![Eltex ESR-1000 FSTEC [72/173] Для каждой сети esr создадим свою зону безопасности](/img/pdf.png)
Eltex ESR-1000 FSTEC [72/173] Для каждой сети esr создадим свою зону безопасности
![Eltex ESR-1000 FSTEC [72/173] Для каждой сети esr создадим свою зону безопасности](/views2/1832198/page72/bg48.png)
72
Решение:
Для каждой сети ESR создадим свою зону безопасности:
esr:esr# configure
esr:esr(config)# security zone LAN
esr:esr(config-zone)# exit
esr:esr(config)# security zone WAN
esr:esr(config-zone)# exit
Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности:
esr:esr(config)# interface gi1/0/2
esr:esr(config-if-gi)# ip address 192.168.12.2/24
esr:esr(config-if-gi)# security-zone LAN
esr:esr(config-if-gi)# exit
esr:esr(config)# interface gi1/0/3
esr:esr(config-if-gi)# ip address 192.168.23.2/24
esr:esr(config-if-gi)# security-zone WAN
esr:esr(config-if-gi)# exit
Для настройки правил зон безопасности потребуется создать профиль адресов сети «LAN»,
включающий адреса, которым разрешен выход в сеть «WAN», и профиль адресов сети «WAN», а
также профиль портов для SSH-сессий.
esr:esr(config)# object-group network R3
esr:esr(config-object-group-network)# ip address-range 192.168.23.2,192.168.12.2
esr:esr(config-object-group-network)# exit
esr:esr(config)# object-group network R1
esr:esr(config-object-group-network)# ip address-range 192.168.12.1
esr:esr(config-object-group-network)# exit
esr:esr(config)# object-group network R2
esr:esr(config-object-group-network)# ip address-range 192.168.23.3
esr:esr(config-object-group-network)# exit
esr:esr(config)# object-group service ssh
esr:esr(config-object-group-service)# port-range 22
esr:esr(config-object-group-service)# exit
Для пропуска трафика из зоны «LAN» в зону «WAN» создадим пару зон и добавим правило,
разрешающее проходить ICMP-трафику от R1 к R2. Действие правил разрешается командой
enable:
esr:esr(config)# security zone-pair LAN WAN
esr:esr(config-zone-pair)# rule 1
esr:esr(config-zone-pair-rule)# description ICMP
esr:esr(config-zone-pair-rule)# action permit
esr:esr(config-zone-pair-rule)# match protocol icmp
esr:esr(config-zone-pair-rule)# match destination-address R2
esr:esr(config-zone-pair-rule)# match source-address R1
Содержание
- Аннотация 4
- Назначение маршрутизатора 4
- Обозначение описание 4
- Общие сведения о маршрутизаторе 4
- Требования к персоналу 4
- Условные обозначения 4
- Функции интерфейсов 6
- Функции маршрутизатора 6
- Функции при работе с mac адресами 6
- Функции второго уровня сетевой модели osi 7
- Функции третьего уровня сетевой модели osi 7
- Функции туннелирования трафика 8
- Функции управления и конфигурирования 9
- Функции сетевой защиты 10
- Основные технические характеристики 11
- Конструктивное исполнение 14
- Конструктивное исполнение esr 1000 st 14
- Передняя панель устройства esr 1000 st 14
- Боковые панели устройства 15
- Задняя панель устройства esr 1000 st 15
- Конструктивное исполнение esr 100 st esr 200 st 16
- Передняя панель устройств esr 100 st esr 200 st 16
- Боковые панели устройства esr 100 st esr 200 st 17
- Задняя панель устройств esr 100 st esr 200 st 17
- Световая индикация 18
- Световая индикация esr 1000 st 18
- Световая индикация esr 100 st esr 200 st 20
- Крепление кронштейнов 22
- Установка и подключение 22
- Установка устройства в стойку 22
- Установка модулей питания esr 1000 st 23
- Подключение питающей сети 24
- Установка и удаление sfp трансиверов 24
- Удаление трансивера 25
- Установка трансивера 25
- Заводская конфигурация и подключение 26
- Заводская конфигурация маршрутизатора esr 26
- Интерфейс командной строки cli 26
- Подключение маршрутизатора 26
- Обновление программного обеспечения 28
- Обновление программного обеспечения средствами системы 28
- Обновление программного обеспечения из начального загрузчика 31
- Авторизации в консоли управления initial cli как в примере ниже 32
- Перезагрузите устройство и дождитесь запуска ос должна появиться возможность 32
- Пример 32
- Изменение пароля пользователей 33
- Конфигурирование базовых параметров 33
- Конфигурирование маршрутизатора 33
- Создание новых пользователей 33
- Назначение имени устройства 34
- Настройка параметров публичной сети 34
- Применение базовых настроек 35
- Настройка vlan 36
- Примеры настройки маршрутизатора 36
- Процесс настройки 36
- Пример конфигурации 1 37
- Пример конфигурации 2 37
- Пример конфигурации 3 38
- Настройка ааа 39
- Процесс настройки aaa по протоколу radius 39
- Процесс настройки aaa по протоколу tacacs 42
- Процесс настройки aaa по протоколу ldap 44
- Пример конфигурации 48
- Настройка привилегий команд 49
- Пример настройки 49
- Процесс настройки 49
- Настройка dhcp сервера 50
- Процесс настройки 50
- Пример настройки 53
- Для разрешения прохождения сообщений протокола dhcp к серверу необходимо создать 54
- Для того чтобы dhcp сервер мог раздавать ip адреса из конфигурируемого пула на 54
- Изменения конфигурации вступят в действие после применения 54
- Имя домена eltex loc 54
- Маршрутизаторе должен быть создан ip интерфейс принадлежащий к той же подсети что и адреса пула 54
- Разрешим работу сервера 54
- Соответствующие профили портов включающие порт источника 68 и порт назначения 67 используемые протоколом dhcp и создать разрешающее правило в политике безопасности для прохождения пакетов протокола udp 54
- Список dns серверов dns1 172 6 dns2 8 54
- Просмотреть сконфигурированные пулы адресов можно командами 55
- Просмотреть список арендованных адресов можно с помощью команды 55
- Конфигурирование destination nat 56
- Процесс настройки 56
- Пример конфигурации 58
- Net_uplink профиль адресов публичной сети 59
- Server_ip профиль адресов локальной сети 59
- Srv_http профиль портов 59
- Адресов в атрибутах набора укажем что правила применяются только для пакетов пришедших из зоны untrust набор правил включает в себя требования соответствия данных по адресу и порту назначения match destination address match destination port по протоколу кроме этого в наборе задано действие применяемое к данным удовлетворяющим всем правилам action destination nat набор правил вводится в действие командой enable 59
- Войдем в режим конфигурирования функции dnat и создадим пул адресов и портов 59
- И правил dnat 59
- Назначения в которые будут транслироваться адреса пакетов поступающие на адрес 1 из внешней сети 59
- Создадим набор правил dnat в соответствии с которыми будет производиться трансляция 59
- Создадим профили ip адресов и портов которые потребуются для настройки правил firewall 59
- Ip адресов этим компьютера 60
- Для пропуска трафика идущего из зоны untrust в trust создадим соответствующую 60
- Изменения конфигурации вступят в действие после применения 60
- Компьютерам находящимся в локальной сети при этом не требуется назначения публичных 60
- Конфигурирование source nat 60
- Пару зон пропускать следует только трафик с адресом назначения соответствующим заданному в профиле server_ip и прошедший преобразование dnat 60
- Произведенные настройки можно посмотреть с помощью команд 60
- Проходящих через сетевой шлюз при прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза дополнительно к адресу источника может применяться замена порта источника при прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта 60
- Функция snat может быть использована для предоставления доступа в интернет 60
- Функция source nat snat используется для подмены адреса источника у пакетов 60
- Процесс настройки 61
- Пример конфигурации 1 63
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила 64
- Для пропуска трафика из зоны trust в зону untrust создадим пару зон и добавим 64
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в 64
- Используемых для сервиса snat 64
- Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети 64
- Правила разрешающие проходить трафику в этом направлении дополнительно включена проверка адреса источника данных на принадлежность к диапазону адресов local_net для соблюдения ограничения на выход в публичную сеть действие правил разрешается командой enable 64
- Применяются только для пакетов направляющихся в публичную сеть в зону untrust правила включают проверку адреса источника данных на принадлежность к пулу local_net 64
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на 64
- Пример конфигурации 2 65
- Local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool 66
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила 66
- Для конфигурирования функции snat потребуется создать профиль адресов локальной сети 66
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в 66
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них 66
- Должна быть настроена маршрутизация адрес 10 2 должен быть назначен адресом шлюза 66
- Конфигурируем сервис snat 66
- На самом маршрутизаторе также должен быть создан маршрут для направления на 66
- Первым шагом создаётся пул адресов публичной сети используемых для сервиса snat 66
- Применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net 66
- Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды 66
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool 66
- Конфигурирование firewall 67
- Процесс настройки 67
- Пример конфигурации 71
- Включающий адреса которым разрешен выход в сеть wan и профиль адресов сети wan а также профиль портов для ssh сессий 72
- Для каждой сети esr создадим свою зону безопасности 72
- Для настройки правил зон безопасности потребуется создать профиль адресов сети lan 72
- Для пропуска трафика из зоны lan в зону wan создадим пару зон и добавим правило 72
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 72
- Разрешающее проходить icmp трафику от r1 к r2 действие правил разрешается командой enable 72
- Решение 72
- Для пропуска трафика из зоны wan в зону lan создадим пару зон и добавим правило 73
- На маршрутизаторе всегда существует зона безопасности с именем self если в качестве 73
- Получателя трафика выступает сам маршрутизатор esr то есть трафик не является транзитным то в качестве параметра указывается зона self создадим пару зон для трафика идущего из зоны wan в зону self добавим правило разрешающее проходить icmp трафику между r2 и маршрутизатором esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны wan 73
- Разрешающее проходить icmp трафику между r1 и esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны lan 73
- Разрешающее проходить icmp трафику от r2 к r1 действие правил разрешается командой enable 73
- Создадим пару зон для трафика идущего из зоны lan в зону self добавим правило 73
- В пару зон из wan в зону lan добавим правило c порядковым номером 2 74
- Включаются все зоны безопасности маршрутизатора за исключением зоны self т е все зоны безопасности созданные администратором 74
- Второй зоной безопасности по умолчанию является зона с именем any в эту зону 74
- Разрешающее ssh трафик от r2 к r1 и правило со следующим порядковым номером для логирования блокировок ssh сессии до r1 со всех ip 74
- Создадим пару зон для фильтрации фрагментов из зоны wan добавим правило для 74
- Фильтрации фрагментов 74
- Настройка списков доступа acl 75
- Процесс настройки 75
- Конфигурирование статических маршрутов 78
- Пример конфигурации 78
- Пример конфигурации 79
- Процесс настройки 79
- R1 будет подключен к сети 192 68 24 80
- R1 будет подключен к сети internet 80
- Для интерфейса gi1 0 1 укажем адрес 192 68 24 и зону lan через данный интерфейс 80
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный 80
- Для интерфейса gi1 0 3 укажем адрес 198 1 00 30 и зону wan через данный интерфейс 80
- Зададим имя устройства для маршрутизатора r1 80
- Интерфейс r1 будет подключен к устройству r2 для последующей маршрутизации трафика 80
- Решение 80
- Рисунок 10 схема сети 80
- Создадим маршрут для взаимодействия с сетью 10 8 используя в качестве шлюза 80
- Устройство r2 192 68 00 80
- Будет подключен к сети 10 8 81
- Для интерфейса gi1 0 1 укажем адрес 10 8 и зону lan через данный интерфейс r2 81
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный 81
- Зададим имя устройства для маршрутизатора r2 81
- Изменения конфигурации на маршрутизаторе r1 вступят в действие по следующим 81
- Изменения конфигурации на маршрутизаторе r2 вступят в действие по следующим 81
- Интерфейс r2 будет подключен к устройству r1 для последующей маршрутизации трафика 81
- Командам 81
- Маршрутизатора r1 192 68 00 81
- Провайдера 198 1 00 81
- Проверить таблицу маршрутов можно командой 81
- Создадим маршрут для взаимодействия с сетью internet используя в качестве nexthop шлюз 81
- Создадим маршрут по умолчанию указав в качестве nexthop ip адрес интерфейса gi1 0 2 81
- Настройка ppp через e1 82
- Процесс настройки 82
- Пример конфигурации 85
- Настройка bridge 86
- Процесс настройки 86
- Пример конфигурации 1 87
- Пример конфигурации 2 88
- Изменения конфигурации вступят в действие по следующим командам 89
- Посмотреть членство интерфейсов в мосте можно командой 89
- Создадим bridge 60 привяжем vlan 60 укажем ip адрес 10 0 24 и членство в зоне 89
- Создадим правила в firewall разрешающие свободное прохождение трафика между зонами 89
- Настройка rip 90
- Процесс настройки 90
- Пример конфигурации 94
- Настройка ospf 95
- Процесс настройки 95
- Пример конфигурации 1 103
- Анонсировать маршруты полученные по протоколу rip 104
- Задача изменить тип области 1 область должна быть nssa маршрутизатор r3 должен 104
- Изменения конфигурации вступают в действие по команде применения 104
- Изменения конфигурации вступят в действие после применения 104
- Изменим тип области на nssa на каждом маршрутизаторе из области 1 в режиме 104
- Конфигурирования области выполним команду 104
- На тупиковом маршрутизаторе r3 включим анонсирование маршрутной информации из 104
- Приведенной на рисунке 10 7 104
- Пример конфигурации 2 104
- Протокола rip 104
- Решение предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме 104
- Рисунок 10 6 схема сети 104
- Пример конфигурации 3 105
- Настройка bgp 106
- Процесс настройки 106
- Пример конфигурации 112
- Включим работу протокола 113
- Входим в режим конфигурирования маршрутной информации для ipv4 113
- Изменения конфигурации вступят в действие после применения 113
- Информацию о bgp пирах можно посмотреть командой 113
- Необходимо в firewall разрешить tcp порт 179 113
- Объявим подсети подключённые напрямую 113
- Процесса 113
- Создадим bgp процесс для as 2500 и войдем в режим конфигурирования параметров 113
- Создадим соседства с 10 85 10 19 с указанием автономных систем 113
- Таблицу маршрутов протокола bgp можно просмотреть с помощью команды 113
- Настройка route map для bgp 114
- Настройка политики маршрутизации pbr 114
- Процесс настройки 114
- Пример конфигурации 1 118
- В bgp процессе as 2500 заходим в настройки параметров соседа 119
- Для всей передаваемой маршрутной информации с community 2500 25 назначить med 119
- Если community содержит 2500 25 то назначаем ему med 240 и origin egp 119
- Задача 119
- Изменения конфигурации вступят в действие после применения 119
- Настроить bgp c as 2500 на esr 119
- Предварительно 119
- Привязываем политику к анонсируемой маршрутной информации 119
- Пример конфигурации 2 119
- Равный 240 и указать источник маршрутной информации egp 119
- Решение 119
- Создаем политику 119
- Создаем правило 119
- Route map на основе списков доступа policy based routing 120
- Пример конфигурации 120
- Процесс настройки 120
- Решение 121
- Рисунок 10 1 схема сети 121
- Создаем acl 121
- Создаем политику 121
- Создаем правило 1 121
- Указываем nexthop для sub20 121
- Указываем список доступа acl в качестве фильтра 121
- 1 00 3 а при его недоступности на адрес 192 50 приоритетность задается значениями метрик 122
- 50 а при его недоступности на адрес 198 1 00 3 приоритетность шлюзов задается значениями метрик 10 и 30 122
- Gre англ generic routing encapsulation общая инкапсуляция маршрутов протокол 122
- Заходим на интерфейс te 1 0 1 122
- Изменения конфигурации вступят в действие после применения 122
- Настройка gre туннелей 122
- Правилом 1 будет обеспечена маршрутизация трафика с сети 10 0 24 на адрес 122
- Правилом 2 будет обеспечена маршрутизация трафика с сети 10 0 24 на адрес 122
- Привязываем политику на соответствующий интерфейс 122
- Создаем правило 2 122
- Туннелирования сетевых пакетов его основное назначение инкапсуляция пакетов сетевого уровня сетевой модели osi в ip пакеты gre может использоваться для организации vpn на 3 м уровне модели osi в маршрутизаторе esr реализованы статические неуправляемые gre туннели то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах параметры туннеля для каждой из сторон должны быть взаимосогласованными или 122
- Указываем nexthop для sub30 и выходим 122
- Указываем список доступа acl в качестве фильтра 122
- Процесс настройки 123
- Пример конфигурации 124
- Настройка l2tpv3 туннелей 126
- Процесс настройки 127
- Пример конфигурации 128
- Настройка dual homin 130
- Процесс настройки 130
- Пример конфигурации 131
- Настройка qos 132
- Базовый qos 133
- Процесс настройки 133
- Пример конфигурации 136
- Процесс настройки 137
- Расширенный qos 137
- Пример конфигурации 142
- Включаем qos на интерфейсах политику на входе интерфейса gi 1 0 19 для классификации и 143
- Выходим 143
- Для другого трафика настраиваем класс с режимом sfq 143
- Маркировку 143
- На выходе gi1 0 20 для применения ограничений и режима sfq для класса по умолчанию 143
- Осуществляем привязку класса к политике настраиваем ограничение полосы пропускания и 143
- Создаем классы fl1 и fl2 указываем соответствующие списки доступа настраиваем 143
- Создаём политику и определяем ограничение общей полосы пропускания 143
- Настройка зеркалировани 144
- Процесс настройки удаленного зеркалирования 144
- Пример конфигурации 145
- Процесс настройки локального зеркалирования 145
- Настройка netflow 146
- Пример конфигурации 147
- Процесс настройки 147
- Настройка sflow 148
- Пример конфигурации 149
- Процесс настройки 149
- Включим экспорт статистики по протоколу sflow для любого трафика в правиле rule1 для 150
- Для сетей esr создадим две зоны безопасности 150
- Направления trusted untrusted 150
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 150
- Решение 150
- Рисунок 10 9 схема сети 150
- Укажем ip адрес коллектора 150
- Netflow 151
- Активируем sflow на маршрутизаторе 151
- Изменения конфигурации вступят в действие после применения 151
- Настройка sflow для учета трафика с интерфейса осуществляется аналогично 10 1 настройка 151
- Настройка lacp 152
- Процесс настройки 152
- Пример конфигурации 153
- Настройка vrrp 154
- Процесс настройки 154
- Пример конфигурации 1 157
- Пример конфигурации 2 158
- Настройка multiwan 160
- Процесс настройки 160
- Пример конфигурации 163
- В режиме конфигурирования интерфейса te1 0 1 включаем wan режим и выходим 164
- В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки 164
- В режиме конфигурирования интерфейса te1 0 2 включаем wan режим и выходим 164
- В режиме конфигурирования интерфейса te1 0 2 указываем nexthop 164
- Включим созданное правило балансировки и выйдем из режима конфигурирования 164
- Для переключения в режим резервирования настроим следующее 164
- Зададим адрес для проверки включим проверку указанного адреса и выйдем 164
- Изменения конфигурации вступят в действие после применения 164
- Настроим интерфейсы в режиме конфигурирования интерфейса te1 0 1 указываем nexthop 164
- Правила 164
- Соединения 164
- Создадим список для проверки целостности соединения 164
- Создадим цель проверки целостности 164
- Настройка snmp 165
- Процесс настройки 165
- Пример конфигурации 168
- Настройка syslog 169
- Процесс настройки 169
- Пример конфигурации 172
- Пример конфигурации 173
- Проверка целостности 173
- Процесс настройки 173
Похожие устройства
- Eltex ESR-1000 FSTEC Руководство по эксплуатации. Версия 1.5
- Eltex ESR-1000 FSTEC Справочник команд CLI. Версия 1.5
- Eltex ESR-1500 FSTEC Техническое описание
- Eltex ESR-1500 FSTEC Краткая техническая информация по сопутствующим блокам питания
- Eltex ESR-1500 FSTEC Руководство по эксплуатации
- Eltex ESR-1511 FSTEC Краткая техническая информация по сопутствующим блокам питания
- Eltex ESR-1511 FSTEC Техническое описание
- Eltex ESR-1511 FSTEC Руководство по эксплуатации
- Eltex ESR-100-ST Техническое описание
- Eltex ESR-100-ST Руководство по эксплуатации
- Eltex ESR-200-ST Техническое описание
- Eltex ESR-200-ST Руководство по эксплуатации
- Eltex ESR-1000-ST Техническое описание
- Eltex ESR-1000-ST Руководство по эксплуатации
- Eltex NTU-52V Краткое техническое описание
- Eltex NTU-52V Руководство по эксплуатации
- Eltex NTU-RG-1421G-WZ Руководство пользователя
- Eltex NTU-RG-1421G-WZ Краткое техническое описание
- Eltex NTU-MD500P Краткое техническое описание
- Eltex NTU-MD500P Руководство по эксплуатации