![Eltex ESR-1000 FSTEC [10/173] Функции сетевой защиты](/img/pdf.png)
Eltex ESR-1000 FSTEC [10/173] Функции сетевой защиты
![Eltex ESR-100 FSTEC [10/173] Функции сетевой защиты](/views2/1832198/page10/bga.png)
10
аутентификации. Для взаимодействия с сервером используются
протоколы RADIUS и TACACS.
Сервер SSH
Функции сервера SSH позволяют установить соединение с
устройством для управления им.
Автоматическое
восстановление
конфигурации
Устройство поддерживает автоматическую систему
восстановления конфигурации, которая предотвращает ситуации
потери удаленного доступа к устройству после смены
конфигурации. Если в течение заданного времени после
изменения конфигурации не было введено подтверждение –
произойдет автоматический откат конфигурации до предыдущего
использовавшегося состояния.
2.7 Функции сетевой защиты
В таблице 2.7 приведены функции сетевой защиты, выполняемые устройством.
Таблица 2.7 – Функции сетевой защиты
Зоны безопасности
Все интерфейсы маршрутизатора распределяются по зонам
безопасности.
Для каждой пары зон настраиваются правила, определяющие
возможность или невозможность прохождения данных между зонами,
правила фильтрации трафика данных.
Фильтрация данных
Для каждой пары зон безопасности составляется набор правил,
которые позволяют управлять фильтрацией данных, проходящих через
маршрутизатор.
Командный интерфейс устройства предоставляет средства для
детальной настройки правил классификации трафика и для назначения
результирующего решения о пропуске трафика.
Содержание
- Аннотация 4
- Назначение маршрутизатора 4
- Обозначение описание 4
- Общие сведения о маршрутизаторе 4
- Требования к персоналу 4
- Условные обозначения 4
- Функции интерфейсов 6
- Функции маршрутизатора 6
- Функции при работе с mac адресами 6
- Функции второго уровня сетевой модели osi 7
- Функции третьего уровня сетевой модели osi 7
- Функции туннелирования трафика 8
- Функции управления и конфигурирования 9
- Функции сетевой защиты 10
- Основные технические характеристики 11
- Конструктивное исполнение 14
- Конструктивное исполнение esr 1000 st 14
- Передняя панель устройства esr 1000 st 14
- Боковые панели устройства 15
- Задняя панель устройства esr 1000 st 15
- Конструктивное исполнение esr 100 st esr 200 st 16
- Передняя панель устройств esr 100 st esr 200 st 16
- Боковые панели устройства esr 100 st esr 200 st 17
- Задняя панель устройств esr 100 st esr 200 st 17
- Световая индикация 18
- Световая индикация esr 1000 st 18
- Световая индикация esr 100 st esr 200 st 20
- Крепление кронштейнов 22
- Установка и подключение 22
- Установка устройства в стойку 22
- Установка модулей питания esr 1000 st 23
- Подключение питающей сети 24
- Установка и удаление sfp трансиверов 24
- Удаление трансивера 25
- Установка трансивера 25
- Заводская конфигурация и подключение 26
- Заводская конфигурация маршрутизатора esr 26
- Интерфейс командной строки cli 26
- Подключение маршрутизатора 26
- Обновление программного обеспечения 28
- Обновление программного обеспечения средствами системы 28
- Обновление программного обеспечения из начального загрузчика 31
- Авторизации в консоли управления initial cli как в примере ниже 32
- Перезагрузите устройство и дождитесь запуска ос должна появиться возможность 32
- Пример 32
- Изменение пароля пользователей 33
- Конфигурирование базовых параметров 33
- Конфигурирование маршрутизатора 33
- Создание новых пользователей 33
- Назначение имени устройства 34
- Настройка параметров публичной сети 34
- Применение базовых настроек 35
- Настройка vlan 36
- Примеры настройки маршрутизатора 36
- Процесс настройки 36
- Пример конфигурации 1 37
- Пример конфигурации 2 37
- Пример конфигурации 3 38
- Настройка ааа 39
- Процесс настройки aaa по протоколу radius 39
- Процесс настройки aaa по протоколу tacacs 42
- Процесс настройки aaa по протоколу ldap 44
- Пример конфигурации 48
- Настройка привилегий команд 49
- Пример настройки 49
- Процесс настройки 49
- Настройка dhcp сервера 50
- Процесс настройки 50
- Пример настройки 53
- Для разрешения прохождения сообщений протокола dhcp к серверу необходимо создать 54
- Для того чтобы dhcp сервер мог раздавать ip адреса из конфигурируемого пула на 54
- Изменения конфигурации вступят в действие после применения 54
- Имя домена eltex loc 54
- Маршрутизаторе должен быть создан ip интерфейс принадлежащий к той же подсети что и адреса пула 54
- Разрешим работу сервера 54
- Соответствующие профили портов включающие порт источника 68 и порт назначения 67 используемые протоколом dhcp и создать разрешающее правило в политике безопасности для прохождения пакетов протокола udp 54
- Список dns серверов dns1 172 6 dns2 8 54
- Просмотреть сконфигурированные пулы адресов можно командами 55
- Просмотреть список арендованных адресов можно с помощью команды 55
- Конфигурирование destination nat 56
- Процесс настройки 56
- Пример конфигурации 58
- Net_uplink профиль адресов публичной сети 59
- Server_ip профиль адресов локальной сети 59
- Srv_http профиль портов 59
- Адресов в атрибутах набора укажем что правила применяются только для пакетов пришедших из зоны untrust набор правил включает в себя требования соответствия данных по адресу и порту назначения match destination address match destination port по протоколу кроме этого в наборе задано действие применяемое к данным удовлетворяющим всем правилам action destination nat набор правил вводится в действие командой enable 59
- Войдем в режим конфигурирования функции dnat и создадим пул адресов и портов 59
- И правил dnat 59
- Назначения в которые будут транслироваться адреса пакетов поступающие на адрес 1 из внешней сети 59
- Создадим набор правил dnat в соответствии с которыми будет производиться трансляция 59
- Создадим профили ip адресов и портов которые потребуются для настройки правил firewall 59
- Ip адресов этим компьютера 60
- Для пропуска трафика идущего из зоны untrust в trust создадим соответствующую 60
- Изменения конфигурации вступят в действие после применения 60
- Компьютерам находящимся в локальной сети при этом не требуется назначения публичных 60
- Конфигурирование source nat 60
- Пару зон пропускать следует только трафик с адресом назначения соответствующим заданному в профиле server_ip и прошедший преобразование dnat 60
- Произведенные настройки можно посмотреть с помощью команд 60
- Проходящих через сетевой шлюз при прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза дополнительно к адресу источника может применяться замена порта источника при прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта 60
- Функция snat может быть использована для предоставления доступа в интернет 60
- Функция source nat snat используется для подмены адреса источника у пакетов 60
- Процесс настройки 61
- Пример конфигурации 1 63
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила 64
- Для пропуска трафика из зоны trust в зону untrust создадим пару зон и добавим 64
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в 64
- Используемых для сервиса snat 64
- Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети 64
- Правила разрешающие проходить трафику в этом направлении дополнительно включена проверка адреса источника данных на принадлежность к диапазону адресов local_net для соблюдения ограничения на выход в публичную сеть действие правил разрешается командой enable 64
- Применяются только для пакетов направляющихся в публичную сеть в зону untrust правила включают проверку адреса источника данных на принадлежность к пулу local_net 64
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на 64
- Пример конфигурации 2 65
- Local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool 66
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила 66
- Для конфигурирования функции snat потребуется создать профиль адресов локальной сети 66
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в 66
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них 66
- Должна быть настроена маршрутизация адрес 10 2 должен быть назначен адресом шлюза 66
- Конфигурируем сервис snat 66
- На самом маршрутизаторе также должен быть создан маршрут для направления на 66
- Первым шагом создаётся пул адресов публичной сети используемых для сервиса snat 66
- Применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net 66
- Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды 66
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool 66
- Конфигурирование firewall 67
- Процесс настройки 67
- Пример конфигурации 71
- Включающий адреса которым разрешен выход в сеть wan и профиль адресов сети wan а также профиль портов для ssh сессий 72
- Для каждой сети esr создадим свою зону безопасности 72
- Для настройки правил зон безопасности потребуется создать профиль адресов сети lan 72
- Для пропуска трафика из зоны lan в зону wan создадим пару зон и добавим правило 72
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 72
- Разрешающее проходить icmp трафику от r1 к r2 действие правил разрешается командой enable 72
- Решение 72
- Для пропуска трафика из зоны wan в зону lan создадим пару зон и добавим правило 73
- На маршрутизаторе всегда существует зона безопасности с именем self если в качестве 73
- Получателя трафика выступает сам маршрутизатор esr то есть трафик не является транзитным то в качестве параметра указывается зона self создадим пару зон для трафика идущего из зоны wan в зону self добавим правило разрешающее проходить icmp трафику между r2 и маршрутизатором esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны wan 73
- Разрешающее проходить icmp трафику между r1 и esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны lan 73
- Разрешающее проходить icmp трафику от r2 к r1 действие правил разрешается командой enable 73
- Создадим пару зон для трафика идущего из зоны lan в зону self добавим правило 73
- В пару зон из wan в зону lan добавим правило c порядковым номером 2 74
- Включаются все зоны безопасности маршрутизатора за исключением зоны self т е все зоны безопасности созданные администратором 74
- Второй зоной безопасности по умолчанию является зона с именем any в эту зону 74
- Разрешающее ssh трафик от r2 к r1 и правило со следующим порядковым номером для логирования блокировок ssh сессии до r1 со всех ip 74
- Создадим пару зон для фильтрации фрагментов из зоны wan добавим правило для 74
- Фильтрации фрагментов 74
- Настройка списков доступа acl 75
- Процесс настройки 75
- Конфигурирование статических маршрутов 78
- Пример конфигурации 78
- Пример конфигурации 79
- Процесс настройки 79
- R1 будет подключен к сети 192 68 24 80
- R1 будет подключен к сети internet 80
- Для интерфейса gi1 0 1 укажем адрес 192 68 24 и зону lan через данный интерфейс 80
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный 80
- Для интерфейса gi1 0 3 укажем адрес 198 1 00 30 и зону wan через данный интерфейс 80
- Зададим имя устройства для маршрутизатора r1 80
- Интерфейс r1 будет подключен к устройству r2 для последующей маршрутизации трафика 80
- Решение 80
- Рисунок 10 схема сети 80
- Создадим маршрут для взаимодействия с сетью 10 8 используя в качестве шлюза 80
- Устройство r2 192 68 00 80
- Будет подключен к сети 10 8 81
- Для интерфейса gi1 0 1 укажем адрес 10 8 и зону lan через данный интерфейс r2 81
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный 81
- Зададим имя устройства для маршрутизатора r2 81
- Изменения конфигурации на маршрутизаторе r1 вступят в действие по следующим 81
- Изменения конфигурации на маршрутизаторе r2 вступят в действие по следующим 81
- Интерфейс r2 будет подключен к устройству r1 для последующей маршрутизации трафика 81
- Командам 81
- Маршрутизатора r1 192 68 00 81
- Провайдера 198 1 00 81
- Проверить таблицу маршрутов можно командой 81
- Создадим маршрут для взаимодействия с сетью internet используя в качестве nexthop шлюз 81
- Создадим маршрут по умолчанию указав в качестве nexthop ip адрес интерфейса gi1 0 2 81
- Настройка ppp через e1 82
- Процесс настройки 82
- Пример конфигурации 85
- Настройка bridge 86
- Процесс настройки 86
- Пример конфигурации 1 87
- Пример конфигурации 2 88
- Изменения конфигурации вступят в действие по следующим командам 89
- Посмотреть членство интерфейсов в мосте можно командой 89
- Создадим bridge 60 привяжем vlan 60 укажем ip адрес 10 0 24 и членство в зоне 89
- Создадим правила в firewall разрешающие свободное прохождение трафика между зонами 89
- Настройка rip 90
- Процесс настройки 90
- Пример конфигурации 94
- Настройка ospf 95
- Процесс настройки 95
- Пример конфигурации 1 103
- Анонсировать маршруты полученные по протоколу rip 104
- Задача изменить тип области 1 область должна быть nssa маршрутизатор r3 должен 104
- Изменения конфигурации вступают в действие по команде применения 104
- Изменения конфигурации вступят в действие после применения 104
- Изменим тип области на nssa на каждом маршрутизаторе из области 1 в режиме 104
- Конфигурирования области выполним команду 104
- На тупиковом маршрутизаторе r3 включим анонсирование маршрутной информации из 104
- Приведенной на рисунке 10 7 104
- Пример конфигурации 2 104
- Протокола rip 104
- Решение предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме 104
- Рисунок 10 6 схема сети 104
- Пример конфигурации 3 105
- Настройка bgp 106
- Процесс настройки 106
- Пример конфигурации 112
- Включим работу протокола 113
- Входим в режим конфигурирования маршрутной информации для ipv4 113
- Изменения конфигурации вступят в действие после применения 113
- Информацию о bgp пирах можно посмотреть командой 113
- Необходимо в firewall разрешить tcp порт 179 113
- Объявим подсети подключённые напрямую 113
- Процесса 113
- Создадим bgp процесс для as 2500 и войдем в режим конфигурирования параметров 113
- Создадим соседства с 10 85 10 19 с указанием автономных систем 113
- Таблицу маршрутов протокола bgp можно просмотреть с помощью команды 113
- Настройка route map для bgp 114
- Настройка политики маршрутизации pbr 114
- Процесс настройки 114
- Пример конфигурации 1 118
- В bgp процессе as 2500 заходим в настройки параметров соседа 119
- Для всей передаваемой маршрутной информации с community 2500 25 назначить med 119
- Если community содержит 2500 25 то назначаем ему med 240 и origin egp 119
- Задача 119
- Изменения конфигурации вступят в действие после применения 119
- Настроить bgp c as 2500 на esr 119
- Предварительно 119
- Привязываем политику к анонсируемой маршрутной информации 119
- Пример конфигурации 2 119
- Равный 240 и указать источник маршрутной информации egp 119
- Решение 119
- Создаем политику 119
- Создаем правило 119
- Route map на основе списков доступа policy based routing 120
- Пример конфигурации 120
- Процесс настройки 120
- Решение 121
- Рисунок 10 1 схема сети 121
- Создаем acl 121
- Создаем политику 121
- Создаем правило 1 121
- Указываем nexthop для sub20 121
- Указываем список доступа acl в качестве фильтра 121
- 1 00 3 а при его недоступности на адрес 192 50 приоритетность задается значениями метрик 122
- 50 а при его недоступности на адрес 198 1 00 3 приоритетность шлюзов задается значениями метрик 10 и 30 122
- Gre англ generic routing encapsulation общая инкапсуляция маршрутов протокол 122
- Заходим на интерфейс te 1 0 1 122
- Изменения конфигурации вступят в действие после применения 122
- Настройка gre туннелей 122
- Правилом 1 будет обеспечена маршрутизация трафика с сети 10 0 24 на адрес 122
- Правилом 2 будет обеспечена маршрутизация трафика с сети 10 0 24 на адрес 122
- Привязываем политику на соответствующий интерфейс 122
- Создаем правило 2 122
- Туннелирования сетевых пакетов его основное назначение инкапсуляция пакетов сетевого уровня сетевой модели osi в ip пакеты gre может использоваться для организации vpn на 3 м уровне модели osi в маршрутизаторе esr реализованы статические неуправляемые gre туннели то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах параметры туннеля для каждой из сторон должны быть взаимосогласованными или 122
- Указываем nexthop для sub30 и выходим 122
- Указываем список доступа acl в качестве фильтра 122
- Процесс настройки 123
- Пример конфигурации 124
- Настройка l2tpv3 туннелей 126
- Процесс настройки 127
- Пример конфигурации 128
- Настройка dual homin 130
- Процесс настройки 130
- Пример конфигурации 131
- Настройка qos 132
- Базовый qos 133
- Процесс настройки 133
- Пример конфигурации 136
- Процесс настройки 137
- Расширенный qos 137
- Пример конфигурации 142
- Включаем qos на интерфейсах политику на входе интерфейса gi 1 0 19 для классификации и 143
- Выходим 143
- Для другого трафика настраиваем класс с режимом sfq 143
- Маркировку 143
- На выходе gi1 0 20 для применения ограничений и режима sfq для класса по умолчанию 143
- Осуществляем привязку класса к политике настраиваем ограничение полосы пропускания и 143
- Создаем классы fl1 и fl2 указываем соответствующие списки доступа настраиваем 143
- Создаём политику и определяем ограничение общей полосы пропускания 143
- Настройка зеркалировани 144
- Процесс настройки удаленного зеркалирования 144
- Пример конфигурации 145
- Процесс настройки локального зеркалирования 145
- Настройка netflow 146
- Пример конфигурации 147
- Процесс настройки 147
- Настройка sflow 148
- Пример конфигурации 149
- Процесс настройки 149
- Включим экспорт статистики по протоколу sflow для любого трафика в правиле rule1 для 150
- Для сетей esr создадим две зоны безопасности 150
- Направления trusted untrusted 150
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 150
- Решение 150
- Рисунок 10 9 схема сети 150
- Укажем ip адрес коллектора 150
- Netflow 151
- Активируем sflow на маршрутизаторе 151
- Изменения конфигурации вступят в действие после применения 151
- Настройка sflow для учета трафика с интерфейса осуществляется аналогично 10 1 настройка 151
- Настройка lacp 152
- Процесс настройки 152
- Пример конфигурации 153
- Настройка vrrp 154
- Процесс настройки 154
- Пример конфигурации 1 157
- Пример конфигурации 2 158
- Настройка multiwan 160
- Процесс настройки 160
- Пример конфигурации 163
- В режиме конфигурирования интерфейса te1 0 1 включаем wan режим и выходим 164
- В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки 164
- В режиме конфигурирования интерфейса te1 0 2 включаем wan режим и выходим 164
- В режиме конфигурирования интерфейса te1 0 2 указываем nexthop 164
- Включим созданное правило балансировки и выйдем из режима конфигурирования 164
- Для переключения в режим резервирования настроим следующее 164
- Зададим адрес для проверки включим проверку указанного адреса и выйдем 164
- Изменения конфигурации вступят в действие после применения 164
- Настроим интерфейсы в режиме конфигурирования интерфейса te1 0 1 указываем nexthop 164
- Правила 164
- Соединения 164
- Создадим список для проверки целостности соединения 164
- Создадим цель проверки целостности 164
- Настройка snmp 165
- Процесс настройки 165
- Пример конфигурации 168
- Настройка syslog 169
- Процесс настройки 169
- Пример конфигурации 172
- Пример конфигурации 173
- Проверка целостности 173
- Процесс настройки 173
Похожие устройства
- Eltex ESR-1000 FSTEC Руководство по эксплуатации. Версия 1.5
- Eltex ESR-1000 FSTEC Справочник команд CLI. Версия 1.5
- Eltex ESR-1500 FSTEC Техническое описание
- Eltex ESR-1500 FSTEC Краткая техническая информация по сопутствующим блокам питания
- Eltex ESR-1500 FSTEC Руководство по эксплуатации
- Eltex ESR-1511 FSTEC Краткая техническая информация по сопутствующим блокам питания
- Eltex ESR-1511 FSTEC Техническое описание
- Eltex ESR-1511 FSTEC Руководство по эксплуатации
- Eltex ESR-100-ST Техническое описание
- Eltex ESR-100-ST Руководство по эксплуатации
- Eltex ESR-200-ST Техническое описание
- Eltex ESR-200-ST Руководство по эксплуатации
- Eltex ESR-1000-ST Техническое описание
- Eltex ESR-1000-ST Руководство по эксплуатации
- Eltex NTU-52V Краткое техническое описание
- Eltex NTU-52V Руководство по эксплуатации
- Eltex NTU-RG-1421G-WZ Руководство пользователя
- Eltex NTU-RG-1421G-WZ Краткое техническое описание
- Eltex NTU-MD500P Краткое техническое описание
- Eltex NTU-MD500P Руководство по эксплуатации