• Состояние pppoe туннеля можно посмотреть командой 231
• Счетчики сессий pppoe клиента можно посмотреть командой 231
• Укажем интерфейс через который будет устанавливаться pppoe соединение 231
• Укажем пользователя и пароль для подключения к pppoe серверу 231
• Учетные записи для подключения tester 231
• Pptp англ point to point tunneling protocol туннельный протокол типа точка точка 232
• Алгоритм настройки 232
• Настройка клиента удаленного доступа по протоколу pptp 232
• Позволяющий устанавливать защищённое соединение за счёт создания специального туннеля в обычной незащищенной сети pptp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет pptp может также использоваться для организации туннеля между двумя локальными сетями рртр использует дополнительное tcp соединение для обслуживания туннеля 232
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 232
• Пример настройки удаленного подключения по pptp протоколу 233
• L2tp англ layer 2 tunneling protocol протокол туннелирования второго уровня 234
• Алгоритм настройки 234
• Настройка клиента удаленного доступа по протоколу l2tp 234
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 234
• Туннельный протокол использующийся для поддержки виртуальных частных сетей l2tp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет l2tp может также использоваться для организации туннеля между двумя локальными сетями l2тр использует дополнительное udp соединение для обслуживания туннеля l2tp протокол не предоставляет средств шифрования данных и поэтому он обычно используется в связке с группой протоколов ipsec которая предоставляет безопасность на пакетном уровне 234
• Адрес pptp сервера 20 0 235
• Задача 235
• Настроить pptp туннель на маршрутизаторе 235
• Пример настройки удаленного подключения по l2tp протоколу 235
• Решение 235
• Рисунок 91 схема сети 235
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 235 235
• Создадим туннель l2tp 235
• Укажем удаленный шлюз 235
• Укажем учетную запись пользователя ivan для подключения к серверу 235
• Учетная запись для подключения логин ivan пароль simplepass 235
• Dual homing технология резервирования соединений позволяет организовать надежное 236
• Алгоритм настройки 236
• Включим туннель 236
• Конфигурацию туннеля можно посмотреть командой 236
• Настройка dual homing 236
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 236
• Соединение ключевых ресурсов сети на основе наличия резервных линков 236
• Состояние туннеля можно посмотреть командой 236
• Счетчики входящих и отправленных пакетов можно посмотреть командой 236
• Укажем зону безопасности 236
• Укажем ключ безопасности для ipsec 236
• Укажем метод аутентификации ipsec 236
• Пример настройки 237
• Qos quality of service технология предоставления различным классам трафика различных 238
• Алгоритм настройки 238
• Базовый qos 238
• Настройка qos 238
• Приоритетов в обслуживании использование службы qos позволяет сетевым приложениям сосуществовать в одной сети не уменьшая при этом пропускную способность других приложений 238
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 238
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 239 239
• Алгоритм настройки 241
• Включим qos на интерфейсе со стороны wan для правильной обработки очередей и 241
• Ограничения полосы пропускания 241
• Просмотреть статистику по qos можно командой 241
• Расширенный qos 241
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 241 241
• Установим ограничение по скорости в 60мбит с для седьмой очереди 241
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 242
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 243 243
• Задача классифицировать приходящий трафик по подсетям 10 1 24 10 2 24 244
• Пример настройки 244
• Произвести маркировку по dscp 38 и 42 и произвести разграничение по подсетям 40 мбит с и 60 мбит с ограничить общую полосу до 250 мбит с остальной трафик обрабатывать через механизм sfq 244
• Решение 244
• Рисунок 94 схема сети 244
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 244
• Выходим 245
• Для другого трафика настраиваем класс с режимом sfq 245
• Конфигурации 245
• Маркировку 245
• Настроим списки доступа для фильтрации по подсетям выходим в глобальный режим 245
• Осуществляем привязку класса к политике настраиваем ограничение полосы пропускания и 245
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 245 245
• Создаем классы fl1 и fl2 указываем соответствующие списки доступа настраиваем 245
• Создаём политику и определяем ограничение общей полосы пропускания 245
• Алгоритм настройки 246
• Включаем qos на интерфейсах политику на входе интерфейса gi 1 0 19 для классификации и 246
• Для просмотра статистики используется команда 246
• Зеркалирование трафика функция маршрутизатора предназначенная для 246
• На выходе gi1 0 20 для применения ограничений и режима sfq для класса по умолчанию 246
• Настройка зеркалирования 246
• Перенаправления трафика с одного порта маршрутизатора на другой порт этого же маршрутизатора локальное зеркалирование или на удаленное устройство удаленное зеркалирование 246
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 246
• Настройка netflow 247
• Пример настройки 247
• Gi1 0 8 для обработки 248
• Алгоритм настройки 248
• Задача 248
• Организовать учет трафика с интерфейса gi1 0 1 для передачи на сервер через интерфейс 248
• Пример настройки 248
• Рисунок 96 схема сети 248
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 248
• Sflow стандарт для мониторинга компьютерных сетей беспроводных сетей и сетевых 249
• Активируем netflow на маршрутизаторе 249
• Алгоритм настройки 249
• Включим сбор экспорта статистики netflow на сетевом интерфейсе gi1 0 1 249
• Для просмотра статистики netflow используется команда 249
• На интерфейсах gi1 0 1 gi1 0 8 отключить firewall командой ip firewall disable 249
• Назначить ip адреса на портах 249
• Настройка netflow для учета трафика между зонами аналогична настройке sflow описание приведено в разделе 7 1 настройка sflow 249
• Настройка sflow 249
• Основной этап конфигурирования 249
• Предварительно нужно выполнить следующие действия 249
• Решение 249
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 249 249
• Укажем ip адрес коллектора 249
• Устройств предназначенный для учета и анализа трафика 249
• Включить отправку статистики на sflow сервер в режим конфигурирования интерфейса туннеля сетевого моста 250
• Для сетей esr создадим две зоны безопасности 250
• Задача 250
• Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 250
• Организовать учет трафика между зонами trusted и untrusted 250
• Пример настройки 250
• Решение 250
• Рисунок 97 схема сети 250
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 250
• Укажем ip адрес коллектора 250
• Lacp протокол для агрегирования каналов позволяет объединить несколько физических 251
• Активируем sflow на маршрутизаторе 251
• Алгоритм настройки 251
• Включим экспорт статистики по протоколу sflow для любого трафика в правиле rule1 для 251
• Каналов в один логический такое объединение позволяет увеличивать пропускную способность и надежность канала 251
• Направления trusted untrusted 251
• Настройка lacp 251
• Настройка sflow для учета трафика с интерфейса осуществляется аналогично 7 0 настройка netflow 251
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 251 251
• Cоздадим интерфейс port channel 2 252
• Включим физические интерфейсы gi1 0 1 gi1 0 2 в созданную группу агрегации каналов 252
• Дальнейшая конфигурация port channel проводится как на обычном физическом интерфейсе 252
• Задача 252
• На интерфейсах gi1 0 1 gi1 0 2 отключить зону безопасности командой no security zone 252
• Настроить агрегированный канал между маршрутизатором esr и коммутатором 252
• Основной этап конфигурирования 252
• Предварительно нужно выполнить следующие настройки 252
• Пример настройки 252
• Решение 252
• Рисунок 98 схема сети 252
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 252
• Vrrp virtual router redundancy protocol сетевой протокол предназначенный для 253
• Алгоритм настройки 253
• Настройка vrrp 253
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 253 253
• Увеличения доступности маршрутизаторов выполняющих роль шлюза по умолчанию это достигается путём объединения группы маршрутизаторов в один виртуальный маршрутизатор и назначения им общего ip адреса который и будет использоваться как шлюз по умолчанию для компьютеров в сети 253
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 254
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 255 255
• Пример настройки 1 256
• Пример настройки 2 257
• Vrrp tracking механизм позволяющий активировать статические маршруты в зависимости 258
• Алгоритм настройки 258
• Включим vrrp 258
• Включить tracking объект 258
• Добавить в систему tracking объект и перейти в режим настройки параметров tracking объекта 258
• Задать правило слежения за состоянием vrrp процесса 258
• Идентификатор отслеживаемого vrrp маршрутизатора принимает значения 1 55 258
• Настроим vrrp для подсети 192 68 0 24 в созданном саб интерфейсе 258
• Настроить vrrp согласно разделу 7 258
• Настройка vrrp tracking 258
• Номер tracking объекта принимает значения 1 0 258
• От состояния vrrp 258
• Помимо создания туннеля необходимо в firewall разрешить протокол vrrp 112 помимо создания туннеля необходимо в firewall разрешить протокол vrrp 112 258
• Произвести аналогичные настройки на r2 258
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 258
• Укажем ip адрес виртуального шлюза 192 68 0 258
• Укажем идентификатор vrrp группы 258
• Укажем уникальный идентификатор vrrp 258
• Шаг описание команда ключи 258
• Для подсети 192 68 24 организован виртуальный шлюз 192 68 24 с использованием 259
• Задача 259
• Пример настройки 259
• Протокола vrrp на основе аппаратных маршрутизаторов r1 и r2 так же между маршрутизаторами 259
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 259 259
• 24 пойдет без дополнительных настроек когда маршрутизатор r1 находится в состоянии vrrp master необходим дополнительный маршрут для подсети 10 24 через интерфейс 192 68 260
• R1 и r2 есть линк с вырожденной подсетью 192 68 30 подсеть 10 24 терминируется только на маршрутизаторе r2 пк имеет ip адрес 192 68 24 и шлюз по умолчанию 192 68 260
• Исходные конфигурации маршрутизаторов 260
• Когда маршрутизатор r1 находится в состоянии vrrp backup трафик от пк в подсеть 260
• Маршрутизатор r1 260
• Маршрутизатор r2 260
• Рисунок 101 схема сети 260
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 260
• Для этого создадим tracking object с соответствующим условием 261
• На маршрутизаторе r2 никаких изменений не требуется так как подсеть 10 24 261
• Работать в случае удовлетворения условия из tracking 1 261
• Решение 261
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 261 261
• Создадим статический маршрут в подсеть 10 24 через 192 68 который будет 261
• Терминируется на нем и в момент когда r2 выступает в роли vrrp master пакеты будут переданы в соответствующий интерфейс на маршрутизаторе необходимо создать маршрут для пакетов с ip адресом назначения из сети 10 24 в момент когда r1 выступает в роли vrrp master 261
• Vrf virtual routing and forwarding технология которая позволяет изолировать маршрутную 262
• Алгоритм настройки 262
• Информацию принадлежащую различным классам например маршруты одного клиента 262
• Настройка vrf lite 262
• Рисунок 102 схема сети 262
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 262
• Задача 263
• К маршрутизатору серии esr подключены 2 сети которые необходимо изолировать от 263
• Настроить lt туннель для передачи трафика в глобальный режим или другие vrf при необходимости 263
• Остальных сетей 263
• Правила dnat snat das сервера или snmpv3 пользователя указать имя экземпляра vrf для которого будет использоваться при необходимости 263
• Пример настройки 263
• Решение 263
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 263 263
• Создадим vrf 263
• Создадим зону безопасности 263
• Создадим правило для пары зон и разрешим любой tcp udp трафик 263
• Создадим привязку интерфейсов назначим ip адреса укажем принадлежность к зоне 263
• Алгоритм настройки 264
• Задать интерфейсы или туннели которые являются шлюзами в маршруте создаваемом службой multiwan 264
• Идентификатор создаваемого правила из п metric метрика маршрута принимает значения 0 55 264
• Идентификатор создаваемого правила принимает значения 1 0 264
• Имя туннеля weight вес туннеля или интерфейса определяется в диапазоне 1 55 если установить значение 2 то по данному интерфейсу будет передаваться в 2 раза больше трафика чем по интерфейсу со значением по умолчанию в режиме резервирования активным будет маршрут с наибольшим весом значение по умолчанию 1 264
• Информацию об интерфейсах привязанных к vrf можно посмотреть командой 264
• Настройка multiwan 264
• Описание правила wan задаётся строкой до 255 символов 264
• Описать правила не обязательно 264
• Прописать статические маршруты через wan если необходимо 264
• Резервированием линков от нескольких провайдеров а также решает проблему балансировки трафика между резервными линками 264
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 264
• Сконфигурировать интерфейсы по которым будет работать multiwan установить ip адреса и указать security zone 264
• Создать правило wan и перейти в режим настройки параметров правила 264
• Таблицу маршрутов vrf можно просмотреть с помощью команды 264
• Технология multiwan позволяет организовать отказоустойчивое соединение с 264
• Шаг описание команда ключи 264
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 265 265
• Задача 266
• Настроить зоны для интерфейсов te1 0 1 и te1 0 2 266
• Настроить маршрут к серверу 108 6 28 с возможностью балансировки нагрузки 266
• Предварительно нужно выполнить следующие действия 266
• Пример настройки 266
• Решение 266
• Рисунок 103 схема сети 266
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 266
• Указать ip адреса для интерфейсов te1 0 1 и te1 0 2 266
• В режиме конфигурирования интерфейса te1 0 1 включаем wan режим и выходим 267
• В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки 267
• В режиме конфигурирования интерфейса te1 0 2 указываем nexthop 267
• В режиме конфигурирования интерфейса te1 0 2 указываем список целей для проверки 267
• Включим созданное правило балансировки и выйдем из режима конфигурирования правила 267
• Зададим адрес для проверки включим проверку указанного адреса и выйдем 267
• Настроим интерфейсы в режиме конфигурирования интерфейса te1 0 1 указываем nexthop 267
• Настроим маршрутизацию 267
• Основной этап конфигурирования 267
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 267 267
• Соединения 267
• Создадим правило wan 267
• Создадим список для проверки целостности соединения 267
• Создадим цель проверки целостности 267
• Укажем участвующие интерфейсы 267
• Snmp англ simple network management protocol простой протокол сетевого управления 268
• Алгоритм настройки 268
• В режиме конфигурирования интерфейса te1 0 2 включаем wan режим и выходим 268
• Для переключения в режим резервирования настроим следующее 268
• Заходим в режим настройки правила wan 268
• Направляться в активный интерфейс с наибольшим весом включить данный режим можно следующей командой 268
• Настройка snmp 268
• Протокол предназначенный для управления устройствами в ip сетях на основе архитектур tcp udp snmp предоставляет данные для управления в виде переменных описывающих конфигурацию управляемой системы 268
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 268
• Функция multiwan также может работать в режиме резервирования в котором трафик будет 268
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 269 269
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 270
• Пример настройки 271
• Zabbix agent агент предназначенный для мониторинга устройства а также выполнения 272
• Алгоритм настройки 272
• Настройка zabbix agent 272
• Определяем сервер приемник trap pdu сообщений 272
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 272
• Удаленных команд с zabbix сервера агент может работать в двух режимах пассивный и активный для работы в пассивном режиме по умолчанию необходимо разрешающее правило в firewall протокол tcp порт 10050 для активного режима протокол tcp порт 10051 272
• Пример настройки zabbix agent 273
• Пример настройки zabbix server 273
• Nslookup в vrf 276
• Syslog англ system log системный журнал стандарт отправки и регистрации сообщений о 276
• Алгоритм настройки 276
• Клиент esr получивший данную команду от сервера выполнит nslookup и вернет результат серверу 276
• Настройка syslog 276
• Пример выполнения команды iperf 276
• Происходящих в системе событиях используется в сетях работающих по протоколу ip 276
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 276
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 277 277
• Внесены изменения в конфигурацию логирования системных событий 278
• Задача 278
• Настроить отправку сообщений для следующих системных событий 278
• Неудачная аутентификация пользователя 278
• Пример настройки syslog 278
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 278
• Алгоритм настройки 280
• Настройка bras broadband remote access server 280
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 280
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 281 281
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 282
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 283 283
• 10000 для esr 1200 1000 0 1000 для esr 100 200 284
• Http kcs eltex nsk ru articles 474 установка softwlc из репозиториев 284
• Http kcs eltex nsk ru articles 960 общая статья о softwlc 284
• Softwlc информацию по установке и настройке сервера softwlc можно найти по ссылкам ниже 284
• Для маршрутизатора необходимо наличие лицензии bras после ее активации можно 284
• За хранение учетных данных пользователей и параметров тарифных планов отвечает сервер 284
• Задача 284
• Количества сессий bras не обязательно 284
• Переходить к конфигурированию устройства 284
• Предоставлять доступ до ресурсов сети интернет только для авторизованных пользователей 284
• Пример настройки с softwlc 284
• Решение 284
• Рисунок 107 схема сети 284
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 284
• Сконфигурируем параметры публичного порта и сразу пропишем шлюз по умолчанию 284
• Создадим три зоны безопасности на устройстве согласно схеме сети 284
• Зададим параметры для взаимодействия с этим модулем 285
• Модуль отвечающий за ааа операции основан на eltex radius и доступен по ip адресу 285
• Подключать клиентов необходимо через сабинтерфейсы в бриджи причем от параметра location смотри конфигурацию bridge 2 зависит выбор тарифного плана 285
• Сервера softwlc номера портов для аутентификации и аккаунтинга в нашем примере это значения по умолчанию для softwlc 285
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 285 285
• Сконфигурируем порт в сторону сервера softwlc 285
• Сконфигурируем порт для подключения wi fi точки доступа 285
• Создадим профиль aaa 285
• Укажем параметры доступа к das direct attached storage серверу 285
• Softwlc в данном примере это ip адрес интерфейса gigabitethernet 1 0 24 286
• Softwlc если используется адресация отличная от данного примера все остальное в url оставить без изменения 286
• Далее создаем правила для редиректа на портал и пропуска трафика в интернет 286
• До аутентификации весь трафик из зоны trusted блокируется в том числе dhcp и dns запросы 286
• Зададим web ресурсы доступные без авторизации 286
• Необходимо настроить разрешающие правила для пропуска dhcp и dns запросов 286
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 286
• Сконфигурируем и включим bras в качестве nas ip указываем адрес интерфейса на стыке с 286
• Списки фильтрации по url находятся на сервере softwlc меняется только ip адрес сервера 286
• Далее необходимо сконфигурировать правила перехода между зонами безопасности 287
• Разрешим доступ в интернет из зон trusted и dmz 287
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 287 287
• Веб проксирования tcp 3129 3128 netport discovery port active api server port 288
• Разрешим прохождение dhcp из trusted в dmz 288
• Разрешим прохождение icmp к устройству для работы bras необходимо открыть порты для 288
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 288
• Активируем dhcp relay 289
• Время на обновление статистики по сессии 289
• Дано подсеть с клиентами 10 0 16 подсеть для работы с freeradius сервером 192 68 24 289
• Для freeradius сервера нужно задать подсеть из которой могут приходить запросы и добавить список пользователей для этого в файл users в директории с файлами конфигурации freeradius сервера нужно добавить 289
• Задача настроить bras без поддержки softwlc 289
• Имя пользователя 289
• Имя сервиса для сессии a сервис включен n сервис выключен 289
• Максимальное время жизни сесиии при бездействии пользователя 289
• Максимальное время жизни сессии 289
• Настроим snat в порт gigabitethernet 1 0 1 289
• Пример настройки без softwlc 289
• Профиль пользователя 289
• Профиль сервиса 289
• Решение 289
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 289 289
• Соответствует имени class map в настройках esr 289
• Шаг 1 настройка radius сервера 289
• В нашем случае настройка radius сервера будет выглядеть так в файл clients conf добавляем строки 290
• В файл clients conf нужно добавить подсеть в которой находится esr 290
• Возможность прохождения ip потоков enabled uplink enabled downlink enabled disabled 290
• Действие которое применяет esr к трафику permit deny redirect 290
• Для настройки функционала bras необходимо наличие лицензии bras 290
• Нужно указать mac адрес клиента 290
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 290
• Шаг 2 настройка esr 290
• Далее создаем правила для редиректа на портал и пропуска трафика в интернет 291
• Настройка параметров для взаимодействия с radius сервером 291
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 291 291
• Создадим профиль aaa 291
• Укажем параметры к das серверу 291
• Настройка действие фильтрации по url обязательно а именно необходимо настроить фильтрацию http proxy на bras для неавторизованных пользователей 292
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 292
• Сконфигурируем и включим bras в качестве nas ip указываем адрес интерфейса на стыке с radius сервером в данном примере это ip адрес интерфейса gigabitethernet 1 0 2 292
• На интерфейсах для которых требуется работа bras настроить для успешного запуска требуется как минимум один интерфейс 293
• Настройка snat в порт gigabitethernet 1 0 2 293
• Порт в сторону клиента 293
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 293 293
• Сконфигурируем порт в сторону radius сервера 293
• Emergingthreats предназначенный для тестирования и проверки работоспособности системы 294
• Ips ids intrusion prevention system intrusion detection system система предотвращения 294
• Алгоритм базовой настройки 294
• Вторжений программная система сетевой и компьютерной безопасности обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них 294
• Для просмотра информации и статистики по сессиям контроля пользователей можно воспользоваться командой 294
• Изменения конфигурации вступят в действие после применения 294
• Настройка ips ids 294
• По умолчанию на устройствах esr установлен базовый набор правил от компании 294
• Принято называть правилами устройства esr позволяют скачивать актуальные правила с открытых источников в сети интернет или с корпоративного сервера так же с помощью cli можно создавать свои специфические правила 294
• Работа системы основана на сигнатурном анализе трафика сигнатуры для систем ips ids 294
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 294
• Feodo tracker список управляющих серверов для троянской программы feodo feodo также известный как cridex или bugat используется злоумышленниками для кражи чувствительной информации в сфере электронного банкинга данные по кредитным картам логины пароли с компьютеров пользователей в настоящее время существует четыре версии троянской программы версии a b c и d главным образом отличающиеся инфраструктурой управляющих серверов 295
• Https feodotracker abuse ch 295
• Https rules emergingthreats net open suricata rules botcc rules 295
• Https sslbl abuse ch 295
• Ssl blacklist содержит списки плохих ssl сертификатов т е сертификатов в отношении которых устнановлен факт их использования вредоносным по и ботнетами в списках содержатся sha1 отпечатки публичных ключей из ssl сертификатов 295
• Алгоритм настройки автообновления правил ips ids из внешних 295
• Источников 295
• Рекомендуемые открытые источники обновления правил 295
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 295 295
• Ips ids все доступные ресурсы 300
• Задача 300
• Настроим автообновление правил с сайтов emergingthreats net etnetera cz и abuse ch 300
• Настроим на esr dns клиента для разрешения имен источников обновления правил ips ids 300
• Настроим параметры ips ids 300
• Организовать защиту локальной сети с автообновлением правил из открытых источников 192 68 24 локальная сеть 300
• Пример настройки ips ids с автообновлением правил 300
• Разрешим работу ips ids на интерфейсе локальной сети bridge 1 300
• Решение 300
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 300
• Создадим политику безопасности ips ids 300
• Создадим профиль адресов локальной сети которую будем защищать 300
• Устройство будет использоваться только как шлюз безопасности по этому отдадим сервису 300
• Алгоритм настройки базовых пользовательских правил 301
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 301 301
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 302
• Rpc portmap decode декодирование запроса rpc 303
• Бнаружен исполняемый код 303
• Была обнаружена попытка входа с использованием подозрительного имени пользователя 303
• Было обнаружено подозрительное имя файла 303
• Обнаружен системный вызов 303
• Обнаружена подозрительная строка 303
• Обнаружено tcp соединение 303
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 303 303
• Доступ к потенциально уязвимому веб приложению 304
• Клиент использовал необычный порт 304
• Обнаружение атаки отказа в обслуживании 304
• Обнаружение нестандартного протокола или события 304
• Обнаружение сетевого сканирования 304
• Общее событие icmp inappropriate content обнаружено неприемлемое содержание 304
• Отенциальное нарушение корпоративной конфиденциальности 304
• Попытка входа с помощью стандартного логина пароля 304
• Прочая активность 304
• Прочие атаки 304
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 304
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 305 305
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 306
• Атакующий может отправлять пакеты с любого адреса 307
• В качестве адреса получателя укажем наш сервер 307
• Зададим направление трафика 307
• Задача 307
• Мы будем отбрасывать пакеты 307
• Написать правило для защиты сервера с ip 192 68 0 от dos атаки icmp пакетами большого размера 307
• Настроим сообщение об атаке 307
• Правило будет срабатывать на пакеты размером больше 1024байт 307
• Пример настройки базовых пользовательских правил 307
• Решение 307
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 307 307
• Создадим набор пользовательских правил 307
• Создадим правило для защиты от атаки 307
• Так как мы указали протокол icmp то в качестве порта отправителя и получателя требуется 307
• Укажем тип протокола для правила 307
• Указать any 307
• Алгоритм настройки расширенных пользовательских правил 308
• Задать имя и перейти в режим конфигурирования набора пользовательских правил 308
• Задать описание набора пользовательских правил не обязательно 308
• Задать описание правила не обязательно 308
• Задача 308
• Имя набора пользовательских правил задаётся строкой до 32 символов 308
• Написать правило детектирующее атаку типа slowloris 308
• Номер правила принимает значения 1 4294967295 308
• Описание задаётся строкой до 255 символов 308
• Правило будет срабатывать если нагрузка на сервер будет превышать 3мб с при этом 308
• Пример настройки расширенных пользовательских правил 308
• Решение 308
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 308
• Создадим набор пользовательских правил 308
• Создадим расширенное правило 308
• Создать расширенное правило и перейти в режим его конфигурирования 308
• Сообщение об атаке будет генерироваться не чаше одного раза в минуту 308
• Текстовое сообщение в формате snort 2 x suricata 4 x задаётся строкой до 1024 символов при написании правил символ требуется заменить на символ 308
• Указать действие данного правила 308
• Шаг описание команда ключи 308
• Voip англ voice over ip набор протоколов которые позволяют передавать речевую 309
• Информацию посредством ip сетей в рамках данного устройства voip используется для подключения аналоговых телефонных аппаратов к ip сети с возможностью совершения телефонных вызовов 309
• Настройка voip 309
• Определить какое из правил будет эффективнее 309
• Процесс настройки sip профиля 309
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 309 309
• Создадим ещё одно расширенное правило работающее по схожему алгоритму чтобы 309
• Процесс настройки fxs fxo портов 310
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 310
• Процесс настройки pbx сервера 311
• Процесс настройки плана нумерации 311
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 311 311
• Процесс создания транка регистрации 312
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 312
• Пример настройки voip 313
• Активация proxy сервера и сервера регистрации 314
• Активация sip профиля 314
• Активация регистрации 314
• В такой конфигурации все вызовы будут направлены sip proxy серверу если необходимо 314
• Далее продолжается настройка sip профиля 314
• Далее созданный план маршрутизации необходимо присвоить sip профилю 314
• Если в качестве sip proxy и сервера регистрации используется встроенный sip сервер необходимо произвести его настройку согласно документу настройка sip сервера на маршрутизаторах серии esr esr 12v esr 12vf esr 14vf 314
• Если используется стандартный порт 5060 то его можно не указывать 314
• Если необходимо использовать sip domain для регистрации 314
• На этом конфигурация sip proxy сервера и сервера регистрации закончена 314
• На этом минимально необходимая настройка sip профиля закончена 314
• На этом настройка плана нумерации для sip профиля закончена 314
• Настройка sip домена 314
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 314
• Следующим этапом является настройка абонентских портов 314
• Создать план нумерации см раздел 7 2 314
• Указать другое направление для исходящих вызовов то необходимо проделать следующее 314
• Пример настройки плана нумерации 315
• Настройка fxo порта 318
• Активировать услугу hostline pstn to ip 319
• Для работы исходящих вызовов необходимо в настройках плана нумерации указать 319
• Для того чтобы принимать вызовы с тфоп необходимо выбрать абонента на которого будут 319
• Запретить передачу префикса 319
• На этом минимальная настройка исходящих вызовов на тфоп закончена для того чтобы 319
• Назначить sip профиль fxo порту 319
• Настройка логина и пароля для аутентификации 319
• Поступать все вызовы их тфоп допустим это будет абонент с номером 305 319
• Проверка целостности 319
• Проверка целостности подразумевает проверку целостности хранимых исполняемых файлов 319
• Разрешить передачу номера в тфоп 319
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 319 319
• Следующее правило которое означает что исходящие вызовы на номера имеющие префикс 9 маршрутизируются локально на fxo комплект 319
• Совершить вызов в тфоп нужно набрать номер вызываемого абонента с указанным префиксом телефонный номер fxo комплекта 319
• Указать номер абонента который будет получать вызовы с тфоп 319
• Задача 320
• Запускаем проверку целостности 320
• На маршрутизаторах esr предусмотрена функция локального и или удаленного копирования конфигурации по таймеру или при применении конфигурации 320
• Настройка архивации конфигурации маршрутизатора 320
• Основной этап конфигурирования 320
• Пример конфигурации 320
• Проверить целостность файловой системы 320
• Процесс настройки 320
• Решение 320
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 320
• Включить режимы архивации конфигурации маршрутизатора по таймеру и при успешном изменении конфигурации 321
• Для успешной работы удаленной архивации конфигураций между маршрутизатором и сервером должна быть организована ip связность настроены разрешения на прохождение tftp трафика по сети и сохранения файлов на сервере 321
• Задать интервал резервного копирования конфигурации в случае отсутствия изменений 321
• Задать режим локального и удаленного резервного копирования конфигурации 321
• Задача 321
• Настроить локальное и удаленное резервное копирование конфигурации маршрутизатора 1 раз в сутки и при успешном изменении конфигурации удаленные копии необходимо отправлять на tftp сервер 172 6 52 7 в подпапку esr example максимальное количество локальных копий 30 321
• Настроить путь для удаленного копирования конфигураций и максимальное количество локальных резервных копий 321
• Основной этап конфигурирования 321
• Перейти в режим конфигурирования резервного копирования конфигураций 321
• Пример конфигурации 321
• Решение 321
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 321 321
• Часто задаваемые вопросы 323