![Eltex ESR-3100 — настройка LT-туннелей для виртуальных маршрутизаторов [208/600]](/icons/site-icon-64.png){kind=icon}
Eltex ESR-3100 — настройка LT-туннелей для виртуальных маршрутизаторов [208/600]
Превью страниц
Страница 208 /
600
![Eltex ESR-3100 [208/600] Настройка lt туннелей](/views2/1832180/page208/bgd0.png)
ESR-Series. Руководство по эксплуатации. Версия 1.14.0
208
9.5 Настройка LT-туннелей
LT (англ. Logical Tunnel – логический туннель) – тип туннелей, предназначенный для передачи
маршрутной информации и трафика между различными виртуальными маршрутизаторами (VRF Lite),
сконфигурированными на одном аппаратном маршрутизаторе. LT-туннель может использоваться для
организации взаимодействия между двумя или более VRF с применением ограничений firewall.
9.5.1 Алгоритм настройки
Шаг Описание Команда Ключи
1 Создать LT-туннели для каждого из
существующих VRF.
esr(config)# tunnel lt <ID> <ID> – идентификатор
туннеля в диапазоне [1..128].
2 Указать описание конфигурируемых
туннелей (не обязательно).
esr(config-lt)# description
<DESCRIPTION>
<DESCRIPTION> – описание
туннеля, задаётся строкой до
255 символов.
3 Включить каждый LT-туннель в
соответствующий VFR.
esr(config-lt)# ip vrf forwarding
<VRF>
<VRF> – имя VRF, задается
строкой до 31 символа.
4 Включить каждый LT-туннель в зону
безопасности и настроить правила
взаимодействия между зонами или
отключить firewall для LT-туннеля.
esr(config-lt)# security-
zone<NAME>
<NAME> – имя зоны
безопасности, задаётся
строкой до 12 символов.
esr(config-lt)# ip firewall disable
5 Для каждого LT-туннеля задать номер
противоположный LT туннель (в
другом VRF).
esr(config-lt)# peer lt <ID> <ID> – идентификатор
туннеля в диапазоне [1..128].
6 Для каждого LT-туннеля указать IP-
адрес для маршрутизации пакетов.
Для взаимодействующих LT-
туннелей, IP-адреса должны быть из
одной IP-подсети.
esr(config-lt)# ip address <ADDR/
LEN>
<ADDR/LEN> – IP-адрес и
префикс подсети, задаётся в
виде AAA.BBB.CCC.DDD/EE,
где каждая часть AAA – DDD
принимает значения [0..255] и
EE принимает значения
[1..32].
7 Включить туннели. esr(config-lt)# enable
8 Для каждого VRF настроить
необходимые протоколы
маршрутизации через LT-туннель.
9 Задать интервал времени, за который
усредняется статистика о нагрузке на
туннеле (не обязательно)
esr(config-lt)# load-average
<TIME>
<TIME> – интервал в
секундах, принимает
значения [5..150].
Значение по умолчанию: 5
Содержание
1500- Esr 10 esr 12v esr 12vf esr 14vf esr 20 esr 21 esr 100 esr 200 esr 1000 esr 1200 esr 1500 esr 1511 esr 3100 esr 1700
- Содержание
- Целевая аудитория
- Условные обозначения
- Аннотация
- B ведение
- Bведение
- Примечания и предупреждения
- Описание изделий
- Назначение
- Функции интерфейсов
- Функции
- Таблица 1 функции интерфейсов устройства
- В таблице 1 приведен список функций интерфейсов устройства
- Функции при работе с mac адресами
- Таблица 2 функции работы с mac адресами
- В таблице 2 приведены функции устройства при работе с mac адресами
- Mdi medium dependent interface прямой стандарт кабелей для подключения оконечных устройств mdix medium dependent interface with crossover перекрестный стандарт кабелей для подключения концентраторов и коммутаторов
- Vlan на базе меток пакетов данных в соответствии с ieee 802 q vlan на базе портов устройства port based vlan на базе использования правил классификации данных policy based
- Таблица 4 описание функций третьего уровня layer 3
- Таблица 3 описание функций второго уровня уровень 2 osi
- В текущей версии по данный функционал поддерживается только на маршрутизаторе esr 1000
- В таблице 4 приведены функции третьего уровня уровень 3 osi
- В таблице 3 приведены функции и особенности второго уровня уровень 2 osi
- Функции третьего уровня сетевой модели osi
- Функции второго уровня сетевой модели osi
- Source nat snat выполняется замена адреса а также номера порта источника при прохождении пакета в одну сторону и обратной замене адреса назначения в ответном пакете destination nat dnat когда обращения извне транслируются маршрутизатором на компьютер пользователя в локальной сети имеющий внутренний адрес и потому недоступный извне сети непосредственно без nat
- Таблица 5 функции туннелирования трафика
- Gre инкапсуляция ip пакета ethernet кадра в другой ip пакет c добавлением gre general routing encapsulation заголовка ipv4 ipv4 туннель использующий инкапсуляцию исходных ip пакетов в ip пакеты с другими сетевыми параметрами l2tpv3 туннель для передачи l2 трафика с помощью ip пакетов ipsec туннель с шифрованием передаваемых данных l2tp pptp pppoe openvpn туннели использующиеся для организации удаленного доступа клиент сервер
- Функции управления и конфигурирования
- Функции туннелирования трафика
- Таблица 6 основные функции управления и конфигурирования
- Функции сетевой защиты
- В таблице 7 приведены функции сетевой защиты выполняемые устройством
- Таблица 7 функции сетевой защиты
- Локальная для аутентификации используется локальная база данных пользователей хранящаяся на самом устройстве групповая база данных пользователей хранится на сервере аутентификации для взаимодействия с сервером используются протоколы radius и tacacs
- Таблица 8 основные технические характеристики
- Основные технические характеристики
- Основные технические параметры маршрутизатора приведены в таблице 8
- Электрические интерфейсы 10 100 1000 мбит с оптические интерфейсы 1 10 40 гбит с
- Дуплексный и полудуплексный режим для электрических портов дуплексный режим для оптических портов
- Электрические интерфейсы 10 100 1000 мбит с оптические интерфейсы 1 гбит с
- Электрические интерфейсы 10 100 1000 мбит с оптические интерфейсы 1 10 гбит с
- Один источник питания постоянного или переменного тока два источника питания постоянного или переменного тока с возможностью горячей замены
- Конструктивное исполнение esr 1700
- Конструктивное исполнение
- Рисунок 2 задняя панель esr 1700
- При удержании кнопки менее 10 секунд происходит перезагрузка устройства при удержании кнопки более 10 секунд происходит перезагрузка устройства и сброс к заводским настройкам
- Задняя панель устройства esr 1700
- Внешний вид задней панели устройств esr 1700 приведен на рисунке ниже
- В таблице 10 приведен перечень разъемов расположенных на задней панели маршрутизатора
- Конструктивное исполнение esr 3100
- При удержании кнопки менее 10 секунд происходит перезагрузка устройства при удержании кнопки более 10 секунд происходит перезагрузка устройства и сброс к заводским настройкам
- Таблица 11 описание разъемов индикаторов и органов управления передней панели esr 3100
- В таблице 13 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на передней панели устройств esr 1511
- Таблица 13 описание разъемов индикаторов и органов управления передней панели esr 1511
- Рисунок 9 передняя панель esr 1511
- Передняя панель устройства esr 1511
- Конструктивное исполнение esr 1511 esr 1510
- Внешний вид передней панелей показан на рисунке 9
- В таблице 14 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на передней панели устройств esr 1500
- Таблица 14 описание разъемов индикаторов и органов управления передней панели esr 1500
- Рисунок 10 передняя панель esr 1500
- При удержании кнопки менее 10 секунд происходит перезагрузка устройства при удержании кнопки более 10 секунд происходит перезагрузка устройства и сброс к заводским настройкам
- Передняя панель устройства esr 1500
- Внешний вид передней панелей показан на рисунке 10
- При удержании кнопки менее 10 секунд происходит перезагрузка устройства при удержании кнопки более 10 секунд происходит перезагрузка устройства и сброс к заводским настройкам
- Передняя панель устройства esr 1200
- Конструктивное исполнение esr 1200 esr 1000
- Внешний вид передней панели показан на рисунке 14
- В таблице 16 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на передней панели устройства esr 1200
- Таблица 16 описание разъемов индикаторов и органов управления передней панели esr 1200
- Рисунок 14 передняя панель esr 1200
- Таблица 17 описание разъемов индикаторов и органов управления передней панели esr 1000
- Рисунок 15 передняя панель esr 1000
- При удержании кнопки менее 10 секунд происходит перезагрузка устройства при удержании кнопки более 10 секунд происходит перезагрузка устройства и сброс к заводским настройкам
- Передняя панель устройства esr 1000
- Внешний вид передней панели показан на рисунке 15
- В таблице 17 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на передней панели устройства esr 1000
- Рисунок 16 задняя панель esr 1000
- При удержании кнопки менее 10 секунд происходит перезагрузка устройства при удержании кнопки более 10 секунд происходит перезагрузка устройства и сброс к заводским настройкам
- На рисунке показана комплектация маршрутизатора с одним источником питания переменного тока
- Задняя панель устройств esr 1200 1000
- Внешний вид задней панели устройства esr 1000 приведен на рисунке ниже
- В таблице 18 приведен перечень разъемов расположенных на задней панели маршрутизатора
- Конструктивное исполнение esr 200 esr 100
- В таблице 19 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на передней панели устройств esr 200 esr 100
- Таблица 19 описание разъемов индикаторов и органов управления передней панели esr 200 esr 100
- Рисунок 20 передняя панель esr 100
- При удержании кнопки менее 10 секунд происходит перезагрузка устройства при удержании кнопки более 10 секунд происходит перезагрузка устройства и сброс к заводским настройкам
- Устройство выполнено в металлическом корпусе с возможностью установки в 19 конструктив высота корпуса 1u
- Таблица 21 описание разъемов индикаторов и органов управления передней панели esr 21
- Рисунок 24 передняя панель esr 21
- Передняя панель устройства esr 21
- Конструктивное исполнение esr 21
- Внешний вид передней панели esr 21 показан на рисунке 24
- В таблице 21 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на передней панели устройства esr 21
- Рисунок 28 передняя панель esr 20
- Передняя панель устройства esr 20
- Перегреву компонентов устройства и вызвать нарушения в его работе рекомендации по установке устройства расположены в разделе установка и подключение
- Конструктивное исполнение esr 20
- Внешний вид передней панели показан на рисунке 28
- В таблице 23 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на передней панели устройства esr 20
- Устройство выполнено в металлическом корпусе с возможностью установки в 19 конструктив высота корпуса 1u
- Таблица 23 описание разъемов индикаторов и органов управления передней панели esr 20
- Таблица 24 описание разъемов задней панели маршрутизатора
- Рисунок 31 правая панель esr 20
- Рисунок 30 левая панель esr 20
- Рисунок 29 задняя панель esr 20
- Задняя панель устройства esr 20
- Внешний вид задней панели устройства esr 20 показан на рисунке 29
- Внешний вид боковых панелей устройства esr 20 приведен на рисунках 30 и 31
- В таблице 24 приведен перечень разъемов расположенных на задней панели маршрутизатора
- Боковые панели устройства esr 20
- Передняя панель устройств esr 12vf esr 14vf
- На боковых панелях устройства расположены вентиляционные решетки которые служат для отвода тепла не закрывайте вентиляционные отверстия посторонними предметами это может привести к перегреву компонентов устройства и вызвать нарушения в его работе рекомендации по установке устройства расположены в разделе установка и подключение
- Конструктивное исполнение esr 14vf esr 12vf
- Внешний вид передней панели показан на рисунке 32
- В таблице 25 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на передней панели устройств esr 12vf esr 14vf
- Устройство выполнено в металлическом корпусе с возможностью установки в 19 конструктив высота корпуса 1u
- Таблица 25 описание разъемов индикаторов и органов управления передней панели esr 12vf esr 14vf
- Рисунок 32 передняя панель esr 12vf esr 14vf
- Таблица 26 описание разъемов задней панели маршрутизатора
- Рисунок 33 задняя панель esr 12vf esr 14vf
- Задняя панель устройств esr 14vf esr 12vf
- Внешний вид задней панели устройств esr 12vf esr 14vf показан на рисунке 33
- В таблице 26 приведен перечень разъемов расположенных на задней панели маршрутизатора
- Конструктивное исполнение esr 12v
- Таблица 27 описание разъемов индикаторов и органов управления передней панели esr 12v
- Рисунок 37 задняя панель esr 12v
- Задняя панель устройств esr 12v
- Внешний вид задней панели устройства esr 12v показан на рисунке 37
- В таблице 28 приведен перечень разъемов расположенных на задней панели маршрутизатора
- Конструктивное исполнение esr 10
- Боковые панели устройства esr 10
- Таблица 29 описание разъемов индикаторов и органов управления передней панели esr 10
- Рисунок 41 боковая панель esr 10
- Внешний вид боковой панели устройства esr 10 показан на рисунке 41
- В таблице 30 приведен перечень органов управления расположенных на правой панели маршрутизатора
- В таблице 29 приведен перечень разъемов светодиодных индикаторов и органов управления расположенных на задней панели устройства esr 10
- Световая индикация
- Таблица 34 состояния системных индикаторов
- Таблица 33 световая индикация состояния sfp sfp qsfp интерфейсов
- Таблица 32 световая индикация состояния медных интерфейсов
- В следующей таблице приведено описание состояний системных индикаторов устройства и их значений
- Состояние медных интерфейсов gigabit ethernet и sfp интерфейсов отображается двумя светодиодными индикаторами link act зеленого цвета и speed янтарного цвета расположение индикаторов медных интерфейсов показано на рисунке 43 состояние sfp интерфейсов указано на рисунке 45 значения световой индикации описаны в таблице 35
- Световая индикация esr 200 esr 100
- Таблица 36 состояния системных индикаторов
- Таблица 35 световая индикация состояния медных интерфейсов и sfp интерфейсов
- Рисунок 45 расположение индикаторов оптических интерфейсов
- В следующей таблице приведено описание состояний системных индикаторов устройства и их значений
- Таблица 37 световая индикация состояния медных интерфейсов и sfp интерфейсов
- Состояние медных интерфейсов gigabit ethernet отображается двумя светодиодными индикаторами link act зеленого цвета и speed янтарного цвета
- Световая индикация esr 21 esr 20
- Рисунок 46 расположение индикаторов разъема sfp
- Не поддерживается в текущей версии по
- Таблица 38 состояния системных индикаторов
- Рисунок 47 расположение индикаторов разъема rj 45
- В следующей таблице приведено описание состояний системных индикаторов устройства и их значений
- Таблица 40 состояния системных индикаторов
- Таблица 39 световая индикация состояния медных интерфейсов и sfp интерфейсов
- Состояние медных интерфейсов gigabit ethernet отображается двумя светодиодными индикаторами link act зеленого цвета и speed янтарного цвета
- Световая индикация esr 12v f
- Рисунок 49 расположение индикаторов разъема rj 45
- Рисунок 48 расположение индикаторов разъема sfp только для esr 12vf esr 14vf
- В следующей таблице приведено описание состояний системных индикаторов устройства и их значений
- Комплект поставки
- Установка устройства в стойку
- Установка и подключение
- Крепление кронштейнов
- Установка модулей питания esr 1000 esr 1200 esr 1500 esr 1511 esr 3100 esr 1700
- Установка модулей питания esr 1000 esr 1200 esr 1500 esr 1511 esr 3100
- Esr 1700
- Установка трансивера
- Установка и удаление sfp трансиверов
- Подключение питающей сети
- Удаление трансивера
- Интерфейсы управления
- Интерфейс командной строки cli
- Типы и порядок именования интерфейсов маршрутизатора
- Таблица 42 типы и порядок именования интерфейсов маршрутизатора
- При работе маршрутизатора используются сетевые интерфейсы различного типа и назначения система именования позволяет однозначно адресовать интерфейсы по их функциональному назначению и местоположению в системе далее в таблице приведен перечень типов интерфейсов
- Порядковый номер порта
- Порядковый номер e1 потока
- Gigabitethernet 1 0 12 00 tengigabitethernet 1 0 2 23 fortygigabitethernet 1 0 2 024 port channel 1
- Gigabitethernet 1 0 12 00 0 tengigabitethernet 1 0 2 5 2 fortygigabitethernet 1 0 2 08 07 port channel 1 4
- Порядковый номер порта
- Loopback 4 bridge 60 service port 1
- Примеры обозначения softgre 1 softgre 1 0
- Пример обозначения l2tpv3 1
- Пример обозначения ip4ip4 1
- Пример обозначения gre 1
- При работе маршрутизатора используются сетевые туннели различного типа и назначения система именования позволяет однозначно адресовать туннели по их функциональному назначению далее в таблице приведен перечень типов туннелей
- Обозначение ipv4 over ipv4 туннеля состоит из обозначения типа и порядкового номера туннеля
- Количество интерфейсов каждого типа зависит от модели маршрутизатора 2 текущая версия по не поддерживает стекирование устройств номер устройства в группе устройств unit может принимать только значение 1 3 некоторые команды поддерживают одновременную работу с группой интерфейсов для указания группы интерфейсов может быть использовано перечисление через запятую или указание диапазона идентификаторов через дефис примеры указания групп интерфейсов
- Softgre туннель обозначение softgre туннеля состоит из обозначения типа порядкового номера туннеля и опционально vlan id виртуального интерфейса
- L2tpv3 туннель обозначение l2tpv3 туннеля состоит из обозначения типа и порядкового номера туннеля
- Ipv4 over ipv4 туннель
- Gre туннель обозначение gre туннеля состоит из обозначения типа и порядкового номера туннеля
- Типы и порядок именования туннелей маршрутизатора
- Тип туннеля обозначение
- Таблица 43 типы и порядок именования туннелей маршрутизатора
- Количество туннелей каждого типа зависит от модели и по маршрутизатора
- Описание заводской конфигурации
- Начальная настройка маршрутизатора
- Заводская конфигурация маршрутизатора esr
- Подключение и конфигурирование маршрутизатора
- Применение изменения конфигурации
- Подключение к маршрутизатору
- Базовая настройка маршрутизатора
- Пример команд для разрешения пользователям из зоны untrusted с ip адресами 132 6 132 6 0 подключаться к маршрутизатору с ip адресом 40 3 2 по протоколу ssh
- Для создания разрешающего правила используются следующие команды
- Обновление программного обеспечения средствами системы
- Обновление программного обеспечения
- Для выбора образа используйте команду
- После ввода команды маршрутизатор скопирует файл во внутреннюю память проверит целостность данных и сохранит его в энергонезависимую память устройства tftp
- Для того чтобы устройство работало под управлением новой версии программного обеспечения необходимо произвести переключение активного образа с помощью команды show bootvar следует выяснить номер образа содержащего обновленное по
- Для примера обновим основное по через scp
- Укажите имя файла программного обеспечения на tftp сервере
- Укажите ip адрес маршрутизатора
- Укажите ip адрес tftp сервера
- Программное обеспечение маршрутизатора можно обновить из начального загрузчика следующим образом
- Обновление программного обеспечения из начального загрузчика
- Можно сохранить окружение командой saveenv для будущих обновлений
- Для версии 1 и выше
- Установите загруженное программное обеспечение в качестве образа для запуска системы и перезагрузите роутер
- Обновление вторичного загрузчика u boot
- Запустите процедуру обновления программного обеспечения
- Для просмотра текущей версии загрузочного файла работающего на устройстве введите команду version в cli u boot также версия отображается в процессе загрузки маршрутизатора
- Для версии 1 и выше
- Вторичный загрузчик занимается инициализацией nand и маршрутизатора при обновлении новый файл вторичного загрузчика сохраняется на flash на месте старого
- Укажите имя файла загрузчика на tftp сервере
- Укажите ip адрес маршрутизатора
- Укажите ip адрес tftp сервера
- Процедура обновления по
- Можно сохранить окружение командой saveenv для будущих обновлений запустите процедуру обновления программного обеспечения
- Для версии 1 и выше
- Перезагрузите маршрутизатор
- Для версии 1 и выше
- Рекомендации по безопасной настройке
- Общие рекомендации
- Настройка системы логирования событий
- Рекомендации
- Пример настройки
- Предупреждения
- Настройка политики использования паролей
- Настройка политики aaa
- Рекомендации
- Пример настройки
- Рекомендации
- Пример настройки
- Предупреждения
- Настройка удалённого управления
- Рекомендации
- Рекомендации
- Пример настройки
- Настройка механизмов защиты от сетевых атак
- Пример настройки
- Управление интерфейсами
- Настройка vlan
- Алгоритм настройки
- Ethernet заголовка согласно стандарту 802 q по сути vlan изолирует широковещательный домен путем ограничения коммутации ethernet фреймов только с одинаковым vlan id в ethernet заголовке
- Пример настройки 1 удаление vlan с интерфейса
- Пример настройки 2 разрешение обработки vlan в тегированном режиме
- Создадим vlan 2 vlan 64 vlan 2000 на esr 100 esr 200
- Решение
- Режиме
- Пропишем vlan 2 на порт gi1 0 2
- Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1 2
- Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1
- Пример настройки 3 разрешение обработки vlan в тегированном и не тегированном режиме
- Пример настройки 3 разрешение обработки vlan в тегированном и не тегированном
- Настройка lldp
- Настроить порты gi1 0 1 для передачи и приема пакетов в vlan 2 vlan 64 vlan 2000 в режиме trunk настроить порт gi1 0 2 в режиме access для vlan 2 на esr 100 esr 200
- Задача
- Link layer discovery protocol lldp протокол канального уровня позволяющий сетевому оборудованию оповещать оборудование работающее в локальной сети о своём существовании и передавать ему свои характеристики а также получать от него аналогичные сведения
- Алгоритм настройки
- Включим прием и отправку lldpdu на интерфейсе gi 1 0 1
- Задача
- Решение
- Пример настройки
- Подробную информацию по соседу конкретного интерфейса можно посмотреть командой
- Организовать обмен и обработку lldpdu между маршрутизаторами esr 1 и esr 2
- Общую статистику по lldp можно посмотреть командой
- Общую информацию по lldp соседям можно посмотреть командой
- Конфигурирование r2 включим lldp глобально на маршрутизаторе
- Конфигурирование r1 включим lldp глобально на маршрутизаторе
- Настройка lldp med
- Алгоритм настройки
- Voice voice signaling guest voice guest voice signaling softphone voice video conferencing streaming video video signaling
- Lldp med расширение стандарта lldp которое позволяет передавать сетевые политики vlan id dscp priority
- Пример настройки voice vlan
- Настройка терминации на саб интерфейсе
- Алгоритм настройки
- Пример настройки саб интерфейса
- Настройка терминации на q in q интерфейсе
- Алгоритм настройки
- Q in q технология передачи пакетов с двумя 802 q тегами данная технология используется для расширения количества используемых vlan в сети передачи данных внутренним тегом innertag называется 802 q заголовок ближе к payload так же внутренний тег называют c vlan customer vlan внешний тег outertag это 802 q заголовок добавленный к изначальному 802 q пакетом так же называется s vlan service vlan использование двойных меток в ethernet фреймах описывается протоколом 802 ad
- Пример настройки q in q интерфейса
- Настроить терминацию подсети 192 68 24 комбинации c vlan 741 s vlan 828 на физическом интерфейсе gigabitethernet 1 0 1
- Задача
- Qos в базовом или расширенном режимах см раздел управление qos proxy см раздел проксирование http https трафика мониторинг траффика см разделы настройка netflow и настройка sflow функционал протоколов маршрутизации см раздел управление маршрутизацией протокол vrrf см раздел управление резервированием функционал bras см раздел управление bras broadband remote access server функционал ids ips см раздел настройка ips ids
- Создадим саб интерфейс для s vlan 828
- Создадим q in q интерфейс для s vlan 741 и настроим ip адрес из необходимой подсети
- Решение
- Помимо назначения ip адреса на q in q саб интерфейсе необходимо либо отключить firewall либо настроить соответствующую зону безопасности
- Настройка usb модемов
- Использование usb модемов позволяет организовать дополнительный канал связи для работы маршрутизатора при подключении usb модемов возможно использовать usb концентраторы одновременно в системе может быть сконфигурировано до 10 ти usb модемов
- Алгоритм настройки usb модемов
- Ipv4 семейство ipv4 ipv6 семейство ipv6
- Пример настройки
- Настройка ppp через e1
- Алгоритм настройки
- По умолчанию fcs16 32 fcs32
- Crc 4 использовать алгоритм crc 4 no crc4 по умолчанию не использовать проверку
- Ami чередующейся полярностью импульсов hdb3 по умолчанию двухполярный код высокой плотности порядка 3
- Время в секундах
- Шаг описание команда ключи
- Решение
- Пример конфигурации
- Переключаем интерфейс в котором установлен topgate sfp gigabitethernet 1 0 3 в режим работы е 1
- Настроить ppp соединение со встречной стороной с ip адресом 10 7 24 через topgate sfp используя 1 8 канальные интервалы для передачи данных источник синхросигнала встречная сторона
- Задача
- Задается интервал по истечении которого маршрутизатор повторяет запрос на установление сессии не обязательно
- Задается интервал времени в секундах по истечении которого маршрутизатор отправляет keepalive сообщение не обязательно
- Включим interface e1 1 3 1
- Multilink ppp mlppp предоставляет собой агрегированный канал включающий в себя методы для распространения трафика через несколько физических каналов имея одно логическое соединение этот вариант позволяет расширить пропускную способность и обеспечивает балансировку нагрузки
- Настройка mlppp
- Изменения конфигурации вступят в действие по следующим командам
- Алгоритм настройки
- Пример настройки
- Настроить mlppp соединение с встречной стороной с ip адресом 10 7 24 через устройство mxe
- Задача
- Решение
- Переключаем интерфейс gigabitethernet 1 0 10 в режим работы е 1
- Настройка bridge
- Настроим mlppp 3
- Включим interface e1 1 0 1 interface e1 1 0 2 в группу агрегации mlppp 3
- Bridge мост это способ соединения двух сегментов ethernet на канальном уровне без использования протоколов более высокого уровня таких как ip пакеты передаются на основе ethernet адресов а не ip адресов поскольку передача выполняется на канальном уровне уровень 2 модели osi трафик протоколов более высокого уровня прозрачно проходит через мост
- Для esr 10 12v f 14vf 1 0 для esr 20 21 100 200 1 50 для esr 1000 1200 1500 1511 1700 3100 1 00
- Алгоритм настройки
- Для esr 10 12v f 14vf 552 600 для esr 20 21 552 500 для esr 100 200 1000 1200 1500 1511 1700 552 0000 для esr 1500 1511 1700 3100 552 190
- Пример настройки bridge для vlan и l2tpv3 туннеля
- Пример настройки bridge для vlan
- Посмотреть членство интерфейсов в мосте можно командой
- Создадим правила в firewall разрешающие свободное прохождение трафика между зонами
- Создадим bridge 60 привяжем vlan 60 укажем ip адрес 10 0 24 и членство в зоне lan2
- Создадим bridge 50 привяжем vlan 50 укажем ip адрес 10 0 24 и членство в зоне lan1
- Назначим интерфейсу gi1 0 14 vlan 60
- Назначим интерфейсам gi1 0 11 gi1 0 12 vlan 50
- Пример настройки добавления удаления второго vlan тега
- Настройка dual homing
- Пример настройки
- Организовать резервирование l2 соединений маршрутизатора esr для vlan 50 55 через устройства sw1 и sw2
- Задача
- Алгоритм настройки
- Интерфейсы gigabitethernet 1 0 9 и gigabitethernet 1 0 10 добавим в vlan 50 55 в режиме general
- Зеркалирование трафика функция маршрутизатора предназначенная для перенаправления трафика с одного порта маршрутизатора на другой порт этого же маршрутизатора локальное зеркалирование или на удаленное устройство удаленное зеркалирование
- В текущей версии по функционал удаленного зеркалирования rspan поддерживается только на маршрутизаторах esr 1000 1200 1500 1511 1700
- Создадим vlan 50 55
- Сделаем интерфейс gigabitethernet 1 0 10 резервным для gigabitethernet 1 0 9
- Решение
- Просмотреть информацию о резервных интерфейсах можно командой
- Предварительно нужно выполнить следующие действия
- Основной этап конфигурирования
- Необходимо отключить stp на интерфейсах gigabitethernet 1 0 9 и gigabitethernet 1 0 10 так как совместная работа данных протоколов невозможна
- Настройка зеркалирования span rspan
- Алгоритм настройки
- Tx зеркалирование только исходящего трафика rx зеркалирование только входящего трафика
- Tx зеркалирование в указанный vlan только исходящего трафика rx зеркалирование в указанный vlan только входящего трафика
- Network совмещенный режим передачи данных и зеркалирование по умолчанию monitor only только зеркалирование
- Пример настройки
- Настройка lacp
- Алгоритм настройки
- Auto добавить интерфейс в динамическую группу агрегации с поддержкой протокола lacp on добавить интерфейс в статическую группу агрегации
- Пример настройки
- Настройка aux используется для указания параметров взаимодействия с внешними устройствами подключенными через последовательные интерфейсы к esr
- Настройка aux
- Для моделей esr 21
- Дальнейшая конфигурация port channel проводится как на обычном физическом интерфейсе
- Включим физические интерфейсы gi1 0 1 gi1 0 2 в созданную группу агрегации каналов
- Алгоритм настройки
- Software программное управление потоком hardware аппаратное управление потоком disabled управление потоком отключено
- Odd проверка на нечетность even проверка на четность none бит четности не выставляется
- 1200 2400 4800 9600 19200 38400 57600 115200
- Проверена совместимость с модемами modem zyxel u 336e plus
- Примеры настроек
- Настроить ip связность между двумя esr на serial порту используя модемы в режиме leased line автоматический режим модемов соединенных между собой телефонным кабелем
- Настроим параметры согласования
- Модемы должны быть предварительно введены в режим автоматической установки соединения
- Задача 1
- Сконфигурировать первый esr 21
- Решение
- Сконфигурируем необходимые rs 232 интерфейсы
- Сконфигурируем firewall для зон безопасности
- Сконфигурировать второй esr 21
- Настроим параметры согласования
- И укажем принадлежность интерфейсов к зоне безопасности
- Сконфигурировать первый esr 21
- Решение
- Проверена совместимость с модемами
- Настроить ip связность между двумя esr на serial порту используя модемы в режиме dial up и телефонную сеть общего пользования тфоп
- И укажем принадлежность интерфейсов к зоне безопасности
- Задача 2
- В качестве эмуляции тфоп используется esr 12vf с нижеприведенной настройкой
- Modem zyxel omni 56k mini modem acorp m56scd
- Включим дозвон по номеру
- Сконфигурируем необходимые rs 232 интерфейсы
- Сконфигурируем firewall для зон безопасности
- Сконфигурировать второй esr 21
- Настроим параметры согласования с модемом
- Настроим параметры согласования
- И укажем принадлежность интерфейсов к зоне безопасности
- Создадим строку с дополнительными параметрами инициализации модема для первого esr 21 где
- Сконфигурируем необходимые rs 232 интерфейсы
- Сконфигурируем firewall для зон безопасности
- Решение
- Использовать дополнительные параметры настройки модемов для задачи 2
- И укажем принадлежность интерфейсов к зоне безопасности
- Задача 3
- Для модема 1 включение протокола v 2bis отключение динамиков на обоих модемах
- Включим использование строки инициализации модема
- At n1 включение режима v 2bis на модеме atm0l0 отключение динамика модема
- Схемы распайки переходников
- Создадим строку с дополнительными параметрами инициализации модема для второго esr 21
- Включим использование строки инициализации модема
- Rj 45 pinout rolled over cable
- Db 25 pinout
- Управление туннелированием
- Настройка gre туннелей
- Алгоритм настройки
- Ip инкапсуляция ip пакетов в gre ethernet инкапсуляция ethernet фреймов в gre
- Для esr 10 12v f 14vf 1280 600 для esr 20 21 1280 500 для esr 100 200 1000 1200 1500 1511 1700 3100 1280 0000
- Для esr 10 12v f 14vf 1 0 для esr 20 21 100 200 1 50 для esr 1000 1200 1500 1511 1700 3100 1 00
- Пример настройки ip gre туннеля
- Организовать l3 vpn между офисами компании через ip сеть используя для туннелирования трафика протокол gre
- Задача
- В качестве локального шлюза для туннеля используется ip адрес 115 в качестве удаленного шлюза для туннеля используется ip адрес 114 0 ip адрес туннеля на локальной стороне 25 24
- Qos в базовом или расширенном режимах см раздел управление qos proxy см раздел проксирование http https трафика мониторинг траффика см разделы настройка netflow и настройка sflow функционал протоколов маршрутизации см раздел управление маршрутизацией функционал bras см раздел управление bras broadband remote access server
- Настройка dmvpn
- Алгоритм настройки
- Чтобы установить такое соединение клиенты nhc по шифрованному ipsec туннелю отправляют соответствие своего внутреннего туннельного адреса и внешнего nbma адреса на nhrp сервер nhs когда клиент захочет соединиться с другим nhc он посылает на сервер запрос чтобы узнать его внешний адрес получив ответ от сервера клиент теперь самостоятельно может устанавливать соединение c удалённым филиалом
- Туннели spoke to spoke в дополнение к обычным spoke to hub туннелям это означает что филиалы смогут общаться друг с другом напрямую без необходимости прохождения трафика через hub
- No registration не регистрироваться на nhrp сервере
- Static статическое соединение применятся для связи с nhs dynamic динамически устанавливающееся соединение конфигурируется для связи между nhc
- Dynamic отправлять на все пиры с которыми есть соединение nhs отправлять на все статические сконфигурированные сервера
- Пример настройки 1
- Установим значение ttl
- Произведём настройку протокола динамической маршрутизации для hub в нашем примере это будет bgp
- Произведём настройку ipsec для hub
- Перейдём к настройке nhrp настроим отправку мультикастовых рассылок в динамически узнаваемые адреса
- Переведём gre туннель в mutipoint режим для возможности соединения с несколькими точками
- Зададим ip адрес gre туннеля
- Конфигурирование spoke проведём стандартную настройку dmvpn на туннеле
- Включим работу nhrp и сам туннель
- Указываем сколько времени будет храниться запись о клиенте на сервере
- Привяжем ipsec к gre туннелю чтобы клиенты могли устанавливать шифрованное соединение
- Указываем туннельный адрес nhs
- Произведём настройку ipsec при создании шлюза протокола ike для nhs укажем конкретные адреса назначения a при создании шлюза ike для nhc адрес назначения будет any
- Произведём настройку bgp для spoke
- Настроим мультикастовую рассылку на nhrp сервер
- Зададим соответствие туннельному адресу реальный
- Состояние nhrp записей можно посмотреть командой
- Привяжем ipsec к gre туннелю для возможности установления шифрованного соединения с сервером и с другими клиентами сети
- Включим работу nhrp и сам туннель
- Пример настройки 2
- Решение
- Произведём настройку ipsec для hub
- Настроим интерфейс и определим принадлежность к зоне безопасности
- Настроим gre туннель определим принадлежность к зоне безопасности настроим ospf на gre туннеле настроим nhrp и включим туннель и nhrp командой enable чтобы hub стал dr необходимо выставить максимальный приоритет
- Конфигурирование hub предварительно настроим протокол ospf
- Создадим статические маршруты для подсетей интерфейсов spoke 180 00 30 и 140 14 30
- Привяжем ipsec к gre туннелю чтобы клиенты могли устанавливать шифрованное соединение
- Конфигурирование spoke1 предварительно настроим протокол ospf с анонсированием подсети lan1
- Создадим статические маршруты для подсетей интерфейсов spoke 180 00 30 и 140 14 30
- Произведём настройку ipsec для hub
- Настроим интерфейс и определим принадлежность к зоне безопасности
- Настроим gre туннель определим принадлежность к зоне безопасности настроим ospf на gre туннеле настроим nhrp и включим туннель и nhrp командой enable чтобы hub стал dr необходимо выставить минимальный приоритет на spoke
- Привяжем ipsec к gre туннелю для возможности установления шифрованного соединения с сервером и с другими клиентами сети
- Настройка l2tpv3 туннелей
- Алгоритм настройки
- Для esr 10 12v f 14vf 1 0 для esr 20 21 100 200 1 50 для esr 1000 1200 1500 1511 1700 3100 1 00
- Ip инкапсуляция в ip пакет udp инкапсуляция в udp дейтаграммы
- Для esr 10 12v f 14vf 1280 600 для esr 20 21 1280 500 для esr 100 200 1000 1200 1500 1511 1700 3100 1280 0000
- Для esr 10 12v f 14vf 1 0 для esr 20 21 100 200 1 50 для esr 1000 1200 1500 1511 1700 3100 1 00
- Пример настройки l2tpv3 туннеля
- Ipsec это набор протоколов которые обеспечивают защиту передаваемых с помощью ip протокола данных данный набор протоколов позволяет осуществлять подтверждение подлинности аутентификацию проверку целостности и шифрование ip пакетов а также включает в себя протоколы для защищённого обмена ключами в сети интернет
- Счетчики входящих и отправленных пакетов можно посмотреть командой
- Помимо создания туннеля необходимо в firewall разрешить входящий трафик по протоколу udp с портом отправителя 519 и портом назначения 519
- Настройка ipsec vpn
- Конфигурацию туннеля можно посмотреть командой
- Алгоритм настройки route based ipsec vpn
- Pre shared key метод аутентификации использующий предварительно полученные ключи шифрования rsa public key метод аутентификации использующий rsa сертификат
- Restart соединение переустанавливается clear соединение останавливается hold соединение поддерживается none механизм выключен никаких действий не предпринимается
- By request соединение активируется встречной стороной route соединение активируется при появлении трафика маршрутизируемого в туннель immediate туннель активируется автоматически после применения конфигурации
- Пересогласование ключей до истечения времени за 540 секунд пересогласование ключей до истечения объема трафика и количества пакетов отключено
- Пример настройки route based ipsec vpn
- Конфигурацию туннеля можно посмотреть командой
- В firewall необходимо разрешить протокол esp и isakmp udp порт 500
- Алгоритм настройки policy based ipsec vpn
- Pre shared key метод аутентификации использующий предварительно полученные ключи шифрования rsa public key метод аутентификации использующий rsa сертификат
- Restart соединение переустанавливается clear соединение останавливается hold соединение поддерживается none механизм выключен никаких действий не предпринимается
- Policy based трафик перенаправляется на основе принадлежности к указанным в политиках подсетям route based трафик перенаправляется на основе маршрутов шлюзом у которых является туннельный интерфейс
- By request соединение активируется встречной стороной route соединение активируется при появлении трафика маршрутизируемого в туннель immediate туннель активируется автоматически после применения конфигурации
- Пример настройки policy based ipsec vpn
- Настроить ipsec туннель между r1 и r2
- Задача
- R2 ip адрес 203 13
- R1 ip адрес 198 1 00
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия протокола и режим перенаправления трафика в туннель
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля по которым могут согласовываться узлы
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ip sec туннеля режим обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable
- Конфигурирование r2 настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности
- Конфигурацию туннеля можно посмотреть командой
- Дополнительной особенностью ra ipsec vpn является возможность использования второго фактора аутентификации ipsec extended authentication xauth вторым фактором аутентификации является пара логин пароль для клиента ipsec vpn
- В firewall необходимо разрешить протокол esp и isakmp udp порт 500
- Алгоритм настройки remote access ipsec vpn
- Remote access ipsec vpn сценарий организации временных vpn подключений в котором сервер ipsec vpn находится в режиме ожидания входящих подключений а клиенты осуществляют временные подключения к серверу для получения доступа к сетевым ресурсам
- Состояние туннеля можно посмотреть командой
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ip sec туннеля режим обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable
- Xauth psk key метод двухфакторной аутентификации использующий пару логин пароль и предварительно полученные ключи шифрования
- Restart соединение переустанавливается clear соединение останавливается hold соединение поддерживается none механизм выключен никаких действий не предпринимается
- Policy based трафик перенаправляется на основе принадлежности к указанным в политиках подсетям
- Ah данный протокол осуществляет только аутентификацию трафика шифрование данных не выполняется esp данный протокол осуществляет аутентификацию и шифрование трафика
- By request соединение активируется встречной стороной доступно для сервера route соединение активируется при появлении трафика маршрутизируемого в туннель доступно для сервера immediate туннель активируется автоматически после применения конфигурации доступно для клиента
- Пример настройки remote access ipsec vpn
- Создадим шлюз протокола ike в данном профиле необходимо указать политику протокола ike указать локальную подсеть в качестве удаленной подсети указать пул адресов назначения задать режим перенаправления трафика в туннель по политике и использование второго фактора аутентификации xauth
- Создадим пул адресов назначения из которого будут выдаваться ip клиентам ipsec vpn
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм шифрования 3 des алгоритм аутентификации sha1 данные параметры безопасности используются для защиты ike соединения
- Создадим профиль доступа и заведем в нем пару логин и пароль для клиента ipsec vpn
- Создадим политику протокола ike в политике указывается список профилей протокола ike по которым могут согласовываться узлы ключ аутентификации и метод аутентификации xauth по ключу
- Настройка lt туннелей
- Алгоритм настройки
- Lt англ logical tunnel логический туннель тип туннелей предназначенный для передачи маршрутной информации и трафика между различными виртуальными маршрутизаторами vrf lite сконфигурированными на одном аппаратном маршрутизаторе lt туннель может использоваться для организации взаимодействия между двумя или более vrf с применением ограничений firewall
- Шаг описание команда ключи
- Указать размер mtu maximum transmition unit пакетов которые может пропускать данный bridge не обязательно возможно если в bridge включен только vlan mtu более 1500 будет активно только в случае применения команды system jumbo frames
- Пример настройки
- Организовать взаимодействие между хостами терминированными в двух vrf vrf_1 и vrf_2
- Исходная конфигурация
- Значение по умолчанию 1500
- Значение mtu принимает значения в диапазоне
- Задача
- Для esr 10 12v f 14vf 1280 600 для esr 20 21 1280 500 для esr 100 200 1000 1200 1500 1511 1700 3100 1280 0000
- Укажем для каждого lt туннеля lt туннель из vrf с которым необходимо установить связь и активируем их
- Создадим lt туннели для каждого vrf с указанием ip адресов из одной подсети
- Решение
- Если в vrf не сконфигурирован ни один из протоколов динамической маршрутизации то необходимо указать статические маршруты для каждого vrf
- Управление qos
- Базовый qos
- Алгоритм настройки
- Dscp 0 7 очередь 1 dscp 8 15 очередь 2 dscp 16 23 очередь 3 dscp 24 31 очередь 4 dscp 32 39 очередь 5 dscp 40 47 очередь 6 dscp 48 55 очередь 7 dscp 56 63 очередь 8
- Cos 0 очередь 1 cos 1 очередь 2 cos 2 очередь 3 cos 3 очередь 4 cos 4 очередь 5 cos 5 очередь 6 cos 6 очередь 7 cos 7 очередь 8
- Все очереди участвуют в wrr wrr механизм обработки очередей на основе веса 8 все очереди обслуживаются как strictpriority strictprior ity приоритетная очередь обслуживается сразу как только появляются пакеты
- Пример настройки
- Настроить следующие ограничения на интерфейсе gigabitethernet 1 0 8 передавать трафик с dscp 22 в восьмую приоритетную очередь трафик с dscp 14 в седьмую взвешенную очередь установить ограничение по скорости в 60 мбит с для седьмой очереди
- Задача
- Установим ограничение по скорости в 60 мбит с для седьмой очереди
- Решение
- Просмотреть статистику по qos можно командой
- Перенаправим трафик с dscp 22 в первую приоритетную очередь
- Перенаправим трафик с dscp 14 в седьмую взвешенную очередь
- Для того чтобы восьмая очередь осталась приоритетной а очереди с первой по седьмую стали взвешенными ограничим количество приоритетных очередей до 1
- Включим qos на интерфейсе со стороны wan для правильной обработки очередей и ограничения полосы пропускания
- Включим qos на входящем интерфейсе для корректной классификации трафика и направления в соответствующую очередь со стороны lan
- В расширенном режиме на маршрутизаторах esr классификация поступающего трафика возможна как на входящем так и на исходящем интерфейсах
- Алгоритм настройки
- Расширенный qos
- Fifo режим fifo first in first out gred режим gred generalized red red режим red random early detection sfq режим sfq очередь sfq распределяет передачу пакетов на базе потоков
- Пример настройки
- Классифицировать приходящий трафик по подсетям 10 1 24 10 2 24 произвести маркировку по dscp 38 и 42 и произвести разграничение по подсетям 40 мбит с и 60 мбит с ограничить общую полосу до 250 мбит с остальной трафик обрабатывать через механизм sfq
- Задача
- Создаём политику и определяем ограничение общей полосы пропускания
- Создаем классы fl1 и fl2 указываем соответствующие списки доступа настраиваем маркировку
- Решение
- Осуществляем привязку класса к политике настраиваем ограничение полосы пропускания и выходим
- Настроим списки доступа для фильтрации по подсетям выходим в глобальный режим конфигурации
- Для просмотра статистики используется команда
- Для другого трафика настраиваем класс с режимом sfq
- Включаем qos на интерфейсах политику на входе интерфейса gi 1 0 19 для классификации и на выходе gi1 0 20 для применения ограничений и режима sfq для класса по умолчанию
- Управление маршрутизацией
- Протокол ospf
- Политика анонсирования маршрутной информации
- Протокол rip
- Протокол is is
- Протокол ibpg
- Протокол ebpg
- Конфигурирование статических маршрутов
- Алгоритм настройки
- Пример настройки статических маршрутов
- Создадим маршрут для взаимодействия с сетью internet используя в качестве nexthop шлюз провайдера 128 07
- Создадим маршрут для взаимодействия с сетью 10 8 используя в качестве шлюза устройство r2 192 68 00
- Зададим имя устройства для маршрутизатора r2
- Для интерфейса gi1 0 3 укажем адрес 128 07 30 и зону wan через данный интерфейс r1 будет подключен к сети internet
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный интерфейс r2 будет подключен к устройству r1 для последующей маршрутизации трафика
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный интерфейс r1 будет подключен к устройству r2 для последующей маршрутизации трафика
- Для интерфейса gi1 0 1 укажем адрес 10 8 и зону lan через данный интерфейс r2 будет подключен к сети 10 8
- Алгоритм настройки
- Rip дистанционно векторный протокол динамической маршрутизации который использует количество транзитных участков в качестве метрики маршрута максимальное количество транзитных участков hop разрешенное в rip равно 15 каждый rip маршрутизатор по умолчанию вещает в сеть свою полную таблицу маршрутизации один раз в 30 секунд rip работает на 3 м уровне стека tcp ip используя udp порт 520
- Создадим маршрут по умолчанию указав в качестве nexthop ip адрес интерфейса gi1 0 2 маршрутизатора r1 192 68 00
- Проверить таблицу маршрутов можно командой
- Настройка rip
- Eq при указании команды длина префикса должна соответствовать указанной le при указании команды длина префикса должна быть меньше либо соответствовать указанной ge при указании команды длина префикса должна быть больше либо соответствовать указанной default route фильтрация маршрута по умолчанию
- Cleartext пароль передается открытым текстом md5 пароль хешируется по алгоритму md5
- In фильтрация входящих маршрутов out фильтрация анонсируемых маршрутов
- Intra area анонсирование маршрутов ospf процесса в пределах зоны inter area анонсирование маршрутов ospf процесса между зонами external 1 анонсирование внешних маршрутов ospf формата 1 external 2 анонсирование внешних маршрутов ospf формата 2
- Пример настройки rip
- Настроить на маршрутизаторе протокол rip для обмена маршрутной информацией с соседними маршрутизаторами маршрутизатор должен анонсировать статические маршруты и подсети 115 24 14 24 10 24 анонсирование маршрутов должно происходить каждые 25 секунд
- Задача
- Multicast маршруты анонсируются в многоадресном режиме broadcast маршруты анонсируются в широковещательном режиме unicast маршруты анонсируются в unicast режиме соседям
- Настройка ospf
- Для esr 1000 1200 1500 1511 1700 3100 500000 для esr 20 21 100 200 300000 для esr 10 12v f 14vf 30000
- Для esr 1000 1200 1500 1511 1700 3100 1 00000 для esr 20 21 100 200 1 00000 для esr 10 12v f 14vf 1 0000
- Алгоритм настройки
- Ospf протокол динамической маршрутизации основанный на технологии отслеживания состояния канала link state technology и использующий для нахождения кратчайшего пути алгоритма дейкстры
- Eq при указании команды длина префикса должна соответствовать указанной le при указании команды длина префикса должна быть меньше либо соответствовать указанной ge при указании команды длина префикса должна быть больше либо соответствовать указанной
- In фильтрация входящих маршрутов out фильтрация анонсируемых маршрутов
- Advertise при указании команды вместо подсетей входящих в указанную подсеть будет анонсироваться суммарная подсеть not advertise подсети входящие в указанную подсеть анонсироваться не будут
- Cleartext пароль передается открытым текстом доступно только для rip и ospf vlink md 5 пароль хешируется по алгоритму md5
- Cleartext пароль передается открытым текстом md 5 пароль хешируется по алгоритму md5
- Broadcast тип соединения широковещательный non broadcast тип соединения nbma point to multipoint тип соединения точка многоточие point to multipoint non broadcast тип соединения nbma точка многоточие point to point тип соединения точка точка
- Пример настройки ospf
- Соседние маршрутизаторы подключены к интерфейсам gi1 0 5 и gi1 0 15 для установления соседства с другими маршрутизаторами привяжем их к ospf процессу и области далее включим на интерфейсе маршрутизацию по протоколу ospf
- Решение
- Пример настройки ospf stub area
- Предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме приведенной на рисунке
- Изменить тип области 1 область должна быть тупиковой тупиковый маршрутизатор должен анонсировать маршруты полученные по протоколу rip
- Изменим тип области на тупиковый на каждом маршрутизаторе из области 1 в режиме конфигурирования области выполним команду
- Задача
- Включим анонсирование маршрутной информации из протокола rip
- Включим ospf процесс
- Пример настройки virtual link
- В firewall необходимо разрешить протокол ospf 89
- Так как ospf считает виртуальный канал частью области в таблице маршрутизации r1 маршруты полученные от r3 отмечены как внутризоновые и наоборот
- Таблицу маршрутов протокола ospf можно просмотреть командой
- Рассмотрим таблицу маршрутизации на маршрутизаторе r3
- Рассмотрим таблицу маршрутизации на маршрутизаторе r1
- Протокол bgp предназначен для обмена информацией о достижимости подсетей между автономными системами далее ас то есть группами маршрутизаторов под единым техническим управлением использующими протокол внутридоменной маршрутизации для определения маршрутов внутри себя и протокол междоменной маршрутизации для определения маршрутов доставки пакетов в другие ас передаваемая информация включает в себя список ас к которым имеется доступ через данную систему выбор наилучших маршрутов осуществляется исходя из правил принятых в сети
- Настройка bgp
- Для просмотра соседей можно воспользоваться следующей командой
- Для установлении bgp сессии необходимо в firewall разрешить tcp порт 179
- Для esr 1000 1200 1500 1511 1700 3100 5000000 для esr 20 21 100 200 2500000 для esr 10 12v 12vf 14vf 1000000
- Для esr 1000 1200 1500 1511 1700 3100 1 000000 для esr 20 21 100 200 1 500000 для esr 10 12v f 14vf 1 000000
- Алгоритм настройки
- X x x x x ee где каждая часть x принимает значения в шестнадцатеричном формате 0 ffff и ee принимает значения 1 28
- Aaa bbb ccc ddd ee ip адрес подсети с маской в форме префикса где aaa ddd принимают значения 0 55 и ee принимает значения 1 2
- Aaa bbb ccc ddd ee ip адрес подсети с маской в форме префикса где aaa ddd принимают значения 0 55 и ee принимает значения 1 2
- X x x x x ee где каждая часть x принимает значения в шестнадцатеричном формате 0 ffff и ee принимает значения 1 28
- Md5 пароль шифруется по алгоритму md5
- Intra area анонсирование маршрутов ospf процесса в пределах зоны inter area анонсирование маршрутов ospf процесса между зонами external 1 анонсирование внешних маршрутов ospf формата 1 external 2 анонсирование внешних маршрутов ospf формата 2
- Aaa bbb ccc ddd ee ip адрес подсети с маской в форме префикса где aaa ddd принимают значения 0 55 и ee принимает значения 1 2 x x x x x ee ipv6 адрес и маска подсети где каждая часть x принимает значения в шестнадцатеричном формате 0 ffff и ee принимает значения 1 28
- Часто бывает особенно при конфигурировании ibgp что в одном bgp процессе необходимо настроить несколько bgp neighbor с одинаковыми параметрами во избежание избыточности конфигурации
- Собственные подсети 80 6 24 80 6 6 24 анонсирование подсетей подключенных напрямую собственная as 2500 первое соседство подсеть 219 30 собственный ip адрес 219 ip адрес соседа 219 as2500 второе соседство подсеть 185 30 собственный ip адрес 185 ip адрес соседа 185 as20
- Сконфигурируем необходимые сетевые интерфейсы
- Решение
- Рекомендуется использовать bgp peer group в которой возможно описать общие параметры а в конфигурации bgp neighbor просто указать причастность к bgp peer group
- Пример настройки
- Настроить bgp протокол на маршрутизаторе r3 со следующими параметрами
- Задача
- Создадим bgp процесс для as 2500 и войдем в режим конфигурирования параметров процесса
- Сконфигурируем анонсирование подсетей подключенных напрямую
- Сконфигурируем firewall для приема маршрутизатором bgp трафика из зоны безопасности wan
- И укажем принадлежность интерфейсов к зоне безопасности
- Создадим соседство с роутером r2 по ibgp
- Создадим route map который будет использоваться в дальнейшем при настройке разрешающих анонсов роутерам из другой as
- Политика выбора лучшего маршрута в протоколе bgp
- Bfd bidirectional forwarding detection это протокол работающий поверх других протоколов позволяющий сократить время обнаружения проблемы до 50 мс bfd является двусторонним протоколом т е требует настройки обоих маршрутизаторов оба маршрутизатора генерируют bfd пакеты и отвечают друг другу
- Настройка bfd
- Алгоритм настройки
- Миллисекунд на esr 10 12v f 14vf 20 21 100 200 200 миллисекунд на esr 1000 1200 1500 1511 1700 3100
- Миллисекунд на esr 10 12v f 14vf 20 21 100 200 200 миллисекунд на esr 1000 1200 1500 1511 1700 3100
- Esr config if gi ip bfd passive
- Пример настройки bfd c bgp
- Перевести bfd сессию в пассивный режим то есть bfd сообщения не будут отправляться до тех пор пока не будут получены сообщения от bfd соседа на интерфейсе не обязательно
- Необходимо настроить ebgp между esr r1 и r2 и включить bfd
- Настроим ebgp с bfd
- Конфигурирование r2 предварительно необходимо настроить интерфейс gi1 0 1
- Конфигурирование r1 предварительно необходимо настроить интерфейс gi1 0 1
- Задача
- Шаг описание команда ключи
- Решение
- Также route map может назначать маршруты на основе списков доступа acl
- Настройка политики маршрутизации pbr
- Настроим ebgp с bfd
- Алгоритм настройки route map для bgp
- Route map могут служить фильтрами позволяющими обрабатывать маршрутную информацию при приеме этой информации от соседа либо при ее передаче соседу обработка может включать в себя фильтрацию на основании различных признаков маршрута а также установку атрибутов med as path community localpreference и другое на соответствующие маршруты
- Permit прием или анонсирование маршрутной информации разрешено deny запрещено
- Begin значение атрибута начинается с указанных номеров as end значение атрибута заканчивается указанными номерами as contain значение атрибута содержит указанный список номеров as
- Rt route target ro route origin
- Rt route target ro route origin
- No advertise маршруты передаваемые с данным community не должны анонсироваться другим bgp соседям no export маршруты передаваемые с таким community не должны анонсироваться ebgp соседям но анонсируются внешним соседям в конфедерации
- Egp маршрут выучен по протоколу egp igp маршрут получен внутри исходной as incomplete маршрут выучен другим образом
- Blackhole пакеты до данной подсети будут удаляться без отправки уведомлений отправителю unreachable пакеты до данной подсети будут удаляться отправитель получит в ответ icmp destination unreachable host unreachable code 1 prohibit пакеты до данной подсети будут удаляться устройством отправитель получит в ответ icmpdestinationunreachable communication administratively prohibited code 13
- Пример настройки 1 route map для bgp
- Пример настройки 2 route map для bgp
- Привязываем политику к анонсируемой маршрутной информации
- В bgp процессе as 2500 заходим в настройки параметров соседа
- Алгоритм настройки route map на основе списков доступа policy based routing
- Permit прием или анонсирование маршрутной информации разрешено deny запрещено
- Шаг описание команда ключи
- Требуется направлять трафик с адресов 10 0 24 через isp1 184 5 50 а трафик с адресов 10 0 24 через isp2 80 6 3 требуется контролировать доступность адресов провайдеров работоспособность подключений к isp и при неработоспособности одного из подключений переводить с него на рабочее подключение весь трафик
- Создаем acl
- Решение
- Распределить трафик между интернет провайдерами на основе подсетей пользователей
- Пример настройки route map на основе списков доступа policy based routing
- Предварительно нужно назначить ip адреса на интерфейсы
- Назначить политику маршрутизации на основе списков доступа acl
- Имя сконфигурированной политики маршрутизации строка до 31 символа
- Задача
- Алгоритм настройки
- Vrf virtual routing and forwarding технология которая позволяет изолировать маршрутную информацию принадлежащую различным классам например маршруты одного клиента
- Настройка vrf lite
- Ospf esr 1000 1200 1500 1511 1700 3100 1 00000 esr 20 21 100 200 1 00000 esr 10 12v f 14vf 1 0000 bgp esr 1000 1200 1500 1511 1700 3100 1 000000 esr 20 21 100 200 1 500000 esr 10 12v f 14vf 1 000000
- Создадим правило для пары зон и разрешим любой tcp udp трафик
- Создадим зону безопасности
- Создадим vrf
- Решение
- Пример настройки
- К маршрутизатору серии esr подключены 2 сети которые необходимо изолировать от остальных сетей
- Задача
- Прописать статические маршруты через wan если необходимо
- Настройка multiwan
- Информацию об интерфейсах привязанных к vrf можно посмотреть командой
- Идентификатор создаваемого правила принимает значения 1 0
- Идентификатор создаваемого правила из п
- Алгоритм настройки
- Metric метрика маршрута принимает значения 0 55
- Шаг описание команда ключи
- Технология multiwan позволяет организовать отказоустойчивое соединение с резервированием линков от нескольких провайдеров а также решает проблему балансировки трафика между резервными линками
- Таблицу маршрутов vrf можно просмотреть с помощью команды
- Создать правило wan и перейти в режим настройки параметров правила
- Создадим привязку интерфейсов назначим ip адреса укажем принадлежность к зоне
- Сконфигурировать интерфейсы по которым будет работать multiwan установить ip адреса и указать security zone
- Решение
- Пример настройки
- Предварительно нужно выполнить следующие действия
- Основной этап конфигурирования
- Настроить маршрут к серверу 108 6 28 с возможностью балансировки нагрузки
- Настроить зоны для интерфейсов te1 0 1 и te1 0 2 указать ip адреса для интерфейсов te1 0 1 и te1 0 2
- Настроим маршрутизацию
- Задача
- В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки соединения
- В режиме конфигурирования интерфейса te1 0 1 включаем wan режим и выходим
- Укажем участвующие интерфейсы
- Создадим цель проверки целостности
- Создадим список для проверки целостности соединения
- Создадим правило wan
- Настроим интерфейсы в режиме конфигурирования интерфейса te1 0 1 указываем nexthop
- Зададим адрес для проверки включим проверку указанного адреса и выйдем
- Включим созданное правило балансировки и выйдем из режима конфигурирования правила
- В режиме конфигурирования интерфейса te1 0 2 указываем nexthop
- Настройка is is
- Алгоритм настройки
- Cleartext пароль передается открытым текстом md5 пароль хешируется по алгоритму md5
- Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне
- Level 1 работа производится только на 1 уровне level 1 2 работа производится и на 1 и на 2 уровне level 2 работа производится только на 2 уровне
- Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне
- Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне
- Intra area анонсирование маршрутов ospf процесса в пределах зоны inter area анонсирование маршрутов ospf процесса между зонами external1 анонсирование внешних маршрутов ospf формата 1 external2 анонсирование внешних маршрутов ospf формата 2
- Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне
- Level 1 анонсирование маршрутов 1 уровня level 2 анонсирование маршрутов 1 уровня inter area анонсирование маршрутов is is процесса между зонами
- Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне
- Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне
- Level 1 работа производится только на 1 уровне level 1 2 работа производится и на 1 и на 2 уровне level 2 работа производится только на 2 уровне
- Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне
- Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне
- Level 1 работа производится только на 1 уровне level 2 работа производится только на 2 уровне
- Cleartext пароль передается открытым текстом md5 пароль хешируется по алгоритму md5
- Пример настройки
- Установление соседства можно посмотреть командой show isis neighbors выполним её на esr2
- Перейдём к настройке маршрутизатора esr3
- Перейдём к настройке маршрутизатора esr2
- Настроим работу интерфейсов на маршрутизаторе на обоих интерфейсах настройка будет одинаковая
- Зададим работу маршрутизатора с узкой метрикой на первом уровне и с широкой метрикой на втором и включим работу данного процесса is is
- Зададим номер зоны такой же как на esr1 а также уникальный системный идентификатор
- Управление технологией mpls
- Настройка протокола ldp
- Алгоритм настройки
- Пример настройки
- Предварительная конфигурация esr1
- Предварительная конфигурация esr
- Проверка
- Настройка на esr1
- Настройка на esr
- На одном из пиров вести следующие команды
- Вывод покажет параметры соседнего пира полученные из мультикастовых hello сообщений
- Если после согласования hello interval стал больше чем hold timer то hello interval будет равным hold timer 3
- Keepalive holdtime 180 секунд
- Hold timer является согласуемым параметром выбирается наименьший в данном примере показано что esr после согласования hold timer равен 10 секундам
- Hold timer 15 секунд
- Hello interval 5 секунд
- Сессия ldp должна находиться в статусе operational
- По умолчанию в рассылаемых hello сообщениях установлены следующие значения
- Параметр ldp
- Конфигурирование параметров сессии в протоколе ldp
- Параметры сконфигурированные в address family могут быть настроены на каждый отдельный интерфейс участвующий в процессе ldp
- На маршрутизаторах esr реализована возможность гибкой настройки параметров hello holdtime hello interval и keepalive holdtime рассмотрим пример настройки hello holdtime для ldp сессии
- Если параметры hello holdtime и hello interval не указаны то используются значения по умолчанию если параметры указаны то приоритет значений для address family будет выше чем для значений сконфигурированных глобально
- Для tcp сессии keepalive holdtime является также согласуемым параметром по аналогии с hold timer keepalive interval рассчитывается автоматически и равен keepalive holdtime 3 keepalive holdtime можно задать как глобально так и для каждого соседа таймер заданный для определенного соседа является более приоритетным
- Алгоритм настройки параметров hello holdtime и hello interval для address family
- Алгоритм настройки параметров hello holdtime и hello interval в глобальной конфигурации ldp
- Алгоритм настройки параметров hello holdtime и hello interval в глобальной конфигурации
- Пример настройки
- Переопределить параметры hello holdtime 40 секунд и hello interval 10 секунд для всего процесса ldp для соседа с адресом 1 установить keepalive holdtime равным 150 секунд
- Задача
- Алгоритм настройки параметра keepalive holdtime для определенного соседа
- Алгоритм настройки параметра keepalive holdtime в глобальной конфигурации ldp
- Решение
- Проверка
- По умолчанию для targeted ldp сессии установлены следующие значения
- Параметр targeted ldp
- Конфигурирование параметров сессии в протоколе targeted ldp
- Для просмотра параметров установленной tcp сессии
- Для просмотра hello параметров
- Keepalive holdtime 180 секунд
- Hold timer 45 секунд
- Hello interval 5 секунд
- Пример вывода для процесса ldp
- Пример вывода для targeted ldp сессии для определенного соседа
- На маршрутизаторах esr реализована возможность гибкой настройки параметров hello holdtime hello interval и keepalive holdtime параметры можно задать как для всего процесса ldp так и на соответствующего соседа
- Если после согласования hello interval стал больше чем hold timer то hello interval будет равным hold timer 3
- Hold timer является согласуемым параметром выбирается наименьший в данном примере показано что esr после согласования установил 30 секунд
- Алгоритм настройки параметров hello holdtime hello interval и keepalive holdtime для
- Процесса ldp
- Настроить протокол ldp см раздел конфигурирование протокола ldp
- Значение по умолчанию 45
- Если параметры установлены и для процесса ldp и на определенного соседа приоритетом будет считаться настройки установленные для соседа
- Время в секундах в интервале 3 5535
- В режиме конфигурации протокола ldp задать hello holdtime
- Алгоритм настройки параметров hello holdtime hello interval и keepalive holdtime для процесса ldp
- Решение
- Пример настройки
- Переопределить параметры hello holdtime 120 секунд и hello interval 30 секунд для всего процесса targeted ldp для соседа с адресом 4 установить keepalive holdtime равным 150 секунд
- Определенного соседа
- Задача
- Алгоритм настройки параметров hello holdtime hello interval и keepalive holdtime для определенного соседа
- Алгоритм настройки параметров hello holdtime hello interval и keepalive holdtime для
- Для просмотра hello параметров targeted ldp сессии
- Алгоритм настройки
- Шаг описание команда ключи
- Проверка
- По умолчанию маршрутизаторы выделяют на каждый fec отдельную метку существуют сценарии когда необходимо выделять mpls метки только для определенных fec
- Настройка фильтрации ldp меток
- Настроить протокол ldp см раздел конфигурирование протокола ldp
- Имя конфигурируемого списка подсетей задаётся строкой до 31 символа
- Для просмотра параметров установленной tcp сессии
- Пример настройки
- Настройка сервиса l2vpn martini mode
- Алгоритм настройки l2vpn vpws
- Решение
- Пример настройки l2vpn vpws
- Предварительно нужно
- Настроить l2vpn таким образом чтобы интерфейс ge1 0 2 00 маршрутизатора ce1 и интерфейс ge1 0 2 00 маршрутизатора ce2 работали в рамках одного широковещательного домена
- Задача
- Включить поддержку jumbo фреймов с помощью команды system jumbo frames для вступления изменений в силу требуется перезагрузка устройства настроить ip адреса на интерфейсах согласно схеме сети приведенной на рисунке выше организовать обмен маршрутами между pe1 и pe2 при помощи igp протокола ospf is is rip
- Создадим новый l2vpn типа p2p и добавим pw до маршрутизатора pe3 идентификатор pw для удобства возьмем равным vid в данном случай 100
- Создадим pw class на основе которого в дальнейшем будет создан виртуальный канал pw так как в данном примере на pw будут применяться параметры по умолчанию достаточно будет указать имя класса
- Разрешим прием пакетов с mpls заголовком на интерфейсе в сторону mpls сети в данном примере интерфейс в сторону pe2
- Настроим протокол ldp и включим обнаружение соседей на интерфейсе в сторону pe2
- На маршрутизаторе pe1 создадим саб интерфейс на который будем принимать трафик от ce1
- Выставим на интерфейсе в сторону pe2 значение mtu равным 9600 для того чтобы избежать ситуации с превышением mtu после инкапсуляции mpls заголовка а также отключим межсетевой экран
- Убедимся в установлении соседства по протоколу ldp и выведем информацию по статусу виртуального канала pseudowire между pe1 и pe2
- Проведем настройку маршрутизатора pe2 по аналогии с pe1
- Применим конфигурацию
- Соседство по протоколу ldp установлено pseudowire перешел в статус up настройка l2vpn типа p2p завершена
- Алгоритм настройки l2vpn vpls
- Пример настройки l2vpn vpls
- Настроить l2vpn таким образом чтобы маршрутизаторы ce1 ce2 ce3 имели l2 связность через интерфейсы gi1 0 2 00 и gi1 0 4 ce2
- Задача
- Применим созданную конфигурацию
- Настроим протокол ldp и включим обнаружение соседей на интерфейсе в сторону pe2
- Создадим новый l2vpn типа vpls и добавим pw до маршрутизаторов pe2 и pe3 идентификатор pw для удобства возьмем равным vid в данном случае 100
- Создадим pw class на основе которого в дальнейшем будет созданы виртуальные каналы pw так как в данном примере на pw будут применяться параметры по умолчанию достаточно будет указать имя класса
- Разрешим прием пакетов с mpls заголовком на интерфейсе в сторону mpls сети в данном примере интерфейс в сторону pe2
- Проведем настройку маршрутизатора pe2 и pe3 по аналогии с pe1
- Убедимся в установлении соседства по протоколу ldp и выведем информацию по статусу виртуального канала pseudowire между pe1 pe2 и pe3
- Соседство по протоколу ldp установлено pseudowire перешел в статус up настройка l2vpn завершена
- Принимает значение 1 294967295 nn принимает значение 1 5535
- Настройка сервиса l2vpn kompella mode
- В отличии от martini mode где вся работа ложится на ldp в данном режиме ldp отводится только работа с транспортными метками автообнаружение и построение псевдопроводного соединения возложено на протокол bgp
- Алгоритм настройки l2vpn vpls
- Принимает значение 1 294967295 nn принимает значение 1 5535
- Пример настройки l2vpn vpls
- Первым делом настроим маршрутизатор rr
- Предварительная конфигурация
- Переходим к настройке протокола bgp на pe маршрутизаторах
- Настроим bgp route reflector для address family l2vpn
- Предварительная конфигурация
- Проверим что bgp сессия успешно установлена с rr
- Предварительная конфигурация
- Настройка протокола bgp
- Настройка bgp на pe2
- Предварительная конфигурация
- Убедимся что сессия с rr поднялась успешно
- Предварительная конфигурация
- Настройка bgp на pe3
- Следующим этапом на каждом pe маршрутизаторе создадим бридж домен и включим в него интерфейс attachment circuit ac смотрящий в сторону ce
- Проверим что сессия bgp установлена успешно
- Проверим что интерфейс включен в бридж домен
- Следующим шагом выполним настройку vpls
- Переходим в контекст настройки l2vpn и включим в него заранее созданный бридж домен
- После активации сервиса проверим что в таблице l2vpn появилась маршрутная информация и она анонсируется на rr
- Например у нас есть номер автономной системы as 65550 vpn id мы указали 10 тогда c генерируются следующие параметры rd 65550 10 rt import export 65550 10
- Укажем rd rt ve id vpn id согласно схеме сети и активируем сервис
- Проверяем что pe2 анонсирует маршрутную информацию на rr
- Переходим к настройке pe2
- В таблице l2vpn видны как и свои маршруты так и от pe1
- Просмотреть вычисленные сервисные метки можно следующим образом
- Проверим состояние сервиса
- Убедимся что pe3 анонсирует маршрутную информацию на rr
- Проверяем маршрутную информацию на pe3
- Переходим к настройке pe3
- Сервис l3vpn позволяет объединить распределенные клиентские ip сети и обеспечить передачу трафика между ними с рамках единой vrf
- Проверим что псевдопровод построен до обеих pe и находится в статусе up
- Проверим сетевую доступность клиентских устройств се
- Настройка сервиса l3vpn
- Настройка l2vpn сервиса завершена
- В текущей реализации протокола mp bgp поддержана передача только vpn ipv4 маршрутов afi 1 safi 128
- Алгоритм настройки
- Принимает значение 1 294967295 nn принимает значение 1 5535
- Пример настройки
- Решение
- Настройка адресации и включение igp на p pe маршрутизаторах
- Необходимо убедиться что протокол ospf запущен на каждом маршрутизаторе
- Настройка ldp на p pe маршрутизаторах
- Создадим vrf на esr1 и esr3 соответственно укажем rd rt export import в соответствии с нашей схемой настроим интерфейс для взаимодействия с ce ce sitea и ce siteb дополнительно создадим route map для разрешения анонсирования маршрутов по протоколу bgp
- Настройка mp bgp
- Для проверки сходимости ldp можно воспользоваться одной из следующих команд
- Без указание атрибутов rd и rt маршрутная информация не попадет в таблицу vpnv4
- Настроим ibgp между esr1 и esr3 включим отправку extended community на обоих устройствах
- Согласно нашей топологии customer1 анонсирует по bgp as65505 подсеть 10 00 24 необходимо настроить соответствующие интерфейсы ebgp между esr1 и ce_sitea также необходимо разрешить анонсирование маршрутов в сторону pe
- По умолчанию для ebgp анонсирование маршрутов запрещено необходимо настроить разрешающее правило для ibgp анонсирование маршрутов разрешено
- Необходимо убедиться что bgp сессия успешно установлена
- Настройка маршрутизации pe ce
- Ce _sitea
- Переходим к настройке ebgp на маршрутизаторе esr1
- Необходимая конфигурация на маршрутизаторе ce sitea
- Создадим ebgp сессию с ce_sitea и разрешим передачу маршрутов bgp пиру
- При передаче маршрутов из vrf в таблицу vpnv4 только connected и или static сетей указывать команду enable не нужно включение необходимо только при наличии bgp пиров в vrf пример конфигурации передачи в vpnv4 таблицу connected и static сетей
- Для проверки принятых и анонсированных маршрутов можно воспользоваться следующими командами
- Вывод принятой маршрутной информации от определенного пира маршрутная информация отображается после применения фильтрации
- Вывод анонсируемых маршрутов для определенного пира маршрутная информация отображается после применения фильтрации
- Произвести настройку соответствующих интерфейсов и создать ebgp сессию между esr3 и ce_siteb
- Ce siteb необходимо проделать схожие операции теперь уже между маршрутизаторами esr3 и ce_siteb
- Ce siteb
- Со стороны esr3 также настроить ebgp и разрешить передачу маршрутной информации из vrf в таблицу vpnv4
- Балансировка трафика mpls
- Работа с бридж доменом в рамках mpls
- Пример настройки
- Назначение mtu при работе с mpls
- Ldp signaling настройка mtu для согласования
- Теперь при согласовании значение mtu будет игнорироваться
- При настройке vpls bgp signaling можно отключить проверку mtu при создании псевдо проводов
- По умолчанию бридж домен имеет mtu равным 1500 байт стоит отметить что bridge domain автоматически выбирает наименьшее значение mtu исходя из собственного mtu и mtu интерфейсов включенных в бридж домен
- Если при согласовании значение mtu оказалось разным то c татус псевдо провода будет down reason mtu mismatch
- Для bgp signaling параметр mtu также можно указать
- Bgp signaling настройка mtu для согласования
- С e1 посылает пакеты размером 1500 байт ce2 1800 байт соответственно так как mtu бридж домена меньше чем mtu пакета от ce2 то пакет от ce2 будет отброшен перед попаданием в бридж домен аналогичные действия будут если mtu интерфейса смотрящего в сторону mpls core gi1 0 1 меньше чем mtu приходящих от с e пакетов с учетом mpls заголовка
- Рассмотрим пример прохождения трафика в l2vpn сервисе
- Pe1 имеет следующие значения mtu на интерфейсах
- Управление безопасностью
- Настройка ааа
- Алгоритм настройки локальной аутентификации
- Chain если сервер вернул fail перейти к следующему в цепочке методу аутентификации break если сервер вернул fail прекратить попытки аутентификации если сервер недоступен продолжить попытки аутентификации следующими в цепочке методами
- Алгоритм настройки aaa по протоколу radius
- Local аутентификация с помощью локальной базы пользователей tacacs аутентификация по списку tacacs серверов radius аутентификация по списку radius серверов ldap аутентификация по списку ldap серверов
- Console локальная консоль ssh защищенная удаленная консоль
- Алгоритм настройки aaa по протоколу tacacs
- Tacacs учет сессий по протоколу tacacs radius учет сессий по протоколу radius
- Enable аутентификация с помощью enable паролей tacacs аутентификация по протоколу tacacs radius аутентификация по протоколу radius ldap аутентификация по протоколу ldap
- Default имя списка по умолчанию
- Chain если сервер вернул fail переход к следующему в цепочке методу аутентификации break если сервер вернул fail прекратить попытки аутентификации если сервер недоступен продолжить попытки аутентификации следующими в цепочке методами
- Алгоритм настройки aaa по протоколу ldap
- Console локальная консоль ssh защищенная удаленная консоль
- Onelevel выполнять поиск в объектах на следующем уровне после базового dn в дереве ldap сервера subtree выполнять поиск во всех объектах поддерева базового dn в дереве ldap сервера
- Local аутентификация с помощью локальной базы пользователей tacacs аутентификация по списку tacacs серверов radius аутентификация по списку radius серверов ldap аутентификация по списку ldap серверов
- Пример настройки аутентификации по telnet через radius сервер
- Настройка привилегий команд
- Пример настройки привилегий команд
- Настройка логирования и защиты от сетевых атак
- Алгоритм настройки
- Destination unreachable echo request reserved source quench time exceeded
- Описание механизмов защиты от атак
- Решение
- Пример настройки логирования и защиты от сетевых атак
- Предварительно необходимо настроить интерфейсы и firewall настройка firewall или ее отсутствие не повлияют на работу защиты от сетевых атак
- Необходимо защитить lan сеть и маршрутизатор esr от сетевых атак land syn flood icmp flood и настроить оповещение об атаках по snmp на snmp сервер 192 68 0
- Команда описание
- Задача
- Данная команда включает блокировку фрагментированных udp пакетов
- Данная команда включает блокировку пакетов с id протокола в заголовке ip равном 137 и более
- Ip firewall screen suspicious packets unknown protocols
- Ip firewall screen suspicious packets udp fragment
- Настроим логирование обнаруженных атак
- Настроим защиту от land syn flood icmp flood атак
- Настроим snmp сервер на который будут отправляться трапы
- Конфигурирование firewall
- Алгоритм настройки
- Firewall комплекс аппаратных или программных средств осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами
- Посмотреть статистику по зафиксированным сетевым атакам можно командой
- Решение
- Разрешить обмен сообщениями по протоколу icmp между устройствами r1 r2 и маршрутизатором esr
- Пример настройки firewall
- При использовании ключа not правило будет срабатывать для значений которые не входят в указанный профиль
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности
- Каждая команда match может содержать ключ not при использовании данного ключа под правило будут подпадать пакеты не удовлетворяющие заданному критерию
- Задача
- Для каждой сети esr создадим свою зону безопасности
- Более подробная информация о командах для настройки межсетевого экрана содержится в справочнике команд cli
- Для пропуска трафика из зоны wan в зону lan создадим пару зон и добавим правило разрешающее проходить icmp трафику от r2 к r1 действие правил разрешается командой enable
- Для пропуска трафика из зоны lan в зону wan создадим пару зон и добавим правило разрешающее проходить icmp трафику от r1 к r2 действие правил разрешается командой enable
- Для настройки правил зон безопасности потребуется создать профиль адресов сети lan включающий адреса которым разрешен выход в сеть wan и профиль адресов сети wan
- Пример настройки фильтрации приложений dpi
- Для каждой сети esr создадим свою зону безопасности
- Блокировать доступ к ресурсам youtube bittorrent и facebook
- Решение
- Переключаем режим работы межсетевого экрана esr в stateless
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности
- Задача
- Для настройки правил зон безопасности потребуется создать профиль приложений которые необходимо будет блокировать
- Настройка списков доступа acl
- Алгоритм настройки
- Permit прохождение трафика разрешается deny прохождение трафика запрещается
- Также списки доступа могут использоваться для организации политик qos
- Решение
- Разрешить прохождения трафика только из подсети 192 68 0 24
- Пример настройки списка доступа
- Применим список доступа на интерфейс gi1 0 19 для входящего трафика
- Настроим список доступа для фильтрации по подсетям
- Задача
- Ips ids intrusion prevention system intrusion detection system система предотвращения вторжений программная система сетевой и компьютерной безопасности обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них
- Работа системы основана на сигнатурном анализе трафика сигнатуры для систем ips ids принято называть правилами устройства esr позволяют скачивать актуальные правила с открытых источников в сети интернет или с корпоративного сервера также с помощью cli можно создавать свои специфические правила
- Просмотреть детальную информацию о списке доступа возможно через команду
- По умолчанию на устройствах esr установлен базовый набор правил от компании emergingthreats предназначенный для тестирования и проверки работоспособности системы
- Настройка ips ids
- Алгоритм базовой настройки
- Файл правил с расширение rule файл классификатора правил с именем classification config каталог на сервере содержащий файлы правил и или файл классификатора правил
- Алгоритм настройки автообновления правил ips ids из внешних источников
- Рекомендуемые открытые источники обновления правил
- Для правил ips ids загружаемых из внешних источников на маршрутизаторах esr выделена отдельная область энергозависимой памяти размер этой области зависит от модели esr
- Для всех остальных моделей 100 мб если настроить слишком много источников правил или загружать правила превышающие указанные лимиты то маршрутизатор будет выдавать сообщения об ошибке storage_ips_mgr i err there no free space in rules directory в этом случае стоит уменьшить объем запрашиваемых правил
- Esr 1x 25 мб esr 2x 50 мб
- Решение
- Пример настройки ips ids с авто обновлением правил
- Организовать защиту локальной сети с авто обновлением правил из открытых источников
- Задача
- 68 24 локальная сеть
- Создадим профиль адресов локальной сети которую будем защищать
- Устройство будет использоваться только как шлюз безопасности по этому отдадим сервису ips ids все доступные ресурсы
- Создадим политику безопасности ips ids
- Разрешим работу ips ids на интерфейсе локальной сети bridge 1
- Настроим параметры ips ids
- Настроим на esr dns клиента для разрешения имен источников обновления правил ips ids
- Настроим авто обновление правил с сайтов emergingthreats net etnetera cz и abuse ch
- Алгоритм настройки базовых пользовательских правил
- Alert прохождение трафика разрешается и сервис ips ids генерирует сообщение reject прохождение трафика запрещается если это tcp трафик отправителю и получателю посылается пакет tcp reset для остального типа трафика посылается пакет icmp error сервис ips ids генерирует сообщение pass прохождение трафика разрешается drop прохождение трафика запрещается и сервис ips ids генерирует сообщение
- Protect устанавливает в качестве адресов отправителя и protect адреса определенные адреса в политике ips ids external устанавливает в качестве адресов отправителя и external адреса определенные адреса в политике ips ids
- Protect устанавливает в качестве адресов получателя protect адреса определенные в политике ips ids external устанавливает в качестве адресов получателя external адреса определенные в политике ips ids
- One way трафик передаётся в одну сторону round trip трафик передаётся в обе стороны
- Inappropriate content обнаружено неприемлемое содержание policy violation потенциальное нарушение корпоративной конфиденциальности default login attempt попытка входа с помощью стандартного логина пароля
- Greater than больше чем less than меньше чем
- Greater than больше чем less than меньше чем
- Greater than больше чем less than меньше чем
- By src считать пороговое значение для пакетов с одинаковым ip отправителя by dst считать пороговое значение для пакетов с одинаковым ip получателя
- Both комбинация threshold и limit
- Пример настройки базовых пользовательских правил
- Правило будет срабатывать на пакеты размером больше 1024 байт
- Правило будет срабатывать если нагрузка на сервер будет превышать 3 мб с при этом сообщение об атаке будет генерироваться не чаше одного раза в минуту
- Зададим направление трафика
- Алгоритм настройки расширенных пользовательских правил
- Создадим расширенное правило
- Создадим набор пользовательских правил
- Создадим ещё одно расширенное правило работающее по схожему алгоритму чтобы определить какое из правил будет эффективнее
- Решение
- Пример настройки расширенных пользовательских правил
- При написании правил символ требуется заменить на символ
- Написать правило детектирующее атаку типа slowloris
- Задача
- Активировать правило esr config ips category rule advanced enable
- Шаг описание команда ключи
- Указать действие данного правила
- Текстовое сообщение в формате snort 2 x suricata 4 x задаётся строкой до 1024 символов
- Настройка взаимодействия с eltex distribution manager
- Алгоритм базовой настройки
- Reject прохождение трафика запрещается если это tcp трафик отправителю и получателю посылается пакет tcp reset для остального типа трафика посылается пакет icmp error сервис ips ids генерирует сообщение
- Pass прохождение трафика разрешается
- Drop прохождение трафика запрещается и сервис ips ids генерирует сообщение
- Alert прохождение трафика разрешается и сервис ips ids генерирует сообщение
- После перезагрузки устройства можно начинать настраивать сервис ips
- Настроить политику безопасности
- На интерфейсе включить ips
- Задать профиль ip адресов которые будет защищать ips ids
- Задать параметры content provider это адрес сервера eltex между сервером content provider и маршрутизатором должна быть сетевая доступность
- Активировать ips ids
- Esr config ips enable
- Шаг описание команда ключи
- Пример настройки
- Назначить сервису ips политику для работы и включить его
- Настройка сервиса контентной фильтрации
- Алгоритм базовой настройки
- Protect устанавливает в качестве адресов отправителя protect адреса определенные в политике ips ids external устанавливает в качестве адресов отправителя external адреса определенные в политике ips ids
- Protect устанавливает в качестве адресов получателя protect адреса определенные в политике ips ids external устанавливает в качестве адресов получателя external адреса определенные в политике ips ids
- Создадим профиль адресов локальной сети которую будем защищать
- Решение
- Пример настройки правил контентной фильтрации
- На устройстве предварительно должны быть настроены интерфейсы и правила firewall
- Запретить доступ к http сайтам относящимся к категориям adult content casino online betting online lotteries из локальной сети 192 68 24
- Задача
- One way трафик передаётся в одну сторону round trip трафик передаётся в обе стороны
- Настроим параметры ips ids
- Настроим на esr dns клиента для разрешения имен источников обновления правил ips ids
- Устройство будет использоваться только как шлюз безопасности поэтому отдадим сервису ips ids все доступные ресурсы
- Создадим профиль контентной фильтрации для выбранных категорий
- Создадим правило
- Создадим политику безопасности ips ids
- Создадим набор пользовательских правил
- Разрешим работу ips ids на интерфейсе локальной сети gigabitethernet 1 0 2
- Настройка сервиса антиспам
- Алгоритм базовой настройки
- Ca сертификат удостоверяющего центра server key приватный ключ сервера server crt публичный сертификат сервера dh ключ диффи хеллмана
- Разрешить smtp команду vrfy на почтовом сервере во время smtp сессии необязательно
- Максимальный размер письма в кб принимает значения от 5120 до 51200
- Задача
- Задать максимальный размер письма в кб необязательно
- Включить почтовый сервер esr config mailserver enable
- Включить обязательное требование smtp команды helo или ehlo при установлении smtp сессии необязательно
- Esr config mailserver smtp vrfy enable
- Esr config mailserver smtp helo required
- Шаг описание команда ключи
- Убедимся что mx запись для домена eltex co ru указывает на ip адрес esr
- Решение
- Пример настройки
- Настроить на esr сервис антиспам для работы в качестве smtp proxy для анализа электронной почты адресованной почтовому серверу расположенному в сети предприятия и обслуживающему домен eltex co ru
- Настроим сетевые интерфейсы
- Управление резервированием
- Настройка vrrp
- Настройка tracking
- Настройка firewall failover
- Алгоритм настройки пример настройки 1 пример настройки 2
- Алгоритм настройки пример настройки
- Алгоритм настройки
- Vrrp англ virtual router redundancy protocol сетевой протокол предназначенный для увеличения доступности маршрутизаторов выполняющих роль шлюза по умолчанию это достигается путём объединения группы маршрутизаторов в один виртуальный маршрутизатор и назначения им общего ip адреса который и будет использоваться как шлюз по умолчанию для компьютеров в сети
- Cleartext пароль передается открытым текстом md 5 пароль хешируется по алгоритму md5
- Создать соответствующий саб интерфейс настроить зону для саб интерфейса указать ip адрес для саб интерфейса
- Решение
- Пример настройки 1
- Предварительно нужно выполнить следующие действия
- Основной этап конфигурирования
- Организовать виртуальный шлюз для локальной сети в vlan 50 используя протокол vrrp в качестве локального виртуального шлюза используется ip адрес 192 68
- Настроим маршрутизатор r1
- Задача
- Пример настройки 2
- Укажем идентификатор vrrp группы
- Укажем ip адрес виртуального шлюза 192 68 0
- Укажем ip адрес виртуального шлюза 192 68
- Произвести аналогичные настройки на r2
- Помимо создания туннеля необходимо в firewall разрешить протокол vrrp 112
- Настроим vrrp для подсети 192 68 0 24 в созданном саб интерфейсе
- Включим vrrp
- Укажем уникальный идентификатор vrrp
- Настройка tracking
- Алгоритм настройки
- Tracking механизм позволяющий активировать сущности в зависимости от состояния vrrp sla
- State отслеживается состояние sla теста reachability отслеживается состояние канала связи которое предоставляет sla тест
- And tracking объект будет находиться в активном состоянии если все отслеживаемые условия будут в активном состоянии or tracking объект будет находиться в активном состоянии если хотя бы одно отслеживаемое условие будет в активном состоянии
- Resolve при указании данного параметра ip адрес шлюза будет рекурсивно вычислен через таблицу маршрутизации если при рекурсивном вычислении не удастся найти шлюз из напрямую подключенной подсети то данный маршрут не будет установлен в систему
- Пример настройки
- Решение
- На маршрутизаторе r2 никаких изменений не требуется так как подсеть 10 24 терминируется на нем и в момент когда r2 выступает в роли vrrp master пакеты будут переданы в соответствующий
- Маршрутизатор r2
- Маршрутизатор r1
- Исходные конфигурации маршрутизаторов
- Для этого создадим track object с соответствующим условием
- Алгоритм настройки
- Firewall failover необходим для резервирования сессий firewall
- Создадим статический маршрут в подсеть 10 24 через 192 68 который будет работать в случае удовлетворения условия из track 1
- Настройка firewall failover
- Интерфейс на маршрутизаторе необходимо создать маршрут для пакетов с ip адресом назначения из сети 10 24 в момент когда r1 выступает в роли vrrp master
- Решение
- Пример настройки
- Основные этапы решения задачи
- Необходимо настроить зону безопасности для протокола vrrp и протокола udp
- Необходимо настроить vrrp процессы на маршрутизаторах для master будем использовать vrrp priority 20 для backup будем использовать vrrp priority 10
- Необходимо настроить firewall failover в режиме unicast с номером udp порта 3333 для vrrp группы
- Настроить резервирование сессий firewall для vrrp группы в unicast режиме необходимо организовать резервирование для двух подсетей с помощью протокола vrrp синхронизировать vrrp процессы на маршрутизаторах
- Настроим маршрутизатор esr 1 master
- Задача
- После чего необходимо включить vrrp процесс с помощью команды vrrp
- Настроим vrrp процессы на интерфейсах необходимо настроить следующие параметры на интерфейсах маршрутизатора идентификатор vrrp ip адрес vrrp приоритет vrrp принадлежность vrrp маршрутизатора к группе
- Настроим firewall failover
- На маршрутизаторе необходимо установить принадлежность vrrp процессов к одной группе для синхронизации состоянии vrrp процессов master backup а также для синхронизации сессий vrrp процессов с помощью firewall failover
- Также дополнительно на master необходимо настроить vrrp preempt delay в результате чего появится время на установление синхронизации firewall перед тем как backup маршрутизатор передаст мастерство
- Также вместо настройки vrrp preempt delay есть возможность выбрать режим работы vrrp preempt disable в результате которого маршрутизатор с более высоким vrrp приоритетом не будет забирать мастерство у маршрутизатора с более низким vrrp приоритетом после возвращения в работу
- Предварительно на интерфейсах настроим ip адрес и определим принадлежность к зоне безопасности
- Настроим номер udp порта службы резервирования сессий firewall
- Настроим ip адреса соседа при работе резервирования сессий firewall в unicast режиме
- Дополнительно в security zone pair trusted self необходимо разрешить следующие протоколы
- Для настройки правил зон безопасности потребуется создать профиль для порта firewall failover
- Выберем режим резервирование сессий unicast
- Выберем ip адреса сетевого интерфейса с которого будут отправляться сообщения при работе firewall в режиме резервирования сессий
- Включим резервирования сессий firewall
- Посмотреть статус vrrp процессов есть возможность с помощью следующей команды
- Посмотреть состояние систем резервирования устройства есть возможность с помощью следующей команды
- Посмотреть состояние резервирования сессий firewall есть возможность с помощью следующей команды
- Настройка интерфейсов
- Настроим маршрутизатор esr 2 backup
- Настройка firewall failover
- Настройка зоны безопасности аналогична настройки на маршрутизаторе esr 1 master
- Управление удаленным доступом
- Настройка сервера удаленного доступа к корпоративной сети по pptp протоколу
- Алгоритм настройки
- Local аутентификация пользователя по локальной базе radius аутентификация пользователя по базе radius сервера на маршрутизаторе должен быть сконфигурирован механизм взаимодействия с radius сервером см раздел алгоритм настройки aaa по протоколу radius
- Пример настройки
- Настроить pptp сервер на маршрутизаторе
- Задача
- Адрес pptp сервера 120 1 шлюз внутри туннеля для подключающихся клиентов 10 0 0 пул ip адресов для выдачи 10 0 0 10 0 0 5 dns серверы 8 8 учетные записи для подключения fedor ivan
- Создадим профиль адресов содержащий адреса клиентов
- Создадим профиль адресов содержащий адрес локального шлюза
- Создадим профиль адресов содержащий адрес который должен слушать сервер
- Создадим pptp сервер и привяжем вышеуказанные профили
- Создадим pptp пользователей ivan и fedor для pptp сервера
- Решение
- Выберем метод аутентификации пользователей pptp сервера
- Укажем зону безопасности к которой будут относиться сессии пользователей
- Протоколу
- Настройка сервера удаленного доступа к корпоративной сети по l2tp over ipsec протоколу
- Настройка сервера удаленного доступа к корпоративной сети по l2tp over ipsec
- Алгоритм настройки
- Local аутентификация пользователя по локальной базе radius аутентификация пользователя по базе radius сервера на маршрутизаторе должен быть сконфигурирован механизм взаимодействия с radius сервером см раздел алгоритм настройки aaa по протоколу radius
- Решение
- Пример настройки
- Предварительно нужно выполнить следующие действия
- Настроить подключение к radius серверу настроить зоны для интерфейсов te1 0 1 и gi1 0 1 указать ip адреса для интерфейсов te1 0 1 и te1 0 1
- Настроить l2tp сервер на маршрутизаторе для подключения удаленных пользователей к лвс аутентификация пользователей проходит на radius сервере
- Задача
- Для ipsec используется метод аутентификации по ключу ключ password
- Адрес l2tp сервера 120 1 шлюз внутри туннеля 10 0 0 адрес radius сервера 192 68
- Выберем метод аутентификации первой фазы ike и зададим ключ аутентификации
- Включим l2tp сервер
- Укажем зону безопасности к которой будут относиться сессии пользователей
- Счетчики сессий l2tp сервера можно посмотреть командой
- Создадим профиль адресов содержащий адрес локального шлюза
- Создадим профиль адресов содержащий dns серверы
- Создадим l2tp сервер и привяжем к нему вышеуказанные профили
- После применения конфигурации маршрутизатор будет прослушивать ip адрес 120 1 и порт 1701 состояние сессий l2tp сервера можно посмотреть командой
- Выберем метод аутентификации пользователей l2tp сервера
- Протоколу
- Помимо создания l2tp сервера необходимо в firewall открыть udp порты 500 1701 4500 для обслуживания соединений и разрешить протоколы esp 50 и gre 47 для туннельного трафика
- Очистить счетчики сессий l2tp сервера можно командой
- Настройка сервера удаленного доступа к корпоративной сети по openvpn протоколу
- Настройка сервера удаленного доступа к корпоративной сети по openvpn
- Конфигурацию l2tp сервера можно посмотреть командой
- Завершить сессию пользователя fedor l2tp сервера можно одной из следующих команд
- Алгоритм настройки
- Openvpn полнофункциональное средство для построения виртуальных частных сетей virtual private networks vpn организации удалённого доступа и решения ряда других задач связанных с безопасностью передачи данных базирующееся на ssl
- Tcp инкапсуляция в tcp сегменты udp инкапсуляция в udp дейтаграммы
- Ip соединение точка точка ethernet подключение к l2 домену
- Ca сертификат удостоверяющего сервера crl список отозванных сертификатов dh ключ диффи хеллмана server crt публичный сертификат сервера server key приватный ключ сервера ta hmac ключ
- 128 bits key size md4 rsa md4 md5 rsa md5 mdc2 rsa mdc2 8 160 bits key size sha sha1 rsa sha rsa sha1 rsa sha1 2 dsa dsa sha dsa sha1 dsa sha1 old ripemd160 rsa ripemd160 ecdsa with sha1 8 224 bits key size sha 224 rsa sha 224 8 256 bits key size sha 256 rsa sha 256 8 384 bits key size sha 384 rsa sha 384 8 512 bits key size sha 512 rsa sha 512 whirlpool
- Пример настройки
- Настройка клиента удаленного доступа по протоколу pppoe
- Алгоритм настройки
- Pppoe это туннелирующий протокол tunneling protocol который позволяет инкапсулировать ip ppp через соединения ethernet и обладает программными возможностями ppp соединений что позволяет использовать его для виртуальных соединений на соседнюю ethernet машину и устанавливать соединение точка точка которое используется для транспортировки ip пакетов а также работает с возможностями ppp это позволяет применять традиционное ppp ориентированное по для настройки соединения которое использует не последовательный канал а пакетно ориентированную сеть например ethernet чтобы организовать классическое соединение с логином и паролем для интернет соединений кроме того ip адрес по другую сторону соединения назначается только когда pppoe соединение открыто позволяя динамическое переиспользование ip адресов
- Для esr 10 12v f 14vf 1280 600 для esr 20 21 1280 500 для esr 100 200 1000 1200 1500 1511 1700 1280 0000 для esr 3100 1280 190
- Пример настройки
- Укажем интерфейс через который будет устанавливаться pppoe соединение
- Счетчики сессий pppoe клиента можно посмотреть командой
- Состояние pppoe туннеля можно посмотреть командой
- Настройка клиента удаленного доступа по протоколу pptp
- Алгоритм настройки
- Pptp англ point to point tunneling protocol туннельный протокол типа точка точка позволяющий устанавливать защищённое соединение за счёт создания специального туннеля в обычной незащищенной сети pptp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет pptp может также использоваться для организации туннеля между двумя локальными сетями рртр использует дополнительное tcp соединение для обслуживания туннеля
- Для esr 10 12v f 14vf 552 600 для esr 20 21 552 500 для esr 100 200 1000 1200 1500 1511 1700 552 0000 для esr 3100 552 190
- Пример настройки
- Настроить pptp туннель на маршрутизаторе
- Задача
- Адрес pptp сервера 20 0 учетная запись для подключения логин ivan пароль simplepass
- Настройка клиента удаленного доступа по протоколу l2tp
- Алгоритм настройки
- Для esr 10 12v f 14vf 552 600 для esr 20 21 552 500 для esr 100 200 1000 1200 1500 1511 1700 552 0000 для esr 3100 552 190
- Укажем учетную запись пользователя ivan для подключения к серверу
- Создадим туннель l2tp
- Решение
- Пример настройки
- Настроить pptp туннель на маршрутизаторе
- Задача
- Адрес pptp сервера 20 0 учетная запись для подключения логин ivan пароль simplepass
- Включим туннель l2tp
- Укажем удаленный шлюз
- Укажем метод аутентификации ipsec
- Укажем ключ безопасности для ipsec
- Укажем зону безопасности
- Счетчики входящих и отправленных пакетов можно посмотреть командой
- Состояние туннеля можно посмотреть командой
- Конфигурацию туннеля можно посмотреть командой
- Управление сервисами
- Настройка dhcp сервера
- Алгоритм настройки
- Hh hh hh hh hh hh h h идентификатор клиента в шестнадцатеричной форме и mac адрес клиента string текстовая строка длиной от 1 до 64 символов
- Dd количество дней принимает значения 0 64 hh количество часов принимает значения 0 3 mm количество минут принимает значения 0 9
- Пример настройки
- Настроить работу dhcp сервера в локальной сети относящейся к зоне безопасности trusted задать пул ip адресов из подсети 192 68 24 для раздачи клиентам задать время аренды адресов 1 день
- Задача
- Dd количество дней принимает значения 0 64 hh количество часов принимает значения 0 3 mm количество минут принимает значения 0 9
- Создадим пул адресов с именем simple и добавим в данный пул адресов диапазон ip адресов для выдачи в аренду клиентам сервера укажем параметры подсети к которой принадлежит данный пул и время аренды для выдаваемых адресов
- Создадим зону безопасности trusted и установим принадлежность используемых сетевых интерфейсов к зонам
- Сконфигурируем передачу клиентам дополнительных сетевых параметров
- Решение
- Настроить передачу клиентам маршрута по умолчанию доменного имени и адресов dns серверов с помощью dhcp опций
- Маршрут по умолчанию 192 68 имя домена eltex loc список dns серверов dns1 172 6 dns2 8
- Для того чтобы dhcp сервер мог раздавать ip адреса из конфигурируемого пула на маршрутизаторе должен быть создан ip интерфейс принадлежащий к той же подсети что и адреса пула
- Конфигурирование destination nat
- Алгоритм настройки
- Пример настройки destination nat
- Функция source nat snat используется для подмены адреса источника у пакетов проходящих через сетевой шлюз при прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза дополнительно к адресу источника может применяться замена порта источника при прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта
- Функция snat может быть использована для предоставления доступа в интернет компьютерам находящимся в локальной сети при этом не требуется назначения публичных ip адресов этим компьютерам
- Произведенные настройки можно посмотреть с помощью команд
- Конфигурирование source nat
- Алгоритм настройки
- При использовании ключа not правило будет срабатывать для значений которые не входят в указанный профиль каждая команда match может содержать ключ not при использовании данного ключа под правило будут подпадать пакеты не удовлетворяющие заданному критерию более подробная информация о командах для настройки маршрутизатора содержится в справочнике команд cli
- Пример настройки 1
- Решение
- Пример настройки 1
- Настроить доступ пользователей локальной сети 10 24 к публичной сети с использованием функции source nat задать диапазон адресов публичной сети для использования snat 100 00 100 49
- Конфигурирование начнем с создания зон безопасности настройки сетевых интерфейсов и определения их принадлежности к зонам безопасности создадим доверенную зону trust для локальной сети и зону untrust для публичной сети
- Задача
- Для конфигурирования функции snat и настройки правил зон безопасности потребуется создать профиль адресов локальной сети local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool
- Решение
- Пример настройки 2
- Первым шагом создаётся пул адресов публичной сети используемых для сервиса snat
- Настроить доступ пользователей локальной сети 21 2 24 к публичной сети с использованием функции source nat без использования межсетевого экрана firewall диапазон адресов публичной сети для использования snat 200 0 00 200 0 49
- Конфигурируем сервис snat
- Конфигурирование начнем с настройки сетевых интерфейсов и отключения межсетевого
- Задача
- Для конфигурирования функции snat потребуется создать профиль адресов локальной сети local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool
- Алгоритм настройки
- Пример настройки static nat
- Конфигурирование static nat
- Решение
- Начнем конфигурирование с настройки сетевых интерфейсов и отключения межсетевого экрана
- Для конфигурирования static nat потребуется создать профиль адресов локальной сети local_net включающий локальную подсеть и профиль адресов публичной сети public_pool
- Диапазон адресов публичной сети для использования static nat задаем в профиле proxy
- Проксирование http https трафика
- Алгоритм настройки
- Создадим набор url по которым будет осуществляться фильтрация настроим прокси фильтр и укажем действия для созданного набора url
- Решение
- Пример настройки http прокси
- Организовать фильтрацию по url для ряда адресов посредством прокси
- Задача
- Если функция firewall на esr принудительно не отключена необходимо создать разрешающее правило для зоны self
- Настройка ntp
- Алгоритм настройки
- День месяца принимает значения 1 1
- Пример настройки
- Указать интервал времени между отправкой сообщений ntp серверу
- Команда для просмотра текущего состояние ntp серверов пиров
- Команда для просмотра текущей конфигурации протокола ntp
- Настройка netflow
- Мониторинг
- Алгоритм настройки
- Пример настройки
- Настройка sflow
- Алгоритм настройки
- Sflow стандарт для мониторинга компьютерных сетей беспроводных сетей и сетевых устройств предназначенный для учета и анализа трафика
- Организовать учет трафика между зонами trusted и untrusted
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности
- Задача
- Для сетей esr создадим две зоны безопасности
- Укажем ip адрес коллектора
- Решение
- Пример настройки
- Настройка snmp
- Алгоритм настройки
- Ro доступ только для чтения rw доступ для чтения и записи
- Md 5 пароль шифруется по алгоритму md5 sha 1 пароль шифруется по алгоритму sha1
- Ro доступ только для чтения rw доступ для чтения и записи
- Auth используется только аутентификация priv используется аутентификация и шифрование данных
- Encrypted при указании команды задается зашифрованный пароль
- Aes 128 использовать алгоритм шифрования aes 128 des использовать алгоритм шифрования des
- Предварительно нужно выполнить следующие действия
- Основной этап конфигурирования
- Настроить snmpv3 сервер с аутентификацией и шифрованием данных для пользователя admin ip адрес маршрутизатора esr 192 68 2 ip адрес сервера 192 68 2 1
- Задача
- Включаем snmp сервер
- Указать зону для интерфейса gi1 0 1 настроить ip адрес для интерфейсов gi1 0 1
- Создаем пользователя snmpv3
- Решение
- Пример настройки
- Настройка zabbix agent proxy
- Алгоритм настройки
- Решение
- Пример настройки zabbix agent
- Настроить взаимодействие между агентом и сервером для выполнения удаленных команд с сервера
- Задача
- Для активации активного режима укажем hostname active server а также включим выполнение удаленных команд
- В контексте настройки агента укажем адрес zabbix c ервера и адрес с которого будет осуществляться взаимодействие с сервером
- Создадим узел сети
- Пример настройки zabbix server
- Зададим время выполнения удаленных команд и активируем функционал агента
- Настройка syslog
- Алгоритм настройки
- Tcp передача данных осуществляется по протоколу tcp udp передача данных осуществляется по протоколу udp
- Пример настройки
- Процесс настройки
- Проверка целостности
- Решение
- Процесс настройки
- Проверить целостность файловой системы
- Пример конфигурации
- Настройка архивации конфигурации маршрутизатора
- На маршрутизаторах esr предусмотрена функция локального и или удаленного копирования конфигурации по таймеру или при применении конфигурации
- Запускаем проверку целостности
- Задача
- Local remote both
- Задача
- Для успешной работы удаленной архивации конфигураций между маршрутизатором и сервером должна быть организована ip связность настроены разрешения на прохождение tftp трафика по сети и сохранения файлов на сервере
- Решение
- Пример конфигурации
- Перейти в режим конфигурирования резервного копирования конфигураций
- Основной этап конфигурирования
- Настроить локальное и удаленное резервное копирование конфигурации маршрутизатора 1 раз в сутки и при успешном изменении конфигурации удаленные копии необходимо отправлять на tftp сервер 172 6 52 7 в подпапку esr example максимальное количество локальных копий 30
- Управление bras broadband remote access server
- Алгоритм настройки пример настройки с softwlc пример настройки без softwlc
- Алгоритм настройки
- Permit прохождение трафика разрешается deny прохождение трафика запрещается
- 50000 для esr 1700 0 10000 для esr 1200 1000 1500 1511 3100 0 1000 для esr 100 200
- Предоставлять доступ до ресурсов сети интернет только для авторизованных пользователей
- Задача
- За хранение учетных данных пользователей и параметров тарифных планов отвечает сервер softwlc информацию по установке и настройке сервера softwlc можно найти по ссылкам ниже
- Для маршрутизатора необходимо наличие лицензии bras после ее активации можно переходить к конфигурированию устройства
- Https docs eltex co ru pages viewpage action pageid 76808938 установка softwlc из репозиториев
- Https docs eltex co ru display doc v1 7_softwlc общая статья о softwlc
- Создадим три зоны безопасности на устройстве согласно схеме сети
- Сконфигурируем параметры публичного порта и сразу пропишем шлюз по умолчанию
- Решение
- Пример настройки с softwlc
- Создадим профиль aaa
- Сконфигурируем порт для подключения wi fi точки доступа
- Сконфигурируем порт в сторону сервера softwlc
- Подключать клиентов необходимо через сабинтерфейсы в бриджи причем от параметра location смотри конфигурацию bridge 2 зависит выбор тарифного плана
- Модуль отвечающий за ааа операции основан на eltex radius и доступен по ip адресу сервера softwlc номера портов для аутентификации и аккаунтинга в нашем примере это значения по умолчанию для softwlc
- Зададим параметры для взаимодействия с этим модулем
- Укажем параметры доступа к das direct attached storage серверу
- До аутентификации весь трафик из зоны trusted блокируется в том числе dhcp и dns запросы необходимо настроить разрешающие правила для пропуска dhcp и dns запросов
- Списки фильтрации по url находятся на сервере softwlc меняется только ip адрес сервера softwlc если используется адресация отличная от данного примера все остальное в url оставить без изменения
- Сконфигурируем и включим bras в качестве nas ip указываем адрес интерфейса на стыке с softwlc в данном примере это ip адрес интерфейса gigabitethernet 1 0 24
- Зададим web ресурсы доступные без авторизации
- Далее создаем правила для редиректа на портал и пропуска трафика в интернет
- Разрешим доступ в интернет из зон trusted и dmz
- Далее необходимо сконфигурировать правила перехода между зонами безопасности
- Разрешим прохождение icmp к устройству для работы bras необходимо открыть порты для веб проксирования tcp 3129 3128 netport discovery port active api server port
- Разрешим прохождение dhcp из trusted в dmz
- Пример настройки без softwlc
- Шаг 2
- Создадим профиль aaa
- Нужно указать mac адрес клиента
- Настройка параметров для взаимодействия с radius сервером
- Настройка esr
- Для настройки функционала bras необходимо наличие лицензии bras
- Укажем параметры к das серверу
- Далее создаем правила для редиректа на портал и пропуска трафика в интернет
- Сконфигурируем и включим bras в качестве nas ip указываем адрес интерфейса на стыке с radius сервером в данном примере это ip адрес интерфейса gigabitethernet 1 0 2
- Настройка действие фильтрации по url обязательно а именно необходимо настроить фильтрацию http proxy на bras для неавторизованных пользователей
- Изменения конфигурации вступят в действие после применения
- Сконфигурируем порт в сторону radius сервера
- Порт в сторону клиента
- Настройка snat в порт gigabitethernet 1 0 2
- На интерфейсах для которых требуется работа bras настроить для успешного запуска требуется как минимум один интерфейс
- Для просмотра информации и статистики по сессиям контроля пользователей можно воспользоваться командой
- Управление voip
- Алгоритм настройки sip профиля алгоритм настройки fxs fxo портов алгоритм настройки плана нумерации алгоритм настройки pbx сервера алгоритм создания транка регистрации пример настройки voip пример настройки плана нумерации настройка fxo порта пример настройки voip для регистрации fxs портов на внешнем sip сервере пример настройки voip на внутреннем pbx сервере
- Алгоритм настройки sip профиля
- Voip англ voice over ip набор протоколов которые позволяют передавать речевую информацию посредством ip сетей в рамках данного устройства voip используется для подключения аналоговых телефонных аппаратов к ip сети с возможностью совершения телефонных вызовов
- Алгоритм настройки fxs fxo портов
- Алгоритм настройки плана нумерации
- Алгоритм настройки pbx сервера
- Peer входящие и исходящие звоки разрешены без авторизации user разрешены только входящие звонки friend комбинирует типы профилей peer и user
- Алгоритм создания транка регистрации
- Comedia отправить медиа поток на порт pbx независимо от указаний sdp force port использовать rport даже если его нет both объединяет comedia и force port
- Задача
- Решение
- Пример настройки voip
- Подключить аналоговые телефонные аппараты и факс модемы к ip сети посредством маршрутизатора esr в качестве proxy сервера и сервера регистрации выступает sip сервер находящийся на esr
- Настройка sip профиля
- Пример настройки плана нумерации
- Настройка fxo порта
- Пример настройки voip для регистрации fxs портов на внешнем sip сервере
- Решение
- Настроим sip профиль необходимо настроить proxy server для регистрации телефонов подключенных к fxs портам
- Настроим fxs порты укажем номер параметры для аутентификации на внешнем сервере и sip профиль
- Для регистрации и прохождения voip трафика за nat необходимо включить на маршрутизаторе tracking и nat для sip и включить service voip routing на интерфейсе через который доступен sip сервер
- Пример настройки voip на внутреннем pbx сервере
- Настроим контекст маршрутизации для fxs портов пример плана нумерации для набора номера 5200 5202
- Настроим абонентов на сервере pbx
- Настроим sip профиль для fxs портов необходимо указать тип клиента включить необходимые кодеки и подключить контекст маршрутизации
- Настроим sip профиль для fxo портов необходимо указать тип клиента включить необходимые кодеки настроить invite port подключить контекст маршрутизации
- Настроим fxs порты укажем номер и sip профиль
- Настроим fxo порт укажем номер и sip profile выключим caller id активируем услугу hostline pstn to ip и укажем номер абонента который будет получать вызовы с тфоп
- Включим pbx сервер
- Часто задаваемые вопросы
- Техническая поддержка esr
Похожие устройства
-
Eltex RG-5440G-WZРуководство по работе с устройством -
Eltex RG-5440G-WACРуководство по настройке
-
Eltex RG-35-WACРуководство по эксплуатации -
Eltex ME5100SСправочник команд CLI -
Eltex ME5100SТехническое описание -
Eltex ME5100SРуководство по настройке -
Eltex ME5100SРуководство по установке и быстрому запуску -
Eltex ME5000MСправочник команд CLI
-
Eltex ME5000MТехническое описание -
Eltex ME5000MРуководство по настройке
-
Eltex ME5000MРуководство по установке и быстрому запуску
-
Eltex ME2001Техническое описание
Узнайте, как настроить LT-туннели для передачи маршрутной информации между виртуальными маршрутизаторами. Подробное руководство по шагам и командам.