Eltex ESR-1500 — настройка сервисных маршрутизаторов и защита от атак [115/325]

Содержание

• Сервисные маршрутизаторы серии esr p.1
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.2
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 3 p.3
• Введение p.15
• Аннотация p.15
• Условные обозначения p.15
• Целевая аудитория p.15
• Функции интерфейсов p.17
• Функции p.17
• Описание изделия p.17
• Назначение p.17
• Поддержка vlan p.18
• Протокол связующего дерева spanning tree protocol p.18
• Режим обучения p.18
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.18
• В таблице 3 приведены функции и особенности второго уровня уровень 2 osi p.18
• Функции при работе с mac адресами p.18
• Функции второго уровня сетевой модели osi p.18
• Таблица mac адресов p.18
• Таблица 3 описание функций второго уровня уровень 2 osi p.18
• Таблица 2 функции работы с mac адресами p.18
• В таблице 2 приведены функции устройства при работе с mac адресами p.18
• Сервер dhcp p.19
• Динамическая маршрутизация p.19
• Трансляция сетевых адресов nat network address translation p.19
• Статические ip маршруты p.19
• Клиент dhcp p.19
• Таблица arp p.19
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 19 p.19
• В таблице 4 приведены функции третьего уровня уровень 3 osi p.19
• Функции третьего уровня сетевой модели osi p.19
• Таблица 4 описание функций третьего уровня layer 3 p.19
• Сервер ssh сервер telnet p.20
• Протоколы туннелирования p.20
• Syslog p.20
• Сетевые утилиты ping traceroute p.20
• Интерфейс командной строки cli p.20
• Автоматическое восстановление конфигурации p.20
• Функции туннелирования трафика p.20
• Таблица 6 основные функции управления и конфигурирования p.20
• Таблица 5 функции туннелирования трафика p.20
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.20
• Загрузка и выгрузка файла настройки p.20
• Аутентификация p.20
• Функции управления и конфигурирования p.20
• Управление контролируемым доступом уровни привилегий p.20
• Таблица 7 функции сетевой защиты p.21
• Основные технические параметры маршрутизатора приведены в таблице 8 p.21
• Зоны безопасности p.21
• Функции сетевой защиты p.21
• Фильтрация данных p.21
• Таблица 8 основные технические характеристики p.21
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 21 p.21
• Основные технические характеристики p.21
• В таблице 7 приведены функции сетевой защиты выполняемые устройством p.21
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.22
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 23 p.23
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.24
• В данном разделе описано конструктивное исполнение устройства представлены p.25
• Устройство выполнено в металлическом корпусе с возможностью установки в 19 конструктив p.25
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 25 p.25
• Конструктивное исполнение p.25
• Изображения передней задней и боковых панелей устройства описаны разъемы светодиодные индикаторы и органы управления p.25
• Высота корпуса 1u p.25
• Внешний вид передней панели показан на рисунке 1 p.26
• В таблице 9 приведен перечень разъемов светодиодных индикаторов и органов управления p.26
• Таблица 9 описание разъемов индикаторов и органов управления передней панели esr 1700 p.26
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.26
• Рисунок 1 передняя панель esr 1700 p.26
• Расположенных на передней панели устройства esr 1700 p.26
• Передняя панель устройства esr 1700 p.26
• Конструктивное исполнение esr 1700 p.26
• Внешний вид передней панели показан на рисунке 5 p.28
• Конструктивное исполнение esr 1510 esr 1500 p.28
• В таблице 11 приведен перечень разъемов светодиодных индикаторов и органов управления p.28
• Таблица 11 описание разъемов индикаторов и органов управления передней панели esr 1510 esr 1500 p.28
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.28
• Рисунок 5 передняя панель esr 1510 esr 1500 p.28
• Расположенных на передней панели устройств esr 1510 esr 1500 p.28
• Передняя панель устройств esr 1510 esr 1500 p.28
• Конструктивное исполнение esr 1200 esr 1000 p.29
• Таблица 13 описание разъемов индикаторов и органов управления передней панели esr 1200 p.30
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.30
• Рисунок 9 передняя панель esr 1200 p.30
• Расположенных на передней панели устройства esr 1200 p.30
• Передняя панель устройства esr 1000 p.30
• Внешний вид передней панели показан на рисунке 10 p.30
• В таблице 13 приведен перечень разъемов светодиодных индикаторов и органов управления p.30
• Расположенных на передней панели устройства esr 1000 p.31
• Внешний вид задней панели устройств esr 1000 приведен на рисунке ниж p.31
• В таблице 14 приведен перечень разъемов светодиодных индикаторов и органов управления p.31
• 2 3 3 4 p.31
• Таблица 14 описание разъемов индикаторов и органов управления передней панели esr 1000 p.31
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 31 p.31
• Рисунок 11 задняя панель esr 1000 p.31
• Рисунок 10 передняя панель esr 1000 p.31
• Задняя панель устройств esr 1200 1000 p.31
• Конструктивное исполнение esr 200 esr 100 p.32
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 33 p.33
• Рисунок 16 esr 200 esr 100 задняя панель p.33
• Рисунок 15 передняя панель esr 100 p.33
• Расположенных на передней панели устройств esr 200 esr 100 p.33
• Маршрутизатора p.33
• Задняя панель устройств esr 200 esr 100 p.33
• Внешний вид задней панели устройств esr 200 esr 100 приведен на рисунке 16 p.33
• В таблице 17 приведен перечень разъемов расположенных на задней панели p.33
• В таблице 16 приведен перечень разъемов светодиодных индикаторов и органов управления p.33
• Таблица 16 описание разъемов индикаторов и органов управления передней панели esr 200 esr 100 p.33
• Рисунок 19 передняя панель esr 21 p.34
• Конструктивное исполнение esr 21 p.34
• Таблица 19 описание разъемов задней панели маршрутизатора p.35
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 35 p.35
• Рисунок 21 левая панель esr 21 p.35
• Рисунок 20 задняя панель esr 21 p.35
• Маршрутизатора p.35
• Задняя панель устройств esr 21 p.35
• Внешний вид задней панели устройства esr 21 показан на рисунке 20 p.35
• Внешний вид боковых панелей устройства esr 21 приведен на рисунках 21 и 22 p.35
• В таблице 19 приведен перечень разъемов расположенных на задней панели p.35
• Боковые панели устройства esr 21 p.35
• Высота корпуса 1u p.36
• Внешний вид передней панели показан на рисунке 23 p.36
• В таблице 20 приведен перечень разъемов светодиодных индикаторов и органов управления p.36
• Устройство выполнено в металлическом корпусе с возможностью установки в 19 конструктив p.36
• Таблица 20 описание разъемов индикаторов и органов управления передней панели esr 20 p.36
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.36
• Рисунок 23 передняя панель esr 20 p.36
• Рисунок 22 правая панель esr 21 p.36
• Расположенных на передней панели устройства esr 20 p.36
• Передняя панель устройства esr 20 p.36
• Конструктивное исполнение esr 20 p.36
• Конструктивное исполнение esr 14vf esr 12vf p.37
• Таблица 22 описание разъемов индикаторов и органов управления передней панели esr 12vf esr 14vf p.38
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.38
• Рисунок 27 передняя панель esr 14vf esr 12vf p.38
• Расположенных на передней панели устройства esr 12vf esr 14vf p.38
• В таблице 22 приведен перечень разъемов светодиодных индикаторов и органов управления p.38
• Внешний вид передней панели показан на рисунке 31 p.40
• В таблице 24 приведен перечень разъемов светодиодных индикаторов и органов управления p.40
• Устройство выполнено в металлическом корпусе с возможностью установки в 19 конструктив p.40
• Таблица 24 описание разъемов индикаторов и органов управления передней панели esr 12v p.40
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.40
• Рисунок 31 передняя панель esr 12v p.40
• Расположенных на передней панели устройства esr 12v p.40
• Передняя панель устройства esr 12v p.40
• Конструктивное исполнение esr 12v p.40
• Высота корпуса 1u p.40
• Конструктивное исполнение esr 10 p.42
• Таблица 27 описание разъемов панели маршрутизатора p.43
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 43 p.43
• Рисунок 37 верхняя панель маршрутизатора esr 10 p.43
• Панели устройства esr 10 p.43
• Внешний вид верхней панели устройства esr 10 показан на рисунке 37 p.43
• Верхняя панель устройство esr 10 p.43
• В таблице 28 приведен перечень светодиодных индикаторов расположенных на верхней p.43
• Таблица 28 описание индикаторов верхней панели p.43
• Световая индикация p.44
• Таблица 31 состояния системных индикаторов p.45
• Состояние медных интерфейсов gigabit ethernet и sfp интерфейсов отображается двумя p.45
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 45 p.45
• Светодиодными индикаторами link act зеленого цвета и speed янтарного цвета расположение индикаторов медных интерфейсов показано на рисунке 38 состояние sfp интерфейсов указано на рисунке 40 значения световой индикации описаны в таблице 32 p.45
• Световая индикация esr 200 esr 100 p.45
• Значений p.45
• В следующей таблице приведено описание состояний системных индикаторов устройства и их p.45
• Таблица 33 состояния системных индикаторов p.46
• Таблица 32 световая индикация состояния медных интерфейсов и sfp интерфейсов p.46
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.46
• Рисунок 40 расположение индикаторов оптических интерфейсов p.46
• Значений p.46
• В следующей таблице приведено описание состояний системных индикаторов устройства и их p.46
• В следующей таблице приведено описание состояний системных индикаторов устройства и p.47
• Таблица 35 состояния системных индикаторов p.47
• Таблица 34 световая индикация состояния медных интерфейсов и sfp интерфейсов p.47
• Состояние медных интерфейсов gigabit ethernet отображается двумя светодиодными p.47
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 47 p.47
• Световая индикация esr 21 esr 20 p.47
• Рисунок 42 расположение индикаторов разъема rj 45 p.47
• Рисунок 41 расположение индикаторов разъема sfp p.47
• Их значений p.47
• Индикаторами link act зеленого цвета и speed янтарного цвета p.47
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.48
• Световая индикация esr 12v f p.48
• Рисунок 44 расположение индикаторов разъема rj 45 p.48
• Рисунок 43 расположение индикаторов разъема sfp только для esr 12vf esr 14vf p.48
• Их значений p.48
• Индикаторами link act зеленого цвета и speed янтарного цвета p.48
• В следующей таблице приведено описание состояний системных индикаторов устройства и p.48
• Таблица 37 состояния системных индикаторов p.48
• Таблица 36 световая индикация состояния медных интерфейсов и sfp интерфейсов p.48
• Состояние медных интерфейсов gigabit ethernet отображается двумя светодиодными p.48
• Комплект поставки p.49
• Установка и подключение p.52
• Крепление кронштейнов p.52
• Установка устройства в стойку p.53
• Установка модулей питания esr 1000 esr 1200 esr 1500 esr 1510 p.54
• Подключение питающей сети p.54
• Esr 1700 p.54
• Установка трансивера p.55
• Установка и удаление sfp трансиверов p.55
• Удаление трансивера p.55
• Интерфейсы управления p.57
• Интерфейс командной строки cli p.57
• Типы и порядок именования интерфейсов маршрутизатора p.58
• Типы и порядок именования туннелей маршрутизатора p.59
• Описание заводской конфигурации p.61
• Начальная настройка маршрутизатора p.61
• Заводская конфигурация маршрутизатора esr p.61
• Подключение и конфигурирование маршрутизатора p.62
• Подключение к маршрутизатору p.63
• Применение изменения конфигурации p.63
• Базовая настройка маршрутизатора p.64
• Для создания разрешающего правила используются следующие команды p.66
• В заводской конфигурации разрешен удаленный доступ к маршрутизатору по протоколам p.66
• Telnet или ssh из зоны trusted для того чтобы разрешить удаленный доступ к маршрутизатору из других зон например из публичной сети необходимо создать соответствующие правила в firewall p.66
• Source zone зона из которой будет осуществляться удаленный доступ p.66
• Настройка удаленного доступа к маршрутизатору p.66
• Для того чтобы убедиться что адрес был назначен интерфейсу введите следующую команду p.66
• Self зона в которой находится интерфейс управления маршрутизатором p.66
• 6 132 6 0 подключаться к маршрутизатору с ip адресом 40 3 2 по протоколу ssh p.66
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.66
• Сервера на интерфейсе gigabitethernet 1 0 10 p.66
• Провайдер может использовать динамически назначаемые адреса в своей сети для p.66
• Пример настройки предназначенной для получения динамического ip адреса от dhcp p.66
• Пример команд для разрешения пользователям из зоны untrusted с ip адресами p.66
• При конфигурировании доступа к маршрутизатору правила создаются для пары зон p.66
• После применения конфигурации p.66
• Получения ip адреса может использоваться протокол dhcp если в сети присутствует сервер dhcp p.66
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 67 p.67
• Обновление программного обеспечения средствами системы p.68
• Обновление программного обеспечения p.68
• Обновление программного обеспечения из начального загрузчика p.69
• Укажите ip адрес маршрутизатора p.70
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.70
• Остановите загрузку устройства после окончания инициализации маршрутизатора p.70
• Можно сохранить окружение командой saveenv для будущих обновлений p.70
• Запустите процедуру обновления программного обеспечения p.70
• Укажите имя файла программного обеспечения на tftp сервере p.70
• Укажите ip адрес tftp сервера p.70
• Укажите ip адрес маршрутизатора p.71
• Укажите ip адрес tftp сервера p.71
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 71 p.71
• Процедура обновления по p.71
• Перезагрузите роутер p.71
• Остановите загрузку устройства после окончания инициализации маршрутизатора p.71
• Обновление вторичного загрузчика u boot p.71
• Новый файл вторичного загрузчика сохраняется на flash на месте старого p.71
• Можно сохранить окружение командой saveenv для будущих обновлений p.71
• Команду version в cli u boot также версия отображается в процессе загрузки маршрутизатора p.71
• Запустите процедуру обновления программного обеспечения p.71
• Для просмотра текущей версии загрузочного файла работающего на устройстве введите p.71
• Вторичный загрузчик занимается инициализацией nand и маршрутизатора при обновлении p.71
• Установите загруженное программное обеспечение в качестве образа для запуска системы и p.71
• Укажите имя файла загрузчика на tftp сервере p.71
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.72
• Перезагрузите маршрутизатор p.72
• Настройка vlan p.73
• Vlan virtual local area network логическая виртуальная локальная сеть представляет p.73
• Собой группу устройств которые взаимодействуют между собой на канальном уровне независимо от их физического местонахождения работа vlan основана на использовании дополнительных полей ethernet заголовка согласно стандарту 802 q по сути vlan изолирует широковещательный домен путем ограничения коммутации ethernet фреймов только с одинаковым vlan id в ethernet заголовке p.73
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 73 p.73
• Примеры настройки маршрутизатора p.73
• Алгоритм настройки p.73
• Настроить порты gi1 0 1 и gi1 0 2 для передачи и приема пакетов в vlan 2 vlan 64 vlan p.74
• Пример настройки 2 разрешение обработки vlan в тегированном p.74
• Пример настройки 1 удаление vlan с интерфейса p.74
• На основе заводской конфигурации удалить из vlan 2 порт gi1 0 1 p.74
• Режиме p.74
• Задача p.74
• Удалим vlan 2 с порта gi1 0 1 p.74
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.74
• Рисунок 53 схема сети p.74
• Решение p.74
• Пример настройки 3 разрешение обработки vlan в тегированном p.75
• И не тегированном режиме p.75
• Пропишем vlan 2 на порт gi1 0 2 p.76
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.76
• Пример настройки p.76
• Оборудованию оповещать оборудование работающее в локальной сети о своём существовании и передавать ему свои характеристики а также получать от него аналогичные сведения p.76
• Настройка lldp p.76
• Задача p.76
• Алгоритм настройки p.76
• Link layer discovery protocol lldp протокол канального уровня позволяющий сетевому p.76
• Настройка lldp med p.77
• Voice vlan vlan id при получении которого ip телефон переходит в режим trunk с p.78
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.78
• Пример настройки voice vlan p.78
• Задача p.78
• Заданным vlan id для приема и отправки voip трафика передача vlan id осуществляется посредством расширения med протокола lldp p.78
• Алгоритм настройки p.78
• Настройка терминации на саб интерфейсе p.79
• Решение p.79
• Предварительно необходимо создать vlan 10 и 20 и настроить интерфейс gi 1 0 1 в режиме p.79
• Необходимо разделить трафик телефонии и данных по разным vlan vid 10 для данных и vid p.79
• Настроим lldp на интерфейсе и установим на него сетевую политику p.79
• Интерфейсе необходимо создать саб интерфейс с указанием номера vlan фреймы которого будут терминироваться при создании двух саб интерфейсов с одинаковыми vlan но на разных физических агрегированных интерфейсах коммутация ethernet фреймов между данными саб интерфейсами будет невозможна т к сегменты за пределами саб интерфейсов будут являться отдельными широковещательными доменами для обмена данными между абонентами разных саб интерфейсов даже с одинаковым vlan id будет использоваться маршрутизация т е обмен данными будет происходить на третьем уровне модели osi p.79
• Для терминирования ethernet фреймов конкретного vlan на определенном физическом p.79
• Для телефонии и настроить отправку voice vlan с порта gi 1 0 1 esr при этом на ip телефоне должен поддерживаться и быть включен voice vlan p.79
• Включим lldp и поддержку med в lldp глобально на маршрутизаторе p.79
• Wan lan p.79
• Gi 1 0 1 p.79
• Указывался vlan id 20 p.79
• Создадим и настроим сетевую политику таким образом чтобы для приложения voice p.79
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 79 p.79
• Рисунок 57 схема сети p.79
• Gigabitethernet 1 0 1 p.80
• Создадим саб интерфейс для vlan 828 p.80
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.80
• Решение p.80
• Пример настройки саб интерфейса p.80
• Настроить терминацию подсети 192 68 24 в vlan 828 на физическом интерфейсе p.80
• Настроим ip адрес из необходимой подсети p.80
• Задача p.80
• Алгоритм настройки p.80
• Для расширения количества используемых vlan в сети передачи данных внутренним тегом innertag называется 802 q заголовок ближе к payload так же внутренний тег называют c vlan customer vlan внешний тег outertag p.81
• Алгоритм настройки p.81
• Q in q p.81
• Это 802 q заголовок добавленный к изначальному 802 q пакетом так же называется s vlan service vlan использование двойных меток в ethernet фреймах описывается протоколом 802 ad p.81
• Технология передачи пакетов с двумя 802 q тегами данная технология используется p.81
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 81 p.81
• Помимо назначения ip адреса на саб интерфейсе необходимо либо отключить firewall либо настроить соответствующую зону безопасности p.81
• Настройка терминации на q in q интерфейсе p.81
• Использование usb модемов позволяет организовать дополнительный канал связи для p.82
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.82
• Решение p.82
• Работы маршрутизатора при подключении usb модемов возможно использовать usb p.82
• Пример настройки q in q интерфейса p.82
• Помимо назначения ip адреса на q in q саб интерфейсе необходимо либо отключить firewall либо настроить соответствующую зону безопасности p.82
• Настройка usb модемов p.82
• Настроить терминацию подсети 192 68 24 комбинации c vlan 741 s vlan 828 на p.82
• Концентраторы одновременно в системе может быть сконфигурировано до 10 ти usb модемов p.82
• Задача p.82
• Алгоритм настройки usb модемов p.82
• Физическом интерфейсе gigabitethernet 1 0 1 p.82
• Создадим саб интерфейс для s vlan 828 p.82
• Создадим q in q саб интерфейс для s vlan 741 и настроим ip адрес из необходимой подсети p.82
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 83 p.83
• После подключения модема необходимо дождаться когда система обнаружит устройство p.84
• Порту устройства который был определён в начале p.84
• Перейдём к конфигурированию usb модема и зададим идентификатор соответствующий p.84
• Определим порт устройства который был назначен на подключённый usb модем p.84
• Настроить подключение к сети интернет используя usb модем p.84
• Назначим соответствующий профиль настроек и активируем модем p.84
• Задача p.84
• Задать предпочтительный режим работы usb модема в мобильной сети не обязательно p.84
• Зададим apn который требует провайдер или иной необходимый адрес ниже показан p.84
• Создадим профиль настроек для usb модема p.84
• Для примера разберём подключение к сотовому оператору мтс p.84
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.84
• Аутентификации p.84
• Решение p.84
• Активировать usb модем p.84
• Пример подключения к apn мтс p.84
• Пример настройки p.84
• При необходимости задаём имя пользователя пароль номер дозвона и метод p.84
• Предпочтительный режим работы usb модема 2g 3g 4g p.84
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 85 p.85
• Предоставления доступа и контроля над ним p.85
• Настройка ааа p.85
• Алгоритм настройки локальной аутентификации p.85
• Authorization авторизация проверка полномочий проверка уровня доступа сопоставление учётной записи в системе и определённых полномочий p.85
• Authentication аутентификация сопоставление персоны запроса существующей учётной записи в системе безопасности осуществляется по логину паролю p.85
• Accounting учёт слежение за подключением пользователя или внесенным им изменениям p.85
• Aaa authentication authorization accounting используется для описания процесса p.85
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.86
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 87 p.87
• Алгоритм настройки aaa по протоколу radius p.87
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.88
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 89 p.89
• Алгоритм настройки aaa по протоколу tacacs p.89
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.90
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 91 p.91
• Алгоритм настройки aaa по протоколу ldap p.91
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.92
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 93 p.93
• Решение p.94
• Пример настройки аутентификации по telnet через radius сервер p.94
• Настроить аутентификацию пользователей подключающихся по telnet через radius p.94
• Настроим подключение к radius серверу и укажем ключ password p.94
• Задача p.94
• 192 68 6 24 p.94
• Создадим профиль аутентификации p.94
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.94
• Пример настройки привилегий команд p.95
• Настройка привилегий команд p.95
• Алгоритм настройки p.95
• Настройка dhcp сервера p.96
• Domain name доменное имя которое должен будет использовать клиент при разрешении имен хостов через систему доменных имен dns p.96
• Dns server список адресов серверов доменных имен в данной сети о которых должен знать клиент адреса серверов в списке располагаются в порядке убывания предпочтения p.96
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.96
• Привилегий 10 и уровнем привилегий 3 p.96
• Параметров устройств в локальной сети dhcp сервер маршрутизаторов способен передавать дополнительные опции на сетевые устройства например p.96
• Встроенный dhcp сервер маршрутизатора может быть использован для настройки сетевых p.96
• В режиме конфигурирования определим команды разрешенные на использование с уровнем p.96
• Алгоритм настройки p.96
• Default router ip адрес маршрутизатора используемого в качестве шлюза по умолчанию p.96
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 97 p.97
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.98
• Пример настройки dhcp сервера p.98
• Задача p.98
• Создадим зону безопасности trusted и установим принадлежность используемых сетевых p.99
• Сконфигурируем передачу клиентам дополнительных сетевых параметров p.99
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 99 p.99
• Решение p.99
• Настроить работу dhcp сервера в локальной сети относящейся к зоне безопасности trusted p.99
• Маршрутизаторе должен быть создан ip интерфейс принадлежащий к той же подсети что и адреса пула p.99
• Маршрут по умолчанию 192 68 p.99
• Интерфейсов к зонам p.99
• Имя домена eltex loc p.99
• Задать пул ip адресов из подсети 192 68 24 для раздачи клиентам задать время аренды адресов 1 день настроить передачу клиентам маршрута по умолчанию доменного имени и адресов dns серверов с помощью dhcp опций p.99
• Для того чтобы dhcp сервер мог раздавать ip адреса из конфигурируемого пула на p.99
• Для разрешения прохождения сообщений протокола dhcp к серверу необходимо создать p.99
• Адресов для выдачи в аренду клиентам сервера укажем параметры подсети к которой принадлежит данный пул и время аренды для выдаваемых адресов p.99
• Список dns серверов dns1 172 6 dns2 8 p.99
• Соответствующие профили портов включающие порт источника 68 и порт назначения 67 используемые протоколом dhcp и создать разрешающее правило в политике безопасности для прохождения пакетов протокола udp p.99
• Создадим пул адресов с именем simple и добавим в данный пул адресов диапазон ip p.99
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.100
• Проходящих через сетевой шлюз p.100
• Просмотреть список арендованных адресов можно с помощью команды p.100
• Просмотреть сконфигурированные пулы адресов можно командами p.100
• Перейти в режим настройки сервиса трансляции адресов получателя p.100
• Конфигурирование настроек для ipv6 производится по аналогии с ipv4 p.100
• Конфигурирование destination nat p.100
• Имя пула nat адресов задаётся строкой до 31 символа p.100
• Алгоритм настройки p.100
• Адрес в публичной сети на реальный сервер в локальной сети находящийся за сетевым шлюзом эту функцию можно использовать для организации публичного доступа к серверам находящимся в частной сети и не имеющим публичного сетевого адреса p.100
• Tcp udp порт принимает значения 1 5535 p.100
• Шаг описание команда ключи p.100
• Ip адрес задаётся в виде aaa bbb ccc ddd где каждая часть принимает значения 0 55 p.100
• Функция destination nat dnat состоит в преобразовании ip адреса назначения у пакетов p.100
• Dnat используется для перенаправления трафика идущего на некоторый виртуальный p.100
• Установить внутренний tcp udp порт на который будет заменяться tcp udp порт получателя p.100
• Cоздать пул ip адресов и или tcp udp портов с определённым именем не обязательно p.100
• Установить внутренний ip адрес на который будет заменяться ip адрес получателя p.100
• Разрешим работу сервера p.100
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 101 p.101
• Под правило будут подпадать пакеты не удовлетворяющие заданному критерию p.102
• Организовать доступ из публичной сети относящейся к зоне untrust к серверу локальной p.102
• Каждая команда match может содержать ключ not при использовании данного ключа p.102
• Используемых сетевых интерфейсов к зонам одновременно назначим ip адреса интерфейсам p.102
• Задача p.102
• Задать действие трансляция адреса и порта получателя для трафика удовлетворяющего критериям заданным командами match p.102
• Более подробная информация о командах для настройки маршрутизатора содержится в p.102
• Активировать конфигурируемое правило p.102
• Ip адрес и маска подсети используемые при трансляции параметр задаётся в виде aaa bbb ccc ddd ee где каждая часть aaa ddd принимает значения 0 55 и ee принимает значения 1 2 p.102
• Справочнике команд cli p.102
• Создадим зоны безопасности untrust и trust установим принадлежность p.102
• Сети в зоне trust адрес сервера в локальной сети 10 00 сервер должен быть доступным извне по адресу 1 доступный порт 80 p.102
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.102
• Рисунок 58 схема сети p.102
• Решение p.102
• Пример настройки destination nat p.102
• Правил dnat p.103
• Пару зон пропускать следует только трафик с адресом назначения соответствующим заданному в профиле server_ip и прошедший преобразование dnat p.103
• Назначения в которые будут транслироваться адреса пакетов поступающие на адрес 1 из внешней сети p.103
• Для пропуска трафика идущего из зоны untrust в trust создадим соответствующую p.103
• Войдем в режим конфигурирования функции dnat и создадим пул адресов и портов p.103
• Адресов в атрибутах набора укажем что правила применяются только для пакетов пришедших из зоны untrust набор правил включает в себя требования соответствия данных по адресу и порту назначения match destination address match destination port и по протоколу кроме этого в наборе задано действие применяемое к данным удовлетворяющим всем правилам action destination nat набор правил вводится в действие командой enable p.103
• Srv_http профиль портов p.103
• Server_ip профиль адресов локальной сети p.103
• Net_uplink профиль адресов публичной сети p.103
• Создадим профили ip адресов и портов которые потребуются для настройки правил firewall и p.103
• Создадим набор правил dnat в соответствии с которыми будет производиться трансляция p.103
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 103 p.103
• Конфигурирование source nat p.104
• Произведенные настройки можно посмотреть с помощью команд p.104
• Функция source nat snat используется для подмены адреса источника у пакетов p.104
• Функция snat может быть использована для предоставления доступа в интернет p.104
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.104
• Проходящих через сетевой шлюз при прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза дополнительно к адресу источника может применяться замена порта источника при прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта p.104
• Компьютерам находящимся в локальной сети при этом не требуется назначения публичных ip адресов этим компьютерам p.104
• Алгоритм настройки p.104
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 105 p.105
• Каждая команда match может содержать ключ not при использовании данного ключа p.106
• Использованием функции source nat задать диапазон адресов публичной сети для использования snat 100 00 100 49 p.106
• Задача p.106
• Более подробная информация о командах для настройки маршрутизатора содержится в p.106
• Справочнике команд cli p.106
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.106
• Рисунок 59 схема сети p.106
• Решение p.106
• Пример настройки 1 p.106
• Под правило будут подпадать пакеты не удовлетворяющие заданному критерию p.106
• Определения их принадлежности к зонам безопасности создадим доверенную зону trust для локальной сети и зону untrust для публичной сети p.106
• Настроить доступ пользователей локальной сети 10 24 к публичной сети с p.106
• Конфигурирование начнем с создания зон безопасности настройки сетевых интерфейсов и p.106
• Правила разрешающие проходить трафику в этом направлении дополнительно включена проверка адреса источника данных на принадлежность к диапазону адресов local_net для соблюдения ограничения на выход в публичную сеть действие правил разрешается командой enable p.107
• Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети p.107
• Используемых для сервиса snat p.107
• Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в p.107
• Для пропуска трафика из зоны trust в зону untrust создадим пару зон и добавим p.107
• Для конфигурирования функции snat и настройки правил зон безопасности потребуется p.107
• Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила p.107
• Создать профиль адресов локальной сети local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool p.107
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 107 p.107
• Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на p.107
• Применяются только для пакетов направляющихся в публичную сеть в зону untrust правила включают проверку адреса источника данных на принадлежность к пулу local_net p.107
• Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды p.108
• Пример настройки 2 p.108
• Настроить доступ пользователей локальной сети 21 2 24 к публичной сети с p.108
• На самом маршрутизаторе также должен быть создан маршрут для направления на p.108
• Конфигурирование начнем с настройки сетевых интерфейсов и отключения межсетевого p.108
• Использованием функции source nat без использования межсетевого экрана firewall диапазон адресов публичной сети для использования snat 200 0 00 200 0 49 p.108
• Интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool p.108
• Задача p.108
• Должна быть настроена маршрутизация адрес 10 должен быть назначен адресом шлюза p.108
• Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них p.108
• Для конфигурирования функции snat потребуется создать профиль адресов локальной сети p.108
• Local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool p.108
• Экрана p.108
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.108
• Рисунок 60 схема сети p.108
• Решение p.108
• Static nat статический nat задает однозначное соответствие одного адреса другому p.109
• Описан в разделе 7 1 настоящего руководства p.109
• Настройка static nat осуществляется средствами source nat алгоритм настройки которой p.109
• На самом маршрутизаторе также должен быть создан маршрут для направления на p.109
• Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети используемых для сервиса snat p.109
• Конфигурирование static nat p.109
• Иными словами при прохождении через маршрутизатор адрес меняется на другой строго заданный адрес один к одному запись о такой трансляции хранится неограниченно долго пока не будет произведена перенастройка nat на маршрутизаторе p.109
• Должна быть настроена маршрутизация адрес 21 2 должен быть назначен адресом шлюза p.109
• Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них p.109
• Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в p.109
• Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила p.109
• Алгоритм настройки p.109
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 109 p.109
• Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool p.109
• Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды p.109
• Применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net p.109
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.110
• Рисунок 61 схема сети p.110
• Решение p.110
• Пример настройки static nat p.110
• Начнем конфигурирование с настройки сетевых интерфейсов и отключения межсетевого p.110
• Настроить двухстороннюю и постоянную трансляцию из локальной сети для диапазона p.110
• Конфигурируем сервис static nat в режиме конфигурирования snat в атрибутах набора p.110
• Задача p.110
• Для конфигурирования static nat потребуется создать профиль адресов локальной сети p.110
• Диапазон адресов публичной сети для использования static nat задаем в профиле proxy p.110
• Адресов 21 2 00 21 2 50 в публичную сеть 200 0 24 диапазон адресов публичной сети для использования трансляции 200 0 00 200 0 50 p.110
• Local_net включающий локальную подсеть и профиль адресов публичной сети public_pool p.110
• Экрана p.110
• Укажем что правила применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net и проверку адресов назначения на принадлежность к пулу public_pool p.110
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 111 p.111
• Рисунок 62 схема сети p.111
• Решение p.111
• Пул трансляции proxy необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов proxy p.111
• Пример настройки фильтрации приложений dpi p.111
• Посмотреть активные трансляции можно с помощью команды p.111
• Изменения конфигурации вступают в действие по команде применения p.111
• Задача p.111
• Должна быть настроена маршрутизация адрес 21 2 должен быть назначен адресом шлюза p.111
• Для того чтобы устройства локальной сети могли получить доступ к cети 200 0 24 на них p.111
• Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в p.111
• Для каждой сети esr создадим свою зону безопасности p.111
• Внимание использование механизма фильтрации приложений многократно снижает производительность маршрутизатора из за необходимости проверки каждого пакета производительность снижается с ростом количества выбранных приложений для фильтрации p.111
• Блокировать доступ к ресурсам youtube bittorrent и facebook p.111
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.112
• Посмотреть членство портов в зонах можно с помощью команды p.112
• Посмотреть пары зон и их конфигурацию можно с помощью команд p.112
• Посмотреть активные сессии можно с помощью команд p.112
• Необходимо будет блокировать p.112
• Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности p.112
• И добавим правило разрешающее прохождение всего трафика действие правил разрешается командой enable p.112
• И добавим правило запрещающее проходить трафику приложений и правило разрешающее проходить остальному трафику действие правил разрешается командой enable p.112
• Для установки правил прохождения трафика из зоны wan в зону lan создадим пару зон p.112
• Для установки правил прохождения трафика из зоны lan в зону wan создадим пару зон p.112
• Для настройки правил зон безопасности потребуется создать профиль приложений которые p.112
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 113 p.113
• Проксирование http https трафика p.113
• Алгоритм настройки p.113
• Задача p.114
• Если функция firewall на esr принудительно не отключена необходимо создать разрешающее правило для зоны self p.114
• Создадим набор url по которым будет осуществляться фильтрация настроим прокси фильтр p.114
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.114
• Рисунок 63 схема сети p.114
• Решение p.114
• Пример настройки http прокси p.114
• Организовать фильтрацию по url для ряда адресов посредством прокси p.114
• И укажем действия для созданного набора url p.114
• Настройка логирования и защиты от сетевых атак p.115
• Количество icmp пакетов в секунду задается в диапазоне 1 0000 p.115
• Если используется firewall создадим для него разрешающие правила p.115
• Включить ограничение количества одновременных сессий на основании адреса назначения p.115
• Включить ограничение количества одновременных сессий на основании адреса источника которое смягчает dos атаки p.115
• Включить защиту от land атак p.115
• Включить защиту от icmp flood атак p.115
• Включим проксирование на интерфейсе по профилю list p.115
• Алгоритм настройки p.115
• Шаг описание команда ключи p.115
• Создаем разрешающе правило межзонового взаимодействия p.115
• Создаем профиль портов прокси сервера p.115
• Создаем профиль p.115
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 115 p.115
• Ограничение количества ip сессий задается в диапазоне 1 0000 p.115
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.116
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 117 p.117
• Описание механизмов защиты от атак p.117
• Количество icmp пакетов всех типов в секунду для одного адреса назначения атака приводит к перегрузке хоста и выводу его из строя из за необходимости обрабатывать каждый запрос и отвечать на него p.117
• Данная команда включает защиту от icmp flood атак при включенной защите ограничивается p.117
• Ip firewall screen dos defense icmp threshold p.117
• Ip firewall screen dos defense syn flood p.118
• Ip firewall screen dos defense limit session source p.118
• Ip firewall screen dos defense limit session destination p.118
• Firewall screen dos defense land p.118
• Ip firewall screen spy blocking fin no ack p.118
• Ip firewall screen dos defense winnuke p.118
• Ip firewall screen dos defense udp threshold p.118
• Ip firewall screen spy blocking port scan p.119
• Ip firewall screen spy blocking ip sweep p.119
• Ip firewall screen spy blocking icmp type time exceeded p.119
• Ip firewall screen spy blocking icmp type source quench p.119
• Ip firewall screen spy blocking icmp type reserved p.119
• Ip firewall screen spy blocking icmp type echo request p.119
• Ip firewall screen spy blocking icmp type destination unreachable p.119
• Ip firewall screen suspicious packets ip fragment p.120
• Ip firewall screen suspicious packets icmp fragment p.120
• Ip firewall screen spy blocking tcp no flag p.120
• Ip firewall screen spy blocking tcp all flag p.120
• Ip firewall screen spy blocking syn fin p.120
• Ip firewall screen spy blocking spoofing p.120
• Ip firewall screen suspicious packets udp fragment p.120
• Ip firewall screen suspicious packets syn fragment p.120
• Ip firewall screen suspicious packets large icmp p.120
• Задача p.121
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 121 p.121
• Рисунок 64 схема сети p.121
• Решение p.121
• Пример настройки логирования и защиты от сетевых атак p.121
• Предварительно необходимо настроить интерфейсы и firewall настройка firewall или ее p.121
• Отсутствие не повлияют на работу защиты от сетевых атак p.121
• Необходимо защитить lan сеть и маршрутизатор esr от сетевых атак land syn flood icmp p.121
• Настроим защиту от land syn flood icmp flood атак p.121
• Данная команда включает блокировку пакетов с id протокола в заголовке ip равном 137 и p.121
• Более p.121
• Ip firewall screen suspicious packets unknown protocols p.121
• Flood и настроить оповещение об атаках по snmp на snmp сервер 192 68 0 p.121
• Фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами p.122
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.122
• Посмотреть статистику по зафиксированным сетевым атакам можно командой p.122
• Настроим логирование обнаруженных атак p.122
• Настроим snmp сервер на который будут отправляться трапы p.122
• Конфигурирование firewall p.122
• Алгоритм настройки p.122
• Firewall комплекс аппаратных или программных средств осуществляющий контроль и p.122
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 123 p.123
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.124
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 125 p.125
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.126
• Каждая команда match может содержать ключ not при использовании данного ключа p.127
• Задача p.127
• Для каждой сети esr создадим свою зону безопасности p.127
• Более подробная информация о командах для настройки межсетевого экрана содержится в p.127
• Справочнике команд cli p.127
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 127 p.127
• Рисунок 65 схема сети p.127
• Решение p.127
• Разрешить обмен сообщениями по протоколу icmp между устройствами пк1 пк2 и p.127
• Пример настройки firewall p.127
• Под правило будут подпадать пакеты не удовлетворяющие заданному критерию p.127
• Маршрутизатором esr p.127
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.128
• Разрешающее проходить icmp трафику от пк2 к пк1 действие правил разрешается командой enable p.128
• Разрешающее проходить icmp трафику от пк1 к пк2 действие правил разрешается командой enable p.128
• Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности p.128
• Для пропуска трафика из зоны wan в зону lan создадим пару зон и добавим правило p.128
• Для пропуска трафика из зоны lan в зону wan создадим пару зон и добавим правило p.128
• Для настройки правил зон безопасности потребуется создать профиль адресов сети lan p.128
• Включающий адреса которым разрешен выход в сеть wan и профиль адресов сети wan p.128
• Шаг описание команда ключи p.129
• Создадим пару зон для трафика идущего из зоны lan в зону self добавим правило p.129
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 129 p.129
• Разрешающее проходить icmp трафику между пк1 и esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны lan p.129
• Прохождение трафика через интерфейс p.129
• Посмотреть членство портов в зонах можно с помощью команды p.129
• Посмотреть пары зон и их конфигурацию можно с помощью команд p.129
• Посмотреть активные сессии можно с помощью команд p.129
• Получателя трафика выступает сам маршрутизатор то есть трафик не является транзитным то в качестве параметра указывается зона self создадим пару зон для трафика идущего из зоны wan в зону self добавим правило разрешающее проходить icmp трафику между пк2 и маршрутизатором esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны wan p.129
• Настройка списков доступа acl p.129
• На маршрутизаторе всегда существует зона безопасности с именем self если в качестве p.129
• Имя создаваемого списка контроля доступа задаётся строкой до 31 символа p.129
• Алгоритм настройки p.129
• Cоздать список контроля доступа и перейти в режим его p.129
• Access control list или acl список контроля доступа содержит правила определяющие p.129
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.130
• Также списки доступа могут использоваться для организации политик qos p.131
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 131 p.131
• Решение p.131
• Разрешить прохождения трафика только из подсети 192 68 0 24 p.131
• Пример настройки списка доступа p.131
• Настроим список доступа для фильтрации по подсетям p.131
• Задача p.131
• Процесс настройки p.132
• Конфигурирование статических маршрутов p.132
• Пример настройки статических маршрутов p.133
• Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный p.134
• Для интерфейса gi1 0 1 укажем адрес 192 68 24 и зону lan через данный интерфейс p.134
• Для интерфейса gi1 0 1 укажем адрес 10 8 и зону lan через данный интерфейс r2 p.134
• Будет подключен к сети 10 8 p.134
• R1 будет подключен к сети internet p.134
• R1 будет подключен к сети 192 68 24 p.134
• Устройство r2 192 68 00 p.134
• Создадим маршрут для взаимодействия с сетью internet используя в качестве nexthop шлюз p.134
• Создадим маршрут для взаимодействия с сетью 10 8 используя в качестве шлюза p.134
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.134
• Провайдера 128 07 p.134
• Интерфейс r2 будет подключен к устройству r1 для последующей маршрутизации трафика p.134
• Интерфейс r1 будет подключен к устройству r2 для последующей маршрутизации трафика p.134
• Зададим имя устройства для маршрутизатора r2 p.134
• Зададим имя устройства для маршрутизатора r1 p.134
• Для интерфейса gi1 0 3 укажем адрес 128 07 30 и зону wan через данный интерфейс p.134
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 135 p.135
• Проверить таблицу маршрутов можно командой p.135
• Настройка ppp через e1 p.135
• Маршрутизатора r1 192 68 00 p.135
• Для установления ppp соединения через поток e1 необходимо наличие медиаконвертера p.135
• Topgate sfp в маршрутизаторе esr p.135
• Ppp point to point protocol двухточечный протокол канального уровня используется для p.135
• Установления прямой связи между двумя узлами сети может обеспечить аутентификацию соединения шифрование и сжатие данных p.135
• Создадим маршрут по умолчанию указав в качестве nexthop ip адрес интерфейса gi1 0 2 p.135
• Процесс настройки p.135
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.136
• Задаётся строкой 1 64 символов может включать символы 0 9a fa f p.136
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 137 p.137
• Рисунок 67 схема сети p.137
• Решение p.137
• Работы е1 p.137
• Пример конфигурации p.137
• Переключаем интерфейс в котором установлен topgate sfp gigabitethernet 1 0 3 в режим p.137
• Настроить ppp соединение со встречной стороной с ip адресом 10 7 24 через topgate p.137
• Задача p.137
• Sfp используя 1 8 канальные интервалы для передачи данных источник синхросигнала встречная сторона p.137
• Multilink ppp mlppp предоставляет собой агрегированный канал включающий в себя p.138
• Шаг описание команда ключи p.138
• Указать описание конфигурируемой группы агрегации не обязательно p.138
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.138
• Рисунок 68 схема сети p.138
• Описание группы агрегации задаётся строкой до 255 символов p.138
• Настройка mlppp p.138
• Настроить группу агрегации p.138
• Наименование интерфейса p.138
• Методы для распространения трафика через несколько физических каналов имея одно логическое соединение этот вариант позволяет расширить пропускную способность и обеспечивает балансировку нагрузки p.138
• Интервал в секундах принимает значения 5 50 значение по умолчанию 5 p.138
• Изменения конфигурации вступят в действие по следующим командам p.138
• Задать интервал времени за который усредняется статистика о нагрузке на группе агрегации не обязательно p.138
• Включим interface e1 1 3 1 p.138
• Алгоритм настройки p.138
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 139 p.139
• Задача p.140
• Устройство mxe p.140
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.140
• Пример настройки p.140
• Настроить mlppp соединение с встречной стороной с ip адресом 10 7 24 через p.140
• Bridge мост это способ соединения двух сегментов ethernet на канальном уровне без p.141
• Рисунок 69 схема сети p.141
• Решение p.141
• Переключаем интерфейс gigabitethernet 1 0 10 в режим работы е1 p.141
• Настройка bridge p.141
• Настроим mlppp 3 p.141
• Использования протоколов более высокого уровня таких как ip пакеты передаются на основе ethernet адресов а не ip адресов поскольку передача выполняется на канальном уровне уровень 2 модели osi трафик протоколов более высокого уровня прозрачно проходит через мост p.141
• Идентификационный номер моста принимает значения в диапазоне для esr 10 12v f 14vf 1 0 для esr 20 21 100 200 1 50 для esr 1000 1200 1500 1510 1700 1 00 p.141
• Добавить сетевой мост bridge в систему и перейти в режим настройки его параметров p.141
• Включим interface e1 1 0 1 interface e1 1 0 2 в группу агрегации mlppp 3 p.141
• Алгоритм настройки p.141
• Активировать сетевой мост p.141
• Шаг описание команда ключи p.141
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 141 p.141
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.142
• Установить время жизни ipv4 ipv6 записей в arp таблице изученных на данном bridge не обязательно p.143
• Создадим зону безопасности trusted p.143
• Создадим vlan 333 p.143
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 143 p.143
• Рисунок 70 схема сети p.143
• Решение p.143
• Пример настройки bridge для vlan и l2tpv3 туннеля p.143
• Объединить в единый l2 домен интерфейсы маршрутизатора относящиеся к локальной сети p.143
• Или p.143
• И l2tpv3 туннель проходящий по публичной сети для объединения использовать vlan 333 p.143
• Запретить коммутацию unknown unicast трафика когда mac адрес назначения не содержится в таблице коммутации в данном bridge не обязательно применимо только на esr 1000 1200 1500 1510 170 0 p.143
• Задача p.143
• Добавим интерфейсы gi1 0 11 gi1 0 12 в vlan 333 p.143
• Установим принадлежность l2tpv3 туннеля к мосту который связан с локальной сетью p.144
• Создадим зоны безопасности lan1 и lan2 p.144
• Создадим vlan 50 60 p.144
• Создадим bridge 333 привяжем к нему vlan 333 и укажем членство в зоне trusted p.144
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.144
• Рисунок 71 схема сети p.144
• Решение p.144
• Пример настройки bridge для vlan p.144
• Настройка l2tpv3 туннеля рассматривается в разделе в общем случае идентификаторы моста и туннеля не должны совпадать с vid как в данном примере p.144
• Настроить маршрутизацию между vlan 50 10 0 24 и vlan 60 10 0 24 vlan 50 p.144
• Назначим интерфейсам gi1 0 11 gi1 0 12 vlan 50 p.144
• Задача p.144
• Должен относиться к зоне lan1 vlan 60 к зоне lan2 разрешить свободную передачу трафика между зонами p.144
• Назначим интерфейсу gi1 0 14 vlan 60 p.145
• На интерфейс gigabitethernet 1 0 1 поступают ethernet кадры с различными vlan тегами p.145
• Задача p.145
• Создадим правила в firewall разрешающие свободное прохождение трафика между зонами p.145
• Создадим на маршрутизаторе bridge без vlan и без ip адреса p.145
• Создадим bridge 60 привяжем vlan 60 укажем ip адрес 10 0 24 и членство в зоне p.145
• Создадим bridge 50 привяжем vlan 50 укажем ip адрес 10 0 24 и членство в зоне p.145
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 145 p.145
• Решение p.145
• Пример настройки добавления удаления второго vlan тега p.145
• Посмотреть членство интерфейсов в мосте можно командой p.145
• Необходимо перенаправить их в интерфейс gigabitethernet 1 0 2 добавив второй vlan id 828 при поступлении на интерфейс gigabitethernet 1 0 2 ethernet кадров с vlan id 828 данный тег должен быть удален и отправлен в интерфейс gigabitethernet 1 0 1 p.145
• При добавлении второго vlan тега в ethernet кадр его размер увеличивается на 4 байта на интерфейсе маршрутизатора gigabitethernet 1 0 2 и на всем оборудовании передающем q in q кадры необходимо увеличить mtu на 4 байта или более p.146
• Настройка rip p.146
• Количество транзитных участков в качестве метрики маршрута максимальное количество транзитных участков hop разрешенное в rip равно 15 каждый rip маршрутизатор по умолчанию вещает в сеть свою полную таблицу маршрутизации один раз в 30 секунд rip работает на 3 м уровне стека tcp ip используя udp порт 520 p.146
• Включим саб интерфейс gigabitethernet 1 0 2 28 в bridge 1 p.146
• Включим интерфейс gigabitethernet 1 0 1 в bridge 1 p.146
• Алгоритм настройки p.146
• Rip дистанционно векторный протокол динамической маршрутизации который использует p.146
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.146
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 147 p.147
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.148
• Укажем подсети которые будут анонсироваться протоколом 115 24 14 24 и p.149
• Соседними маршрутизаторами маршрутизатор должен анонсировать статические маршруты и подсети 115 24 14 24 10 24 анонсирование маршрутов должно происходить каждые 25 секунд p.149
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 149 p.149
• Рисунок 72 схема сети p.149
• Решение p.149
• Пример настройки rip p.149
• Приведенной на рисунке 72 p.149
• Предварительно нужно настроить ip адреса на интерфейсах согласно схеме сети p.149
• Перейдём в режим конфигурирования протокола rip p.149
• Настроить на маршрутизаторе протокол rip для обмена маршрутной информацией с p.149
• Задача p.149
• Алгоритм настройки p.150
• Ospf протокол динамической маршрутизации основанный на технологии отслеживания p.150
• Шаг описание команда ключи p.150
• Состояния канала link state technology и использующий для нахождения кратчайшего пути алгоритм дейкстры p.150
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.150
• Приоритетность протокола принимает значения в диапазоне 1 55 значение по умолчанию 150 p.150
• После установки всех требуемых настроек включаем протокол p.150
• Помимо настройки протокола rip необходимо в firewall разрешить udp порт 520 p.150
• Настройка ospf p.150
• Настроить приоритетность протокола ospf маршрутизации для основной таблицы маршрутизации не обязательно p.150
• Настроить емкость таблиц маршрутизации протокола ospf не обязательно p.150
• Настроим таймер отвечающий за отправку маршрутной информации p.150
• Количество маршрутов протокола ospf в маршрутной таблице принимает значения в диапазоне для esr 1000 1200 1500 1510 1700 1 00000 для esr 20 21 100 200 1 00000 для esr 10 12v f 14vf 1 0000 значение по умолчанию для глобального режима для esr 1000 1200 1500 1510 1700 500000 для esr 20 21 100 200 300000 для esr 10 12v f 14vf 30000 значение по умолчанию для vrf 0 p.150
• Для того чтобы просмотреть таблицу маршрутов rip воспользуемся командой p.150
• Для анонсирования протоколом статических маршрутов выполним команду p.150
• Включить вывод информации о состоянии p.150
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 151 p.151
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.152
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 153 p.153
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.154
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 155 p.155
• Задача p.156
• Соседними маршрутизаторами маршрутизатор должен находится в области с идентификатором 1 и анонсировать маршруты полученные по протоколу rip p.156
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.156
• Пример настройки ospf p.156
• Настроить протокол ospf на маршрутизаторе для обмена маршрутной информацией с p.156
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 157 p.157
• Рисунок 73 схема сети p.157
• Рисунке 73 p.157
• Решение p.157
• Протокола ospf p.157
• Предварительно нужно настроить ip адреса на интерфейсах согласно схеме приведенной на p.157
• Включим анонсирование маршрутной информации из протокола rip p.157
• Включим ospf процесс p.157
• Соседства с другими маршрутизаторами привяжем их к ospf процессу и области далее включим на интерфейсе маршрутизацию по протоколу ospf p.157
• Соседние маршрутизаторы подключены к интерфейсам gi1 0 5 и gi1 0 15 для установления p.157
• Создадим и включим требуемую область p.157
• Создадим ospf процесс с идентификатором 10 и перейдём в режим конфигурирования p.157
• Пример настройки virtual link p.158
• Пример настройки ospf stub area p.158
• Протокол bgp предназначен для обмена информацией о достижимости подсетей между p.159
• Приведенной на рисунке 75 p.159
• Предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме p.159
• Настройка bgp p.159
• На маршрутизаторе r3 перейдем в режим конфигурирования области 1 p.159
• На маршрутизаторе r1 перейдем в режим конфигурирования области 1 p.159
• Маршруты полученные от r3 отмечены как внутризоновые и наоборот p.159
• Для просмотра соседей можно воспользоваться следующей командой p.159
• В firewall необходимо разрешить протокол ospf 89 p.159
• Автономными системами далее ас то есть группами маршрутизаторов под единым техническим p.159
• Так как ospf считает виртуальный канал частью области в таблице маршрутизации r1 p.159
• Таблицу маршрутов протокола ospf можно просмотреть командой p.159
• Создадим virtual link с идентификатором 0 и включим его p.159
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 159 p.159
• Рассмотрим таблицу маршрутизации на маршрутизаторе r3 p.159
• Рассмотрим таблицу маршрутизации на маршрутизаторе r1 p.159
• Управлением использующими протокол внутридоменной маршрутизации для определения маршрутов внутри себя и протокол междоменной маршрутизации для определения маршрутов доставки пакетов в другие ас передаваемая информация включает в себя список ас к которым имеется доступ через данную систему выбор наилучших маршрутов осуществляется исходя из правил принятых в сети p.160
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.160
• Алгоритм настройки p.160
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 161 p.161
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.162
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 163 p.163
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.164
• Задача p.165
• Второе соседство подсеть 185 30 собственный ip адрес 185 ip адрес соседа 185 as 20 p.165
• Анонсирование подсетей подключенных напрямую p.165
• Часто бывает особенно при конфигурировании ibgp что в одном bgp address family p.165
• Собственные подсети 80 6 24 80 6 6 24 p.165
• Собственная as 2500 p.165
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 165 p.165
• Рисунок 76 схема сети p.165
• Пример настройки p.165
• Первое соседство подсеть 219 30 собственный ip адрес 219 ip адрес соседа 219 as 2500 p.165
• Необходимо настроить несколько bgp neighbor с одинаковыми параметрами во избежание избыточности конфигурации рекомендуется использовать bgp peer group в которой возможно описать общие параметры а в конфигурации bgp neighbor просто указать причастность к bgp peer group p.165
• Настроить bgp протокол на маршрутизаторе со следующими параметрами p.165
• Решение p.166
• Процесса p.166
• Объявим подсети подключённые напрямую p.166
• Необходимо в firewall разрешить tcp порт 179 p.166
• Информацию о bgp пирах можно посмотреть командой p.166
• Входим в режим конфигурирования маршрутной информации для ipv4 p.166
• Включим работу протокола p.166
• Таблицу маршрутов протокола bgp можно просмотреть с помощью команды p.166
• Создадим соседства с 185 219 с указанием автономных систем и включим их p.166
• Создадим bgp процесс для as 2500 и войдем в режим конфигурирования параметров p.166
• Сконфигурируем необходимые сетевые параметры p.166
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.166
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 167 p.167
• Протоколов позволяющий сократить время обнаружения проблемы до 50 мс bfd является двусторонним протоколом т е требует настройки обоих маршрутизаторов оба маршрутизатора генерируют bfd пакеты и отвечают друг другу p.167
• Настройка bfd p.167
• Алгоритм настройки p.167
• Bfd bidirectional forwarding detection это протокол работающий поверх других p.167
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.168
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 169 p.169
• Рисунок 77 схема сети p.169
• Пример настройки bfd c bgp p.169
• Необходимо настроить ebgp между esr r1 и r2 и включить bfd p.169
• Задача p.169
• Также route map может назначать маршруты на основе списков доступа acl p.170
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.170
• Решение p.170
• Предварительно необходимо настроить интерфейс gi1 0 1 p.170
• Настройка политики маршрутизации pbr p.170
• Настройка route map для bgp p.170
• Настроим ebgp с bfd p.170
• Конфигурирование r2 p.170
• Конфигурирование r1 p.170
• Информацию при приеме этой информации от соседа либо при ее передаче соседу обработка может включать в себя фильтрацию на основании различных признаков маршрута а также установку атрибутов med as path community localpreference и другое на соответствующие маршруты p.170
• Route map могут служить фильтрами позволяющими обрабатывать маршрутную p.170
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 171 p.171
• Алгоритм настройки p.171
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.172
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 173 p.173
• В bgp процессе as 2500 заходим в настройки параметров соседа p.174
• Установить соседство с as20 p.174
• Создаем правило 1 p.174
• Создаем политику p.174
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.174
• Рисунок 78 схема сети p.174
• Решение p.174
• Пример настройки 1 p.174
• Привязываем политику к принимаемой маршрутной информации p.174
• Предварительно нужно выполнить следующие действия p.174
• Настроить bgp c as 2500 на маршрутизаторе esr p.174
• Назначить сommunity для маршрутной информации приходящей из as 20 p.174
• Задача p.174
• Если as path содержит as 20 то назначаем ему сommunity 20 2020 и выходим p.174
• Создать правило маршрутной карты p.175
• Алгоритм настройки p.175
• Создаем правило p.175
• Route map на основе списков доступа policy based routing p.175
• Создаем политику p.175
• Cоздать маршрутную карту для фильтрации и модификации ip маршрутов p.175
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 175 p.175
• Решение p.175
• Равный 240 и указать источник маршрутной информации egp p.175
• Пример настройки 2 p.175
• Привязываем политику к анонсируемой маршрутной информации p.175
• Предварительно p.175
• Номер правила принимает значения 1 10000 p.175
• Настроить bgp c as 2500 на esr p.175
• Имя маршрутной карты задаётся строкой до 31 символа p.175
• Задача p.175
• Если community содержит 2500 25 то назначаем ему med 240 и origin egp p.175
• Для всей передаваемой маршрутной информации с community 2500 25 назначить med p.175
• Шаг описание команда ключи p.175
• В bgp процессе as 2500 заходим в настройки параметров соседа p.175
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.176
• Рисунок 79 схема сети p.176
• Решение p.176
• Распределить трафик между интернет провайдерами на основе подсетей пользователей p.176
• Пример настройки p.176
• Предварительно нужно назначить ip адреса на интерфейсы p.176
• Назначить политику маршрутизации на основе списков доступа acl p.176
• Назначаемое действие permit прием или анонсирование маршрутной информации разрешено deny запрещено p.176
• Метрика маршрута принимает значения 0 55 p.176
• Имя списка контроля доступа задаётся строкой до 31 символа p.176
• Имя сконфигурированной политики маршрутизации строка до 31 символа p.176
• Задача p.176
• Задать next hop для пакетов которые попадают под критерии в указанном списке доступа acl не обязательно p.176
• Указать действие которое должно быть применено для маршрутной информации p.176
• Задать acl для которого должно срабатывать правило не обязательно p.176
• Требуется направлять трафик с адресов 10 0 24 через isp1 184 5 50 а трафик с p.176
• Адресов 10 0 24 через isp2 80 6 3 требуется контролировать доступность адресов провайдеров работоспособность подключений к isp и при неработоспособности одного из подключений переводить с него на рабочее подключение весь трафик p.176
• Создаем acl p.176
• Указываем список доступа acl в качестве фильтра p.177
• Указываем nexthop для sub30 и выходим p.177
• Указываем next hop для sub20 p.177
• Создаем правило 2 p.177
• Создаем правило 1 p.177
• Создаем политику p.177
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 177 p.177
• Привязываем политику на соответствующий интерфейс p.177
• Правилом 2 будет обеспечена маршрутизация трафика из сети 10 0 24 на адрес p.177
• Правилом 1 будет обеспечена маршрутизация трафика из сети 10 0 24 на адрес p.177
• Заходим на интерфейс te 1 0 1 p.177
• 5 50 а при его недоступности на адрес 80 6 3 приоритетность шлюзов задается значениями метрик 10 и 30 p.177
• 3 а при его недоступности на адрес 184 5 50 приоритетность задается значениями метрик p.177
• Туннелирования сетевых пакетов его основное назначение инкапсуляция пакетов сетевого уровня сетевой модели osi в ip пакеты gre может использоваться для организации vpn на 3 м уровне модели osi в маршрутизаторе esr реализованы статические неуправляемые gre туннели то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах параметры туннеля для каждой из сторон должны быть взаимосогласованными или переносимые данные не будут декапсулироваться партнером p.178
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.178
• Настройка gre туннелей p.178
• Алгоритм настройки p.178
• Gre англ generic routing encapsulation общая инкапсуляция маршрутов протокол p.178
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 179 p.179
• Рисунок 80 схема сети p.180
• Решение p.180
• Пример настройки ip gre туннеля p.180
• Предварительно на маршрутизаторах должны быть настроены интерфейсы для связи с сетью p.180
• Организовать l3 vpn между офисами компании через ip сеть используя для туннелирования p.180
• Задача p.180
• В качестве удаленного шлюза для туннеля используется ip адрес 114 0 p.180
• В качестве локального шлюза для туннеля используется ip адрес 115 p.180
• Wan разрешено получение пакетов протокола gre из зоны безопасности в которой работают интерфейсы подключенные к сети wan p.180
• Ip адрес туннеля на локальной стороне 25 24 p.180
• Укажем локальный и удаленный шлюз ip адреса интерфейсов граничащих с wan p.180
• Трафика протокол gre p.180
• Создадим туннель gre 10 p.180
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.180
• Включить и настроить механизм keepalive p.181
• Состояние туннеля можно посмотреть командой p.181
• Создать правила разрешающие прохождение трафика в firewall принадлежность туннеля к зоне задается следующей командой p.181
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 181 p.181
• После применения настроек трафик будет инкапсулироваться в туннель и отправляться p.181
• Партнеру независимо от наличия gre туннеля и правильности настроек с его стороны p.181
• Опционально для gre туннеля можно указать следующие параметры p.181
• На маршрутизаторе должен быть создан маршрут до локальной сети партнера в качестве p.181
• Интерфейса назначения указываем ранее созданный туннель gre p.181
• Включить проверку наличия и корректности контрольной суммы gre для входящего трафика p.181
• Включить вычисление и включение в пакет контрольной суммы заголовка gre и инкапсулированного пакета для исходящего трафика p.181
• Указать уникальный идентификатор p.181
• Включим туннель p.181
• Указать значение dscp mtu ttl p.181
• Укажем ip адрес туннеля 25 24 p.181
• Также туннель должен принадлежать к зоне безопасности для того чтобы можно было p.181
• Счетчики входящих и отправленных пакетов можно посмотреть командой p.181
• Чтобы установить такое соединение клиенты nhc по шифрованному ipsec туннелю p.182
• Частных сетей с возможностью динамического создания туннелей между узлами преимуществом данного решения является высокая масштабируемость и легкость настройки при подключении филиалов к головному офису dmvpn используется в топологии hub and spoke и позволяет строить прямые vpn туннели spoke to spoke в дополнение к обычным spoke to hub туннелям это означает что филиалы смогут общаться друг с другом напрямую без необходимости прохождения трафика через hub p.182
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.182
• При создании туннеля необходимо в firewall разрешить протокол gre 47 p.182
• Отправляют соответствие своего внутреннего туннельного адреса и внешнего nbma адреса на nhrp сервер nhs когда клиент захочет соединиться с другим nhc он посылает на сервер запрос чтобы узнать его внешний адрес получив ответ от сервера клиент теперь самостоятельно может устанавливать соединение c удалённым филиалом p.182
• Настройка туннеля ipv4 over ipv4 производится аналогичным образом p.182
• Настройка dmvpn p.182
• Конфигурацию туннеля можно посмотреть командой p.182
• Алгоритм настройки p.182
• Dmvpn dynamic multipoint virtual private network технология для создания виртуальных p.182
• Задача p.183
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 183 p.183
• Пример настройки p.183
• Организовать dmvpn между офисами компании используя mgre туннели nhrp next hop resolution protocol протокол динамической маршрутизации bgp ipsec в нашем примере у нас будет hub маршрутизатор и два филиала hub это dmvpn cервер nhs а филиалы dmpvn клиенты nhc p.183
• Это будет bgp p.185
• Узнаваемые адреса p.185
• Точками p.185
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 185 p.185
• Произведём настройку протокола динамической маршрутизации для hub в нашем примере p.185
• Произведём настройку ipsec для hub p.185
• Перейдём к настройке nhrp настроим отправку мультикастовых рассылок в динамически p.185
• Переведём gre туннель в mutipoint режим для возможности соединения с несколькими p.185
• Настроим мультикастовую рассылку на nhrp сервер p.186
• Конфигурирование spoke p.186
• Зададим соответствие туннельному адресу реальный p.186
• Включим работу nhrp и сам туннель p.186
• Адреса назначения a при создании шлюза ike для nhc адрес назначения будет any p.186
• Указываем туннельный адрес nhs p.186
• Указываем сколько времени будет храниться запись о клиенте на сервере p.186
• Соединение p.186
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.186
• Произведём настройку ipsec при создании шлюза протокола ike для nhs укажем конкретные p.186
• Произведём настройку bgp для spoke p.186
• Проведём стандартную настройку dmvpn на туннеле p.186
• Привяжем ipsec к gre туннелю чтобы клиенты могли устанавливать шифрованное привяжем ipsec к gre туннелю чтобы клиенты могли устанавливать шифрованное p.186
• Состояние nhrp записей можно посмотреть командой p.187
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 187 p.187
• Сервером и с другими клиентами сети p.187
• Привяжем ipsec к gre туннелю для возможности установления шифрованного соединения с p.187
• Включим работу nhrp и сам туннель p.187
• Настройка l2tpv3 туннелей p.188
• Алгоритм настройки p.188
• L2tpv3 layer 2 tunneling protocol version 3 протокол для туннелирования пакетов 2 го p.188
• Уровня модели osi между двумя ip узлами в качестве инкапсулирующего протокола используется ip или udp l2tpv3 может использоваться как альтернатива mpls p2p l2vpn vll для организации vpn уровня l2 в маршрутизаторе esr реализованы статические неуправляемые l2tpv3 туннели то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах параметры туннеля на каждой из сторон должны быть взаимосогласованными или переносимые данные не будут декапсулироваться партнером p.188
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.188
• Очистить nhrp записи можно командой p.188
• Трафика протокол l2tpv3 p.189
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 189 p.189
• Пример настройки l2tpv3 туннеля p.189
• Организовать l2 vpn между офисами компании через ip сеть используя для туннелирования p.189
• Идентификатор туннеля на локальной стороне равен 2 на стороне партнера 3 p.189
• Идентификатор сессии внутри туннеля равен 100 на стороне партнера 200 p.189
• Задача p.189
• В туннель направим трафик из bridge с идентификатором 333 p.189
• В качестве удаленного шлюза для туннеля используется ip адрес 183 0 p.189
• В качестве локального шлюза для туннеля используется ip адрес 21 p.189
• В качестве инкапсулирующего протокола используется udp номер порта на локальной стороне и номер порта на стороне партнера 519 p.189
• Локальной сетью настройка моста рассматривается в пункте 7 8 p.190
• Включим ранее созданный туннель и выйдем p.190
• Установим принадлежность саб интерфейса к мосту который должен быть связан с p.190
• Установим принадлежность l2tpv3 туннеля к мосту который должен быть связан с сетью p.190
• Укажем тип инкапсулирующего протокола и номера udp портов p.190
• Укажем локальный и удаленный шлюз ip адреса интерфейсов граничащих с wan p.190
• Укажем идентификаторы сессии внутри туннеля для локальной и удаленной сторон p.190
• Удаленного офиса настройка моста рассматривается в пункте 7 0 p.190
• Создадим туннель l2tpv3 333 p.190
• Создадим саб интерфейс для коммутации трафика поступающего из туннеля в локальную p.190
• Сеть с тегом vlan id 333 p.190
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.190
• Рисунок 82 схема сети p.190
• Решение p.190
• После применения настроек трафик будет инкапсулироваться в туннель и отправляться p.190
• Партнеру независимо от наличия l2tpv3 туннеля и правильности настроек с его стороны p.190
• Настройка route based ipsec vpn p.191
• Алгоритм настройки p.191
• Ipsec это набор протоколов которые обеспечивают защиту передаваемых с помощью ip p.191
• Счетчики входящих и отправленных пакетов можно посмотреть командой p.191
• Состояние туннеля можно посмотреть командой p.191
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 191 p.191
• Протокола данных данный набор протоколов позволяет осуществлять подтверждение подлинности аутентификацию проверку целостности и шифрование ip пакетов а также включает в себя протоколы для защищённого обмена ключами в сети интернет p.191
• Помимо создания туннеля необходимо в firewall разрешить входящий трафик по протоколу udp с портом отправителя 519 и портом назначения 519 p.191
• Настройки туннеля в удаленном офисе должны быть зеркальными локальным в качестве p.191
• Настройка ipsec vpn p.191
• Локального шлюза должен использоваться ip адрес 183 0 в качестве удаленного шлюза должен использоваться ip адрес 21 номер порта инкапсулирующего протокола на локальной стороне и стороне партнера 519 идентификатор сессии внутри туннеля должен быть равным 200 на стороне партнера 100 также туннель должен принадлежать мосту который необходимо соединить с сетью партнера p.191
• Конфигурацию туннеля можно посмотреть командой p.191
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.192
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 193 p.193
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.194
• Алгоритм аутентификации md5 p.195
• R2 ip адрес 180 00 p.195
• R1 ip адрес 120 1 p.195
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 195 p.195
• Рисунок 83 схема сети p.195
• Пример настройки p.195
• Настроить ipsec туннель между r1 и r2 p.195
• Задача p.195
• Группа диффи хэллмана 2 p.195
• Алгоритм шифрования aes 128 bit p.195
• Создадим политику протокола ike в политике указывается список профилей протокола ike по p.196
• Находится за ipsec туннелем нужно указать маршрут через vti туннель p.196
• Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности p.196
• Локального и удаленного шлюза указываются ip адреса интерфейсов граничащих с wan p.196
• Которым могут согласовываться узлы и ключ аутентификации p.196
• Конфигурирование r1 p.196
• Для настройки правил зон безопасности потребуется создать профиль порта протокола p.196
• Алгоритм шифрования aes 128 bit p.196
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения p.196
• Алгоритм аутентификации md5 p.196
• Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия p.196
• Isakmp p.196
• Создадим туннель vti трафик будет перенаправляться через vti в ipsec туннель в качестве p.196
• Создадим статический маршрут до удаленной lan сети для каждой подсети которая p.196
• Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм p.196
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.196
• Решение p.196
• Протокола и режим перенаправления трафика в туннель p.196
• По которым могут согласовываться узлы p.197
• Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable p.197
• Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности p.197
• Локального и удаленного шлюза указываются ip адреса интерфейсов граничащих с wan p.197
• Конфигурирование r2 p.197
• Для настройки правил зон безопасности потребуется создать профиль порта протокола p.197
• Isakmp p.197
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля p.197
• Создадим туннель vti трафик будет перенаправляться через vti в ipsec туннель в качестве p.197
• Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм p.197
• Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля p.197
• Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим p.197
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 197 p.197
• Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм p.198
• Создадим политику протокола ike в политике указывается список профилей протокола ike по p.198
• Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля p.198
• Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим p.198
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.198
• Протокола и режим перенаправления трафика в туннель p.198
• По которым могут согласовываться узлы p.198
• Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable p.198
• Находится за ipsec туннелем нужно указать маршрут через vti туннель p.198
• Которым могут согласовываться узлы и ключ аутентификации p.198
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля p.198
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения p.198
• Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия p.198
• Создадим статический маршрут до удаленной lan сети для каждой подсети которая p.198
• Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм p.198
• Состояние туннеля можно посмотреть командой p.199
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 199 p.199
• Настройка policy based ipsec vpn p.199
• Конфигурацию туннеля можно посмотреть командой p.199
• В firewall необходимо разрешить протокол esp и isakmp udp порт 500 p.199
• Алгоритм настройки p.199
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.200
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 201 p.201
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.202
• Алгоритм аутентификации md5 p.203
• R1 ip адрес 120 1 r2 ip адрес 180 00 ike p.203
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 203 p.203
• Рисунок 84 схема сети p.203
• Решение p.203
• Пример настройки p.203
• Настроить ipsec туннель между r1 и r2 настроить ipsec туннель между r1 и r2 p.203
• Задача p.203
• Группа диффи хэллмана 2 p.203
• Алгоритм шифрования aes 128 bit p.203
• Создадим политику протокола ike в политике указывается список профилей протокола ike по p.204
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.204
• Протокола и режим перенаправления трафика в туннель p.204
• Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности p.204
• Которым могут согласовываться узлы и ключ аутентификации p.204
• Конфигурирование r1 p.204
• Для настройки правил зон безопасности потребуется создать профиль порта протокола p.204
• Isakmp p.204
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля p.204
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения p.204
• Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия p.204
• Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм p.204
• Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм p.204
• Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля p.205
• Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим p.205
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 205 p.205
• Протокола и режим перенаправления трафика в туннель p.205
• По которым могут согласовываться узлы p.205
• Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable p.205
• Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности p.205
• Которым могут согласовываться узлы и ключ аутентификации p.205
• Конфигурирование r2 p.205
• Для настройки правил зон безопасности потребуется создать профиль порта протокола p.205
• Isakmp p.205
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения p.205
• Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия p.205
• Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм p.205
• Создадим политику протокола ike в политике указывается список профилей протокола ike по p.205
• Состояние туннеля можно посмотреть командой p.206
• Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм p.206
• Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля p.206
• Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим p.206
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.206
• Сервер ipsec vpn находится в режиме ожидания входящих подключений а клиенты осуществляют временные подключения к серверу для получения доступа к сетевым ресурсам p.206
• По которым могут согласовываться узлы p.206
• Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable p.206
• Настройка remote access ipsec vpn p.206
• Конфигурацию туннеля можно посмотреть командой p.206
• В firewall необходимо разрешить протокол esp и isakmp udp порт 500 p.206
• Remote access ipsec vpn сценарий организации временных vpn подключений в котором p.206
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля p.206
• Фактора аутентификации ipsec extended authentication xauth вторым фактором аутентификации является пара логин пароль для клиента ipsec vpn p.207
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 207 p.207
• Дополнительной особенностью ra ipsec vpn является возможность использования второго p.207
• Алгоритм настройки p.207
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.208
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 209 p.209
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.210
• Рисунок 85 схема сети p.211
• Пример настройки p.211
• Предоставлять доступ до lan подсети 10 16 p.211
• Настроить remote access ipsec vpn между r1 и r2 с использованием второго фактора p.211
• Задача p.211
• Выдавать адреса из пула подсети 192 24 p.211
• Аутентификации ipsec xauth в качестве сервера ipsec vpn настроить маршрутизатор r1 а маршрутизатор r2 в качестве клиента ipsec vpn p.211
• R2 ip адрес 120 1 r1 ip адрес 180 00 клиентам ipsec vpn p.211
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 211 p.211
• Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм p.212
• Создадим профиль доступа и заведем в нем пару логин и пароль для клиента ipsec vpn p.212
• Создадим политику протокола ike в политике указывается список профилей протокола ike по p.212
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.212
• Решение p.212
• Пароль password123 p.212
• Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности p.212
• Логин client1 p.212
• Которым могут согласовываться узлы ключ аутентификации и метод аутентификации xauth по ключу p.212
• Конфигурирование r1 p.212
• Для настройки правил зон безопасности потребуется создать профиль порта протокола p.212
• Группа диффи хэллмана 2 p.212
• Алгоритм шифрования 3des p.212
• Алгоритм аутентификации sha1 p.212
• Isakmp p.212
• Шифрования 3des алгоритм аутентификации sha1 данные параметры безопасности используются для защиты ike соединения p.212
• Шифрования 3des алгоритм аутентификации sha1 данные параметры безопасности используются для защиты ipsec туннеля p.213
• Создадим шлюз протокола ike в данном профиле необходимо указать политику протокола p.213
• Создадим пул адресов назначения из которого будут выдаваться ip клиентам ipsec vpn p.213
• Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм p.213
• Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля p.213
• Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим p.213
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 213 p.213
• Разрешим протокол esp и udp порты 500 4500 в конфигурации firewall для установления ipsec p.213
• По которым могут согласовываться узлы p.213
• Обмена ключами и режим ожидания входящего соединения ipsec by request после ввода всех параметров включим туннель командой enable p.213
• Ike указать локальную подсеть в качестве удаленной подсети указать пул адресов назначения задать режим перенаправления трафика в туннель по политике и использование второго фактора аутентификации xauth p.213
• Которым могут согласовываться узлы ключ аутентификации метод аутентификации xauth по ключу и режим аутентификации клиент p.214
• Конфигурирование r2 p.214
• Для настройки правил зон безопасности потребуется создать профиль порта протокола p.214
• Isakmp p.214
• Шифрования 3des алгоритм аутентификации sha1 данные параметры безопасности используются для защиты ike соединения p.214
• Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм p.214
• Создадим профиль доступа и заведем в нем пару логин и пароль p.214
• Создадим политику протокола ike в политике указывается список профилей протокола ike по p.214
• Создадим интерфейс loopback для терминации ip адреса полученного от ipsec vpn сервера p.214
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.214
• Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности p.214
• Терминации режим динамического установления удаленной подсети выбор профиля доступа для xauth и режим перенаправления трафика в туннель по политике p.215
• Создадим шлюз протокола ike в данном профиле указывается политика интерфейс p.215
• Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм p.215
• Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля p.215
• Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим p.215
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 215 p.215
• Разрешим протокол esp и udp порты 500 4500 в конфигурации firewall для установления ipsec p.215
• По которым могут согласовываться узлы p.215
• Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable p.215
• Шифрования 3des алгоритм аутентификации sha1 данные параметры безопасности используются для защиты ipsec туннеля p.215
• Состояние туннеля можно посмотреть командой p.216
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.216
• Настройка lt туннелей p.216
• Маршрутной информации и трафика между различными виртуальными маршрутизаторами vrf lite сконфигурированными на одном аппаратном маршрутизаторе lt туннель может p.216
• Конфигурацию туннеля можно посмотреть командой p.216
• Использоваться для организации взаимодействия между двумя или более vrf с применением ограничений firewall p.216
• В firewall необходимо разрешить протокол esp и isakmp udp порт 500 4500 p.216
• Алгоритм настройки p.216
• Lt англ logical tunnel логический туннель тип туннелей предназначенный для передачи p.216
• Решение p.217
• Пример настройки p.217
• Исходная конфигурация p.217
• Значение mtu принимает значения в диапазоне для esr 10 12v f 14vf 1280 600 для esr 20 21 1280 500 для esr 100 200 1000 1200 1500 1510 1700 1280 0000 значение по умолчанию 1500 p.217
• Задача организовать взаимодействие между хостами терминированными в двух vrf vrf_1 и p.217
• Активируем их p.217
• Указать размер mtu maximum transmition unit пакетов которые может пропускать данный bridge не обязательно возможно если в bridge включен только vlan mtu более 1500 будет активно только в случае применения команды system jumbo frames p.217
• Укажем для каждого lt туннеля lt туннель из vrf с которым необходимо установить связь и p.217
• Создадим lt туннели для каждого vrf с указанием ip адресов из одной подсети p.217
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 217 p.217
• Если в vrf не работает ни один из протоколов динамической маршрутизации то необходимо указать статические маршруты для каждого vrf p.218
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.218
• Протоколу p.218
• Позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в обычной незащищенной сети pptp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет pptp может также использоваться для организации туннеля между двумя локальными сетями рртр использует дополнительное tcp соединение для обслуживания туннеля p.218
• Настройка удаленного доступа к корпоративной сети по pptp p.218
• Алгоритм настройки p.218
• Pptp англ point to point tunneling protocol туннельный протокол типа точка точка p.218
• Пул ip адресов для выдачи 10 0 0 10 0 0 5 p.219
• Пример настройки pptp сервера p.219
• Настроить pptp сервер на маршрутизаторе p.219
• Задача p.219
• Адрес pptp сервера 120 1 p.219
• Шлюз внутри туннеля для подключающихся клиентов 10 0 0 p.219
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 219 p.219
• Учетные записи для подключения fedor ivan p.220
• Создадим профиль адресов содержащий адреса клиентов p.220
• Создадим профиль адресов содержащий адрес локального шлюза p.220
• Создадим профиль адресов содержащий адрес который должен слушать сервер p.220
• Создадим профиль адресов содержащий dns серверы p.220
• Создадим pptp сервер и привяжем вышеуказанные профили p.220
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.220
• Рисунок 86 схема сети p.220
• Решение p.220
• Выберем метод аутентификации пользователей pptp сервера p.220
• Dns серверы 8 8 p.220
• Включим pptp сервер p.221
• L2tp англ layer 2 tunneling protocol протокол туннелирования второго уровня p.221
• Ipsec протоколу p.221
• Укажем зону безопасности к которой будут относиться сессии пользователей p.221
• Туннельный протокол использующийся для поддержки виртуальных частных сетей l2tp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет l2tp может также использоваться для организации туннеля между двумя локальными сетями l2тр использует дополнительное udp соединение для обслуживания туннеля l2tp протокол не предоставляет средств шифрования данных и поэтому он обычно используется в связке с группой протоколов ipsec которая предоставляет безопасность на пакетном уровне p.221
• Счетчики сессий pptp сервера можно посмотреть командой p.221
• Состояние сессий pptp сервера можно посмотреть командой p.221
• Создадим pptp пользователей ivan и fedor для pptp сервера p.221
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 221 p.221
• После применения конфигурации маршрутизатор будет прослушивать 120 1 1723 p.221
• Помимо создания pptp сервера необходимо в firewall открыть tcp порт 1723 для обслуживания соединений и разрешить протокол gre 47 для туннельного трафика p.221
• Очистить счетчики сессий pptp сервера можно командой p.221
• Настройка удаленного доступа к корпоративной сети по l2tp over p.221
• Конфигурацию pptp сервера можно посмотреть командой p.221
• Завершить сессию пользователя fedor pptp сервера можно одной из следующих команд p.221
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.222
• Алгоритм настройки p.222
• Адрес radius сервера 192 68 p.223
• Адрес l2tp сервера 120 1 p.223
• Шлюз внутри туннеля 10 0 0 p.223
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 223 p.223
• Пример настройки p.223
• Настроить l2tp сервер на маршрутизаторе для подключения удаленных пользователей к лвс p.223
• Задача p.223
• Для ipsec используется метод аутентификации по ключу ключ password p.223
• Аутентификация пользователей проходит на radius сервере p.223
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.224
• Рисунок 87 схема сети p.224
• Решение p.224
• Предварительно нужно выполнить следующие действия p.224
• Настроить подключение к radius серверу p.224
• Настроить зоны для интерфейсов te1 0 1 и gi1 0 1 p.224
• Выберем метод аутентификации пользователей l2tp сервера p.224
• Выберем метод аутентификации первой фазы ike и зададим ключ аутентификации p.224
• Включим l2tp сервер p.224
• Указать ip адреса для интерфейсов te1 0 1 и te1 0 1 p.224
• Укажем зону безопасности к которой будут относиться сессии пользователей p.224
• Создадим профиль адресов содержащий адрес локального шлюза p.224
• Создадим профиль адресов содержащий dns серверы p.224
• Создадим l2tp сервер и привяжем к нему вышеуказанные профили p.224
• Настройка удаленного доступа к корпоративной сети по openvpn p.225
• Протоколу p.225
• После применения конфигурации маршрутизатор будет прослушивать ip адрес 120 1 и p.225
• Порт 1701 состояние сессий l2tp сервера можно посмотреть командой p.225
• Помимо создания l2tp сервера необходимо в firewall открыть udp порты 500 1701 4500 для обслуживания соединений и разрешить протоколы esp 50 и gre 47 для туннельного трафика p.225
• Очистить счетчики сессий l2tp сервера можно командой p.225
• Конфигурацию l2tp сервера можно посмотреть командой p.225
• Завершить сессию пользователя fedor l2tp сервера можно одной из следующих команд p.225
• Алгоритм настройки p.225
• Virtual private networks vpn организации удалённого доступа и решения ряда других задач связанных с безопасностью передачи данных базирующееся на ssl p.225
• Openvpn полнофункциональное средство для построения виртуальных частных сетей p.225
• Счетчики сессий l2tp сервера можно посмотреть командой p.225
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 225 p.225
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.226
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 227 p.227
• Пример настройки p.227
• Задача p.227
• Настройка клиента удаленного доступа по протоколу pppoe p.229
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.230
• С логином и паролем для интернет соединений кроме того ip адрес по другую сторону соединения назначается только когда pppoe соединение открыто позволяя динамическое переиспользование ip адресов p.230
• Алгоритм настройки p.230
• Настройка зоны безопасности p.231
• Настроить pppoe клиент на маршрутизаторе p.231
• Имя зоны безопасности задаётся строкой до 31 символа p.231
• Зайдем в режим конфигурирования pppoe клиента и отключим межсетевой экран p.231
• Задача p.231
• Учетные записи для подключения tester p.231
• Активировать конфигурируемый профиль p.231
• Укажем пользователя и пароль для подключения к pppoe серверу p.231
• Укажем интерфейс через который будет устанавливаться pppoe соединение p.231
• Счетчики сессий pppoe клиента можно посмотреть командой p.231
• Состояние pppoe туннеля можно посмотреть командой p.231
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 231 p.231
• Рисунок 89 схема сети p.231
• Решение p.231
• Пример настройки pppoe клиента p.231
• Предварительно настроить pppoe сервер с учетными записями p.231
• Подключение должно осуществляться с интерфейса gigabitethernet 1 0 7 p.231
• Пароли учетных записей password p.231
• Позволяющий устанавливать защищённое соединение за счёт создания специального туннеля в обычной незащищенной сети pptp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет pptp может также использоваться для организации туннеля между двумя локальными сетями рртр использует дополнительное tcp соединение для обслуживания туннеля p.232
• Настройка клиента удаленного доступа по протоколу pptp p.232
• Алгоритм настройки p.232
• Pptp англ point to point tunneling protocol туннельный протокол типа точка точка p.232
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.232
• Пример настройки удаленного подключения по pptp протоколу p.233
• Туннельный протокол использующийся для поддержки виртуальных частных сетей l2tp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет l2tp может также использоваться для организации туннеля между двумя локальными сетями l2тр использует дополнительное udp соединение для обслуживания туннеля l2tp протокол не предоставляет средств шифрования данных и поэтому он обычно используется в связке с группой протоколов ipsec которая предоставляет безопасность на пакетном уровне p.234
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.234
• Настройка клиента удаленного доступа по протоколу l2tp p.234
• Алгоритм настройки p.234
• L2tp англ layer 2 tunneling protocol протокол туннелирования второго уровня p.234
• Укажем удаленный шлюз p.235
• Создадим туннель l2tp p.235
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 235 p.235
• Рисунок 91 схема сети p.235
• Решение p.235
• Пример настройки удаленного подключения по l2tp протоколу p.235
• Настроить pptp туннель на маршрутизаторе p.235
• Задача p.235
• Адрес pptp сервера 20 0 p.235
• Учетная запись для подключения логин ivan пароль simplepass p.235
• Укажем учетную запись пользователя ivan для подключения к серверу p.235
• Укажем метод аутентификации ipsec p.236
• Укажем ключ безопасности для ipsec p.236
• Укажем зону безопасности p.236
• Счетчики входящих и отправленных пакетов можно посмотреть командой p.236
• Состояние туннеля можно посмотреть командой p.236
• Соединение ключевых ресурсов сети на основе наличия резервных линков p.236
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.236
• Настройка dual homing p.236
• Конфигурацию туннеля можно посмотреть командой p.236
• Включим туннель p.236
• Алгоритм настройки p.236
• Dual homing технология резервирования соединений позволяет организовать надежное p.236
• Пример настройки p.237
• Qos quality of service технология предоставления различным классам трафика различных p.238
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.238
• Приоритетов в обслуживании использование службы qos позволяет сетевым приложениям сосуществовать в одной сети не уменьшая при этом пропускную способность других приложений p.238
• Настройка qos p.238
• Базовый qos p.238
• Алгоритм настройки p.238
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 239 p.239
• Установим ограничение по скорости в 60мбит с для седьмой очереди p.241
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 241 p.241
• Расширенный qos p.241
• Просмотреть статистику по qos можно командой p.241
• Ограничения полосы пропускания p.241
• Включим qos на интерфейсе со стороны wan для правильной обработки очередей и p.241
• Алгоритм настройки p.241
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.242
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 243 p.243
• Задача классифицировать приходящий трафик по подсетям 10 1 24 10 2 24 p.244
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.244
• Рисунок 94 схема сети p.244
• Решение p.244
• Произвести маркировку по dscp 38 и 42 и произвести разграничение по подсетям 40 мбит с и 60 мбит с ограничить общую полосу до 250 мбит с остальной трафик обрабатывать через механизм sfq p.244
• Пример настройки p.244
• Создаём политику и определяем ограничение общей полосы пропускания p.245
• Создаем классы fl1 и fl2 указываем соответствующие списки доступа настраиваем p.245
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 245 p.245
• Осуществляем привязку класса к политике настраиваем ограничение полосы пропускания и p.245
• Настроим списки доступа для фильтрации по подсетям выходим в глобальный режим p.245
• Маркировку p.245
• Конфигурации p.245
• Для другого трафика настраиваем класс с режимом sfq p.245
• Выходим p.245
• Включаем qos на интерфейсах политику на входе интерфейса gi 1 0 19 для классификации и p.246
• Алгоритм настройки p.246
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.246
• Перенаправления трафика с одного порта маршрутизатора на другой порт этого же маршрутизатора локальное зеркалирование или на удаленное устройство удаленное зеркалирование p.246
• Настройка зеркалирования p.246
• На выходе gi1 0 20 для применения ограничений и режима sfq для класса по умолчанию p.246
• Зеркалирование трафика функция маршрутизатора предназначенная для p.246
• Для просмотра статистики используется команда p.246
• Пример настройки p.247
• Настройка netflow p.247
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.248
• Рисунок 96 схема сети p.248
• Пример настройки p.248
• Организовать учет трафика с интерфейса gi1 0 1 для передачи на сервер через интерфейс p.248
• Задача p.248
• Алгоритм настройки p.248
• Gi1 0 8 для обработки p.248
• Предварительно нужно выполнить следующие действия p.249
• Sflow стандарт для мониторинга компьютерных сетей беспроводных сетей и сетевых p.249
• Устройств предназначенный для учета и анализа трафика p.249
• Укажем ip адрес коллектора p.249
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 249 p.249
• Решение p.249
• Основной этап конфигурирования p.249
• Настройка sflow p.249
• Настройка netflow для учета трафика между зонами аналогична настройке sflow описание приведено в разделе 7 1 настройка sflow p.249
• Назначить ip адреса на портах p.249
• На интерфейсах gi1 0 1 gi1 0 8 отключить firewall командой ip firewall disable p.249
• Для просмотра статистики netflow используется команда p.249
• Включим сбор экспорта статистики netflow на сетевом интерфейсе gi1 0 1 p.249
• Алгоритм настройки p.249
• Активируем netflow на маршрутизаторе p.249
• Для сетей esr создадим две зоны безопасности p.250
• Включить отправку статистики на sflow сервер в режим конфигурирования интерфейса туннеля сетевого моста p.250
• Укажем ip адрес коллектора p.250
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.250
• Рисунок 97 схема сети p.250
• Решение p.250
• Пример настройки p.250
• Организовать учет трафика между зонами trusted и untrusted p.250
• Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности p.250
• Задача p.250
• Настройка sflow для учета трафика с интерфейса осуществляется аналогично 7 0 настройка netflow p.251
• Настройка lacp p.251
• Направления trusted untrusted p.251
• Каналов в один логический такое объединение позволяет увеличивать пропускную способность и надежность канала p.251
• Включим экспорт статистики по протоколу sflow для любого трафика в правиле rule1 для p.251
• Алгоритм настройки p.251
• Активируем sflow на маршрутизаторе p.251
• Lacp протокол для агрегирования каналов позволяет объединить несколько физических p.251
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 251 p.251
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.252
• Рисунок 98 схема сети p.252
• Решение p.252
• Пример настройки p.252
• Предварительно нужно выполнить следующие настройки p.252
• Основной этап конфигурирования p.252
• Настроить агрегированный канал между маршрутизатором esr и коммутатором p.252
• На интерфейсах gi1 0 1 gi1 0 2 отключить зону безопасности командой no security zone p.252
• Задача p.252
• Дальнейшая конфигурация port channel проводится как на обычном физическом интерфейсе p.252
• Включим физические интерфейсы gi1 0 1 gi1 0 2 в созданную группу агрегации каналов p.252
• Cоздадим интерфейс port channel 2 p.252
• Настройка vrrp p.253
• Алгоритм настройки p.253
• Vrrp virtual router redundancy protocol сетевой протокол предназначенный для p.253
• Увеличения доступности маршрутизаторов выполняющих роль шлюза по умолчанию это достигается путём объединения группы маршрутизаторов в один виртуальный маршрутизатор и назначения им общего ip адреса который и будет использоваться как шлюз по умолчанию для компьютеров в сети p.253
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 253 p.253
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.254
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 255 p.255
• Пример настройки 1 p.256
• Пример настройки 2 p.257
• Настройка vrrp tracking p.258
• Настроить vrrp согласно разделу 7 p.258
• Настроим vrrp для подсети 192 68 0 24 в созданном саб интерфейсе p.258
• Идентификатор отслеживаемого vrrp маршрутизатора принимает значения 1 55 p.258
• Задать правило слежения за состоянием vrrp процесса p.258
• Добавить в систему tracking объект и перейти в режим настройки параметров tracking объекта p.258
• Включить tracking объект p.258
• Шаг описание команда ключи p.258
• Включим vrrp p.258
• Укажем уникальный идентификатор vrrp p.258
• Алгоритм настройки p.258
• Укажем идентификатор vrrp группы p.258
• Vrrp tracking механизм позволяющий активировать статические маршруты в зависимости p.258
• Укажем ip адрес виртуального шлюза 192 68 0 p.258
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.258
• Произвести аналогичные настройки на r2 p.258
• Помимо создания туннеля необходимо в firewall разрешить протокол vrrp 112 помимо создания туннеля необходимо в firewall разрешить протокол vrrp 112 p.258
• От состояния vrrp p.258
• Номер tracking объекта принимает значения 1 0 p.258
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 259 p.259
• Протокола vrrp на основе аппаратных маршрутизаторов r1 и r2 так же между маршрутизаторами p.259
• Пример настройки p.259
• Задача p.259
• Для подсети 192 68 24 организован виртуальный шлюз 192 68 24 с использованием p.259
• R1 и r2 есть линк с вырожденной подсетью 192 68 30 подсеть 10 24 терминируется только на маршрутизаторе r2 пк имеет ip адрес 192 68 24 и шлюз по умолчанию 192 68 p.260
• 24 пойдет без дополнительных настроек когда маршрутизатор r1 находится в состоянии vrrp master необходим дополнительный маршрут для подсети 10 24 через интерфейс 192 68 p.260
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.260
• Рисунок 101 схема сети p.260
• Маршрутизатор r2 p.260
• Маршрутизатор r1 p.260
• Когда маршрутизатор r1 находится в состоянии vrrp backup трафик от пк в подсеть p.260
• Исходные конфигурации маршрутизаторов p.260
• Терминируется на нем и в момент когда r2 выступает в роли vrrp master пакеты будут переданы в соответствующий интерфейс на маршрутизаторе необходимо создать маршрут для пакетов с ip адресом назначения из сети 10 24 в момент когда r1 выступает в роли vrrp master p.261
• Создадим статический маршрут в подсеть 10 24 через 192 68 который будет p.261
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 261 p.261
• Решение p.261
• Работать в случае удовлетворения условия из tracking 1 p.261
• На маршрутизаторе r2 никаких изменений не требуется так как подсеть 10 24 p.261
• Для этого создадим tracking object с соответствующим условием p.261
• Информацию принадлежащую различным классам например маршруты одного клиента p.262
• Алгоритм настройки p.262
• Vrf virtual routing and forwarding технология которая позволяет изолировать маршрутную p.262
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.262
• Рисунок 102 схема сети p.262
• Настройка vrf lite p.262
• Создадим привязку интерфейсов назначим ip адреса укажем принадлежность к зоне p.263
• Создадим правило для пары зон и разрешим любой tcp udp трафик p.263
• Создадим зону безопасности p.263
• Создадим vrf p.263
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 263 p.263
• Решение p.263
• Пример настройки p.263
• Правила dnat snat das сервера или snmpv3 пользователя указать имя экземпляра vrf для которого будет использоваться при необходимости p.263
• Остальных сетей p.263
• Настроить lt туннель для передачи трафика в глобальный режим или другие vrf при необходимости p.263
• К маршрутизатору серии esr подключены 2 сети которые необходимо изолировать от p.263
• Задача p.263
• Алгоритм настройки p.264
• Шаг описание команда ключи p.264
• Технология multiwan позволяет организовать отказоустойчивое соединение с p.264
• Таблицу маршрутов vrf можно просмотреть с помощью команды p.264
• Создать правило wan и перейти в режим настройки параметров правила p.264
• Сконфигурировать интерфейсы по которым будет работать multiwan установить ip адреса и указать security zone p.264
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.264
• Резервированием линков от нескольких провайдеров а также решает проблему балансировки трафика между резервными линками p.264
• Прописать статические маршруты через wan если необходимо p.264
• Описать правила не обязательно p.264
• Описание правила wan задаётся строкой до 255 символов p.264
• Настройка multiwan p.264
• Информацию об интерфейсах привязанных к vrf можно посмотреть командой p.264
• Имя туннеля weight вес туннеля или интерфейса определяется в диапазоне 1 55 если установить значение 2 то по данному интерфейсу будет передаваться в 2 раза больше трафика чем по интерфейсу со значением по умолчанию в режиме резервирования активным будет маршрут с наибольшим весом значение по умолчанию 1 p.264
• Идентификатор создаваемого правила принимает значения 1 0 p.264
• Идентификатор создаваемого правила из п metric метрика маршрута принимает значения 0 55 p.264
• Задать интерфейсы или туннели которые являются шлюзами в маршруте создаваемом службой multiwan p.264
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 265 p.265
• Указать ip адреса для интерфейсов te1 0 1 и te1 0 2 p.266
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.266
• Рисунок 103 схема сети p.266
• Решение p.266
• Пример настройки p.266
• Предварительно нужно выполнить следующие действия p.266
• Настроить маршрут к серверу 108 6 28 с возможностью балансировки нагрузки p.266
• Настроить зоны для интерфейсов te1 0 1 и te1 0 2 p.266
• Задача p.266
• В режиме конфигурирования интерфейса te1 0 1 включаем wan режим и выходим p.267
• Зададим адрес для проверки включим проверку указанного адреса и выйдем p.267
• Включим созданное правило балансировки и выйдем из режима конфигурирования правила p.267
• В режиме конфигурирования интерфейса te1 0 2 указываем список целей для проверки p.267
• В режиме конфигурирования интерфейса te1 0 2 указываем nexthop p.267
• В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки p.267
• Укажем участвующие интерфейсы p.267
• Создадим цель проверки целостности p.267
• Создадим список для проверки целостности соединения p.267
• Создадим правило wan p.267
• Соединения p.267
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 267 p.267
• Основной этап конфигурирования p.267
• Настроим маршрутизацию p.267
• Настроим интерфейсы в режиме конфигурирования интерфейса te1 0 1 указываем nexthop p.267
• Настройка snmp p.268
• Направляться в активный интерфейс с наибольшим весом включить данный режим можно следующей командой p.268
• Заходим в режим настройки правила wan p.268
• Для переключения в режим резервирования настроим следующее p.268
• В режиме конфигурирования интерфейса te1 0 2 включаем wan режим и выходим p.268
• Алгоритм настройки p.268
• Snmp англ simple network management protocol простой протокол сетевого управления p.268
• Функция multiwan также может работать в режиме резервирования в котором трафик будет p.268
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.268
• Протокол предназначенный для управления устройствами в ip сетях на основе архитектур tcp udp snmp предоставляет данные для управления в виде переменных описывающих конфигурацию управляемой системы p.268
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 269 p.269
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.270
• Пример настройки p.271
• Zabbix agent агент предназначенный для мониторинга устройства а также выполнения p.272
• Удаленных команд с zabbix сервера агент может работать в двух режимах пассивный и активный для работы в пассивном режиме по умолчанию необходимо разрешающее правило в firewall протокол tcp порт 10050 для активного режима протокол tcp порт 10051 p.272
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.272
• Определяем сервер приемник trap pdu сообщений p.272
• Настройка zabbix agent p.272
• Алгоритм настройки p.272
• Пример настройки zabbix server p.273
• Пример настройки zabbix agent p.273
• Syslog англ system log системный журнал стандарт отправки и регистрации сообщений о p.276
• Nslookup в vrf p.276
• Настройка syslog p.276
• Клиент esr получивший данную команду от сервера выполнит nslookup и вернет результат серверу p.276
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.276
• Происходящих в системе событиях используется в сетях работающих по протоколу ip p.276
• Пример выполнения команды iperf p.276
• Алгоритм настройки p.276
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 277 p.277
• Пример настройки syslog p.278
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.278
• Неудачная аутентификация пользователя p.278
• Настроить отправку сообщений для следующих системных событий p.278
• Задача p.278
• Внесены изменения в конфигурацию логирования системных событий p.278
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.280
• Настройка bras broadband remote access server p.280
• Алгоритм настройки p.280
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 281 p.281
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.282
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 283 p.283
• Softwlc информацию по установке и настройке сервера softwlc можно найти по ссылкам ниже p.284
• Рисунок 107 схема сети p.284
• Решение p.284
• Пример настройки с softwlc p.284
• Предоставлять доступ до ресурсов сети интернет только для авторизованных пользователей p.284
• Переходить к конфигурированию устройства p.284
• Количества сессий bras не обязательно p.284
• Задача p.284
• За хранение учетных данных пользователей и параметров тарифных планов отвечает сервер p.284
• Для маршрутизатора необходимо наличие лицензии bras после ее активации можно p.284
• Http kcs eltex nsk ru articles 960 общая статья о softwlc p.284
• Http kcs eltex nsk ru articles 474 установка softwlc из репозиториев p.284
• 10000 для esr 1200 1000 0 1000 для esr 100 200 p.284
• Создадим три зоны безопасности на устройстве согласно схеме сети p.284
• Сконфигурируем параметры публичного порта и сразу пропишем шлюз по умолчанию p.284
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.284
• Укажем параметры доступа к das direct attached storage серверу p.285
• Создадим профиль aaa p.285
• Сконфигурируем порт для подключения wi fi точки доступа p.285
• Сконфигурируем порт в сторону сервера softwlc p.285
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 285 p.285
• Сервера softwlc номера портов для аутентификации и аккаунтинга в нашем примере это значения по умолчанию для softwlc p.285
• Подключать клиентов необходимо через сабинтерфейсы в бриджи причем от параметра location смотри конфигурацию bridge 2 зависит выбор тарифного плана p.285
• Модуль отвечающий за ааа операции основан на eltex radius и доступен по ip адресу p.285
• Зададим параметры для взаимодействия с этим модулем p.285
• До аутентификации весь трафик из зоны trusted блокируется в том числе dhcp и dns запросы p.286
• Далее создаем правила для редиректа на портал и пропуска трафика в интернет p.286
• Softwlc если используется адресация отличная от данного примера все остальное в url оставить без изменения p.286
• Softwlc в данном примере это ip адрес интерфейса gigabitethernet 1 0 24 p.286
• Списки фильтрации по url находятся на сервере softwlc меняется только ip адрес сервера p.286
• Сконфигурируем и включим bras в качестве nas ip указываем адрес интерфейса на стыке с p.286
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.286
• Необходимо настроить разрешающие правила для пропуска dhcp и dns запросов p.286
• Зададим web ресурсы доступные без авторизации p.286
• Разрешим доступ в интернет из зон trusted и dmz p.287
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 287 p.287
• Далее необходимо сконфигурировать правила перехода между зонами безопасности p.287
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.288
• Разрешим прохождение icmp к устройству для работы bras необходимо открыть порты для p.288
• Разрешим прохождение dhcp из trusted в dmz p.288
• Веб проксирования tcp 3129 3128 netport discovery port active api server port p.288
• Активируем dhcp relay p.289
• Для freeradius сервера нужно задать подсеть из которой могут приходить запросы и добавить список пользователей для этого в файл users в директории с файлами конфигурации freeradius сервера нужно добавить p.289
• Дано подсеть с клиентами 10 0 16 подсеть для работы с freeradius сервером 192 68 24 p.289
• Время на обновление статистики по сессии p.289
• Шаг 1 настройка radius сервера p.289
• Соответствует имени class map в настройках esr p.289
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 289 p.289
• Решение p.289
• Профиль сервиса p.289
• Профиль пользователя p.289
• Пример настройки без softwlc p.289
• Настроим snat в порт gigabitethernet 1 0 1 p.289
• Максимальное время жизни сессии p.289
• Максимальное время жизни сесиии при бездействии пользователя p.289
• Имя сервиса для сессии a сервис включен n сервис выключен p.289
• Имя пользователя p.289
• Задача настроить bras без поддержки softwlc p.289
• Возможность прохождения ip потоков enabled uplink enabled downlink enabled disabled p.290
• В файл clients conf нужно добавить подсеть в которой находится esr p.290
• В нашем случае настройка radius сервера будет выглядеть так в файл clients conf добавляем строки p.290
• Шаг 2 настройка esr p.290
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.290
• Нужно указать mac адрес клиента p.290
• Для настройки функционала bras необходимо наличие лицензии bras p.290
• Действие которое применяет esr к трафику permit deny redirect p.290
• Укажем параметры к das серверу p.291
• Создадим профиль aaa p.291
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 291 p.291
• Настройка параметров для взаимодействия с radius сервером p.291
• Далее создаем правила для редиректа на портал и пропуска трафика в интернет p.291
• Настройка действие фильтрации по url обязательно а именно необходимо настроить фильтрацию http proxy на bras для неавторизованных пользователей p.292
• Сконфигурируем и включим bras в качестве nas ip указываем адрес интерфейса на стыке с radius сервером в данном примере это ip адрес интерфейса gigabitethernet 1 0 2 p.292
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.292
• Порт в сторону клиента p.293
• Настройка snat в порт gigabitethernet 1 0 2 p.293
• На интерфейсах для которых требуется работа bras настроить для успешного запуска требуется как минимум один интерфейс p.293
• Сконфигурируем порт в сторону radius сервера p.293
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 293 p.293
• Вторжений программная система сетевой и компьютерной безопасности обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них p.294
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.294
• Работа системы основана на сигнатурном анализе трафика сигнатуры для систем ips ids p.294
• Принято называть правилами устройства esr позволяют скачивать актуальные правила с открытых источников в сети интернет или с корпоративного сервера так же с помощью cli можно создавать свои специфические правила p.294
• По умолчанию на устройствах esr установлен базовый набор правил от компании p.294
• Настройка ips ids p.294
• Изменения конфигурации вступят в действие после применения p.294
• Для просмотра информации и статистики по сессиям контроля пользователей можно воспользоваться командой p.294
• Алгоритм базовой настройки p.294
• Ips ids intrusion prevention system intrusion detection system система предотвращения p.294
• Emergingthreats предназначенный для тестирования и проверки работоспособности системы p.294
• Https rules emergingthreats net open suricata rules botcc rules p.295
• Https feodotracker abuse ch p.295
• Feodo tracker список управляющих серверов для троянской программы feodo feodo также известный как cridex или bugat используется злоумышленниками для кражи чувствительной информации в сфере электронного банкинга данные по кредитным картам логины пароли с компьютеров пользователей в настоящее время существует четыре версии троянской программы версии a b c и d главным образом отличающиеся инфраструктурой управляющих серверов p.295
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 295 p.295
• Рекомендуемые открытые источники обновления правил p.295
• Источников p.295
• Алгоритм настройки автообновления правил ips ids из внешних p.295
• Ssl blacklist содержит списки плохих ssl сертификатов т е сертификатов в отношении которых устнановлен факт их использования вредоносным по и ботнетами в списках содержатся sha1 отпечатки публичных ключей из ssl сертификатов p.295
• Https sslbl abuse ch p.295
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.300
• Решение p.300
• Разрешим работу ips ids на интерфейсе локальной сети bridge 1 p.300
• Пример настройки ips ids с автообновлением правил p.300
• Организовать защиту локальной сети с автообновлением правил из открытых источников 192 68 24 локальная сеть p.300
• Настроим параметры ips ids p.300
• Настроим на esr dns клиента для разрешения имен источников обновления правил ips ids p.300
• Настроим автообновление правил с сайтов emergingthreats net etnetera cz и abuse ch p.300
• Задача p.300
• Ips ids все доступные ресурсы p.300
• Устройство будет использоваться только как шлюз безопасности по этому отдадим сервису p.300
• Создадим профиль адресов локальной сети которую будем защищать p.300
• Создадим политику безопасности ips ids p.300
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 301 p.301
• Алгоритм настройки базовых пользовательских правил p.301
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.302
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 303 p.303
• Обнаружено tcp соединение p.303
• Обнаружена подозрительная строка p.303
• Обнаружен системный вызов p.303
• Было обнаружено подозрительное имя файла p.303
• Была обнаружена попытка входа с использованием подозрительного имени пользователя p.303
• Бнаружен исполняемый код p.303
• Rpc portmap decode декодирование запроса rpc p.303
• Клиент использовал необычный порт p.304
• Доступ к потенциально уязвимому веб приложению p.304
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.304
• Прочие атаки p.304
• Прочая активность p.304
• Попытка входа с помощью стандартного логина пароля p.304
• Отенциальное нарушение корпоративной конфиденциальности p.304
• Общее событие icmp inappropriate content обнаружено неприемлемое содержание p.304
• Обнаружение сетевого сканирования p.304
• Обнаружение нестандартного протокола или события p.304
• Обнаружение атаки отказа в обслуживании p.304
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 305 p.305
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.306
• Мы будем отбрасывать пакеты p.307
• Задача p.307
• Зададим направление трафика p.307
• В качестве адреса получателя укажем наш сервер p.307
• Атакующий может отправлять пакеты с любого адреса p.307
• Указать any p.307
• Укажем тип протокола для правила p.307
• Так как мы указали протокол icmp то в качестве порта отправителя и получателя требуется p.307
• Создадим правило для защиты от атаки p.307
• Создадим набор пользовательских правил p.307
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 307 p.307
• Решение p.307
• Пример настройки базовых пользовательских правил p.307
• Правило будет срабатывать на пакеты размером больше 1024байт p.307
• Настроим сообщение об атаке p.307
• Написать правило для защиты сервера с ip 192 68 0 от dos атаки icmp пакетами большого размера p.307
• Задать описание правила не обязательно p.308
• Задача p.308
• Шаг описание команда ключи p.308
• Задать описание набора пользовательских правил не обязательно p.308
• Указать действие данного правила p.308
• Задать имя и перейти в режим конфигурирования набора пользовательских правил p.308
• Текстовое сообщение в формате snort 2 x suricata 4 x задаётся строкой до 1024 символов при написании правил символ требуется заменить на символ p.308
• Алгоритм настройки расширенных пользовательских правил p.308
• Сообщение об атаке будет генерироваться не чаше одного раза в минуту p.308
• Создать расширенное правило и перейти в режим его конфигурирования p.308
• Создадим расширенное правило p.308
• Создадим набор пользовательских правил p.308
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.308
• Решение p.308
• Пример настройки расширенных пользовательских правил p.308
• Правило будет срабатывать если нагрузка на сервер будет превышать 3мб с при этом p.308
• Описание задаётся строкой до 255 символов p.308
• Номер правила принимает значения 1 4294967295 p.308
• Написать правило детектирующее атаку типа slowloris p.308
• Имя набора пользовательских правил задаётся строкой до 32 символов p.308
• Voip англ voice over ip набор протоколов которые позволяют передавать речевую p.309
• Создадим ещё одно расширенное правило работающее по схожему алгоритму чтобы p.309
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 309 p.309
• Процесс настройки sip профиля p.309
• Определить какое из правил будет эффективнее p.309
• Настройка voip p.309
• Информацию посредством ip сетей в рамках данного устройства voip используется для подключения аналоговых телефонных аппаратов к ip сети с возможностью совершения телефонных вызовов p.309
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.310
• Процесс настройки fxs fxo портов p.310
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 311 p.311
• Процесс настройки плана нумерации p.311
• Процесс настройки pbx сервера p.311
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.312
• Процесс создания транка регистрации p.312
• Пример настройки voip p.313
• Активация sip профиля p.314
• Указать другое направление для исходящих вызовов то необходимо проделать следующее p.314
• Активация proxy сервера и сервера регистрации p.314
• Создать план нумерации см раздел 7 2 p.314
• Следующим этапом является настройка абонентских портов p.314
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.314
• Настройка sip домена p.314
• На этом настройка плана нумерации для sip профиля закончена p.314
• На этом минимально необходимая настройка sip профиля закончена p.314
• На этом конфигурация sip proxy сервера и сервера регистрации закончена p.314
• Если необходимо использовать sip domain для регистрации p.314
• Если используется стандартный порт 5060 то его можно не указывать p.314
• Если в качестве sip proxy и сервера регистрации используется встроенный sip сервер необходимо произвести его настройку согласно документу настройка sip сервера на маршрутизаторах серии esr esr 12v esr 12vf esr 14vf p.314
• Далее созданный план маршрутизации необходимо присвоить sip профилю p.314
• Далее продолжается настройка sip профиля p.314
• В такой конфигурации все вызовы будут направлены sip proxy серверу если необходимо p.314
• Активация регистрации p.314
• Пример настройки плана нумерации p.315
• Настройка fxo порта p.318
• Указать номер абонента который будет получать вызовы с тфоп p.319
• Совершить вызов в тфоп нужно набрать номер вызываемого абонента с указанным префиксом телефонный номер fxo комплекта p.319
• Следующее правило которое означает что исходящие вызовы на номера имеющие префикс 9 маршрутизируются локально на fxo комплект p.319
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 319 p.319
• Разрешить передачу номера в тфоп p.319
• Проверка целостности подразумевает проверку целостности хранимых исполняемых файлов p.319
• Проверка целостности p.319
• Поступать все вызовы их тфоп допустим это будет абонент с номером 305 p.319
• Настройка логина и пароля для аутентификации p.319
• Назначить sip профиль fxo порту p.319
• На этом минимальная настройка исходящих вызовов на тфоп закончена для того чтобы p.319
• Запретить передачу префикса p.319
• Для того чтобы принимать вызовы с тфоп необходимо выбрать абонента на которого будут p.319
• Для работы исходящих вызовов необходимо в настройках плана нумерации указать p.319
• Активировать услугу hostline pstn to ip p.319
• Сервисные маршрутизаторы серии esr руководство по эксплуатации p.320
• Решение p.320
• Процесс настройки p.320
• Проверить целостность файловой системы p.320
• Пример конфигурации p.320
• Основной этап конфигурирования p.320
• Настройка архивации конфигурации маршрутизатора p.320
• На маршрутизаторах esr предусмотрена функция локального и или удаленного копирования конфигурации по таймеру или при применении конфигурации p.320
• Запускаем проверку целостности p.320
• Задача p.320
• Настроить локальное и удаленное резервное копирование конфигурации маршрутизатора 1 раз в сутки и при успешном изменении конфигурации удаленные копии необходимо отправлять на tftp сервер 172 6 52 7 в подпапку esr example максимальное количество локальных копий 30 p.321
• Задача p.321
• Задать режим локального и удаленного резервного копирования конфигурации p.321
• Задать интервал резервного копирования конфигурации в случае отсутствия изменений p.321
• Для успешной работы удаленной архивации конфигураций между маршрутизатором и сервером должна быть организована ip связность настроены разрешения на прохождение tftp трафика по сети и сохранения файлов на сервере p.321
• Включить режимы архивации конфигурации маршрутизатора по таймеру и при успешном изменении конфигурации p.321
• Сервисные маршрутизаторы серии esr руководство по эксплуатации 321 p.321
• Решение p.321
• Пример конфигурации p.321
• Перейти в режим конфигурирования резервного копирования конфигураций p.321
• Основной этап конфигурирования p.321
• Настроить путь для удаленного копирования конфигураций и максимальное количество локальных резервных копий p.321
• Часто задаваемые вопросы p.323