Eltex ESR-14VF [570/600] До аутентификации весь трафик из зоны trusted блокируется в том числе dhcp и dns запросы необходимо настроить разрешающие правила для пропуска dhcp и dns запросов

Mdi medium dependent interface прямой стандарт кабелей для подключения оконечных устройств mdix medium dependent interface with crossover перекрестный стандарт кабелей для подключения концентраторов и коммутаторов 15

В таблице 1 приведен список функций интерфейсов устройства 15

В таблице 2 приведены функции устройства при работе с mac адресами 15

Таблица 1 функции интерфейсов устройства 15

Таблица 2 функции работы с mac адресами 15

Функции 15

Функции интерфейсов 15

Функции при работе с mac адресами 15

Vlan на базе меток пакетов данных в соответствии с ieee 802 q vlan на базе портов устройства port based vlan на базе использования правил классификации данных policy based 16

В таблице 3 приведены функции и особенности второго уровня уровень 2 osi 16

В таблице 4 приведены функции третьего уровня уровень 3 osi 16

В текущей версии по данный функционал поддерживается только на маршрутизаторе esr 1000 16

Таблица 3 описание функций второго уровня уровень 2 osi 16

Таблица 4 описание функций третьего уровня layer 3 16

Функции второго уровня сетевой модели osi 16

Функции третьего уровня сетевой модели osi 16

Source nat snat выполняется замена адреса а также номера порта источника при прохождении пакета в одну сторону и обратной замене адреса назначения в ответном пакете destination nat dnat когда обращения извне транслируются маршрутизатором на компьютер пользователя в локальной сети имеющий внутренний адрес и потому недоступный извне сети непосредственно без nat 17

Gre инкапсуляция ip пакета ethernet кадра в другой ip пакет c добавлением gre general routing encapsulation заголовка ipv4 ipv4 туннель использующий инкапсуляцию исходных ip пакетов в ip пакеты с другими сетевыми параметрами l2tpv3 туннель для передачи l2 трафика с помощью ip пакетов ipsec туннель с шифрованием передаваемых данных l2tp pptp pppoe openvpn туннели использующиеся для организации удаленного доступа клиент сервер 18

Таблица 5 функции туннелирования трафика 18

Таблица 6 основные функции управления и конфигурирования 18

Функции туннелирования трафика 18

Функции управления и конфигурирования 18

В таблице 7 приведены функции сетевой защиты выполняемые устройством 19

Локальная для аутентификации используется локальная база данных пользователей хранящаяся на самом устройстве групповая база данных пользователей хранится на сервере аутентификации для взаимодействия с сервером используются протоколы radius и tacacs 19

Таблица 7 функции сетевой защиты 19

Функции сетевой защиты 19

Основные технические параметры маршрутизатора приведены в таблице 8 20

Основные технические характеристики 20

Таблица 8 основные технические характеристики 20

Дуплексный и полудуплексный режим для электрических портов дуплексный режим для оптических портов 24

Электрические интерфейсы 10 100 1000 мбит с оптические интерфейсы 1 10 40 гбит с 24

Электрические интерфейсы 10 100 1000 мбит с оптические интерфейсы 1 10 гбит с 25

Электрические интерфейсы 10 100 1000 мбит с оптические интерфейсы 1 гбит с 25

Один источник питания постоянного или переменного тока два источника питания постоянного или переменного тока с возможностью горячей замены 30

Конструктивное исполнение 33

Конструктивное исполнение esr 1700 33

В таблице 10 приведен перечень разъемов расположенных на задней панели маршрутизатора 34

Внешний вид задней панели устройств esr 1700 приведен на рисунке ниже 34

Задняя панель устройства esr 1700 34

При удержании кнопки менее 10 секунд происходит перезагрузка устройства при удержании кнопки более 10 секунд происходит перезагрузка устройства и сброс к заводским настройкам 34

Рисунок 2 задняя панель esr 1700 34

Конструктивное исполнение esr 3100 35

При удержании кнопки менее 10 секунд происходит перезагрузка устройства при удержании кнопки более 10 секунд происходит перезагрузка устройства и сброс к заводским настройкам 36

Таблица 11 описание разъемов индикаторов и органов управления передней панели esr 3100 36

В таблице 13 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на передней панели устройств esr 1511 38

Внешний вид передней панелей показан на рисунке 9 38

Конструктивное исполнение esr 1511 esr 1510 38

Передняя панель устройства esr 1511 38

Рисунок 9 передняя панель esr 1511 38

Таблица 13 описание разъемов индикаторов и органов управления передней панели esr 1511 38

В таблице 14 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на передней панели устройств esr 1500 39

Внешний вид передней панелей показан на рисунке 10 39

Передняя панель устройства esr 1500 39

При удержании кнопки менее 10 секунд происходит перезагрузка устройства при удержании кнопки более 10 секунд происходит перезагрузка устройства и сброс к заводским настройкам 39

Рисунок 10 передняя панель esr 1500 39

Таблица 14 описание разъемов индикаторов и органов управления передней панели esr 1500 39

При удержании кнопки менее 10 секунд происходит перезагрузка устройства при удержании кнопки более 10 секунд происходит перезагрузка устройства и сброс к заводским настройкам 40

В таблице 16 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на передней панели устройства esr 1200 42

Внешний вид передней панели показан на рисунке 14 42

Конструктивное исполнение esr 1200 esr 1000 42

Передняя панель устройства esr 1200 42

Рисунок 14 передняя панель esr 1200 42

Таблица 16 описание разъемов индикаторов и органов управления передней панели esr 1200 42

В таблице 17 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на передней панели устройства esr 1000 43

Внешний вид передней панели показан на рисунке 15 43

Передняя панель устройства esr 1000 43

При удержании кнопки менее 10 секунд происходит перезагрузка устройства при удержании кнопки более 10 секунд происходит перезагрузка устройства и сброс к заводским настройкам 43

Рисунок 15 передняя панель esr 1000 43

Таблица 17 описание разъемов индикаторов и органов управления передней панели esr 1000 43

В таблице 18 приведен перечень разъемов расположенных на задней панели маршрутизатора 44

Внешний вид задней панели устройства esr 1000 приведен на рисунке ниже 44

Задняя панель устройств esr 1200 1000 44

На рисунке показана комплектация маршрутизатора с одним источником питания переменного тока 44

При удержании кнопки менее 10 секунд происходит перезагрузка устройства при удержании кнопки более 10 секунд происходит перезагрузка устройства и сброс к заводским настройкам 44

Рисунок 16 задняя панель esr 1000 44

Конструктивное исполнение esr 200 esr 100 45

В таблице 19 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на передней панели устройств esr 200 esr 100 46

При удержании кнопки менее 10 секунд происходит перезагрузка устройства при удержании кнопки более 10 секунд происходит перезагрузка устройства и сброс к заводским настройкам 46

Рисунок 20 передняя панель esr 100 46

Таблица 19 описание разъемов индикаторов и органов управления передней панели esr 200 esr 100 46

В таблице 21 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на передней панели устройства esr 21 48

Внешний вид передней панели esr 21 показан на рисунке 24 48

Конструктивное исполнение esr 21 48

Передняя панель устройства esr 21 48

Рисунок 24 передняя панель esr 21 48

Таблица 21 описание разъемов индикаторов и органов управления передней панели esr 21 48

Устройство выполнено в металлическом корпусе с возможностью установки в 19 конструктив высота корпуса 1u 48

В таблице 23 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на передней панели устройства esr 20 50

Внешний вид передней панели показан на рисунке 28 50

Конструктивное исполнение esr 20 50

Перегреву компонентов устройства и вызвать нарушения в его работе рекомендации по установке устройства расположены в разделе установка и подключение 50

Передняя панель устройства esr 20 50

Рисунок 28 передняя панель esr 20 50

Таблица 23 описание разъемов индикаторов и органов управления передней панели esr 20 50

Устройство выполнено в металлическом корпусе с возможностью установки в 19 конструктив высота корпуса 1u 50

Боковые панели устройства esr 20 51

В таблице 24 приведен перечень разъемов расположенных на задней панели маршрутизатора 51

Внешний вид боковых панелей устройства esr 20 приведен на рисунках 30 и 31 51

Внешний вид задней панели устройства esr 20 показан на рисунке 29 51

Задняя панель устройства esr 20 51

Рисунок 29 задняя панель esr 20 51

Рисунок 30 левая панель esr 20 51

Рисунок 31 правая панель esr 20 51

Таблица 24 описание разъемов задней панели маршрутизатора 51

В таблице 25 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на передней панели устройств esr 12vf esr 14vf 52

Внешний вид передней панели показан на рисунке 32 52

Конструктивное исполнение esr 14vf esr 12vf 52

На боковых панелях устройства расположены вентиляционные решетки которые служат для отвода тепла не закрывайте вентиляционные отверстия посторонними предметами это может привести к перегреву компонентов устройства и вызвать нарушения в его работе рекомендации по установке устройства расположены в разделе установка и подключение 52

Передняя панель устройств esr 12vf esr 14vf 52

Рисунок 32 передняя панель esr 12vf esr 14vf 52

Таблица 25 описание разъемов индикаторов и органов управления передней панели esr 12vf esr 14vf 52

Устройство выполнено в металлическом корпусе с возможностью установки в 19 конструктив высота корпуса 1u 52

В таблице 26 приведен перечень разъемов расположенных на задней панели маршрутизатора 53

Внешний вид задней панели устройств esr 12vf esr 14vf показан на рисунке 33 53

Задняя панель устройств esr 14vf esr 12vf 53

Рисунок 33 задняя панель esr 12vf esr 14vf 53

Таблица 26 описание разъемов задней панели маршрутизатора 53

Конструктивное исполнение esr 12v 54

В таблице 28 приведен перечень разъемов расположенных на задней панели маршрутизатора 55

Внешний вид задней панели устройства esr 12v показан на рисунке 37 55

Задняя панель устройств esr 12v 55

Рисунок 37 задняя панель esr 12v 55

Таблица 27 описание разъемов индикаторов и органов управления передней панели esr 12v 55

Конструктивное исполнение esr 10 56

Боковые панели устройства esr 10 57

В таблице 29 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на задней панели устройства esr 10 57

В таблице 30 приведен перечень органов управления расположенных на правой панели маршрутизатора 57

Внешний вид боковой панели устройства esr 10 показан на рисунке 41 57

Рисунок 41 боковая панель esr 10 57

Таблица 29 описание разъемов индикаторов и органов управления передней панели esr 10 57

Световая индикация 59

В следующей таблице приведено описание состояний системных индикаторов устройства и их значений 60

Таблица 32 световая индикация состояния медных интерфейсов 60

Таблица 33 световая индикация состояния sfp sfp qsfp интерфейсов 60

Таблица 34 состояния системных индикаторов 60

Световая индикация esr 200 esr 100 61

Состояние медных интерфейсов gigabit ethernet и sfp интерфейсов отображается двумя светодиодными индикаторами link act зеленого цвета и speed янтарного цвета расположение индикаторов медных интерфейсов показано на рисунке 43 состояние sfp интерфейсов указано на рисунке 45 значения световой индикации описаны в таблице 35 61

В следующей таблице приведено описание состояний системных индикаторов устройства и их значений 62

Рисунок 45 расположение индикаторов оптических интерфейсов 62

Таблица 35 световая индикация состояния медных интерфейсов и sfp интерфейсов 62

Таблица 36 состояния системных индикаторов 62

Не поддерживается в текущей версии по 63

Рисунок 46 расположение индикаторов разъема sfp 63

Световая индикация esr 21 esr 20 63

Состояние медных интерфейсов gigabit ethernet отображается двумя светодиодными индикаторами link act зеленого цвета и speed янтарного цвета 63

Таблица 37 световая индикация состояния медных интерфейсов и sfp интерфейсов 63

В следующей таблице приведено описание состояний системных индикаторов устройства и их значений 64

Рисунок 47 расположение индикаторов разъема rj 45 64

Таблица 38 состояния системных индикаторов 64

В следующей таблице приведено описание состояний системных индикаторов устройства и их значений 65

Рисунок 48 расположение индикаторов разъема sfp только для esr 12vf esr 14vf 65

Рисунок 49 расположение индикаторов разъема rj 45 65

Световая индикация esr 12v f 65

Состояние медных интерфейсов gigabit ethernet отображается двумя светодиодными индикаторами link act зеленого цвета и speed янтарного цвета 65

Таблица 39 световая индикация состояния медных интерфейсов и sfp интерфейсов 65

Таблица 40 состояния системных индикаторов 65

Комплект поставки 66

Крепление кронштейнов 69

Установка и подключение 69

Установка устройства в стойку 69

Esr 1700 70

Установка модулей питания esr 1000 esr 1200 esr 1500 esr 1511 esr 3100 70

Установка модулей питания esr 1000 esr 1200 esr 1500 esr 1511 esr 3100 esr 1700 70

Подключение питающей сети 71

Установка и удаление sfp трансиверов 71

Установка трансивера 71

Удаление трансивера 72

Интерфейс командной строки cli 73

Интерфейсы управления 73

Порядковый номер порта 74

При работе маршрутизатора используются сетевые интерфейсы различного типа и назначения система именования позволяет однозначно адресовать интерфейсы по их функциональному назначению и местоположению в системе далее в таблице приведен перечень типов интерфейсов 74

Таблица 42 типы и порядок именования интерфейсов маршрутизатора 74

Типы и порядок именования интерфейсов маршрутизатора 74

Gigabitethernet 1 0 12 00 0 tengigabitethernet 1 0 2 5 2 fortygigabitethernet 1 0 2 08 07 port channel 1 4 75

Gigabitethernet 1 0 12 00 tengigabitethernet 1 0 2 23 fortygigabitethernet 1 0 2 024 port channel 1 75

Порядковый номер e1 потока 75

Loopback 4 bridge 60 service port 1 76

Порядковый номер порта 76

Gre туннель обозначение gre туннеля состоит из обозначения типа и порядкового номера туннеля 77

Ipv4 over ipv4 туннель 77

L2tpv3 туннель обозначение l2tpv3 туннеля состоит из обозначения типа и порядкового номера туннеля 77

Softgre туннель обозначение softgre туннеля состоит из обозначения типа порядкового номера туннеля и опционально vlan id виртуального интерфейса 77

Количество интерфейсов каждого типа зависит от модели маршрутизатора 2 текущая версия по не поддерживает стекирование устройств номер устройства в группе устройств unit может принимать только значение 1 3 некоторые команды поддерживают одновременную работу с группой интерфейсов для указания группы интерфейсов может быть использовано перечисление через запятую или указание диапазона идентификаторов через дефис примеры указания групп интерфейсов 77

Обозначение ipv4 over ipv4 туннеля состоит из обозначения типа и порядкового номера туннеля 77

При работе маршрутизатора используются сетевые туннели различного типа и назначения система именования позволяет однозначно адресовать туннели по их функциональному назначению далее в таблице приведен перечень типов туннелей 77

Пример обозначения gre 1 77

Пример обозначения ip4ip4 1 77

Пример обозначения l2tpv3 1 77

Примеры обозначения softgre 1 softgre 1 0 77

Таблица 43 типы и порядок именования туннелей маршрутизатора 77

Тип туннеля обозначение 77

Типы и порядок именования туннелей маршрутизатора 77

Количество туннелей каждого типа зависит от модели и по маршрутизатора 78

Заводская конфигурация маршрутизатора esr 79

Начальная настройка маршрутизатора 79

Описание заводской конфигурации 79

Подключение и конфигурирование маршрутизатора 80

Подключение к маршрутизатору 81

Применение изменения конфигурации 81

Базовая настройка маршрутизатора 82

Для создания разрешающего правила используются следующие команды 85

Пример команд для разрешения пользователям из зоны untrusted с ip адресами 132 6 132 6 0 подключаться к маршрутизатору с ip адресом 40 3 2 по протоколу ssh 85

Обновление программного обеспечения 86

Обновление программного обеспечения средствами системы 86

Для выбора образа используйте команду 87

Для примера обновим основное по через scp 87

Для того чтобы устройство работало под управлением новой версии программного обеспечения необходимо произвести переключение активного образа с помощью команды show bootvar следует выяснить номер образа содержащего обновленное по 87

После ввода команды маршрутизатор скопирует файл во внутреннюю память проверит целостность данных и сохранит его в энергонезависимую память устройства tftp 87

Для версии 1 и выше 88

Можно сохранить окружение командой saveenv для будущих обновлений 88

Обновление программного обеспечения из начального загрузчика 88

Программное обеспечение маршрутизатора можно обновить из начального загрузчика следующим образом 88

Укажите ip адрес tftp сервера 88

Укажите ip адрес маршрутизатора 88

Укажите имя файла программного обеспечения на tftp сервере 88

Вторичный загрузчик занимается инициализацией nand и маршрутизатора при обновлении новый файл вторичного загрузчика сохраняется на flash на месте старого 89

Для версии 1 и выше 89

Для просмотра текущей версии загрузочного файла работающего на устройстве введите команду version в cli u boot также версия отображается в процессе загрузки маршрутизатора 89

Запустите процедуру обновления программного обеспечения 89

Обновление вторичного загрузчика u boot 89

Установите загруженное программное обеспечение в качестве образа для запуска системы и перезагрузите роутер 89

Для версии 1 и выше 90

Можно сохранить окружение командой saveenv для будущих обновлений запустите процедуру обновления программного обеспечения 90

Процедура обновления по 90

Укажите ip адрес tftp сервера 90

Укажите ip адрес маршрутизатора 90

Укажите имя файла загрузчика на tftp сервере 90

Для версии 1 и выше 91

Перезагрузите маршрутизатор 91

Настройка системы логирования событий 92

Общие рекомендации 92

Рекомендации по безопасной настройке 92

Настройка политики использования паролей 93

Предупреждения 93

Пример настройки 93

Рекомендации 93

Настройка политики aaa 94

Пример настройки 94

Рекомендации 94

Предупреждения 95

Пример настройки 95

Рекомендации 95

Настройка удалённого управления 96

Рекомендации 96

Настройка механизмов защиты от сетевых атак 97

Пример настройки 97

Рекомендации 97

Пример настройки 98

Настройка vlan 99

Управление интерфейсами 99

Ethernet заголовка согласно стандарту 802 q по сути vlan изолирует широковещательный домен путем ограничения коммутации ethernet фреймов только с одинаковым vlan id в ethernet заголовке 100

Алгоритм настройки 100

Пример настройки 1 удаление vlan с интерфейса 102

Пример настройки 2 разрешение обработки vlan в тегированном режиме 102

Link layer discovery protocol lldp протокол канального уровня позволяющий сетевому оборудованию оповещать оборудование работающее в локальной сети о своём существовании и передавать ему свои характеристики а также получать от него аналогичные сведения 103

Задача 103

Настроить порты gi1 0 1 для передачи и приема пакетов в vlan 2 vlan 64 vlan 2000 в режиме trunk настроить порт gi1 0 2 в режиме access для vlan 2 на esr 100 esr 200 103

Настройка lldp 103

Пример настройки 3 разрешение обработки vlan в тегированном и не тегированном 103

Пример настройки 3 разрешение обработки vlan в тегированном и не тегированном режиме 103

Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1 103

Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1 2 103

Пропишем vlan 2 на порт gi1 0 2 103

Режиме 103

Решение 103

Создадим vlan 2 vlan 64 vlan 2000 на esr 100 esr 200 103

Алгоритм настройки 104

Включим прием и отправку lldpdu на интерфейсе gi 1 0 1 105

Задача 105

Конфигурирование r1 включим lldp глобально на маршрутизаторе 105

Конфигурирование r2 включим lldp глобально на маршрутизаторе 105

Общую информацию по lldp соседям можно посмотреть командой 105

Общую статистику по lldp можно посмотреть командой 105

Организовать обмен и обработку lldpdu между маршрутизаторами esr 1 и esr 2 105

Подробную информацию по соседу конкретного интерфейса можно посмотреть командой 105

Пример настройки 105

Решение 105

Lldp med расширение стандарта lldp которое позволяет передавать сетевые политики vlan id dscp priority 106

Voice voice signaling guest voice guest voice signaling softphone voice video conferencing streaming video video signaling 106

Алгоритм настройки 106

Настройка lldp med 106

Пример настройки voice vlan 107

Настройка терминации на саб интерфейсе 108

Алгоритм настройки 109

Пример настройки саб интерфейса 111

Q in q технология передачи пакетов с двумя 802 q тегами данная технология используется для расширения количества используемых vlan в сети передачи данных внутренним тегом innertag называется 802 q заголовок ближе к payload так же внутренний тег называют c vlan customer vlan внешний тег outertag это 802 q заголовок добавленный к изначальному 802 q пакетом так же называется s vlan service vlan использование двойных меток в ethernet фреймах описывается протоколом 802 ad 112

Алгоритм настройки 112

Настройка терминации на q in q интерфейсе 112

Qos в базовом или расширенном режимах см раздел управление qos proxy см раздел проксирование http https трафика мониторинг траффика см разделы настройка netflow и настройка sflow функционал протоколов маршрутизации см раздел управление маршрутизацией протокол vrrf см раздел управление резервированием функционал bras см раздел управление bras broadband remote access server функционал ids ips см раздел настройка ips ids 114

Задача 114

Настроить терминацию подсети 192 68 24 комбинации c vlan 741 s vlan 828 на физическом интерфейсе gigabitethernet 1 0 1 114

Пример настройки q in q интерфейса 114

Алгоритм настройки usb модемов 115

Использование usb модемов позволяет организовать дополнительный канал связи для работы маршрутизатора при подключении usb модемов возможно использовать usb концентраторы одновременно в системе может быть сконфигурировано до 10 ти usb модемов 115

Настройка usb модемов 115

Помимо назначения ip адреса на q in q саб интерфейсе необходимо либо отключить firewall либо настроить соответствующую зону безопасности 115

Решение 115

Создадим q in q интерфейс для s vlan 741 и настроим ip адрес из необходимой подсети 115

Создадим саб интерфейс для s vlan 828 115

Ipv4 семейство ipv4 ipv6 семейство ipv6 116

Пример настройки 118

Алгоритм настройки 119

Настройка ppp через e1 119

Ami чередующейся полярностью импульсов hdb3 по умолчанию двухполярный код высокой плотности порядка 3 120

Crc 4 использовать алгоритм crc 4 no crc4 по умолчанию не использовать проверку 120

По умолчанию fcs16 32 fcs32 120

Включим interface e1 1 3 1 122

Время в секундах 122

Задается интервал времени в секундах по истечении которого маршрутизатор отправляет keepalive сообщение не обязательно 122

Задается интервал по истечении которого маршрутизатор повторяет запрос на установление сессии не обязательно 122

Задача 122

Настроить ppp соединение со встречной стороной с ip адресом 10 7 24 через topgate sfp используя 1 8 канальные интервалы для передачи данных источник синхросигнала встречная сторона 122

Переключаем интерфейс в котором установлен topgate sfp gigabitethernet 1 0 3 в режим работы е 1 122

Пример конфигурации 122

Решение 122

Шаг описание команда ключи 122

Multilink ppp mlppp предоставляет собой агрегированный канал включающий в себя методы для распространения трафика через несколько физических каналов имея одно логическое соединение этот вариант позволяет расширить пропускную способность и обеспечивает балансировку нагрузки 123

Алгоритм настройки 123

Изменения конфигурации вступят в действие по следующим командам 123

Настройка mlppp 123

Задача 125

Настроить mlppp соединение с встречной стороной с ip адресом 10 7 24 через устройство mxe 125

Пример настройки 125

Bridge мост это способ соединения двух сегментов ethernet на канальном уровне без использования протоколов более высокого уровня таких как ip пакеты передаются на основе ethernet адресов а не ip адресов поскольку передача выполняется на канальном уровне уровень 2 модели osi трафик протоколов более высокого уровня прозрачно проходит через мост 126

Включим interface e1 1 0 1 interface e1 1 0 2 в группу агрегации mlppp 3 126

Настроим mlppp 3 126

Настройка bridge 126

Переключаем интерфейс gigabitethernet 1 0 10 в режим работы е 1 126

Решение 126

Алгоритм настройки 127

Для esr 10 12v f 14vf 1 0 для esr 20 21 100 200 1 50 для esr 1000 1200 1500 1511 1700 3100 1 00 127

Для esr 10 12v f 14vf 552 600 для esr 20 21 552 500 для esr 100 200 1000 1200 1500 1511 1700 552 0000 для esr 1500 1511 1700 3100 552 190 128

Пример настройки bridge для vlan и l2tpv3 туннеля 130

Пример настройки bridge для vlan 131

Назначим интерфейсам gi1 0 11 gi1 0 12 vlan 50 132

Назначим интерфейсу gi1 0 14 vlan 60 132

Посмотреть членство интерфейсов в мосте можно командой 132

Создадим bridge 50 привяжем vlan 50 укажем ip адрес 10 0 24 и членство в зоне lan1 132

Создадим bridge 60 привяжем vlan 60 укажем ip адрес 10 0 24 и членство в зоне lan2 132

Создадим правила в firewall разрешающие свободное прохождение трафика между зонами 132

Настройка dual homing 133

Пример настройки добавления удаления второго vlan тега 133

Алгоритм настройки 134

Задача 134

Организовать резервирование l2 соединений маршрутизатора esr для vlan 50 55 через устройства sw1 и sw2 134

Пример настройки 134

В текущей версии по функционал удаленного зеркалирования rspan поддерживается только на маршрутизаторах esr 1000 1200 1500 1511 1700 135

Зеркалирование трафика функция маршрутизатора предназначенная для перенаправления трафика с одного порта маршрутизатора на другой порт этого же маршрутизатора локальное зеркалирование или на удаленное устройство удаленное зеркалирование 135

Интерфейсы gigabitethernet 1 0 9 и gigabitethernet 1 0 10 добавим в vlan 50 55 в режиме general 135

Настройка зеркалирования span rspan 135

Необходимо отключить stp на интерфейсах gigabitethernet 1 0 9 и gigabitethernet 1 0 10 так как совместная работа данных протоколов невозможна 135

Основной этап конфигурирования 135

Предварительно нужно выполнить следующие действия 135

Просмотреть информацию о резервных интерфейсах можно командой 135

Решение 135

Сделаем интерфейс gigabitethernet 1 0 10 резервным для gigabitethernet 1 0 9 135

Создадим vlan 50 55 135

Network совмещенный режим передачи данных и зеркалирование по умолчанию monitor only только зеркалирование 136

Tx зеркалирование в указанный vlan только исходящего трафика rx зеркалирование в указанный vlan только входящего трафика 136

Tx зеркалирование только исходящего трафика rx зеркалирование только входящего трафика 136

Алгоритм настройки 136

Настройка lacp 137

Пример настройки 137

Алгоритм настройки 138

Auto добавить интерфейс в динамическую группу агрегации с поддержкой протокола lacp on добавить интерфейс в статическую группу агрегации 139

Пример настройки 140

Software программное управление потоком hardware аппаратное управление потоком disabled управление потоком отключено 141

Алгоритм настройки 141

Включим физические интерфейсы gi1 0 1 gi1 0 2 в созданную группу агрегации каналов 141

Дальнейшая конфигурация port channel проводится как на обычном физическом интерфейсе 141

Для моделей esr 21 141

Настройка aux 141

Настройка aux используется для указания параметров взаимодействия с внешними устройствами подключенными через последовательные интерфейсы к esr 141

1200 2400 4800 9600 19200 38400 57600 115200 142

Odd проверка на нечетность even проверка на четность none бит четности не выставляется 142

Задача 1 143

Модемы должны быть предварительно введены в режим автоматической установки соединения 143

Настроим параметры согласования 143

Настроить ip связность между двумя esr на serial порту используя модемы в режиме leased line автоматический режим модемов соединенных между собой телефонным кабелем 143

Примеры настроек 143

Проверена совместимость с модемами modem zyxel u 336e plus 143

Решение 143

Сконфигурировать первый esr 21 143

И укажем принадлежность интерфейсов к зоне безопасности 144

Настроим параметры согласования 144

Сконфигурировать второй esr 21 144

Сконфигурируем firewall для зон безопасности 144

Сконфигурируем необходимые rs 232 интерфейсы 144

Modem zyxel omni 56k mini modem acorp m56scd 145

В качестве эмуляции тфоп используется esr 12vf с нижеприведенной настройкой 145

Задача 2 145

И укажем принадлежность интерфейсов к зоне безопасности 145

Настроить ip связность между двумя esr на serial порту используя модемы в режиме dial up и телефонную сеть общего пользования тфоп 145

Проверена совместимость с модемами 145

Решение 145

Сконфигурировать первый esr 21 145

Включим дозвон по номеру 146

И укажем принадлежность интерфейсов к зоне безопасности 146

Настроим параметры согласования 146

Настроим параметры согласования с модемом 146

Сконфигурировать второй esr 21 146

Сконфигурируем firewall для зон безопасности 146

Сконфигурируем необходимые rs 232 интерфейсы 146

At n1 включение режима v 2bis на модеме atm0l0 отключение динамика модема 147

Включим использование строки инициализации модема 147

Для модема 1 включение протокола v 2bis отключение динамиков на обоих модемах 147

Задача 3 147

И укажем принадлежность интерфейсов к зоне безопасности 147

Использовать дополнительные параметры настройки модемов для задачи 2 147

Решение 147

Сконфигурируем firewall для зон безопасности 147

Сконфигурируем необходимые rs 232 интерфейсы 147

Создадим строку с дополнительными параметрами инициализации модема для первого esr 21 где 147

Db 25 pinout 148

Rj 45 pinout rolled over cable 148

Включим использование строки инициализации модема 148

Создадим строку с дополнительными параметрами инициализации модема для второго esr 21 148

Схемы распайки переходников 148

Алгоритм настройки 149

Настройка gre туннелей 149

Управление туннелированием 149

Ip инкапсуляция ip пакетов в gre ethernet инкапсуляция ethernet фреймов в gre 150

Для esr 10 12v f 14vf 1 0 для esr 20 21 100 200 1 50 для esr 1000 1200 1500 1511 1700 3100 1 00 151

Для esr 10 12v f 14vf 1280 600 для esr 20 21 1280 500 для esr 100 200 1000 1200 1500 1511 1700 3100 1280 0000 151

Qos в базовом или расширенном режимах см раздел управление qos proxy см раздел проксирование http https трафика мониторинг траффика см разделы настройка netflow и настройка sflow функционал протоколов маршрутизации см раздел управление маршрутизацией функционал bras см раздел управление bras broadband remote access server 153

В качестве локального шлюза для туннеля используется ip адрес 115 в качестве удаленного шлюза для туннеля используется ip адрес 114 0 ip адрес туннеля на локальной стороне 25 24 153

Задача 153

Организовать l3 vpn между офисами компании через ip сеть используя для туннелирования трафика протокол gre 153

Пример настройки ip gre туннеля 153

Настройка dmvpn 155

No registration не регистрироваться на nhrp сервере 156

Алгоритм настройки 156

Туннели spoke to spoke в дополнение к обычным spoke to hub туннелям это означает что филиалы смогут общаться друг с другом напрямую без необходимости прохождения трафика через hub 156

Чтобы установить такое соединение клиенты nhc по шифрованному ipsec туннелю отправляют соответствие своего внутреннего туннельного адреса и внешнего nbma адреса на nhrp сервер nhs когда клиент захочет соединиться с другим nhc он посылает на сервер запрос чтобы узнать его внешний адрес получив ответ от сервера клиент теперь самостоятельно может устанавливать соединение c удалённым филиалом 156

Dynamic отправлять на все пиры с которыми есть соединение nhs отправлять на все статические сконфигурированные сервера 157

Static статическое соединение применятся для связи с nhs dynamic динамически устанавливающееся соединение конфигурируется для связи между nhc 157

Пример настройки 1 158

Зададим ip адрес gre туннеля 159

Переведём gre туннель в mutipoint режим для возможности соединения с несколькими точками 159

Перейдём к настройке nhrp настроим отправку мультикастовых рассылок в динамически узнаваемые адреса 159

Произведём настройку ipsec для hub 159

Произведём настройку протокола динамической маршрутизации для hub в нашем примере это будет bgp 159

Установим значение ttl 159

Включим работу nhrp и сам туннель 160

Конфигурирование spoke проведём стандартную настройку dmvpn на туннеле 160

Привяжем ipsec к gre туннелю чтобы клиенты могли устанавливать шифрованное соединение 160

Указываем сколько времени будет храниться запись о клиенте на сервере 160

Зададим соответствие туннельному адресу реальный 161

Настроим мультикастовую рассылку на nhrp сервер 161

Произведём настройку bgp для spoke 161

Произведём настройку ipsec при создании шлюза протокола ike для nhs укажем конкретные адреса назначения a при создании шлюза ike для nhc адрес назначения будет any 161

Указываем туннельный адрес nhs 161

Включим работу nhrp и сам туннель 162

Привяжем ipsec к gre туннелю для возможности установления шифрованного соединения с сервером и с другими клиентами сети 162

Состояние nhrp записей можно посмотреть командой 162

Пример настройки 2 163

Конфигурирование hub предварительно настроим протокол ospf 164

Настроим gre туннель определим принадлежность к зоне безопасности настроим ospf на gre туннеле настроим nhrp и включим туннель и nhrp командой enable чтобы hub стал dr необходимо выставить максимальный приоритет 164

Настроим интерфейс и определим принадлежность к зоне безопасности 164

Произведём настройку ipsec для hub 164

Решение 164

Создадим статические маршруты для подсетей интерфейсов spoke 180 00 30 и 140 14 30 164

Конфигурирование spoke1 предварительно настроим протокол ospf с анонсированием подсети lan1 165

Привяжем ipsec к gre туннелю чтобы клиенты могли устанавливать шифрованное соединение 165

Настроим gre туннель определим принадлежность к зоне безопасности настроим ospf на gre туннеле настроим nhrp и включим туннель и nhrp командой enable чтобы hub стал dr необходимо выставить минимальный приоритет на spoke 166

Настроим интерфейс и определим принадлежность к зоне безопасности 166

Произведём настройку ipsec для hub 166

Создадим статические маршруты для подсетей интерфейсов spoke 180 00 30 и 140 14 30 166

Привяжем ipsec к gre туннелю для возможности установления шифрованного соединения с сервером и с другими клиентами сети 167

Алгоритм настройки 168

Настройка l2tpv3 туннелей 168

Ip инкапсуляция в ip пакет udp инкапсуляция в udp дейтаграммы 169

Для esr 10 12v f 14vf 1 0 для esr 20 21 100 200 1 50 для esr 1000 1200 1500 1511 1700 3100 1 00 169

Для esr 10 12v f 14vf 1 0 для esr 20 21 100 200 1 50 для esr 1000 1200 1500 1511 1700 3100 1 00 170

Для esr 10 12v f 14vf 1280 600 для esr 20 21 1280 500 для esr 100 200 1000 1200 1500 1511 1700 3100 1280 0000 170

Пример настройки l2tpv3 туннеля 171

Ipsec это набор протоколов которые обеспечивают защиту передаваемых с помощью ip протокола данных данный набор протоколов позволяет осуществлять подтверждение подлинности аутентификацию проверку целостности и шифрование ip пакетов а также включает в себя протоколы для защищённого обмена ключами в сети интернет 173

Алгоритм настройки route based ipsec vpn 173

Конфигурацию туннеля можно посмотреть командой 173

Настройка ipsec vpn 173

Помимо создания туннеля необходимо в firewall разрешить входящий трафик по протоколу udp с портом отправителя 519 и портом назначения 519 173

Счетчики входящих и отправленных пакетов можно посмотреть командой 173

Pre shared key метод аутентификации использующий предварительно полученные ключи шифрования rsa public key метод аутентификации использующий rsa сертификат 174

Restart соединение переустанавливается clear соединение останавливается hold соединение поддерживается none механизм выключен никаких действий не предпринимается 175

By request соединение активируется встречной стороной route соединение активируется при появлении трафика маршрутизируемого в туннель immediate туннель активируется автоматически после применения конфигурации 178

Пересогласование ключей до истечения времени за 540 секунд пересогласование ключей до истечения объема трафика и количества пакетов отключено 179

Пример настройки route based ipsec vpn 180

Pre shared key метод аутентификации использующий предварительно полученные ключи шифрования rsa public key метод аутентификации использующий rsa сертификат 184

Алгоритм настройки policy based ipsec vpn 184

В firewall необходимо разрешить протокол esp и isakmp udp порт 500 184

Конфигурацию туннеля можно посмотреть командой 184

Policy based трафик перенаправляется на основе принадлежности к указанным в политиках подсетям route based трафик перенаправляется на основе маршрутов шлюзом у которых является туннельный интерфейс 185

Restart соединение переустанавливается clear соединение останавливается hold соединение поддерживается none механизм выключен никаких действий не предпринимается 185

By request соединение активируется встречной стороной route соединение активируется при появлении трафика маршрутизируемого в туннель immediate туннель активируется автоматически после применения конфигурации 189

R1 ip адрес 198 1 00 190

R2 ip адрес 203 13 190

Задача 190

Настроить ipsec туннель между r1 и r2 190

Пример настройки policy based ipsec vpn 190

Конфигурирование r2 настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности 192

Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ip sec туннеля режим обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 192

Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля по которым могут согласовываться узлы 192

Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 192

Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия протокола и режим перенаправления трафика в туннель 192

Remote access ipsec vpn сценарий организации временных vpn подключений в котором сервер ipsec vpn находится в режиме ожидания входящих подключений а клиенты осуществляют временные подключения к серверу для получения доступа к сетевым ресурсам 194

Алгоритм настройки remote access ipsec vpn 194

В firewall необходимо разрешить протокол esp и isakmp udp порт 500 194

Дополнительной особенностью ra ipsec vpn является возможность использования второго фактора аутентификации ipsec extended authentication xauth вторым фактором аутентификации является пара логин пароль для клиента ipsec vpn 194

Конфигурацию туннеля можно посмотреть командой 194

Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ip sec туннеля режим обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 194

Состояние туннеля можно посмотреть командой 194

Xauth psk key метод двухфакторной аутентификации использующий пару логин пароль и предварительно полученные ключи шифрования 195

Policy based трафик перенаправляется на основе принадлежности к указанным в политиках подсетям 196

Restart соединение переустанавливается clear соединение останавливается hold соединение поддерживается none механизм выключен никаких действий не предпринимается 196

Ah данный протокол осуществляет только аутентификацию трафика шифрование данных не выполняется esp данный протокол осуществляет аутентификацию и шифрование трафика 198

By request соединение активируется встречной стороной доступно для сервера route соединение активируется при появлении трафика маршрутизируемого в туннель доступно для сервера immediate туннель активируется автоматически после применения конфигурации доступно для клиента 200

Пример настройки remote access ipsec vpn 203

Создадим политику протокола ike в политике указывается список профилей протокола ike по которым могут согласовываться узлы ключ аутентификации и метод аутентификации xauth по ключу 204

Создадим профиль доступа и заведем в нем пару логин и пароль для клиента ipsec vpn 204

Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм шифрования 3 des алгоритм аутентификации sha1 данные параметры безопасности используются для защиты ike соединения 204

Создадим пул адресов назначения из которого будут выдаваться ip клиентам ipsec vpn 204

Создадим шлюз протокола ike в данном профиле необходимо указать политику протокола ike указать локальную подсеть в качестве удаленной подсети указать пул адресов назначения задать режим перенаправления трафика в туннель по политике и использование второго фактора аутентификации xauth 204

Lt англ logical tunnel логический туннель тип туннелей предназначенный для передачи маршрутной информации и трафика между различными виртуальными маршрутизаторами vrf lite сконфигурированными на одном аппаратном маршрутизаторе lt туннель может использоваться для организации взаимодействия между двумя или более vrf с применением ограничений firewall 208

Алгоритм настройки 208

Настройка lt туннелей 208

Для esr 10 12v f 14vf 1280 600 для esr 20 21 1280 500 для esr 100 200 1000 1200 1500 1511 1700 3100 1280 0000 209

Задача 209

Значение mtu принимает значения в диапазоне 209

Значение по умолчанию 1500 209

Исходная конфигурация 209

Организовать взаимодействие между хостами терминированными в двух vrf vrf_1 и vrf_2 209

Пример настройки 209

Указать размер mtu maximum transmition unit пакетов которые может пропускать данный bridge не обязательно возможно если в bridge включен только vlan mtu более 1500 будет активно только в случае применения команды system jumbo frames 209

Шаг описание команда ключи 209

Если в vrf не сконфигурирован ни один из протоколов динамической маршрутизации то необходимо указать статические маршруты для каждого vrf 210

Решение 210

Создадим lt туннели для каждого vrf с указанием ip адресов из одной подсети 210

Укажем для каждого lt туннеля lt туннель из vrf с которым необходимо установить связь и активируем их 210

Алгоритм настройки 211

Базовый qos 211

Управление qos 211

Cos 0 очередь 1 cos 1 очередь 2 cos 2 очередь 3 cos 3 очередь 4 cos 4 очередь 5 cos 5 очередь 6 cos 6 очередь 7 cos 7 очередь 8 212

Dscp 0 7 очередь 1 dscp 8 15 очередь 2 dscp 16 23 очередь 3 dscp 24 31 очередь 4 dscp 32 39 очередь 5 dscp 40 47 очередь 6 dscp 48 55 очередь 7 dscp 56 63 очередь 8 212

Все очереди участвуют в wrr wrr механизм обработки очередей на основе веса 8 все очереди обслуживаются как strictpriority strictprior ity приоритетная очередь обслуживается сразу как только появляются пакеты 213

Задача 214

Настроить следующие ограничения на интерфейсе gigabitethernet 1 0 8 передавать трафик с dscp 22 в восьмую приоритетную очередь трафик с dscp 14 в седьмую взвешенную очередь установить ограничение по скорости в 60 мбит с для седьмой очереди 214

Пример настройки 214

Включим qos на входящем интерфейсе для корректной классификации трафика и направления в соответствующую очередь со стороны lan 215

Включим qos на интерфейсе со стороны wan для правильной обработки очередей и ограничения полосы пропускания 215

Для того чтобы восьмая очередь осталась приоритетной а очереди с первой по седьмую стали взвешенными ограничим количество приоритетных очередей до 1 215

Перенаправим трафик с dscp 14 в седьмую взвешенную очередь 215

Перенаправим трафик с dscp 22 в первую приоритетную очередь 215

Просмотреть статистику по qos можно командой 215

Решение 215

Установим ограничение по скорости в 60 мбит с для седьмой очереди 215

Алгоритм настройки 216

В расширенном режиме на маршрутизаторах esr классификация поступающего трафика возможна как на входящем так и на исходящем интерфейсах 216

Расширенный qos 216

Fifo режим fifo first in first out gred режим gred generalized red red режим red random early detection sfq режим sfq очередь sfq распределяет передачу пакетов на базе потоков 218

Задача 220

Классифицировать приходящий трафик по подсетям 10 1 24 10 2 24 произвести маркировку по dscp 38 и 42 и произвести разграничение по подсетям 40 мбит с и 60 мбит с ограничить общую полосу до 250 мбит с остальной трафик обрабатывать через механизм sfq 220

Пример настройки 220

Настроим списки доступа для фильтрации по подсетям выходим в глобальный режим конфигурации 221

Осуществляем привязку класса к политике настраиваем ограничение полосы пропускания и выходим 221

Решение 221

Создаем классы fl1 и fl2 указываем соответствующие списки доступа настраиваем маркировку 221

Создаём политику и определяем ограничение общей полосы пропускания 221

Включаем qos на интерфейсах политику на входе интерфейса gi 1 0 19 для классификации и на выходе gi1 0 20 для применения ограничений и режима sfq для класса по умолчанию 222

Для другого трафика настраиваем класс с режимом sfq 222

Для просмотра статистики используется команда 222

Управление маршрутизацией 223

Политика анонсирования маршрутной информации 224

Протокол ospf 224

Протокол rip 224

Протокол is is 225

Протокол ebpg 226

Протокол ibpg 226

Алгоритм настройки 227

Конфигурирование статических маршрутов 227

Пример настройки статических маршрутов 228

Для интерфейса gi1 0 1 укажем адрес 10 8 и зону lan через данный интерфейс r2 будет подключен к сети 10 8 229

Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный интерфейс r1 будет подключен к устройству r2 для последующей маршрутизации трафика 229

Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный интерфейс r2 будет подключен к устройству r1 для последующей маршрутизации трафика 229

Для интерфейса gi1 0 3 укажем адрес 128 07 30 и зону wan через данный интерфейс r1 будет подключен к сети internet 229

Зададим имя устройства для маршрутизатора r2 229

Создадим маршрут для взаимодействия с сетью 10 8 используя в качестве шлюза устройство r2 192 68 00 229

Создадим маршрут для взаимодействия с сетью internet используя в качестве nexthop шлюз провайдера 128 07 229

Rip дистанционно векторный протокол динамической маршрутизации который использует количество транзитных участков в качестве метрики маршрута максимальное количество транзитных участков hop разрешенное в rip равно 15 каждый rip маршрутизатор по умолчанию вещает в сеть свою полную таблицу маршрутизации один раз в 30 секунд rip работает на 3 м уровне стека tcp ip используя udp порт 520 230

Алгоритм настройки 230

Настройка rip 230

Проверить таблицу маршрутов можно командой 230

Создадим маршрут по умолчанию указав в качестве nexthop ip адрес интерфейса gi1 0 2 маршрутизатора r1 192 68 00 230

Cleartext пароль передается открытым текстом md5 пароль хешируется по алгоритму md5 231

Eq при указании команды длина префикса должна соответствовать указанной le при указании команды длина префикса должна быть меньше либо соответствовать указанной ge при указании команды длина префикса должна быть больше либо соответствовать указанной default route фильтрация маршрута по умолчанию 231

In фильтрация входящих маршрутов out фильтрация анонсируемых маршрутов 233

Intra area анонсирование маршрутов ospf процесса в пределах зоны inter area анонсирование маршрутов ospf процесса между зонами external 1 анонсирование внешних маршрутов ospf формата 1 external 2 анонсирование внешних маршрутов ospf формата 2 234

Multicast маршруты анонсируются в многоадресном режиме broadcast маршруты анонсируются в широковещательном режиме unicast маршруты анонсируются в unicast режиме соседям 235

Задача 235

Настроить на маршрутизаторе протокол rip для обмена маршрутной информацией с соседними маршрутизаторами маршрутизатор должен анонсировать статические маршруты и подсети 115 24 14 24 10 24 анонсирование маршрутов должно происходить каждые 25 секунд 235

Пример настройки rip 235

Ospf протокол динамической маршрутизации основанный на технологии отслеживания состояния канала link state technology и использующий для нахождения кратчайшего пути алгоритма дейкстры 237

Алгоритм настройки 237

Для esr 1000 1200 1500 1511 1700 3100 1 00000 для esr 20 21 100 200 1 00000 для esr 10 12v f 14vf 1 0000 237

Для esr 1000 1200 1500 1511 1700 3100 500000 для esr 20 21 100 200 300000 для esr 10 12v f 14vf 30000 237

Настройка ospf 237

Eq при указании команды длина префикса должна соответствовать указанной le при указании команды длина префикса должна быть меньше либо соответствовать указанной ge при указании команды длина префикса должна быть больше либо соответствовать указанной 238

In фильтрация входящих маршрутов out фильтрация анонсируемых маршрутов 239

Advertise при указании команды вместо подсетей входящих в указанную подсеть будет анонсироваться суммарная подсеть not advertise подсети входящие в указанную подсеть анонсироваться не будут 242

Cleartext пароль передается открытым текстом доступно только для rip и ospf vlink md 5 пароль хешируется по алгоритму md5 243

Cleartext пароль передается открытым текстом md 5 пароль хешируется по алгоритму md5 244

Broadcast тип соединения широковещательный non broadcast тип соединения nbma point to multipoint тип соединения точка многоточие point to multipoint non broadcast тип соединения nbma точка многоточие point to point тип соединения точка точка 246

Пример настройки ospf 247

Включим ospf процесс 248

Включим анонсирование маршрутной информации из протокола rip 248

Задача 248

Изменим тип области на тупиковый на каждом маршрутизаторе из области 1 в режиме конфигурирования области выполним команду 248

Изменить тип области 1 область должна быть тупиковой тупиковый маршрутизатор должен анонсировать маршруты полученные по протоколу rip 248

Предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме приведенной на рисунке 248

Пример настройки ospf stub area 248

Решение 248

Соседние маршрутизаторы подключены к интерфейсам gi1 0 5 и gi1 0 15 для установления соседства с другими маршрутизаторами привяжем их к ospf процессу и области далее включим на интерфейсе маршрутизацию по протоколу ospf 248

Пример настройки virtual link 249

В firewall необходимо разрешить протокол ospf 89 250

Для просмотра соседей можно воспользоваться следующей командой 250

Настройка bgp 250

Протокол bgp предназначен для обмена информацией о достижимости подсетей между автономными системами далее ас то есть группами маршрутизаторов под единым техническим управлением использующими протокол внутридоменной маршрутизации для определения маршрутов внутри себя и протокол междоменной маршрутизации для определения маршрутов доставки пакетов в другие ас передаваемая информация включает в себя список ас к которым имеется доступ через данную систему выбор наилучших маршрутов осуществляется исходя из правил принятых в сети 250

Рассмотрим таблицу маршрутизации на маршрутизаторе r1 250

Рассмотрим таблицу маршрутизации на маршрутизаторе r3 250

Таблицу маршрутов протокола ospf можно просмотреть командой 250

Так как ospf считает виртуальный канал частью области в таблице маршрутизации r1 маршруты полученные от r3 отмечены как внутризоновые и наоборот 250

Алгоритм настройки 251

Для esr 1000 1200 1500 1511 1700 3100 1 000000 для esr 20 21 100 200 1 500000 для esr 10 12v f 14vf 1 000000 251

Для esr 1000 1200 1500 1511 1700 3100 5000000 для esr 20 21 100 200 2500000 для esr 10 12v 12vf 14vf 1000000 251

Для установлении bgp сессии необходимо в firewall разрешить tcp порт 179 251

Aaa bbb ccc ddd ee ip адрес подсети с маской в форме префикса где aaa ddd принимают значения 0 55 и ee принимает значения 1 2 253

X x x x x ee где каждая часть x принимает значения в шестнадцатеричном формате 0 ffff и ee принимает значения 1 28 253

Aaa bbb ccc ddd ee ip адрес подсети с маской в форме префикса где aaa ddd принимают значения 0 55 и ee принимает значения 1 2 255

X x x x x ee где каждая часть x принимает значения в шестнадцатеричном формате 0 ffff и ee принимает значения 1 28 255

Md5 пароль шифруется по алгоритму md5 257

Intra area анонсирование маршрутов ospf процесса в пределах зоны inter area анонсирование маршрутов ospf процесса между зонами external 1 анонсирование внешних маршрутов ospf формата 1 external 2 анонсирование внешних маршрутов ospf формата 2 258

Aaa bbb ccc ddd ee ip адрес подсети с маской в форме префикса где aaa ddd принимают значения 0 55 и ee принимает значения 1 2 x x x x x ee ipv6 адрес и маска подсети где каждая часть x принимает значения в шестнадцатеричном формате 0 ffff и ee принимает значения 1 28 259

Часто бывает особенно при конфигурировании ibgp что в одном bgp процессе необходимо настроить несколько bgp neighbor с одинаковыми параметрами во избежание избыточности конфигурации 262

Задача 263

Настроить bgp протокол на маршрутизаторе r3 со следующими параметрами 263

Пример настройки 263

Рекомендуется использовать bgp peer group в которой возможно описать общие параметры а в конфигурации bgp neighbor просто указать причастность к bgp peer group 263

Решение 263

Сконфигурируем необходимые сетевые интерфейсы 263

Собственные подсети 80 6 24 80 6 6 24 анонсирование подсетей подключенных напрямую собственная as 2500 первое соседство подсеть 219 30 собственный ip адрес 219 ip адрес соседа 219 as2500 второе соседство подсеть 185 30 собственный ip адрес 185 ip адрес соседа 185 as20 263

И укажем принадлежность интерфейсов к зоне безопасности 264

Сконфигурируем firewall для приема маршрутизатором bgp трафика из зоны безопасности wan 264

Сконфигурируем анонсирование подсетей подключенных напрямую 264

Создадим bgp процесс для as 2500 и войдем в режим конфигурирования параметров процесса 264

Создадим route map который будет использоваться в дальнейшем при настройке разрешающих анонсов роутерам из другой as 264

Создадим соседство с роутером r2 по ibgp 264

Политика выбора лучшего маршрута в протоколе bgp 265

Bfd bidirectional forwarding detection это протокол работающий поверх других протоколов позволяющий сократить время обнаружения проблемы до 50 мс bfd является двусторонним протоколом т е требует настройки обоих маршрутизаторов оба маршрутизатора генерируют bfd пакеты и отвечают друг другу 267

Алгоритм настройки 267

Настройка bfd 267

Миллисекунд на esr 10 12v f 14vf 20 21 100 200 200 миллисекунд на esr 1000 1200 1500 1511 1700 3100 268

Миллисекунд на esr 10 12v f 14vf 20 21 100 200 200 миллисекунд на esr 1000 1200 1500 1511 1700 3100 270

Esr config if gi ip bfd passive 271

Задача 271

Конфигурирование r1 предварительно необходимо настроить интерфейс gi1 0 1 271

Конфигурирование r2 предварительно необходимо настроить интерфейс gi1 0 1 271

Настроим ebgp с bfd 271

Необходимо настроить ebgp между esr r1 и r2 и включить bfd 271

Перевести bfd сессию в пассивный режим то есть bfd сообщения не будут отправляться до тех пор пока не будут получены сообщения от bfd соседа на интерфейсе не обязательно 271

Пример настройки bfd c bgp 271

Решение 271

Шаг описание команда ключи 271

Begin значение атрибута начинается с указанных номеров as end значение атрибута заканчивается указанными номерами as contain значение атрибута содержит указанный список номеров as 272

Permit прием или анонсирование маршрутной информации разрешено deny запрещено 272

Route map могут служить фильтрами позволяющими обрабатывать маршрутную информацию при приеме этой информации от соседа либо при ее передаче соседу обработка может включать в себя фильтрацию на основании различных признаков маршрута а также установку атрибутов med as path community localpreference и другое на соответствующие маршруты 272

Алгоритм настройки route map для bgp 272

Настроим ebgp с bfd 272

Настройка политики маршрутизации pbr 272

Также route map может назначать маршруты на основе списков доступа acl 272

Rt route target ro route origin 273

No advertise маршруты передаваемые с данным community не должны анонсироваться другим bgp соседям no export маршруты передаваемые с таким community не должны анонсироваться ebgp соседям но анонсируются внешним соседям в конфедерации 275

Rt route target ro route origin 275

Blackhole пакеты до данной подсети будут удаляться без отправки уведомлений отправителю unreachable пакеты до данной подсети будут удаляться отправитель получит в ответ icmp destination unreachable host unreachable code 1 prohibit пакеты до данной подсети будут удаляться устройством отправитель получит в ответ icmpdestinationunreachable communication administratively prohibited code 13 276

Egp маршрут выучен по протоколу egp igp маршрут получен внутри исходной as incomplete маршрут выучен другим образом 276

Пример настройки 1 route map для bgp 277

Пример настройки 2 route map для bgp 278

Permit прием или анонсирование маршрутной информации разрешено deny запрещено 279

Алгоритм настройки route map на основе списков доступа policy based routing 279

В bgp процессе as 2500 заходим в настройки параметров соседа 279

Привязываем политику к анонсируемой маршрутной информации 279

Задача 280

Имя сконфигурированной политики маршрутизации строка до 31 символа 280

Назначить политику маршрутизации на основе списков доступа acl 280

Предварительно нужно назначить ip адреса на интерфейсы 280

Пример настройки route map на основе списков доступа policy based routing 280

Распределить трафик между интернет провайдерами на основе подсетей пользователей 280

Решение 280

Создаем acl 280

Требуется направлять трафик с адресов 10 0 24 через isp1 184 5 50 а трафик с адресов 10 0 24 через isp2 80 6 3 требуется контролировать доступность адресов провайдеров работоспособность подключений к isp и при неработоспособности одного из подключений переводить с него на рабочее подключение весь трафик 280

Шаг описание команда ключи 280

Vrf virtual routing and forwarding технология которая позволяет изолировать маршрутную информацию принадлежащую различным классам например маршруты одного клиента 282

Алгоритм настройки 282

Настройка vrf lite 282

Ospf esr 1000 1200 1500 1511 1700 3100 1 00000 esr 20 21 100 200 1 00000 esr 10 12v f 14vf 1 0000 bgp esr 1000 1200 1500 1511 1700 3100 1 000000 esr 20 21 100 200 1 500000 esr 10 12v f 14vf 1 000000 283

Задача 284

К маршрутизатору серии esr подключены 2 сети которые необходимо изолировать от остальных сетей 284

Пример настройки 284

Решение 284

Создадим vrf 284

Создадим зону безопасности 284

Создадим правило для пары зон и разрешим любой tcp udp трафик 284

Metric метрика маршрута принимает значения 0 55 285

Алгоритм настройки 285

Идентификатор создаваемого правила из п 285

Идентификатор создаваемого правила принимает значения 1 0 285

Информацию об интерфейсах привязанных к vrf можно посмотреть командой 285

Настройка multiwan 285

Прописать статические маршруты через wan если необходимо 285

Сконфигурировать интерфейсы по которым будет работать multiwan установить ip адреса и указать security zone 285

Создадим привязку интерфейсов назначим ip адреса укажем принадлежность к зоне 285

Создать правило wan и перейти в режим настройки параметров правила 285

Таблицу маршрутов vrf можно просмотреть с помощью команды 285

Технология multiwan позволяет организовать отказоустойчивое соединение с резервированием линков от нескольких провайдеров а также решает проблему балансировки трафика между резервными линками 285

Шаг описание команда ключи 285

Задача 288

Настроим маршрутизацию 288

Настроить зоны для интерфейсов te1 0 1 и te1 0 2 указать ip адреса для интерфейсов te1 0 1 и te1 0 2 288

Настроить маршрут к серверу 108 6 28 с возможностью балансировки нагрузки 288

Основной этап конфигурирования 288

Предварительно нужно выполнить следующие действия 288

Пример настройки 288

Решение 288

В режиме конфигурирования интерфейса te1 0 1 включаем wan режим и выходим 289

В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки соединения 289

В режиме конфигурирования интерфейса te1 0 2 указываем nexthop 289

Включим созданное правило балансировки и выйдем из режима конфигурирования правила 289

Зададим адрес для проверки включим проверку указанного адреса и выйдем 289

Настроим интерфейсы в режиме конфигурирования интерфейса te1 0 1 указываем nexthop 289

Создадим правило wan 289

Создадим список для проверки целостности соединения 289

Создадим цель проверки целостности 289

Укажем участвующие интерфейсы 289

Алгоритм настройки 290

Настройка is is 290

Cleartext пароль передается открытым текстом md5 пароль хешируется по алгоритму md5 291

Level 1 работа производится только на 1 уровне level 1 2 работа производится и на 1 и на 2 уровне level 2 работа производится только на 2 уровне 292

Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне 292

Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне 293

Intra area анонсирование маршрутов ospf процесса в пределах зоны inter area анонсирование маршрутов ospf процесса между зонами external1 анонсирование внешних маршрутов ospf формата 1 external2 анонсирование внешних маршрутов ospf формата 2 294

Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне 294

Level 1 анонсирование маршрутов 1 уровня level 2 анонсирование маршрутов 1 уровня inter area анонсирование маршрутов is is процесса между зонами 295

Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне 295

Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне 296

Level 1 работа производится только на 1 уровне level 1 2 работа производится и на 1 и на 2 уровне level 2 работа производится только на 2 уровне 297

Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне 297

Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне 298

Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне 299

Cleartext пароль передается открытым текстом md5 пароль хешируется по алгоритму md5 300

Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне 300

Пример настройки 301

Зададим номер зоны такой же как на esr1 а также уникальный системный идентификатор 302

Зададим работу маршрутизатора с узкой метрикой на первом уровне и с широкой метрикой на втором и включим работу данного процесса is is 302

Настроим работу интерфейсов на маршрутизаторе на обоих интерфейсах настройка будет одинаковая 302

Перейдём к настройке маршрутизатора esr2 302

Перейдём к настройке маршрутизатора esr3 302

Установление соседства можно посмотреть командой show isis neighbors выполним её на esr2 302

Настройка протокола ldp 303

Управление технологией mpls 303

Алгоритм настройки 304

Пример настройки 305

Предварительная конфигурация esr 306

Предварительная конфигурация esr1 306

Вывод покажет параметры соседнего пира полученные из мультикастовых hello сообщений 307

На одном из пиров вести следующие команды 307

Настройка на esr 307

Настройка на esr1 307

Проверка 307

Hello interval 5 секунд 308

Hold timer 15 секунд 308

Hold timer является согласуемым параметром выбирается наименьший в данном примере показано что esr после согласования hold timer равен 10 секундам 308

Keepalive holdtime 180 секунд 308

Если после согласования hello interval стал больше чем hold timer то hello interval будет равным hold timer 3 308

Конфигурирование параметров сессии в протоколе ldp 308

Параметр ldp 308

По умолчанию в рассылаемых hello сообщениях установлены следующие значения 308

Сессия ldp должна находиться в статусе operational 308

Если параметры hello holdtime и hello interval не указаны то используются значения по умолчанию если параметры указаны то приоритет значений для address family будет выше чем для значений сконфигурированных глобально 309

На маршрутизаторах esr реализована возможность гибкой настройки параметров hello holdtime hello interval и keepalive holdtime рассмотрим пример настройки hello holdtime для ldp сессии 309

Параметры сконфигурированные в address family могут быть настроены на каждый отдельный интерфейс участвующий в процессе ldp 309

Алгоритм настройки параметров hello holdtime и hello interval в глобальной конфигурации 310

Алгоритм настройки параметров hello holdtime и hello interval в глобальной конфигурации ldp 310

Алгоритм настройки параметров hello holdtime и hello interval для address family 310

Для tcp сессии keepalive holdtime является также согласуемым параметром по аналогии с hold timer keepalive interval рассчитывается автоматически и равен keepalive holdtime 3 keepalive holdtime можно задать как глобально так и для каждого соседа таймер заданный для определенного соседа является более приоритетным 310

Алгоритм настройки параметра keepalive holdtime в глобальной конфигурации ldp 311

Алгоритм настройки параметра keepalive holdtime для определенного соседа 311

Задача 311

Переопределить параметры hello holdtime 40 секунд и hello interval 10 секунд для всего процесса ldp для соседа с адресом 1 установить keepalive holdtime равным 150 секунд 311

Пример настройки 311

Решение 311

Hello interval 5 секунд 312

Hold timer 45 секунд 312

Keepalive holdtime 180 секунд 312

Для просмотра hello параметров 312

Для просмотра параметров установленной tcp сессии 312

Конфигурирование параметров сессии в протоколе targeted ldp 312

Параметр targeted ldp 312

По умолчанию для targeted ldp сессии установлены следующие значения 312

Проверка 312

Hold timer является согласуемым параметром выбирается наименьший в данном примере показано что esr после согласования установил 30 секунд 313

Если после согласования hello interval стал больше чем hold timer то hello interval будет равным hold timer 3 313

На маршрутизаторах esr реализована возможность гибкой настройки параметров hello holdtime hello interval и keepalive holdtime параметры можно задать как для всего процесса ldp так и на соответствующего соседа 313

Пример вывода для targeted ldp сессии для определенного соседа 313

Пример вывода для процесса ldp 313

Алгоритм настройки параметров hello holdtime hello interval и keepalive holdtime для 314

Алгоритм настройки параметров hello holdtime hello interval и keepalive holdtime для процесса ldp 314

В режиме конфигурации протокола ldp задать hello holdtime 314

Время в секундах в интервале 3 5535 314

Если параметры установлены и для процесса ldp и на определенного соседа приоритетом будет считаться настройки установленные для соседа 314

Значение по умолчанию 45 314

Настроить протокол ldp см раздел конфигурирование протокола ldp 314

Процесса ldp 314

Алгоритм настройки параметров hello holdtime hello interval и keepalive holdtime для 315

Алгоритм настройки параметров hello holdtime hello interval и keepalive holdtime для определенного соседа 315

Задача 315

Определенного соседа 315

Переопределить параметры hello holdtime 120 секунд и hello interval 30 секунд для всего процесса targeted ldp для соседа с адресом 4 установить keepalive holdtime равным 150 секунд 315

Пример настройки 315

Решение 315

Алгоритм настройки 316

Для просмотра hello параметров targeted ldp сессии 316

Для просмотра параметров установленной tcp сессии 316

Имя конфигурируемого списка подсетей задаётся строкой до 31 символа 316

Настроить протокол ldp см раздел конфигурирование протокола ldp 316

Настройка фильтрации ldp меток 316

По умолчанию маршрутизаторы выделяют на каждый fec отдельную метку существуют сценарии когда необходимо выделять mpls метки только для определенных fec 316

Проверка 316

Шаг описание команда ключи 316

Пример настройки 317

Алгоритм настройки l2vpn vpws 318

Настройка сервиса l2vpn martini mode 318

Включить поддержку jumbo фреймов с помощью команды system jumbo frames для вступления изменений в силу требуется перезагрузка устройства настроить ip адреса на интерфейсах согласно схеме сети приведенной на рисунке выше организовать обмен маршрутами между pe1 и pe2 при помощи igp протокола ospf is is rip 320

Задача 320

Настроить l2vpn таким образом чтобы интерфейс ge1 0 2 00 маршрутизатора ce1 и интерфейс ge1 0 2 00 маршрутизатора ce2 работали в рамках одного широковещательного домена 320

Предварительно нужно 320

Пример настройки l2vpn vpws 320

Решение 320

Выставим на интерфейсе в сторону pe2 значение mtu равным 9600 для того чтобы избежать ситуации с превышением mtu после инкапсуляции mpls заголовка а также отключим межсетевой экран 321

На маршрутизаторе pe1 создадим саб интерфейс на который будем принимать трафик от ce1 321

Настроим протокол ldp и включим обнаружение соседей на интерфейсе в сторону pe2 321

Разрешим прием пакетов с mpls заголовком на интерфейсе в сторону mpls сети в данном примере интерфейс в сторону pe2 321

Создадим pw class на основе которого в дальнейшем будет создан виртуальный канал pw так как в данном примере на pw будут применяться параметры по умолчанию достаточно будет указать имя класса 321

Создадим новый l2vpn типа p2p и добавим pw до маршрутизатора pe3 идентификатор pw для удобства возьмем равным vid в данном случай 100 321

Применим конфигурацию 322

Проведем настройку маршрутизатора pe2 по аналогии с pe1 322

Убедимся в установлении соседства по протоколу ldp и выведем информацию по статусу виртуального канала pseudowire между pe1 и pe2 322

Алгоритм настройки l2vpn vpls 323

Соседство по протоколу ldp установлено pseudowire перешел в статус up настройка l2vpn типа p2p завершена 323

Задача 324

Настроить l2vpn таким образом чтобы маршрутизаторы ce1 ce2 ce3 имели l2 связность через интерфейсы gi1 0 2 00 и gi1 0 4 ce2 324

Пример настройки l2vpn vpls 324

Настроим протокол ldp и включим обнаружение соседей на интерфейсе в сторону pe2 326

Применим созданную конфигурацию 326

Разрешим прием пакетов с mpls заголовком на интерфейсе в сторону mpls сети в данном примере интерфейс в сторону pe2 326

Создадим pw class на основе которого в дальнейшем будет созданы виртуальные каналы pw так как в данном примере на pw будут применяться параметры по умолчанию достаточно будет указать имя класса 326

Создадим новый l2vpn типа vpls и добавим pw до маршрутизаторов pe2 и pe3 идентификатор pw для удобства возьмем равным vid в данном случае 100 326

Проведем настройку маршрутизатора pe2 и pe3 по аналогии с pe1 327

Соседство по протоколу ldp установлено pseudowire перешел в статус up настройка l2vpn завершена 328

Убедимся в установлении соседства по протоколу ldp и выведем информацию по статусу виртуального канала pseudowire между pe1 pe2 и pe3 328

Алгоритм настройки l2vpn vpls 329

В отличии от martini mode где вся работа ложится на ldp в данном режиме ldp отводится только работа с транспортными метками автообнаружение и построение псевдопроводного соединения возложено на протокол bgp 329

Настройка сервиса l2vpn kompella mode 329

Принимает значение 1 294967295 nn принимает значение 1 5535 329

Принимает значение 1 294967295 nn принимает значение 1 5535 330

Пример настройки l2vpn vpls 331

Первым делом настроим маршрутизатор rr 332

Настроим bgp route reflector для address family l2vpn 333

Переходим к настройке протокола bgp на pe маршрутизаторах 333

Предварительная конфигурация 333

Предварительная конфигурация 334

Настройка bgp на pe2 335

Настройка протокола bgp 335

Предварительная конфигурация 335

Проверим что bgp сессия успешно установлена с rr 335

Предварительная конфигурация 336

Убедимся что сессия с rr поднялась успешно 337

Настройка bgp на pe3 338

Предварительная конфигурация 338

Проверим что сессия bgp установлена успешно 339

Следующим этапом на каждом pe маршрутизаторе создадим бридж домен и включим в него интерфейс attachment circuit ac смотрящий в сторону ce 339

Проверим что интерфейс включен в бридж домен 340

Переходим в контекст настройки l2vpn и включим в него заранее созданный бридж домен 341

Следующим шагом выполним настройку vpls 341

Например у нас есть номер автономной системы as 65550 vpn id мы указали 10 тогда c генерируются следующие параметры rd 65550 10 rt import export 65550 10 342

После активации сервиса проверим что в таблице l2vpn появилась маршрутная информация и она анонсируется на rr 342

Укажем rd rt ve id vpn id согласно схеме сети и активируем сервис 342

В таблице l2vpn видны как и свои маршруты так и от pe1 343

Переходим к настройке pe2 343

Проверяем что pe2 анонсирует маршрутную информацию на rr 343

Проверим состояние сервиса 344

Просмотреть вычисленные сервисные метки можно следующим образом 344

Переходим к настройке pe3 345

Проверяем маршрутную информацию на pe3 345

Убедимся что pe3 анонсирует маршрутную информацию на rr 345

В текущей реализации протокола mp bgp поддержана передача только vpn ipv4 маршрутов afi 1 safi 128 346

Настройка l2vpn сервиса завершена 346

Настройка сервиса l3vpn 346

Проверим сетевую доступность клиентских устройств се 346

Проверим что псевдопровод построен до обеих pe и находится в статусе up 346

Сервис l3vpn позволяет объединить распределенные клиентские ip сети и обеспечить передачу трафика между ними с рамках единой vrf 346

Алгоритм настройки 347

Принимает значение 1 294967295 nn принимает значение 1 5535 347

Пример настройки 349

Настройка адресации и включение igp на p pe маршрутизаторах 350

Решение 350

Настройка ldp на p pe маршрутизаторах 354

Необходимо убедиться что протокол ospf запущен на каждом маршрутизаторе 354

Без указание атрибутов rd и rt маршрутная информация не попадет в таблицу vpnv4 357

Для проверки сходимости ldp можно воспользоваться одной из следующих команд 357

Настройка mp bgp 357

Создадим vrf на esr1 и esr3 соответственно укажем rd rt export import в соответствии с нашей схемой настроим интерфейс для взаимодействия с ce ce sitea и ce siteb дополнительно создадим route map для разрешения анонсирования маршрутов по протоколу bgp 357

Настроим ibgp между esr1 и esr3 включим отправку extended community на обоих устройствах 359

Настройка маршрутизации pe ce 360

Необходимо убедиться что bgp сессия успешно установлена 360

По умолчанию для ebgp анонсирование маршрутов запрещено необходимо настроить разрешающее правило для ibgp анонсирование маршрутов разрешено 360

Согласно нашей топологии customer1 анонсирует по bgp as65505 подсеть 10 00 24 необходимо настроить соответствующие интерфейсы ebgp между esr1 и ce_sitea также необходимо разрешить анонсирование маршрутов в сторону pe 360

Ce _sitea 361

Необходимая конфигурация на маршрутизаторе ce sitea 361

Переходим к настройке ebgp на маршрутизаторе esr1 361

При передаче маршрутов из vrf в таблицу vpnv4 только connected и или static сетей указывать команду enable не нужно включение необходимо только при наличии bgp пиров в vrf пример конфигурации передачи в vpnv4 таблицу connected и static сетей 362

Создадим ebgp сессию с ce_sitea и разрешим передачу маршрутов bgp пиру 362

Вывод анонсируемых маршрутов для определенного пира маршрутная информация отображается после применения фильтрации 363

Вывод принятой маршрутной информации от определенного пира маршрутная информация отображается после применения фильтрации 363

Для проверки принятых и анонсированных маршрутов можно воспользоваться следующими командами 363

Ce siteb 364

Ce siteb необходимо проделать схожие операции теперь уже между маршрутизаторами esr3 и ce_siteb 364

Произвести настройку соответствующих интерфейсов и создать ebgp сессию между esr3 и ce_siteb 364

Со стороны esr3 также настроить ebgp и разрешить передачу маршрутной информации из vrf в таблицу vpnv4 365

Балансировка трафика mpls 366

Пример настройки 367

Работа с бридж доменом в рамках mpls 367

Назначение mtu при работе с mpls 369

Ldp signaling настройка mtu для согласования 370

Bgp signaling настройка mtu для согласования 372

Для bgp signaling параметр mtu также можно указать 372

Если при согласовании значение mtu оказалось разным то c татус псевдо провода будет down reason mtu mismatch 372

По умолчанию бридж домен имеет mtu равным 1500 байт стоит отметить что bridge domain автоматически выбирает наименьшее значение mtu исходя из собственного mtu и mtu интерфейсов включенных в бридж домен 372

При настройке vpls bgp signaling можно отключить проверку mtu при создании псевдо проводов 372

Теперь при согласовании значение mtu будет игнорироваться 372

Pe1 имеет следующие значения mtu на интерфейсах 374

Рассмотрим пример прохождения трафика в l2vpn сервисе 374

С e1 посылает пакеты размером 1500 байт ce2 1800 байт соответственно так как mtu бридж домена меньше чем mtu пакета от ce2 то пакет от ce2 будет отброшен перед попаданием в бридж домен аналогичные действия будут если mtu интерфейса смотрящего в сторону mpls core gi1 0 1 меньше чем mtu приходящих от с e пакетов с учетом mpls заголовка 374

Настройка ааа 376

Управление безопасностью 376

Алгоритм настройки локальной аутентификации 377

Chain если сервер вернул fail перейти к следующему в цепочке методу аутентификации break если сервер вернул fail прекратить попытки аутентификации если сервер недоступен продолжить попытки аутентификации следующими в цепочке методами 378

Алгоритм настройки aaa по протоколу radius 381

Local аутентификация с помощью локальной базы пользователей tacacs аутентификация по списку tacacs серверов radius аутентификация по списку radius серверов ldap аутентификация по списку ldap серверов 383

Console локальная консоль ssh защищенная удаленная консоль 385

Алгоритм настройки aaa по протоколу tacacs 385

Chain если сервер вернул fail переход к следующему в цепочке методу аутентификации break если сервер вернул fail прекратить попытки аутентификации если сервер недоступен продолжить попытки аутентификации следующими в цепочке методами 387

Default имя списка по умолчанию 387

Enable аутентификация с помощью enable паролей tacacs аутентификация по протоколу tacacs radius аутентификация по протоколу radius ldap аутентификация по протоколу ldap 387

Tacacs учет сессий по протоколу tacacs radius учет сессий по протоколу radius 387

Console локальная консоль ssh защищенная удаленная консоль 388

Алгоритм настройки aaa по протоколу ldap 388

Onelevel выполнять поиск в объектах на следующем уровне после базового dn в дереве ldap сервера subtree выполнять поиск во всех объектах поддерева базового dn в дереве ldap сервера 389

Local аутентификация с помощью локальной базы пользователей tacacs аутентификация по списку tacacs серверов radius аутентификация по списку radius серверов ldap аутентификация по списку ldap серверов 391

Настройка привилегий команд 393

Пример настройки аутентификации по telnet через radius сервер 393

Алгоритм настройки 394

Настройка логирования и защиты от сетевых атак 394

Пример настройки привилегий команд 394

Destination unreachable echo request reserved source quench time exceeded 395

Описание механизмов защиты от атак 397

Ip firewall screen suspicious packets udp fragment 400

Ip firewall screen suspicious packets unknown protocols 400

Данная команда включает блокировку пакетов с id протокола в заголовке ip равном 137 и более 400

Данная команда включает блокировку фрагментированных udp пакетов 400

Задача 400

Команда описание 400

Необходимо защитить lan сеть и маршрутизатор esr от сетевых атак land syn flood icmp flood и настроить оповещение об атаках по snmp на snmp сервер 192 68 0 400

Предварительно необходимо настроить интерфейсы и firewall настройка firewall или ее отсутствие не повлияют на работу защиты от сетевых атак 400

Пример настройки логирования и защиты от сетевых атак 400

Решение 400

Firewall комплекс аппаратных или программных средств осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами 401

Алгоритм настройки 401

Конфигурирование firewall 401

Настроим snmp сервер на который будут отправляться трапы 401

Настроим защиту от land syn flood icmp flood атак 401

Настроим логирование обнаруженных атак 401

Посмотреть статистику по зафиксированным сетевым атакам можно командой 401

Более подробная информация о командах для настройки межсетевого экрана содержится в справочнике команд cli 409

Для каждой сети esr создадим свою зону безопасности 409

Задача 409

Каждая команда match может содержать ключ not при использовании данного ключа под правило будут подпадать пакеты не удовлетворяющие заданному критерию 409

Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 409

При использовании ключа not правило будет срабатывать для значений которые не входят в указанный профиль 409

Пример настройки firewall 409

Разрешить обмен сообщениями по протоколу icmp между устройствами r1 r2 и маршрутизатором esr 409

Решение 409

Для настройки правил зон безопасности потребуется создать профиль адресов сети lan включающий адреса которым разрешен выход в сеть wan и профиль адресов сети wan 410

Для пропуска трафика из зоны lan в зону wan создадим пару зон и добавим правило разрешающее проходить icmp трафику от r1 к r2 действие правил разрешается командой enable 410

Для пропуска трафика из зоны wan в зону lan создадим пару зон и добавим правило разрешающее проходить icmp трафику от r2 к r1 действие правил разрешается командой enable 410

Пример настройки фильтрации приложений dpi 411

Блокировать доступ к ресурсам youtube bittorrent и facebook 412

Для каждой сети esr создадим свою зону безопасности 412

Для настройки правил зон безопасности потребуется создать профиль приложений которые необходимо будет блокировать 412

Задача 412

Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 412

Переключаем режим работы межсетевого экрана esr в stateless 412

Решение 412

Настройка списков доступа acl 413

Permit прохождение трафика разрешается deny прохождение трафика запрещается 414

Алгоритм настройки 414

Задача 416

Настроим список доступа для фильтрации по подсетям 416

Применим список доступа на интерфейс gi1 0 19 для входящего трафика 416

Пример настройки списка доступа 416

Разрешить прохождения трафика только из подсети 192 68 0 24 416

Решение 416

Также списки доступа могут использоваться для организации политик qos 416

Ips ids intrusion prevention system intrusion detection system система предотвращения вторжений программная система сетевой и компьютерной безопасности обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них 417

Алгоритм базовой настройки 417

Настройка ips ids 417

По умолчанию на устройствах esr установлен базовый набор правил от компании emergingthreats предназначенный для тестирования и проверки работоспособности системы 417

Просмотреть детальную информацию о списке доступа возможно через команду 417

Работа системы основана на сигнатурном анализе трафика сигнатуры для систем ips ids принято называть правилами устройства esr позволяют скачивать актуальные правила с открытых источников в сети интернет или с корпоративного сервера также с помощью cli можно создавать свои специфические правила 417

Алгоритм настройки автообновления правил ips ids из внешних источников 418

Файл правил с расширение rule файл классификатора правил с именем classification config каталог на сервере содержащий файлы правил и или файл классификатора правил 418

Esr 1x 25 мб esr 2x 50 мб 419

Для всех остальных моделей 100 мб если настроить слишком много источников правил или загружать правила превышающие указанные лимиты то маршрутизатор будет выдавать сообщения об ошибке storage_ips_mgr i err there no free space in rules directory в этом случае стоит уменьшить объем запрашиваемых правил 419

Для правил ips ids загружаемых из внешних источников на маршрутизаторах esr выделена отдельная область энергозависимой памяти размер этой области зависит от модели esr 419

Рекомендуемые открытые источники обновления правил 419

68 24 локальная сеть 422

Задача 422

Организовать защиту локальной сети с авто обновлением правил из открытых источников 422

Пример настройки ips ids с авто обновлением правил 422

Решение 422

Создадим профиль адресов локальной сети которую будем защищать 422

Настроим авто обновление правил с сайтов emergingthreats net etnetera cz и abuse ch 423

Настроим на esr dns клиента для разрешения имен источников обновления правил ips ids 423

Настроим параметры ips ids 423

Разрешим работу ips ids на интерфейсе локальной сети bridge 1 423

Создадим политику безопасности ips ids 423

Устройство будет использоваться только как шлюз безопасности по этому отдадим сервису ips ids все доступные ресурсы 423

Alert прохождение трафика разрешается и сервис ips ids генерирует сообщение reject прохождение трафика запрещается если это tcp трафик отправителю и получателю посылается пакет tcp reset для остального типа трафика посылается пакет icmp error сервис ips ids генерирует сообщение pass прохождение трафика разрешается drop прохождение трафика запрещается и сервис ips ids генерирует сообщение 424

Алгоритм настройки базовых пользовательских правил 424

Protect устанавливает в качестве адресов отправителя и protect адреса определенные адреса в политике ips ids external устанавливает в качестве адресов отправителя и external адреса определенные адреса в политике ips ids 425

Protect устанавливает в качестве адресов получателя protect адреса определенные в политике ips ids external устанавливает в качестве адресов получателя external адреса определенные в политике ips ids 426

One way трафик передаётся в одну сторону round trip трафик передаётся в обе стороны 427

Greater than больше чем less than меньше чем 430

Inappropriate content обнаружено неприемлемое содержание policy violation потенциальное нарушение корпоративной конфиденциальности default login attempt попытка входа с помощью стандартного логина пароля 430

Greater than больше чем less than меньше чем 431

Greater than больше чем less than меньше чем 432

Both комбинация threshold и limit 433

By src считать пороговое значение для пакетов с одинаковым ip отправителя by dst считать пороговое значение для пакетов с одинаковым ip получателя 433

Пример настройки базовых пользовательских правил 434

Алгоритм настройки расширенных пользовательских правил 435

Зададим направление трафика 435

Правило будет срабатывать если нагрузка на сервер будет превышать 3 мб с при этом сообщение об атаке будет генерироваться не чаше одного раза в минуту 435

Правило будет срабатывать на пакеты размером больше 1024 байт 435

Активировать правило esr config ips category rule advanced enable 436

Задача 436

Написать правило детектирующее атаку типа slowloris 436

При написании правил символ требуется заменить на символ 436

Пример настройки расширенных пользовательских правил 436

Решение 436

Создадим ещё одно расширенное правило работающее по схожему алгоритму чтобы определить какое из правил будет эффективнее 436

Создадим набор пользовательских правил 436

Создадим расширенное правило 436

Текстовое сообщение в формате snort 2 x suricata 4 x задаётся строкой до 1024 символов 436

Указать действие данного правила 436

Шаг описание команда ключи 436

Алгоритм базовой настройки 437

Настройка взаимодействия с eltex distribution manager 437

Alert прохождение трафика разрешается и сервис ips ids генерирует сообщение 440

Drop прохождение трафика запрещается и сервис ips ids генерирует сообщение 440

Pass прохождение трафика разрешается 440

Reject прохождение трафика запрещается если это tcp трафик отправителю и получателю посылается пакет tcp reset для остального типа трафика посылается пакет icmp error сервис ips ids генерирует сообщение 440

Esr config ips enable 441

Активировать ips ids 441

Задать параметры content provider это адрес сервера eltex между сервером content provider и маршрутизатором должна быть сетевая доступность 441

Задать профиль ip адресов которые будет защищать ips ids 441

На интерфейсе включить ips 441

Настроить политику безопасности 441

После перезагрузки устройства можно начинать настраивать сервис ips 441

Пример настройки 441

Шаг описание команда ключи 441

Назначить сервису ips политику для работы и включить его 442

Алгоритм базовой настройки 443

Настройка сервиса контентной фильтрации 443

Protect устанавливает в качестве адресов отправителя protect адреса определенные в политике ips ids external устанавливает в качестве адресов отправителя external адреса определенные в политике ips ids 447

Protect устанавливает в качестве адресов получателя protect адреса определенные в политике ips ids external устанавливает в качестве адресов получателя external адреса определенные в политике ips ids 448

One way трафик передаётся в одну сторону round trip трафик передаётся в обе стороны 449

Задача 449

Запретить доступ к http сайтам относящимся к категориям adult content casino online betting online lotteries из локальной сети 192 68 24 449

На устройстве предварительно должны быть настроены интерфейсы и правила firewall 449

Пример настройки правил контентной фильтрации 449

Решение 449

Создадим профиль адресов локальной сети которую будем защищать 449

Настроим на esr dns клиента для разрешения имен источников обновления правил ips ids 450

Настроим параметры ips ids 450

Разрешим работу ips ids на интерфейсе локальной сети gigabitethernet 1 0 2 450

Создадим набор пользовательских правил 450

Создадим политику безопасности ips ids 450

Создадим правило 450

Создадим профиль контентной фильтрации для выбранных категорий 450

Устройство будет использоваться только как шлюз безопасности поэтому отдадим сервису ips ids все доступные ресурсы 450

Алгоритм базовой настройки 452

Настройка сервиса антиспам 452

Ca сертификат удостоверяющего центра server key приватный ключ сервера server crt публичный сертификат сервера dh ключ диффи хеллмана 454

Esr config mailserver smtp helo required 455

Esr config mailserver smtp vrfy enable 455

Включить обязательное требование smtp команды helo или ehlo при установлении smtp сессии необязательно 455

Включить почтовый сервер esr config mailserver enable 455

Задать максимальный размер письма в кб необязательно 455

Задача 455

Максимальный размер письма в кб принимает значения от 5120 до 51200 455

Настроим сетевые интерфейсы 455

Настроить на esr сервис антиспам для работы в качестве smtp proxy для анализа электронной почты адресованной почтовому серверу расположенному в сети предприятия и обслуживающему домен eltex co ru 455

Пример настройки 455

Разрешить smtp команду vrfy на почтовом сервере во время smtp сессии необязательно 455

Решение 455

Убедимся что mx запись для домена eltex co ru указывает на ip адрес esr 455

Шаг описание команда ключи 455

Vrrp англ virtual router redundancy protocol сетевой протокол предназначенный для увеличения доступности маршрутизаторов выполняющих роль шлюза по умолчанию это достигается путём объединения группы маршрутизаторов в один виртуальный маршрутизатор и назначения им общего ip адреса который и будет использоваться как шлюз по умолчанию для компьютеров в сети 457

Алгоритм настройки 457

Алгоритм настройки пример настройки 457

Алгоритм настройки пример настройки 1 пример настройки 2 457

Настройка firewall failover 457

Настройка tracking 457

Настройка vrrp 457

Управление резервированием 457

Cleartext пароль передается открытым текстом md 5 пароль хешируется по алгоритму md5 460

Задача 461

Настроим маршрутизатор r1 461

Организовать виртуальный шлюз для локальной сети в vlan 50 используя протокол vrrp в качестве локального виртуального шлюза используется ip адрес 192 68 461

Основной этап конфигурирования 461

Предварительно нужно выполнить следующие действия 461

Пример настройки 1 461

Решение 461

Создать соответствующий саб интерфейс настроить зону для саб интерфейса указать ip адрес для саб интерфейса 461

Пример настройки 2 462

Включим vrrp 463

Настроим vrrp для подсети 192 68 0 24 в созданном саб интерфейсе 463

Помимо создания туннеля необходимо в firewall разрешить протокол vrrp 112 463

Произвести аналогичные настройки на r2 463

Укажем ip адрес виртуального шлюза 192 68 463

Укажем ip адрес виртуального шлюза 192 68 0 463

Укажем идентификатор vrrp группы 463

Укажем уникальный идентификатор vrrp 463

State отслеживается состояние sla теста reachability отслеживается состояние канала связи которое предоставляет sla тест 464

Tracking механизм позволяющий активировать сущности в зависимости от состояния vrrp sla 464

Алгоритм настройки 464

Настройка tracking 464

And tracking объект будет находиться в активном состоянии если все отслеживаемые условия будут в активном состоянии or tracking объект будет находиться в активном состоянии если хотя бы одно отслеживаемое условие будет в активном состоянии 465

Resolve при указании данного параметра ip адрес шлюза будет рекурсивно вычислен через таблицу маршрутизации если при рекурсивном вычислении не удастся найти шлюз из напрямую подключенной подсети то данный маршрут не будет установлен в систему 466

Пример настройки 469

Исходные конфигурации маршрутизаторов 470

Маршрутизатор r1 470

Маршрутизатор r2 470

На маршрутизаторе r2 никаких изменений не требуется так как подсеть 10 24 терминируется на нем и в момент когда r2 выступает в роли vrrp master пакеты будут переданы в соответствующий 470

Решение 470

Firewall failover необходим для резервирования сессий firewall 471

Алгоритм настройки 471

Для этого создадим track object с соответствующим условием 471

Интерфейс на маршрутизаторе необходимо создать маршрут для пакетов с ip адресом назначения из сети 10 24 в момент когда r1 выступает в роли vrrp master 471

Настройка firewall failover 471

Создадим статический маршрут в подсеть 10 24 через 192 68 который будет работать в случае удовлетворения условия из track 1 471

Задача 472

Настроим маршрутизатор esr 1 master 472

Настроить резервирование сессий firewall для vrrp группы в unicast режиме необходимо организовать резервирование для двух подсетей с помощью протокола vrrp синхронизировать vrrp процессы на маршрутизаторах 472

Необходимо настроить firewall failover в режиме unicast с номером udp порта 3333 для vrrp группы 472

Необходимо настроить vrrp процессы на маршрутизаторах для master будем использовать vrrp priority 20 для backup будем использовать vrrp priority 10 472

Необходимо настроить зону безопасности для протокола vrrp и протокола udp 472

Основные этапы решения задачи 472

Пример настройки 472

Решение 472

На маршрутизаторе необходимо установить принадлежность vrrp процессов к одной группе для синхронизации состоянии vrrp процессов master backup а также для синхронизации сессий vrrp процессов с помощью firewall failover 473

Настроим firewall failover 473

Настроим vrrp процессы на интерфейсах необходимо настроить следующие параметры на интерфейсах маршрутизатора идентификатор vrrp ip адрес vrrp приоритет vrrp принадлежность vrrp маршрутизатора к группе 473

После чего необходимо включить vrrp процесс с помощью команды vrrp 473

Предварительно на интерфейсах настроим ip адрес и определим принадлежность к зоне безопасности 473

Также вместо настройки vrrp preempt delay есть возможность выбрать режим работы vrrp preempt disable в результате которого маршрутизатор с более высоким vrrp приоритетом не будет забирать мастерство у маршрутизатора с более низким vrrp приоритетом после возвращения в работу 473

Также дополнительно на master необходимо настроить vrrp preempt delay в результате чего появится время на установление синхронизации firewall перед тем как backup маршрутизатор передаст мастерство 473

Включим резервирования сессий firewall 474

Выберем ip адреса сетевого интерфейса с которого будут отправляться сообщения при работе firewall в режиме резервирования сессий 474

Выберем режим резервирование сессий unicast 474

Для настройки правил зон безопасности потребуется создать профиль для порта firewall failover 474

Дополнительно в security zone pair trusted self необходимо разрешить следующие протоколы 474

Настроим ip адреса соседа при работе резервирования сессий firewall в unicast режиме 474

Настроим номер udp порта службы резервирования сессий firewall 474

Настроим маршрутизатор esr 2 backup 475

Настройка интерфейсов 475

Посмотреть состояние резервирования сессий firewall есть возможность с помощью следующей команды 475

Посмотреть состояние систем резервирования устройства есть возможность с помощью следующей команды 475

Посмотреть статус vrrp процессов есть возможность с помощью следующей команды 475

Настройка firewall failover 476

Настройка зоны безопасности аналогична настройки на маршрутизаторе esr 1 master 476

Алгоритм настройки 477

Настройка сервера удаленного доступа к корпоративной сети по pptp протоколу 477

Управление удаленным доступом 477

Local аутентификация пользователя по локальной базе radius аутентификация пользователя по базе radius сервера на маршрутизаторе должен быть сконфигурирован механизм взаимодействия с radius сервером см раздел алгоритм настройки aaa по протоколу radius 479

Адрес pptp сервера 120 1 шлюз внутри туннеля для подключающихся клиентов 10 0 0 пул ip адресов для выдачи 10 0 0 10 0 0 5 dns серверы 8 8 учетные записи для подключения fedor ivan 480

Задача 480

Настроить pptp сервер на маршрутизаторе 480

Пример настройки 480

Выберем метод аутентификации пользователей pptp сервера 481

Решение 481

Создадим pptp пользователей ivan и fedor для pptp сервера 481

Создадим pptp сервер и привяжем вышеуказанные профили 481

Создадим профиль адресов содержащий адрес который должен слушать сервер 481

Создадим профиль адресов содержащий адрес локального шлюза 481

Создадим профиль адресов содержащий адреса клиентов 481

Укажем зону безопасности к которой будут относиться сессии пользователей 481

Алгоритм настройки 482

Настройка сервера удаленного доступа к корпоративной сети по l2tp over ipsec 482

Настройка сервера удаленного доступа к корпоративной сети по l2tp over ipsec протоколу 482

Протоколу 482

Local аутентификация пользователя по локальной базе radius аутентификация пользователя по базе radius сервера на маршрутизаторе должен быть сконфигурирован механизм взаимодействия с radius сервером см раздел алгоритм настройки aaa по протоколу radius 484

Адрес l2tp сервера 120 1 шлюз внутри туннеля 10 0 0 адрес radius сервера 192 68 486

Для ipsec используется метод аутентификации по ключу ключ password 486

Задача 486

Настроить l2tp сервер на маршрутизаторе для подключения удаленных пользователей к лвс аутентификация пользователей проходит на radius сервере 486

Настроить подключение к radius серверу настроить зоны для интерфейсов te1 0 1 и gi1 0 1 указать ip адреса для интерфейсов te1 0 1 и te1 0 1 486

Предварительно нужно выполнить следующие действия 486

Пример настройки 486

Решение 486

Включим l2tp сервер 487

Выберем метод аутентификации первой фазы ike и зададим ключ аутентификации 487

Выберем метод аутентификации пользователей l2tp сервера 487

После применения конфигурации маршрутизатор будет прослушивать ip адрес 120 1 и порт 1701 состояние сессий l2tp сервера можно посмотреть командой 487

Создадим l2tp сервер и привяжем к нему вышеуказанные профили 487

Создадим профиль адресов содержащий dns серверы 487

Создадим профиль адресов содержащий адрес локального шлюза 487

Счетчики сессий l2tp сервера можно посмотреть командой 487

Укажем зону безопасности к которой будут относиться сессии пользователей 487

Openvpn полнофункциональное средство для построения виртуальных частных сетей virtual private networks vpn организации удалённого доступа и решения ряда других задач связанных с безопасностью передачи данных базирующееся на ssl 488

Алгоритм настройки 488

Завершить сессию пользователя fedor l2tp сервера можно одной из следующих команд 488

Конфигурацию l2tp сервера можно посмотреть командой 488

Настройка сервера удаленного доступа к корпоративной сети по openvpn 488

Настройка сервера удаленного доступа к корпоративной сети по openvpn протоколу 488

Очистить счетчики сессий l2tp сервера можно командой 488

Помимо создания l2tp сервера необходимо в firewall открыть udp порты 500 1701 4500 для обслуживания соединений и разрешить протоколы esp 50 и gre 47 для туннельного трафика 488

Протоколу 488

Ip соединение точка точка ethernet подключение к l2 домену 489

Tcp инкапсуляция в tcp сегменты udp инкапсуляция в udp дейтаграммы 489

Ca сертификат удостоверяющего сервера crl список отозванных сертификатов dh ключ диффи хеллмана server crt публичный сертификат сервера server key приватный ключ сервера ta hmac ключ 490

128 bits key size md4 rsa md4 md5 rsa md5 mdc2 rsa mdc2 8 160 bits key size sha sha1 rsa sha rsa sha1 rsa sha1 2 dsa dsa sha dsa sha1 dsa sha1 old ripemd160 rsa ripemd160 ecdsa with sha1 8 224 bits key size sha 224 rsa sha 224 8 256 bits key size sha 256 rsa sha 256 8 384 bits key size sha 384 rsa sha 384 8 512 bits key size sha 512 rsa sha 512 whirlpool 492

Пример настройки 493

Pppoe это туннелирующий протокол tunneling protocol который позволяет инкапсулировать ip ppp через соединения ethernet и обладает программными возможностями ppp соединений что позволяет использовать его для виртуальных соединений на соседнюю ethernet машину и устанавливать соединение точка точка которое используется для транспортировки ip пакетов а также работает с возможностями ppp это позволяет применять традиционное ppp ориентированное по для настройки соединения которое использует не последовательный канал а пакетно ориентированную сеть например ethernet чтобы организовать классическое соединение с логином и паролем для интернет соединений кроме того ip адрес по другую сторону соединения назначается только когда pppoe соединение открыто позволяя динамическое переиспользование ip адресов 495

Алгоритм настройки 495

Настройка клиента удаленного доступа по протоколу pppoe 495

Для esr 10 12v f 14vf 1280 600 для esr 20 21 1280 500 для esr 100 200 1000 1200 1500 1511 1700 1280 0000 для esr 3100 1280 190 496

Пример настройки 497

Pptp англ point to point tunneling protocol туннельный протокол типа точка точка позволяющий устанавливать защищённое соединение за счёт создания специального туннеля в обычной незащищенной сети pptp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет pptp может также использоваться для организации туннеля между двумя локальными сетями рртр использует дополнительное tcp соединение для обслуживания туннеля 498

Алгоритм настройки 498

Настройка клиента удаленного доступа по протоколу pptp 498

Состояние pppoe туннеля можно посмотреть командой 498

Счетчики сессий pppoe клиента можно посмотреть командой 498

Укажем интерфейс через который будет устанавливаться pppoe соединение 498

Для esr 10 12v f 14vf 552 600 для esr 20 21 552 500 для esr 100 200 1000 1200 1500 1511 1700 552 0000 для esr 3100 552 190 499

Адрес pptp сервера 20 0 учетная запись для подключения логин ivan пароль simplepass 500

Задача 500

Настроить pptp туннель на маршрутизаторе 500

Пример настройки 500

Настройка клиента удаленного доступа по протоколу l2tp 501

Алгоритм настройки 502

Для esr 10 12v f 14vf 552 600 для esr 20 21 552 500 для esr 100 200 1000 1200 1500 1511 1700 552 0000 для esr 3100 552 190 503

Адрес pptp сервера 20 0 учетная запись для подключения логин ivan пароль simplepass 504

Задача 504

Настроить pptp туннель на маршрутизаторе 504

Пример настройки 504

Решение 504

Создадим туннель l2tp 504

Укажем учетную запись пользователя ivan для подключения к серверу 504

Включим туннель l2tp 505

Конфигурацию туннеля можно посмотреть командой 505

Состояние туннеля можно посмотреть командой 505

Счетчики входящих и отправленных пакетов можно посмотреть командой 505

Укажем зону безопасности 505

Укажем ключ безопасности для ipsec 505

Укажем метод аутентификации ipsec 505

Укажем удаленный шлюз 505

Алгоритм настройки 506

Настройка dhcp сервера 506

Управление сервисами 506

Hh hh hh hh hh hh h h идентификатор клиента в шестнадцатеричной форме и mac адрес клиента string текстовая строка длиной от 1 до 64 символов 508

Dd количество дней принимает значения 0 64 hh количество часов принимает значения 0 3 mm количество минут принимает значения 0 9 509

Dd количество дней принимает значения 0 64 hh количество часов принимает значения 0 3 mm количество минут принимает значения 0 9 510

Задача 510

Настроить работу dhcp сервера в локальной сети относящейся к зоне безопасности trusted задать пул ip адресов из подсети 192 68 24 для раздачи клиентам задать время аренды адресов 1 день 510

Пример настройки 510

Для того чтобы dhcp сервер мог раздавать ip адреса из конфигурируемого пула на маршрутизаторе должен быть создан ip интерфейс принадлежащий к той же подсети что и адреса пула 511

Маршрут по умолчанию 192 68 имя домена eltex loc список dns серверов dns1 172 6 dns2 8 511

Настроить передачу клиентам маршрута по умолчанию доменного имени и адресов dns серверов с помощью dhcp опций 511

Решение 511

Сконфигурируем передачу клиентам дополнительных сетевых параметров 511

Создадим зону безопасности trusted и установим принадлежность используемых сетевых интерфейсов к зонам 511

Создадим пул адресов с именем simple и добавим в данный пул адресов диапазон ip адресов для выдачи в аренду клиентам сервера укажем параметры подсети к которой принадлежит данный пул и время аренды для выдаваемых адресов 511

Конфигурирование destination nat 512

Алгоритм настройки 513

Пример настройки destination nat 516

Алгоритм настройки 518

Конфигурирование source nat 518

Произведенные настройки можно посмотреть с помощью команд 518

Функция snat может быть использована для предоставления доступа в интернет компьютерам находящимся в локальной сети при этом не требуется назначения публичных ip адресов этим компьютерам 518

Функция source nat snat используется для подмены адреса источника у пакетов проходящих через сетевой шлюз при прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза дополнительно к адресу источника может применяться замена порта источника при прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта 518

При использовании ключа not правило будет срабатывать для значений которые не входят в указанный профиль каждая команда match может содержать ключ not при использовании данного ключа под правило будут подпадать пакеты не удовлетворяющие заданному критерию более подробная информация о командах для настройки маршрутизатора содержится в справочнике команд cli 522

Пример настройки 1 522

Для конфигурирования функции snat и настройки правил зон безопасности потребуется создать профиль адресов локальной сети local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool 523

Задача 523

Конфигурирование начнем с создания зон безопасности настройки сетевых интерфейсов и определения их принадлежности к зонам безопасности создадим доверенную зону trust для локальной сети и зону untrust для публичной сети 523

Настроить доступ пользователей локальной сети 10 24 к публичной сети с использованием функции source nat задать диапазон адресов публичной сети для использования snat 100 00 100 49 523

Пример настройки 1 523

Решение 523

Для конфигурирования функции snat потребуется создать профиль адресов локальной сети local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool 525

Задача 525

Конфигурирование начнем с настройки сетевых интерфейсов и отключения межсетевого 525

Конфигурируем сервис snat 525

Настроить доступ пользователей локальной сети 21 2 24 к публичной сети с использованием функции source nat без использования межсетевого экрана firewall диапазон адресов публичной сети для использования snat 200 0 00 200 0 49 525

Первым шагом создаётся пул адресов публичной сети используемых для сервиса snat 525

Пример настройки 2 525

Решение 525

Алгоритм настройки 526

Конфигурирование static nat 526

Пример настройки static nat 526

Диапазон адресов публичной сети для использования static nat задаем в профиле proxy 527

Для конфигурирования static nat потребуется создать профиль адресов локальной сети local_net включающий локальную подсеть и профиль адресов публичной сети public_pool 527

Начнем конфигурирование с настройки сетевых интерфейсов и отключения межсетевого экрана 527

Решение 527

Алгоритм настройки 528

Проксирование http https трафика 528

Если функция firewall на esr принудительно не отключена необходимо создать разрешающее правило для зоны self 531

Задача 531

Организовать фильтрацию по url для ряда адресов посредством прокси 531

Пример настройки http прокси 531

Решение 531

Создадим набор url по которым будет осуществляться фильтрация настроим прокси фильтр и укажем действия для созданного набора url 531

Алгоритм настройки 532

Настройка ntp 532

День месяца принимает значения 1 1 534

Пример настройки 535

Команда для просмотра текущего состояние ntp серверов пиров 536

Команда для просмотра текущей конфигурации протокола ntp 536

Указать интервал времени между отправкой сообщений ntp серверу 536

Алгоритм настройки 537

Мониторинг 537

Настройка netflow 537

Пример настройки 539

Sflow стандарт для мониторинга компьютерных сетей беспроводных сетей и сетевых устройств предназначенный для учета и анализа трафика 540

Алгоритм настройки 540

Настройка sflow 540

Для сетей esr создадим две зоны безопасности 541

Задача 541

Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 541

Организовать учет трафика между зонами trusted и untrusted 541

Пример настройки 541

Решение 541

Укажем ip адрес коллектора 541

Алгоритм настройки 542

Настройка snmp 542

Ro доступ только для чтения rw доступ для чтения и записи 543

Auth используется только аутентификация priv используется аутентификация и шифрование данных 544

Md 5 пароль шифруется по алгоритму md5 sha 1 пароль шифруется по алгоритму sha1 544

Ro доступ только для чтения rw доступ для чтения и записи 544

Aes 128 использовать алгоритм шифрования aes 128 des использовать алгоритм шифрования des 545

Encrypted при указании команды задается зашифрованный пароль 545

Включаем snmp сервер 547

Задача 547

Настроить snmpv3 сервер с аутентификацией и шифрованием данных для пользователя admin ip адрес маршрутизатора esr 192 68 2 ip адрес сервера 192 68 2 1 547

Основной этап конфигурирования 547

Предварительно нужно выполнить следующие действия 547

Пример настройки 547

Решение 547

Создаем пользователя snmpv3 547

Указать зону для интерфейса gi1 0 1 настроить ip адрес для интерфейсов gi1 0 1 547

Алгоритм настройки 548

Настройка zabbix agent proxy 548

В контексте настройки агента укажем адрес zabbix c ервера и адрес с которого будет осуществляться взаимодействие с сервером 550

Для активации активного режима укажем hostname active server а также включим выполнение удаленных команд 550

Задача 550

Настроить взаимодействие между агентом и сервером для выполнения удаленных команд с сервера 550

Пример настройки zabbix agent 550

Решение 550

Зададим время выполнения удаленных команд и активируем функционал агента 551

Пример настройки zabbix server 551

Создадим узел сети 551

Настройка syslog 554

Алгоритм настройки 555

Tcp передача данных осуществляется по протоколу tcp udp передача данных осуществляется по протоколу udp 557

Пример настройки 558

Проверка целостности 559

Процесс настройки 559

Local remote both 560

Задача 560

Запускаем проверку целостности 560

На маршрутизаторах esr предусмотрена функция локального и или удаленного копирования конфигурации по таймеру или при применении конфигурации 560

Настройка архивации конфигурации маршрутизатора 560

Пример конфигурации 560

Проверить целостность файловой системы 560

Процесс настройки 560

Решение 560

Для успешной работы удаленной архивации конфигураций между маршрутизатором и сервером должна быть организована ip связность настроены разрешения на прохождение tftp трафика по сети и сохранения файлов на сервере 561

Задача 561

Настроить локальное и удаленное резервное копирование конфигурации маршрутизатора 1 раз в сутки и при успешном изменении конфигурации удаленные копии необходимо отправлять на tftp сервер 172 6 52 7 в подпапку esr example максимальное количество локальных копий 30 561

Основной этап конфигурирования 561

Перейти в режим конфигурирования резервного копирования конфигураций 561

Пример конфигурации 561

Решение 561

Алгоритм настройки 563

Алгоритм настройки пример настройки с softwlc пример настройки без softwlc 563

Управление bras broadband remote access server 563

Permit прохождение трафика разрешается deny прохождение трафика запрещается 565

50000 для esr 1700 0 10000 для esr 1200 1000 1500 1511 3100 0 1000 для esr 100 200 567

Https docs eltex co ru display doc v1 7_softwlc общая статья о softwlc 568

Https docs eltex co ru pages viewpage action pageid 76808938 установка softwlc из репозиториев 568

Для маршрутизатора необходимо наличие лицензии bras после ее активации можно переходить к конфигурированию устройства 568

За хранение учетных данных пользователей и параметров тарифных планов отвечает сервер softwlc информацию по установке и настройке сервера softwlc можно найти по ссылкам ниже 568

Задача 568

Предоставлять доступ до ресурсов сети интернет только для авторизованных пользователей 568

Пример настройки с softwlc 568

Решение 568

Сконфигурируем параметры публичного порта и сразу пропишем шлюз по умолчанию 568

Создадим три зоны безопасности на устройстве согласно схеме сети 568

Зададим параметры для взаимодействия с этим модулем 569

Модуль отвечающий за ааа операции основан на eltex radius и доступен по ip адресу сервера softwlc номера портов для аутентификации и аккаунтинга в нашем примере это значения по умолчанию для softwlc 569

Подключать клиентов необходимо через сабинтерфейсы в бриджи причем от параметра location смотри конфигурацию bridge 2 зависит выбор тарифного плана 569

Сконфигурируем порт в сторону сервера softwlc 569

Сконфигурируем порт для подключения wi fi точки доступа 569

Создадим профиль aaa 569

До аутентификации весь трафик из зоны trusted блокируется в том числе dhcp и dns запросы необходимо настроить разрешающие правила для пропуска dhcp и dns запросов 570

Укажем параметры доступа к das direct attached storage серверу 570

Далее создаем правила для редиректа на портал и пропуска трафика в интернет 571

Зададим web ресурсы доступные без авторизации 571

Сконфигурируем и включим bras в качестве nas ip указываем адрес интерфейса на стыке с softwlc в данном примере это ip адрес интерфейса gigabitethernet 1 0 24 571

Списки фильтрации по url находятся на сервере softwlc меняется только ip адрес сервера softwlc если используется адресация отличная от данного примера все остальное в url оставить без изменения 571

Далее необходимо сконфигурировать правила перехода между зонами безопасности 572

Разрешим доступ в интернет из зон trusted и dmz 572

Разрешим прохождение dhcp из trusted в dmz 573

Разрешим прохождение icmp к устройству для работы bras необходимо открыть порты для веб проксирования tcp 3129 3128 netport discovery port active api server port 573

Пример настройки без softwlc 574

Для настройки функционала bras необходимо наличие лицензии bras 576

Настройка esr 576

Настройка параметров для взаимодействия с radius сервером 576

Нужно указать mac адрес клиента 576

Создадим профиль aaa 576

Шаг 2 576

Далее создаем правила для редиректа на портал и пропуска трафика в интернет 577

Укажем параметры к das серверу 577

Настройка действие фильтрации по url обязательно а именно необходимо настроить фильтрацию http proxy на bras для неавторизованных пользователей 578

Сконфигурируем и включим bras в качестве nas ip указываем адрес интерфейса на стыке с radius сервером в данном примере это ip адрес интерфейса gigabitethernet 1 0 2 578

Изменения конфигурации вступят в действие после применения 579

На интерфейсах для которых требуется работа bras настроить для успешного запуска требуется как минимум один интерфейс 579

Настройка snat в порт gigabitethernet 1 0 2 579

Порт в сторону клиента 579

Сконфигурируем порт в сторону radius сервера 579

Для просмотра информации и статистики по сессиям контроля пользователей можно воспользоваться командой 580

Voip англ voice over ip набор протоколов которые позволяют передавать речевую информацию посредством ip сетей в рамках данного устройства voip используется для подключения аналоговых телефонных аппаратов к ip сети с возможностью совершения телефонных вызовов 581

Алгоритм настройки sip профиля 581

Алгоритм настройки sip профиля алгоритм настройки fxs fxo портов алгоритм настройки плана нумерации алгоритм настройки pbx сервера алгоритм создания транка регистрации пример настройки voip пример настройки плана нумерации настройка fxo порта пример настройки voip для регистрации fxs портов на внешнем sip сервере пример настройки voip на внутреннем pbx сервере 581

Управление voip 581

Алгоритм настройки fxs fxo портов 582

Алгоритм настройки pbx сервера 584

Алгоритм настройки плана нумерации 584

Peer входящие и исходящие звоки разрешены без авторизации user разрешены только входящие звонки friend комбинирует типы профилей peer и user 585

Comedia отправить медиа поток на порт pbx независимо от указаний sdp force port использовать rport даже если его нет both объединяет comedia и force port 586

Алгоритм создания транка регистрации 586

Задача 587

Настройка sip профиля 587

Подключить аналоговые телефонные аппараты и факс модемы к ip сети посредством маршрутизатора esr в качестве proxy сервера и сервера регистрации выступает sip сервер находящийся на esr 587

Пример настройки voip 587

Решение 587

Пример настройки плана нумерации 590

Настройка fxo порта 592

Пример настройки voip для регистрации fxs портов на внешнем sip сервере 593

Для регистрации и прохождения voip трафика за nat необходимо включить на маршрутизаторе tracking и nat для sip и включить service voip routing на интерфейсе через который доступен sip сервер 594

Настроим fxs порты укажем номер параметры для аутентификации на внешнем сервере и sip профиль 594

Настроим sip профиль необходимо настроить proxy server для регистрации телефонов подключенных к fxs портам 594

Решение 594

Пример настройки voip на внутреннем pbx сервере 595

Настроим sip профиль для fxo портов необходимо указать тип клиента включить необходимые кодеки настроить invite port подключить контекст маршрутизации 596

Настроим sip профиль для fxs портов необходимо указать тип клиента включить необходимые кодеки и подключить контекст маршрутизации 596

Настроим абонентов на сервере pbx 596

Настроим контекст маршрутизации для fxs портов пример плана нумерации для набора номера 5200 5202 596

Включим pbx сервер 597

Настроим fxo порт укажем номер и sip profile выключим caller id активируем услугу hostline pstn to ip и укажем номер абонента который будет получать вызовы с тфоп 597

Настроим fxs порты укажем номер и sip профиль 597

Часто задаваемые вопросы 598

Техническая поддержка esr 600

Содержание

Похожие устройства