![Eltex ESR-200 FSTEC — настройка правил межсетевого экрана: пошаговое руководство [69/173]](/img/pdf.png)
Eltex ESR-200 FSTEC — настройка правил межсетевого экрана: пошаговое руководство [69/173]
![Eltex ESR-200 FSTEC Руководство по эксплуатации онлайн [69/173] 625189](/views2/1832198/page69/bg45.png)
69
12
Задать описание
правила (не
обязательно)
esr:esr(config-zone-rule)
# description
<description>
<description> - до 255 символов
13
Указать действие
данного правила
esr:esr(config-zone-rule)
# action <action> [log]
<action> -
permit/deny/reject/netflow-sample/sf
low-sample
[log] - не обязательный ключ,
включающий запись сообщений о
действиях межсетевого экрана.
Возможен только для действий
permit/deny/reject
14
Установить имя или
номер IP-протокола,
для которого должно
срабатывать правило
esr:esr(config-zone-rule)
# match protocol
<protocol-type>
<protocol-type> – тип протокола,
принимает значения: esp, icmp, ah,
eigrp, ospf, igmp, ipip, tcp, pim, udp,
vrrp, rdp, l2tp, gre.
При указании значения «any»
правило будет срабатывать для
любых протоколов.
esr:esr(config-zone-rule)
# match protocol-id
<protocol-id>
<protocol-id> – идентификационный
номер IP-протокола, принимает
значения [0x00-0xFF]
15
Установить профиль
IP-адресов
отправителя, для
которых должно
срабатывать правило
esr:esr(config-zone-rule)
# match source-address
<OBJ-GROUP-NETWORK-
NAME>
<OBJ-GROUP-NETWORK-NAME> –
имя профиля IP-адресов, задаётся
строкой до 31 символа. При
указании значения «any» правило
будет срабатывать для любого
IP-адреса отправителя
16
Установить профиль
IP-адресов получателя,
для которых должно
срабатывать правило
esr:esr(config-zone-rule)
# match
destination-address
<OBJ-GROUP-NETWORK-
NAME>
<OBJ-GROUP-NETWORK-NAME> –
имя профиля IP-адресов, задаётся
строкой до 31 символа. При
указании значения «any» правило
будет срабатывать для любого
IP-адреса отправителя.
17
Установить MAC-адрес
отправителя, для
которого должно
срабатывать правило
(не обязательно)
esr:esr(config-zone-rule)
# match source-mac
<mac-addr>
<mac-addr> – задаётся в виде
XX:XX:XX:XX:XX:XX, где каждая часть
принимает значения [00..FF]
18
Установить MAC-адрес
получателя, для
которого должно
срабатывать правило
(не обязательно)
esr:esr(config-zone-rule)
# match destination-mac
<mac-addr>
<mac-addr> – задаётся в виде
XX:XX:XX:XX:XX:XX, где каждая часть
принимает значения [00..FF]
Содержание
- Общие сведения о маршрутизаторе p.4
- Назначение маршрутизатора p.4
- Требования к персоналу p.4
- Обозначение описание p.4
- Аннотация p.4
- Условные обозначения p.4
- Функции интерфейсов p.6
- Функции при работе с mac адресами p.6
- Функции маршрутизатора p.6
- Функции третьего уровня сетевой модели osi p.7
- Функции второго уровня сетевой модели osi p.7
- Функции туннелирования трафика p.8
- Функции управления и конфигурирования p.9
- Функции сетевой защиты p.10
- Основные технические характеристики p.11
- Передняя панель устройства esr 1000 st p.14
- Конструктивное исполнение esr 1000 st p.14
- Конструктивное исполнение p.14
- Задняя панель устройства esr 1000 st p.15
- Боковые панели устройства p.15
- Передняя панель устройств esr 100 st esr 200 st p.16
- Конструктивное исполнение esr 100 st esr 200 st p.16
- Задняя панель устройств esr 100 st esr 200 st p.17
- Боковые панели устройства esr 100 st esr 200 st p.17
- Световая индикация esr 1000 st p.18
- Световая индикация p.18
- Световая индикация esr 100 st esr 200 st p.20
- Установка и подключение p.22
- Установка устройства в стойку p.22
- Крепление кронштейнов p.22
- Установка модулей питания esr 1000 st p.23
- Установка и удаление sfp трансиверов p.24
- Подключение питающей сети p.24
- Установка трансивера p.25
- Удаление трансивера p.25
- Заводская конфигурация и подключение p.26
- Подключение маршрутизатора p.26
- Интерфейс командной строки cli p.26
- Заводская конфигурация маршрутизатора esr p.26
- Обновление программного обеспечения средствами системы p.28
- Обновление программного обеспечения p.28
- Обновление программного обеспечения из начального загрузчика p.31
- Пример p.32
- Перезагрузите устройство и дождитесь запуска ос должна появиться возможность p.32
- Авторизации в консоли управления initial cli как в примере ниже p.32
- Конфигурирование маршрутизатора p.33
- Конфигурирование базовых параметров p.33
- Создание новых пользователей p.33
- Изменение пароля пользователей p.33
- Настройка параметров публичной сети p.34
- Назначение имени устройства p.34
- Применение базовых настроек p.35
- Примеры настройки маршрутизатора p.36
- Процесс настройки p.36
- Настройка vlan p.36
- Пример конфигурации 1 p.37
- Пример конфигурации 2 p.37
- Пример конфигурации 3 p.38
- Процесс настройки aaa по протоколу radius p.39
- Настройка ааа p.39
- Процесс настройки aaa по протоколу tacacs p.42
- Процесс настройки aaa по протоколу ldap p.44
- Пример конфигурации p.48
- Процесс настройки p.49
- Пример настройки p.49
- Настройка привилегий команд p.49
- Настройка dhcp сервера p.50
- Процесс настройки p.50
- Пример настройки p.53
- Список dns серверов dns1 172 6 dns2 8 p.54
- Соответствующие профили портов включающие порт источника 68 и порт назначения 67 используемые протоколом dhcp и создать разрешающее правило в политике безопасности для прохождения пакетов протокола udp p.54
- Разрешим работу сервера p.54
- Маршрутизаторе должен быть создан ip интерфейс принадлежащий к той же подсети что и адреса пула p.54
- Имя домена eltex loc p.54
- Изменения конфигурации вступят в действие после применения p.54
- Для того чтобы dhcp сервер мог раздавать ip адреса из конфигурируемого пула на p.54
- Для разрешения прохождения сообщений протокола dhcp к серверу необходимо создать p.54
- Просмотреть список арендованных адресов можно с помощью команды p.55
- Просмотреть сконфигурированные пулы адресов можно командами p.55
- Процесс настройки p.56
- Конфигурирование destination nat p.56
- Пример конфигурации p.58
- Адресов в атрибутах набора укажем что правила применяются только для пакетов пришедших из зоны untrust набор правил включает в себя требования соответствия данных по адресу и порту назначения match destination address match destination port по протоколу кроме этого в наборе задано действие применяемое к данным удовлетворяющим всем правилам action destination nat набор правил вводится в действие командой enable p.59
- Server_ip профиль адресов локальной сети p.59
- Net_uplink профиль адресов публичной сети p.59
- Создадим профили ip адресов и портов которые потребуются для настройки правил firewall p.59
- Создадим набор правил dnat в соответствии с которыми будет производиться трансляция p.59
- Назначения в которые будут транслироваться адреса пакетов поступающие на адрес 1 из внешней сети p.59
- И правил dnat p.59
- Войдем в режим конфигурирования функции dnat и создадим пул адресов и портов p.59
- Srv_http профиль портов p.59
- Функция snat может быть использована для предоставления доступа в интернет p.60
- Проходящих через сетевой шлюз при прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза дополнительно к адресу источника может применяться замена порта источника при прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта p.60
- Произведенные настройки можно посмотреть с помощью команд p.60
- Пару зон пропускать следует только трафик с адресом назначения соответствующим заданному в профиле server_ip и прошедший преобразование dnat p.60
- Конфигурирование source nat p.60
- Компьютерам находящимся в локальной сети при этом не требуется назначения публичных p.60
- Изменения конфигурации вступят в действие после применения p.60
- Для пропуска трафика идущего из зоны untrust в trust создадим соответствующую p.60
- Ip адресов этим компьютера p.60
- Функция source nat snat используется для подмены адреса источника у пакетов p.60
- Процесс настройки p.61
- Пример конфигурации 1 p.63
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на p.64
- Применяются только для пакетов направляющихся в публичную сеть в зону untrust правила включают проверку адреса источника данных на принадлежность к пулу local_net p.64
- Правила разрешающие проходить трафику в этом направлении дополнительно включена проверка адреса источника данных на принадлежность к диапазону адресов local_net для соблюдения ограничения на выход в публичную сеть действие правил разрешается командой enable p.64
- Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети p.64
- Используемых для сервиса snat p.64
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в p.64
- Для пропуска трафика из зоны trust в зону untrust создадим пару зон и добавим p.64
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила p.64
- Пример конфигурации 2 p.65
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в p.66
- Для конфигурирования функции snat потребуется создать профиль адресов локальной сети p.66
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила p.66
- Local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool p.66
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool p.66
- Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды p.66
- Применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net p.66
- Первым шагом создаётся пул адресов публичной сети используемых для сервиса snat p.66
- На самом маршрутизаторе также должен быть создан маршрут для направления на p.66
- Конфигурируем сервис snat p.66
- Должна быть настроена маршрутизация адрес 10 2 должен быть назначен адресом шлюза p.66
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них p.66
- Процесс настройки p.67
- Конфигурирование firewall p.67
- Пример конфигурации p.71
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности p.72
- Для пропуска трафика из зоны lan в зону wan создадим пару зон и добавим правило p.72
- Для настройки правил зон безопасности потребуется создать профиль адресов сети lan p.72
- Для каждой сети esr создадим свою зону безопасности p.72
- Включающий адреса которым разрешен выход в сеть wan и профиль адресов сети wan а также профиль портов для ssh сессий p.72
- Решение p.72
- Разрешающее проходить icmp трафику от r1 к r2 действие правил разрешается командой enable p.72
- Создадим пару зон для трафика идущего из зоны lan в зону self добавим правило p.73
- Разрешающее проходить icmp трафику от r2 к r1 действие правил разрешается командой enable p.73
- Разрешающее проходить icmp трафику между r1 и esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны lan p.73
- Получателя трафика выступает сам маршрутизатор esr то есть трафик не является транзитным то в качестве параметра указывается зона self создадим пару зон для трафика идущего из зоны wan в зону self добавим правило разрешающее проходить icmp трафику между r2 и маршрутизатором esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны wan p.73
- На маршрутизаторе всегда существует зона безопасности с именем self если в качестве p.73
- Для пропуска трафика из зоны wan в зону lan создадим пару зон и добавим правило p.73
- Фильтрации фрагментов p.74
- Создадим пару зон для фильтрации фрагментов из зоны wan добавим правило для p.74
- Разрешающее ssh трафик от r2 к r1 и правило со следующим порядковым номером для логирования блокировок ssh сессии до r1 со всех ip p.74
- Второй зоной безопасности по умолчанию является зона с именем any в эту зону p.74
- Включаются все зоны безопасности маршрутизатора за исключением зоны self т е все зоны безопасности созданные администратором p.74
- В пару зон из wan в зону lan добавим правило c порядковым номером 2 p.74
- Процесс настройки p.75
- Настройка списков доступа acl p.75
- Пример конфигурации p.78
- Конфигурирование статических маршрутов p.78
- Процесс настройки p.79
- Пример конфигурации p.79
- Устройство r2 192 68 00 p.80
- Создадим маршрут для взаимодействия с сетью 10 8 используя в качестве шлюза p.80
- Рисунок 10 схема сети p.80
- Решение p.80
- Интерфейс r1 будет подключен к устройству r2 для последующей маршрутизации трафика p.80
- Зададим имя устройства для маршрутизатора r1 p.80
- Для интерфейса gi1 0 3 укажем адрес 198 1 00 30 и зону wan через данный интерфейс p.80
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный p.80
- Для интерфейса gi1 0 1 укажем адрес 192 68 24 и зону lan через данный интерфейс p.80
- R1 будет подключен к сети internet p.80
- R1 будет подключен к сети 192 68 24 p.80
- Будет подключен к сети 10 8 p.81
- Создадим маршрут по умолчанию указав в качестве nexthop ip адрес интерфейса gi1 0 2 p.81
- Создадим маршрут для взаимодействия с сетью internet используя в качестве nexthop шлюз p.81
- Проверить таблицу маршрутов можно командой p.81
- Провайдера 198 1 00 p.81
- Маршрутизатора r1 192 68 00 p.81
- Командам p.81
- Интерфейс r2 будет подключен к устройству r1 для последующей маршрутизации трафика p.81
- Изменения конфигурации на маршрутизаторе r2 вступят в действие по следующим p.81
- Изменения конфигурации на маршрутизаторе r1 вступят в действие по следующим p.81
- Зададим имя устройства для маршрутизатора r2 p.81
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный p.81
- Для интерфейса gi1 0 1 укажем адрес 10 8 и зону lan через данный интерфейс r2 p.81
- Процесс настройки p.82
- Настройка ppp через e1 p.82
- Пример конфигурации p.85
- Настройка bridge p.86
- Процесс настройки p.86
- Пример конфигурации 1 p.87
- Пример конфигурации 2 p.88
- Создадим правила в firewall разрешающие свободное прохождение трафика между зонами p.89
- Создадим bridge 60 привяжем vlan 60 укажем ip адрес 10 0 24 и членство в зоне p.89
- Посмотреть членство интерфейсов в мосте можно командой p.89
- Изменения конфигурации вступят в действие по следующим командам p.89
- Процесс настройки p.90
- Настройка rip p.90
- Пример конфигурации p.94
- Процесс настройки p.95
- Настройка ospf p.95
- Пример конфигурации 1 p.103
- Изменения конфигурации вступают в действие по команде применения p.104
- Задача изменить тип области 1 область должна быть nssa маршрутизатор r3 должен p.104
- Анонсировать маршруты полученные по протоколу rip p.104
- Рисунок 10 6 схема сети p.104
- Решение предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме p.104
- Протокола rip p.104
- Пример конфигурации 2 p.104
- Приведенной на рисунке 10 7 p.104
- На тупиковом маршрутизаторе r3 включим анонсирование маршрутной информации из p.104
- Конфигурирования области выполним команду p.104
- Изменим тип области на nssa на каждом маршрутизаторе из области 1 в режиме p.104
- Изменения конфигурации вступят в действие после применения p.104
- Пример конфигурации 3 p.105
- Процесс настройки p.106
- Настройка bgp p.106
- Пример конфигурации p.112
- Изменения конфигурации вступят в действие после применения p.113
- Входим в режим конфигурирования маршрутной информации для ipv4 p.113
- Включим работу протокола p.113
- Таблицу маршрутов протокола bgp можно просмотреть с помощью команды p.113
- Создадим соседства с 10 85 10 19 с указанием автономных систем p.113
- Создадим bgp процесс для as 2500 и войдем в режим конфигурирования параметров p.113
- Процесса p.113
- Объявим подсети подключённые напрямую p.113
- Необходимо в firewall разрешить tcp порт 179 p.113
- Информацию о bgp пирах можно посмотреть командой p.113
- Процесс настройки p.114
- Настройка политики маршрутизации pbr p.114
- Настройка route map для bgp p.114
- Пример конфигурации 1 p.118
- Изменения конфигурации вступят в действие после применения p.119
- Задача p.119
- Если community содержит 2500 25 то назначаем ему med 240 и origin egp p.119
- Для всей передаваемой маршрутной информации с community 2500 25 назначить med p.119
- В bgp процессе as 2500 заходим в настройки параметров соседа p.119
- Создаем правило p.119
- Создаем политику p.119
- Решение p.119
- Равный 240 и указать источник маршрутной информации egp p.119
- Пример конфигурации 2 p.119
- Привязываем политику к анонсируемой маршрутной информации p.119
- Предварительно p.119
- Настроить bgp c as 2500 на esr p.119
- Процесс настройки p.120
- Пример конфигурации p.120
- Route map на основе списков доступа policy based routing p.120
- Создаем правило 1 p.121
- Создаем политику p.121
- Создаем acl p.121
- Рисунок 10 1 схема сети p.121
- Решение p.121
- Указываем список доступа acl в качестве фильтра p.121
- Указываем nexthop для sub20 p.121
- Указываем список доступа acl в качестве фильтра p.122
- Указываем nexthop для sub30 и выходим p.122
- Туннелирования сетевых пакетов его основное назначение инкапсуляция пакетов сетевого уровня сетевой модели osi в ip пакеты gre может использоваться для организации vpn на 3 м уровне модели osi в маршрутизаторе esr реализованы статические неуправляемые gre туннели то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах параметры туннеля для каждой из сторон должны быть взаимосогласованными или p.122
- Создаем правило 2 p.122
- Привязываем политику на соответствующий интерфейс p.122
- Правилом 2 будет обеспечена маршрутизация трафика с сети 10 0 24 на адрес p.122
- Правилом 1 будет обеспечена маршрутизация трафика с сети 10 0 24 на адрес p.122
- Настройка gre туннелей p.122
- Изменения конфигурации вступят в действие после применения p.122
- Заходим на интерфейс te 1 0 1 p.122
- Gre англ generic routing encapsulation общая инкапсуляция маршрутов протокол p.122
- 50 а при его недоступности на адрес 198 1 00 3 приоритетность шлюзов задается значениями метрик 10 и 30 p.122
- 1 00 3 а при его недоступности на адрес 192 50 приоритетность задается значениями метрик p.122
- Процесс настройки p.123
- Пример конфигурации p.124
- Настройка l2tpv3 туннелей p.126
- Процесс настройки p.127
- Пример конфигурации p.128
- Процесс настройки p.130
- Настройка dual homin p.130
- Пример конфигурации p.131
- Настройка qos p.132
- Процесс настройки p.133
- Базовый qos p.133
- Пример конфигурации p.136
- Расширенный qos p.137
- Процесс настройки p.137
- Пример конфигурации p.142
- Выходим p.143
- Включаем qos на интерфейсах политику на входе интерфейса gi 1 0 19 для классификации и p.143
- Создаём политику и определяем ограничение общей полосы пропускания p.143
- Создаем классы fl1 и fl2 указываем соответствующие списки доступа настраиваем p.143
- Осуществляем привязку класса к политике настраиваем ограничение полосы пропускания и p.143
- На выходе gi1 0 20 для применения ограничений и режима sfq для класса по умолчанию p.143
- Маркировку p.143
- Для другого трафика настраиваем класс с режимом sfq p.143
- Процесс настройки удаленного зеркалирования p.144
- Настройка зеркалировани p.144
- Процесс настройки локального зеркалирования p.145
- Пример конфигурации p.145
- Настройка netflow p.146
- Процесс настройки p.147
- Пример конфигурации p.147
- Настройка sflow p.148
- Процесс настройки p.149
- Пример конфигурации p.149
- Укажем ip адрес коллектора p.150
- Рисунок 10 9 схема сети p.150
- Решение p.150
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности p.150
- Направления trusted untrusted p.150
- Для сетей esr создадим две зоны безопасности p.150
- Включим экспорт статистики по протоколу sflow для любого трафика в правиле rule1 для p.150
- Настройка sflow для учета трафика с интерфейса осуществляется аналогично 10 1 настройка p.151
- Изменения конфигурации вступят в действие после применения p.151
- Активируем sflow на маршрутизаторе p.151
- Netflow p.151
- Процесс настройки p.152
- Настройка lacp p.152
- Пример конфигурации p.153
- Процесс настройки p.154
- Настройка vrrp p.154
- Пример конфигурации 1 p.157
- Пример конфигурации 2 p.158
- Процесс настройки p.160
- Настройка multiwan p.160
- Пример конфигурации p.163
- Соединения p.164
- Правила p.164
- Настроим интерфейсы в режиме конфигурирования интерфейса te1 0 1 указываем nexthop p.164
- Изменения конфигурации вступят в действие после применения p.164
- Зададим адрес для проверки включим проверку указанного адреса и выйдем p.164
- Для переключения в режим резервирования настроим следующее p.164
- Включим созданное правило балансировки и выйдем из режима конфигурирования p.164
- В режиме конфигурирования интерфейса te1 0 2 указываем nexthop p.164
- В режиме конфигурирования интерфейса te1 0 2 включаем wan режим и выходим p.164
- В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки p.164
- В режиме конфигурирования интерфейса te1 0 1 включаем wan режим и выходим p.164
- Создадим цель проверки целостности p.164
- Создадим список для проверки целостности соединения p.164
- Процесс настройки p.165
- Настройка snmp p.165
- Пример конфигурации p.168
- Настройка syslog p.169
- Процесс настройки p.169
- Пример конфигурации p.172
- Процесс настройки p.173
- Проверка целостности p.173
- Пример конфигурации p.173
Похожие устройства
-
Eltex RG-5440G-WZРуководство по работе с устройством -
Eltex RG-5440G-WACРуководство по настройке
-
Eltex RG-35-WACРуководство по эксплуатации -
Eltex ME5100SСправочник команд CLI -
Eltex ME5100SТехническое описание -
Eltex ME5100SРуководство по настройке -
Eltex ME5100SРуководство по установке и быстрому запуску -
Eltex ME5000MСправочник команд CLI
-
Eltex ME5000MТехническое описание -
Eltex ME5000MРуководство по настройке
-
Eltex ME5000MРуководство по установке и быстрому запуску
-
Eltex ME2001Техническое описание
Изучите, как настроить правила межсетевого экрана, включая действия, протоколы и адреса. Подробные инструкции по созданию эффективной защиты сети.