![Eltex ESR-20 FSTEC — настройка Route-based IPsec VPN: пошаговое руководство [175/253]](/img/pdf.png)
Eltex ESR-20 FSTEC — настройка Route-based IPsec VPN: пошаговое руководство [175/253]
![Eltex ESR-20 FSTEC [175/253] Межсетевые экраны серии esr руководство по эксплуатации 175](/views2/1832192/page175/bgaf.png)
Межсетевые экраны серии ESR. Руководство по эксплуатации 175
9.28.1 Настройка Route-based IPsec VPN
9.28.1.1 Алгоритм настройки
Шаг
Описание
Команда
Ключи
1
Создать VTI-туннель и перейти в
режим его конфигурирования.
esr(config)# tunnel
vti <TUN>
<TUN> – имя туннеля устройства.
2
Указать локальный IP-адрес VTI-
туннеля.
esr(config-
vti)#local address
<ADDR>
<ADDR> – IP-адрес локального
шлюза.
3
Указать удаленный IP-адрес VTI-
туннеля.
esr(config-
vti)#remote address
<ADDR>
<ADDR> – IP-адрес удаленного
шлюза.
4
Установить IP-адрес локальной
стороны VTI-туннеля
esr(config-vti)# ip
address <ADDR/LEN>
<ADDR/LEN> – IP-адрес и префикс
подсети задаётся в виде
AAA.BBB.CCC.DDD/EE, где каждая
часть AAA – DDD принимает
значения [0..255] и EE принимает
значения [1..32].
5
Включить VTI-туннель в зону
безопасности и настроить правила
взаимодействия между зонами или
отключить firewall для VTI-туннеля.
esr(config-vti)#
security-zone<NAME>
<NAME> – имя зоны безопасности,
задаётся строкой до 12 символов.
esr(config-vti)# ip
firewall disable
6
Включить туннель.
esr(config-
vti)#enable
7
Создать IKE-профиль и перейти в
режим его конфигурирования.
esr(config)#
security ike
proposal <NAME>
<NAME> – имя профиля протокола
IKE, задаётся строкой до 31
символа.
8
Указать описание
конфигурируемого IKE-профиля
(не обязательно).
esr(config-ike-
proposal)#
description<DESCRIPT
ION>
<DESCRIPTION> – описание
туннеля, задаётся строкой до 255
символов.
9
Определить алгоритм
аутентификации для IKE. (не
обязательно)
esr(config-ike-
proposal)#
authentication
algorithm
<ALGORITHM>
<ALGORITHM> – алгоритм
аутентификации, принимает
значения: md5, sha1, sha2-256,
sha2-384, sha2-512.
Значение по умолчанию: sha1
10
Определить алгоритм
шифрования для IKE. (не
обязательно)
esr(config-ike-
proposal)#
encryption algorithm
<ALGORITHM>
<ALGORITHM> – протокол
шифрования, принимает значения:
des, 3des, blowfish128, blowfish192,
blowfish256, aes128, aes192,
aes256, aes128ctr, aes192ctr,
aes256ctr, camellia128, camellia192,
camellia256.
Значение по умолчанию: 3des
10
Определить номер группы Диффи-
Хеллмана. (не обязательно)
esr(config-ike-
proposal)# dh-group
<DH-GROUP>
<DH-GROUP> – номер группы
Диффи-Хеллмана, принимает
значения [1, 2, 5, 14, 15, 16, 17, 18].
Значение по умолчанию: 1
Содержание
- Межсетевые экраны серии esr p.1
- Аннотация p.11
- Условные обозначения p.11
- Введение p.11
- Целевая аудитория p.11
- Функции интерфейсов p.13
- Функции p.13
- Описание изделия p.13
- Назначение p.13
- Межсетевые экраны серии esr руководство по эксплуатации p.14
- Статические ip маршруты p.14
- Поддержка vlan p.14
- Динамическая маршрутизация p.14
- В таблице приведены функции и особенности второго уровня уровень 2 osi p.14
- Функции третьего уровня сетевой модели osi p.14
- Функции при работе с mac адресами p.14
- Функции второго уровня сетевой модели osi p.14
- Таблица mac адресов p.14
- Таблица arp p.14
- Таблица 4 описание функций третьего уровня layer 3 p.14
- Таблица 3 описание функций второго уровня уровень 2 osi p.14
- Таблица 2 функции работы с mac адресами p.14
- Режим обучения p.14
- В таблице приведены функции устройства при работе с mac адресами p.14
- В таблице приведены функции третьего уровня уровень 3 osi p.14
- Трансляция сетевых адресов nat network address translation p.15
- Межсетевые экраны серии esr руководство по эксплуатации 15 p.15
- Функции туннелирования трафика p.15
- Таблица 5 функции туннелирования трафика p.15
- Сервер dhcp p.15
- Протоколы туннелирования p.15
- Клиент dhcp p.15
- Сервер ssh сервер telnet p.16
- Интерфейс командной строки cli p.16
- Syslog p.16
- Функции управления и конфигурирования p.16
- Функции сетевой защиты p.16
- Таблица 7 функции сетевой защиты p.16
- Межсетевые экраны серии esr руководство по эксплуатации p.16
- Зоны безопасности p.16
- Загрузка и выгрузка файла настройки p.16
- В таблице приведены функции сетевой защиты выполняемые устройством p.16
- Аутентификация p.16
- Автоматическое восстановление конфигурации p.16
- Фильтрация данных p.16
- Управление контролируемым доступом уровни привилегий p.16
- Таблица 6 основные функции управления и конфигурирования p.16
- Сетевые утилиты ping traceroute p.16
- Таблица 8 основные технические характеристики p.17
- Основные технические характеристики p.17
- Основные технические параметры маршрутизатора приведены в таблице p.17
- Межсетевые экраны серии esr руководство по эксплуатации 17 p.17
- Межсетевые экраны серии esr руководство по эксплуатации p.18
- Передняя панель устройств esr 1511 esr 1500 p.19
- Высота корпуса 1u p.19
- Внешний вид передней панели показан на рисунке p.19
- В таблице приведен перечень разъемов светодиодных индикаторов и органов управления p.19
- В данном разделе описано конструктивное исполнение устройства представлены p.19
- Устройство выполнено в металлическом корпусе с возможностью установки в 19 конструктив p.19
- Таблица 9 описание разъемов индикаторов и органов управления передней панели esr 1511 esr 1500 p.19
- Рисунок 1 передняя панель esr 1511 esr 1500 p.19
- Расположенных на передней панели устройств esr 1511 esr 1500 p.19
- Межсетевые экраны серии esr руководство по эксплуатации 19 p.19
- Конструктивное исполнение esr 1511 esr 1500 p.19
- Конструктивное исполнение p.19
- Изображения передней задней и боковых панелей устройства описаны разъемы светодиодные индикаторы и органы управления p.19
- Таблица 10 описание разъемов задней панели маршрутизатора p.20
- Рисунок 2 задняя панель esr 1511 esr 1500 p.20
- Межсетевые экраны серии esr руководство по эксплуатации p.20
- Задняя панель устройств esr 1511 esr 1500 p.20
- Внешний вид задней панели устройств esr 1511 esr 1500 приведен на рисунке p.20
- В таблице 10 приведен перечень разъемов расположенных на задней панели маршрутизатора p.20
- Конструктивное исполнение esr 21 p.21
- Таблица 12 описание разъемов задней панели маршрутизатора p.22
- Рисунок 8 правая панель esr 21 p.22
- Рисунок 7 левая панель esr 21 p.22
- Рисунок 6 задняя панель esr 21 p.22
- Межсетевые экраны серии esr руководство по эксплуатации p.22
- Маршрутизатора p.22
- Задняя панель устройств esr 21 p.22
- Внешний вид задней панели устройства esr 21 показан на рисунке p.22
- Внешний вид боковых панелей устройства esr 21 приведен на рисунках и p.22
- В таблице 12 приведен перечень разъемов расположенных на задней панели p.22
- Боковые панели устройства esr 21 p.22
- Межсетевые экраны серии esr руководство по эксплуатации 23 p.23
- Задняя панель устройств esr 20 p.23
- Высота корпуса 1u p.23
- Внешний вид передней панели показан на рисунке p.23
- Внешний вид задней панели устройства esr 20 показан на рисунке 10 p.23
- В таблице 13 приведен перечень разъемов светодиодных индикаторов и органов управления p.23
- Устройство выполнено в металлическом корпусе с возможностью установки в 19 конструктив p.23
- Таблица 13 описание разъемов индикаторов и органов управления передней панели esr 20 p.23
- Рисунок 9 передняя панель esr 20 p.23
- Расположенных на передней панели устройства esr 20 p.23
- Передняя панель устройства esr 20 p.23
- Конструктивное исполнение esr 20 p.23
- Световая индикация p.24
- Таблица 16 световая индикация состояния sfp sfp интерфейсов p.25
- Таблица 15 световая индикация состояния медных интерфейсов p.25
- Рисунок 14 расположение индикаторов оптических интерфейсов p.25
- Рисунок 13 расположение индикаторов разъема rj 45 p.25
- Межсетевые экраны серии esr руководство по эксплуатации 25 p.25
- Значений p.25
- В следующей таблице приведено описание состояний системных индикаторов устройства и их p.25
- Таблица 18 световая индикация состояния медных интерфейсов и sfp интерфейсов p.26
- Состояние медных интерфейсов gigabit ethernet отображается двумя светодиодными p.26
- Индикаторами link act зеленого цвета и speed янтарного цвета p.26
- Таблица 17 состояния системных индикаторов p.26
- Световая индикация esr 21 esr 20 p.26
- Межсетевые экраны серии esr руководство по эксплуатации p.26
- Комплект поставки p.27
- Установка и подключение p.29
- Крепление кронштейнов p.29
- Установка устройства в стойку p.30
- Установка модулей питания esr 1511 esr 1500 p.31
- Подключение питающей сети p.31
- Установка трансивера p.32
- Установка и удаление sfp трансиверов p.32
- Удаление трансивера p.32
- Интерфейсы управления p.34
- Интерфейс командной строки cli p.34
- Типы и порядок именования интерфейсов маршрутизатора p.35
- Типы и порядок именования туннелей маршрутизатора p.36
- Описание заводской конфигурации p.38
- Таблица 22 описание политик зон безопасности p.39
- Межсетевые экраны серии esr руководство по эксплуатации 39 p.39
- Для сетевого доступа к управлению маршрутизатором при первом включении в конфигурации задан статический ip адрес на интерфейсе bridge 1 192 68 24 p.39
- Для обеспечения возможности конфигурирования устройства при первом включении в конфигурации маршрутизатора создана учётная запись администратора admin пользователю будет предложено изменить пароль администратора при начальном конфигурировании маршрутизатора p.39
- Настройка системы логирования событий p.40
- Правила настройки p.40
- Общие правила p.40
- Безопасная настройка p.40
- Пример настройки p.41
- Предупреждения p.41
- Настройка политики использования паролей p.41
- Правила настройки p.42
- Настройка политики aaa p.42
- Пример настройки p.42
- Пример настройки p.43
- Предупреждения p.43
- Правила настройки p.43
- Настройка доступа ssh telnet справочника команд cli p.44
- Настройка удаленного управления p.44
- Правила настройки p.44
- Понижаем привилегии пользователя admin p.44
- Подробная информация о командах настройки удаленного доступа приведена в разделе 30 p.44
- Отключите удаленное управление по протоколу telnet не включайте удаленное управление по протоколам snmp v1 snmp v2 по умолчанию на p.44
- Остальные p.44
- Настраиваем связь с двумя radius серверами основным 192 68 1 и резервным p.44
- Настраиваем политику ааа p.44
- Настраиваем логирование p.44
- Межсетевые экраны серии esr руководство по эксплуатации p.44
- Задаем локальный enable пароль p.44
- Устройстве выключено p.44
- Сгенерируйте новые криптографические ключи используйте криптостойкие алгоритмы аутентификации sha2 256 sha2 512 и отключите все p.44
- Решение p.45
- Разрешите доступ к удаленному управлению устройством только с определенных ip адресов p.45
- Пример настройки p.45
- Отключить протокол telnet сгенерировать новые ключи шифрования использовать p.45
- Отключаем устаревшие и не криптостойкие алгоритмы p.45
- Отключаем удаленное управление по протоколу telnet p.45
- Остальные p.45
- Межсетевые экраны серии esr руководство по эксплуатации 45 p.45
- Криптостойкие алгоритмы p.45
- Используйте криптостойкий алгоритм обмена ключами шифрования dh group exchange p.45
- Используйте криптостойкие алгоритмы шифрования aes256 aes256ctr и отключите все p.45
- Задача p.45
- Генерируем новые ключи шифрования p.45
- Sha256 и отключите все остальные p.45
- Пример настройки p.46
- Правила настройки p.46
- Настройка механизмов защиты от сетевых атак p.46
- Межсетевые экраны серии esr руководство по эксплуатации 47 p.47
- Включаем защиту от незарегистрированных ip протоколов и логирование механизма защиты p.47
- Подключение и конфигурирование маршрутизатора p.48
- Подключение к маршрутизатору p.48
- Применение изменения конфигурации p.49
- Базовая настройка маршрутизатора p.49
- Назначение имени устройства p.50
- Межсетевые экраны серии esr руководство по эксплуатации p.50
- Для создания нового пользователя системы или настройки любого из параметров имени p.50
- Для настройки сетевого интерфейса маршрутизатора в публичной сети необходимо назначить p.50
- Для назначения имени устройства используются следующие команды p.50
- Для изменения пароля пользователя admin используются следующие команды p.50
- Gigabitethernet 1 0 2 50 для доступа к маршрутизатору через vlan 150 p.50
- Устройству параметры определённые провайдером сети ip адрес маска подсети и адрес шлюза по умолчанию p.50
- Уровни привилегий 1 9 разрешают доступ к устройству и просмотр его оперативного состояния но запрещают настройку уровни привилегий 10 14 разрешают как доступ так и настройку большей части функций устройства уровень привилегий 15 разрешает как доступ так и настройку всех функций устройства p.50
- Создание новых пользователей p.50
- Пример команд настройки статического ip адреса для субинтерфейса p.50
- Пример команд для создания пользователя fedor c паролем 12345678 и уровнем p.50
- Привилегий 15 и создания пользователя ivan с паролем password и уровнем привилегий 1 p.50
- После применения конфигурации приглашение командной строки изменится на значение p.50
- Пользователя пароля уровня привилегий используются команды p.50
- Настройка параметров публичной сети p.50
- Ip адрес 192 68 6 44 p.51
- В заводской конфигурации разрешен удаленный доступ к маршрутизатору по протоколам p.51
- Telnet или ssh из зоны trusted для того чтобы разрешить удаленный доступ к маршрутизатору из других зон например из публичной сети необходимо создать соответствующие правила в firewall p.51
- Source zone зона из которой будет осуществляться удаленный доступ p.51
- Провайдер может использовать динамически назначаемые адреса в своей сети для получения p.51
- Self зона в которой находится интерфейс управления маршрутизатором p.51
- Пример настройки предназначенной для получения динамического ip адреса от dhcp сервера p.51
- Ip адреса может использоваться протокол dhcp если в сети присутствует сервер dhcp p.51
- При конфигурировании доступа к маршрутизатору правила создаются для пары зон p.51
- Ip адрес шлюза по умолчанию 192 68 6 p.51
- После применения конфигурации p.51
- Параметры интерфейса p.51
- Настройка удаленного доступа к маршрутизатору p.51
- На интерфейсе gigabitethernet 1 0 10 p.51
- Межсетевые экраны серии esr руководство по эксплуатации 51 p.51
- Маска подсети 255 55 55 p.51
- Конфигурации введите следующую команду p.51
- Для того чтобы убедиться что адрес был назначен интерфейсу после применения p.51
- Для того чтобы убедиться что адрес был назначен интерфейсу введите следующую команду p.51
- Для создания разрешающего правила используются следующие команды p.51
- Пример команд для разрешения пользователям из зоны untrusted с ip адресами 132 6 p.52
- Межсетевые экраны серии esr руководство по эксплуатации p.52
- 6 0 подключаться к маршрутизатору с ip адресом 40 3 2 по протоколу ssh p.52
- Обновление программного обеспечения средствами системы p.53
- Обновление программного обеспечения p.53
- Обновление программного обеспечения firmware из p.55
- Вторичного загрузчика p.55
- Процедура обновления по p.56
- Для обновления вторичного загрузчика на esr 1500 1511 возможно использовать только oob интерфейс маршрутизатора p.56
- Укажите ip адрес tftp сервера p.56
- Перезагрузите роутер p.56
- Остановите загрузку устройства после окончания инициализации маршрутизатора p.56
- Обновление вторичного загрузчика u boot p.56
- Новый файл вторичного загрузчика сохраняется на flash на месте старого p.56
- Межсетевые экраны серии esr руководство по эксплуатации p.56
- Команду version в cli u boot также версия отображается в процессе загрузки маршрутизатора p.56
- Для просмотра текущей версии загрузочного файла работающего на устройстве введите p.56
- Для обновления вторичного загрузчика на esr 20 21 возможно использовать любой ethernet интерфейс маршрутизатора p.56
- Вторичный загрузчик занимается инициализацией nand и маршрутизатора при обновлении p.56
- Установите загруженное программное обеспечение в качестве образа для запуска системы и p.56
- Обновление первичного загрузчика bl1 для esr 20 21 и x loader p.57
- Для esr 1500 1511 p.57
- Укажите имя файла загрузчика на tftp сервере p.58
- Укажите ip адрес маршрутизатора p.58
- Укажите ip адрес tftp сервера p.58
- Межсетевые экраны серии esr руководство по эксплуатации p.58
- Запустите процедуру обновления программного обеспечения p.58
- Для будущих обновлений можно сохранить окружение командой p.58
- Для esr 20 21 p.58
- Для esr 1500 1511 p.58
- Выгрузка программного обеспечения и загрузчиков p.59
- Настройка vlan p.61
- Межсетевые экраны серии esr руководство по эксплуатации 61 p.61
- Алгоритм настройки p.61
- Vlan virtual local area network логическая виртуальная локальная сеть представляет p.61
- Собой группу устройств которые взаимодействуют между собой на канальном уровне независимо от их физического местонахождения работа vlan основана на использовании дополнительных полей ethernet заголовка согласно стандарту 802 q по сути vlan изолирует широковещательный домен путем ограничения коммутации ethernet фреймов только с одинаковым vlan id в ethernet заголовке p.61
- Примеры настройки маршрутизатора p.61
- Рисунок 25 схема сети p.62
- Только для esr 1511 1500 p.62
- Рисунок 26 схема сети p.62
- Решение p.62
- Разрешить на интерфейсе обработку ethernet фреймов всех созданных на маршрутизаторе vlan не обязательно p.62
- Пример настройки 2 разрешение обработки vlan в тегированном режиме p.62
- Пример настройки 1 удаление vlan с интерфейса p.62
- Настроить порты gi1 0 1 и gi1 0 2 для передачи и приема пакетов в vlan 2 vlan 64 vlan 2000 p.62
- Настроить vlan на интерфейсе в нетегированном режиме не обязательно p.62
- На основе заводской конфигурации удалить из vlan 2 порт gi1 0 1 p.62
- Межсетевые экраны серии esr руководство по эксплуатации p.62
- Идентификатор vlan задаётся в диапазоне 2 094 также есть возможность создания нескольких vlan через запятую или диапазона vlan через дефис p.62
- Идентификатор vlan задаётся в диапазоне 2 094 p.62
- Задача p.62
- Удалим vlan 2 с порта gi1 0 1 p.62
- Только для esr 20 21 p.62
- Тегированном режиме p.63
- Создадим vlan 2 vlan 64 vlan 2000 на esr 20 esr 21 p.63
- Создадим vlan 2 vlan 64 vlan 2000 на esr 1500 p.63
- Рисунок 27 схема сети p.63
- Решение p.63
- Пропишем vlan 2 на порт gi1 0 2 p.63
- Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1 2 p.63
- Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1 p.63
- Пример настройки 3 разрешение обработки vlan в тегированном и не p.63
- Настроить порты gi1 0 1 для передачи и приема пакетов в vlan 2 vlan 64 vlan 2000 в режиме p.63
- Межсетевые экраны серии esr руководство по эксплуатации 63 p.63
- Задача p.63
- Trunk настроить порт gi1 0 2 в режиме access для vlan 2 на esr 20 esr 21 p.63
- Link layer discovery protocol lldp протокол канального уровня позволяющий сетевому p.64
- Оборудованию оповещать оборудование работающее в локальной сети о своём существовании и передавать ему свои характеристики а также получать от него аналогичные сведения p.64
- Настройка lldp p.64
- Межсетевые экраны серии esr руководство по эксплуатации p.64
- Алгоритм настройки p.64
- Пример настройки p.65
- Настройка lldp med p.66
- Межсетевые экраны серии esr руководство по эксплуатации p.66
- Алгоритм настройки p.66
- Vlan id dscp priority p.66
- Lldp med расширение стандарта lldp которое позволяет передавать сетевые политики p.66
- Для телефонии и настроить отправку voice vlan с порта gi 1 0 1 esr при этом на ip телефоне должен поддерживаться и быть включен voice vlan p.67
- Включим lldp и поддержку med в lldp глобально на маршрутизаторе p.67
- Wan lan p.67
- Voice vlan vlan id при получении которого ip телефон переходит в режим trunk с заданным p.67
- Vlan id для приема и отправки voip трафика передача vlan id осуществляется посредством расширения med протокола lldp p.67
- Gi 1 0 1 p.67
- Указывался vlan id 20 p.67
- Создадим и настроим сетевую политику таким образом чтобы для приложения voice p.67
- Рисунок 29 схема сети p.67
- Решение p.67
- Пример настройки voice vlan p.67
- Предварительно необходимо создать vlan 10 и 20 и настроить интерфейс gi 1 0 1 в режиме p.67
- Необходимо разделить трафик телефонии и данных по разным vlan vid 10 для данных и vid p.67
- Настроим lldp на интерфейсе и установим на него сетевую политику p.67
- Межсетевые экраны серии esr руководство по эксплуатации 67 p.67
- Задача p.67
- Межсетевые экраны серии esr руководство по эксплуатации p.68
- Интерфейсе необходимо создать саб интерфейс с указанием номера vlan фреймы которого будут терминироваться при создании двух саб интерфейсов с одинаковыми vlan но на разных физических агрегированных интерфейсах коммутация ethernet фреймов между данными саб интерфейсами будет невозможна т к сегменты за пределами саб интерфейсов будут являться отдельными широковещательными доменами для обмена данными между абонентами разных саб интерфейсов даже с одинаковым vlan id будет использоваться маршрутизация т е обмен данными будет происходить на третьем уровне модели osi p.68
- Задача p.68
- Для терминирования ethernet фреймов конкретного vlan на определенном физическом p.68
- Алгоритм настройки p.68
- Gigabitethernet 1 0 1 p.68
- Пример настройки саб интерфейса p.68
- Настройка терминации на саб интерфейсе p.68
- Настроить терминацию подсети 192 68 24 в vlan 828 на физическом интерфейсе p.68
- Это 802 q заголовок добавленный к изначальному 802 q пакетом так же называется s vlan service vlan использование двойных меток в ethernet фреймах описывается протоколом 802 ad p.69
- Технология передачи пакетов с двумя 802 q тегами данная технология используется p.69
- Создадим саб интерфейс для vlan 828 p.69
- Решение p.69
- Помимо назначения ip адреса на саб интерфейсе необходимо либо отключить firewall либо настроить соответствующую зону безопасности p.69
- Настройка терминации на q in q интерфейсе p.69
- Настроим ip адрес из необходимой подсети p.69
- Межсетевые экраны серии esr руководство по эксплуатации 69 p.69
- Для расширения количества используемых vlan в сети передачи данных внутренним тегом innertag называется 802 q заголовок ближе к payload так же внутренний тег называют c vlan customer vlan внешний тег outertag p.69
- Алгоритм настройки p.69
- Q in q p.69
- Использование usb модемов позволяет организовать дополнительный канал связи для работы p.70
- Задача p.70
- Физическом интерфейсе gigabitethernet 1 0 1 p.70
- Создадим саб интерфейс для s vlan 828 p.70
- Создадим q in q саб интерфейс для s vlan 741 и настроим ip адрес из необходимой подсети p.70
- Решение p.70
- Пример настройки q in q интерфейса p.70
- Помимо назначения ip адреса на q in q саб интерфейсе необходимо либо отключить firewall либо настроить соответствующую зону безопасности p.70
- Настройка usb модемов p.70
- Настроить терминацию подсети 192 68 24 комбинации c vlan 741 s vlan 828 на p.70
- Межсетевые экраны серии esr руководство по эксплуатации p.70
- Маршрутизатора при подключении usb модемов возможно использовать usb концентраторы одновременно в системе может быть сконфигурировано до 10 ти usb модемов p.70
- Межсетевые экраны серии esr руководство по эксплуатации 71 p.71
- Алгоритм настройки usb модемов p.71
- Пример подключения к apn мтс p.72
- Пример настройки p.72
- Допустимый режим работы usb модема 2g 3g 4g по умолчанию разрешены все режимы поддерживаемые модемом p.72
- При необходимости задаём имя пользователя пароль номер дозвона и метод p.72
- Для примера разберём подключение к сотовому оператору мтс p.72
- Предпочтительный режим работы usb модема 2g 3g 4g p.72
- Аутентификации p.72
- После подключения модема необходимо дождаться когда система обнаружит устройство p.72
- Активировать usb модем p.72
- Определим порт устройства который был назначен на подключённый usb модем p.72
- Настроить подключение к сети интернет используя usb модем p.72
- Назначить ранее созданный профиль настроек для usb модема p.72
- Межсетевые экраны серии esr руководство по эксплуатации p.72
- Код разблокировки sim карты 4 возможно использование только цифр p.72
- Идентификатор профиля настроек для usb модема в системе 1 0 p.72
- Значение mru принимает значения в диапазоне 128 6383 p.72
- Задача p.72
- Создадим профиль настроек для usb модема p.72
- Задать размер максимального принимаемого пакета не обязательно p.72
- Решение p.72
- Задать предпочтительный режим работы usb модема в мобильной сети не обязательно p.72
- Разрешить использование того или иного режима работы usb модема не обязательно p.72
- Задать код разблокировки sim карты в случае необходимости p.72
- Зададим apn который требует провайдер или иной необходимый адрес ниже показан p.72
- Предоставления доступа и контроля над ним p.73
- Порту устройства который был определён в начале p.73
- Перейдём к конфигурированию usb модема и зададим идентификатор соответствующий p.73
- Настройка ааа p.73
- Назначим соответствующий профиль настроек и активируем модем p.73
- Межсетевые экраны серии esr руководство по эксплуатации 73 p.73
- Алгоритм настройки локальной аутентификации p.73
- Authorization авторизация проверка полномочий проверка уровня доступа сопоставление учётной записи в системе и определённых полномочий p.73
- Authentication аутентификация сопоставление персоны запроса существующей учётной записи в системе безопасности осуществляется по логину паролю p.73
- Accounting учёт слежение за подключением пользователя или внесенным им изменениям p.73
- Aaa authentication authorization accounting используется для описания процесса p.73
- Межсетевые экраны серии esr руководство по эксплуатации p.74
- Межсетевые экраны серии esr руководство по эксплуатации 75 p.75
- Алгоритм настройки aaa по протоколу radius p.75
- Межсетевые экраны серии esr руководство по эксплуатации p.76
- Межсетевые экраны серии esr руководство по эксплуатации 77 p.77
- Межсетевые экраны серии esr руководство по эксплуатации p.78
- Алгоритм настройки aaa по протоколу tacacs p.78
- Межсетевые экраны серии esr руководство по эксплуатации 79 p.79
- Алгоритм настройки aaa по протоколу ldap p.79
- Межсетевые экраны серии esr руководство по эксплуатации p.80
- Межсетевые экраны серии esr руководство по эксплуатации 81 p.81
- Пример настройки аутентификации по telnet через radius сервер p.82
- Настроить аутентификацию пользователей подключающихся по telnet через radius p.82
- Настроим подключение к radius серверу и укажем ключ password p.82
- Межсетевые экраны серии esr руководство по эксплуатации p.82
- Задача p.82
- 192 68 6 24 p.82
- Решение p.82
- Создадим профиль аутентификации p.83
- Просмотреть информацию по настройкам подключения к radius серверу можно командой p.83
- Посмотреть профили аутентификации можно командой p.83
- Поддерево команд задается строкой до 255 символов p.83
- Необходимый уровень привилегий поддерева команд принимает значение 1 5 p.83
- Настройка привилегий команд является гибким инструментом который позволяет назначить p.83
- Настройка привилегий команд p.83
- Набору команд минимально необходимый уровень пользовательских привилегий 1 15 в дальнейшем при создании пользователя можно задать уровень привилегий определяя ему доступный набор команд p.83
- Межсетевые экраны серии esr руководство по эксплуатации 83 p.83
- Командный режим p.83
- Используется команда p.83
- Для изменения минимального уровня привилегий необходимого для выполнения команды cli p.83
- Алгоритм настройки p.83
- 9 уровни позволяют использовать все команды мониторинга show p.83
- Уровень позволяет использовать все команды p.83
- 14 уровни позволяют использовать все команды кроме команд перезагрузки устройства управления пользователями и ряда других p.83
- Укажем режим аутентификации используемый при подключении по telnet протоколу p.83
- Default router ip адрес маршрутизатора используемого в качестве шлюза по умолчанию p.84
- Пример настройки привилегий команд p.84
- Привилегий 10 и уровнем привилегий 3 p.84
- Перевести все команды просмотра информации об интерфейсах на уровень привилегий 10 p.84
- Параметров устройств в локальной сети dhcp сервер маршрутизаторов способен передавать дополнительные опции на сетевые устройства например p.84
- Настройка dhcp сервера p.84
- Межсетевые экраны серии esr руководство по эксплуатации p.84
- Кроме команды show interfaces bridges команду show interfaces bridges перевести на уровень привилегий 3 p.84
- Задача p.84
- Встроенный dhcp сервер маршрутизатора может быть использован для настройки сетевых p.84
- В режиме конфигурирования определим команды разрешенные на использование с уровнем p.84
- Алгоритм настройки p.84
- Domain name доменное имя которое должен будет использовать клиент при разрешении имен хостов через систему доменных имен dns p.84
- Dns server список адресов серверов доменных имен в данной сети о которых должен знать клиент адреса серверов в списке располагаются в порядке убывания предпочтения p.84
- Решение p.84
- Межсетевые экраны серии esr руководство по эксплуатации 85 p.85
- Межсетевые экраны серии esr руководство по эксплуатации p.86
- Пример настройки dhcp сервера p.87
- Настроить работу dhcp сервера в локальной сети относящейся к зоне безопасности trusted p.87
- Межсетевые экраны серии esr руководство по эксплуатации 87 p.87
- Маршрут по умолчанию 192 68 p.87
- Интерфейсов к зонам p.87
- Имя домена eltex loc p.87
- Задача p.87
- Задать пул ip адресов из подсети 192 68 24 для раздачи клиентам задать время аренды адресов 1 день настроить передачу клиентам маршрута по умолчанию доменного имени и адресов dns серверов с помощью dhcp опций p.87
- Задать ip адрес tftp сервера dhcpoption 150 не обязательно p.87
- Задать ip адрес netbios сервера dhcp опция 44 не обязательно p.87
- Адресов для выдачи в аренду клиентам сервера укажем параметры подсети к которой принадлежит данный пул и время аренды для выдаваемых адресов p.87
- Список dns серверов dns1 172 6 dns2 8 p.87
- Ip адрес netbios сервера задаётся в виде aaa bbb ccc ddd где каждая часть принимает значения 0 55 можно задать до 4 ip адресов p.87
- Создадим пул адресов с именем simple и добавим в данный пул адресов диапазон ip p.87
- Ip адрес dns сервера задаётся в виде aaa bbb ccc ddd где каждая часть принимает значения 0 55 p.87
- Создадим зону безопасности trusted и установим принадлежность используемых сетевых p.87
- Сконфигурируем передачу клиентам дополнительных сетевых параметров p.87
- Решение p.87
- Проходящих через сетевой шлюз p.88
- Просмотреть список арендованных адресов можно с помощью команды p.88
- Просмотреть сконфигурированные пулы адресов можно командами p.88
- Межсетевые экраны серии esr руководство по эксплуатации p.88
- Маршрутизаторе должен быть создан ip интерфейс принадлежащий к той же подсети что и адреса пула p.88
- Конфигурирование настроек для ipv6 производится по аналогии с ipv4 p.88
- Конфигурирование destination nat p.88
- Для того чтобы dhcp сервер мог раздавать ip адреса из конфигурируемого пула на p.88
- Для разрешения прохождения сообщений протокола dhcp к серверу необходимо создать p.88
- Адрес в публичной сети на реальный сервер в локальной сети находящийся за сетевым шлюзом эту функцию можно использовать для организации публичного доступа к серверам находящимся в частной сети и не имеющим публичного сетевого адреса p.88
- Dnat используется для перенаправления трафика идущего на некоторый виртуальный p.88
- Функция destination nat dnat состоит в преобразовании ip адреса назначения у пакетов p.88
- Соответствующие профили портов включающие порт источника 68 и порт назначения 67 используемые протоколом dhcp и создать разрешающее правило в политике безопасности для прохождения пакетов протокола udp p.88
- Разрешим работу сервера p.88
- Межсетевые экраны серии esr руководство по эксплуатации 89 p.89
- Алгоритм настройки p.89
- Справочнике команд cli p.90
- Сети в зоне trust адрес сервера в локальной сети 10 00 сервер должен быть доступным извне по адресу 1 доступный порт 80 p.90
- Рисунок 30 схема сети p.90
- Пример настройки destination nat p.90
- Правило будут подпадать пакеты не удовлетворяющие заданному критерию p.90
- Организовать доступ из публичной сети относящейся к зоне untrust к серверу локальной p.90
- Межсетевые экраны серии esr руководство по эксплуатации p.90
- Каждая команда match может содержать ключ not при использовании данного ключа под p.90
- Задача p.90
- Более подробная информация о командах для настройки межсетевого экрана содержится в p.90
- Net_uplink профиль адресов публичной сети p.91
- Создадим профили ip адресов и портов которые потребуются для настройки правил firewall и p.91
- Создадим набор правил dnat в соответствии с которыми будет производиться трансляция p.91
- Создадим зоны безопасности untrust и trust установим принадлежность p.91
- Решение p.91
- Правил dnat p.91
- Назначения в которые будут транслироваться адреса пакетов поступающие на адрес 1 из внешней сети p.91
- Межсетевые экраны серии esr руководство по эксплуатации 91 p.91
- Используемых сетевых интерфейсов к зонам одновременно назначим ip адреса интерфейсам p.91
- Войдем в режим конфигурирования функции dnat и создадим пул адресов и портов p.91
- Адресов в атрибутах набора укажем что правила применяются только для пакетов пришедших из зоны untrust набор правил включает в себя требования соответствия данных по адресу и порту назначения match destination address match destination port и по протоколу кроме этого в наборе задано действие применяемое к данным удовлетворяющим всем правилам action destination nat набор правил вводится в действие командой enable p.91
- Srv_http профиль портов p.91
- Server_ip профиль адресов локальной сети p.91
- Конфигурирование source nat p.92
- Компьютерам находящимся в локальной сети при этом не требуется назначения публичных ip адресов этим компьютерам p.92
- Для пропуска трафика идущего из зоны untrust в trust создадим соответствующую p.92
- Алгоритм настройки p.92
- Шаг описание команда ключи p.92
- Через сетевой шлюз при прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза дополнительно к адресу источника может применяться замена порта источника при прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта p.92
- Функция source nat snat используется для подмены адреса источника у пакетов проходящих p.92
- Функция snat может быть использована для предоставления доступа в интернет p.92
- Произведенные настройки можно посмотреть с помощью команд p.92
- Перейти в режим настройки сервиса трансляции адресов отправителя p.92
- Пару зон пропускать следует только трафик с адресом назначения соответствующим заданному в профиле server_ip и прошедший преобразование dnat p.92
- Межсетевые экраны серии esr руководство по эксплуатации p.92
- Межсетевые экраны серии esr руководство по эксплуатации 93 p.93
- Правило будут подпадать пакеты не удовлетворяющие заданному критерию p.94
- Настроить доступ пользователей локальной сети 10 24 к публичной сети с p.94
- Межсетевые экраны серии esr руководство по эксплуатации p.94
- Каждая команда match может содержать ключ not при использовании данного ключа под p.94
- Использованием функции source nat задать диапазон адресов публичной сети для использования snat 100 00 100 49 p.94
- Задача p.94
- Более подробная информация о командах для настройки межсетевого экрана содержится в p.94
- Справочнике команд cli p.94
- Пример настройки 1 p.94
- Рисунок 31 схема сети p.95
- Создать профиль адресов локальной сети local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool p.95
- Решение p.95
- Правила разрешающие проходить трафику в этом направлении дополнительно включена проверка адреса источника данных на принадлежность к диапазону адресов local_net для соблюдения ограничения на выход в публичную сеть действие правил разрешается командой enable p.95
- Определения их принадлежности к зонам безопасности создадим доверенную зону trust для локальной сети и зону untrust для публичной сети p.95
- Межсетевые экраны серии esr руководство по эксплуатации 95 p.95
- Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети p.95
- Конфигурирование начнем с создания зон безопасности настройки сетевых интерфейсов и p.95
- Используемых для сервиса snat p.95
- Для пропуска трафика из зоны trust в зону untrust создадим пару зон и добавим p.95
- Для конфигурирования функции snat и настройки правил зон безопасности потребуется p.95
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них p.96
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в p.96
- Экрана p.96
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила p.96
- Сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды p.96
- Рисунок 32 схема сети p.96
- Решение p.96
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool p.96
- Пример настройки 2 p.96
- Применяются только для пакетов направляющихся в публичную сеть в зону untrust правила включают проверку адреса источника данных на принадлежность к пулу local_net p.96
- Настроить доступ пользователей локальной сети 21 2 24 к публичной сети с p.96
- На самом маршрутизаторе также должен быть создан маршрут для направления на публичную p.96
- Межсетевые экраны серии esr руководство по эксплуатации p.96
- Конфигурирование начнем с настройки сетевых интерфейсов и отключения межсетевого p.96
- Использованием функции source nat без использования межсетевого экрана firewall диапазон адресов публичной сети для использования snat 200 0 00 200 0 49 p.96
- Задача p.96
- Должна быть настроена маршрутизация адрес 10 должен быть назначен адресом шлюза p.96
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила p.97
- Local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool p.97
- Сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды p.97
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool p.97
- Применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net p.97
- На самом маршрутизаторе также должен быть создан маршрут для направления на публичную p.97
- Межсетевые экраны серии esr руководство по эксплуатации 97 p.97
- Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети используемых для сервиса snat p.97
- Должна быть настроена маршрутизация адрес 21 2 должен быть назначен адресом шлюза p.97
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них p.97
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в p.97
- Для конфигурирования функции snat потребуется создать профиль адресов локальной сети p.97
- Задача p.98
- Для конфигурирования static nat потребуется создать профиль адресов локальной сети p.98
- Алгоритм настройки p.98
- Static nat статический nat задает однозначное соответствие одного адреса другому p.98
- Local_net включающий локальную подсеть и профиль адресов публичной сети public_pool p.98
- 00 21 2 50 в публичную сеть 200 0 24 диапазон адресов публичной сети для использования трансляции 200 0 00 200 0 50 p.98
- Экрана p.98
- Рисунок 33 схема сети p.98
- Решение p.98
- Пример настройки static nat p.98
- Описан в разделе 9 1 настоящего руководства p.98
- Начнем конфигурирование с настройки сетевых интерфейсов и отключения межсетевого p.98
- Настройка static nat осуществляется средствами source nat алгоритм настройки которой p.98
- Настроить двухстороннюю и постоянную трансляцию из локальной сети для диапазона адресов p.98
- Межсетевые экраны серии esr руководство по эксплуатации p.98
- Конфигурирование static nat p.98
- Иными словами при прохождении через маршрутизатор адрес меняется на другой строго заданный адрес один к одному запись о такой трансляции хранится неограниченно долго пока не будет произведена перенастройка nat на маршрутизаторе p.98
- Для того чтобы устройства локальной сети могли получить доступ к cети 200 0 24 на них p.99
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в пул p.99
- Диапазон адресов публичной сети для использования static nat задаем в профиле proxy p.99
- Внимание использование механизма фильтрации приложений многократно снижает производительность маршрутизатора из за необходимости проверки каждого пакета производительность снижается с ростом количества выбранных приложений для фильтрации p.99
- Блокировать доступ к ресурсам youtube bittorrent и facebook p.99
- Укажем что правила применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net и проверку адресов назначения на принадлежность к пулу public_pool p.99
- Трансляции proxy необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов proxy p.99
- Пример настройки фильтрации приложений dpi p.99
- Посмотреть активные трансляции можно с помощью команды p.99
- Межсетевые экраны серии esr руководство по эксплуатации 99 p.99
- Конфигурируем сервис static nat в режиме конфигурирования snat в атрибутах набора p.99
- Изменения конфигурации вступают в действие по команде применения p.99
- Задача p.99
- Должна быть настроена маршрутизация адрес 21 2 должен быть назначен адресом шлюза p.99
- Межсетевые экраны серии esr руководство по эксплуатации p.100
- И добавим правило разрешающее прохождение всего трафика действие правил разрешается командой enable p.100
- И добавим правило запрещающее проходить трафику приложений и правило разрешающее проходить остальному трафику действие правил разрешается командой enable p.100
- Для установки правил прохождения трафика из зоны wan в зону lan создадим пару зон p.100
- Для установки правил прохождения трафика из зоны lan в зону wan создадим пару зон p.100
- Для настройки правил зон безопасности потребуется создать профиль приложений которые p.100
- Для каждой сети esr создадим свою зону безопасности p.100
- Рисунок 34 схема сети p.100
- Решение p.100
- Необходимо будет блокировать p.100
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности p.100
- Посмотреть членство портов в зонах можно с помощью команды p.101
- Посмотреть пары зон и их конфигурацию можно с помощью команд p.101
- Посмотреть активные сессии можно с помощью команд p.101
- Межсетевые экраны серии esr руководство по эксплуатации 101 p.101
- Проксирование http https трафика p.102
- Межсетевые экраны серии esr руководство по эксплуатации p.102
- Алгоритм настройки p.102
- Пример настройки http прокси p.103
- Организовать фильтрацию по url для ряда адресов посредством прокси p.103
- Межсетевые экраны серии esr руководство по эксплуатации 103 p.103
- Задача p.103
- Если функция firewall на esr принудительно не отключена необходимо создать разрешающее правило для зоны self p.103
- Рисунок 35 схема сети p.103
- Создаем разрешающе правило межзонового взаимодействия p.104
- Создаем профиль портов прокси сервера p.104
- Создаем профиль p.104
- Создадим набор url по которым будет осуществляться фильтрация настроим прокси фильтр p.104
- Решение p.104
- Межсетевые экраны серии esr руководство по эксплуатации p.104
- И укажем действия для созданного набора url p.104
- Если используется firewall создадим для него разрешающие правила p.104
- Включим проксирование на интерфейсе по профилю list p.104
- Настройка логирования и защиты от сетевых атак p.105
- Межсетевые экраны серии esr руководство по эксплуатации 105 p.105
- Алгоритм настройки p.105
- Межсетевые экраны серии esr руководство по эксплуатации p.106
- Ip firewall screen dos defense icmp threshold p.107
- Firewall screen dos defense land p.107
- Сессии и отбрасывает запросы такое может происходить при различных атаках syn flood udp flood icmp flood и т д команда включает ограничение количества одновременных сессий на основании адреса назначения которое смягчает dos атаки p.107
- Сессии и отбрасывает запросы такое может происходить при различных dos атаках syn flood udp flood icmp flood и т д команда включает ограничение количества одновременных сессий на основании адреса источника которое смягчает dos атаки p.107
- Описание механизмов защиты от атак p.107
- Одинаковыми source и destination ip адресами и флагом syn в заголовке tcp атака приводит к перегрузке хоста и выводу его из строя из за необходимости обрабатывать каждый tcp syn пакет и попыток хоста установить tcp сессию с самим собой p.107
- Межсетевые экраны серии esr руководство по эксплуатации 107 p.107
- Количество icmp пакетов всех типов в секунду для одного адреса назначения атака приводит к перегрузке хоста и выводу его из строя из за необходимости обрабатывать каждый запрос и отвечать на него p.107
- Когда таблица ip сессий хоста переполняется он больше не в состоянии организовывать новые p.107
- Данная команда включает защиту от land атак при включенной защите блокируются пакеты с p.107
- Данная команда включает защиту от icmp flood атак при включенной защите ограничивается p.107
- Ip firewall screen dos defense limit session source p.107
- Ip firewall screen dos defense limit session destination p.107
- Ip firewall screen spy blocking icmp type destination unreachable p.108
- Ip firewall screen spy blocking fin no ack p.108
- Ip firewall screen dos defense winnuke p.108
- Ip firewall screen dos defense udp threshold p.108
- Ip firewall screen dos defense syn flood p.108
- Ip firewall screen spy blocking icmp type source quench p.108
- Ip firewall screen spy blocking icmp type reserved p.108
- Ip firewall screen spy blocking icmp type echo request p.108
- Ip firewall screen spy blocking tcp no flag p.109
- Ip firewall screen spy blocking tcp all flag p.109
- Ip firewall screen spy blocking syn fin p.109
- Ip firewall screen spy blocking spoofing p.109
- Ip firewall screen spy blocking port scan p.109
- Ip firewall screen spy blocking ip sweep p.109
- Ip firewall screen spy blocking icmp type time exceeded p.109
- Ip firewall screen suspicious packets unknown protocols p.110
- Ip firewall screen suspicious packets udp fragment p.110
- Ip firewall screen suspicious packets syn fragment p.110
- Ip firewall screen suspicious packets large icmp p.110
- Ip firewall screen suspicious packets ip fragment p.110
- Ip firewall screen suspicious packets icmp fragment p.110
- Пример настройки логирования и защиты от сетевых атак p.110
- Шаг описание команда ключи p.111
- Фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами p.111
- Создать зоны безопасности p.111
- Посмотреть статистику по зафиксированным сетевым атакам можно командой p.111
- Настроим логирование обнаруженных атак p.111
- Настроим защиту от land syn flood icmp flood атак p.111
- Настроим snmp сервер на который будут отправляться трапы p.111
- Межсетевые экраны серии esr руководство по эксплуатации 111 p.111
- Конфигурирование firewall p.111
- До 12 символов p.111
- Алгоритм настройки p.111
- Firewall комплекс аппаратных или программных средств осуществляющий контроль и p.111
- Межсетевые экраны серии esr руководство по эксплуатации p.112
- Межсетевые экраны серии esr руководство по эксплуатации 113 p.113
- Межсетевые экраны серии esr руководство по эксплуатации p.114
- Межсетевые экраны серии esr руководство по эксплуатации 115 p.115
- Межсетевые экраны серии esr руководство по эксплуатации p.116
- Решение p.117
- Разрешить обмен сообщениями по протоколу icmp между устройствами пк1 пк2 и p.117
- Пример настройки firewall p.117
- Правило будут подпадать пакеты не удовлетворяющие заданному критерию p.117
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности p.117
- Межсетевые экраны серии esr руководство по эксплуатации 117 p.117
- Маршрутизатором esr p.117
- Каждая команда match может содержать ключ not при использовании данного ключа под p.117
- Задача p.117
- Для настройки правил зон безопасности потребуется создать профиль адресов сети lan p.117
- Для каждой сети esr создадим свою зону безопасности p.117
- Включающий адреса которым разрешен выход в сеть wan и профиль адресов сети wan p.117
- Более подробная информация о командах для настройки межсетевого экрана содержится в p.117
- Активировать фильтрацию и режим отслеживания сессий при прохождении пакетов между участниками одной bridge группы не обязательно доступно только на esr 1511 1500 p.117
- Справочнике команд cli p.117
- Рисунок 37 схема сети p.117
- Создадим пару зон для трафика идущего из зоны lan в зону self добавим правило p.118
- Разрешающее проходить icmp трафику от пк2 к пк1 действие правил разрешается командой enable p.118
- Разрешающее проходить icmp трафику от пк1 к пк2 действие правил разрешается командой enable p.118
- Разрешающее проходить icmp трафику между пк1 и esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны lan p.118
- Получателя трафика выступает сам маршрутизатор то есть трафик не является транзитным то в качестве параметра указывается зона self создадим пару зон для трафика идущего из зоны wan в зону self добавим правило разрешающее проходить icmp трафику между пк2 и маршрутизатором esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны wan p.118
- На маршрутизаторе всегда существует зона безопасности с именем self если в качестве p.118
- Межсетевые экраны серии esr руководство по эксплуатации p.118
- Для пропуска трафика из зоны wan в зону lan создадим пару зон и добавим правило p.118
- Для пропуска трафика из зоны lan в зону wan создадим пару зон и добавим правило p.118
- Посмотреть активные сессии можно с помощью команд p.119
- Настройка списков доступа acl p.119
- Межсетевые экраны серии esr руководство по эксплуатации 119 p.119
- Алгоритм настройки p.119
- Access control list или acl список контроля доступа содержит правила определяющие p.119
- Прохождение трафика через интерфейс p.119
- Посмотреть членство портов в зонах можно с помощью команды p.119
- Посмотреть пары зон и их конфигурацию можно с помощью команд p.119
- Межсетевые экраны серии esr руководство по эксплуатации p.120
- Просмотреть детальную информацию о списке доступа возможно через команду p.121
- Пример настройки списка доступа p.121
- Применим список доступа на интерфейс gi1 0 19 для входящего трафика p.121
- Настроим список доступа для фильтрации по подсетям p.121
- Межсетевые экраны серии esr руководство по эксплуатации 121 p.121
- Конфигурирование статических маршрутов p.121
- Имя экземпляра vrf задается строкой до 31 символа p.121
- Имя списка контроля доступа задаётся строкой до 31 символа p.121
- Задача p.121
- Явном виде при конфигурации маршрутизатора без использования протоколов динамической маршрутизации p.121
- Добавить статический маршрут возможно командой в режиме глобальной конфигурации p.121
- Активировать правило p.121
- Указать список контроля доступа к конфигурируемому интерфейсу для фильтрации входящего трафика p.121
- Адрес назначения может быть задан в следующем формате p.121
- Также списки доступа могут использоваться для организации политик qos p.121
- Статическая маршрутизация вид маршрутизации при котором маршруты указываются в p.121
- Решение p.121
- Разрешить прохождения трафика только из подсети 192 68 0 24 p.121
- Процесс настройки p.121
- Задача p.123
- Зададим имя устройства для маршрутизатора r1 p.123
- Для интерфейса gi1 0 3 укажем адрес 128 07 30 и зону wan через данный интерфейс p.123
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный интерфейс p.123
- Для интерфейса gi1 0 1 укажем адрес 192 68 24 и зону lan через данный интерфейс p.123
- R1 будет подключен к устройству r2 для последующей маршрутизации трафика p.123
- R1 будет подключен к сети internet p.123
- R1 будет подключен к сети 192 68 24 p.123
- 8 используя статическую маршрутизацию на устройстве r1 создать шлюз для доступа к сети internet трафик внутри локальной сети должен маршрутизироваться внутри зоны lan трафик из сети internet должен относиться к зоне wan p.123
- Рисунок 38 схема сети p.123
- Решение p.123
- Пример настройки статических маршрутов p.123
- Настроить доступ к сети internet для пользователей локальных сетей 192 68 24 и p.123
- Межсетевые экраны серии esr руководство по эксплуатации 123 p.123
- Настройка ppp через e1 p.124
- Межсетевые экраны серии esr руководство по эксплуатации p.124
- Маршрутизатора r1 192 68 00 p.124
- Зададим имя устройства для маршрутизатора r2 p.124
- Для установления ppp соединения через поток e1 необходимо наличие медиаконвертера p.124
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный интерфейс p.124
- Для интерфейса gi1 0 1 укажем адрес 10 8 и зону lan через данный интерфейс r2 p.124
- Будет подключен к сети 10 8 p.124
- Topgate sfp в маршрутизаторе esr p.124
- Устройство r2 192 68 00 p.124
- R2 будет подключен к устройству r1 для последующей маршрутизации трафика p.124
- Установления прямой связи между двумя узлами сети может обеспечить аутентификацию соединения шифрование и сжатие данных p.124
- Ppp point to point protocol двухточечный протокол канального уровня используется для p.124
- Создадим маршрут по умолчанию указав в качестве nexthop ip адрес интерфейса gi1 0 2 p.124
- Создадим маршрут для взаимодействия с сетью internet используя в качестве nexthop шлюз p.124
- Создадим маршрут для взаимодействия с сетью 10 8 используя в качестве шлюза p.124
- Проверить таблицу маршрутов можно командой p.124
- Провайдера 128 07 p.124
- Процесс настройки p.125
- Межсетевые экраны серии esr руководство по эксплуатации 125 p.125
- Межсетевые экраны серии esr руководство по эксплуатации p.126
- Изменения конфигурации вступят в действие по следующим командам p.127
- Задача p.127
- Для распространения трафика через несколько физических каналов имея одно логическое соединение этот вариант позволяет расширить пропускную способность и обеспечивает балансировку нагрузки p.127
- Включим interface e1 1 3 1 p.127
- Sfp используя 1 8 канальные интервалы для передачи данных источник синхросигнала встречная сторона p.127
- Multilink ppp mlppp предоставляет собой агрегированный канал включающий в себя методы p.127
- Рисунок 40 схема сети p.127
- Рисунок 39 схема сети p.127
- Решение p.127
- Работы е1 p.127
- Пример конфигурации p.127
- Переключаем интерфейс в котором установлен topgate sfp gigabitethernet 1 0 3 в режим p.127
- Настройка mlppp p.127
- Настроить ppp соединение со встречной стороной с ip адресом 10 7 24 через topgate p.127
- Межсетевые экраны серии esr руководство по эксплуатации 127 p.127
- Межсетевые экраны серии esr руководство по эксплуатации p.128
- Алгоритм настройки p.128
- Межсетевые экраны серии esr руководство по эксплуатации 129 p.129
- Использования протоколов более высокого уровня таких как ip пакеты передаются на основе ethernet адресов а не ip адресов поскольку передача выполняется на канальном уровне уровень 2 модели osi трафик протоколов более высокого уровня прозрачно проходит через мост p.130
- Задача p.130
- Включим interface e1 1 0 1 interface e1 1 0 2 в группу агрегации mlppp 3 p.130
- Bridge мост это способ соединения двух сегментов ethernet на канальном уровне без p.130
- Рисунок 41 схема сети p.130
- Решение p.130
- Пример настройки p.130
- Переключаем интерфейс gigabitethernet 1 0 10 в режим работы е1 p.130
- Настройка bridge p.130
- Настроить mlppp соединение с встречной стороной с ip адресом 10 7 24 через устройство p.130
- Настроим mlppp 3 p.130
- Межсетевые экраны серии esr руководство по эксплуатации p.130
- Межсетевые экраны серии esr руководство по эксплуатации 131 p.131
- Алгоритм настройки p.131
- Решение p.132
- Пример настройки bridge для vlan и l2tpv3 туннеля p.132
- Объединить в единый l2 домен интерфейсы маршрутизатора относящиеся к локальной сети p.132
- Межсетевые экраны серии esr руководство по эксплуатации p.132
- И l2tpv3 туннель проходящий по публичной сети для объединения использовать vlan 333 p.132
- Задача p.132
- Создадим зону безопасности trusted p.132
- Создадим vlan 333 p.132
- Рисунок 42 схема сети p.132
- Установим принадлежность l2tpv3 туннеля к мосту который связан с локальной сетью p.133
- Создадим зоны безопасности lan1 и lan2 p.133
- Создадим vlan 50 60 p.133
- Создадим bridge 333 привяжем к нему vlan 333 и укажем членство в зоне trusted p.133
- Рисунок 43 схема сети p.133
- Решение p.133
- Пример настройки bridge для vlan p.133
- Настройка l2tpv3 туннеля рассматривается в разделе 9 7 настройка l2tpv3 туннелей в общем случае идентификаторы моста и туннеля не должны совпадать с vid как в данном примере p.133
- Настроить маршрутизацию между vlan 50 10 0 24 и vlan 60 10 0 24 vlan 50 p.133
- Межсетевые экраны серии esr руководство по эксплуатации 133 p.133
- Задача p.133
- Должен относиться к зоне lan1 vlan 60 к зоне lan2 разрешить свободную передачу трафика между зонами p.133
- Добавим интерфейсы gi1 0 11 gi1 0 12 в vlan 333 p.133
- Создадим правила в firewall разрешающие свободное прохождение трафика между зонами p.134
- Создадим bridge 60 привяжем vlan 60 укажем ip адрес 10 0 24 и членство в зоне lan2 p.134
- Создадим bridge 50 привяжем vlan 50 укажем ip адрес 10 0 24 и членство в зоне lan1 p.134
- Пример настройки добавления удаления второго vlan тега p.134
- Посмотреть членство интерфейсов в мосте можно командой p.134
- Необходимо перенаправить их в интерфейс gigabitethernet 1 0 2 добавив второй vlan id 828 при поступлении на интерфейс gigabitethernet 1 0 2 ethernet кадров с vlan id 828 данный тег должен быть удален и отправлен в интерфейс gigabitethernet 1 0 1 p.134
- Назначим интерфейсу gi1 0 14 vlan 60 p.134
- Назначим интерфейсам gi1 0 11 gi1 0 12 vlan 50 p.134
- На интерфейс gigabitethernet 1 0 1 поступают ethernet кадры с различными vlan тегами p.134
- Межсетевые экраны серии esr руководство по эксплуатации p.134
- Задача p.134
- Количество маршрутов протокола rip в маршрутной таблице принимает значения в диапазоне 1 0000 значение по умолчанию 10000 p.135
- Включим саб интерфейс gigabitethernet 1 0 2 28 в bridge 1 p.135
- Включим интерфейс gigabitethernet 1 0 1 в bridge 1 p.135
- Алгоритм настройки p.135
- Rip дистанционно векторный протокол динамической маршрутизации который использует p.135
- Шаг описание команда ключи p.135
- Создадим на маршрутизаторе bridge без vlan и без ip адреса p.135
- Решение p.135
- Приоритетность протокола принимает значения в диапазоне 1 55 значение по умолчанию rip 100 p.135
- При добавлении второго vlan тега в ethernet кадр его размер увеличивается на 4 байта на интерфейсе маршрутизатора gigabitethernet 1 0 2 и на всем оборудовании передающем q in q кадры необходимо увеличить mtu на 4 байта или более p.135
- Настройка rip p.135
- Настроить приоритетность протокола rip маршрутизации для основной таблицы маршрутизации не обязательно p.135
- Настроить емкость таблиц маршрутизации протокола rip не обязательно p.135
- Межсетевые экраны серии esr руководство по эксплуатации 135 p.135
- Количество транзитных участков в качестве метрики маршрута максимальное количество транзитных участков hop разрешенное в rip равно 15 каждый rip маршрутизатор по умолчанию вещает в сеть свою полную таблицу маршрутизации один раз в 30 секунд rip работает на 3 м уровне стека tcp ip используя udp порт 520 p.135
- Межсетевые экраны серии esr руководство по эксплуатации p.136
- Межсетевые экраны серии esr руководство по эксплуатации 137 p.137
- Пример настройки rip p.138
- Настроить на маршрутизаторе протокол rip для обмена маршрутной информацией с p.138
- Межсетевые экраны серии esr руководство по эксплуатации p.138
- Задача p.138
- Соседними маршрутизаторами маршрутизатор должен анонсировать статические маршруты и подсети 115 24 14 24 10 24 анонсирование маршрутов должно происходить каждые 25 секунд p.138
- Рисунок 44 схема сети p.138
- После установки всех требуемых настроек включаем протокол p.139
- Помимо настройки протокола rip необходимо в firewall разрешить udp порт 520 p.139
- Перейдём в режим конфигурирования протокола rip p.139
- Настройка ospf p.139
- Настроить приоритетность протокола ospf маршрутизации для основной таблицы маршрутизации не обязательно p.139
- Настроить емкость таблиц маршрутизации p.139
- Настроим таймер отвечающий за отправку маршрутной информации p.139
- На рисунке 44 p.139
- Межсетевые экраны серии esr руководство по эксплуатации 139 p.139
- Количество маршрутов протокола ospf в маршрутной таблице p.139
- Шаг описание команда ключи p.139
- Для того чтобы просмотреть таблицу маршрутов rip воспользуемся командой p.139
- Укажем подсети которые будут анонсироваться протоколом 115 24 14 24 и p.139
- Для анонсирования протоколом статических маршрутов выполним команду p.139
- Состояния канала link state technology и использующий для нахождения кратчайшего пути алгоритм дейкстры p.139
- Алгоритм настройки p.139
- Решение p.139
- Ospf протокол динамической маршрутизации основанный на технологии отслеживания p.139
- Приоритетность протокола принимает значения в диапазоне 1 55 значение по умолчанию 150 p.139
- Предварительно нужно настроить ip адреса на интерфейсах согласно схеме сети приведенной p.139
- Межсетевые экраны серии esr руководство по эксплуатации p.140
- Межсетевые экраны серии esr руководство по эксплуатации 141 p.141
- Межсетевые экраны серии esr руководство по эксплуатации p.142
- Межсетевые экраны серии esr руководство по эксплуатации 143 p.143
- Межсетевые экраны серии esr руководство по эксплуатации p.144
- Межсетевые экраны серии esr руководство по эксплуатации 145 p.145
- Задача p.146
- Включить протокол bfd для протокола ospf p.146
- Включим анонсирование маршрутной информации из протокола rip p.146
- Включим ospf процесс p.146
- Соседними маршрутизаторами маршрутизатор должен находится в области с идентификатором 1 и анонсировать маршруты полученные по протоколу rip p.146
- Создадим и включим требуемую область p.146
- Создадим ospf процесс с идентификатором 10 и перейдём в режим конфигурирования p.146
- Рисунок 45 схема сети p.146
- Рисунке 45 p.146
- Решение p.146
- Протокола ospf p.146
- Пример настройки ospf p.146
- Предварительно нужно настроить ip адреса на интерфейсах согласно схеме приведенной на p.146
- Настроить протокол ospf на маршрутизаторе для обмена маршрутной информацией с p.146
- Межсетевые экраны серии esr руководство по эксплуатации p.146
- Конфигурирования области выполним команду p.147
- Изменить тип области 1 область должна быть тупиковой тупиковый маршрутизатор p.147
- Изменим тип области на тупиковый на каждом маршрутизаторе из области 1 в режиме p.147
- Задача p.147
- Соседства с другими маршрутизаторами привяжем их к ospf процессу и области далее включим на интерфейсе маршрутизацию по протоколу ospf p.147
- Должен анонсировать маршруты полученные по протоколу rip p.147
- Соседние маршрутизаторы подключены к интерфейсам gi1 0 5 и gi1 0 15 для установления p.147
- Рисунок 46 схема сети p.147
- Решение p.147
- Протокола rip p.147
- Пример настройки virtual link p.147
- Пример настройки ospf stub area p.147
- Приведенной на рисунке 46 p.147
- Предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме p.147
- Объединить две магистральные области в одну с помощью virtual link p.147
- На тупиковом маршрутизаторе r3 включим анонсирование маршрутной информации из p.147
- Межсетевые экраны серии esr руководство по эксплуатации 147 p.147
- Для просмотра соседей можно воспользоваться следующей командой p.149
- В firewall необходимо разрешить протокол ospf 89 p.149
- Алгоритм настройки p.149
- Автономными системами далее ас то есть группами маршрутизаторов под единым техническим управлением использующими протокол внутридоменной маршрутизации для определения маршрутов внутри себя и протокол междоменной маршрутизации для определения маршрутов доставки пакетов в другие ас передаваемая информация включает в себя список ас к которым имеется доступ через данную систему выбор наилучших маршрутов осуществляется исходя из правил принятых в сети p.149
- Таблицу маршрутов протокола ospf можно просмотреть командой p.149
- Расширение протокола bgp flow specification позволяет получать и передавать информацию о p.149
- Протокол bgp предназначен для обмена информацией о достижимости подсетей между p.149
- Потоках трафика и применять ее для фильтрации трафика и применения политик безопасности основное предназначение функции bgp flow specification защита от атак направленных на отказ в обслуживании distributed denial of service ddos p.149
- Настройка bgp p.149
- Межсетевые экраны серии esr руководство по эксплуатации 149 p.149
- Межсетевые экраны серии esr руководство по эксплуатации p.150
- Межсетевые экраны серии esr руководство по эксплуатации 151 p.151
- Межсетевые экраны серии esr руководство по эксплуатации p.152
- Межсетевые экраны серии esr руководство по эксплуатации 153 p.153
- Межсетевые экраны серии esr руководство по эксплуатации p.154
- Включить логирование срабатывания правил фильтрации полученных от bgp flowspec не обязательно p.155
- Задача p.155
- Второе соседство подсеть 185 30 собственный ip адрес 185 ip адрес соседа 185 as 20 p.155
- Анонсирование подсетей подключенных напрямую p.155
- Logging firewall screen flow spec p.155
- Часто бывает особенно при конфигурировании ibgp что в одном bgp address family p.155
- Собственные подсети 80 6 24 80 6 6 24 p.155
- Собственная as 2500 p.155
- Сконфигурируем необходимые сетевые параметры p.155
- Рисунок 48 схема сети p.155
- Решение p.155
- Пример настройки p.155
- Первое соседство подсеть 219 30 собственный ip адрес 219 ip адрес соседа 219 as 2500 p.155
- Необходимо настроить несколько bgp neighbor с одинаковыми параметрами во избежание избыточности конфигурации рекомендуется использовать bgp peer group в которой возможно описать общие параметры а в конфигурации bgp neighbor просто указать причастность к bgp peer group p.155
- Настроить bgp протокол на маршрутизаторе со следующими параметрами p.155
- Межсетевые экраны серии esr руководство по эксплуатации 155 p.155
- Информацию о bgp пирах можно посмотреть командой p.156
- Входим в режим конфигурирования маршрутной информации для ipv4 p.156
- Включим работу протокола p.156
- Алгоритм настройки p.156
- Bfd bidirectional forwarding detection это протокол работающий поверх других протоколов p.156
- Таблицу маршрутов протокола bgp можно просмотреть с помощью команды p.156
- Создадим соседства с 185 219 с указанием автономных систем и включим их p.156
- Создадим bgp процесс для as 2500 и войдем в режим конфигурирования параметров процесса p.156
- Позволяющий сократить время обнаружения проблемы до 50 мс bfd является двусторонним протоколом т е требует настройки обоих маршрутизаторов оба маршрутизатора генерируют bfd пакеты и отвечают друг другу p.156
- Объявим подсети подключённые напрямую p.156
- Необходимо в firewall разрешить tcp порт 179 p.156
- Настройка bfd p.156
- Межсетевые экраны серии esr руководство по эксплуатации p.156
- Межсетевые экраны серии esr руководство по эксплуатации 157 p.157
- Межсетевые экраны серии esr руководство по эксплуатации p.158
- Настроим ebgp с bfd p.159
- Межсетевые экраны серии esr руководство по эксплуатации 159 p.159
- Конфигурирование r2 p.159
- Конфигурирование r1 p.159
- Задача p.159
- Задать число пропущенных пакетов после достижения которого bfd сосед считается недоступным на интерфейсе не обязательно p.159
- Число пропущенных пакетов после достижения которого сосед считается недоступным принимает значение в диапазоне 1 00 p.159
- Рисунок 49 схема сети p.159
- Решение p.159
- Пример настройки bfd c bgp p.159
- Предварительно необходимо настроить интерфейс gi1 0 1 p.159
- По умолчанию 5 p.159
- Перевести bfd сессию в пассивный режим то есть bfd сообщения не будут отправляться до тех пор пока не будут получены сообщения от bfd соседа на интерфейсе не обязательно p.159
- Необходимо настроить ebgp между esr r1 и r2 и включить bfd p.159
- Также route map может назначать маршруты на основе списков доступа acl p.160
- При приеме этой информации от соседа либо при ее передаче соседу обработка может включать в себя фильтрацию на основании различных признаков маршрута а также установку атрибутов med as path community localpreference и другое на соответствующие маршруты p.160
- Настройка политики маршрутизации pbr p.160
- Настройка route map для bgp p.160
- Настроим ebgp с bfd p.160
- Межсетевые экраны серии esr руководство по эксплуатации p.160
- Алгоритм настройки p.160
- Route map могут служить фильтрами позволяющими обрабатывать маршрутную информацию p.160
- Межсетевые экраны серии esr руководство по эксплуатации 161 p.161
- Межсетевые экраны серии esr руководство по эксплуатации p.162
- Установить соседство с as20 p.163
- Создаем политику p.163
- Рисунок 50 схема сети p.163
- Решение p.163
- Пример настройки 1 p.163
- Предварительно нужно выполнить следующие действия p.163
- Настроить bgp c as 2500 на маршрутизаторе esr p.163
- Назначить сommunity для маршрутной информации приходящей из as 20 p.163
- Межсетевые экраны серии esr руководство по эксплуатации 163 p.163
- Задача p.163
- Если community содержит 2500 25 то назначаем ему med 240 и origin egp p.164
- Если as path содержит as 20 то назначаем ему сommunity 20 2020 и выходим p.164
- Для всей передаваемой маршрутной информации с community 2500 25 назначить med p.164
- В bgp процессе as 2500 заходим в настройки параметров соседа p.164
- Создаем правило 1 p.164
- Создаем правило p.164
- Создаем политику p.164
- Решение p.164
- Равный 240 и указать источник маршрутной информации egp p.164
- Пример настройки 2 p.164
- Привязываем политику к принимаемой маршрутной информации p.164
- Предварительно p.164
- Настроить bgp c as 2500 на esr p.164
- Межсетевые экраны серии esr руководство по эксплуатации p.164
- Задача p.164
- Пример настройки p.165
- Привязываем политику к анонсируемой маршрутной информации p.165
- Межсетевые экраны серии esr руководство по эксплуатации 165 p.165
- Алгоритм настройки p.165
- Route map на основе списков доступа policy based routing p.165
- Рисунок 51 схема сети p.165
- Указываем список доступа acl в качестве фильтра p.166
- Указываем next hop для sub20 p.166
- Требуется направлять трафик с адресов 10 0 24 через isp1 184 5 50 а трафик с p.166
- Создаем правило 1 p.166
- Создаем политику p.166
- Создаем acl p.166
- Решение p.166
- Распределить трафик между интернет провайдерами на основе подсетей пользователей p.166
- Предварительно нужно назначить ip адреса на интерфейсы p.166
- Правилом 1 будет обеспечена маршрутизация трафика из сети 10 0 24 на адрес p.166
- Межсетевые экраны серии esr руководство по эксплуатации p.166
- Задача p.166
- Адресов 10 0 24 через isp2 80 6 3 требуется контролировать доступность адресов провайдеров работоспособность подключений к isp и при неработоспособности одного из подключений переводить с него на рабочее подключение весь трафик p.166
- 5 50 а при его недоступности на адрес 80 6 3 приоритетность шлюзов задается значениями метрик 10 и 30 p.166
- Указать экземпляр vrf в котором будет работать данный gre туннель не обязательно p.167
- Gre англ generic routing encapsulation общая инкапсуляция маршрутов протокол p.167
- Указать описание конфигурируемого туннеля не обязательно p.167
- Туннелирования сетевых пакетов его основное назначение инкапсуляция пакетов сетевого уровня сетевой модели osi в ip пакеты gre может использоваться для организации vpn на 3 м уровне модели osi в маршрутизаторе esr реализованы статические неуправляемые gre туннели то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах параметры туннеля для каждой из сторон должны быть взаимосогласованными или переносимые данные не будут декапсулироваться партнером p.167
- Создать gre туннель и перейти в режим его конфигурирования p.167
- Создаем правило 2 p.167
- Сконфигурировать l3 интерфейс от которого будет строиться gre туннель p.167
- Привязываем политику на соответствующий интерфейс p.167
- Правилом 2 будет обеспечена маршрутизация трафика из сети 10 0 24 на адрес 80 6 3 p.167
- Описание туннеля задаётся строкой до 255 символов p.167
- Настройка gre туннелей p.167
- Межсетевые экраны серии esr руководство по эксплуатации 167 p.167
- Имя vrf задается строкой до 31 символа p.167
- Идентификатор туннеля в диапазоне для esr 20 21 1 50 для esr 1511 1500 1 00 p.167
- Заходим на интерфейс te 1 0 1 p.167
- Шаг описание команда ключи p.167
- Указываем список доступа acl в качестве фильтра p.167
- Алгоритм настройки p.167
- Указываем nexthop для sub30 и выходим p.167
- А при его недоступности на адрес 184 5 50 приоритетность задается значениями метрик p.167
- Межсетевые экраны серии esr руководство по эксплуатации p.168
- Трафика протокол gre p.169
- Пример настройки ip gre туннеля p.169
- Организовать l3 vpn между офисами компании через ip сеть используя для туннелирования p.169
- Межсетевые экраны серии esr руководство по эксплуатации 169 p.169
- Задача p.169
- В качестве удаленного шлюза для туннеля используется ip адрес 114 0 p.169
- В качестве локального шлюза для туннеля используется ip адрес 115 p.169
- Идентификатор туннеля в диапазоне для esr 20 21 1 50 для esr 1511 1500 1 00 p.171
- Включить проверку наличия и корректности контрольной суммы gre для входящего трафика p.171
- Включить и настроить механизм keepalive p.171
- Алгоритм настройки p.171
- Шаг описание команда ключи p.171
- L2tpv3 layer 2 tunneling protocol version 3 протокол для туннелирования пакетов 2 го уровня p.171
- Указать уникальный идентификатор p.171
- Указать значение dscp mtu ttl p.171
- Счетчики входящих и отправленных пакетов можно посмотреть командой p.171
- Состояние туннеля можно посмотреть командой p.171
- Создать l2tpv3 туннель и перейти в режим его конфигурирования p.171
- Сконфигурировать l3 интерфейс от которого будет строиться l2tpv3 туннель p.171
- При создании туннеля необходимо в firewall разрешить протокол gre 47 p.171
- Настройка туннеля ipv4 over ipv4 производится аналогичным образом p.171
- Настройка l2tpv3 туннелей p.171
- Модели osi между двумя ip узлами в качестве инкапсулирующего протокола используется ip или udp l2tpv3 может использоваться как альтернатива mpls p2p l2vpn vll для организации vpn уровня l2 в маршрутизаторе esr реализованы статические неуправляемые l2tpv3 туннели то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах параметры туннеля на каждой из сторон должны быть взаимосогласованными или переносимые данные не будут декапсулироваться партнером p.171
- Межсетевые экраны серии esr руководство по эксплуатации 171 p.171
- Конфигурацию туннеля можно посмотреть командой p.171
- Межсетевые экраны серии esr руководство по эксплуатации p.172
- В качестве локального шлюза для туннеля используется ip адрес 21 p.173
- Укажем локальный и удаленный шлюз ip адреса интерфейсов граничащих с wan p.173
- В качестве инкапсулирующего протокола используется udp номер порта на локальной стороне и номер порта на стороне партнера 519 p.173
- Укажем идентификаторы сессии внутри туннеля для локальной и удаленной сторон p.173
- Трафика протокол l2tpv3 p.173
- Создадим туннель l2tpv3 333 p.173
- Рисунок 53 схема сети p.173
- Решение p.173
- Пример настройки l2tpv3 туннеля p.173
- Организовать l2 vpn между офисами компании через ip сеть используя для туннелирования p.173
- Межсетевые экраны серии esr руководство по эксплуатации 173 p.173
- Интервал в секундах принимает значения 5 50 значение по умолчанию 5 p.173
- Идентификатор туннеля на локальной стороне равен 2 на стороне партнера 3 p.173
- Идентификатор сессии внутри туннеля равен 100 на стороне партнера 200 p.173
- Задача p.173
- Задать интервал времени за который усредняется статистика о нагрузке на туннеле не обязательно p.173
- В туннель направим трафик из bridge с идентификатором 333 p.173
- В качестве удаленного шлюза для туннеля используется ip адрес 183 0 p.173
- Укажем тип инкапсулирующего протокола и номера udp портов p.173
- Настройка ipsec vpn p.174
- Настройка route based ipsec vpn p.175
- Межсетевые экраны серии esr руководство по эксплуатации 175 p.175
- Алгоритм настройки p.175
- Межсетевые экраны серии esr руководство по эксплуатации p.176
- Межсетевые экраны серии esr руководство по эксплуатации 177 p.177
- Межсетевые экраны серии esr руководство по эксплуатации p.178
- Конфигурирование r1 p.179
- Задача p.179
- Для настройки правил зон безопасности потребуется создать профиль порта протокола isakmp p.179
- Группа диффи хэллмана 2 p.179
- Алгоритм шифрования aes 128 bit p.179
- Алгоритм аутентификации md5 p.179
- R2 ip адрес 180 00 p.179
- R1 ip адрес 120 1 p.179
- Создадим туннель vti трафик будет перенаправляться через vti в ipsec туннель в качестве p.179
- Рисунок 54 схема сети p.179
- Решение p.179
- Пример настройки p.179
- Настроить ipsec туннель между r1 и r2 p.179
- Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности p.179
- Межсетевые экраны серии esr руководство по эксплуатации 179 p.179
- Локального и удаленного шлюза указываются ip адреса интерфейсов граничащих с wan p.179
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля p.180
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим p.180
- Протокола и режим перенаправления трафика в туннель p.180
- По которым могут согласовываться узлы p.180
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable p.180
- Находится за ipsec туннелем нужно указать маршрут через vti туннель p.180
- Межсетевые экраны серии esr руководство по эксплуатации p.180
- Которым могут согласовываться узлы и ключ аутентификации p.180
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля p.180
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения p.180
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия p.180
- Создадим статический маршрут до удаленной lan сети для каждой подсети которая p.180
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм p.180
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм p.180
- Создадим политику протокола ike в политике указывается список профилей протокола ike по p.180
- Создадим политику протокола ike в политике указывается список профилей протокола ike по p.181
- Протокола и режим перенаправления трафика в туннель p.181
- Находится за ipsec туннелем нужно указать маршрут через vti туннель p.181
- Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности p.181
- Межсетевые экраны серии esr руководство по эксплуатации 181 p.181
- Локального и удаленного шлюза указываются ip адреса интерфейсов граничащих с wan p.181
- Которым могут согласовываться узлы и ключ аутентификации p.181
- Конфигурирование r2 p.181
- Для настройки правил зон безопасности потребуется создать профиль порта протокола isakmp p.181
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения p.181
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия p.181
- Создадим туннель vti трафик будет перенаправляться через vti в ipsec туннель в качестве p.181
- Создадим статический маршрут до удаленной lan сети для каждой подсети которая p.181
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм p.181
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля p.182
- Состояние туннеля можно посмотреть командой p.182
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм p.182
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля p.182
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим p.182
- По которым могут согласовываться узлы p.182
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable p.182
- Межсетевые экраны серии esr руководство по эксплуатации p.182
- Конфигурацию туннеля можно посмотреть командой p.182
- В firewall необходимо разрешить протокол esp и isakmp udp порт 500 p.182
- Алгоритм настройки p.183
- Настройка policy based ipsec vpn p.183
- Межсетевые экраны серии esr руководство по эксплуатации 183 p.183
- Межсетевые экраны серии esr руководство по эксплуатации p.184
- Межсетевые экраны серии esr руководство по эксплуатации 185 p.185
- Межсетевые экраны серии esr руководство по эксплуатации p.186
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм p.188
- Создадим политику протокола ike в политике указывается список профилей протокола ike по p.188
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля p.188
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим p.188
- Протокола и режим перенаправления трафика в туннель p.188
- По которым могут согласовываться узлы p.188
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable p.188
- Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности p.188
- Межсетевые экраны серии esr руководство по эксплуатации p.188
- Которым могут согласовываться узлы и ключ аутентификации p.188
- Конфигурирование r2 p.188
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля p.188
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия p.188
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля p.189
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения p.189
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия p.189
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм p.189
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм p.189
- Создадим политику протокола ike в политике указывается список профилей протокола ike по p.189
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля p.189
- Протокола и режим перенаправления трафика в туннель p.189
- По которым могут согласовываться узлы p.189
- Межсетевые экраны серии esr руководство по эксплуатации 189 p.189
- Которым могут согласовываться узлы и ключ аутентификации p.189
- Для настройки правил зон безопасности потребуется создать профиль порта протокола isakmp p.189
- Алгоритм настройки p.190
- Lt англ logical tunnel логический туннель тип туннелей предназначенный для передачи p.190
- Состояние туннеля можно посмотреть командой p.190
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим p.190
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable p.190
- Настройка lt туннелей p.190
- Межсетевые экраны серии esr руководство по эксплуатации p.190
- Маршрутной информации и трафика между различными виртуальными маршрутизаторами vrf lite сконфигурированными на одном аппаратном маршрутизаторе lt туннель может использоваться для организации взаимодействия между двумя или более vrf с применением ограничений firewall p.190
- Конфигурацию туннеля можно посмотреть командой p.190
- В firewall необходимо разрешить протокол esp и isakmp udp порт 500 p.190
- Межсетевые экраны серии esr руководство по эксплуатации 191 p.191
- Исходная конфигурация p.191
- Интервал в секундах принимает значения 5 50 значение по умолчанию 5 p.191
- Значение mtu принимает значения в диапазоне для esr 20 21 1280 500 для esr 1511 1500 1280 0000 значение по умолчанию 1500 p.191
- Задача организовать взаимодействие между хостами терминированными в двух vrf vrf_1 и p.191
- Задать интервал времени за который усредняется статистика о нагрузке на туннеле не обязательно p.191
- Для каждого vrf настроить необходимые протоколы маршрутизации через lt туннель p.191
- Включить туннели p.191
- Указать размер mtu maximum transmition unit пакетов которые может пропускать данный bridge не обязательно возможно если в bridge включен только vlan mtu более 1500 будет активно только в случае применения команды system jumbo frames p.191
- Создадим lt туннели для каждого vrf с указанием ip адресов из одной подсети p.191
- Решение p.191
- Пример настройки p.191
- Настройка удаленного доступа к корпоративной сети по pptp p.192
- Межсетевые экраны серии esr руководство по эксплуатации p.192
- Имя профиля pptp сервера задаётся строкой до 31 символа p.192
- Имя профиля ip адресов содержащего который содержит адреса необходимых dns серверов задаётся строкой до 31 символа p.192
- Если в vrf не работает ни один из протоколов динамической маршрутизации то необходимо указать статические маршруты для каждого vrf p.192
- Выбрать режим аутентификации pptp клиентов p.192
- Включить шифрование mppe для pptp соединений не обязательно p.192
- Шаг описание команда ключи p.192
- Алгоритм настройки p.192
- Указать список dns серверов которые будут использовать удаленные пользователи не обязательно p.192
- Активируем их p.192
- Указать описание конфигурируемого сервера не обязательно p.192
- Pptp англ point to point tunneling protocol туннельный протокол типа точка точка p.192
- Указать dscp приоритет исходящих пакетов не обязательно p.192
- Local аутентификация пользователя по локальной базе radius аутентификация пользователя по базе radius сервера p.192
- Укажем для каждого lt туннеля lt туннель из vrf с которым необходимо установить связь и p.192
- Dscp приоритет исходящих пакетов 0 3 p.192
- Создать профиль pptp сервера p.192
- Протоколу p.192
- Позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в обычной незащищенной сети pptp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет pptp может также использоваться для организации туннеля между двумя локальными сетями рртр использует дополнительное tcp соединение для обслуживания туннеля p.192
- Описание pptp сервера задаётся строкой до 255 символов p.192
- Межсетевые экраны серии esr руководство по эксплуатации 193 p.193
- Пример настройки pptp сервера p.194
- Настроить pptp сервер на маршрутизаторе p.194
- Межсетевые экраны серии esr руководство по эксплуатации p.194
- Задача p.194
- Адрес pptp сервера 120 1 p.194
- Dns серверы 8 8 p.194
- Шлюз внутри туннеля для подключающихся клиентов 10 0 0 p.194
- Учетные записи для подключения fedor ivan p.194
- Создадим профиль адресов содержащий адреса клиентов p.194
- Создадим профиль адресов содержащий адрес локального шлюза p.194
- Создадим профиль адресов содержащий адрес который должен слушать сервер p.194
- Создадим профиль адресов содержащий dns серверы p.194
- Рисунок 56 схема сети p.194
- Решение p.194
- Пул ip адресов для выдачи 10 0 0 10 0 0 5 p.194
- Помимо создания pptp сервера необходимо в firewall открыть tcp порт 1723 для обслуживания соединений и разрешить протокол gre 47 для туннельного трафика p.195
- Очистить счетчики сессий pptp сервера можно командой p.195
- Межсетевые экраны серии esr руководство по эксплуатации 195 p.195
- Конфигурацию pptp сервера можно посмотреть командой p.195
- Завершить сессию пользователя fedor pptp сервера можно одной из следующих команд p.195
- Выберем метод аутентификации пользователей pptp сервера p.195
- Включим pptp сервер p.195
- Укажем зону безопасности к которой будут относиться сессии пользователей p.195
- Счетчики сессий pptp сервера можно посмотреть командой p.195
- Состояние сессий pptp сервера можно посмотреть командой p.195
- Создадим pptp сервер и привяжем вышеуказанные профили p.195
- Создадим pptp пользователей ivan и fedor для pptp сервера p.195
- После применения конфигурации маршрутизатор будет прослушивать 120 1 1723 p.195
- Протокол использующийся для поддержки виртуальных частных сетей l2tp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет l2tp может также использоваться для организации туннеля между двумя локальными сетями l2тр использует дополнительное udp соединение для обслуживания туннеля l2tp протокол не предоставляет средств шифрования данных и поэтому он обычно используется в связке с группой протоколов ipsec которая предоставляет безопасность на пакетном уровне p.196
- Настройка удаленного доступа к корпоративной сети по l2tp p.196
- Межсетевые экраны серии esr руководство по эксплуатации p.196
- Алгоритм настройки p.196
- Over ipsec протоколу p.196
- L2tp англ layer 2 tunneling protocol протокол туннелирования второго уровня туннельный p.196
- Межсетевые экраны серии esr руководство по эксплуатации 197 p.197
- Аутентификация пользователей проходит на radius сервере p.198
- Шлюз внутри туннеля 10 0 0 p.198
- Адрес radius сервера 192 68 p.198
- Указать ip адреса для интерфейсов te1 0 1 и te1 0 1 p.198
- Создадим профиль адресов содержащий адрес локального шлюза p.198
- Адрес l2tp сервера 120 1 p.198
- Создадим профиль адресов содержащий dns серверы p.198
- Создадим l2tp сервер и привяжем к нему вышеуказанные профили p.198
- Рисунок 57 схема сети p.198
- Решение p.198
- Пример настройки p.198
- Предварительно нужно выполнить следующие действия p.198
- Настроить подключение к radius серверу p.198
- Настроить зоны для интерфейсов te1 0 1 и gi1 0 1 p.198
- Настроить l2tp сервер на маршрутизаторе для подключения удаленных пользователей к лвс p.198
- Межсетевые экраны серии esr руководство по эксплуатации p.198
- Задача p.198
- Для ipsec используется метод аутентификации по ключу ключ password p.198
- Выберем метод аутентификации пользователей l2tp сервера p.198
- Укажем зону безопасности к которой будут относиться сессии пользователей p.199
- Счетчики сессий l2tp сервера можно посмотреть командой p.199
- После применения конфигурации маршрутизатор будет прослушивать ip адрес 120 1 и p.199
- Порт 1701 состояние сессий l2tp сервера можно посмотреть командой p.199
- Помимо создания l2tp сервера необходимо в firewall открыть udp порты 500 1701 4500 для обслуживания соединений и разрешить протоколы esp 50 и gre 47 для туннельного трафика p.199
- Очистить счетчики сессий l2tp сервера можно командой p.199
- Настройка удаленного доступа к корпоративной сети по p.199
- Межсетевые экраны серии esr руководство по эксплуатации 199 p.199
- Конфигурацию l2tp сервера можно посмотреть командой p.199
- Завершить сессию пользователя fedor l2tp сервера можно одной из следующих команд p.199
- Выберем метод аутентификации первой фазы ike и зададим ключ аутентификации p.199
- Включим l2tp сервер p.199
- Virtual private networks vpn организации удалённого доступа и решения ряда других задач связанных с безопасностью передачи данных базирующееся на ssl p.199
- Openvpn протоколу p.199
- Openvpn полнофункциональное средство для построения виртуальных частных сетей p.199
- Алгоритм настройки p.200
- Межсетевые экраны серии esr руководство по эксплуатации p.200
- Межсетевые экраны серии esr руководство по эксплуатации 201 p.201
- Пример настройки p.202
- После применения конфигурации маршрутизатор будет прослушивать порт 1194 используется p.203
- Помимо создания openvpn сервера необходимо в firewall открыть tcp порт 1194 p.203
- По умолчанию p.203
- Очистить счетчики сессий openvpn сервера можно командой p.203
- Настройка клиента удаленного доступа по протоколу pppoe p.203
- Межсетевые экраны серии esr руководство по эксплуатации 203 p.203
- Конфигурацию openvpn сервера можно посмотреть командой p.203
- Инкапсулировать ip ppp через соединения ethernet и обладает программными возможностями ppp p.203
- Завершить сессию пользователя fedor openvpn сервера можно одной из следующих команд p.203
- Выберем алгоритм шифрования aes128 p.203
- Включим openvpn сервер p.203
- Pppoe это туннелирующий протокол tunneling protocol который позволяет p.203
- Укажем ранее импортированные сертификаты и ключи которые будет использоваться p.203
- Openvpn сервером p.203
- Укажем зону безопасности к которой будут относиться сессии пользователей p.203
- Счетчики сессий openvpn сервера можно посмотреть командой p.203
- Состояние сессий openvpn сервера можно посмотреть командой p.203
- Соединений что позволяет использовать его для виртуальных соединений на соседнюю ethernet машину и устанавливать соединение точка точка которое используется для транспортировки ip пакетов а также работает с возможностями ppp это позволяет применять традиционное ppp ориентированное по для настройки соединения которое использует не последовательный канал а пакетно ориентированную сеть например ethernet чтобы организовать классическое соединение с логином и паролем для интернет соединений кроме того ip адрес по другую сторону соединения назначается только когда pppoe соединение открыто позволяя динамическое переиспользование ip адресов p.204
- Межсетевые экраны серии esr руководство по эксплуатации p.204
- Алгоритм настройки p.204
- Отключения функции firewall на сетевом интерфейсе не обязательно p.205
- Настройка зоны безопасности p.205
- Настроить pppoe клиент на маршрутизаторе p.205
- Межсетевые экраны серии esr руководство по эксплуатации 205 p.205
- Имя зоны безопасности задаётся строкой до 31 символа p.205
- Имя vrf задается строкой до 31 символа p.205
- Учетные записи для подключения tester p.205
- Зайдем в режим конфигурирования pppoe клиента и отключим межсетевой экран p.205
- Указать имя экземпляра vrf в котором будут использоваться указанные сетевой интерфейс мост зона безопасности сервер динамической авторизации das или группа правил nat не обязательно p.205
- Задача p.205
- Укажем пользователя и пароль для подключения к pppoe серверу p.205
- Активировать конфигурируемый профиль p.205
- Укажем интерфейс через который будет устанавливаться pppoe соединение p.205
- Рисунок 59 схема сети p.205
- Решение p.205
- Пример настройки pppoe клиента p.205
- Предварительно настроить pppoe сервер с учетными записями p.205
- Подключение должно осуществляться с интерфейса gigabitethernet 1 0 7 p.205
- Пароли учетных записей password p.205
- Состояние pppoe туннеля можно посмотреть командой p.206
- Позволяющий устанавливать защищённое соединение за счёт создания специального туннеля в обычной незащищенной сети pptp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет pptp может также использоваться для организации туннеля между двумя локальными сетями рртр использует дополнительное tcp соединение для обслуживания туннеля p.206
- Настройка клиента удаленного доступа по протоколу pptp p.206
- Межсетевые экраны серии esr руководство по эксплуатации p.206
- Алгоритм настройки p.206
- Pptp англ point to point tunneling protocol туннельный протокол типа точка точка p.206
- Счетчики сессий pppoe клиента можно посмотреть командой p.206
- Учетная запись для подключения логин ivan пароль simplepass p.207
- Укажем учетную запись пользователя ivan для подключения к серверу p.207
- Укажем удаленный шлюз p.207
- Укажем зону безопасности p.207
- Создадим туннель pptp p.207
- Рисунок 60 схема сети p.207
- Решение p.207
- Пример настройки удаленного подключения по pptp протоколу p.207
- Настроить pptp туннель на маршрутизаторе p.207
- Межсетевые экраны серии esr руководство по эксплуатации 207 p.207
- Задача p.207
- Включим туннель pptp p.207
- Адрес pptp сервера 20 0 p.207
- Алгоритм настройки p.208
- L2tp англ layer 2 tunneling protocol протокол туннелирования второго уровня p.208
- Туннельный протокол использующийся для поддержки виртуальных частных сетей l2tp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет l2tp может также использоваться для организации туннеля между двумя локальными сетями l2тр использует дополнительное udp соединение для обслуживания туннеля l2tp протокол не предоставляет средств шифрования данных и поэтому он обычно используется в связке с группой протоколов ipsec которая предоставляет безопасность на пакетном уровне p.208
- Счетчики входящих и отправленных пакетов можно посмотреть командой p.208
- Состояние туннеля можно посмотреть командой p.208
- Настройка клиента удаленного доступа по протоколу l2tp p.208
- Межсетевые экраны серии esr руководство по эксплуатации p.208
- Конфигурацию туннеля можно посмотреть командой p.208
- Учетная запись для подключения логин ivan пароль simplepass p.209
- Создадим туннель l2tp p.209
- Рисунок 61 схема сети p.209
- Решение p.209
- Пример настройки удаленного подключения по l2tp протоколу p.209
- Настроить pptp туннель на маршрутизаторе p.209
- Межсетевые экраны серии esr руководство по эксплуатации 209 p.209
- Задача p.209
- Адрес pptp сервера 20 0 p.209
- Qos quality of service технология предоставления различным классам трафика различных p.210
- Укажем учетную запись пользователя ivan для подключения к серверу p.210
- Укажем удаленный шлюз p.210
- Укажем метод аутентификации ipsec p.210
- Укажем ключ безопасности для ipsec p.210
- Укажем зону безопасности p.210
- Счетчики входящих и отправленных пакетов можно посмотреть командой p.210
- Состояние туннеля можно посмотреть командой p.210
- Приоритетов в обслуживании использование службы qos позволяет сетевым приложениям сосуществовать в одной сети не уменьшая при этом пропускную способность других приложений p.210
- Настройка qos p.210
- Межсетевые экраны серии esr руководство по эксплуатации p.210
- Конфигурацию туннеля можно посмотреть командой p.210
- Включим туннель p.210
- Базовый qos p.210
- Алгоритм настройки p.210
- Межсетевые экраны серии esr руководство по эксплуатации 211 p.211
- Dscp 22 в первую приоритетную очередь трафик с dscp 14 в седьмую взвешенную очередь установить ограничение по скорости в 60 мбит с для седьмой очереди p.212
- Пример настройки p.212
- Настроить следующие ограничения на интерфейсе gigabitethernet 1 0 8 передавать трафик с p.212
- Межсетевые экраны серии esr руководство по эксплуатации p.212
- Задача p.212
- Расширенный qos p.213
- Просмотреть статистику по qos можно командой p.213
- Перенаправим трафик с dscp 22 в первую приоритетную очередь p.213
- Перенаправим трафик с dscp 14 в седьмую взвешенную очередь p.213
- Ограничения полосы пропускания p.213
- Межсетевые экраны серии esr руководство по эксплуатации 213 p.213
- Для того чтобы первая очередь осталась приоритетной а очереди со второй по восьмую стали p.213
- Включим qos на интерфейсе со стороны wan для правильной обработки очередей и p.213
- Включим qos на входящем интерфейсе для корректной классификации трафика и направления p.213
- Взвешенными ограничим количество приоритетных очередей до 1 p.213
- Шаг описание команда ключи p.213
- В соответствующую очередь со стороны lan p.213
- Установим ограничение по скорости в 60мбит с для седьмой очереди p.213
- Алгоритм настройки p.213
- Создать списки доступа для определения трафика к которому должен быть применен расширенный qos p.213
- См раздел настройка списков доступа см раздел настройка списков доступа acl p.213
- Рисунок 62 схема сети p.213
- Решение p.213
- Межсетевые экраны серии esr руководство по эксплуатации p.214
- Межсетевые экраны серии esr руководство по эксплуатации 215 p.215
- Межсетевые экраны серии esr руководство по эксплуатации p.216
- Решение p.217
- Произвести маркировку по dscp 38 и 42 и произвести разграничение по подсетям 40 мбит с и 60 мбит с ограничить общую полосу до 250 мбит с остальной трафик обрабатывать через механизм sfq p.217
- Пример настройки p.217
- Настроим списки доступа для фильтрации по подсетям выходим в глобальный режим p.217
- Межсетевые экраны серии esr руководство по эксплуатации 217 p.217
- Конфигурации p.217
- Задача классифицировать приходящий трафик по подсетям 10 1 24 10 2 24 p.217
- Создаём политику и определяем ограничение общей полосы пропускания p.217
- Создаем классы fl1 и fl2 указываем соответствующие списки доступа настраиваем маркировку p.217
- Рисунок 63 схема сети p.217
- Режим network совмещенный режим передачи данных и зеркалирование monitor only только зеркалирование p.218
- Осуществляем привязку класса к политике настраиваем ограничение полосы пропускания и p.218
- Определить режим порта передающего отзеркалированный трафик p.218
- Настройка зеркалирования p.218
- На выходе gi1 0 20 для применения ограничений и режима sfq для класса по умолчанию p.218
- Межсетевые экраны серии esr руководство по эксплуатации p.218
- Зеркалирование трафика функция маршрутизатора предназначенная для перенаправления p.218
- Для просмотра статистики используется команда p.218
- Для другого трафика настраиваем класс с режимом sfq p.218
- Выходим p.218
- Включить режим удаленного зеркалирования в случае использования удаленного зеркалирования p.218
- Включаем qos на интерфейсах политику на входе интерфейса gi 1 0 19 для классификации и p.218
- Алгоритм настройки p.218
- Шаг описание команда ключи p.218
- Трафика с одного порта маршрутизатора на другой порт этого же маршрутизатора локальное зеркалирование или на удаленное устройство удаленное зеркалирование p.218
- Пример настройки p.219
- Пример настройки p.220
- Передавать данные о трафике адрес отправителя и получателя порт количество информации и др с сетевого оборудования сенсора на коллектор в качестве коллектора может использоваться обычный сервер p.220
- Организовать учет трафика с интерфейса gi1 0 1 для передачи на сервер через интерфейс p.220
- Настройка netflow p.220
- Межсетевые экраны серии esr руководство по эксплуатации p.220
- Задача p.220
- Алгоритм настройки p.220
- Netflow сетевой протокол предназначенный для учета и анализа трафика netflow позволяет p.220
- Gi1 0 8 для обработки p.220
- Настройка sflow p.221
- Алгоритм настройки p.221
- Задача p.222
- Для сетей esr создадим две зоны безопасности p.222
- Рисунок 66 схема сети p.222
- Решение p.222
- Пример настройки p.222
- Организовать учет трафика между зонами trusted и untrusted p.222
- Межсетевые экраны серии esr руководство по эксплуатации p.222
- Приоритет указывается в диапазоне 1 5535 значение по умолчанию 1 p.223
- Настройка sflow для учета трафика с интерфейса осуществляется аналогично 9 8 настройка netflow p.223
- Настройка lacp p.223
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности p.223
- Направления trusted untrusted p.223
- Межсетевые экраны серии esr руководство по эксплуатации 223 p.223
- Каналов в один логический такое объединение позволяет увеличивать пропускную способность и надежность канала p.223
- Включим экспорт статистики по протоколу sflow для любого трафика в правиле rule1 для p.223
- Алгоритм настройки p.223
- Активируем sflow на маршрутизаторе p.223
- Lacp протокол для агрегирования каналов позволяет объединить несколько физических p.223
- Шаг описание команда ключи p.223
- Установить приоритет системы для протокола lacp p.223
- Укажем ip адрес коллектора p.223
- Рисунок 67 схема сети p.224
- Пример настройки p.224
- Настроить агрегированный канал между маршрутизатором esr и коммутатором p.224
- Межсетевые экраны серии esr руководство по эксплуатации p.224
- Задача p.224
- Настройка vrrp p.225
- На интерфейсах gi1 0 1 gi1 0 2 отключить зону безопасности командой no security zone p.225
- Межсетевые экраны серии esr руководство по эксплуатации 225 p.225
- Дальнейшая конфигурация port channel проводится как на обычном физическом интерфейсе p.225
- Включим физические интерфейсы gi1 0 1 gi1 0 2 в созданную группу агрегации каналов p.225
- Алгоритм настройки p.225
- Vrrp virtual router redundancy protocol сетевой протокол предназначенный для p.225
- Cоздадим интерфейс port channel 2 p.225
- Увеличения доступности маршрутизаторов выполняющих роль шлюза по умолчанию это достигается путём объединения группы маршрутизаторов в один виртуальный маршрутизатор и назначения им общего ip адреса который и будет использоваться как шлюз по умолчанию для компьютеров в сети p.225
- Решение p.225
- Предварительно нужно выполнить следующие настройки p.225
- Основной этап конфигурирования p.225
- Межсетевые экраны серии esr руководство по эксплуатации p.226
- Межсетевые экраны серии esr руководство по эксплуатации 227 p.227
- Пример настройки 1 p.228
- Пример настройки 2 p.229
- Настроим vrrp для подсети 192 68 0 24 в созданном саб интерфейсе p.230
- Межсетевые экраны серии esr руководство по эксплуатации p.230
- Идентификатор отслеживаемого vrrp маршрутизатора принимает значения 1 55 p.230
- Задать правило слежения за состоянием vrrp процесса p.230
- Добавить в систему tracking объект и перейти в режим настройки параметров tracking объекта p.230
- Включим vrrp p.230
- Шаг описание команда ключи p.230
- Алгоритм настройки p.230
- Укажем уникальный идентификатор vrrp p.230
- Vrrp tracking механизм позволяющий активировать статические маршруты в зависимости от p.230
- Укажем идентификатор vrrp группы p.230
- Укажем ip адрес виртуального шлюза 192 68 0 p.230
- Состояния vrrp p.230
- Произвести аналогичные настройки на r2 p.230
- Помимо создания туннеля необходимо в firewall разрешить протокол vrrp 112 помимо создания туннеля необходимо в firewall разрешить протокол vrrp 112 p.230
- Номер tracking объекта принимает значения 1 0 p.230
- Настройка vrrp tracking p.230
- Настроить vrrp согласно разделу 9 p.230
- Межсетевые экраны серии esr руководство по эксплуатации 231 p.231
- Пример настройки p.232
- На маршрутизаторе r2 никаких изменений не требуется так как подсеть 10 24 p.233
- Межсетевые экраны серии esr руководство по эксплуатации 233 p.233
- Маршрутизатор r2 p.233
- Для этого создадим tracking object с соответствующим условием p.233
- Терминируется на нем и в момент когда r2 выступает в роли vrrp master пакеты будут переданы в соответствующий интерфейс на маршрутизаторе необходимо создать маршрут для пакетов с ip адресом назначения из сети 10 24 в момент когда r1 выступает в роли vrrp master p.233
- Создадим статический маршрут в подсеть 10 24 через 192 68 который будет p.233
- Решение p.233
- Работать в случае удовлетворения условия из tracking 1 p.233
- Рисунок 71 схема сети p.234
- Настройка vrf lite p.234
- Межсетевые экраны серии esr руководство по эксплуатации p.234
- Информацию принадлежащую различным классам например маршруты одного клиента p.234
- Алгоритм настройки p.234
- Vrf virtual routing and forwarding технология которая позволяет изолировать маршрутную p.234
- Остальных сетей p.235
- Настроить lt туннель для передачи трафика в глобальный режим или другие vrf при необходимости p.235
- Межсетевые экраны серии esr руководство по эксплуатации 235 p.235
- Которого будет использоваться при необходимости p.235
- К маршрутизатору серии esr подключены 2 сети которые необходимо изолировать от p.235
- Задача p.235
- Создадим привязку интерфейсов назначим ip адреса укажем принадлежность к зоне p.235
- Создадим правило для пары зон и разрешим любой tcp udp трафик p.235
- Создадим зону безопасности p.235
- Создадим vrf p.235
- Решение p.235
- Пример настройки p.235
- Технология multiwan позволяет организовать отказоустойчивое соединение с p.236
- Таблицу маршрутов vrf можно просмотреть с помощью команды p.236
- Резервированием линков от нескольких провайдеров а также решает проблему балансировки трафика между резервными линками p.236
- Настройка multiwan p.236
- Межсетевые экраны серии esr руководство по эксплуатации p.236
- Информацию об интерфейсах привязанных к vrf можно посмотреть командой p.236
- Алгоритм настройки p.236
- Межсетевые экраны серии esr руководство по эксплуатации 237 p.237
- Межсетевые экраны серии esr руководство по эксплуатации p.238
- Задача p.238
- Указать ip адреса для интерфейсов te1 0 1 и te1 0 2 p.238
- Рисунок 72 схема сети p.238
- Решение p.238
- Пример настройки p.238
- Предварительно нужно выполнить следующие действия p.238
- Настроить маршрут к серверу 108 6 28 с возможностью балансировки нагрузки p.238
- Настроить зоны для интерфейсов te1 0 1 и te1 0 2 p.238
- Основной этап конфигурирования p.239
- Настроим маршрутизацию p.239
- Настроим интерфейсы в режиме конфигурирования интерфейса te1 0 1 указываем nexthop p.239
- Межсетевые экраны серии esr руководство по эксплуатации 239 p.239
- Зададим адрес для проверки включим проверку указанного адреса и выйдем p.239
- Включим созданное правило балансировки и выйдем из режима конфигурирования правила p.239
- В режиме конфигурирования интерфейса te1 0 2 указываем nexthop p.239
- В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки соединения p.239
- В режиме конфигурирования интерфейса te1 0 1 включаем wan режим и выходим p.239
- Укажем участвующие интерфейсы p.239
- Создадим цель проверки целостности p.239
- Создадим список для проверки целостности соединения p.239
- Создадим правило wan p.239
- Функция multiwan также может работать в режиме резервирования в котором трафик будет p.240
- Соединения p.240
- Синхронизации внутренних часов оборудования с использованием ip сетей использует для своей работы протокол udp учитывает время передачи и использует алгоритмы для достижения высокой точности синхронизации времени p.240
- Настройка ntp p.240
- Направляться в активный интерфейс с наибольшим весом включить данный режим можно следующей командой p.240
- Межсетевые экраны серии esr руководство по эксплуатации p.240
- Заходим в режим настройки правила wan p.240
- Для переключения в режим резервирования настроим следующее p.240
- В режиме конфигурирования интерфейса te1 0 2 указываем список целей для проверки p.240
- В режиме конфигурирования интерфейса te1 0 2 включаем wan режим и выходим p.240
- Алгоритм настройки p.240
- Ntp англ network time protocol протокол сетевого времени сетевой протокол для p.240
- Межсетевые экраны серии esr руководство по эксплуатации 241 p.241
- Указать зону безопасности для интерфейса gi1 0 1 p.242
- Рисунок 73 схема сети p.242
- Решение p.242
- Пример настройки p.242
- Предварительно нужно выполнить следующие действия p.242
- Настроить синхронизацию времени от ntp сервера ip адрес маршрутизатора esr 192 68 2 p.242
- Настроить ip адрес для интерфейсов gi1 0 1 p.242
- Межсетевые экраны серии esr руководство по эксплуатации p.242
- Задача p.242
- Ip адрес ntp сервера p.242
- 68 2 1 p.242
- Включение синхронизации системных часов с удаленными серверами p.243
- Алгоритм настройки p.243
- Snmp англ simple network management protocol простой протокол сетевого управления p.243
- Ipv6 адрес клиента задаётся в виде x x x x x где каждая часть принимает значения в шестнадцатеричном формате 0 ffff p.243
- Шаг описание команда ключи p.243
- Указать предпочтительность данного ntp сервера необязательно p.243
- Указать интервал времени между отправкой сообщений ntp серверу p.243
- Протокол предназначенный для управления устройствами в ip сетях на основе архитектур tcp udp snmp предоставляет данные для управления в виде переменных описывающих конфигурацию управляемой системы p.243
- Основной этап конфигурирования основной этап конфигурирования p.243
- Определить community для доступа по протоколу snmpv2c p.243
- Настройка snmp p.243
- Настроика ntp сервера p.243
- Межсетевые экраны серии esr руководство по эксплуатации 243 p.243
- Команда для просмотра текущей конфигурации протокола ntp p.243
- Команда для просмотра текущего состояние ntp серверов пиров p.243
- Включить snmp сервер p.243
- Межсетевые экраны серии esr руководство по эксплуатации p.244
- Межсетевые экраны серии esr руководство по эксплуатации 245 p.245
- Пример настройки p.246
- Syslog англ system log системный журнал стандарт отправки и регистрации сообщений о p.247
- Происходящих в системе событиях используется в сетях работающих по протоколу ip p.247
- Определяем сервер приемник trap pdu сообщений p.247
- Настройка syslog p.247
- Межсетевые экраны серии esr руководство по эксплуатации 247 p.247
- Алгоритм настройки p.247
- Активируем snmpv3 пользователя p.247
- Межсетевые экраны серии esr руководство по эксплуатации p.248
- Пример настройки syslog p.249
- Проверка целостности p.250
- Часто задаваемые вопросы p.251
Похожие устройства
-
Eltex RG-5440G-WZРуководство по работе с устройством -
Eltex RG-5440G-WACРуководство по настройке
-
Eltex RG-35-WACРуководство по эксплуатации -
Eltex ME5100SСправочник команд CLI -
Eltex ME5100SТехническое описание -
Eltex ME5100SРуководство по настройке -
Eltex ME5100SРуководство по установке и быстрому запуску -
Eltex ME5000MСправочник команд CLI
-
Eltex ME5000MТехническое описание -
Eltex ME5000MРуководство по настройке
-
Eltex ME5000MРуководство по установке и быстрому запуску
-
Eltex ME2001Техническое описание
Изучите пошаговое руководство по настройке Route-based IPsec VPN. Узнайте, как создать VTI-туннель и настроить параметры безопасности для надежного соединения.