Eltex ESR-100 FSTEC — руководство по настройке межсетевых экранов и Static NAT [83/236]

Содержание

• Межсетевые экраны серии esr p.1
• Условные обозначения p.10
• Аннотация p.10
• Введение p.10
• Целевая аудитория p.10
• Функции интерфейсов p.12
• Функции p.12
• Описание изделия p.12
• Назначение p.12
• Поддержка vlan p.13
• Межсетевые экраны серии esr руководство по эксплуатации 13 p.13
• Функции при работе с mac адресами p.13
• Функции второго уровня сетевой модели osi p.13
• Таблица mac адресов p.13
• Таблица 3 описание функций второго уровня уровень 2 osi p.13
• Таблица 2 функции работы с mac адресами p.13
• Режим обучения p.13
• Протокол связующего дерева spanning tree protocol p.13
• В таблице 3 приведены функции и особенности второго уровня уровень 2 osi p.13
• В таблице 2 приведены функции устройства при работе с mac адресами p.13
• Статические ip маршруты p.14
• Клиент dhcp p.14
• Функции третьего уровня сетевой модели osi p.14
• Трансляция сетевых адресов nat network address translation p.14
• Таблица arp p.14
• Таблица 4 описание функций третьего уровня layer 3 p.14
• Сервер dhcp p.14
• Межсетевые экраны серии esr руководство по эксплуатации p.14
• Динамическая маршрутизация p.14
• В таблице 4 приведены функции третьего уровня уровень 3 osi p.14
• Syslog p.15
• Загрузка и выгрузка файла настройки p.15
• Функции туннелирования трафика p.15
• Протоколы туннелирования p.15
• Межсетевые экраны серии esr руководство по эксплуатации 15 p.15
• Интерфейс командной строки cli p.15
• Аутентификация p.15
• Автоматическое восстановление конфигурации p.15
• Функции управления и конфигурирования p.15
• Управление контролируемым доступом уровни привилегий p.15
• Таблица 6 основные функции управления и конфигурирования p.15
• Таблица 5 функции туннелирования трафика p.15
• Сетевые утилиты ping traceroute p.15
• Сервер ssh сервер telnet p.15
• Фильтрация данных p.16
• Таблица 8 основные технические характеристики p.16
• Таблица 7 функции сетевой защиты p.16
• Основные технические характеристики p.16
• Основные технические параметры маршрутизатора приведены в таблице 8 p.16
• Межсетевые экраны серии esr руководство по эксплуатации p.16
• Зоны безопасности p.16
• В таблице 7 приведены функции сетевой защиты выполняемые устройством p.16
• Функции сетевой защиты p.16
• Межсетевые экраны серии esr руководство по эксплуатации 17 p.17
• Устройство выполнено в металлическом корпусе с возможностью установки в 19 конструктив p.18
• Таблица 9 описание разъемов индикаторов и органов управления передней панели esr 1000 p.18
• Рисунок 1 передняя панель устройства esr 1000 p.18
• Расположенных на передней панели устройства esr 1000 p.18
• Передняя панель устройства esr 1000 p.18
• Межсетевые экраны серии esr руководство по эксплуатации p.18
• Конструктивное исполнение esr 1000 p.18
• Конструктивное исполнение p.18
• Изображения передней задней и боковых панелей устройства описаны разъемы светодиодные индикаторы и органы управления p.18
• Высота корпуса 1u p.18
• Внешний вид передней панели показан на рисунке 1 p.18
• В таблице 9 приведен перечень разъемов светодиодных индикаторов и органов управления p.18
• В данном разделе описано конструктивное исполнение устройства представлены p.18
• В таблице 11 приведен перечень разъемов светодиодных индикаторов и органов управления p.20
• Таблица 11 описание разъемов индикаторов и органов управления передней панели esr 200 esr 100 p.20
• Рисунок 6 передняя панель esr 100 p.20
• Рисунок 5 передняя панель esr 200 p.20
• Расположенных на передней панели устройств esr 200 esr 100 p.20
• Привести к перегреву компонентов устройства и вызвать нарушения в его работе рекомендации по установке устройства расположены в разделе установка и подключение p.20
• Передняя панель устройств esr 200 esr 100 p.20
• Межсетевые экраны серии esr руководство по эксплуатации p.20
• Конструктивное исполнение esr 200 esr 100 p.20
• Внешний вид передней панели esr 200 показан на рисунке 5 p.20
• Внешний вид передней панели esr 100 показан на рисунке 6 p.20
• Световая индикация p.22
• Светодиодными индикаторами link act зеленого цвета и speed янтарного цвета расположение индикаторов медных интерфейсов показано на рисунке 10 состояние sfp интерфейсов указано на рисунке 12 значения световой индикации описаны в таблице 16 p.23
• Световая индикация esr 200 esr 100 p.23
• Межсетевые экраны серии esr руководство по эксплуатации 23 p.23
• Значений p.23
• В следующей таблице приведено описание состояний системных индикаторов устройства и их p.23
• Таблица 15 состояния системных индикаторов p.23
• Состояние медных интерфейсов gigabit ethernet и sfp интерфейсов отображается двумя p.23
• Таблица 17 состояния системных индикаторов p.24
• Таблица 16 световая индикация состояния медных интерфейсов и sfp интерфейсов p.24
• Рисунок 12 расположение индикаторов оптических интерфейсов p.24
• Межсетевые экраны серии esr руководство по эксплуатации p.24
• Значений p.24
• В следующей таблице приведено описание состояний системных индикаторов устройства и их p.24
• Комплект поставки p.25
• Установка и подключение p.26
• Крепление кронштейнов p.26
• Установка устройства в стойку p.27
• Установка модулей питания esr 1000 p.28
• Подключение питающей сети p.28
• Установка и удаление sfp трансиверов p.29
• Удаление трансивера p.29
• Установка трансивера p.29
• Интерфейсы управления p.31
• Интерфейс командной строки cli p.31
• Типы и порядок именования интерфейсов маршрутизатора p.32
• Типы и порядок именования туннелей маршрутизатора p.34
• Описание заводской конфигурации p.35
• Начальная настройка маршрутизатора p.35
• Заводская конфигурация маршрутизатора esr p.35
• Подключение к маршрутизатору p.36
• Подключение и конфигурирование маршрутизатора p.36
• Базовая настройка маршрутизатора p.37
• Применение изменения конфигурации p.37
• Для создания нового пользователя системы или настройки любого из параметров имени p.38
• Учетная запись techsupport необходима для удаленного обслуживания сервисным центром p.38
• Для изменения пароля пользователя admin используются следующие команды p.38
• Учетная запись remote аутентификация radius tacacs ldap p.38
• Для защищенного входа в систему необходимо сменить пароль привилегированного p.38
• Администрирования устройства p.38
• Установка параметров подключения к публичной сети в соответствии с требованиями провайдера p.38
• Уровни привилегий 1 9 разрешают доступ к устройству и просмотр его оперативного состояния но запрещают настройку уровни привилегий 10 14 разрешают как доступ так и настройку большей части функций устройства уровень привилегий 15 разрешает как доступ так и настройку всех функций устройства p.38
• Удалить пользователей admin techsupport remote нельзя можно только сменить пароль и уровень привилегий p.38
• Создание новых пользователей p.38
• Пример команд для создания пользователя fedor c паролем 12345678 и уровнем p.38
• Применение базовых настроек p.38
• Привилегий 15 и создания пользователя ivan с паролем password и уровнем привилегий 1 p.38
• Пользователя пароля уровня привилегий используются команды p.38
• Пользователя admin p.38
• Настройка удаленного доступа к маршрутизатору p.38
• Межсетевые экраны серии esr руководство по эксплуатации p.38
• Имя пользователя и пароль вводится при входе в систему во время сеансов p.38
• Изменение пароля пользователя admin p.38
• Gigabitethernet 1 0 2 50 для доступа к маршрутизатору через vlan 150 p.39
• Пример команд настройки статического ip адреса для субинтерфейса p.39
• После применения конфигурации приглашение командной строки изменится на значение p.39
• После применения конфигурации p.39
• Получения ip адреса может использоваться протокол dhcp если в сети присутствует сервер dhcp p.39
• Параметры интерфейса p.39
• Настройка параметров публичной сети p.39
• Назначение имени устройства p.39
• Межсетевые экраны серии esr руководство по эксплуатации 39 p.39
• Маска подсети 255 55 55 p.39
• Конфигурации введите следующую команду p.39
• Для того чтобы убедиться что адрес был назначен интерфейсу после применения p.39
• Для того чтобы убедиться что адрес был назначен интерфейсу введите следующую команду p.39
• Устройству параметры определённые провайдером сети ip адрес маска подсети и адрес шлюза по умолчанию p.39
• Для настройки сетевого интерфейса маршрутизатора в публичной сети необходимо назначить p.39
• Для назначения имени устройства используются следующие команды p.39
• Сервера на интерфейсе gigabitethernet 1 0 10 p.39
• Ip адрес шлюза по умолчанию 192 68 6 p.39
• Провайдер может использовать динамически назначаемые адреса в своей сети для p.39
• Ip адрес 192 68 6 44 p.39
• Пример настройки предназначенной для получения динамического ip адреса от dhcp p.39
• Пример команд для разрешения пользователям из зоны untrusted с ip адресами p.40
• При конфигурировании доступа к маршрутизатору правила создаются для пары зон p.40
• Настройка удаленного доступа к маршрутизатору p.40
• Межсетевые экраны серии esr руководство по эксплуатации p.40
• Для создания разрешающего правила используются следующие команды p.40
• В заводской конфигурации разрешен удаленный доступ к маршрутизатору по протоколам p.40
• Telnet или ssh из зоны trusted для того чтобы разрешить удаленный доступ к маршрутизатору из других зон например из публичной сети необходимо создать соответствующие правила в firewall p.40
• Source zone зона из которой будет осуществляться удаленный доступ p.40
• Self зона в которой находится интерфейс управления маршрутизатором p.40
• 6 132 6 0 подключаться к маршрутизатору с ip адресом 40 3 2 по протоколу ssh p.40
• Обновление программного обеспечения средствами системы p.41
• Обновление программного обеспечения p.41
• Укажите имя файла программного обеспечения на tftp сервере p.43
• Укажите ip адрес маршрутизатора p.43
• Укажите ip адрес tftp сервера p.43
• Следующим образом p.43
• Программное обеспечение маршрутизатора можно обновить из начального загрузчика p.43
• Остановите загрузку устройства после окончания инициализации маршрутизатора p.43
• Обновление программного обеспечения из начального загрузчика p.43
• Можно сохранить окружение командой saveenv для будущих обновлений p.43
• Межсетевые экраны серии esr руководство по эксплуатации 43 p.43
• Запустите процедуру обновления программного обеспечения p.43
• Новый файл вторичного загрузчика сохраняется на flash на месте старого p.44
• Можно сохранить окружение командой saveenv для будущих обновлений p.44
• Межсетевые экраны серии esr руководство по эксплуатации p.44
• Команду version в cli u boot также версия отображается в процессе загрузки маршрутизатора p.44
• Для просмотра текущей версии загрузочного файла работающего на устройстве введите p.44
• Вторичный загрузчик занимается инициализацией nand и маршрутизатора при обновлении p.44
• Установите загруженное программное обеспечение в качестве образа для запуска системы и p.44
• Укажите имя файла загрузчика на tftp сервере p.44
• Укажите ip адрес маршрутизатора p.44
• Укажите ip адрес tftp сервера p.44
• Процедура обновления по p.44
• Перезагрузите роутер p.44
• Остановите загрузку устройства после окончания инициализации маршрутизатора p.44
• Обновление вторичного загрузчика u boot p.44
• Перезагрузите маршрутизатор p.45
• Межсетевые экраны серии esr руководство по эксплуатации 45 p.45
• Запустите процедуру обновления программного обеспечения p.45
• Примеры настройки маршрутизатора p.46
• Настройка vlan p.46
• Межсетевые экраны серии esr руководство по эксплуатации p.46
• Алгоритм настройки p.46
• Vlan virtual local area network логическая виртуальная локальная сеть представляет p.46
• Собой группу устройств которые взаимодействуют между собой на канальном уровне независимо от их физического местонахождения работа vlan основана на использовании дополнительных полей ethernet заголовка согласно стандарту 802 q по сути vlan изолирует широковещательный домен путем ограничения коммутации ethernet фреймов только с одинаковым vlan id в ethernet заголовке p.46
• Только для esr 1000 p.47
• Только для esr 100 200 p.47
• Рисунок 21 схема сети p.47
• Решение p.47
• Режиме p.47
• Разрешить на интерфейсе обработку ethernet фреймов всех созданных на маршрутизаторе vlan не обязательно p.47
• Пример настройки 2 разрешение обработки vlan в тегированном p.47
• Пример настройки 1 удаление vlan с интерфейса p.47
• Настроить порты gi1 0 1 и gi1 0 2 для передачи и приема пакетов в vlan 2 vlan 64 vlan p.47
• Настроить vlan на интерфейсе в нетегированном режиме не обязательно p.47
• На основе заводской конфигурации удалить из vlan 2 порт gi1 0 1 p.47
• Межсетевые экраны серии esr руководство по эксплуатации 47 p.47
• Идентификатор vlan задаётся в диапазоне 2 094 также есть возможность создания нескольких vlan через запятую или диапазона vlan через дефис p.47
• Идентификатор vlan задаётся в диапазоне 2 094 p.47
• Задача p.47
• Удалим vlan 2 с порта gi1 0 1 p.47
• Пример настройки 3 разрешение обработки vlan в тегированном p.48
• И не тегированном режиме p.48
• Пропишем vlan 2 на порт gi1 0 2 p.49
• Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1 p.49
• Оборудованию оповещать оборудование работающее в локальной сети о своём существовании и передавать ему свои характеристики а также получать от него аналогичные сведения p.49
• Настройка lldp p.49
• Межсетевые экраны серии esr руководство по эксплуатации 49 p.49
• Алгоритм настройки p.49
• Link layer discovery protocol lldp протокол канального уровня позволяющий сетевому p.49
• Пример настройки p.50
• Настройка lldp med p.51
• Межсетевые экраны серии esr руководство по эксплуатации 51 p.51
• Алгоритм настройки p.51
• Vlan id dscp priority p.51
• Lldp med расширение стандарта lldp которое позволяет передавать сетевые политики p.51
• Указывался vlan id 20 p.52
• Создадим и настроим сетевую политику таким образом чтобы для приложения voice p.52
• Рисунок 25 схема сети p.52
• Решение p.52
• Пример настройки voice vlan p.52
• Предварительно необходимо создать vlan 10 и 20 и настроить интерфейс gi 1 0 1 в режиме p.52
• Необходимо разделить трафик телефонии и данных по разным vlan vid 10 для данных и vid p.52
• Настроим lldp на интерфейсе и установим на него сетевую политику p.52
• Межсетевые экраны серии esr руководство по эксплуатации p.52
• Задача p.52
• Заданным vlan id для приема и отправки voip трафика передача vlan id осуществляется посредством расширения med протокола lldp p.52
• Для телефонии и настроить отправку voice vlan с порта gi 1 0 1 esr при этом на ip телефоне должен поддерживаться и быть включен voice vlan p.52
• Включим lldp и поддержку med в lldp глобально на маршрутизаторе p.52
• Wan lan p.52
• Voice vlan vlan id при получении которого ip телефон переходит в режим trunk с p.52
• Gi 1 0 1 p.52
• Настроить терминацию подсети 192 68 24 в vlan 828 на физическом интерфейсе p.53
• Для терминирования ethernet фреймов конкретного vlan на определенном физическом p.53
• Пример настройки саб интерфейса p.53
• Настройка терминации на саб интерфейсе p.53
• Межсетевые экраны серии esr руководство по эксплуатации 53 p.53
• Интерфейсе необходимо создать саб интерфейс с указанием номера vlan фреймы которого будут терминироваться при создании двух саб интерфейсов с одинаковыми vlan но на разных физических агрегированных интерфейсах коммутация ethernet фреймов между данными саб интерфейсами будет невозможна т к сегменты за пределами саб интерфейсов будут являться отдельными широковещательными доменами для обмена данными между абонентами разных саб интерфейсов даже с одинаковым vlan id будет использоваться маршрутизация т е обмен данными будет происходить на третьем уровне модели osi p.53
• Задача p.53
• Алгоритм настройки p.53
• Gigabitethernet 1 0 1 p.53
• Помимо назначения ip адреса на саб интерфейсе необходимо либо отключить firewall либо настроить соответствующую зону безопасности p.54
• Настройка терминации на q in q интерфейсе p.54
• Настроим ip адрес из необходимой подсети p.54
• Межсетевые экраны серии esr руководство по эксплуатации p.54
• Для расширения количества используемых vlan в сети передачи данных внутренним тегом innertag называется 802 q заголовок ближе к payload так же внутренний тег называют c vlan customer vlan внешний тег outertag p.54
• Алгоритм настройки p.54
• Q in q p.54
• Это 802 q заголовок добавленный к изначальному 802 q пакетом так же называется s vlan service vlan использование двойных меток в ethernet фреймах описывается протоколом 802 ad p.54
• Технология передачи пакетов с двумя 802 q тегами данная технология используется p.54
• Создадим саб интерфейс для vlan 828 p.54
• Решение p.54
• Создадим q in q саб интерфейс для s vlan 741 и настроим ip адрес из необходимой подсети p.55
• Решение p.55
• Работы маршрутизатора при подключении usb модемов возможно использовать usb p.55
• Пример настройки q in q интерфейса p.55
• Помимо назначения ip адреса на q in q саб интерфейсе необходимо либо отключить firewall либо настроить соответствующую зону безопасности p.55
• Настройка usb модемов p.55
• Настроить терминацию подсети 192 68 24 комбинации c vlan 741 s vlan 828 на p.55
• Межсетевые экраны серии esr руководство по эксплуатации 55 p.55
• Концентраторы одновременно в системе может быть сконфигурировано до 10 ти usb модемов p.55
• Использование usb модемов позволяет организовать дополнительный канал связи для p.55
• Задача p.55
• Алгоритм настройки usb модемов p.55
• Физическом интерфейсе gigabitethernet 1 0 1 p.55
• Создадим саб интерфейс для s vlan 828 p.55
• Межсетевые экраны серии esr руководство по эксплуатации p.56
• После подключения модема необходимо дождаться когда система обнаружит устройство p.57
• Определим порт устройства который был назначен на подключённый usb модем p.57
• Настроить подключение к сети интернет используя usb модем p.57
• Межсетевые экраны серии esr руководство по эксплуатации 57 p.57
• Значение mru принимает значения в диапазоне 128 6383 p.57
• Задача p.57
• Задать размер максимального принимаемого пакета не обязательно p.57
• Задать предпочтительный режим работы usb модема в мобильной сети не обязательно p.57
• Зададим apn который требует провайдер или иной необходимый адрес ниже показан p.57
• Допустимый режим работы usb модема 2g 3g 4g по умолчанию разрешены все режимы поддерживаемые модемом p.57
• Создадим профиль настроек для usb модема p.57
• Для примера разберём подключение к сотовому оператору мтс p.57
• Решение p.57
• Аутентификации p.57
• Разрешить использование того или иного режима работы usb модема не обязательно p.57
• Активировать usb модем p.57
• Пример подключения к apn мтс p.57
• Пример настройки p.57
• При необходимости задаём имя пользователя пароль номер дозвона и метод p.57
• Предпочтительный режим работы usb модема 2g 3g 4g p.57
• Перейдём к конфигурированию usb модема и зададим идентификатор соответствующий p.58
• Настройка ааа p.58
• Назначим соответствующий профиль настроек и активируем модем p.58
• Межсетевые экраны серии esr руководство по эксплуатации p.58
• Алгоритм настройки локальной аутентификации p.58
• Authorization авторизация проверка полномочий проверка уровня доступа сопоставление учётной записи в системе и определённых полномочий p.58
• Authentication аутентификация сопоставление персоны запроса существующей учётной записи в системе безопасности осуществляется по логину паролю p.58
• Accounting учёт слежение за подключением пользователя или внесенным им изменениям p.58
• Aaa authentication authorization accounting используется для описания процесса p.58
• Предоставления доступа и контроля над ним p.58
• Порту устройства который был определён в начале p.58
• Межсетевые экраны серии esr руководство по эксплуатации 59 p.59
• Межсетевые экраны серии esr руководство по эксплуатации p.60
• Алгоритм настройки aaa по протоколу radius p.60
• Межсетевые экраны серии esr руководство по эксплуатации 61 p.61
• Межсетевые экраны серии esr руководство по эксплуатации p.62
• Алгоритм настройки aaa по протоколу tacacs p.62
• Межсетевые экраны серии esr руководство по эксплуатации 63 p.63
• Межсетевые экраны серии esr руководство по эксплуатации p.64
• Алгоритм настройки aaa по протоколу ldap p.64
• Межсетевые экраны серии esr руководство по эксплуатации 65 p.65
• Межсетевые экраны серии esr руководство по эксплуатации p.66
• Межсетевые экраны серии esr руководство по эксплуатации 67 p.67
• Задача p.67
• 192 68 6 24 p.67
• Создадим профиль аутентификации p.67
• Решение p.67
• Пример настройки аутентификации по telnet через radius сервер p.67
• Настроить аутентификацию пользователей подключающихся по telnet через radius p.67
• Настроим подключение к radius серверу и укажем ключ password p.67
• Пример настройки привилегий команд p.68
• Настройка привилегий команд p.68
• Алгоритм настройки p.68
• Параметров устройств в локальной сети dhcp сервер маршрутизаторов способен передавать дополнительные опции на сетевые устройства например p.69
• Настройка dhcp сервера p.69
• Межсетевые экраны серии esr руководство по эксплуатации 69 p.69
• Встроенный dhcp сервер маршрутизатора может быть использован для настройки сетевых p.69
• Алгоритм настройки p.69
• Domain name доменное имя которое должен будет использовать клиент при разрешении имен хостов через систему доменных имен dns p.69
• Dns server список адресов серверов доменных имен в данной сети о которых должен знать клиент адреса серверов в списке располагаются в порядке убывания предпочтения p.69
• Default router ip адрес маршрутизатора используемого в качестве шлюза по умолчанию p.69
• Межсетевые экраны серии esr руководство по эксплуатации p.70
• Межсетевые экраны серии esr руководство по эксплуатации 71 p.71
• Создадим зону безопасности trusted и установим принадлежность используемых сетевых p.72
• Сконфигурируем передачу клиентам дополнительных сетевых параметров p.72
• Решение p.72
• Пример настройки dhcp сервера p.72
• Настроить работу dhcp сервера в локальной сети относящейся к зоне безопасности trusted p.72
• Межсетевые экраны серии esr руководство по эксплуатации p.72
• Маршрутизаторе должен быть создан ip интерфейс принадлежащий к той же подсети что и адреса пула p.72
• Маршрут по умолчанию 192 68 p.72
• Интерфейсов к зонам p.72
• Имя домена eltex loc p.72
• Задача p.72
• Задать пул ip адресов из подсети 192 68 24 для раздачи клиентам задать время аренды адресов 1 день настроить передачу клиентам маршрута по умолчанию доменного имени и адресов dns серверов с помощью dhcp опций p.72
• Для того чтобы dhcp сервер мог раздавать ip адреса из конфигурируемого пула на p.72
• Адресов для выдачи в аренду клиентам сервера укажем параметры подсети к которой принадлежит данный пул и время аренды для выдаваемых адресов p.72
• Список dns серверов dns1 172 6 dns2 8 p.72
• Создадим пул адресов с именем simple и добавим в данный пул адресов диапазон ip p.72
• Разрешим работу сервера p.73
• Проходящих через сетевой шлюз p.73
• Просмотреть список арендованных адресов можно с помощью команды p.73
• Просмотреть сконфигурированные пулы адресов можно командами p.73
• Перейти в режим настройки сервиса трансляции адресов получателя p.73
• Межсетевые экраны серии esr руководство по эксплуатации 73 p.73
• Конфигурирование настроек для ipv6 производится по аналогии с ipv4 p.73
• Конфигурирование destination nat p.73
• Имя пула nat адресов задаётся строкой до 31 символа p.73
• Для разрешения прохождения сообщений протокола dhcp к серверу необходимо создать p.73
• Алгоритм настройки p.73
• Адрес в публичной сети на реальный сервер в локальной сети находящийся за сетевым шлюзом эту функцию можно использовать для организации публичного доступа к серверам находящимся в частной сети и не имеющим публичного сетевого адреса p.73
• Dnat используется для перенаправления трафика идущего на некоторый виртуальный p.73
• Шаг описание команда ключи p.73
• Cоздать пул ip адресов и или tcp udp портов с p.73
• Функция destination nat dnat состоит в преобразовании ip адреса назначения у пакетов p.73
• Соответствующие профили портов включающие порт источника 68 и порт назначения 67 используемые протоколом dhcp и создать разрешающее правило в политике безопасности для прохождения пакетов протокола udp p.73
• Межсетевые экраны серии esr руководство по эксплуатации p.74
• Создадим зоны безопасности untrust и trust установим принадлежность p.75
• Сети в зоне trust адрес сервера в локальной сети 10 00 сервер должен быть доступным извне по адресу 1 доступный порт 80 p.75
• Рисунок 26 схема сети p.75
• Решение p.75
• Пример настройки destination nat p.75
• Под правило будут подпадать пакеты не удовлетворяющие заданному критерию p.75
• Организовать доступ из публичной сети относящейся к зоне untrust к серверу локальной p.75
• Межсетевые экраны серии esr руководство по эксплуатации 75 p.75
• Каждая команда match может содержать ключ not при использовании данного ключа p.75
• Используемых сетевых интерфейсов к зонам одновременно назначим ip адреса интерфейсам p.75
• Задача p.75
• Более подробная информация о командах для настройки межсетевого экрана содержится в p.75
• Справочнике команд cli p.75
• Создадим профили ip адресов и портов которые потребуются для настройки правил firewall и p.76
• Создадим набор правил dnat в соответствии с которыми будет производиться трансляция p.76
• Правил dnat p.76
• Назначения в которые будут транслироваться адреса пакетов поступающие на адрес 1 из внешней сети p.76
• Межсетевые экраны серии esr руководство по эксплуатации p.76
• Войдем в режим конфигурирования функции dnat и создадим пул адресов и портов p.76
• Адресов в атрибутах набора укажем что правила применяются только для пакетов пришедших из зоны untrust набор правил включает в себя требования соответствия данных по адресу и порту назначения match destination address match destination port и по протоколу кроме этого в наборе задано действие применяемое к данным удовлетворяющим всем правилам action destination nat набор правил вводится в действие командой enable p.76
• Srv_http профиль портов p.76
• Server_ip профиль адресов локальной сети p.76
• Net_uplink профиль адресов публичной сети p.76
• Компьютерам находящимся в локальной сети при этом не требуется назначения публичных ip адресов этим компьютерам p.77
• Имя пула nat адресов задаётся строкой до 31 символа p.77
• Для пропуска трафика идущего из зоны untrust в trust создадим соответствующую p.77
• Алгоритм настройки p.77
• Cоздать пул ip адресов и или tcp udp портов с определённым именем не обязательно p.77
• Шаг описание команда ключи p.77
• Функция source nat snat используется для подмены адреса источника у пакетов p.77
• Функция snat может быть использована для предоставления доступа в интернет p.77
• Проходящих через сетевой шлюз при прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза дополнительно к адресу источника может применяться замена порта источника при прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта p.77
• Произведенные настройки можно посмотреть с помощью команд p.77
• Перейти в режим настройки сервиса трансляции адресов отправителя p.77
• Пару зон пропускать следует только трафик с адресом назначения соответствующим заданному в профиле server_ip и прошедший преобразование dnat p.77
• Межсетевые экраны серии esr руководство по эксплуатации 77 p.77
• Конфигурирование source nat p.77
• Межсетевые экраны серии esr руководство по эксплуатации p.78
• Настроить доступ пользователей локальной сети 10 24 к публичной сети с p.79
• Межсетевые экраны серии esr руководство по эксплуатации 79 p.79
• Каждая команда match может содержать ключ not при использовании данного ключа p.79
• Использованием функции source nat задать диапазон адресов публичной сети для использования snat 100 00 100 49 p.79
• Задача p.79
• Более подробная информация о командах для настройки межсетевого экрана содержится в p.79
• Справочнике команд cli p.79
• Пример настройки 1 p.79
• Под правило будут подпадать пакеты не удовлетворяющие заданному критерию p.79
• Создать профиль адресов локальной сети local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool p.80
• Рисунок 27 схема сети p.80
• Решение p.80
• Правила разрешающие проходить трафику в этом направлении дополнительно включена проверка адреса источника данных на принадлежность к диапазону адресов local_net для соблюдения ограничения на выход в публичную сеть действие правил разрешается командой enable p.80
• Определения их принадлежности к зонам безопасности создадим доверенную зону trust для локальной сети и зону untrust для публичной сети p.80
• Межсетевые экраны серии esr руководство по эксплуатации p.80
• Конфигурирование начнем с создания зон безопасности настройки сетевых интерфейсов и p.80
• Для пропуска трафика из зоны trust в зону untrust создадим пару зон и добавим p.80
• Для конфигурирования функции snat и настройки правил зон безопасности потребуется p.80
• Должна быть настроена маршрутизация адрес 10 должен быть назначен адресом шлюза p.81
• Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них p.81
• Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в p.81
• Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила p.81
• Рисунок 28 схема сети p.81
• Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool p.81
• Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды p.81
• Пример настройки 2 p.81
• Применяются только для пакетов направляющихся в публичную сеть в зону untrust правила включают проверку адреса источника данных на принадлежность к пулу local_net p.81
• Настроить доступ пользователей локальной сети 21 2 24 к публичной сети с p.81
• На самом маршрутизаторе также должен быть создан маршрут для направления на p.81
• Межсетевые экраны серии esr руководство по эксплуатации 81 p.81
• Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети p.81
• Используемых для сервиса snat p.81
• Использованием функции source nat без использования межсетевого экрана firewall диапазон адресов публичной сети для использования snat 200 0 00 200 0 49 p.81
• Задача p.81
• Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в p.82
• Для конфигурирования функции snat потребуется создать профиль адресов локальной сети p.82
• Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила p.82
• Local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool p.82
• Экрана p.82
• Решение p.82
• Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool p.82
• Применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net p.82
• Межсетевые экраны серии esr руководство по эксплуатации p.82
• Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети используемых для сервиса snat p.82
• Конфигурирование начнем с настройки сетевых интерфейсов и отключения межсетевого p.82
• Должна быть настроена маршрутизация адрес 21 2 должен быть назначен адресом шлюза p.82
• Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них p.82
• Межсетевые экраны серии esr руководство по эксплуатации 83 p.83
• Конфигурирование static nat p.83
• Иными словами при прохождении через маршрутизатор адрес меняется на другой строго заданный адрес один к одному запись о такой трансляции хранится неограниченно долго пока не будет произведена перенастройка nat на маршрутизаторе p.83
• Задача p.83
• Алгоритм настройки p.83
• Адресов 21 2 00 21 2 50 в публичную сеть 200 0 24 диапазон адресов публичной сети для использования трансляции 200 0 00 200 0 50 p.83
• Экрана p.83
• Static nat статический nat задает однозначное соответствие одного адреса другому p.83
• Рисунок 29 схема сети p.83
• Решение p.83
• Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды p.83
• Пример настройки static nat p.83
• Описан в разделе 7 1 настоящего руководства p.83
• Начнем конфигурирование с настройки сетевых интерфейсов и отключения межсетевого p.83
• Настройка static nat осуществляется средствами source nat алгоритм настройки которой p.83
• Настроить двухстороннюю и постоянную трансляцию из локальной сети для диапазона p.83
• На самом маршрутизаторе также должен быть создан маршрут для направления на p.83
• Должна быть настроена маршрутизация адрес 21 2 должен быть назначен адресом шлюза p.84
• Для того чтобы устройства локальной сети могли получить доступ к cети 200 0 24 на них p.84
• Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в p.84
• Для конфигурирования static nat потребуется создать профиль адресов локальной сети p.84
• Диапазон адресов публичной сети для использования static nat задаем в профиле proxy p.84
• Local_net включающий локальную подсеть и профиль адресов публичной сети public_pool p.84
• Укажем что правила применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net и проверку адресов назначения на принадлежность к пулу public_pool p.84
• Пул трансляции proxy необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов proxy p.84
• Посмотреть активные трансляции можно с помощью команды p.84
• Межсетевые экраны серии esr руководство по эксплуатации p.84
• Конфигурируем сервис static nat в режиме конфигурирования snat в атрибутах набора p.84
• Изменения конфигурации вступают в действие по команде применения p.84
• Необходимо будет блокировать p.85
• Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности p.85
• Межсетевые экраны серии esr руководство по эксплуатации 85 p.85
• И добавим правило запрещающее проходить трафику приложений и правило разрешающее проходить остальному трафику действие правил разрешается командой enable p.85
• Задача p.85
• Для установки правил прохождения трафика из зоны wan в зону lan создадим пару зон p.85
• Для настройки правил зон безопасности потребуется создать профиль приложений которые p.85
• Для каждой сети esr создадим свою зону безопасности p.85
• Внимание использование механизма фильтрации приложений многократно снижает производительность маршрутизатора из за необходимости проверки каждого пакета производительность снижается с ростом количества выбранных приложений для фильтрации p.85
• Блокировать доступ к ресурсам youtube bittorrent и facebook p.85
• Рисунок 30 схема сети p.85
• Решение p.85
• Пример настройки фильтрации приложений dpi p.85
• Посмотреть членство портов в зонах можно с помощью команды p.86
• Посмотреть пары зон и их конфигурацию можно с помощью команд p.86
• Посмотреть активные сессии можно с помощью команд p.86
• Название профиля p.86
• Межсетевые экраны серии esr руководство по эксплуатации p.86
• И добавим правило разрешающее прохождение всего трафика действие правил разрешается командой enable p.86
• До 255 символов p.86
• Для установки правил прохождения трафика из зоны lan в зону wan создадим пару зон p.86
• Выбрать действие по умолчанию p.86
• Шаг описание команда ключи p.86
• Алгоритм настройки p.86
• Указать удаленный или локальный список url и тип операции блокировка пропуск трафика перенаправление не обязательно p.86
• Адрес хоста на который будут передаваться запросы p.86
• Указать описание не обязательно p.86
• Адрес веб страницы сайта p.86
• Указать название объекта содержащего набор url p.86
• Cоздать объект с url p.86
• Указать набор p.86
• Создать профиль проксирования p.86
• Проксирование http https трафика p.86
• Межсетевые экраны серии esr руководство по эксплуатации 87 p.87
• Если функция firewall на esr принудительно не отключена необходимо создать разрешающее правило для зоны self p.87
• Пример настройки http прокси p.88
• Организовать фильтрацию по url для ряда адресов посредством прокси p.88
• Межсетевые экраны серии esr руководство по эксплуатации p.88
• И укажем действия для созданного набора url p.88
• Задача p.88
• Если используется firewall создадим для него разрешающие правила p.88
• Включим проксирование на интерфейсе по профилю list p.88
• Создаем разрешающе правило межзонового взаимодействия p.88
• Создаем профиль портов прокси сервера p.88
• Создаем профиль p.88
• Создадим набор url по которым будет осуществляться фильтрация настроим прокси фильтр p.88
• Рисунок 31 схема сети p.88
• Решение p.88
• Настройка логирования и защиты от сетевых атак p.89
• Межсетевые экраны серии esr руководство по эксплуатации 89 p.89
• Алгоритм настройки p.89
• Межсетевые экраны серии esr руководство по эксплуатации p.90
• Данная команда включает защиту от land атак при включенной защите блокируются пакеты с p.91
• Данная команда включает защиту от icmp flood атак при включенной защите ограничивается p.91
• Ip firewall screen dos defense limit session source p.91
• Ip firewall screen dos defense limit session destination p.91
• Ip firewall screen dos defense icmp threshold p.91
• Firewall screen dos defense land p.91
• Описание механизмов защиты от атак p.91
• Одинаковыми source и destination ip адресами и флагом syn в заголовке tcp атака приводит к перегрузке хоста и выводу его из строя из за необходимости обрабатывать каждый tcp syn пакет и попыток хоста установить tcp сессию с самим собой p.91
• Новые сессии и отбрасывает запросы такое может происходить при различных атаках syn flood udp flood icmp flood и т д команда включает ограничение количества одновременных сессий на основании адреса назначения которое смягчает dos атаки p.91
• Новые сессии и отбрасывает запросы такое может происходить при различных dos атаках syn flood udp flood icmp flood и т д команда включает ограничение количества одновременных сессий на основании адреса источника которое смягчает dos атаки p.91
• Межсетевые экраны серии esr руководство по эксплуатации 91 p.91
• Количество icmp пакетов всех типов в секунду для одного адреса назначения атака приводит к перегрузке хоста и выводу его из строя из за необходимости обрабатывать каждый запрос и отвечать на него p.91
• Когда таблица ip сессий хоста переполняется он больше не в состоянии организовывать p.91
• Ip firewall screen spy blocking icmp type source quench p.92
• Ip firewall screen spy blocking icmp type reserved p.92
• Ip firewall screen spy blocking icmp type echo request p.92
• Ip firewall screen spy blocking icmp type destination unreachable p.92
• Ip firewall screen spy blocking fin no ack p.92
• Ip firewall screen dos defense winnuke p.92
• Ip firewall screen dos defense udp threshold p.92
• Ip firewall screen dos defense syn flood p.92
• Ip firewall screen spy blocking icmp type time exceeded p.93
• Ip firewall screen spy blocking tcp no flag p.93
• Ip firewall screen spy blocking tcp all flag p.93
• Ip firewall screen spy blocking syn fin p.93
• Ip firewall screen spy blocking spoofing p.93
• Ip firewall screen spy blocking port scan p.93
• Ip firewall screen spy blocking ip sweep p.93
• Пример настройки логирования и защиты от сетевых атак p.94
• Ip firewall screen suspicious packets unknown protocols p.94
• Ip firewall screen suspicious packets udp fragment p.94
• Ip firewall screen suspicious packets syn fragment p.94
• Ip firewall screen suspicious packets large icmp p.94
• Ip firewall screen suspicious packets ip fragment p.94
• Ip firewall screen suspicious packets icmp fragment p.94
• Межсетевые экраны серии esr руководство по эксплуатации 95 p.95
• Конфигурирование firewall p.95
• Firewall комплекс аппаратных или программных средств осуществляющий контроль и p.95
• Фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами p.95
• Решение p.95
• Предварительно необходимо настроить интерфейсы и firewall настройка firewall или ее p.95
• Посмотреть статистику по зафиксированным сетевым атакам можно командой p.95
• Отсутствие не повлияют на работу защиты от сетевых атак p.95
• Настроим логирование обнаруженных атак p.95
• Настроим защиту от land syn flood icmp flood атак p.95
• Настроим snmp сервер на который будут отправляться трапы p.95
• Межсетевые экраны серии esr руководство по эксплуатации p.96
• Алгоритм настройки p.96
• Межсетевые экраны серии esr руководство по эксплуатации 97 p.97
• Межсетевые экраны серии esr руководство по эксплуатации p.98
• Межсетевые экраны серии esr руководство по эксплуатации 99 p.99
• Межсетевые экраны серии esr руководство по эксплуатации p.100
• Каждая команда match может содержать ключ not при использовании данного ключа p.100
• Более подробная информация о командах для настройки межсетевого экрана содержится в p.100
• Справочнике команд cli p.100
• Под правило будут подпадать пакеты не удовлетворяющие заданному критерию p.100
• Рисунок 33 схема сети p.101
• Решение p.101
• Разрешить обмен сообщениями по протоколу icmp между устройствами пк1 пк2 и p.101
• Разрешающее проходить icmp трафику от пк1 к пк2 действие правил разрешается командой enable p.101
• Пример настройки firewall p.101
• Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности p.101
• Межсетевые экраны серии esr руководство по эксплуатации 101 p.101
• Маршрутизатором esr p.101
• Задача p.101
• Для пропуска трафика из зоны lan в зону wan создадим пару зон и добавим правило p.101
• Для настройки правил зон безопасности потребуется создать профиль адресов сети lan p.101
• Для каждой сети esr создадим свою зону безопасности p.101
• Включающий адреса которым разрешен выход в сеть wan и профиль адресов сети wan p.101
• Для пропуска трафика из зоны wan в зону lan создадим пару зон и добавим правило p.102
• Создадим пару зон для трафика идущего из зоны lan в зону self добавим правило p.102
• Разрешающее проходить icmp трафику от пк2 к пк1 действие правил разрешается командой enable p.102
• Разрешающее проходить icmp трафику между пк1 и esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны lan p.102
• Посмотреть членство портов в зонах можно с помощью команды p.102
• Получателя трафика выступает сам маршрутизатор то есть трафик не является транзитным то в качестве параметра указывается зона self создадим пару зон для трафика идущего из зоны wan в зону self добавим правило разрешающее проходить icmp трафику между пк2 и маршрутизатором esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны wan p.102
• На маршрутизаторе всегда существует зона безопасности с именем self если в качестве p.102
• Межсетевые экраны серии esr руководство по эксплуатации p.102
• Прохождение трафика через интерфейс p.103
• Посмотреть пары зон и их конфигурацию можно с помощью команд p.103
• Посмотреть активные сессии можно с помощью команд p.103
• Настройка списков доступа acl p.103
• Межсетевые экраны серии esr руководство по эксплуатации 103 p.103
• Алгоритм настройки p.103
• Access control list или acl список контроля доступа содержит правила определяющие p.103
• Межсетевые экраны серии esr руководство по эксплуатации p.104
• Адрес назначения может быть задан в следующем формате p.105
• Указать список контроля доступа к конфигурируемому интерфейсу для фильтрации входящего трафика p.105
• Также списки доступа могут использоваться для организации политик qos p.105
• Статическая маршрутизация вид маршрутизации при котором маршруты указываются в p.105
• Решение p.105
• Разрешить прохождения трафика только из подсети 192 68 0 24 p.105
• Процесс настройки p.105
• Просмотреть детальную информацию о списке доступа возможно через команду p.105
• Пример настройки списка доступа p.105
• Применим список доступа на интерфейс gi1 0 19 для входящего трафика p.105
• Настроим список доступа для фильтрации по подсетям p.105
• Межсетевые экраны серии esr руководство по эксплуатации 105 p.105
• Конфигурирование статических маршрутов p.105
• Имя экземпляра vrf задается строкой до 31 символа p.105
• Имя списка контроля доступа задаётся строкой до 31 символа p.105
• Задача p.105
• Явном виде при конфигурации маршрутизатора без использования протоколов динамической маршрутизации p.105
• Добавить статический маршрут возможно командой в режиме глобальной конфигурации p.105
• Рисунок 34 схема сети p.107
• Решение p.107
• Пример настройки статических маршрутов p.107
• Настроить доступ к сети internet для пользователей локальных сетей 192 68 24 и p.107
• Межсетевые экраны серии esr руководство по эксплуатации 107 p.107
• Интерфейс r1 будет подключен к устройству r2 для последующей маршрутизации трафика p.107
• Задача p.107
• Зададим имя устройства для маршрутизатора r1 p.107
• Для интерфейса gi1 0 3 укажем адрес 128 07 30 и зону wan через данный интерфейс p.107
• Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный p.107
• Для интерфейса gi1 0 1 укажем адрес 192 68 24 и зону lan через данный интерфейс p.107
• R1 будет подключен к сети internet p.107
• R1 будет подключен к сети 192 68 24 p.107
• 8 используя статическую маршрутизацию на устройстве r1 создать шлюз для доступа к сети internet трафик внутри локальной сети должен маршрутизироваться внутри зоны lan трафик из сети internet должен относиться к зоне wan p.107
• Установления прямой связи между двумя узлами сети может обеспечить аутентификацию соединения шифрование и сжатие данных p.108
• Ppp point to point protocol двухточечный протокол канального уровня используется для p.108
• Создадим маршрут по умолчанию указав в качестве nexthop ip адрес интерфейса gi1 0 2 p.108
• Создадим маршрут для взаимодействия с сетью internet используя в качестве nexthop шлюз p.108
• Создадим маршрут для взаимодействия с сетью 10 8 используя в качестве шлюза p.108
• Проверить таблицу маршрутов можно командой p.108
• Провайдера 128 07 p.108
• Настройка ppp через e1 p.108
• Межсетевые экраны серии esr руководство по эксплуатации p.108
• Маршрутизатора r1 192 68 00 p.108
• Интерфейс r2 будет подключен к устройству r1 для последующей маршрутизации трафика p.108
• Зададим имя устройства для маршрутизатора r2 p.108
• Для установления ppp соединения через поток e1 необходимо наличие медиаконвертера p.108
• Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный p.108
• Для интерфейса gi1 0 1 укажем адрес 10 8 и зону lan через данный интерфейс r2 p.108
• Будет подключен к сети 10 8 p.108
• Устройство r2 192 68 00 p.108
• Topgate sfp в маршрутизаторе esr p.108
• Процесс настройки p.109
• Межсетевые экраны серии esr руководство по эксплуатации 109 p.109
• Межсетевые экраны серии esr руководство по эксплуатации p.110
• Работы е1 p.111
• Пример конфигурации p.111
• Переключаем интерфейс в котором установлен topgate sfp gigabitethernet 1 0 3 в режим p.111
• Настройка mlppp p.111
• Настроить ppp соединение со встречной стороной с ip адресом 10 7 24 через topgate p.111
• Методы для распространения трафика через несколько физических каналов имея одно логическое соединение этот вариант позволяет расширить пропускную способность и обеспечивает балансировку нагрузки p.111
• Межсетевые экраны серии esr руководство по эксплуатации 111 p.111
• Изменения конфигурации вступят в действие по следующим командам p.111
• Задача p.111
• Включим interface e1 1 3 1 p.111
• Sfp используя 1 8 канальные интервалы для передачи данных источник синхросигнала встречная сторона p.111
• Multilink ppp mlppp предоставляет собой агрегированный канал включающий в себя p.111
• Рисунок 36 схема сети p.111
• Рисунок 35 схема сети p.111
• Решение p.111
• Межсетевые экраны серии esr руководство по эксплуатации p.112
• Алгоритм настройки p.112
• Межсетевые экраны серии esr руководство по эксплуатации 113 p.113
• Настроить mlppp соединение с встречной стороной с ip адресом 10 7 24 через p.114
• Настроим mlppp 3 p.114
• Межсетевые экраны серии esr руководство по эксплуатации p.114
• Использования протоколов более высокого уровня таких как ip пакеты передаются на основе ethernet адресов а не ip адресов поскольку передача выполняется на канальном уровне уровень 2 модели osi трафик протоколов более высокого уровня прозрачно проходит через мост p.114
• Идентификационный номер моста принимает значения в p.114
• Задача p.114
• Добавить сетевой мост bridge в систему и p.114
• Включим interface e1 1 0 1 interface e1 1 0 2 в группу агрегации mlppp 3 p.114
• Алгоритм настройки p.114
• Шаг описание команда ключи p.114
• Bridge мост это способ соединения двух сегментов ethernet на канальном уровне без p.114
• Устройство mxe p.114
• Рисунок 37 схема сети p.114
• Решение p.114
• Пример настройки p.114
• Переключаем интерфейс gigabitethernet 1 0 10 в режим работы е1 p.114
• Настройка bridge p.114
• Межсетевые экраны серии esr руководство по эксплуатации 115 p.115
• Создадим vlan 333 p.116
• Рисунок 38 схема сети p.116
• Решение p.116
• Пример настройки bridge для vlan и l2tpv3 туннеля p.116
• Объединить в единый l2 домен интерфейсы маршрутизатора относящиеся к локальной сети p.116
• Межсетевые экраны серии esr руководство по эксплуатации p.116
• И l2tpv3 туннель проходящий по публичной сети для объединения использовать vlan 333 p.116
• Задача p.116
• Создадим зону безопасности trusted p.116
• Установим принадлежность l2tpv3 туннеля к мосту который связан с локальной сетью p.117
• Создадим зоны безопасности lan1 и lan2 p.117
• Создадим vlan 50 60 p.117
• Создадим bridge 333 привяжем к нему vlan 333 и укажем членство в зоне trusted p.117
• Рисунок 39 схема сети p.117
• Решение p.117
• Пример настройки bridge для vlan p.117
• Настройка l2tpv3 туннеля рассматривается в разделе 7 7 настройка l2tpv3 туннелей в общем случае идентификаторы моста и туннеля не должны совпадать с vid как в данном примере p.117
• Настроить маршрутизацию между vlan 50 10 0 24 и vlan 60 10 0 24 vlan 50 p.117
• Межсетевые экраны серии esr руководство по эксплуатации 117 p.117
• Задача p.117
• Должен относиться к зоне lan1 vlan 60 к зоне lan2 разрешить свободную передачу трафика между зонами p.117
• Добавим интерфейсы gi1 0 11 gi1 0 12 в vlan 333 p.117
• Межсетевые экраны серии esr руководство по эксплуатации p.118
• Задача p.118
• Создадим правила в firewall разрешающие свободное прохождение трафика между зонами p.118
• Создадим bridge 60 привяжем vlan 60 укажем ip адрес 10 0 24 и членство в зоне p.118
• Создадим bridge 50 привяжем vlan 50 укажем ip адрес 10 0 24 и членство в зоне p.118
• Пример настройки добавления удаления второго vlan тега p.118
• Посмотреть членство интерфейсов в мосте можно командой p.118
• Необходимо перенаправить их в интерфейс gigabitethernet 1 0 2 добавив второй vlan id 828 при поступлении на интерфейс gigabitethernet 1 0 2 ethernet кадров с vlan id 828 данный тег должен быть удален и отправлен в интерфейс gigabitethernet 1 0 1 p.118
• Назначим интерфейсу gi1 0 14 vlan 60 p.118
• Назначим интерфейсам gi1 0 11 gi1 0 12 vlan 50 p.118
• На интерфейс gigabitethernet 1 0 1 поступают ethernet кадры с различными vlan тегами p.118
• Межсетевые экраны серии esr руководство по эксплуатации 119 p.119
• Количество транзитных участков в качестве метрики маршрута максимальное количество транзитных участков hop разрешенное в rip равно 15 каждый rip маршрутизатор по умолчанию вещает в сеть свою полную таблицу маршрутизации один раз в 30 секунд rip работает на 3 м уровне стека tcp ip используя udp порт 520 p.119
• Количество маршрутов протокола rip в маршрутной таблице принимает значения в диапазоне 1 0000 значение по умолчанию 10000 p.119
• Включим саб интерфейс gigabitethernet 1 0 2 28 в bridge 1 p.119
• Включим интерфейс gigabitethernet 1 0 1 в bridge 1 p.119
• Алгоритм настройки p.119
• Rip дистанционно векторный протокол динамической маршрутизации который использует p.119
• Шаг описание команда ключи p.119
• Создадим на маршрутизаторе bridge без vlan и без ip адреса p.119
• Решение p.119
• Приоритетность протокола принимает значения в диапазоне 1 55 значение по умолчанию rip 100 p.119
• При добавлении второго vlan тега в ethernet кадр его размер увеличивается на 4 байта на интерфейсе маршрутизатора gigabitethernet 1 0 2 и на всем оборудовании передающем q in q кадры необходимо увеличить mtu на 4 байта или более p.119
• Настройка rip p.119
• Настроить приоритетность протокола rip маршрутизации для основной таблицы маршрутизации не обязательно p.119
• Настроить емкость таблиц маршрутизации протокола rip не обязательно p.119
• Межсетевые экраны серии esr руководство по эксплуатации p.120
• Межсетевые экраны серии esr руководство по эксплуатации 121 p.121
• Соседними маршрутизаторами маршрутизатор должен анонсировать статические маршруты и подсети 115 24 14 24 10 24 анонсирование маршрутов должно происходить каждые 25 секунд p.122
• Рисунок 40 схема сети p.122
• Пример настройки rip p.122
• Настроить на маршрутизаторе протокол rip для обмена маршрутной информацией с p.122
• Межсетевые экраны серии esr руководство по эксплуатации p.122
• Задача p.122
• Приоритетность протокола принимает значения в диапазоне 1 55 значение по умолчанию 150 p.123
• Приведенной на рисунке 40 p.123
• Предварительно нужно настроить ip адреса на интерфейсах согласно схеме сети p.123
• После установки всех требуемых настроек включаем протокол p.123
• Помимо настройки протокола rip необходимо в firewall разрешить udp порт 520 p.123
• Перейдём в режим конфигурирования протокола rip p.123
• Настройка ospf p.123
• Настроить приоритетность протокола ospf маршрутизации для основной таблицы маршрутизации не обязательно p.123
• Настроить емкость таблиц маршрутизации p.123
• Настроим таймер отвечающий за отправку маршрутной информации p.123
• Межсетевые экраны серии esr руководство по эксплуатации 123 p.123
• Количество маршрутов протокола ospf в маршрутной таблице p.123
• Для того чтобы просмотреть таблицу маршрутов rip воспользуемся командой p.123
• Шаг описание команда ключи p.123
• Для анонсирования протоколом статических маршрутов выполним команду p.123
• Укажем подсети которые будут анонсироваться протоколом 115 24 14 24 и p.123
• Алгоритм настройки p.123
• Состояния канала link state technology и использующий для нахождения кратчайшего пути алгоритм дейкстры p.123
• Решение p.123
• Ospf протокол динамической маршрутизации основанный на технологии отслеживания p.123
• Межсетевые экраны серии esr руководство по эксплуатации p.124
• Межсетевые экраны серии esr руководство по эксплуатации 125 p.125
• Межсетевые экраны серии esr руководство по эксплуатации p.126
• Межсетевые экраны серии esr руководство по эксплуатации 127 p.127
• Межсетевые экраны серии esr руководство по эксплуатации p.128
• Межсетевые экраны серии esr руководство по эксплуатации 129 p.129
• Предварительно нужно настроить ip адреса на интерфейсах согласно схеме приведенной на p.130
• Настроить протокол ospf на маршрутизаторе для обмена маршрутной информацией с p.130
• Межсетевые экраны серии esr руководство по эксплуатации p.130
• Задача p.130
• Включим анонсирование маршрутной информации из протокола rip p.130
• Включим ospf процесс p.130
• Соседства с другими маршрутизаторами привяжем их к ospf процессу и области далее включим на интерфейсе маршрутизацию по протоколу ospf p.130
• Соседними маршрутизаторами маршрутизатор должен находится в области с идентификатором 1 и анонсировать маршруты полученные по протоколу rip p.130
• Соседние маршрутизаторы подключены к интерфейсам gi1 0 5 и gi1 0 15 для установления p.130
• Создадим и включим требуемую область p.130
• Создадим ospf процесс с идентификатором 10 и перейдём в режим конфигурирования p.130
• Рисунок 41 схема сети p.130
• Рисунке 41 p.130
• Решение p.130
• Протокола ospf p.130
• Пример настройки ospf p.130
• Межсетевые экраны серии esr руководство по эксплуатации 131 p.131
• Конфигурирования области выполним команду p.131
• Изменить тип области 1 область должна быть тупиковой тупиковый маршрутизатор p.131
• Изменим тип области на тупиковый на каждом маршрутизаторе из области 1 в режиме p.131
• Задача p.131
• Должен анонсировать маршруты полученные по протоколу rip p.131
• Рисунок 42 схема сети p.131
• Решение p.131
• Протокола rip p.131
• Пример настройки virtual link p.131
• Пример настройки ospf stub area p.131
• Приведенной на рисунке 42 p.131
• Предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме p.131
• Объединить две магистральные области в одну с помощью virtual link p.131
• На тупиковом маршрутизаторе r3 включим анонсирование маршрутной информации из p.131
• Протокол bgp предназначен для обмена информацией о достижимости подсетей между p.133
• Настройка bgp p.133
• Межсетевые экраны серии esr руководство по эксплуатации 133 p.133
• Для просмотра соседей можно воспользоваться следующей командой p.133
• В firewall необходимо разрешить протокол ospf 89 p.133
• Алгоритм настройки p.133
• Автономными системами далее ас то есть группами маршрутизаторов под единым техническим управлением использующими протокол внутридоменной маршрутизации для определения маршрутов внутри себя и протокол междоменной маршрутизации для определения маршрутов доставки пакетов в другие ас передаваемая информация включает в себя список ас к которым имеется доступ через данную систему выбор наилучших маршрутов осуществляется исходя из правил принятых в сети p.133
• Таблицу маршрутов протокола ospf можно просмотреть командой p.133
• Межсетевые экраны серии esr руководство по эксплуатации p.134
• Межсетевые экраны серии esr руководство по эксплуатации 135 p.135
• Межсетевые экраны серии esr руководство по эксплуатации p.136
• Межсетевые экраны серии esr руководство по эксплуатации 137 p.137
• Часто бывает особенно при конфигурировании ibgp что в одном bgp address family p.138
• Необходимо настроить несколько bgp neighbor с одинаковыми параметрами во избежание избыточности конфигурации рекомендуется использовать bgp peer group в которой возможно описать общие параметры а в конфигурации bgp neighbor просто указать причастность к bgp peer group p.138
• Межсетевые экраны серии esr руководство по эксплуатации p.138
• Пример настройки p.139
• Первое соседство подсеть 219 30 собственный ip адрес 219 ip адрес соседа 219 as 2500 p.139
• Настроить bgp протокол на маршрутизаторе со следующими параметрами p.139
• Межсетевые экраны серии esr руководство по эксплуатации 139 p.139
• Задача p.139
• Входим в режим конфигурирования маршрутной информации для ipv4 p.139
• Второе соседство подсеть 185 30 собственный ip адрес 185 ip адрес соседа 185 as 20 p.139
• Анонсирование подсетей подключенных напрямую p.139
• Создадим bgp процесс для as 2500 и войдем в режим конфигурирования параметров p.139
• Собственные подсети 80 6 24 80 6 6 24 p.139
• Собственная as 2500 p.139
• Сконфигурируем необходимые сетевые параметры p.139
• Рисунок 44 схема сети p.139
• Решение p.139
• Процесса p.139
• Межсетевые экраны серии esr руководство по эксплуатации p.140
• Информацию о bgp пирах можно посмотреть командой p.140
• Интервал по истечении которого происходит отправка bfd пакета принимает значение в миллисекундах в диапазоне 200 5535 для esr 1000 и 300 5535 для esr 100 200 p.140
• Задать интервал по истечении которого происходит отправка bfd сообщения соседу глобально не обязательно p.140
• Включим работу протокола p.140
• Алгоритм настройки p.140
• Активировать bfd для протокола ospf на интерфейсе p.140
• Активировать bfd для протокола bgp neighbor на интерфейсе p.140
• Bfd bidirectional forwarding detection это протокол работающий поверх других p.140
• Шаг описание команда ключи p.140
• Таблицу маршрутов протокола bgp можно просмотреть с помощью команды p.140
• Создадим соседства с 185 219 с указанием автономных систем и включим их p.140
• Протоколов позволяющий сократить время обнаружения проблемы до 50 мс bfd является двусторонним протоколом т е требует настройки обоих маршрутизаторов оба маршрутизатора генерируют bfd пакеты и отвечают друг другу p.140
• По умолчанию 1 секунда p.140
• Объявим подсети подключённые напрямую p.140
• Необходимо в firewall разрешить tcp порт 179 p.140
• Настройка bfd p.140
• Межсетевые экраны серии esr руководство по эксплуатации 141 p.141
• Межсетевые экраны серии esr руководство по эксплуатации p.142
• Необходимо настроить ebgp между esr r1 и r2 и включить bfd p.143
• Настроим ebgp с bfd p.143
• Межсетевые экраны серии esr руководство по эксплуатации 143 p.143
• Конфигурирование r2 p.143
• Конфигурирование r1 p.143
• Задача p.143
• Рисунок 45 схема сети p.143
• Решение p.143
• Пример настройки bfd c bgp p.143
• Предварительно необходимо настроить интерфейс gi1 0 1 p.143
• Также route map может назначать маршруты на основе списков доступа acl p.144
• Настройка политики маршрутизации pbr p.144
• Настройка route map для bgp p.144
• Межсетевые экраны серии esr руководство по эксплуатации p.144
• Информацию при приеме этой информации от соседа либо при ее передаче соседу обработка может включать в себя фильтрацию на основании различных признаков маршрута а также установку атрибутов med as path community localpreference и другое на соответствующие маршруты p.144
• Алгоритм настройки p.144
• Route map могут служить фильтрами позволяющими обрабатывать маршрутную p.144
• Межсетевые экраны серии esr руководство по эксплуатации 145 p.145
• Межсетевые экраны серии esr руководство по эксплуатации p.146
• Назначить сommunity для маршрутной информации приходящей из as 20 p.147
• Межсетевые экраны серии esr руководство по эксплуатации 147 p.147
• Задача p.147
• Установить соседство с as20 p.147
• Создаем правило 1 p.147
• Создаем политику p.147
• Рисунок 46 схема сети p.147
• Решение p.147
• Пример настройки 1 p.147
• Предварительно нужно выполнить следующие действия p.147
• Настроить bgp c as 2500 на маршрутизаторе esr p.147
• Предварительно p.148
• Настроить bgp c as 2500 на esr p.148
• Межсетевые экраны серии esr руководство по эксплуатации p.148
• Задача p.148
• Если community содержит 2500 25 то назначаем ему med 240 и origin egp p.148
• Если as path содержит as 20 то назначаем ему сommunity 20 2020 и выходим p.148
• Для всей передаваемой маршрутной информации с community 2500 25 назначить med p.148
• В bgp процессе as 2500 заходим в настройки параметров соседа p.148
• Создаем правило p.148
• Создаем политику p.148
• Решение p.148
• Равный 240 и указать источник маршрутной информации egp p.148
• Пример настройки 2 p.148
• Привязываем политику к принимаемой маршрутной информации p.148
• Привязываем политику к анонсируемой маршрутной информации p.148
• Рисунок 47 схема сети p.149
• Распределить трафик между интернет провайдерами на основе подсетей пользователей p.149
• Пример настройки p.149
• Предварительно нужно назначить ip адреса на интерфейсы p.149
• Межсетевые экраны серии esr руководство по эксплуатации 149 p.149
• Задача p.149
• Алгоритм настройки p.149
• Адресов 10 0 24 через isp2 80 6 3 требуется контролировать доступность адресов p.149
• Route map на основе списков доступа policy based routing p.149
• Требуется направлять трафик с адресов 10 0 24 через isp1 184 5 50 а трафик с p.149
• Указываем список доступа acl в качестве фильтра p.150
• Указываем next hop для sub20 p.150
• Создаем правило 2 p.150
• Создаем правило 1 p.150
• Создаем политику p.150
• Создаем acl p.150
• Решение p.150
• Провайдеров работоспособность подключений к isp и при неработоспособности одного из подключений переводить с него на рабочее подключение весь трафик p.150
• Правилом 1 будет обеспечена маршрутизация трафика из сети 10 0 24 на адрес p.150
• Межсетевые экраны серии esr руководство по эксплуатации p.150
• 5 50 а при его недоступности на адрес 80 6 3 приоритетность шлюзов задается значениями метрик 10 и 30 p.150
• Заходим на интерфейс te 1 0 1 p.151
• Алгоритм настройки p.151
• Gre англ generic routing encapsulation общая инкапсуляция маршрутов протокол p.151
• 3 а при его недоступности на адрес 184 5 50 приоритетность задается значениями метрик p.151
• Указываем nexthop для sub30 и выходим p.151
• Туннелирования сетевых пакетов его основное назначение инкапсуляция пакетов сетевого уровня сетевой модели osi в ip пакеты gre может использоваться для организации vpn на 3 м уровне модели osi в маршрутизаторе esr реализованы статические неуправляемые gre туннели то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах параметры туннеля для каждой из сторон должны быть взаимосогласованными или переносимые данные не будут декапсулироваться партнером p.151
• Привязываем политику на соответствующий интерфейс p.151
• Правилом 2 будет обеспечена маршрутизация трафика из сети 10 0 24 на адрес p.151
• Настройка gre туннелей p.151
• Межсетевые экраны серии esr руководство по эксплуатации 151 p.151
• Межсетевые экраны серии esr руководство по эксплуатации p.152
• Трафика протокол gre p.153
• Пример настройки ip gre туннеля p.153
• Организовать l3 vpn между офисами компании через ip сеть используя для туннелирования p.153
• Межсетевые экраны серии esr руководство по эксплуатации 153 p.153
• Задача p.153
• В качестве удаленного шлюза для туннеля используется ip адрес 114 0 p.153
• В качестве локального шлюза для туннеля используется ip адрес 115 p.153
• Ip адрес туннеля на локальной стороне 25 24 p.153
• Указать описание p.155
• L2tpv3 layer 2 tunneling protocol version 3 протокол для туннелирования пакетов 2 го p.155
• Указать значение dscp mtu ttl p.155
• Счетчики входящих и отправленных пакетов можно посмотреть командой p.155
• Состояние туннеля можно посмотреть командой p.155
• Создать l2tpv3 туннель и перейти в режим его конфигурирования p.155
• Сконфигурировать l3 интерфейс от которого будет строиться l2tpv3 туннель p.155
• При создании туннеля необходимо в firewall разрешить протокол gre 47 p.155
• Описание туннеля p.155
• Настройка туннеля ipv4 over ipv4 производится аналогичным образом p.155
• Настройка l2tpv3 туннелей p.155
• Межсетевые экраны серии esr руководство по эксплуатации 155 p.155
• Конфигурацию туннеля можно посмотреть командой p.155
• Идентификатор туннеля в диапазоне для esr 100 200 1 50 для esr 1000 1 00 p.155
• Включить проверку наличия и корректности контрольной суммы gre для входящего трафика p.155
• Шаг описание команда ключи p.155
• Уровня модели osi между двумя ip узлами в качестве инкапсулирующего протокола используется ip или udp l2tpv3 может использоваться как альтернатива mpls p2p l2vpn vll для организации vpn уровня l2 в маршрутизаторе esr реализованы статические неуправляемые l2tpv3 туннели то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах параметры туннеля на каждой из сторон должны быть взаимосогласованными или переносимые данные не будут декапсулироваться партнером p.155
• Включить и настроить механизм keepalive p.155
• Указать уникальный идентификатор p.155
• Алгоритм настройки p.155
• Межсетевые экраны серии esr руководство по эксплуатации p.156
• Пример настройки l2tpv3 туннеля p.157
• Организовать l2 vpn между офисами компании через ip сеть используя для туннелирования p.157
• Межсетевые экраны серии esr руководство по эксплуатации 157 p.157
• Интервал в секундах принимает значения 5 50 значение по умолчанию 5 p.157
• Идентификатор туннеля на локальной стороне равен 2 на стороне партнера 3 p.157
• Идентификатор сессии внутри туннеля равен 100 на стороне партнера 200 p.157
• Задача p.157
• Задать интервал времени за который усредняется статистика о нагрузке на туннеле не обязательно p.157
• В туннель направим трафик из bridge с идентификатором 333 p.157
• Укажем тип инкапсулирующего протокола и номера udp портов p.157
• В качестве удаленного шлюза для туннеля используется ip адрес 183 0 p.157
• Укажем локальный и удаленный шлюз ip адреса интерфейсов граничащих с wan p.157
• В качестве локального шлюза для туннеля используется ip адрес 21 p.157
• Укажем идентификаторы сессии внутри туннеля для локальной и удаленной сторон p.157
• В качестве инкапсулирующего протокола используется udp номер порта на локальной стороне и номер порта на стороне партнера 519 p.157
• Трафика протокол l2tpv3 p.157
• Создадим туннель l2tpv3 333 p.157
• Рисунок 49 схема сети p.157
• Решение p.157
• Настройка ipsec vpn p.158
• Настройка route based ipsec vpn p.159
• Межсетевые экраны серии esr руководство по эксплуатации 159 p.159
• Алгоритм настройки p.159
• Межсетевые экраны серии esr руководство по эксплуатации p.160
• Межсетевые экраны серии esr руководство по эксплуатации 161 p.161
• Межсетевые экраны серии esr руководство по эксплуатации p.162
• R1 ip адрес 120 1 p.163
• Isakmp p.163
• Создадим туннель vti трафик будет перенаправляться через vti в ipsec туннель в качестве p.163
• Рисунок 50 схема сети p.163
• Решение p.163
• Пример настройки p.163
• Настроить ipsec туннель между r1 и r2 p.163
• Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности p.163
• Межсетевые экраны серии esr руководство по эксплуатации 163 p.163
• Локального и удаленного шлюза указываются ip адреса интерфейсов граничащих с wan p.163
• Конфигурирование r1 p.163
• Задача p.163
• Для настройки правил зон безопасности потребуется создать профиль порта протокола p.163
• Группа диффи хэллмана 2 p.163
• Алгоритм шифрования aes 128 bit p.163
• Алгоритм аутентификации md5 p.163
• R2 ip адрес 180 00 p.163
• Которым могут согласовываться узлы и ключ аутентификации p.164
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля p.164
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения p.164
• Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия p.164
• Создадим статический маршрут до удаленной lan сети для каждой подсети которая p.164
• Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм p.164
• Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм p.164
• Создадим политику протокола ike в политике указывается список профилей протокола ike по p.164
• Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля p.164
• Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим p.164
• Протокола и режим перенаправления трафика в туннель p.164
• По которым могут согласовываться узлы p.164
• Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable p.164
• Находится за ipsec туннелем нужно указать маршрут через vti туннель p.164
• Межсетевые экраны серии esr руководство по эксплуатации p.164
• Для настройки правил зон безопасности потребуется создать профиль порта протокола p.165
• Isakmp p.165
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения p.165
• Создадим туннель vti трафик будет перенаправляться через vti в ipsec туннель в качестве p.165
• Создадим статический маршрут до удаленной lan сети для каждой подсети которая p.165
• Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм p.165
• Создадим политику протокола ike в политике указывается список профилей протокола ike по p.165
• Находится за ipsec туннелем нужно указать маршрут через vti туннель p.165
• Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности p.165
• Межсетевые экраны серии esr руководство по эксплуатации 165 p.165
• Локального и удаленного шлюза указываются ip адреса интерфейсов граничащих с wan p.165
• Которым могут согласовываться узлы и ключ аутентификации p.165
• Конфигурирование r2 p.165
• По которым могут согласовываться узлы p.166
• Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable p.166
• Межсетевые экраны серии esr руководство по эксплуатации p.166
• Конфигурацию туннеля можно посмотреть командой p.166
• В firewall необходимо разрешить протокол esp и isakmp udp порт 500 p.166
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля p.166
• Состояние туннеля можно посмотреть командой p.166
• Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия p.166
• Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм p.166
• Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля p.166
• Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим p.166
• Протокола и режим перенаправления трафика в туннель p.166
• Настройка policy based ipsec vpn p.167
• Межсетевые экраны серии esr руководство по эксплуатации 167 p.167
• Алгоритм настройки p.167
• Межсетевые экраны серии esr руководство по эксплуатации p.168
• Межсетевые экраны серии esr руководство по эксплуатации 169 p.169
• Межсетевые экраны серии esr руководство по эксплуатации p.170
• Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable p.172
• Межсетевые экраны серии esr руководство по эксплуатации p.172
• Которым могут согласовываться узлы и ключ аутентификации p.172
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля p.172
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения p.172
• Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия p.172
• Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм p.172
• Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм p.172
• Создадим политику протокола ike в политике указывается список профилей протокола ike по p.172
• Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля p.172
• Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим p.172
• Протокола и режим перенаправления трафика в туннель p.172
• По которым могут согласовываться узлы p.172
• Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности p.173
• Межсетевые экраны серии esr руководство по эксплуатации 173 p.173
• Которым могут согласовываться узлы и ключ аутентификации p.173
• Конфигурирование r2 p.173
• Для настройки правил зон безопасности потребуется создать профиль порта протокола p.173
• Isakmp p.173
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля p.173
• Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения p.173
• Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия p.173
• Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм p.173
• Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм p.173
• Создадим политику протокола ike в политике указывается список профилей протокола ike по p.173
• Протокола и режим перенаправления трафика в туннель p.173
• Использоваться для организации взаимодействия между двумя или более vrf с применением ограничений firewall p.174
• Имя зоны безопасности задаётся строкой до 12 символов p.174
• Имя vrf задается строкой до 31 символа p.174
• Шаг описание команда ключи p.174
• Идентификатор туннеля в диапазоне 1 28 p.174
• Указать описание конфигурируемых туннелей не обязательно p.174
• Включить каждый lt туннель в соответствующий vfr p.174
• Состояние туннеля можно посмотреть командой p.174
• Включить каждый lt туннель в зону безопасности и настроить правила взаимодействия между зонами или отключить firewall для lt туннеля p.174
• Создать lt туннели для каждого из существующих vrf p.174
• В firewall необходимо разрешить протокол esp и isakmp udp порт 500 p.174
• Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля p.174
• Алгоритм настройки p.174
• Lt англ logical tunnel логический туннель тип туннелей предназначенный для передачи p.174
• Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим p.174
• По которым могут согласовываться узлы p.174
• Описание туннеля задаётся строкой до 255 символов p.174
• Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable p.174
• Настройка lt туннелей p.174
• Межсетевые экраны серии esr руководство по эксплуатации p.174
• Маршрутной информации и трафика между различными виртуальными маршрутизаторами vrf lite сконфигурированными на одном аппаратном маршрутизаторе lt туннель может p.174
• Конфигурацию туннеля можно посмотреть командой p.174
• Межсетевые экраны серии esr руководство по эксплуатации 175 p.175
• Исходная конфигурация p.175
• Задача организовать взаимодействие между хостами терминированными в двух vrf vrf_1 и p.175
• Пример настройки p.175
• Укажем для каждого lt туннеля lt туннель из vrf с которым необходимо установить связь и p.176
• Создать профиль pptp сервера p.176
• Создадим lt туннели для каждого vrf с указанием ip адресов из одной подсети p.176
• Решение p.176
• Протоколу p.176
• Позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в обычной незащищенной сети pptp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет pptp может также использоваться для организации туннеля между двумя локальными сетями рртр использует дополнительное tcp соединение для обслуживания туннеля p.176
• Настройка удаленного доступа к корпоративной сети по pptp p.176
• Межсетевые экраны серии esr руководство по эксплуатации p.176
• Имя профиля pptp сервера задаётся строкой до 31 символа p.176
• Если в vrf не работает ни один из протоколов динамической маршрутизации то необходимо указать статические маршруты для каждого vrf p.176
• Выбрать режим аутентификации pptp клиентов p.176
• Алгоритм настройки p.176
• Активируем их p.176
• Pptp англ point to point tunneling protocol туннельный протокол типа точка точка p.176
• Local аутентификация пользователя по локальной базе radius аутентификация пользователя по базе radius сервера p.176
• Шаг описание команда ключи p.176
• Межсетевые экраны серии esr руководство по эксплуатации 177 p.177
• Создадим профиль адресов содержащий адрес локального шлюза p.178
• Создадим профиль адресов содержащий адрес который должен слушать сервер p.178
• Рисунок 52 схема сети p.178
• Решение p.178
• Пул ip адресов для выдачи 10 0 0 10 0 0 5 p.178
• Пример настройки pptp сервера p.178
• Пароль пользователя задается строкой до 32 символов p.178
• Настроить pptp сервер на маршрутизаторе p.178
• Межсетевые экраны серии esr руководство по эксплуатации p.178
• Имя профиля ip адресов который содержит адреса необходимых wins серверов задаётся строкой до 31 символа p.178
• Задача p.178
• Активировать пользователя p.178
• Шлюз внутри туннеля для подключающихся клиентов 10 0 0 p.178
• Адрес pptp сервера 120 1 p.178
• Dns серверы 8 8 p.178
• Учетные записи для подключения fedor ivan p.178
• Указать список wins серверов которые будут использовать удаленные пользователи не обязательно p.178
• Указать пароль пользователя p.178
• Счетчики сессий pptp сервера можно посмотреть командой p.179
• Состояние сессий pptp сервера можно посмотреть командой p.179
• Создадим профиль адресов содержащий адреса клиентов p.179
• Создадим профиль адресов содержащий dns серверы p.179
• Создадим pptp сервер и привяжем вышеуказанные профили p.179
• Создадим pptp пользователей ivan и fedor для pptp сервера p.179
• После применения конфигурации маршрутизатор будет прослушивать 120 1 1723 p.179
• Очистить счетчики сессий pptp сервера можно командой p.179
• Межсетевые экраны серии esr руководство по эксплуатации 179 p.179
• Завершить сессию пользователя fedor pptp сервера можно одной из следующих команд p.179
• Выберем метод аутентификации пользователей pptp сервера p.179
• Включим pptp сервер p.179
• Укажем зону безопасности к которой будут относиться сессии пользователей p.179
• Туннельный протокол использующийся для поддержки виртуальных частных сетей l2tp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет l2tp может также использоваться для организации туннеля между двумя локальными сетями l2тр использует дополнительное udp соединение для обслуживания туннеля l2tp протокол не предоставляет средств шифрования данных и поэтому он обычно используется в связке с группой протоколов ipsec которая предоставляет безопасность на пакетном уровне p.180
• Помимо создания pptp сервера необходимо в firewall открыть tcp порт 1723 для обслуживания соединений и разрешить протокол gre 47 для туннельного трафика p.180
• Настройка удаленного доступа к корпоративной сети по l2tp over p.180
• Межсетевые экраны серии esr руководство по эксплуатации p.180
• Конфигурацию pptp сервера можно посмотреть командой p.180
• Алгоритм настройки p.180
• L2tp англ layer 2 tunneling protocol протокол туннелирования второго уровня p.180
• Ipsec протоколу p.180
• Межсетевые экраны серии esr руководство по эксплуатации 181 p.181
• Задача p.182
• Для ipsec используется метод аутентификации по ключу ключ password p.182
• Шлюз внутри туннеля 10 0 0 p.182
• Аутентификация пользователей проходит на radius сервере p.182
• Адрес radius сервера 192 68 p.182
• Указать ip адреса для интерфейсов te1 0 1 и te1 0 1 p.182
• Адрес l2tp сервера 120 1 p.182
• Создадим профиль адресов содержащий адрес локального шлюза p.182
• Wins серверов задаётся строкой до 31 символа p.182
• Создадим профиль адресов содержащий dns серверы p.182
• Создадим l2tp сервер и привяжем к нему вышеуказанные профили p.182
• Рисунок 53 схема сети p.182
• Решение p.182
• Пример настройки p.182
• Предварительно нужно выполнить следующие действия p.182
• Обязательно p.182
• Настроить подключение к radius серверу p.182
• Настроить зоны для интерфейсов te1 0 1 и gi1 0 1 p.182
• Настроить l2tp сервер на маршрутизаторе для подключения удаленных пользователей к лвс p.182
• Межсетевые экраны серии esr руководство по эксплуатации p.182
• Virtual private networks vpn организации удалённого доступа и решения ряда других задач связанных с безопасностью передачи данных базирующееся на ssl p.183
• Openvpn полнофункциональное средство для построения виртуальных частных сетей p.183
• Укажем зону безопасности к которой будут относиться сессии пользователей p.183
• Счетчики сессий l2tp сервера можно посмотреть командой p.183
• Протоколу p.183
• После применения конфигурации маршрутизатор будет прослушивать ip адрес 120 1 и p.183
• Порт 1701 состояние сессий l2tp сервера можно посмотреть командой p.183
• Помимо создания l2tp сервера необходимо в firewall открыть udp порты 500 1701 4500 для обслуживания соединений и разрешить протоколы esp 50 и gre 47 для туннельного трафика p.183
• Очистить счетчики сессий l2tp сервера можно командой p.183
• Настройка удаленного доступа к корпоративной сети по openvpn p.183
• Межсетевые экраны серии esr руководство по эксплуатации 183 p.183
• Конфигурацию l2tp сервера можно посмотреть командой p.183
• Завершить сессию пользователя fedor l2tp сервера можно одной из следующих команд p.183
• Выберем метод аутентификации пользователей l2tp сервера p.183
• Выберем метод аутентификации первой фазы ike и зададим ключ аутентификации p.183
• Включим l2tp сервер p.183
• Межсетевые экраны серии esr руководство по эксплуатации p.184
• Алгоритм настройки p.184
• Межсетевые экраны серии esr руководство по эксплуатации 185 p.185
• Пример настройки p.186
• Состояние сессий openvpn сервера можно посмотреть командой p.187
• После применения конфигурации маршрутизатор будет прослушивать порт 1194 p.187
• Помимо создания openvpn сервера необходимо в firewall открыть tcp порт 1194 p.187
• Очистить счетчики сессий openvpn сервера можно командой p.187
• Настройка клиента удаленного доступа по протоколу pppoe p.187
• Межсетевые экраны серии esr руководство по эксплуатации 187 p.187
• Конфигурацию openvpn сервера можно посмотреть командой p.187
• Используется по умолчанию p.187
• Инкапсулировать ip ppp через соединения ethernet и обладает программными возможностями ppp p.187
• Завершить сессию пользователя fedor openvpn сервера можно одной из следующих команд p.187
• Выберем алгоритм шифрования aes128 p.187
• Включим openvpn сервер p.187
• Pppoe это туннелирующий протокол tunneling protocol который позволяет p.187
• Укажем ранее импортированные сертификаты и ключи которые будет использоваться p.187
• Openvpn сервером p.187
• Укажем зону безопасности к которой будут относиться сессии пользователей p.187
• Счетчики сессий openvpn сервера можно посмотреть командой p.187
• Соединений что позволяет использовать его для виртуальных соединений на соседнюю ethernet машину и устанавливать соединение точка точка которое используется для транспортировки ip пакетов а также работает с возможностями ppp это позволяет применять традиционное ppp ориентированное по для настройки соединения которое использует не последовательный канал а пакетно ориентированную сеть например ethernet чтобы организовать классическое соединение с логином и паролем для интернет соединений кроме того ip адрес по другую сторону соединения назначается только когда pppoe соединение открыто позволяя динамическое переиспользование ip адресов p.188
• Межсетевые экраны серии esr руководство по эксплуатации p.188
• Алгоритм настройки p.188
• Пароли учетных записей password p.189
• Отключения функции firewall на сетевом интерфейсе не обязательно p.189
• Настройка зоны безопасности p.189
• Настроить pppoe клиент на маршрутизаторе p.189
• Межсетевые экраны серии esr руководство по эксплуатации 189 p.189
• Имя зоны безопасности задаётся строкой до 31 символа p.189
• Имя vrf задается строкой до 31 символа p.189
• Зайдем в режим конфигурирования pppoe клиента и отключим межсетевой экран p.189
• Учетные записи для подключения tester p.189
• Указать имя экземпляра vrf в котором будут использоваться указанные сетевой интерфейс мост зона безопасности сервер динамической авторизации das или группа правил nat не обязательно p.189
• Задача p.189
• Укажем пользователя и пароль для подключения к pppoe серверу p.189
• Активировать конфигурируемый профиль p.189
• Укажем интерфейс через который будет устанавливаться pppoe соединение p.189
• Рисунок 55 схема сети p.189
• Решение p.189
• Пример настройки pppoe клиента p.189
• Предварительно настроить pppoe сервер с учетными записями p.189
• Подключение должно осуществляться с интерфейса gigabitethernet 1 0 7 p.189
• Счетчики сессий pppoe клиента можно посмотреть командой p.190
• Состояние pppoe туннеля можно посмотреть командой p.190
• Позволяющий устанавливать защищённое соединение за счёт создания специального туннеля в обычной незащищенной сети pptp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет pptp может также использоваться для организации туннеля между двумя локальными сетями рртр использует дополнительное tcp соединение для обслуживания туннеля p.190
• Настройка клиента удаленного доступа по протоколу pptp p.190
• Межсетевые экраны серии esr руководство по эксплуатации p.190
• Алгоритм настройки p.190
• Pptp англ point to point tunneling protocol туннельный протокол типа точка точка p.190
• Пример настройки удаленного подключения по pptp протоколу p.191
• Туннельный протокол использующийся для поддержки виртуальных частных сетей l2tp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет l2tp может также использоваться для организации туннеля между двумя локальными сетями l2тр использует дополнительное udp соединение для обслуживания туннеля l2tp протокол не предоставляет средств шифрования данных и поэтому он обычно используется в связке с группой протоколов ipsec которая предоставляет безопасность на пакетном уровне p.192
• Счетчики входящих и отправленных пакетов можно посмотреть командой p.192
• Настройка клиента удаленного доступа по протоколу l2tp p.192
• Межсетевые экраны серии esr руководство по эксплуатации p.192
• Конфигурацию туннеля можно посмотреть командой p.192
• Алгоритм настройки p.192
• L2tp англ layer 2 tunneling protocol протокол туннелирования второго уровня p.192
• Создадим туннель l2tp p.193
• Рисунок 57 схема сети p.193
• Решение p.193
• Пример настройки удаленного подключения по l2tp протоколу p.193
• Настроить pptp туннель на маршрутизаторе p.193
• Межсетевые экраны серии esr руководство по эксплуатации 193 p.193
• Задача p.193
• Адрес pptp сервера 20 0 p.193
• Учетная запись для подключения логин ivan пароль simplepass p.193
• Укажем учетную запись пользователя ivan для подключения к серверу p.193
• Укажем удаленный шлюз p.193
• Укажем метод аутентификации ipsec p.194
• Укажем ключ безопасности для ipsec p.194
• Укажем зону безопасности p.194
• Счетчики входящих и отправленных пакетов можно посмотреть командой p.194
• Состояние туннеля можно посмотреть командой p.194
• Соединение ключевых ресурсов сети на основе наличия резервных линков p.194
• Настройка dual homing p.194
• Межсетевые экраны серии esr руководство по эксплуатации p.194
• Конфигурацию туннеля можно посмотреть командой p.194
• Включим туннель p.194
• Алгоритм настройки p.194
• Dual homing технология резервирования соединений позволяет организовать надежное p.194
• Пример настройки p.195
• Приоритетов в обслуживании использование службы qos позволяет сетевым приложениям сосуществовать в одной сети не уменьшая при этом пропускную способность других приложений p.196
• Настройка qos p.196
• Межсетевые экраны серии esr руководство по эксплуатации p.196
• Базовый qos p.196
• Алгоритм настройки p.196
• Qos quality of service технология предоставления различным классам трафика различных p.196
• Межсетевые экраны серии esr руководство по эксплуатации 197 p.197
• Установим ограничение по скорости в 60мбит с для седьмой очереди p.199
• Расширенный qos p.199
• Просмотреть статистику по qos можно командой p.199
• Ограничения полосы пропускания p.199
• Межсетевые экраны серии esr руководство по эксплуатации 199 p.199
• Включим qos на интерфейсе со стороны wan для правильной обработки очередей и p.199
• Алгоритм настройки p.199
• Межсетевые экраны серии esr руководство по эксплуатации p.200
• Межсетевые экраны серии esr руководство по эксплуатации 201 p.201
• Рисунок 60 схема сети p.202
• Произвести маркировку по dscp 38 и 42 и произвести разграничение по подсетям 40 мбит с и 60 мбит с ограничить общую полосу до 250 мбит с остальной трафик обрабатывать через механизм sfq p.202
• Пример настройки p.202
• Межсетевые экраны серии esr руководство по эксплуатации p.202
• Задача классифицировать приходящий трафик по подсетям 10 1 24 10 2 24 p.202
• Создаём политику и определяем ограничение общей полосы пропускания p.203
• Создаем классы fl1 и fl2 указываем соответствующие списки доступа настраиваем p.203
• Решение p.203
• Осуществляем привязку класса к политике настраиваем ограничение полосы пропускания и p.203
• Настроим списки доступа для фильтрации по подсетям выходим в глобальный режим p.203
• Межсетевые экраны серии esr руководство по эксплуатации 203 p.203
• Маркировку p.203
• Конфигурации p.203
• Для другого трафика настраиваем класс с режимом sfq p.203
• Выходим p.203
• Алгоритм настройки p.204
• Перенаправления трафика с одного порта маршрутизатора на другой порт этого же маршрутизатора локальное зеркалирование или на удаленное устройство удаленное зеркалирование p.204
• Настройка зеркалирования p.204
• На выходе gi1 0 20 для применения ограничений и режима sfq для класса по умолчанию p.204
• Межсетевые экраны серии esr руководство по эксплуатации p.204
• Зеркалирование трафика функция маршрутизатора предназначенная для p.204
• Для просмотра статистики используется команда p.204
• Включаем qos на интерфейсах политику на входе интерфейса gi 1 0 19 для классификации и p.204
• Пример настройки p.205
• Настройка netflow p.205
• Рисунок 62 схема сети p.206
• Пример настройки p.206
• Организовать учет трафика с интерфейса gi1 0 1 для передачи на сервер через интерфейс p.206
• Межсетевые экраны серии esr руководство по эксплуатации p.206
• Задача p.206
• Алгоритм настройки p.206
• Gi1 0 8 для обработки p.206
• Устройств предназначенный для учета и анализа трафика p.207
• Укажем ip адрес коллектора p.207
• Решение p.207
• Предварительно нужно выполнить следующие действия p.207
• Основной этап конфигурирования p.207
• Настройка sflow p.207
• Настройка netflow для учета трафика между зонами аналогична настройке sflow описание приведено в разделе 7 0 настройка sflow p.207
• Назначить ip адреса на портах p.207
• На интерфейсах gi1 0 1 gi1 0 8 отключить firewall командой ip firewall disable p.207
• Межсетевые экраны серии esr руководство по эксплуатации 207 p.207
• Для просмотра статистики netflow используется команда p.207
• Включим сбор экспорта статистики netflow на сетевом интерфейсе gi1 0 1 p.207
• Алгоритм настройки p.207
• Активируем netflow на маршрутизаторе p.207
• Sflow стандарт для мониторинга компьютерных сетей беспроводных сетей и сетевых p.207
• Включить отправку статистики на sflow сервер в режим конфигурирования интерфейса туннеля сетевого моста p.208
• Рисунок 63 схема сети p.208
• Решение p.208
• Пример настройки p.208
• Организовать учет трафика между зонами trusted и untrusted p.208
• Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности p.208
• Межсетевые экраны серии esr руководство по эксплуатации p.208
• Задача p.208
• Для сетей esr создадим две зоны безопасности p.208
• Настройка lacp p.209
• Направления trusted untrusted p.209
• Межсетевые экраны серии esr руководство по эксплуатации 209 p.209
• Каналов в один логический такое объединение позволяет увеличивать пропускную способность и надежность канала p.209
• Включим экспорт статистики по протоколу sflow для любого трафика в правиле rule1 для p.209
• Алгоритм настройки p.209
• Активируем sflow на маршрутизаторе p.209
• Lacp протокол для агрегирования каналов позволяет объединить несколько физических p.209
• Укажем ip адрес коллектора p.209
• Настройка sflow для учета трафика с интерфейса осуществляется аналогично 7 9 настройка netflow p.209
• Рисунок 64 схема сети p.210
• Решение p.210
• Пример настройки p.210
• Предварительно нужно выполнить следующие настройки p.210
• Основной этап конфигурирования p.210
• Настроить агрегированный канал между маршрутизатором esr и коммутатором p.210
• На интерфейсах gi1 0 1 gi1 0 2 отключить зону безопасности командой no security zone p.210
• Межсетевые экраны серии esr руководство по эксплуатации p.210
• Задача p.210
• Дальнейшая конфигурация port channel проводится как на обычном физическом интерфейсе p.210
• Включим физические интерфейсы gi1 0 1 gi1 0 2 в созданную группу агрегации каналов p.210
• Cоздадим интерфейс port channel 2 p.210
• Алгоритм настройки p.211
• Vrrp virtual router redundancy protocol сетевой протокол предназначенный для p.211
• Увеличения доступности маршрутизаторов выполняющих роль шлюза по умолчанию это достигается путём объединения группы маршрутизаторов в один виртуальный маршрутизатор и назначения им общего ip адреса который и будет использоваться как шлюз по умолчанию для компьютеров в сети p.211
• Настройка vrrp p.211
• Межсетевые экраны серии esr руководство по эксплуатации 211 p.211
• Межсетевые экраны серии esr руководство по эксплуатации p.212
• Межсетевые экраны серии esr руководство по эксплуатации 213 p.213
• Пример настройки 1 p.214
• Пример настройки 2 p.215
• Настроим vrrp для подсети 192 68 0 24 в созданном саб интерфейсе p.216
• Межсетевые экраны серии esr руководство по эксплуатации p.216
• Идентификатор отслеживаемого vrrp маршрутизатора принимает значения 1 55 p.216
• Задать правило слежения за состоянием vrrp процесса p.216
• Добавить в систему tracking объект и перейти в режим настройки параметров tracking объекта p.216
• Включить tracking объект p.216
• Шаг описание команда ключи p.216
• Включим vrrp p.216
• Укажем уникальный идентификатор vrrp p.216
• Алгоритм настройки p.216
• Укажем идентификатор vrrp группы p.216
• Vrrp tracking механизм позволяющий активировать статические маршруты в зависимости p.216
• Укажем ip адрес виртуального шлюза 192 68 0 p.216
• Произвести аналогичные настройки на r2 p.216
• Помимо создания туннеля необходимо в firewall разрешить протокол vrrp 112 помимо создания туннеля необходимо в firewall разрешить протокол vrrp 112 p.216
• От состояния vrrp p.216
• Номер tracking объекта принимает значения 1 0 p.216
• Настройка vrrp tracking p.216
• Настроить vrrp согласно разделу 7 p.216
• Протокола vrrp на основе аппаратных маршрутизаторов r1 и r2 так же между маршрутизаторами p.217
• Пример настройки p.217
• Межсетевые экраны серии esr руководство по эксплуатации 217 p.217
• Задача p.217
• Для подсети 192 68 24 организован виртуальный шлюз 192 68 24 с использованием p.217
• 24 пойдет без дополнительных настроек когда маршрутизатор r1 находится в состоянии vrrp master необходим дополнительный маршрут для подсети 10 24 через интерфейс 192 68 p.218
• Рисунок 67 схема сети p.218
• Межсетевые экраны серии esr руководство по эксплуатации p.218
• Маршрутизатор r2 p.218
• Маршрутизатор r1 p.218
• Когда маршрутизатор r1 находится в состоянии vrrp backup трафик от пк в подсеть p.218
• Исходные конфигурации маршрутизаторов p.218
• R1 и r2 есть линк с вырожденной подсетью 192 68 30 подсеть 10 24 терминируется только на маршрутизаторе r2 пк имеет ip адрес 192 68 24 и шлюз по умолчанию 192 68 p.218
• Терминируется на нем и в момент когда r2 выступает в роли vrrp master пакеты будут переданы в соответствующий интерфейс на маршрутизаторе необходимо создать маршрут для пакетов с ip адресом назначения из сети 10 24 в момент когда r1 выступает в роли vrrp master p.219
• Создадим статический маршрут в подсеть 10 24 через 192 68 который будет p.219
• Решение p.219
• Работать в случае удовлетворения условия из tracking 1 p.219
• На маршрутизаторе r2 никаких изменений не требуется так как подсеть 10 24 p.219
• Межсетевые экраны серии esr руководство по эксплуатации 219 p.219
• Для этого создадим tracking object с соответствующим условием p.219
• Алгоритм настройки p.220
• Vrf virtual routing and forwarding технология которая позволяет изолировать маршрутную p.220
• Рисунок 68 схема сети p.220
• Настройка vrf lite p.220
• Межсетевые экраны серии esr руководство по эксплуатации p.220
• Информацию принадлежащую различным классам например маршруты одного клиента p.220
• Создадим привязку интерфейсов назначим ip адреса укажем принадлежность к зоне p.221
• Создадим правило для пары зон и разрешим любой tcp udp трафик p.221
• Создадим зону безопасности p.221
• Создадим vrf p.221
• Решение p.221
• Пример настройки p.221
• Остальных сетей p.221
• Настроить lt туннель для передачи трафика в глобальный режим или другие vrf при необходимости p.221
• Межсетевые экраны серии esr руководство по эксплуатации 221 p.221
• Которого будет использоваться при необходимости p.221
• К маршрутизатору серии esr подключены 2 сети которые необходимо изолировать от p.221
• Задача p.221
• Технология multiwan позволяет организовать отказоустойчивое соединение с p.222
• Таблицу маршрутов vrf можно просмотреть с помощью команды p.222
• Резервированием линков от нескольких провайдеров а также решает проблему балансировки трафика между резервными линками p.222
• Настройка multiwan p.222
• Межсетевые экраны серии esr руководство по эксплуатации p.222
• Информацию об интерфейсах привязанных к vrf можно посмотреть командой p.222
• Алгоритм настройки p.222
• Межсетевые экраны серии esr руководство по эксплуатации 223 p.223
• Рисунок 69 схема сети p.224
• Решение p.224
• Пример настройки p.224
• Предварительно нужно выполнить следующие действия p.224
• Настроить маршрут к серверу 108 6 28 с возможностью балансировки нагрузки p.224
• Настроить зоны для интерфейсов te1 0 1 и te1 0 2 p.224
• Межсетевые экраны серии esr руководство по эксплуатации p.224
• Задача p.224
• Указать ip адреса для интерфейсов te1 0 1 и te1 0 2 p.224
• Укажем участвующие интерфейсы p.225
• Создадим цель проверки целостности p.225
• Создадим список для проверки целостности соединения p.225
• Создадим правило wan p.225
• Соединения p.225
• Основной этап конфигурирования p.225
• Настроим маршрутизацию p.225
• Настроим интерфейсы в режиме конфигурирования интерфейса te1 0 1 указываем nexthop p.225
• Межсетевые экраны серии esr руководство по эксплуатации 225 p.225
• Зададим адрес для проверки включим проверку указанного адреса и выйдем p.225
• Включим созданное правило балансировки и выйдем из режима конфигурирования правила p.225
• В режиме конфигурирования интерфейса te1 0 2 указываем nexthop p.225
• В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки p.225
• В режиме конфигурирования интерфейса te1 0 1 включаем wan режим и выходим p.225
• Snmp англ simple network management protocol простой протокол сетевого управления p.226
• Функция multiwan также может работать в режиме резервирования в котором трафик будет p.226
• Соединения p.226
• Протокол предназначенный для управления устройствами в ip сетях на основе архитектур tcp udp snmp предоставляет данные для управления в виде переменных описывающих конфигурацию управляемой системы p.226
• Настройка snmp p.226
• Направляться в активный интерфейс с наибольшим весом включить данный режим можно следующей командой p.226
• Межсетевые экраны серии esr руководство по эксплуатации p.226
• Заходим в режим настройки правила wan p.226
• Для переключения в режим резервирования настроим следующее p.226
• В режиме конфигурирования интерфейса te1 0 2 указываем список целей для проверки p.226
• В режиме конфигурирования интерфейса te1 0 2 включаем wan режим и выходим p.226
• Алгоритм настройки p.226
• Межсетевые экраны серии esr руководство по эксплуатации 227 p.227
• Межсетевые экраны серии esr руководство по эксплуатации p.228
• Пример настройки p.229
• Syslog англ system log системный журнал стандарт отправки и регистрации сообщений о p.230
• Алгоритм настройки p.230
• Происходящих в системе событиях используется в сетях работающих по протоколу ip p.230
• Определяем сервер приемник trap pdu сообщений p.230
• Настройка syslog p.230
• Межсетевые экраны серии esr руководство по эксплуатации p.230
• Межсетевые экраны серии esr руководство по эксплуатации 231 p.231
• Пример настройки syslog p.232
• Проверка целостности p.233
• Часто задаваемые вопросы p.234