Eltex ESR-200 FSTEC — настройка трансляции адресов и портов для сетевой безопасности [58/173]

Содержание

• Общие сведения о маршрутизаторе p.4
• Назначение маршрутизатора p.4
• Требования к персоналу p.4
• Обозначение описание p.4
• Аннотация p.4
• Условные обозначения p.4
• Функции интерфейсов p.6
• Функции при работе с mac адресами p.6
• Функции маршрутизатора p.6
• Функции третьего уровня сетевой модели osi p.7
• Функции второго уровня сетевой модели osi p.7
• Функции туннелирования трафика p.8
• Функции управления и конфигурирования p.9
• Функции сетевой защиты p.10
• Основные технические характеристики p.11
• Передняя панель устройства esr 1000 st p.14
• Конструктивное исполнение esr 1000 st p.14
• Конструктивное исполнение p.14
• Задняя панель устройства esr 1000 st p.15
• Боковые панели устройства p.15
• Передняя панель устройств esr 100 st esr 200 st p.16
• Конструктивное исполнение esr 100 st esr 200 st p.16
• Задняя панель устройств esr 100 st esr 200 st p.17
• Боковые панели устройства esr 100 st esr 200 st p.17
• Световая индикация esr 1000 st p.18
• Световая индикация p.18
• Световая индикация esr 100 st esr 200 st p.20
• Установка и подключение p.22
• Установка устройства в стойку p.22
• Крепление кронштейнов p.22
• Установка модулей питания esr 1000 st p.23
• Установка и удаление sfp трансиверов p.24
• Подключение питающей сети p.24
• Установка трансивера p.25
• Удаление трансивера p.25
• Заводская конфигурация и подключение p.26
• Подключение маршрутизатора p.26
• Интерфейс командной строки cli p.26
• Заводская конфигурация маршрутизатора esr p.26
• Обновление программного обеспечения средствами системы p.28
• Обновление программного обеспечения p.28
• Обновление программного обеспечения из начального загрузчика p.31
• Пример p.32
• Перезагрузите устройство и дождитесь запуска ос должна появиться возможность p.32
• Авторизации в консоли управления initial cli как в примере ниже p.32
• Конфигурирование маршрутизатора p.33
• Конфигурирование базовых параметров p.33
• Создание новых пользователей p.33
• Изменение пароля пользователей p.33
• Настройка параметров публичной сети p.34
• Назначение имени устройства p.34
• Применение базовых настроек p.35
• Примеры настройки маршрутизатора p.36
• Процесс настройки p.36
• Настройка vlan p.36
• Пример конфигурации 1 p.37
• Пример конфигурации 2 p.37
• Пример конфигурации 3 p.38
• Процесс настройки aaa по протоколу radius p.39
• Настройка ааа p.39
• Процесс настройки aaa по протоколу tacacs p.42
• Процесс настройки aaa по протоколу ldap p.44
• Пример конфигурации p.48
• Процесс настройки p.49
• Пример настройки p.49
• Настройка привилегий команд p.49
• Настройка dhcp сервера p.50
• Процесс настройки p.50
• Пример настройки p.53
• Список dns серверов dns1 172 6 dns2 8 p.54
• Соответствующие профили портов включающие порт источника 68 и порт назначения 67 используемые протоколом dhcp и создать разрешающее правило в политике безопасности для прохождения пакетов протокола udp p.54
• Разрешим работу сервера p.54
• Маршрутизаторе должен быть создан ip интерфейс принадлежащий к той же подсети что и адреса пула p.54
• Имя домена eltex loc p.54
• Изменения конфигурации вступят в действие после применения p.54
• Для того чтобы dhcp сервер мог раздавать ip адреса из конфигурируемого пула на p.54
• Для разрешения прохождения сообщений протокола dhcp к серверу необходимо создать p.54
• Просмотреть список арендованных адресов можно с помощью команды p.55
• Просмотреть сконфигурированные пулы адресов можно командами p.55
• Процесс настройки p.56
• Конфигурирование destination nat p.56
• Пример конфигурации p.58
• Адресов в атрибутах набора укажем что правила применяются только для пакетов пришедших из зоны untrust набор правил включает в себя требования соответствия данных по адресу и порту назначения match destination address match destination port по протоколу кроме этого в наборе задано действие применяемое к данным удовлетворяющим всем правилам action destination nat набор правил вводится в действие командой enable p.59
• Server_ip профиль адресов локальной сети p.59
• Net_uplink профиль адресов публичной сети p.59
• Создадим профили ip адресов и портов которые потребуются для настройки правил firewall p.59
• Создадим набор правил dnat в соответствии с которыми будет производиться трансляция p.59
• Назначения в которые будут транслироваться адреса пакетов поступающие на адрес 1 из внешней сети p.59
• И правил dnat p.59
• Войдем в режим конфигурирования функции dnat и создадим пул адресов и портов p.59
• Srv_http профиль портов p.59
• Функция snat может быть использована для предоставления доступа в интернет p.60
• Проходящих через сетевой шлюз при прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза дополнительно к адресу источника может применяться замена порта источника при прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта p.60
• Произведенные настройки можно посмотреть с помощью команд p.60
• Пару зон пропускать следует только трафик с адресом назначения соответствующим заданному в профиле server_ip и прошедший преобразование dnat p.60
• Конфигурирование source nat p.60
• Компьютерам находящимся в локальной сети при этом не требуется назначения публичных p.60
• Изменения конфигурации вступят в действие после применения p.60
• Для пропуска трафика идущего из зоны untrust в trust создадим соответствующую p.60
• Ip адресов этим компьютера p.60
• Функция source nat snat используется для подмены адреса источника у пакетов p.60
• Процесс настройки p.61
• Пример конфигурации 1 p.63
• Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на p.64
• Применяются только для пакетов направляющихся в публичную сеть в зону untrust правила включают проверку адреса источника данных на принадлежность к пулу local_net p.64
• Правила разрешающие проходить трафику в этом направлении дополнительно включена проверка адреса источника данных на принадлежность к диапазону адресов local_net для соблюдения ограничения на выход в публичную сеть действие правил разрешается командой enable p.64
• Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети p.64
• Используемых для сервиса snat p.64
• Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в p.64
• Для пропуска трафика из зоны trust в зону untrust создадим пару зон и добавим p.64
• Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила p.64
• Пример конфигурации 2 p.65
• Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в p.66
• Для конфигурирования функции snat потребуется создать профиль адресов локальной сети p.66
• Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила p.66
• Local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool p.66
• Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool p.66
• Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды p.66
• Применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net p.66
• Первым шагом создаётся пул адресов публичной сети используемых для сервиса snat p.66
• На самом маршрутизаторе также должен быть создан маршрут для направления на p.66
• Конфигурируем сервис snat p.66
• Должна быть настроена маршрутизация адрес 10 2 должен быть назначен адресом шлюза p.66
• Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них p.66
• Процесс настройки p.67
• Конфигурирование firewall p.67
• Пример конфигурации p.71
• Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности p.72
• Для пропуска трафика из зоны lan в зону wan создадим пару зон и добавим правило p.72
• Для настройки правил зон безопасности потребуется создать профиль адресов сети lan p.72
• Для каждой сети esr создадим свою зону безопасности p.72
• Включающий адреса которым разрешен выход в сеть wan и профиль адресов сети wan а также профиль портов для ssh сессий p.72
• Решение p.72
• Разрешающее проходить icmp трафику от r1 к r2 действие правил разрешается командой enable p.72
• Создадим пару зон для трафика идущего из зоны lan в зону self добавим правило p.73
• Разрешающее проходить icmp трафику от r2 к r1 действие правил разрешается командой enable p.73
• Разрешающее проходить icmp трафику между r1 и esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны lan p.73
• Получателя трафика выступает сам маршрутизатор esr то есть трафик не является транзитным то в качестве параметра указывается зона self создадим пару зон для трафика идущего из зоны wan в зону self добавим правило разрешающее проходить icmp трафику между r2 и маршрутизатором esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны wan p.73
• На маршрутизаторе всегда существует зона безопасности с именем self если в качестве p.73
• Для пропуска трафика из зоны wan в зону lan создадим пару зон и добавим правило p.73
• Фильтрации фрагментов p.74
• Создадим пару зон для фильтрации фрагментов из зоны wan добавим правило для p.74
• Разрешающее ssh трафик от r2 к r1 и правило со следующим порядковым номером для логирования блокировок ssh сессии до r1 со всех ip p.74
• Второй зоной безопасности по умолчанию является зона с именем any в эту зону p.74
• Включаются все зоны безопасности маршрутизатора за исключением зоны self т е все зоны безопасности созданные администратором p.74
• В пару зон из wan в зону lan добавим правило c порядковым номером 2 p.74
• Процесс настройки p.75
• Настройка списков доступа acl p.75
• Пример конфигурации p.78
• Конфигурирование статических маршрутов p.78
• Процесс настройки p.79
• Пример конфигурации p.79
• Устройство r2 192 68 00 p.80
• Создадим маршрут для взаимодействия с сетью 10 8 используя в качестве шлюза p.80
• Рисунок 10 схема сети p.80
• Решение p.80
• Интерфейс r1 будет подключен к устройству r2 для последующей маршрутизации трафика p.80
• Зададим имя устройства для маршрутизатора r1 p.80
• Для интерфейса gi1 0 3 укажем адрес 198 1 00 30 и зону wan через данный интерфейс p.80
• Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный p.80
• Для интерфейса gi1 0 1 укажем адрес 192 68 24 и зону lan через данный интерфейс p.80
• R1 будет подключен к сети internet p.80
• R1 будет подключен к сети 192 68 24 p.80
• Будет подключен к сети 10 8 p.81
• Создадим маршрут по умолчанию указав в качестве nexthop ip адрес интерфейса gi1 0 2 p.81
• Создадим маршрут для взаимодействия с сетью internet используя в качестве nexthop шлюз p.81
• Проверить таблицу маршрутов можно командой p.81
• Провайдера 198 1 00 p.81
• Маршрутизатора r1 192 68 00 p.81
• Командам p.81
• Интерфейс r2 будет подключен к устройству r1 для последующей маршрутизации трафика p.81
• Изменения конфигурации на маршрутизаторе r2 вступят в действие по следующим p.81
• Изменения конфигурации на маршрутизаторе r1 вступят в действие по следующим p.81
• Зададим имя устройства для маршрутизатора r2 p.81
• Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный p.81
• Для интерфейса gi1 0 1 укажем адрес 10 8 и зону lan через данный интерфейс r2 p.81
• Процесс настройки p.82
• Настройка ppp через e1 p.82
• Пример конфигурации p.85
• Настройка bridge p.86
• Процесс настройки p.86
• Пример конфигурации 1 p.87
• Пример конфигурации 2 p.88
• Создадим правила в firewall разрешающие свободное прохождение трафика между зонами p.89
• Создадим bridge 60 привяжем vlan 60 укажем ip адрес 10 0 24 и членство в зоне p.89
• Посмотреть членство интерфейсов в мосте можно командой p.89
• Изменения конфигурации вступят в действие по следующим командам p.89
• Процесс настройки p.90
• Настройка rip p.90
• Пример конфигурации p.94
• Процесс настройки p.95
• Настройка ospf p.95
• Пример конфигурации 1 p.103
• Изменения конфигурации вступают в действие по команде применения p.104
• Задача изменить тип области 1 область должна быть nssa маршрутизатор r3 должен p.104
• Анонсировать маршруты полученные по протоколу rip p.104
• Рисунок 10 6 схема сети p.104
• Решение предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме p.104
• Протокола rip p.104
• Пример конфигурации 2 p.104
• Приведенной на рисунке 10 7 p.104
• На тупиковом маршрутизаторе r3 включим анонсирование маршрутной информации из p.104
• Конфигурирования области выполним команду p.104
• Изменим тип области на nssa на каждом маршрутизаторе из области 1 в режиме p.104
• Изменения конфигурации вступят в действие после применения p.104
• Пример конфигурации 3 p.105
• Процесс настройки p.106
• Настройка bgp p.106
• Пример конфигурации p.112
• Изменения конфигурации вступят в действие после применения p.113
• Входим в режим конфигурирования маршрутной информации для ipv4 p.113
• Включим работу протокола p.113
• Таблицу маршрутов протокола bgp можно просмотреть с помощью команды p.113
• Создадим соседства с 10 85 10 19 с указанием автономных систем p.113
• Создадим bgp процесс для as 2500 и войдем в режим конфигурирования параметров p.113
• Процесса p.113
• Объявим подсети подключённые напрямую p.113
• Необходимо в firewall разрешить tcp порт 179 p.113
• Информацию о bgp пирах можно посмотреть командой p.113
• Процесс настройки p.114
• Настройка политики маршрутизации pbr p.114
• Настройка route map для bgp p.114
• Пример конфигурации 1 p.118
• Изменения конфигурации вступят в действие после применения p.119
• Задача p.119
• Если community содержит 2500 25 то назначаем ему med 240 и origin egp p.119
• Для всей передаваемой маршрутной информации с community 2500 25 назначить med p.119
• В bgp процессе as 2500 заходим в настройки параметров соседа p.119
• Создаем правило p.119
• Создаем политику p.119
• Решение p.119
• Равный 240 и указать источник маршрутной информации egp p.119
• Пример конфигурации 2 p.119
• Привязываем политику к анонсируемой маршрутной информации p.119
• Предварительно p.119
• Настроить bgp c as 2500 на esr p.119
• Процесс настройки p.120
• Пример конфигурации p.120
• Route map на основе списков доступа policy based routing p.120
• Создаем правило 1 p.121
• Создаем политику p.121
• Создаем acl p.121
• Рисунок 10 1 схема сети p.121
• Решение p.121
• Указываем список доступа acl в качестве фильтра p.121
• Указываем nexthop для sub20 p.121
• Указываем список доступа acl в качестве фильтра p.122
• Указываем nexthop для sub30 и выходим p.122
• Туннелирования сетевых пакетов его основное назначение инкапсуляция пакетов сетевого уровня сетевой модели osi в ip пакеты gre может использоваться для организации vpn на 3 м уровне модели osi в маршрутизаторе esr реализованы статические неуправляемые gre туннели то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах параметры туннеля для каждой из сторон должны быть взаимосогласованными или p.122
• Создаем правило 2 p.122
• Привязываем политику на соответствующий интерфейс p.122
• Правилом 2 будет обеспечена маршрутизация трафика с сети 10 0 24 на адрес p.122
• Правилом 1 будет обеспечена маршрутизация трафика с сети 10 0 24 на адрес p.122
• Настройка gre туннелей p.122
• Изменения конфигурации вступят в действие после применения p.122
• Заходим на интерфейс te 1 0 1 p.122
• Gre англ generic routing encapsulation общая инкапсуляция маршрутов протокол p.122
• 50 а при его недоступности на адрес 198 1 00 3 приоритетность шлюзов задается значениями метрик 10 и 30 p.122
• 1 00 3 а при его недоступности на адрес 192 50 приоритетность задается значениями метрик p.122
• Процесс настройки p.123
• Пример конфигурации p.124
• Настройка l2tpv3 туннелей p.126
• Процесс настройки p.127
• Пример конфигурации p.128
• Процесс настройки p.130
• Настройка dual homin p.130
• Пример конфигурации p.131
• Настройка qos p.132
• Процесс настройки p.133
• Базовый qos p.133
• Пример конфигурации p.136
• Расширенный qos p.137
• Процесс настройки p.137
• Пример конфигурации p.142
• Выходим p.143
• Включаем qos на интерфейсах политику на входе интерфейса gi 1 0 19 для классификации и p.143
• Создаём политику и определяем ограничение общей полосы пропускания p.143
• Создаем классы fl1 и fl2 указываем соответствующие списки доступа настраиваем p.143
• Осуществляем привязку класса к политике настраиваем ограничение полосы пропускания и p.143
• На выходе gi1 0 20 для применения ограничений и режима sfq для класса по умолчанию p.143
• Маркировку p.143
• Для другого трафика настраиваем класс с режимом sfq p.143
• Процесс настройки удаленного зеркалирования p.144
• Настройка зеркалировани p.144
• Процесс настройки локального зеркалирования p.145
• Пример конфигурации p.145
• Настройка netflow p.146
• Процесс настройки p.147
• Пример конфигурации p.147
• Настройка sflow p.148
• Процесс настройки p.149
• Пример конфигурации p.149
• Укажем ip адрес коллектора p.150
• Рисунок 10 9 схема сети p.150
• Решение p.150
• Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности p.150
• Направления trusted untrusted p.150
• Для сетей esr создадим две зоны безопасности p.150
• Включим экспорт статистики по протоколу sflow для любого трафика в правиле rule1 для p.150
• Настройка sflow для учета трафика с интерфейса осуществляется аналогично 10 1 настройка p.151
• Изменения конфигурации вступят в действие после применения p.151
• Активируем sflow на маршрутизаторе p.151
• Netflow p.151
• Процесс настройки p.152
• Настройка lacp p.152
• Пример конфигурации p.153
• Процесс настройки p.154
• Настройка vrrp p.154
• Пример конфигурации 1 p.157
• Пример конфигурации 2 p.158
• Процесс настройки p.160
• Настройка multiwan p.160
• Пример конфигурации p.163
• Соединения p.164
• Правила p.164
• Настроим интерфейсы в режиме конфигурирования интерфейса te1 0 1 указываем nexthop p.164
• Изменения конфигурации вступят в действие после применения p.164
• Зададим адрес для проверки включим проверку указанного адреса и выйдем p.164
• Для переключения в режим резервирования настроим следующее p.164
• Включим созданное правило балансировки и выйдем из режима конфигурирования p.164
• В режиме конфигурирования интерфейса te1 0 2 указываем nexthop p.164
• В режиме конфигурирования интерфейса te1 0 2 включаем wan режим и выходим p.164
• В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки p.164
• В режиме конфигурирования интерфейса te1 0 1 включаем wan режим и выходим p.164
• Создадим цель проверки целостности p.164
• Создадим список для проверки целостности соединения p.164
• Процесс настройки p.165
• Настройка snmp p.165
• Пример конфигурации p.168
• Настройка syslog p.169
• Процесс настройки p.169
• Пример конфигурации p.172
• Процесс настройки p.173
• Проверка целостности p.173
• Пример конфигурации p.173