![Eltex ESR-1511 [424/600] Алгоритм настройки базовых пользовательских правил](/img/pdf.png)
Eltex ESR-1511 [424/600] Алгоритм настройки базовых пользовательских правил
![Eltex ESR-1511 [424/600] Алгоритм настройки базовых пользовательских правил](/views2/1832180/page424/bg1a8.png)
ESR-Series. Руководство по эксплуатации. Версия 1.14.0
424
•
•
•
•
13.6.5 Алгоритм настройки базовых пользовательских правил
Шаг Описание Команда Ключи
1 Задать имя и перейти в режим
конфигурирования набора
пользовательских правил.
esr(config)# security ips-category
user-defined <WORD>
<WORD> – имя набора
пользовательских правил,
задаётся строкой до 32
символов.
2 Задать описание набора
пользовательских правил (не
обязательно).
esr(config-ips-category)#
description <DESCRIPTION>
<DESCRIPTION> – описание
задаётся строкой до 255
символов.
3 Создать правило и перейти в режим
конфигурирования правила.
esr(config-ips-category)# rule
<ORDER>
<ORDER> – номер правила,
принимает значения [1..512].
4 Задать описание правила (не
обязательно).
esr(config-ips-category-rule)#
description <DESCRIPTION>
<DESCRIPTION> – описание
задаётся строкой до 255
символов.
5 Указать действие данного правила. esr(config-ips-category-rule)#
action { alert | reject | pass | drop }
alert – прохождение
трафика разрешается, и
сервис IPS/IDS
генерирует сообщение;
reject – прохождение
трафика запрещается.
Если это TCP трафик
отправителю и
получателю посылается
пакетTCP-RESET, для
остального типа
трафика посылается
пакет ICMP-ERROR.
Сервис IPS/IDS
генерирует сообщение;
pass – прохождение
трафика разрешается;
drop – прохождение
трафика запрещается, и
сервис IPS/IDS
генерирует сообщение.
6 Установить имя IP-протокола, для
которого должно срабатывать
правило.
esr(config-ips-category-rule)#
protocol <PROTOCOL>
<PROTOCOL> – принимает
значения any/ip/icmp/http/
tcp/udp
При указании значения «any»
правило будет срабатывать
для любых протоколов
Содержание
- Esr 10 esr 12v esr 12vf esr 14vf esr 20 esr 21 esr 100 esr 200 esr 1000 esr 1200 esr 1500 esr 1511 esr 3100 esr 1700 1
- Содержание 2
- B ведение 12
- Bведение 12
- Аннотация 12
- Условные обозначения 12
- Целевая аудитория 12
- Примечания и предупреждения 13
- Назначение 14
- Описание изделий 14
- Mdi medium dependent interface прямой стандарт кабелей для подключения оконечных устройств mdix medium dependent interface with crossover перекрестный стандарт кабелей для подключения концентраторов и коммутаторов 15
- В таблице 1 приведен список функций интерфейсов устройства 15
- В таблице 2 приведены функции устройства при работе с mac адресами 15
- Таблица 1 функции интерфейсов устройства 15
- Таблица 2 функции работы с mac адресами 15
- Функции 15
- Функции интерфейсов 15
- Функции при работе с mac адресами 15
- Vlan на базе меток пакетов данных в соответствии с ieee 802 q vlan на базе портов устройства port based vlan на базе использования правил классификации данных policy based 16
- В таблице 3 приведены функции и особенности второго уровня уровень 2 osi 16
- В таблице 4 приведены функции третьего уровня уровень 3 osi 16
- В текущей версии по данный функционал поддерживается только на маршрутизаторе esr 1000 16
- Таблица 3 описание функций второго уровня уровень 2 osi 16
- Таблица 4 описание функций третьего уровня layer 3 16
- Функции второго уровня сетевой модели osi 16
- Функции третьего уровня сетевой модели osi 16
- Source nat snat выполняется замена адреса а также номера порта источника при прохождении пакета в одну сторону и обратной замене адреса назначения в ответном пакете destination nat dnat когда обращения извне транслируются маршрутизатором на компьютер пользователя в локальной сети имеющий внутренний адрес и потому недоступный извне сети непосредственно без nat 17
- Gre инкапсуляция ip пакета ethernet кадра в другой ip пакет c добавлением gre general routing encapsulation заголовка ipv4 ipv4 туннель использующий инкапсуляцию исходных ip пакетов в ip пакеты с другими сетевыми параметрами l2tpv3 туннель для передачи l2 трафика с помощью ip пакетов ipsec туннель с шифрованием передаваемых данных l2tp pptp pppoe openvpn туннели использующиеся для организации удаленного доступа клиент сервер 18
- Таблица 5 функции туннелирования трафика 18
- Таблица 6 основные функции управления и конфигурирования 18
- Функции туннелирования трафика 18
- Функции управления и конфигурирования 18
- В таблице 7 приведены функции сетевой защиты выполняемые устройством 19
- Локальная для аутентификации используется локальная база данных пользователей хранящаяся на самом устройстве групповая база данных пользователей хранится на сервере аутентификации для взаимодействия с сервером используются протоколы radius и tacacs 19
- Таблица 7 функции сетевой защиты 19
- Функции сетевой защиты 19
- Основные технические параметры маршрутизатора приведены в таблице 8 20
- Основные технические характеристики 20
- Таблица 8 основные технические характеристики 20
- Дуплексный и полудуплексный режим для электрических портов дуплексный режим для оптических портов 24
- Электрические интерфейсы 10 100 1000 мбит с оптические интерфейсы 1 10 40 гбит с 24
- Электрические интерфейсы 10 100 1000 мбит с оптические интерфейсы 1 10 гбит с 25
- Электрические интерфейсы 10 100 1000 мбит с оптические интерфейсы 1 гбит с 25
- Один источник питания постоянного или переменного тока два источника питания постоянного или переменного тока с возможностью горячей замены 30
- Конструктивное исполнение 33
- Конструктивное исполнение esr 1700 33
- В таблице 10 приведен перечень разъемов расположенных на задней панели маршрутизатора 34
- Внешний вид задней панели устройств esr 1700 приведен на рисунке ниже 34
- Задняя панель устройства esr 1700 34
- При удержании кнопки менее 10 секунд происходит перезагрузка устройства при удержании кнопки более 10 секунд происходит перезагрузка устройства и сброс к заводским настройкам 34
- Рисунок 2 задняя панель esr 1700 34
- Конструктивное исполнение esr 3100 35
- При удержании кнопки менее 10 секунд происходит перезагрузка устройства при удержании кнопки более 10 секунд происходит перезагрузка устройства и сброс к заводским настройкам 36
- Таблица 11 описание разъемов индикаторов и органов управления передней панели esr 3100 36
- В таблице 13 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на передней панели устройств esr 1511 38
- Внешний вид передней панелей показан на рисунке 9 38
- Конструктивное исполнение esr 1511 esr 1510 38
- Передняя панель устройства esr 1511 38
- Рисунок 9 передняя панель esr 1511 38
- Таблица 13 описание разъемов индикаторов и органов управления передней панели esr 1511 38
- В таблице 14 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на передней панели устройств esr 1500 39
- Внешний вид передней панелей показан на рисунке 10 39
- Передняя панель устройства esr 1500 39
- При удержании кнопки менее 10 секунд происходит перезагрузка устройства при удержании кнопки более 10 секунд происходит перезагрузка устройства и сброс к заводским настройкам 39
- Рисунок 10 передняя панель esr 1500 39
- Таблица 14 описание разъемов индикаторов и органов управления передней панели esr 1500 39
- При удержании кнопки менее 10 секунд происходит перезагрузка устройства при удержании кнопки более 10 секунд происходит перезагрузка устройства и сброс к заводским настройкам 40
- В таблице 16 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на передней панели устройства esr 1200 42
- Внешний вид передней панели показан на рисунке 14 42
- Конструктивное исполнение esr 1200 esr 1000 42
- Передняя панель устройства esr 1200 42
- Рисунок 14 передняя панель esr 1200 42
- Таблица 16 описание разъемов индикаторов и органов управления передней панели esr 1200 42
- В таблице 17 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на передней панели устройства esr 1000 43
- Внешний вид передней панели показан на рисунке 15 43
- Передняя панель устройства esr 1000 43
- При удержании кнопки менее 10 секунд происходит перезагрузка устройства при удержании кнопки более 10 секунд происходит перезагрузка устройства и сброс к заводским настройкам 43
- Рисунок 15 передняя панель esr 1000 43
- Таблица 17 описание разъемов индикаторов и органов управления передней панели esr 1000 43
- В таблице 18 приведен перечень разъемов расположенных на задней панели маршрутизатора 44
- Внешний вид задней панели устройства esr 1000 приведен на рисунке ниже 44
- Задняя панель устройств esr 1200 1000 44
- На рисунке показана комплектация маршрутизатора с одним источником питания переменного тока 44
- При удержании кнопки менее 10 секунд происходит перезагрузка устройства при удержании кнопки более 10 секунд происходит перезагрузка устройства и сброс к заводским настройкам 44
- Рисунок 16 задняя панель esr 1000 44
- Конструктивное исполнение esr 200 esr 100 45
- В таблице 19 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на передней панели устройств esr 200 esr 100 46
- При удержании кнопки менее 10 секунд происходит перезагрузка устройства при удержании кнопки более 10 секунд происходит перезагрузка устройства и сброс к заводским настройкам 46
- Рисунок 20 передняя панель esr 100 46
- Таблица 19 описание разъемов индикаторов и органов управления передней панели esr 200 esr 100 46
- В таблице 21 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на передней панели устройства esr 21 48
- Внешний вид передней панели esr 21 показан на рисунке 24 48
- Конструктивное исполнение esr 21 48
- Передняя панель устройства esr 21 48
- Рисунок 24 передняя панель esr 21 48
- Таблица 21 описание разъемов индикаторов и органов управления передней панели esr 21 48
- Устройство выполнено в металлическом корпусе с возможностью установки в 19 конструктив высота корпуса 1u 48
- В таблице 23 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на передней панели устройства esr 20 50
- Внешний вид передней панели показан на рисунке 28 50
- Конструктивное исполнение esr 20 50
- Перегреву компонентов устройства и вызвать нарушения в его работе рекомендации по установке устройства расположены в разделе установка и подключение 50
- Передняя панель устройства esr 20 50
- Рисунок 28 передняя панель esr 20 50
- Таблица 23 описание разъемов индикаторов и органов управления передней панели esr 20 50
- Устройство выполнено в металлическом корпусе с возможностью установки в 19 конструктив высота корпуса 1u 50
- Боковые панели устройства esr 20 51
- В таблице 24 приведен перечень разъемов расположенных на задней панели маршрутизатора 51
- Внешний вид боковых панелей устройства esr 20 приведен на рисунках 30 и 31 51
- Внешний вид задней панели устройства esr 20 показан на рисунке 29 51
- Задняя панель устройства esr 20 51
- Рисунок 29 задняя панель esr 20 51
- Рисунок 30 левая панель esr 20 51
- Рисунок 31 правая панель esr 20 51
- Таблица 24 описание разъемов задней панели маршрутизатора 51
- В таблице 25 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на передней панели устройств esr 12vf esr 14vf 52
- Внешний вид передней панели показан на рисунке 32 52
- Конструктивное исполнение esr 14vf esr 12vf 52
- На боковых панелях устройства расположены вентиляционные решетки которые служат для отвода тепла не закрывайте вентиляционные отверстия посторонними предметами это может привести к перегреву компонентов устройства и вызвать нарушения в его работе рекомендации по установке устройства расположены в разделе установка и подключение 52
- Передняя панель устройств esr 12vf esr 14vf 52
- Рисунок 32 передняя панель esr 12vf esr 14vf 52
- Таблица 25 описание разъемов индикаторов и органов управления передней панели esr 12vf esr 14vf 52
- Устройство выполнено в металлическом корпусе с возможностью установки в 19 конструктив высота корпуса 1u 52
- В таблице 26 приведен перечень разъемов расположенных на задней панели маршрутизатора 53
- Внешний вид задней панели устройств esr 12vf esr 14vf показан на рисунке 33 53
- Задняя панель устройств esr 14vf esr 12vf 53
- Рисунок 33 задняя панель esr 12vf esr 14vf 53
- Таблица 26 описание разъемов задней панели маршрутизатора 53
- Конструктивное исполнение esr 12v 54
- В таблице 28 приведен перечень разъемов расположенных на задней панели маршрутизатора 55
- Внешний вид задней панели устройства esr 12v показан на рисунке 37 55
- Задняя панель устройств esr 12v 55
- Рисунок 37 задняя панель esr 12v 55
- Таблица 27 описание разъемов индикаторов и органов управления передней панели esr 12v 55
- Конструктивное исполнение esr 10 56
- Боковые панели устройства esr 10 57
- В таблице 29 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на задней панели устройства esr 10 57
- В таблице 30 приведен перечень органов управления расположенных на правой панели маршрутизатора 57
- Внешний вид боковой панели устройства esr 10 показан на рисунке 41 57
- Рисунок 41 боковая панель esr 10 57
- Таблица 29 описание разъемов индикаторов и органов управления передней панели esr 10 57
- Световая индикация 59
- В следующей таблице приведено описание состояний системных индикаторов устройства и их значений 60
- Таблица 32 световая индикация состояния медных интерфейсов 60
- Таблица 33 световая индикация состояния sfp sfp qsfp интерфейсов 60
- Таблица 34 состояния системных индикаторов 60
- Световая индикация esr 200 esr 100 61
- Состояние медных интерфейсов gigabit ethernet и sfp интерфейсов отображается двумя светодиодными индикаторами link act зеленого цвета и speed янтарного цвета расположение индикаторов медных интерфейсов показано на рисунке 43 состояние sfp интерфейсов указано на рисунке 45 значения световой индикации описаны в таблице 35 61
- В следующей таблице приведено описание состояний системных индикаторов устройства и их значений 62
- Рисунок 45 расположение индикаторов оптических интерфейсов 62
- Таблица 35 световая индикация состояния медных интерфейсов и sfp интерфейсов 62
- Таблица 36 состояния системных индикаторов 62
- Не поддерживается в текущей версии по 63
- Рисунок 46 расположение индикаторов разъема sfp 63
- Световая индикация esr 21 esr 20 63
- Состояние медных интерфейсов gigabit ethernet отображается двумя светодиодными индикаторами link act зеленого цвета и speed янтарного цвета 63
- Таблица 37 световая индикация состояния медных интерфейсов и sfp интерфейсов 63
- В следующей таблице приведено описание состояний системных индикаторов устройства и их значений 64
- Рисунок 47 расположение индикаторов разъема rj 45 64
- Таблица 38 состояния системных индикаторов 64
- В следующей таблице приведено описание состояний системных индикаторов устройства и их значений 65
- Рисунок 48 расположение индикаторов разъема sfp только для esr 12vf esr 14vf 65
- Рисунок 49 расположение индикаторов разъема rj 45 65
- Световая индикация esr 12v f 65
- Состояние медных интерфейсов gigabit ethernet отображается двумя светодиодными индикаторами link act зеленого цвета и speed янтарного цвета 65
- Таблица 39 световая индикация состояния медных интерфейсов и sfp интерфейсов 65
- Таблица 40 состояния системных индикаторов 65
- Комплект поставки 66
- Крепление кронштейнов 69
- Установка и подключение 69
- Установка устройства в стойку 69
- Esr 1700 70
- Установка модулей питания esr 1000 esr 1200 esr 1500 esr 1511 esr 3100 70
- Установка модулей питания esr 1000 esr 1200 esr 1500 esr 1511 esr 3100 esr 1700 70
- Подключение питающей сети 71
- Установка и удаление sfp трансиверов 71
- Установка трансивера 71
- Удаление трансивера 72
- Интерфейс командной строки cli 73
- Интерфейсы управления 73
- Порядковый номер порта 74
- При работе маршрутизатора используются сетевые интерфейсы различного типа и назначения система именования позволяет однозначно адресовать интерфейсы по их функциональному назначению и местоположению в системе далее в таблице приведен перечень типов интерфейсов 74
- Таблица 42 типы и порядок именования интерфейсов маршрутизатора 74
- Типы и порядок именования интерфейсов маршрутизатора 74
- Gigabitethernet 1 0 12 00 0 tengigabitethernet 1 0 2 5 2 fortygigabitethernet 1 0 2 08 07 port channel 1 4 75
- Gigabitethernet 1 0 12 00 tengigabitethernet 1 0 2 23 fortygigabitethernet 1 0 2 024 port channel 1 75
- Порядковый номер e1 потока 75
- Loopback 4 bridge 60 service port 1 76
- Порядковый номер порта 76
- Gre туннель обозначение gre туннеля состоит из обозначения типа и порядкового номера туннеля 77
- Ipv4 over ipv4 туннель 77
- L2tpv3 туннель обозначение l2tpv3 туннеля состоит из обозначения типа и порядкового номера туннеля 77
- Softgre туннель обозначение softgre туннеля состоит из обозначения типа порядкового номера туннеля и опционально vlan id виртуального интерфейса 77
- Количество интерфейсов каждого типа зависит от модели маршрутизатора 2 текущая версия по не поддерживает стекирование устройств номер устройства в группе устройств unit может принимать только значение 1 3 некоторые команды поддерживают одновременную работу с группой интерфейсов для указания группы интерфейсов может быть использовано перечисление через запятую или указание диапазона идентификаторов через дефис примеры указания групп интерфейсов 77
- Обозначение ipv4 over ipv4 туннеля состоит из обозначения типа и порядкового номера туннеля 77
- При работе маршрутизатора используются сетевые туннели различного типа и назначения система именования позволяет однозначно адресовать туннели по их функциональному назначению далее в таблице приведен перечень типов туннелей 77
- Пример обозначения gre 1 77
- Пример обозначения ip4ip4 1 77
- Пример обозначения l2tpv3 1 77
- Примеры обозначения softgre 1 softgre 1 0 77
- Таблица 43 типы и порядок именования туннелей маршрутизатора 77
- Тип туннеля обозначение 77
- Типы и порядок именования туннелей маршрутизатора 77
- Количество туннелей каждого типа зависит от модели и по маршрутизатора 78
- Заводская конфигурация маршрутизатора esr 79
- Начальная настройка маршрутизатора 79
- Описание заводской конфигурации 79
- Подключение и конфигурирование маршрутизатора 80
- Подключение к маршрутизатору 81
- Применение изменения конфигурации 81
- Базовая настройка маршрутизатора 82
- Для создания разрешающего правила используются следующие команды 85
- Пример команд для разрешения пользователям из зоны untrusted с ip адресами 132 6 132 6 0 подключаться к маршрутизатору с ip адресом 40 3 2 по протоколу ssh 85
- Обновление программного обеспечения 86
- Обновление программного обеспечения средствами системы 86
- Для выбора образа используйте команду 87
- Для примера обновим основное по через scp 87
- Для того чтобы устройство работало под управлением новой версии программного обеспечения необходимо произвести переключение активного образа с помощью команды show bootvar следует выяснить номер образа содержащего обновленное по 87
- После ввода команды маршрутизатор скопирует файл во внутреннюю память проверит целостность данных и сохранит его в энергонезависимую память устройства tftp 87
- Для версии 1 и выше 88
- Можно сохранить окружение командой saveenv для будущих обновлений 88
- Обновление программного обеспечения из начального загрузчика 88
- Программное обеспечение маршрутизатора можно обновить из начального загрузчика следующим образом 88
- Укажите ip адрес tftp сервера 88
- Укажите ip адрес маршрутизатора 88
- Укажите имя файла программного обеспечения на tftp сервере 88
- Вторичный загрузчик занимается инициализацией nand и маршрутизатора при обновлении новый файл вторичного загрузчика сохраняется на flash на месте старого 89
- Для версии 1 и выше 89
- Для просмотра текущей версии загрузочного файла работающего на устройстве введите команду version в cli u boot также версия отображается в процессе загрузки маршрутизатора 89
- Запустите процедуру обновления программного обеспечения 89
- Обновление вторичного загрузчика u boot 89
- Установите загруженное программное обеспечение в качестве образа для запуска системы и перезагрузите роутер 89
- Для версии 1 и выше 90
- Можно сохранить окружение командой saveenv для будущих обновлений запустите процедуру обновления программного обеспечения 90
- Процедура обновления по 90
- Укажите ip адрес tftp сервера 90
- Укажите ip адрес маршрутизатора 90
- Укажите имя файла загрузчика на tftp сервере 90
- Для версии 1 и выше 91
- Перезагрузите маршрутизатор 91
- Настройка системы логирования событий 92
- Общие рекомендации 92
- Рекомендации по безопасной настройке 92
- Настройка политики использования паролей 93
- Предупреждения 93
- Пример настройки 93
- Рекомендации 93
- Настройка политики aaa 94
- Пример настройки 94
- Рекомендации 94
- Предупреждения 95
- Пример настройки 95
- Рекомендации 95
- Настройка удалённого управления 96
- Рекомендации 96
- Настройка механизмов защиты от сетевых атак 97
- Пример настройки 97
- Рекомендации 97
- Пример настройки 98
- Настройка vlan 99
- Управление интерфейсами 99
- Ethernet заголовка согласно стандарту 802 q по сути vlan изолирует широковещательный домен путем ограничения коммутации ethernet фреймов только с одинаковым vlan id в ethernet заголовке 100
- Алгоритм настройки 100
- Пример настройки 1 удаление vlan с интерфейса 102
- Пример настройки 2 разрешение обработки vlan в тегированном режиме 102
- Link layer discovery protocol lldp протокол канального уровня позволяющий сетевому оборудованию оповещать оборудование работающее в локальной сети о своём существовании и передавать ему свои характеристики а также получать от него аналогичные сведения 103
- Задача 103
- Настроить порты gi1 0 1 для передачи и приема пакетов в vlan 2 vlan 64 vlan 2000 в режиме trunk настроить порт gi1 0 2 в режиме access для vlan 2 на esr 100 esr 200 103
- Настройка lldp 103
- Пример настройки 3 разрешение обработки vlan в тегированном и не тегированном 103
- Пример настройки 3 разрешение обработки vlan в тегированном и не тегированном режиме 103
- Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1 103
- Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1 2 103
- Пропишем vlan 2 на порт gi1 0 2 103
- Режиме 103
- Решение 103
- Создадим vlan 2 vlan 64 vlan 2000 на esr 100 esr 200 103
- Алгоритм настройки 104
- Включим прием и отправку lldpdu на интерфейсе gi 1 0 1 105
- Задача 105
- Конфигурирование r1 включим lldp глобально на маршрутизаторе 105
- Конфигурирование r2 включим lldp глобально на маршрутизаторе 105
- Общую информацию по lldp соседям можно посмотреть командой 105
- Общую статистику по lldp можно посмотреть командой 105
- Организовать обмен и обработку lldpdu между маршрутизаторами esr 1 и esr 2 105
- Подробную информацию по соседу конкретного интерфейса можно посмотреть командой 105
- Пример настройки 105
- Решение 105
- Lldp med расширение стандарта lldp которое позволяет передавать сетевые политики vlan id dscp priority 106
- Voice voice signaling guest voice guest voice signaling softphone voice video conferencing streaming video video signaling 106
- Алгоритм настройки 106
- Настройка lldp med 106
- Пример настройки voice vlan 107
- Настройка терминации на саб интерфейсе 108
- Алгоритм настройки 109
- Пример настройки саб интерфейса 111
- Q in q технология передачи пакетов с двумя 802 q тегами данная технология используется для расширения количества используемых vlan в сети передачи данных внутренним тегом innertag называется 802 q заголовок ближе к payload так же внутренний тег называют c vlan customer vlan внешний тег outertag это 802 q заголовок добавленный к изначальному 802 q пакетом так же называется s vlan service vlan использование двойных меток в ethernet фреймах описывается протоколом 802 ad 112
- Алгоритм настройки 112
- Настройка терминации на q in q интерфейсе 112
- Qos в базовом или расширенном режимах см раздел управление qos proxy см раздел проксирование http https трафика мониторинг траффика см разделы настройка netflow и настройка sflow функционал протоколов маршрутизации см раздел управление маршрутизацией протокол vrrf см раздел управление резервированием функционал bras см раздел управление bras broadband remote access server функционал ids ips см раздел настройка ips ids 114
- Задача 114
- Настроить терминацию подсети 192 68 24 комбинации c vlan 741 s vlan 828 на физическом интерфейсе gigabitethernet 1 0 1 114
- Пример настройки q in q интерфейса 114
- Алгоритм настройки usb модемов 115
- Использование usb модемов позволяет организовать дополнительный канал связи для работы маршрутизатора при подключении usb модемов возможно использовать usb концентраторы одновременно в системе может быть сконфигурировано до 10 ти usb модемов 115
- Настройка usb модемов 115
- Помимо назначения ip адреса на q in q саб интерфейсе необходимо либо отключить firewall либо настроить соответствующую зону безопасности 115
- Решение 115
- Создадим q in q интерфейс для s vlan 741 и настроим ip адрес из необходимой подсети 115
- Создадим саб интерфейс для s vlan 828 115
- Ipv4 семейство ipv4 ipv6 семейство ipv6 116
- Пример настройки 118
- Алгоритм настройки 119
- Настройка ppp через e1 119
- Ami чередующейся полярностью импульсов hdb3 по умолчанию двухполярный код высокой плотности порядка 3 120
- Crc 4 использовать алгоритм crc 4 no crc4 по умолчанию не использовать проверку 120
- По умолчанию fcs16 32 fcs32 120
- Включим interface e1 1 3 1 122
- Время в секундах 122
- Задается интервал времени в секундах по истечении которого маршрутизатор отправляет keepalive сообщение не обязательно 122
- Задается интервал по истечении которого маршрутизатор повторяет запрос на установление сессии не обязательно 122
- Задача 122
- Настроить ppp соединение со встречной стороной с ip адресом 10 7 24 через topgate sfp используя 1 8 канальные интервалы для передачи данных источник синхросигнала встречная сторона 122
- Переключаем интерфейс в котором установлен topgate sfp gigabitethernet 1 0 3 в режим работы е 1 122
- Пример конфигурации 122
- Решение 122
- Шаг описание команда ключи 122
- Multilink ppp mlppp предоставляет собой агрегированный канал включающий в себя методы для распространения трафика через несколько физических каналов имея одно логическое соединение этот вариант позволяет расширить пропускную способность и обеспечивает балансировку нагрузки 123
- Алгоритм настройки 123
- Изменения конфигурации вступят в действие по следующим командам 123
- Настройка mlppp 123
- Задача 125
- Настроить mlppp соединение с встречной стороной с ip адресом 10 7 24 через устройство mxe 125
- Пример настройки 125
- Bridge мост это способ соединения двух сегментов ethernet на канальном уровне без использования протоколов более высокого уровня таких как ip пакеты передаются на основе ethernet адресов а не ip адресов поскольку передача выполняется на канальном уровне уровень 2 модели osi трафик протоколов более высокого уровня прозрачно проходит через мост 126
- Включим interface e1 1 0 1 interface e1 1 0 2 в группу агрегации mlppp 3 126
- Настроим mlppp 3 126
- Настройка bridge 126
- Переключаем интерфейс gigabitethernet 1 0 10 в режим работы е 1 126
- Решение 126
- Алгоритм настройки 127
- Для esr 10 12v f 14vf 1 0 для esr 20 21 100 200 1 50 для esr 1000 1200 1500 1511 1700 3100 1 00 127
- Для esr 10 12v f 14vf 552 600 для esr 20 21 552 500 для esr 100 200 1000 1200 1500 1511 1700 552 0000 для esr 1500 1511 1700 3100 552 190 128
- Пример настройки bridge для vlan и l2tpv3 туннеля 130
- Пример настройки bridge для vlan 131
- Назначим интерфейсам gi1 0 11 gi1 0 12 vlan 50 132
- Назначим интерфейсу gi1 0 14 vlan 60 132
- Посмотреть членство интерфейсов в мосте можно командой 132
- Создадим bridge 50 привяжем vlan 50 укажем ip адрес 10 0 24 и членство в зоне lan1 132
- Создадим bridge 60 привяжем vlan 60 укажем ip адрес 10 0 24 и членство в зоне lan2 132
- Создадим правила в firewall разрешающие свободное прохождение трафика между зонами 132
- Настройка dual homing 133
- Пример настройки добавления удаления второго vlan тега 133
- Алгоритм настройки 134
- Задача 134
- Организовать резервирование l2 соединений маршрутизатора esr для vlan 50 55 через устройства sw1 и sw2 134
- Пример настройки 134
- В текущей версии по функционал удаленного зеркалирования rspan поддерживается только на маршрутизаторах esr 1000 1200 1500 1511 1700 135
- Зеркалирование трафика функция маршрутизатора предназначенная для перенаправления трафика с одного порта маршрутизатора на другой порт этого же маршрутизатора локальное зеркалирование или на удаленное устройство удаленное зеркалирование 135
- Интерфейсы gigabitethernet 1 0 9 и gigabitethernet 1 0 10 добавим в vlan 50 55 в режиме general 135
- Настройка зеркалирования span rspan 135
- Необходимо отключить stp на интерфейсах gigabitethernet 1 0 9 и gigabitethernet 1 0 10 так как совместная работа данных протоколов невозможна 135
- Основной этап конфигурирования 135
- Предварительно нужно выполнить следующие действия 135
- Просмотреть информацию о резервных интерфейсах можно командой 135
- Решение 135
- Сделаем интерфейс gigabitethernet 1 0 10 резервным для gigabitethernet 1 0 9 135
- Создадим vlan 50 55 135
- Network совмещенный режим передачи данных и зеркалирование по умолчанию monitor only только зеркалирование 136
- Tx зеркалирование в указанный vlan только исходящего трафика rx зеркалирование в указанный vlan только входящего трафика 136
- Tx зеркалирование только исходящего трафика rx зеркалирование только входящего трафика 136
- Алгоритм настройки 136
- Настройка lacp 137
- Пример настройки 137
- Алгоритм настройки 138
- Auto добавить интерфейс в динамическую группу агрегации с поддержкой протокола lacp on добавить интерфейс в статическую группу агрегации 139
- Пример настройки 140
- Software программное управление потоком hardware аппаратное управление потоком disabled управление потоком отключено 141
- Алгоритм настройки 141
- Включим физические интерфейсы gi1 0 1 gi1 0 2 в созданную группу агрегации каналов 141
- Дальнейшая конфигурация port channel проводится как на обычном физическом интерфейсе 141
- Для моделей esr 21 141
- Настройка aux 141
- Настройка aux используется для указания параметров взаимодействия с внешними устройствами подключенными через последовательные интерфейсы к esr 141
- 1200 2400 4800 9600 19200 38400 57600 115200 142
- Odd проверка на нечетность even проверка на четность none бит четности не выставляется 142
- Задача 1 143
- Модемы должны быть предварительно введены в режим автоматической установки соединения 143
- Настроим параметры согласования 143
- Настроить ip связность между двумя esr на serial порту используя модемы в режиме leased line автоматический режим модемов соединенных между собой телефонным кабелем 143
- Примеры настроек 143
- Проверена совместимость с модемами modem zyxel u 336e plus 143
- Решение 143
- Сконфигурировать первый esr 21 143
- И укажем принадлежность интерфейсов к зоне безопасности 144
- Настроим параметры согласования 144
- Сконфигурировать второй esr 21 144
- Сконфигурируем firewall для зон безопасности 144
- Сконфигурируем необходимые rs 232 интерфейсы 144
- Modem zyxel omni 56k mini modem acorp m56scd 145
- В качестве эмуляции тфоп используется esr 12vf с нижеприведенной настройкой 145
- Задача 2 145
- И укажем принадлежность интерфейсов к зоне безопасности 145
- Настроить ip связность между двумя esr на serial порту используя модемы в режиме dial up и телефонную сеть общего пользования тфоп 145
- Проверена совместимость с модемами 145
- Решение 145
- Сконфигурировать первый esr 21 145
- Включим дозвон по номеру 146
- И укажем принадлежность интерфейсов к зоне безопасности 146
- Настроим параметры согласования 146
- Настроим параметры согласования с модемом 146
- Сконфигурировать второй esr 21 146
- Сконфигурируем firewall для зон безопасности 146
- Сконфигурируем необходимые rs 232 интерфейсы 146
- At n1 включение режима v 2bis на модеме atm0l0 отключение динамика модема 147
- Включим использование строки инициализации модема 147
- Для модема 1 включение протокола v 2bis отключение динамиков на обоих модемах 147
- Задача 3 147
- И укажем принадлежность интерфейсов к зоне безопасности 147
- Использовать дополнительные параметры настройки модемов для задачи 2 147
- Решение 147
- Сконфигурируем firewall для зон безопасности 147
- Сконфигурируем необходимые rs 232 интерфейсы 147
- Создадим строку с дополнительными параметрами инициализации модема для первого esr 21 где 147
- Db 25 pinout 148
- Rj 45 pinout rolled over cable 148
- Включим использование строки инициализации модема 148
- Создадим строку с дополнительными параметрами инициализации модема для второго esr 21 148
- Схемы распайки переходников 148
- Алгоритм настройки 149
- Настройка gre туннелей 149
- Управление туннелированием 149
- Ip инкапсуляция ip пакетов в gre ethernet инкапсуляция ethernet фреймов в gre 150
- Для esr 10 12v f 14vf 1 0 для esr 20 21 100 200 1 50 для esr 1000 1200 1500 1511 1700 3100 1 00 151
- Для esr 10 12v f 14vf 1280 600 для esr 20 21 1280 500 для esr 100 200 1000 1200 1500 1511 1700 3100 1280 0000 151
- Qos в базовом или расширенном режимах см раздел управление qos proxy см раздел проксирование http https трафика мониторинг траффика см разделы настройка netflow и настройка sflow функционал протоколов маршрутизации см раздел управление маршрутизацией функционал bras см раздел управление bras broadband remote access server 153
- В качестве локального шлюза для туннеля используется ip адрес 115 в качестве удаленного шлюза для туннеля используется ip адрес 114 0 ip адрес туннеля на локальной стороне 25 24 153
- Задача 153
- Организовать l3 vpn между офисами компании через ip сеть используя для туннелирования трафика протокол gre 153
- Пример настройки ip gre туннеля 153
- Настройка dmvpn 155
- No registration не регистрироваться на nhrp сервере 156
- Алгоритм настройки 156
- Туннели spoke to spoke в дополнение к обычным spoke to hub туннелям это означает что филиалы смогут общаться друг с другом напрямую без необходимости прохождения трафика через hub 156
- Чтобы установить такое соединение клиенты nhc по шифрованному ipsec туннелю отправляют соответствие своего внутреннего туннельного адреса и внешнего nbma адреса на nhrp сервер nhs когда клиент захочет соединиться с другим nhc он посылает на сервер запрос чтобы узнать его внешний адрес получив ответ от сервера клиент теперь самостоятельно может устанавливать соединение c удалённым филиалом 156
- Dynamic отправлять на все пиры с которыми есть соединение nhs отправлять на все статические сконфигурированные сервера 157
- Static статическое соединение применятся для связи с nhs dynamic динамически устанавливающееся соединение конфигурируется для связи между nhc 157
- Пример настройки 1 158
- Зададим ip адрес gre туннеля 159
- Переведём gre туннель в mutipoint режим для возможности соединения с несколькими точками 159
- Перейдём к настройке nhrp настроим отправку мультикастовых рассылок в динамически узнаваемые адреса 159
- Произведём настройку ipsec для hub 159
- Произведём настройку протокола динамической маршрутизации для hub в нашем примере это будет bgp 159
- Установим значение ttl 159
- Включим работу nhrp и сам туннель 160
- Конфигурирование spoke проведём стандартную настройку dmvpn на туннеле 160
- Привяжем ipsec к gre туннелю чтобы клиенты могли устанавливать шифрованное соединение 160
- Указываем сколько времени будет храниться запись о клиенте на сервере 160
- Зададим соответствие туннельному адресу реальный 161
- Настроим мультикастовую рассылку на nhrp сервер 161
- Произведём настройку bgp для spoke 161
- Произведём настройку ipsec при создании шлюза протокола ike для nhs укажем конкретные адреса назначения a при создании шлюза ike для nhc адрес назначения будет any 161
- Указываем туннельный адрес nhs 161
- Включим работу nhrp и сам туннель 162
- Привяжем ipsec к gre туннелю для возможности установления шифрованного соединения с сервером и с другими клиентами сети 162
- Состояние nhrp записей можно посмотреть командой 162
- Пример настройки 2 163
- Конфигурирование hub предварительно настроим протокол ospf 164
- Настроим gre туннель определим принадлежность к зоне безопасности настроим ospf на gre туннеле настроим nhrp и включим туннель и nhrp командой enable чтобы hub стал dr необходимо выставить максимальный приоритет 164
- Настроим интерфейс и определим принадлежность к зоне безопасности 164
- Произведём настройку ipsec для hub 164
- Решение 164
- Создадим статические маршруты для подсетей интерфейсов spoke 180 00 30 и 140 14 30 164
- Конфигурирование spoke1 предварительно настроим протокол ospf с анонсированием подсети lan1 165
- Привяжем ipsec к gre туннелю чтобы клиенты могли устанавливать шифрованное соединение 165
- Настроим gre туннель определим принадлежность к зоне безопасности настроим ospf на gre туннеле настроим nhrp и включим туннель и nhrp командой enable чтобы hub стал dr необходимо выставить минимальный приоритет на spoke 166
- Настроим интерфейс и определим принадлежность к зоне безопасности 166
- Произведём настройку ipsec для hub 166
- Создадим статические маршруты для подсетей интерфейсов spoke 180 00 30 и 140 14 30 166
- Привяжем ipsec к gre туннелю для возможности установления шифрованного соединения с сервером и с другими клиентами сети 167
- Алгоритм настройки 168
- Настройка l2tpv3 туннелей 168
- Ip инкапсуляция в ip пакет udp инкапсуляция в udp дейтаграммы 169
- Для esr 10 12v f 14vf 1 0 для esr 20 21 100 200 1 50 для esr 1000 1200 1500 1511 1700 3100 1 00 169
- Для esr 10 12v f 14vf 1 0 для esr 20 21 100 200 1 50 для esr 1000 1200 1500 1511 1700 3100 1 00 170
- Для esr 10 12v f 14vf 1280 600 для esr 20 21 1280 500 для esr 100 200 1000 1200 1500 1511 1700 3100 1280 0000 170
- Пример настройки l2tpv3 туннеля 171
- Ipsec это набор протоколов которые обеспечивают защиту передаваемых с помощью ip протокола данных данный набор протоколов позволяет осуществлять подтверждение подлинности аутентификацию проверку целостности и шифрование ip пакетов а также включает в себя протоколы для защищённого обмена ключами в сети интернет 173
- Алгоритм настройки route based ipsec vpn 173
- Конфигурацию туннеля можно посмотреть командой 173
- Настройка ipsec vpn 173
- Помимо создания туннеля необходимо в firewall разрешить входящий трафик по протоколу udp с портом отправителя 519 и портом назначения 519 173
- Счетчики входящих и отправленных пакетов можно посмотреть командой 173
- Pre shared key метод аутентификации использующий предварительно полученные ключи шифрования rsa public key метод аутентификации использующий rsa сертификат 174
- Restart соединение переустанавливается clear соединение останавливается hold соединение поддерживается none механизм выключен никаких действий не предпринимается 175
- By request соединение активируется встречной стороной route соединение активируется при появлении трафика маршрутизируемого в туннель immediate туннель активируется автоматически после применения конфигурации 178
- Пересогласование ключей до истечения времени за 540 секунд пересогласование ключей до истечения объема трафика и количества пакетов отключено 179
- Пример настройки route based ipsec vpn 180
- Pre shared key метод аутентификации использующий предварительно полученные ключи шифрования rsa public key метод аутентификации использующий rsa сертификат 184
- Алгоритм настройки policy based ipsec vpn 184
- В firewall необходимо разрешить протокол esp и isakmp udp порт 500 184
- Конфигурацию туннеля можно посмотреть командой 184
- Policy based трафик перенаправляется на основе принадлежности к указанным в политиках подсетям route based трафик перенаправляется на основе маршрутов шлюзом у которых является туннельный интерфейс 185
- Restart соединение переустанавливается clear соединение останавливается hold соединение поддерживается none механизм выключен никаких действий не предпринимается 185
- By request соединение активируется встречной стороной route соединение активируется при появлении трафика маршрутизируемого в туннель immediate туннель активируется автоматически после применения конфигурации 189
- R1 ip адрес 198 1 00 190
- R2 ip адрес 203 13 190
- Задача 190
- Настроить ipsec туннель между r1 и r2 190
- Пример настройки policy based ipsec vpn 190
- Конфигурирование r2 настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности 192
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ip sec туннеля режим обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 192
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля по которым могут согласовываться узлы 192
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 192
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия протокола и режим перенаправления трафика в туннель 192
- Remote access ipsec vpn сценарий организации временных vpn подключений в котором сервер ipsec vpn находится в режиме ожидания входящих подключений а клиенты осуществляют временные подключения к серверу для получения доступа к сетевым ресурсам 194
- Алгоритм настройки remote access ipsec vpn 194
- В firewall необходимо разрешить протокол esp и isakmp udp порт 500 194
- Дополнительной особенностью ra ipsec vpn является возможность использования второго фактора аутентификации ipsec extended authentication xauth вторым фактором аутентификации является пара логин пароль для клиента ipsec vpn 194
- Конфигурацию туннеля можно посмотреть командой 194
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ip sec туннеля режим обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 194
- Состояние туннеля можно посмотреть командой 194
- Xauth psk key метод двухфакторной аутентификации использующий пару логин пароль и предварительно полученные ключи шифрования 195
- Policy based трафик перенаправляется на основе принадлежности к указанным в политиках подсетям 196
- Restart соединение переустанавливается clear соединение останавливается hold соединение поддерживается none механизм выключен никаких действий не предпринимается 196
- Ah данный протокол осуществляет только аутентификацию трафика шифрование данных не выполняется esp данный протокол осуществляет аутентификацию и шифрование трафика 198
- By request соединение активируется встречной стороной доступно для сервера route соединение активируется при появлении трафика маршрутизируемого в туннель доступно для сервера immediate туннель активируется автоматически после применения конфигурации доступно для клиента 200
- Пример настройки remote access ipsec vpn 203
- Создадим политику протокола ike в политике указывается список профилей протокола ike по которым могут согласовываться узлы ключ аутентификации и метод аутентификации xauth по ключу 204
- Создадим профиль доступа и заведем в нем пару логин и пароль для клиента ipsec vpn 204
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм шифрования 3 des алгоритм аутентификации sha1 данные параметры безопасности используются для защиты ike соединения 204
- Создадим пул адресов назначения из которого будут выдаваться ip клиентам ipsec vpn 204
- Создадим шлюз протокола ike в данном профиле необходимо указать политику протокола ike указать локальную подсеть в качестве удаленной подсети указать пул адресов назначения задать режим перенаправления трафика в туннель по политике и использование второго фактора аутентификации xauth 204
- Lt англ logical tunnel логический туннель тип туннелей предназначенный для передачи маршрутной информации и трафика между различными виртуальными маршрутизаторами vrf lite сконфигурированными на одном аппаратном маршрутизаторе lt туннель может использоваться для организации взаимодействия между двумя или более vrf с применением ограничений firewall 208
- Алгоритм настройки 208
- Настройка lt туннелей 208
- Для esr 10 12v f 14vf 1280 600 для esr 20 21 1280 500 для esr 100 200 1000 1200 1500 1511 1700 3100 1280 0000 209
- Задача 209
- Значение mtu принимает значения в диапазоне 209
- Значение по умолчанию 1500 209
- Исходная конфигурация 209
- Организовать взаимодействие между хостами терминированными в двух vrf vrf_1 и vrf_2 209
- Пример настройки 209
- Указать размер mtu maximum transmition unit пакетов которые может пропускать данный bridge не обязательно возможно если в bridge включен только vlan mtu более 1500 будет активно только в случае применения команды system jumbo frames 209
- Шаг описание команда ключи 209
- Если в vrf не сконфигурирован ни один из протоколов динамической маршрутизации то необходимо указать статические маршруты для каждого vrf 210
- Решение 210
- Создадим lt туннели для каждого vrf с указанием ip адресов из одной подсети 210
- Укажем для каждого lt туннеля lt туннель из vrf с которым необходимо установить связь и активируем их 210
- Алгоритм настройки 211
- Базовый qos 211
- Управление qos 211
- Cos 0 очередь 1 cos 1 очередь 2 cos 2 очередь 3 cos 3 очередь 4 cos 4 очередь 5 cos 5 очередь 6 cos 6 очередь 7 cos 7 очередь 8 212
- Dscp 0 7 очередь 1 dscp 8 15 очередь 2 dscp 16 23 очередь 3 dscp 24 31 очередь 4 dscp 32 39 очередь 5 dscp 40 47 очередь 6 dscp 48 55 очередь 7 dscp 56 63 очередь 8 212
- Все очереди участвуют в wrr wrr механизм обработки очередей на основе веса 8 все очереди обслуживаются как strictpriority strictprior ity приоритетная очередь обслуживается сразу как только появляются пакеты 213
- Задача 214
- Настроить следующие ограничения на интерфейсе gigabitethernet 1 0 8 передавать трафик с dscp 22 в восьмую приоритетную очередь трафик с dscp 14 в седьмую взвешенную очередь установить ограничение по скорости в 60 мбит с для седьмой очереди 214
- Пример настройки 214
- Включим qos на входящем интерфейсе для корректной классификации трафика и направления в соответствующую очередь со стороны lan 215
- Включим qos на интерфейсе со стороны wan для правильной обработки очередей и ограничения полосы пропускания 215
- Для того чтобы восьмая очередь осталась приоритетной а очереди с первой по седьмую стали взвешенными ограничим количество приоритетных очередей до 1 215
- Перенаправим трафик с dscp 14 в седьмую взвешенную очередь 215
- Перенаправим трафик с dscp 22 в первую приоритетную очередь 215
- Просмотреть статистику по qos можно командой 215
- Решение 215
- Установим ограничение по скорости в 60 мбит с для седьмой очереди 215
- Алгоритм настройки 216
- В расширенном режиме на маршрутизаторах esr классификация поступающего трафика возможна как на входящем так и на исходящем интерфейсах 216
- Расширенный qos 216
- Fifo режим fifo first in first out gred режим gred generalized red red режим red random early detection sfq режим sfq очередь sfq распределяет передачу пакетов на базе потоков 218
- Задача 220
- Классифицировать приходящий трафик по подсетям 10 1 24 10 2 24 произвести маркировку по dscp 38 и 42 и произвести разграничение по подсетям 40 мбит с и 60 мбит с ограничить общую полосу до 250 мбит с остальной трафик обрабатывать через механизм sfq 220
- Пример настройки 220
- Настроим списки доступа для фильтрации по подсетям выходим в глобальный режим конфигурации 221
- Осуществляем привязку класса к политике настраиваем ограничение полосы пропускания и выходим 221
- Решение 221
- Создаем классы fl1 и fl2 указываем соответствующие списки доступа настраиваем маркировку 221
- Создаём политику и определяем ограничение общей полосы пропускания 221
- Включаем qos на интерфейсах политику на входе интерфейса gi 1 0 19 для классификации и на выходе gi1 0 20 для применения ограничений и режима sfq для класса по умолчанию 222
- Для другого трафика настраиваем класс с режимом sfq 222
- Для просмотра статистики используется команда 222
- Управление маршрутизацией 223
- Политика анонсирования маршрутной информации 224
- Протокол ospf 224
- Протокол rip 224
- Протокол is is 225
- Протокол ebpg 226
- Протокол ibpg 226
- Алгоритм настройки 227
- Конфигурирование статических маршрутов 227
- Пример настройки статических маршрутов 228
- Для интерфейса gi1 0 1 укажем адрес 10 8 и зону lan через данный интерфейс r2 будет подключен к сети 10 8 229
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный интерфейс r1 будет подключен к устройству r2 для последующей маршрутизации трафика 229
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный интерфейс r2 будет подключен к устройству r1 для последующей маршрутизации трафика 229
- Для интерфейса gi1 0 3 укажем адрес 128 07 30 и зону wan через данный интерфейс r1 будет подключен к сети internet 229
- Зададим имя устройства для маршрутизатора r2 229
- Создадим маршрут для взаимодействия с сетью 10 8 используя в качестве шлюза устройство r2 192 68 00 229
- Создадим маршрут для взаимодействия с сетью internet используя в качестве nexthop шлюз провайдера 128 07 229
- Rip дистанционно векторный протокол динамической маршрутизации который использует количество транзитных участков в качестве метрики маршрута максимальное количество транзитных участков hop разрешенное в rip равно 15 каждый rip маршрутизатор по умолчанию вещает в сеть свою полную таблицу маршрутизации один раз в 30 секунд rip работает на 3 м уровне стека tcp ip используя udp порт 520 230
- Алгоритм настройки 230
- Настройка rip 230
- Проверить таблицу маршрутов можно командой 230
- Создадим маршрут по умолчанию указав в качестве nexthop ip адрес интерфейса gi1 0 2 маршрутизатора r1 192 68 00 230
- Cleartext пароль передается открытым текстом md5 пароль хешируется по алгоритму md5 231
- Eq при указании команды длина префикса должна соответствовать указанной le при указании команды длина префикса должна быть меньше либо соответствовать указанной ge при указании команды длина префикса должна быть больше либо соответствовать указанной default route фильтрация маршрута по умолчанию 231
- In фильтрация входящих маршрутов out фильтрация анонсируемых маршрутов 233
- Intra area анонсирование маршрутов ospf процесса в пределах зоны inter area анонсирование маршрутов ospf процесса между зонами external 1 анонсирование внешних маршрутов ospf формата 1 external 2 анонсирование внешних маршрутов ospf формата 2 234
- Multicast маршруты анонсируются в многоадресном режиме broadcast маршруты анонсируются в широковещательном режиме unicast маршруты анонсируются в unicast режиме соседям 235
- Задача 235
- Настроить на маршрутизаторе протокол rip для обмена маршрутной информацией с соседними маршрутизаторами маршрутизатор должен анонсировать статические маршруты и подсети 115 24 14 24 10 24 анонсирование маршрутов должно происходить каждые 25 секунд 235
- Пример настройки rip 235
- Ospf протокол динамической маршрутизации основанный на технологии отслеживания состояния канала link state technology и использующий для нахождения кратчайшего пути алгоритма дейкстры 237
- Алгоритм настройки 237
- Для esr 1000 1200 1500 1511 1700 3100 1 00000 для esr 20 21 100 200 1 00000 для esr 10 12v f 14vf 1 0000 237
- Для esr 1000 1200 1500 1511 1700 3100 500000 для esr 20 21 100 200 300000 для esr 10 12v f 14vf 30000 237
- Настройка ospf 237
- Eq при указании команды длина префикса должна соответствовать указанной le при указании команды длина префикса должна быть меньше либо соответствовать указанной ge при указании команды длина префикса должна быть больше либо соответствовать указанной 238
- In фильтрация входящих маршрутов out фильтрация анонсируемых маршрутов 239
- Advertise при указании команды вместо подсетей входящих в указанную подсеть будет анонсироваться суммарная подсеть not advertise подсети входящие в указанную подсеть анонсироваться не будут 242
- Cleartext пароль передается открытым текстом доступно только для rip и ospf vlink md 5 пароль хешируется по алгоритму md5 243
- Cleartext пароль передается открытым текстом md 5 пароль хешируется по алгоритму md5 244
- Broadcast тип соединения широковещательный non broadcast тип соединения nbma point to multipoint тип соединения точка многоточие point to multipoint non broadcast тип соединения nbma точка многоточие point to point тип соединения точка точка 246
- Пример настройки ospf 247
- Включим ospf процесс 248
- Включим анонсирование маршрутной информации из протокола rip 248
- Задача 248
- Изменим тип области на тупиковый на каждом маршрутизаторе из области 1 в режиме конфигурирования области выполним команду 248
- Изменить тип области 1 область должна быть тупиковой тупиковый маршрутизатор должен анонсировать маршруты полученные по протоколу rip 248
- Предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме приведенной на рисунке 248
- Пример настройки ospf stub area 248
- Решение 248
- Соседние маршрутизаторы подключены к интерфейсам gi1 0 5 и gi1 0 15 для установления соседства с другими маршрутизаторами привяжем их к ospf процессу и области далее включим на интерфейсе маршрутизацию по протоколу ospf 248
- Пример настройки virtual link 249
- В firewall необходимо разрешить протокол ospf 89 250
- Для просмотра соседей можно воспользоваться следующей командой 250
- Настройка bgp 250
- Протокол bgp предназначен для обмена информацией о достижимости подсетей между автономными системами далее ас то есть группами маршрутизаторов под единым техническим управлением использующими протокол внутридоменной маршрутизации для определения маршрутов внутри себя и протокол междоменной маршрутизации для определения маршрутов доставки пакетов в другие ас передаваемая информация включает в себя список ас к которым имеется доступ через данную систему выбор наилучших маршрутов осуществляется исходя из правил принятых в сети 250
- Рассмотрим таблицу маршрутизации на маршрутизаторе r1 250
- Рассмотрим таблицу маршрутизации на маршрутизаторе r3 250
- Таблицу маршрутов протокола ospf можно просмотреть командой 250
- Так как ospf считает виртуальный канал частью области в таблице маршрутизации r1 маршруты полученные от r3 отмечены как внутризоновые и наоборот 250
- Алгоритм настройки 251
- Для esr 1000 1200 1500 1511 1700 3100 1 000000 для esr 20 21 100 200 1 500000 для esr 10 12v f 14vf 1 000000 251
- Для esr 1000 1200 1500 1511 1700 3100 5000000 для esr 20 21 100 200 2500000 для esr 10 12v 12vf 14vf 1000000 251
- Для установлении bgp сессии необходимо в firewall разрешить tcp порт 179 251
- Aaa bbb ccc ddd ee ip адрес подсети с маской в форме префикса где aaa ddd принимают значения 0 55 и ee принимает значения 1 2 253
- X x x x x ee где каждая часть x принимает значения в шестнадцатеричном формате 0 ffff и ee принимает значения 1 28 253
- Aaa bbb ccc ddd ee ip адрес подсети с маской в форме префикса где aaa ddd принимают значения 0 55 и ee принимает значения 1 2 255
- X x x x x ee где каждая часть x принимает значения в шестнадцатеричном формате 0 ffff и ee принимает значения 1 28 255
- Md5 пароль шифруется по алгоритму md5 257
- Intra area анонсирование маршрутов ospf процесса в пределах зоны inter area анонсирование маршрутов ospf процесса между зонами external 1 анонсирование внешних маршрутов ospf формата 1 external 2 анонсирование внешних маршрутов ospf формата 2 258
- Aaa bbb ccc ddd ee ip адрес подсети с маской в форме префикса где aaa ddd принимают значения 0 55 и ee принимает значения 1 2 x x x x x ee ipv6 адрес и маска подсети где каждая часть x принимает значения в шестнадцатеричном формате 0 ffff и ee принимает значения 1 28 259
- Часто бывает особенно при конфигурировании ibgp что в одном bgp процессе необходимо настроить несколько bgp neighbor с одинаковыми параметрами во избежание избыточности конфигурации 262
- Задача 263
- Настроить bgp протокол на маршрутизаторе r3 со следующими параметрами 263
- Пример настройки 263
- Рекомендуется использовать bgp peer group в которой возможно описать общие параметры а в конфигурации bgp neighbor просто указать причастность к bgp peer group 263
- Решение 263
- Сконфигурируем необходимые сетевые интерфейсы 263
- Собственные подсети 80 6 24 80 6 6 24 анонсирование подсетей подключенных напрямую собственная as 2500 первое соседство подсеть 219 30 собственный ip адрес 219 ip адрес соседа 219 as2500 второе соседство подсеть 185 30 собственный ip адрес 185 ip адрес соседа 185 as20 263
- И укажем принадлежность интерфейсов к зоне безопасности 264
- Сконфигурируем firewall для приема маршрутизатором bgp трафика из зоны безопасности wan 264
- Сконфигурируем анонсирование подсетей подключенных напрямую 264
- Создадим bgp процесс для as 2500 и войдем в режим конфигурирования параметров процесса 264
- Создадим route map который будет использоваться в дальнейшем при настройке разрешающих анонсов роутерам из другой as 264
- Создадим соседство с роутером r2 по ibgp 264
- Политика выбора лучшего маршрута в протоколе bgp 265
- Bfd bidirectional forwarding detection это протокол работающий поверх других протоколов позволяющий сократить время обнаружения проблемы до 50 мс bfd является двусторонним протоколом т е требует настройки обоих маршрутизаторов оба маршрутизатора генерируют bfd пакеты и отвечают друг другу 267
- Алгоритм настройки 267
- Настройка bfd 267
- Миллисекунд на esr 10 12v f 14vf 20 21 100 200 200 миллисекунд на esr 1000 1200 1500 1511 1700 3100 268
- Миллисекунд на esr 10 12v f 14vf 20 21 100 200 200 миллисекунд на esr 1000 1200 1500 1511 1700 3100 270
- Esr config if gi ip bfd passive 271
- Задача 271
- Конфигурирование r1 предварительно необходимо настроить интерфейс gi1 0 1 271
- Конфигурирование r2 предварительно необходимо настроить интерфейс gi1 0 1 271
- Настроим ebgp с bfd 271
- Необходимо настроить ebgp между esr r1 и r2 и включить bfd 271
- Перевести bfd сессию в пассивный режим то есть bfd сообщения не будут отправляться до тех пор пока не будут получены сообщения от bfd соседа на интерфейсе не обязательно 271
- Пример настройки bfd c bgp 271
- Решение 271
- Шаг описание команда ключи 271
- Begin значение атрибута начинается с указанных номеров as end значение атрибута заканчивается указанными номерами as contain значение атрибута содержит указанный список номеров as 272
- Permit прием или анонсирование маршрутной информации разрешено deny запрещено 272
- Route map могут служить фильтрами позволяющими обрабатывать маршрутную информацию при приеме этой информации от соседа либо при ее передаче соседу обработка может включать в себя фильтрацию на основании различных признаков маршрута а также установку атрибутов med as path community localpreference и другое на соответствующие маршруты 272
- Алгоритм настройки route map для bgp 272
- Настроим ebgp с bfd 272
- Настройка политики маршрутизации pbr 272
- Также route map может назначать маршруты на основе списков доступа acl 272
- Rt route target ro route origin 273
- No advertise маршруты передаваемые с данным community не должны анонсироваться другим bgp соседям no export маршруты передаваемые с таким community не должны анонсироваться ebgp соседям но анонсируются внешним соседям в конфедерации 275
- Rt route target ro route origin 275
- Blackhole пакеты до данной подсети будут удаляться без отправки уведомлений отправителю unreachable пакеты до данной подсети будут удаляться отправитель получит в ответ icmp destination unreachable host unreachable code 1 prohibit пакеты до данной подсети будут удаляться устройством отправитель получит в ответ icmpdestinationunreachable communication administratively prohibited code 13 276
- Egp маршрут выучен по протоколу egp igp маршрут получен внутри исходной as incomplete маршрут выучен другим образом 276
- Пример настройки 1 route map для bgp 277
- Пример настройки 2 route map для bgp 278
- Permit прием или анонсирование маршрутной информации разрешено deny запрещено 279
- Алгоритм настройки route map на основе списков доступа policy based routing 279
- В bgp процессе as 2500 заходим в настройки параметров соседа 279
- Привязываем политику к анонсируемой маршрутной информации 279
- Задача 280
- Имя сконфигурированной политики маршрутизации строка до 31 символа 280
- Назначить политику маршрутизации на основе списков доступа acl 280
- Предварительно нужно назначить ip адреса на интерфейсы 280
- Пример настройки route map на основе списков доступа policy based routing 280
- Распределить трафик между интернет провайдерами на основе подсетей пользователей 280
- Решение 280
- Создаем acl 280
- Требуется направлять трафик с адресов 10 0 24 через isp1 184 5 50 а трафик с адресов 10 0 24 через isp2 80 6 3 требуется контролировать доступность адресов провайдеров работоспособность подключений к isp и при неработоспособности одного из подключений переводить с него на рабочее подключение весь трафик 280
- Шаг описание команда ключи 280
- Vrf virtual routing and forwarding технология которая позволяет изолировать маршрутную информацию принадлежащую различным классам например маршруты одного клиента 282
- Алгоритм настройки 282
- Настройка vrf lite 282
- Ospf esr 1000 1200 1500 1511 1700 3100 1 00000 esr 20 21 100 200 1 00000 esr 10 12v f 14vf 1 0000 bgp esr 1000 1200 1500 1511 1700 3100 1 000000 esr 20 21 100 200 1 500000 esr 10 12v f 14vf 1 000000 283
- Задача 284
- К маршрутизатору серии esr подключены 2 сети которые необходимо изолировать от остальных сетей 284
- Пример настройки 284
- Решение 284
- Создадим vrf 284
- Создадим зону безопасности 284
- Создадим правило для пары зон и разрешим любой tcp udp трафик 284
- Metric метрика маршрута принимает значения 0 55 285
- Алгоритм настройки 285
- Идентификатор создаваемого правила из п 285
- Идентификатор создаваемого правила принимает значения 1 0 285
- Информацию об интерфейсах привязанных к vrf можно посмотреть командой 285
- Настройка multiwan 285
- Прописать статические маршруты через wan если необходимо 285
- Сконфигурировать интерфейсы по которым будет работать multiwan установить ip адреса и указать security zone 285
- Создадим привязку интерфейсов назначим ip адреса укажем принадлежность к зоне 285
- Создать правило wan и перейти в режим настройки параметров правила 285
- Таблицу маршрутов vrf можно просмотреть с помощью команды 285
- Технология multiwan позволяет организовать отказоустойчивое соединение с резервированием линков от нескольких провайдеров а также решает проблему балансировки трафика между резервными линками 285
- Шаг описание команда ключи 285
- Задача 288
- Настроим маршрутизацию 288
- Настроить зоны для интерфейсов te1 0 1 и te1 0 2 указать ip адреса для интерфейсов te1 0 1 и te1 0 2 288
- Настроить маршрут к серверу 108 6 28 с возможностью балансировки нагрузки 288
- Основной этап конфигурирования 288
- Предварительно нужно выполнить следующие действия 288
- Пример настройки 288
- Решение 288
- В режиме конфигурирования интерфейса te1 0 1 включаем wan режим и выходим 289
- В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки соединения 289
- В режиме конфигурирования интерфейса te1 0 2 указываем nexthop 289
- Включим созданное правило балансировки и выйдем из режима конфигурирования правила 289
- Зададим адрес для проверки включим проверку указанного адреса и выйдем 289
- Настроим интерфейсы в режиме конфигурирования интерфейса te1 0 1 указываем nexthop 289
- Создадим правило wan 289
- Создадим список для проверки целостности соединения 289
- Создадим цель проверки целостности 289
- Укажем участвующие интерфейсы 289
- Алгоритм настройки 290
- Настройка is is 290
- Cleartext пароль передается открытым текстом md5 пароль хешируется по алгоритму md5 291
- Level 1 работа производится только на 1 уровне level 1 2 работа производится и на 1 и на 2 уровне level 2 работа производится только на 2 уровне 292
- Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне 292
- Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне 293
- Intra area анонсирование маршрутов ospf процесса в пределах зоны inter area анонсирование маршрутов ospf процесса между зонами external1 анонсирование внешних маршрутов ospf формата 1 external2 анонсирование внешних маршрутов ospf формата 2 294
- Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне 294
- Level 1 анонсирование маршрутов 1 уровня level 2 анонсирование маршрутов 1 уровня inter area анонсирование маршрутов is is процесса между зонами 295
- Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне 295
- Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне 296
- Level 1 работа производится только на 1 уровне level 1 2 работа производится и на 1 и на 2 уровне level 2 работа производится только на 2 уровне 297
- Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне 297
- Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне 298
- Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне 299
- Cleartext пароль передается открытым текстом md5 пароль хешируется по алгоритму md5 300
- Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне 300
- Пример настройки 301
- Зададим номер зоны такой же как на esr1 а также уникальный системный идентификатор 302
- Зададим работу маршрутизатора с узкой метрикой на первом уровне и с широкой метрикой на втором и включим работу данного процесса is is 302
- Настроим работу интерфейсов на маршрутизаторе на обоих интерфейсах настройка будет одинаковая 302
- Перейдём к настройке маршрутизатора esr2 302
- Перейдём к настройке маршрутизатора esr3 302
- Установление соседства можно посмотреть командой show isis neighbors выполним её на esr2 302
- Настройка протокола ldp 303
- Управление технологией mpls 303
- Алгоритм настройки 304
- Пример настройки 305
- Предварительная конфигурация esr 306
- Предварительная конфигурация esr1 306
- Вывод покажет параметры соседнего пира полученные из мультикастовых hello сообщений 307
- На одном из пиров вести следующие команды 307
- Настройка на esr 307
- Настройка на esr1 307
- Проверка 307
- Hello interval 5 секунд 308
- Hold timer 15 секунд 308
- Hold timer является согласуемым параметром выбирается наименьший в данном примере показано что esr после согласования hold timer равен 10 секундам 308
- Keepalive holdtime 180 секунд 308
- Если после согласования hello interval стал больше чем hold timer то hello interval будет равным hold timer 3 308
- Конфигурирование параметров сессии в протоколе ldp 308
- Параметр ldp 308
- По умолчанию в рассылаемых hello сообщениях установлены следующие значения 308
- Сессия ldp должна находиться в статусе operational 308
- Если параметры hello holdtime и hello interval не указаны то используются значения по умолчанию если параметры указаны то приоритет значений для address family будет выше чем для значений сконфигурированных глобально 309
- На маршрутизаторах esr реализована возможность гибкой настройки параметров hello holdtime hello interval и keepalive holdtime рассмотрим пример настройки hello holdtime для ldp сессии 309
- Параметры сконфигурированные в address family могут быть настроены на каждый отдельный интерфейс участвующий в процессе ldp 309
- Алгоритм настройки параметров hello holdtime и hello interval в глобальной конфигурации 310
- Алгоритм настройки параметров hello holdtime и hello interval в глобальной конфигурации ldp 310
- Алгоритм настройки параметров hello holdtime и hello interval для address family 310
- Для tcp сессии keepalive holdtime является также согласуемым параметром по аналогии с hold timer keepalive interval рассчитывается автоматически и равен keepalive holdtime 3 keepalive holdtime можно задать как глобально так и для каждого соседа таймер заданный для определенного соседа является более приоритетным 310
- Алгоритм настройки параметра keepalive holdtime в глобальной конфигурации ldp 311
- Алгоритм настройки параметра keepalive holdtime для определенного соседа 311
- Задача 311
- Переопределить параметры hello holdtime 40 секунд и hello interval 10 секунд для всего процесса ldp для соседа с адресом 1 установить keepalive holdtime равным 150 секунд 311
- Пример настройки 311
- Решение 311
- Hello interval 5 секунд 312
- Hold timer 45 секунд 312
- Keepalive holdtime 180 секунд 312
- Для просмотра hello параметров 312
- Для просмотра параметров установленной tcp сессии 312
- Конфигурирование параметров сессии в протоколе targeted ldp 312
- Параметр targeted ldp 312
- По умолчанию для targeted ldp сессии установлены следующие значения 312
- Проверка 312
- Hold timer является согласуемым параметром выбирается наименьший в данном примере показано что esr после согласования установил 30 секунд 313
- Если после согласования hello interval стал больше чем hold timer то hello interval будет равным hold timer 3 313
- На маршрутизаторах esr реализована возможность гибкой настройки параметров hello holdtime hello interval и keepalive holdtime параметры можно задать как для всего процесса ldp так и на соответствующего соседа 313
- Пример вывода для targeted ldp сессии для определенного соседа 313
- Пример вывода для процесса ldp 313
- Алгоритм настройки параметров hello holdtime hello interval и keepalive holdtime для 314
- Алгоритм настройки параметров hello holdtime hello interval и keepalive holdtime для процесса ldp 314
- В режиме конфигурации протокола ldp задать hello holdtime 314
- Время в секундах в интервале 3 5535 314
- Если параметры установлены и для процесса ldp и на определенного соседа приоритетом будет считаться настройки установленные для соседа 314
- Значение по умолчанию 45 314
- Настроить протокол ldp см раздел конфигурирование протокола ldp 314
- Процесса ldp 314
- Алгоритм настройки параметров hello holdtime hello interval и keepalive holdtime для 315
- Алгоритм настройки параметров hello holdtime hello interval и keepalive holdtime для определенного соседа 315
- Задача 315
- Определенного соседа 315
- Переопределить параметры hello holdtime 120 секунд и hello interval 30 секунд для всего процесса targeted ldp для соседа с адресом 4 установить keepalive holdtime равным 150 секунд 315
- Пример настройки 315
- Решение 315
- Алгоритм настройки 316
- Для просмотра hello параметров targeted ldp сессии 316
- Для просмотра параметров установленной tcp сессии 316
- Имя конфигурируемого списка подсетей задаётся строкой до 31 символа 316
- Настроить протокол ldp см раздел конфигурирование протокола ldp 316
- Настройка фильтрации ldp меток 316
- По умолчанию маршрутизаторы выделяют на каждый fec отдельную метку существуют сценарии когда необходимо выделять mpls метки только для определенных fec 316
- Проверка 316
- Шаг описание команда ключи 316
- Пример настройки 317
- Алгоритм настройки l2vpn vpws 318
- Настройка сервиса l2vpn martini mode 318
- Включить поддержку jumbo фреймов с помощью команды system jumbo frames для вступления изменений в силу требуется перезагрузка устройства настроить ip адреса на интерфейсах согласно схеме сети приведенной на рисунке выше организовать обмен маршрутами между pe1 и pe2 при помощи igp протокола ospf is is rip 320
- Задача 320
- Настроить l2vpn таким образом чтобы интерфейс ge1 0 2 00 маршрутизатора ce1 и интерфейс ge1 0 2 00 маршрутизатора ce2 работали в рамках одного широковещательного домена 320
- Предварительно нужно 320
- Пример настройки l2vpn vpws 320
- Решение 320
- Выставим на интерфейсе в сторону pe2 значение mtu равным 9600 для того чтобы избежать ситуации с превышением mtu после инкапсуляции mpls заголовка а также отключим межсетевой экран 321
- На маршрутизаторе pe1 создадим саб интерфейс на который будем принимать трафик от ce1 321
- Настроим протокол ldp и включим обнаружение соседей на интерфейсе в сторону pe2 321
- Разрешим прием пакетов с mpls заголовком на интерфейсе в сторону mpls сети в данном примере интерфейс в сторону pe2 321
- Создадим pw class на основе которого в дальнейшем будет создан виртуальный канал pw так как в данном примере на pw будут применяться параметры по умолчанию достаточно будет указать имя класса 321
- Создадим новый l2vpn типа p2p и добавим pw до маршрутизатора pe3 идентификатор pw для удобства возьмем равным vid в данном случай 100 321
- Применим конфигурацию 322
- Проведем настройку маршрутизатора pe2 по аналогии с pe1 322
- Убедимся в установлении соседства по протоколу ldp и выведем информацию по статусу виртуального канала pseudowire между pe1 и pe2 322
- Алгоритм настройки l2vpn vpls 323
- Соседство по протоколу ldp установлено pseudowire перешел в статус up настройка l2vpn типа p2p завершена 323
- Задача 324
- Настроить l2vpn таким образом чтобы маршрутизаторы ce1 ce2 ce3 имели l2 связность через интерфейсы gi1 0 2 00 и gi1 0 4 ce2 324
- Пример настройки l2vpn vpls 324
- Настроим протокол ldp и включим обнаружение соседей на интерфейсе в сторону pe2 326
- Применим созданную конфигурацию 326
- Разрешим прием пакетов с mpls заголовком на интерфейсе в сторону mpls сети в данном примере интерфейс в сторону pe2 326
- Создадим pw class на основе которого в дальнейшем будет созданы виртуальные каналы pw так как в данном примере на pw будут применяться параметры по умолчанию достаточно будет указать имя класса 326
- Создадим новый l2vpn типа vpls и добавим pw до маршрутизаторов pe2 и pe3 идентификатор pw для удобства возьмем равным vid в данном случае 100 326
- Проведем настройку маршрутизатора pe2 и pe3 по аналогии с pe1 327
- Соседство по протоколу ldp установлено pseudowire перешел в статус up настройка l2vpn завершена 328
- Убедимся в установлении соседства по протоколу ldp и выведем информацию по статусу виртуального канала pseudowire между pe1 pe2 и pe3 328
- Алгоритм настройки l2vpn vpls 329
- В отличии от martini mode где вся работа ложится на ldp в данном режиме ldp отводится только работа с транспортными метками автообнаружение и построение псевдопроводного соединения возложено на протокол bgp 329
- Настройка сервиса l2vpn kompella mode 329
- Принимает значение 1 294967295 nn принимает значение 1 5535 329
- Принимает значение 1 294967295 nn принимает значение 1 5535 330
- Пример настройки l2vpn vpls 331
- Первым делом настроим маршрутизатор rr 332
- Настроим bgp route reflector для address family l2vpn 333
- Переходим к настройке протокола bgp на pe маршрутизаторах 333
- Предварительная конфигурация 333
- Предварительная конфигурация 334
- Настройка bgp на pe2 335
- Настройка протокола bgp 335
- Предварительная конфигурация 335
- Проверим что bgp сессия успешно установлена с rr 335
- Предварительная конфигурация 336
- Убедимся что сессия с rr поднялась успешно 337
- Настройка bgp на pe3 338
- Предварительная конфигурация 338
- Проверим что сессия bgp установлена успешно 339
- Следующим этапом на каждом pe маршрутизаторе создадим бридж домен и включим в него интерфейс attachment circuit ac смотрящий в сторону ce 339
- Проверим что интерфейс включен в бридж домен 340
- Переходим в контекст настройки l2vpn и включим в него заранее созданный бридж домен 341
- Следующим шагом выполним настройку vpls 341
- Например у нас есть номер автономной системы as 65550 vpn id мы указали 10 тогда c генерируются следующие параметры rd 65550 10 rt import export 65550 10 342
- После активации сервиса проверим что в таблице l2vpn появилась маршрутная информация и она анонсируется на rr 342
- Укажем rd rt ve id vpn id согласно схеме сети и активируем сервис 342
- В таблице l2vpn видны как и свои маршруты так и от pe1 343
- Переходим к настройке pe2 343
- Проверяем что pe2 анонсирует маршрутную информацию на rr 343
- Проверим состояние сервиса 344
- Просмотреть вычисленные сервисные метки можно следующим образом 344
- Переходим к настройке pe3 345
- Проверяем маршрутную информацию на pe3 345
- Убедимся что pe3 анонсирует маршрутную информацию на rr 345
- В текущей реализации протокола mp bgp поддержана передача только vpn ipv4 маршрутов afi 1 safi 128 346
- Настройка l2vpn сервиса завершена 346
- Настройка сервиса l3vpn 346
- Проверим сетевую доступность клиентских устройств се 346
- Проверим что псевдопровод построен до обеих pe и находится в статусе up 346
- Сервис l3vpn позволяет объединить распределенные клиентские ip сети и обеспечить передачу трафика между ними с рамках единой vrf 346
- Алгоритм настройки 347
- Принимает значение 1 294967295 nn принимает значение 1 5535 347
- Пример настройки 349
- Настройка адресации и включение igp на p pe маршрутизаторах 350
- Решение 350
- Настройка ldp на p pe маршрутизаторах 354
- Необходимо убедиться что протокол ospf запущен на каждом маршрутизаторе 354
- Без указание атрибутов rd и rt маршрутная информация не попадет в таблицу vpnv4 357
- Для проверки сходимости ldp можно воспользоваться одной из следующих команд 357
- Настройка mp bgp 357
- Создадим vrf на esr1 и esr3 соответственно укажем rd rt export import в соответствии с нашей схемой настроим интерфейс для взаимодействия с ce ce sitea и ce siteb дополнительно создадим route map для разрешения анонсирования маршрутов по протоколу bgp 357
- Настроим ibgp между esr1 и esr3 включим отправку extended community на обоих устройствах 359
- Настройка маршрутизации pe ce 360
- Необходимо убедиться что bgp сессия успешно установлена 360
- По умолчанию для ebgp анонсирование маршрутов запрещено необходимо настроить разрешающее правило для ibgp анонсирование маршрутов разрешено 360
- Согласно нашей топологии customer1 анонсирует по bgp as65505 подсеть 10 00 24 необходимо настроить соответствующие интерфейсы ebgp между esr1 и ce_sitea также необходимо разрешить анонсирование маршрутов в сторону pe 360
- Ce _sitea 361
- Необходимая конфигурация на маршрутизаторе ce sitea 361
- Переходим к настройке ebgp на маршрутизаторе esr1 361
- При передаче маршрутов из vrf в таблицу vpnv4 только connected и или static сетей указывать команду enable не нужно включение необходимо только при наличии bgp пиров в vrf пример конфигурации передачи в vpnv4 таблицу connected и static сетей 362
- Создадим ebgp сессию с ce_sitea и разрешим передачу маршрутов bgp пиру 362
- Вывод анонсируемых маршрутов для определенного пира маршрутная информация отображается после применения фильтрации 363
- Вывод принятой маршрутной информации от определенного пира маршрутная информация отображается после применения фильтрации 363
- Для проверки принятых и анонсированных маршрутов можно воспользоваться следующими командами 363
- Ce siteb 364
- Ce siteb необходимо проделать схожие операции теперь уже между маршрутизаторами esr3 и ce_siteb 364
- Произвести настройку соответствующих интерфейсов и создать ebgp сессию между esr3 и ce_siteb 364
- Со стороны esr3 также настроить ebgp и разрешить передачу маршрутной информации из vrf в таблицу vpnv4 365
- Балансировка трафика mpls 366
- Пример настройки 367
- Работа с бридж доменом в рамках mpls 367
- Назначение mtu при работе с mpls 369
- Ldp signaling настройка mtu для согласования 370
- Bgp signaling настройка mtu для согласования 372
- Для bgp signaling параметр mtu также можно указать 372
- Если при согласовании значение mtu оказалось разным то c татус псевдо провода будет down reason mtu mismatch 372
- По умолчанию бридж домен имеет mtu равным 1500 байт стоит отметить что bridge domain автоматически выбирает наименьшее значение mtu исходя из собственного mtu и mtu интерфейсов включенных в бридж домен 372
- При настройке vpls bgp signaling можно отключить проверку mtu при создании псевдо проводов 372
- Теперь при согласовании значение mtu будет игнорироваться 372
- Pe1 имеет следующие значения mtu на интерфейсах 374
- Рассмотрим пример прохождения трафика в l2vpn сервисе 374
- С e1 посылает пакеты размером 1500 байт ce2 1800 байт соответственно так как mtu бридж домена меньше чем mtu пакета от ce2 то пакет от ce2 будет отброшен перед попаданием в бридж домен аналогичные действия будут если mtu интерфейса смотрящего в сторону mpls core gi1 0 1 меньше чем mtu приходящих от с e пакетов с учетом mpls заголовка 374
- Настройка ааа 376
- Управление безопасностью 376
- Алгоритм настройки локальной аутентификации 377
- Chain если сервер вернул fail перейти к следующему в цепочке методу аутентификации break если сервер вернул fail прекратить попытки аутентификации если сервер недоступен продолжить попытки аутентификации следующими в цепочке методами 378
- Алгоритм настройки aaa по протоколу radius 381
- Local аутентификация с помощью локальной базы пользователей tacacs аутентификация по списку tacacs серверов radius аутентификация по списку radius серверов ldap аутентификация по списку ldap серверов 383
- Console локальная консоль ssh защищенная удаленная консоль 385
- Алгоритм настройки aaa по протоколу tacacs 385
- Chain если сервер вернул fail переход к следующему в цепочке методу аутентификации break если сервер вернул fail прекратить попытки аутентификации если сервер недоступен продолжить попытки аутентификации следующими в цепочке методами 387
- Default имя списка по умолчанию 387
- Enable аутентификация с помощью enable паролей tacacs аутентификация по протоколу tacacs radius аутентификация по протоколу radius ldap аутентификация по протоколу ldap 387
- Tacacs учет сессий по протоколу tacacs radius учет сессий по протоколу radius 387
- Console локальная консоль ssh защищенная удаленная консоль 388
- Алгоритм настройки aaa по протоколу ldap 388
- Onelevel выполнять поиск в объектах на следующем уровне после базового dn в дереве ldap сервера subtree выполнять поиск во всех объектах поддерева базового dn в дереве ldap сервера 389
- Local аутентификация с помощью локальной базы пользователей tacacs аутентификация по списку tacacs серверов radius аутентификация по списку radius серверов ldap аутентификация по списку ldap серверов 391
- Настройка привилегий команд 393
- Пример настройки аутентификации по telnet через radius сервер 393
- Алгоритм настройки 394
- Настройка логирования и защиты от сетевых атак 394
- Пример настройки привилегий команд 394
- Destination unreachable echo request reserved source quench time exceeded 395
- Описание механизмов защиты от атак 397
- Ip firewall screen suspicious packets udp fragment 400
- Ip firewall screen suspicious packets unknown protocols 400
- Данная команда включает блокировку пакетов с id протокола в заголовке ip равном 137 и более 400
- Данная команда включает блокировку фрагментированных udp пакетов 400
- Задача 400
- Команда описание 400
- Необходимо защитить lan сеть и маршрутизатор esr от сетевых атак land syn flood icmp flood и настроить оповещение об атаках по snmp на snmp сервер 192 68 0 400
- Предварительно необходимо настроить интерфейсы и firewall настройка firewall или ее отсутствие не повлияют на работу защиты от сетевых атак 400
- Пример настройки логирования и защиты от сетевых атак 400
- Решение 400
- Firewall комплекс аппаратных или программных средств осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами 401
- Алгоритм настройки 401
- Конфигурирование firewall 401
- Настроим snmp сервер на который будут отправляться трапы 401
- Настроим защиту от land syn flood icmp flood атак 401
- Настроим логирование обнаруженных атак 401
- Посмотреть статистику по зафиксированным сетевым атакам можно командой 401
- Более подробная информация о командах для настройки межсетевого экрана содержится в справочнике команд cli 409
- Для каждой сети esr создадим свою зону безопасности 409
- Задача 409
- Каждая команда match может содержать ключ not при использовании данного ключа под правило будут подпадать пакеты не удовлетворяющие заданному критерию 409
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 409
- При использовании ключа not правило будет срабатывать для значений которые не входят в указанный профиль 409
- Пример настройки firewall 409
- Разрешить обмен сообщениями по протоколу icmp между устройствами r1 r2 и маршрутизатором esr 409
- Решение 409
- Для настройки правил зон безопасности потребуется создать профиль адресов сети lan включающий адреса которым разрешен выход в сеть wan и профиль адресов сети wan 410
- Для пропуска трафика из зоны lan в зону wan создадим пару зон и добавим правило разрешающее проходить icmp трафику от r1 к r2 действие правил разрешается командой enable 410
- Для пропуска трафика из зоны wan в зону lan создадим пару зон и добавим правило разрешающее проходить icmp трафику от r2 к r1 действие правил разрешается командой enable 410
- Пример настройки фильтрации приложений dpi 411
- Блокировать доступ к ресурсам youtube bittorrent и facebook 412
- Для каждой сети esr создадим свою зону безопасности 412
- Для настройки правил зон безопасности потребуется создать профиль приложений которые необходимо будет блокировать 412
- Задача 412
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 412
- Переключаем режим работы межсетевого экрана esr в stateless 412
- Решение 412
- Настройка списков доступа acl 413
- Permit прохождение трафика разрешается deny прохождение трафика запрещается 414
- Алгоритм настройки 414
- Задача 416
- Настроим список доступа для фильтрации по подсетям 416
- Применим список доступа на интерфейс gi1 0 19 для входящего трафика 416
- Пример настройки списка доступа 416
- Разрешить прохождения трафика только из подсети 192 68 0 24 416
- Решение 416
- Также списки доступа могут использоваться для организации политик qos 416
- Ips ids intrusion prevention system intrusion detection system система предотвращения вторжений программная система сетевой и компьютерной безопасности обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них 417
- Алгоритм базовой настройки 417
- Настройка ips ids 417
- По умолчанию на устройствах esr установлен базовый набор правил от компании emergingthreats предназначенный для тестирования и проверки работоспособности системы 417
- Просмотреть детальную информацию о списке доступа возможно через команду 417
- Работа системы основана на сигнатурном анализе трафика сигнатуры для систем ips ids принято называть правилами устройства esr позволяют скачивать актуальные правила с открытых источников в сети интернет или с корпоративного сервера также с помощью cli можно создавать свои специфические правила 417
- Алгоритм настройки автообновления правил ips ids из внешних источников 418
- Файл правил с расширение rule файл классификатора правил с именем classification config каталог на сервере содержащий файлы правил и или файл классификатора правил 418
- Esr 1x 25 мб esr 2x 50 мб 419
- Для всех остальных моделей 100 мб если настроить слишком много источников правил или загружать правила превышающие указанные лимиты то маршрутизатор будет выдавать сообщения об ошибке storage_ips_mgr i err there no free space in rules directory в этом случае стоит уменьшить объем запрашиваемых правил 419
- Для правил ips ids загружаемых из внешних источников на маршрутизаторах esr выделена отдельная область энергозависимой памяти размер этой области зависит от модели esr 419
- Рекомендуемые открытые источники обновления правил 419
- 68 24 локальная сеть 422
- Задача 422
- Организовать защиту локальной сети с авто обновлением правил из открытых источников 422
- Пример настройки ips ids с авто обновлением правил 422
- Решение 422
- Создадим профиль адресов локальной сети которую будем защищать 422
- Настроим авто обновление правил с сайтов emergingthreats net etnetera cz и abuse ch 423
- Настроим на esr dns клиента для разрешения имен источников обновления правил ips ids 423
- Настроим параметры ips ids 423
- Разрешим работу ips ids на интерфейсе локальной сети bridge 1 423
- Создадим политику безопасности ips ids 423
- Устройство будет использоваться только как шлюз безопасности по этому отдадим сервису ips ids все доступные ресурсы 423
- Alert прохождение трафика разрешается и сервис ips ids генерирует сообщение reject прохождение трафика запрещается если это tcp трафик отправителю и получателю посылается пакет tcp reset для остального типа трафика посылается пакет icmp error сервис ips ids генерирует сообщение pass прохождение трафика разрешается drop прохождение трафика запрещается и сервис ips ids генерирует сообщение 424
- Алгоритм настройки базовых пользовательских правил 424
- Protect устанавливает в качестве адресов отправителя и protect адреса определенные адреса в политике ips ids external устанавливает в качестве адресов отправителя и external адреса определенные адреса в политике ips ids 425
- Protect устанавливает в качестве адресов получателя protect адреса определенные в политике ips ids external устанавливает в качестве адресов получателя external адреса определенные в политике ips ids 426
- One way трафик передаётся в одну сторону round trip трафик передаётся в обе стороны 427
- Greater than больше чем less than меньше чем 430
- Inappropriate content обнаружено неприемлемое содержание policy violation потенциальное нарушение корпоративной конфиденциальности default login attempt попытка входа с помощью стандартного логина пароля 430
- Greater than больше чем less than меньше чем 431
- Greater than больше чем less than меньше чем 432
- Both комбинация threshold и limit 433
- By src считать пороговое значение для пакетов с одинаковым ip отправителя by dst считать пороговое значение для пакетов с одинаковым ip получателя 433
- Пример настройки базовых пользовательских правил 434
- Алгоритм настройки расширенных пользовательских правил 435
- Зададим направление трафика 435
- Правило будет срабатывать если нагрузка на сервер будет превышать 3 мб с при этом сообщение об атаке будет генерироваться не чаше одного раза в минуту 435
- Правило будет срабатывать на пакеты размером больше 1024 байт 435
- Активировать правило esr config ips category rule advanced enable 436
- Задача 436
- Написать правило детектирующее атаку типа slowloris 436
- При написании правил символ требуется заменить на символ 436
- Пример настройки расширенных пользовательских правил 436
- Решение 436
- Создадим ещё одно расширенное правило работающее по схожему алгоритму чтобы определить какое из правил будет эффективнее 436
- Создадим набор пользовательских правил 436
- Создадим расширенное правило 436
- Текстовое сообщение в формате snort 2 x suricata 4 x задаётся строкой до 1024 символов 436
- Указать действие данного правила 436
- Шаг описание команда ключи 436
- Алгоритм базовой настройки 437
- Настройка взаимодействия с eltex distribution manager 437
- Alert прохождение трафика разрешается и сервис ips ids генерирует сообщение 440
- Drop прохождение трафика запрещается и сервис ips ids генерирует сообщение 440
- Pass прохождение трафика разрешается 440
- Reject прохождение трафика запрещается если это tcp трафик отправителю и получателю посылается пакет tcp reset для остального типа трафика посылается пакет icmp error сервис ips ids генерирует сообщение 440
- Esr config ips enable 441
- Активировать ips ids 441
- Задать параметры content provider это адрес сервера eltex между сервером content provider и маршрутизатором должна быть сетевая доступность 441
- Задать профиль ip адресов которые будет защищать ips ids 441
- На интерфейсе включить ips 441
- Настроить политику безопасности 441
- После перезагрузки устройства можно начинать настраивать сервис ips 441
- Пример настройки 441
- Шаг описание команда ключи 441
- Назначить сервису ips политику для работы и включить его 442
- Алгоритм базовой настройки 443
- Настройка сервиса контентной фильтрации 443
- Protect устанавливает в качестве адресов отправителя protect адреса определенные в политике ips ids external устанавливает в качестве адресов отправителя external адреса определенные в политике ips ids 447
- Protect устанавливает в качестве адресов получателя protect адреса определенные в политике ips ids external устанавливает в качестве адресов получателя external адреса определенные в политике ips ids 448
- One way трафик передаётся в одну сторону round trip трафик передаётся в обе стороны 449
- Задача 449
- Запретить доступ к http сайтам относящимся к категориям adult content casino online betting online lotteries из локальной сети 192 68 24 449
- На устройстве предварительно должны быть настроены интерфейсы и правила firewall 449
- Пример настройки правил контентной фильтрации 449
- Решение 449
- Создадим профиль адресов локальной сети которую будем защищать 449
- Настроим на esr dns клиента для разрешения имен источников обновления правил ips ids 450
- Настроим параметры ips ids 450
- Разрешим работу ips ids на интерфейсе локальной сети gigabitethernet 1 0 2 450
- Создадим набор пользовательских правил 450
- Создадим политику безопасности ips ids 450
- Создадим правило 450
- Создадим профиль контентной фильтрации для выбранных категорий 450
- Устройство будет использоваться только как шлюз безопасности поэтому отдадим сервису ips ids все доступные ресурсы 450
- Алгоритм базовой настройки 452
- Настройка сервиса антиспам 452
- Ca сертификат удостоверяющего центра server key приватный ключ сервера server crt публичный сертификат сервера dh ключ диффи хеллмана 454
- Esr config mailserver smtp helo required 455
- Esr config mailserver smtp vrfy enable 455
- Включить обязательное требование smtp команды helo или ehlo при установлении smtp сессии необязательно 455
- Включить почтовый сервер esr config mailserver enable 455
- Задать максимальный размер письма в кб необязательно 455
- Задача 455
- Максимальный размер письма в кб принимает значения от 5120 до 51200 455
- Настроим сетевые интерфейсы 455
- Настроить на esr сервис антиспам для работы в качестве smtp proxy для анализа электронной почты адресованной почтовому серверу расположенному в сети предприятия и обслуживающему домен eltex co ru 455
- Пример настройки 455
- Разрешить smtp команду vrfy на почтовом сервере во время smtp сессии необязательно 455
- Решение 455
- Убедимся что mx запись для домена eltex co ru указывает на ip адрес esr 455
- Шаг описание команда ключи 455
- Vrrp англ virtual router redundancy protocol сетевой протокол предназначенный для увеличения доступности маршрутизаторов выполняющих роль шлюза по умолчанию это достигается путём объединения группы маршрутизаторов в один виртуальный маршрутизатор и назначения им общего ip адреса который и будет использоваться как шлюз по умолчанию для компьютеров в сети 457
- Алгоритм настройки 457
- Алгоритм настройки пример настройки 457
- Алгоритм настройки пример настройки 1 пример настройки 2 457
- Настройка firewall failover 457
- Настройка tracking 457
- Настройка vrrp 457
- Управление резервированием 457
- Cleartext пароль передается открытым текстом md 5 пароль хешируется по алгоритму md5 460
- Задача 461
- Настроим маршрутизатор r1 461
- Организовать виртуальный шлюз для локальной сети в vlan 50 используя протокол vrrp в качестве локального виртуального шлюза используется ip адрес 192 68 461
- Основной этап конфигурирования 461
- Предварительно нужно выполнить следующие действия 461
- Пример настройки 1 461
- Решение 461
- Создать соответствующий саб интерфейс настроить зону для саб интерфейса указать ip адрес для саб интерфейса 461
- Пример настройки 2 462
- Включим vrrp 463
- Настроим vrrp для подсети 192 68 0 24 в созданном саб интерфейсе 463
- Помимо создания туннеля необходимо в firewall разрешить протокол vrrp 112 463
- Произвести аналогичные настройки на r2 463
- Укажем ip адрес виртуального шлюза 192 68 463
- Укажем ip адрес виртуального шлюза 192 68 0 463
- Укажем идентификатор vrrp группы 463
- Укажем уникальный идентификатор vrrp 463
- State отслеживается состояние sla теста reachability отслеживается состояние канала связи которое предоставляет sla тест 464
- Tracking механизм позволяющий активировать сущности в зависимости от состояния vrrp sla 464
- Алгоритм настройки 464
- Настройка tracking 464
- And tracking объект будет находиться в активном состоянии если все отслеживаемые условия будут в активном состоянии or tracking объект будет находиться в активном состоянии если хотя бы одно отслеживаемое условие будет в активном состоянии 465
- Resolve при указании данного параметра ip адрес шлюза будет рекурсивно вычислен через таблицу маршрутизации если при рекурсивном вычислении не удастся найти шлюз из напрямую подключенной подсети то данный маршрут не будет установлен в систему 466
- Пример настройки 469
- Исходные конфигурации маршрутизаторов 470
- Маршрутизатор r1 470
- Маршрутизатор r2 470
- На маршрутизаторе r2 никаких изменений не требуется так как подсеть 10 24 терминируется на нем и в момент когда r2 выступает в роли vrrp master пакеты будут переданы в соответствующий 470
- Решение 470
- Firewall failover необходим для резервирования сессий firewall 471
- Алгоритм настройки 471
- Для этого создадим track object с соответствующим условием 471
- Интерфейс на маршрутизаторе необходимо создать маршрут для пакетов с ip адресом назначения из сети 10 24 в момент когда r1 выступает в роли vrrp master 471
- Настройка firewall failover 471
- Создадим статический маршрут в подсеть 10 24 через 192 68 который будет работать в случае удовлетворения условия из track 1 471
- Задача 472
- Настроим маршрутизатор esr 1 master 472
- Настроить резервирование сессий firewall для vrrp группы в unicast режиме необходимо организовать резервирование для двух подсетей с помощью протокола vrrp синхронизировать vrrp процессы на маршрутизаторах 472
- Необходимо настроить firewall failover в режиме unicast с номером udp порта 3333 для vrrp группы 472
- Необходимо настроить vrrp процессы на маршрутизаторах для master будем использовать vrrp priority 20 для backup будем использовать vrrp priority 10 472
- Необходимо настроить зону безопасности для протокола vrrp и протокола udp 472
- Основные этапы решения задачи 472
- Пример настройки 472
- Решение 472
- На маршрутизаторе необходимо установить принадлежность vrrp процессов к одной группе для синхронизации состоянии vrrp процессов master backup а также для синхронизации сессий vrrp процессов с помощью firewall failover 473
- Настроим firewall failover 473
- Настроим vrrp процессы на интерфейсах необходимо настроить следующие параметры на интерфейсах маршрутизатора идентификатор vrrp ip адрес vrrp приоритет vrrp принадлежность vrrp маршрутизатора к группе 473
- После чего необходимо включить vrrp процесс с помощью команды vrrp 473
- Предварительно на интерфейсах настроим ip адрес и определим принадлежность к зоне безопасности 473
- Также вместо настройки vrrp preempt delay есть возможность выбрать режим работы vrrp preempt disable в результате которого маршрутизатор с более высоким vrrp приоритетом не будет забирать мастерство у маршрутизатора с более низким vrrp приоритетом после возвращения в работу 473
- Также дополнительно на master необходимо настроить vrrp preempt delay в результате чего появится время на установление синхронизации firewall перед тем как backup маршрутизатор передаст мастерство 473
- Включим резервирования сессий firewall 474
- Выберем ip адреса сетевого интерфейса с которого будут отправляться сообщения при работе firewall в режиме резервирования сессий 474
- Выберем режим резервирование сессий unicast 474
- Для настройки правил зон безопасности потребуется создать профиль для порта firewall failover 474
- Дополнительно в security zone pair trusted self необходимо разрешить следующие протоколы 474
- Настроим ip адреса соседа при работе резервирования сессий firewall в unicast режиме 474
- Настроим номер udp порта службы резервирования сессий firewall 474
- Настроим маршрутизатор esr 2 backup 475
- Настройка интерфейсов 475
- Посмотреть состояние резервирования сессий firewall есть возможность с помощью следующей команды 475
- Посмотреть состояние систем резервирования устройства есть возможность с помощью следующей команды 475
- Посмотреть статус vrrp процессов есть возможность с помощью следующей команды 475
- Настройка firewall failover 476
- Настройка зоны безопасности аналогична настройки на маршрутизаторе esr 1 master 476
- Алгоритм настройки 477
- Настройка сервера удаленного доступа к корпоративной сети по pptp протоколу 477
- Управление удаленным доступом 477
- Local аутентификация пользователя по локальной базе radius аутентификация пользователя по базе radius сервера на маршрутизаторе должен быть сконфигурирован механизм взаимодействия с radius сервером см раздел алгоритм настройки aaa по протоколу radius 479
- Адрес pptp сервера 120 1 шлюз внутри туннеля для подключающихся клиентов 10 0 0 пул ip адресов для выдачи 10 0 0 10 0 0 5 dns серверы 8 8 учетные записи для подключения fedor ivan 480
- Задача 480
- Настроить pptp сервер на маршрутизаторе 480
- Пример настройки 480
- Выберем метод аутентификации пользователей pptp сервера 481
- Решение 481
- Создадим pptp пользователей ivan и fedor для pptp сервера 481
- Создадим pptp сервер и привяжем вышеуказанные профили 481
- Создадим профиль адресов содержащий адрес который должен слушать сервер 481
- Создадим профиль адресов содержащий адрес локального шлюза 481
- Создадим профиль адресов содержащий адреса клиентов 481
- Укажем зону безопасности к которой будут относиться сессии пользователей 481
- Алгоритм настройки 482
- Настройка сервера удаленного доступа к корпоративной сети по l2tp over ipsec 482
- Настройка сервера удаленного доступа к корпоративной сети по l2tp over ipsec протоколу 482
- Протоколу 482
- Local аутентификация пользователя по локальной базе radius аутентификация пользователя по базе radius сервера на маршрутизаторе должен быть сконфигурирован механизм взаимодействия с radius сервером см раздел алгоритм настройки aaa по протоколу radius 484
- Адрес l2tp сервера 120 1 шлюз внутри туннеля 10 0 0 адрес radius сервера 192 68 486
- Для ipsec используется метод аутентификации по ключу ключ password 486
- Задача 486
- Настроить l2tp сервер на маршрутизаторе для подключения удаленных пользователей к лвс аутентификация пользователей проходит на radius сервере 486
- Настроить подключение к radius серверу настроить зоны для интерфейсов te1 0 1 и gi1 0 1 указать ip адреса для интерфейсов te1 0 1 и te1 0 1 486
- Предварительно нужно выполнить следующие действия 486
- Пример настройки 486
- Решение 486
- Включим l2tp сервер 487
- Выберем метод аутентификации первой фазы ike и зададим ключ аутентификации 487
- Выберем метод аутентификации пользователей l2tp сервера 487
- После применения конфигурации маршрутизатор будет прослушивать ip адрес 120 1 и порт 1701 состояние сессий l2tp сервера можно посмотреть командой 487
- Создадим l2tp сервер и привяжем к нему вышеуказанные профили 487
- Создадим профиль адресов содержащий dns серверы 487
- Создадим профиль адресов содержащий адрес локального шлюза 487
- Счетчики сессий l2tp сервера можно посмотреть командой 487
- Укажем зону безопасности к которой будут относиться сессии пользователей 487
- Openvpn полнофункциональное средство для построения виртуальных частных сетей virtual private networks vpn организации удалённого доступа и решения ряда других задач связанных с безопасностью передачи данных базирующееся на ssl 488
- Алгоритм настройки 488
- Завершить сессию пользователя fedor l2tp сервера можно одной из следующих команд 488
- Конфигурацию l2tp сервера можно посмотреть командой 488
- Настройка сервера удаленного доступа к корпоративной сети по openvpn 488
- Настройка сервера удаленного доступа к корпоративной сети по openvpn протоколу 488
- Очистить счетчики сессий l2tp сервера можно командой 488
- Помимо создания l2tp сервера необходимо в firewall открыть udp порты 500 1701 4500 для обслуживания соединений и разрешить протоколы esp 50 и gre 47 для туннельного трафика 488
- Протоколу 488
- Ip соединение точка точка ethernet подключение к l2 домену 489
- Tcp инкапсуляция в tcp сегменты udp инкапсуляция в udp дейтаграммы 489
- Ca сертификат удостоверяющего сервера crl список отозванных сертификатов dh ключ диффи хеллмана server crt публичный сертификат сервера server key приватный ключ сервера ta hmac ключ 490
- 128 bits key size md4 rsa md4 md5 rsa md5 mdc2 rsa mdc2 8 160 bits key size sha sha1 rsa sha rsa sha1 rsa sha1 2 dsa dsa sha dsa sha1 dsa sha1 old ripemd160 rsa ripemd160 ecdsa with sha1 8 224 bits key size sha 224 rsa sha 224 8 256 bits key size sha 256 rsa sha 256 8 384 bits key size sha 384 rsa sha 384 8 512 bits key size sha 512 rsa sha 512 whirlpool 492
- Пример настройки 493
- Pppoe это туннелирующий протокол tunneling protocol который позволяет инкапсулировать ip ppp через соединения ethernet и обладает программными возможностями ppp соединений что позволяет использовать его для виртуальных соединений на соседнюю ethernet машину и устанавливать соединение точка точка которое используется для транспортировки ip пакетов а также работает с возможностями ppp это позволяет применять традиционное ppp ориентированное по для настройки соединения которое использует не последовательный канал а пакетно ориентированную сеть например ethernet чтобы организовать классическое соединение с логином и паролем для интернет соединений кроме того ip адрес по другую сторону соединения назначается только когда pppoe соединение открыто позволяя динамическое переиспользование ip адресов 495
- Алгоритм настройки 495
- Настройка клиента удаленного доступа по протоколу pppoe 495
- Для esr 10 12v f 14vf 1280 600 для esr 20 21 1280 500 для esr 100 200 1000 1200 1500 1511 1700 1280 0000 для esr 3100 1280 190 496
- Пример настройки 497
- Pptp англ point to point tunneling protocol туннельный протокол типа точка точка позволяющий устанавливать защищённое соединение за счёт создания специального туннеля в обычной незащищенной сети pptp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет pptp может также использоваться для организации туннеля между двумя локальными сетями рртр использует дополнительное tcp соединение для обслуживания туннеля 498
- Алгоритм настройки 498
- Настройка клиента удаленного доступа по протоколу pptp 498
- Состояние pppoe туннеля можно посмотреть командой 498
- Счетчики сессий pppoe клиента можно посмотреть командой 498
- Укажем интерфейс через который будет устанавливаться pppoe соединение 498
- Для esr 10 12v f 14vf 552 600 для esr 20 21 552 500 для esr 100 200 1000 1200 1500 1511 1700 552 0000 для esr 3100 552 190 499
- Адрес pptp сервера 20 0 учетная запись для подключения логин ivan пароль simplepass 500
- Задача 500
- Настроить pptp туннель на маршрутизаторе 500
- Пример настройки 500
- Настройка клиента удаленного доступа по протоколу l2tp 501
- Алгоритм настройки 502
- Для esr 10 12v f 14vf 552 600 для esr 20 21 552 500 для esr 100 200 1000 1200 1500 1511 1700 552 0000 для esr 3100 552 190 503
- Адрес pptp сервера 20 0 учетная запись для подключения логин ivan пароль simplepass 504
- Задача 504
- Настроить pptp туннель на маршрутизаторе 504
- Пример настройки 504
- Решение 504
- Создадим туннель l2tp 504
- Укажем учетную запись пользователя ivan для подключения к серверу 504
- Включим туннель l2tp 505
- Конфигурацию туннеля можно посмотреть командой 505
- Состояние туннеля можно посмотреть командой 505
- Счетчики входящих и отправленных пакетов можно посмотреть командой 505
- Укажем зону безопасности 505
- Укажем ключ безопасности для ipsec 505
- Укажем метод аутентификации ipsec 505
- Укажем удаленный шлюз 505
- Алгоритм настройки 506
- Настройка dhcp сервера 506
- Управление сервисами 506
- Hh hh hh hh hh hh h h идентификатор клиента в шестнадцатеричной форме и mac адрес клиента string текстовая строка длиной от 1 до 64 символов 508
- Dd количество дней принимает значения 0 64 hh количество часов принимает значения 0 3 mm количество минут принимает значения 0 9 509
- Dd количество дней принимает значения 0 64 hh количество часов принимает значения 0 3 mm количество минут принимает значения 0 9 510
- Задача 510
- Настроить работу dhcp сервера в локальной сети относящейся к зоне безопасности trusted задать пул ip адресов из подсети 192 68 24 для раздачи клиентам задать время аренды адресов 1 день 510
- Пример настройки 510
- Для того чтобы dhcp сервер мог раздавать ip адреса из конфигурируемого пула на маршрутизаторе должен быть создан ip интерфейс принадлежащий к той же подсети что и адреса пула 511
- Маршрут по умолчанию 192 68 имя домена eltex loc список dns серверов dns1 172 6 dns2 8 511
- Настроить передачу клиентам маршрута по умолчанию доменного имени и адресов dns серверов с помощью dhcp опций 511
- Решение 511
- Сконфигурируем передачу клиентам дополнительных сетевых параметров 511
- Создадим зону безопасности trusted и установим принадлежность используемых сетевых интерфейсов к зонам 511
- Создадим пул адресов с именем simple и добавим в данный пул адресов диапазон ip адресов для выдачи в аренду клиентам сервера укажем параметры подсети к которой принадлежит данный пул и время аренды для выдаваемых адресов 511
- Конфигурирование destination nat 512
- Алгоритм настройки 513
- Пример настройки destination nat 516
- Алгоритм настройки 518
- Конфигурирование source nat 518
- Произведенные настройки можно посмотреть с помощью команд 518
- Функция snat может быть использована для предоставления доступа в интернет компьютерам находящимся в локальной сети при этом не требуется назначения публичных ip адресов этим компьютерам 518
- Функция source nat snat используется для подмены адреса источника у пакетов проходящих через сетевой шлюз при прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза дополнительно к адресу источника может применяться замена порта источника при прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта 518
- При использовании ключа not правило будет срабатывать для значений которые не входят в указанный профиль каждая команда match может содержать ключ not при использовании данного ключа под правило будут подпадать пакеты не удовлетворяющие заданному критерию более подробная информация о командах для настройки маршрутизатора содержится в справочнике команд cli 522
- Пример настройки 1 522
- Для конфигурирования функции snat и настройки правил зон безопасности потребуется создать профиль адресов локальной сети local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool 523
- Задача 523
- Конфигурирование начнем с создания зон безопасности настройки сетевых интерфейсов и определения их принадлежности к зонам безопасности создадим доверенную зону trust для локальной сети и зону untrust для публичной сети 523
- Настроить доступ пользователей локальной сети 10 24 к публичной сети с использованием функции source nat задать диапазон адресов публичной сети для использования snat 100 00 100 49 523
- Пример настройки 1 523
- Решение 523
- Для конфигурирования функции snat потребуется создать профиль адресов локальной сети local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool 525
- Задача 525
- Конфигурирование начнем с настройки сетевых интерфейсов и отключения межсетевого 525
- Конфигурируем сервис snat 525
- Настроить доступ пользователей локальной сети 21 2 24 к публичной сети с использованием функции source nat без использования межсетевого экрана firewall диапазон адресов публичной сети для использования snat 200 0 00 200 0 49 525
- Первым шагом создаётся пул адресов публичной сети используемых для сервиса snat 525
- Пример настройки 2 525
- Решение 525
- Алгоритм настройки 526
- Конфигурирование static nat 526
- Пример настройки static nat 526
- Диапазон адресов публичной сети для использования static nat задаем в профиле proxy 527
- Для конфигурирования static nat потребуется создать профиль адресов локальной сети local_net включающий локальную подсеть и профиль адресов публичной сети public_pool 527
- Начнем конфигурирование с настройки сетевых интерфейсов и отключения межсетевого экрана 527
- Решение 527
- Алгоритм настройки 528
- Проксирование http https трафика 528
- Если функция firewall на esr принудительно не отключена необходимо создать разрешающее правило для зоны self 531
- Задача 531
- Организовать фильтрацию по url для ряда адресов посредством прокси 531
- Пример настройки http прокси 531
- Решение 531
- Создадим набор url по которым будет осуществляться фильтрация настроим прокси фильтр и укажем действия для созданного набора url 531
- Алгоритм настройки 532
- Настройка ntp 532
- День месяца принимает значения 1 1 534
- Пример настройки 535
- Команда для просмотра текущего состояние ntp серверов пиров 536
- Команда для просмотра текущей конфигурации протокола ntp 536
- Указать интервал времени между отправкой сообщений ntp серверу 536
- Алгоритм настройки 537
- Мониторинг 537
- Настройка netflow 537
- Пример настройки 539
- Sflow стандарт для мониторинга компьютерных сетей беспроводных сетей и сетевых устройств предназначенный для учета и анализа трафика 540
- Алгоритм настройки 540
- Настройка sflow 540
- Для сетей esr создадим две зоны безопасности 541
- Задача 541
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 541
- Организовать учет трафика между зонами trusted и untrusted 541
- Пример настройки 541
- Решение 541
- Укажем ip адрес коллектора 541
- Алгоритм настройки 542
- Настройка snmp 542
- Ro доступ только для чтения rw доступ для чтения и записи 543
- Auth используется только аутентификация priv используется аутентификация и шифрование данных 544
- Md 5 пароль шифруется по алгоритму md5 sha 1 пароль шифруется по алгоритму sha1 544
- Ro доступ только для чтения rw доступ для чтения и записи 544
- Aes 128 использовать алгоритм шифрования aes 128 des использовать алгоритм шифрования des 545
- Encrypted при указании команды задается зашифрованный пароль 545
- Включаем snmp сервер 547
- Задача 547
- Настроить snmpv3 сервер с аутентификацией и шифрованием данных для пользователя admin ip адрес маршрутизатора esr 192 68 2 ip адрес сервера 192 68 2 1 547
- Основной этап конфигурирования 547
- Предварительно нужно выполнить следующие действия 547
- Пример настройки 547
- Решение 547
- Создаем пользователя snmpv3 547
- Указать зону для интерфейса gi1 0 1 настроить ip адрес для интерфейсов gi1 0 1 547
- Алгоритм настройки 548
- Настройка zabbix agent proxy 548
- В контексте настройки агента укажем адрес zabbix c ервера и адрес с которого будет осуществляться взаимодействие с сервером 550
- Для активации активного режима укажем hostname active server а также включим выполнение удаленных команд 550
- Задача 550
- Настроить взаимодействие между агентом и сервером для выполнения удаленных команд с сервера 550
- Пример настройки zabbix agent 550
- Решение 550
- Зададим время выполнения удаленных команд и активируем функционал агента 551
- Пример настройки zabbix server 551
- Создадим узел сети 551
- Настройка syslog 554
- Алгоритм настройки 555
- Tcp передача данных осуществляется по протоколу tcp udp передача данных осуществляется по протоколу udp 557
- Пример настройки 558
- Проверка целостности 559
- Процесс настройки 559
- Local remote both 560
- Задача 560
- Запускаем проверку целостности 560
- На маршрутизаторах esr предусмотрена функция локального и или удаленного копирования конфигурации по таймеру или при применении конфигурации 560
- Настройка архивации конфигурации маршрутизатора 560
- Пример конфигурации 560
- Проверить целостность файловой системы 560
- Процесс настройки 560
- Решение 560
- Для успешной работы удаленной архивации конфигураций между маршрутизатором и сервером должна быть организована ip связность настроены разрешения на прохождение tftp трафика по сети и сохранения файлов на сервере 561
- Задача 561
- Настроить локальное и удаленное резервное копирование конфигурации маршрутизатора 1 раз в сутки и при успешном изменении конфигурации удаленные копии необходимо отправлять на tftp сервер 172 6 52 7 в подпапку esr example максимальное количество локальных копий 30 561
- Основной этап конфигурирования 561
- Перейти в режим конфигурирования резервного копирования конфигураций 561
- Пример конфигурации 561
- Решение 561
- Алгоритм настройки 563
- Алгоритм настройки пример настройки с softwlc пример настройки без softwlc 563
- Управление bras broadband remote access server 563
- Permit прохождение трафика разрешается deny прохождение трафика запрещается 565
- 50000 для esr 1700 0 10000 для esr 1200 1000 1500 1511 3100 0 1000 для esr 100 200 567
- Https docs eltex co ru display doc v1 7_softwlc общая статья о softwlc 568
- Https docs eltex co ru pages viewpage action pageid 76808938 установка softwlc из репозиториев 568
- Для маршрутизатора необходимо наличие лицензии bras после ее активации можно переходить к конфигурированию устройства 568
- За хранение учетных данных пользователей и параметров тарифных планов отвечает сервер softwlc информацию по установке и настройке сервера softwlc можно найти по ссылкам ниже 568
- Задача 568
- Предоставлять доступ до ресурсов сети интернет только для авторизованных пользователей 568
- Пример настройки с softwlc 568
- Решение 568
- Сконфигурируем параметры публичного порта и сразу пропишем шлюз по умолчанию 568
- Создадим три зоны безопасности на устройстве согласно схеме сети 568
- Зададим параметры для взаимодействия с этим модулем 569
- Модуль отвечающий за ааа операции основан на eltex radius и доступен по ip адресу сервера softwlc номера портов для аутентификации и аккаунтинга в нашем примере это значения по умолчанию для softwlc 569
- Подключать клиентов необходимо через сабинтерфейсы в бриджи причем от параметра location смотри конфигурацию bridge 2 зависит выбор тарифного плана 569
- Сконфигурируем порт в сторону сервера softwlc 569
- Сконфигурируем порт для подключения wi fi точки доступа 569
- Создадим профиль aaa 569
- До аутентификации весь трафик из зоны trusted блокируется в том числе dhcp и dns запросы необходимо настроить разрешающие правила для пропуска dhcp и dns запросов 570
- Укажем параметры доступа к das direct attached storage серверу 570
- Далее создаем правила для редиректа на портал и пропуска трафика в интернет 571
- Зададим web ресурсы доступные без авторизации 571
- Сконфигурируем и включим bras в качестве nas ip указываем адрес интерфейса на стыке с softwlc в данном примере это ip адрес интерфейса gigabitethernet 1 0 24 571
- Списки фильтрации по url находятся на сервере softwlc меняется только ip адрес сервера softwlc если используется адресация отличная от данного примера все остальное в url оставить без изменения 571
- Далее необходимо сконфигурировать правила перехода между зонами безопасности 572
- Разрешим доступ в интернет из зон trusted и dmz 572
- Разрешим прохождение dhcp из trusted в dmz 573
- Разрешим прохождение icmp к устройству для работы bras необходимо открыть порты для веб проксирования tcp 3129 3128 netport discovery port active api server port 573
- Пример настройки без softwlc 574
- Для настройки функционала bras необходимо наличие лицензии bras 576
- Настройка esr 576
- Настройка параметров для взаимодействия с radius сервером 576
- Нужно указать mac адрес клиента 576
- Создадим профиль aaa 576
- Шаг 2 576
- Далее создаем правила для редиректа на портал и пропуска трафика в интернет 577
- Укажем параметры к das серверу 577
- Настройка действие фильтрации по url обязательно а именно необходимо настроить фильтрацию http proxy на bras для неавторизованных пользователей 578
- Сконфигурируем и включим bras в качестве nas ip указываем адрес интерфейса на стыке с radius сервером в данном примере это ip адрес интерфейса gigabitethernet 1 0 2 578
- Изменения конфигурации вступят в действие после применения 579
- На интерфейсах для которых требуется работа bras настроить для успешного запуска требуется как минимум один интерфейс 579
- Настройка snat в порт gigabitethernet 1 0 2 579
- Порт в сторону клиента 579
- Сконфигурируем порт в сторону radius сервера 579
- Для просмотра информации и статистики по сессиям контроля пользователей можно воспользоваться командой 580
- Voip англ voice over ip набор протоколов которые позволяют передавать речевую информацию посредством ip сетей в рамках данного устройства voip используется для подключения аналоговых телефонных аппаратов к ip сети с возможностью совершения телефонных вызовов 581
- Алгоритм настройки sip профиля 581
- Алгоритм настройки sip профиля алгоритм настройки fxs fxo портов алгоритм настройки плана нумерации алгоритм настройки pbx сервера алгоритм создания транка регистрации пример настройки voip пример настройки плана нумерации настройка fxo порта пример настройки voip для регистрации fxs портов на внешнем sip сервере пример настройки voip на внутреннем pbx сервере 581
- Управление voip 581
- Алгоритм настройки fxs fxo портов 582
- Алгоритм настройки pbx сервера 584
- Алгоритм настройки плана нумерации 584
- Peer входящие и исходящие звоки разрешены без авторизации user разрешены только входящие звонки friend комбинирует типы профилей peer и user 585
- Comedia отправить медиа поток на порт pbx независимо от указаний sdp force port использовать rport даже если его нет both объединяет comedia и force port 586
- Алгоритм создания транка регистрации 586
- Задача 587
- Настройка sip профиля 587
- Подключить аналоговые телефонные аппараты и факс модемы к ip сети посредством маршрутизатора esr в качестве proxy сервера и сервера регистрации выступает sip сервер находящийся на esr 587
- Пример настройки voip 587
- Решение 587
- Пример настройки плана нумерации 590
- Настройка fxo порта 592
- Пример настройки voip для регистрации fxs портов на внешнем sip сервере 593
- Для регистрации и прохождения voip трафика за nat необходимо включить на маршрутизаторе tracking и nat для sip и включить service voip routing на интерфейсе через который доступен sip сервер 594
- Настроим fxs порты укажем номер параметры для аутентификации на внешнем сервере и sip профиль 594
- Настроим sip профиль необходимо настроить proxy server для регистрации телефонов подключенных к fxs портам 594
- Решение 594
- Пример настройки voip на внутреннем pbx сервере 595
- Настроим sip профиль для fxo портов необходимо указать тип клиента включить необходимые кодеки настроить invite port подключить контекст маршрутизации 596
- Настроим sip профиль для fxs портов необходимо указать тип клиента включить необходимые кодеки и подключить контекст маршрутизации 596
- Настроим абонентов на сервере pbx 596
- Настроим контекст маршрутизации для fxs портов пример плана нумерации для набора номера 5200 5202 596
- Включим pbx сервер 597
- Настроим fxo порт укажем номер и sip profile выключим caller id активируем услугу hostline pstn to ip и укажем номер абонента который будет получать вызовы с тфоп 597
- Настроим fxs порты укажем номер и sip профиль 597
- Часто задаваемые вопросы 598
- Техническая поддержка esr 600
Похожие устройства
- Eltex ESR-3100 Руководство по установке и быстрому запуску
- Eltex ESR-3100 Краткая техническая информация
- Eltex ESR-3100 Краткая техническая информация по сопутствующим блокам питания
- Eltex ESR-3100 правочник команд CLI
- Eltex ESR-3100 Руководство по эксплуатации
- Eltex ESR-20 FSTEC Техническое описание
- Eltex ESR-20 FSTEC Руководство по эксплуатации
- Eltex ESR-21 FSTEC Техническое описание
- Eltex ESR-21 FSTEC Руководство по эксплуатации
- Eltex ESR-100 FSTEC Краткая техническая информация
- Eltex ESR-100 FSTEC Краткая техническая информация. Версия 1.5
- Eltex ESR-100 FSTEC Руководство по эксплуатации
- Eltex ESR-100 FSTEC Руководство по эксплуатации. Версия 1.5
- Eltex ESR-100 FSTEC Справочник команд CLI. Версия 1.5
- Eltex ESR-100 FSTEC Справочник команд CLI. Версия 1.0.7 ST CO2
- Eltex ESR-200 FSTEC Краткая техническая информация
- Eltex ESR-200 FSTEC Краткая техническая информация. Версия 1.5
- Eltex ESR-200 FSTEC Справочник команд CLI. Версия 1.0.7 ST CO2
- Eltex ESR-200 FSTEC Руководство по эксплуатации
- Eltex ESR-200 FSTEC Руководство по эксплуатации. Версия 1.5