![Eltex ESR-1000 FSTEC [78/173] Конфигурирование статических маршрутов](/icons/site-icon-64.png){kind=icon}
Eltex ESR-1000 FSTEC [78/173] Конфигурирование статических маршрутов
Превью страниц
Страница 78 /
173
![Eltex ESR-1000 FSTEC [78/173] Конфигурирование статических маршрутов](/views2/1832198/page78/bg4e.png)
78
16
Активировать правило
esr:esr(config-acl-rule)#
enable
17
Указать список
контроля доступа к
конфигурируемому
интерфейсу для
фильтрации входящего
трафика
esr:esr(config-if-gi)#
service-acl input
<NAME>
<NAME> – имя списка контроля
доступа, задаётся строкой до 31
символа.
Также списки доступа могут использоваться для организации политик QOS.
Пример конфигурации
Задача:
Разрешить прохождения трафика только из подсети 192.168.20.0/24.
Решение:
Настроим список доступа для фильтрации по подсетям:
esr:esr# configure
esr:esr(config)# ip access-list extended white
esr:esr(config-acl)# rule 1
esr:esr(config-acl-rule)# action permit
esr:esr(config-acl-rule)# match protocol any
esr:esr(config-acl-rule)# match source-address 192.168.20.0 255.255.255.0
esr:esr(config-acl-rule)# match destination-address any
esr:esr(config-acl-rule)# enable
esr:esr(config-acl-rule)# exit
esr:esr(config-acl)# exit
Применим список доступа на интерфейс Gi1/0/19 для входящего трафика:
esr:esr(config)# interface gigabitethernet 1/0/19
esr:esr(config-if-gi)# service-acl input white
Изменения конфигурации вступят в действие по следующим командам:
esr:esr# commit
Configuration has been successfully committed
esr:esr# confirm
Configuration has been successfully confirmed
Просмотреть детальную информацию о списке доступа возможно через команду:
esr:esr# show ip access-list white
10.9 Конфигурирование статических маршрутов
Статическая маршрутизация – вид маршрутизации, при котором маршруты указываются в
Содержание
335- Общие сведения о маршрутизаторе
- Назначение маршрутизатора
- Требования к персоналу
- Обозначение описание
- Аннотация
- Условные обозначения
- Функции интерфейсов
- Функции при работе с mac адресами
- Функции маршрутизатора
- Функции третьего уровня сетевой модели osi
- Функции второго уровня сетевой модели osi
- Функции туннелирования трафика
- Функции управления и конфигурирования
- Функции сетевой защиты
- Основные технические характеристики
- Передняя панель устройства esr 1000 st
- Конструктивное исполнение esr 1000 st
- Конструктивное исполнение
- Задняя панель устройства esr 1000 st
- Боковые панели устройства
- Передняя панель устройств esr 100 st esr 200 st
- Конструктивное исполнение esr 100 st esr 200 st
- Задняя панель устройств esr 100 st esr 200 st
- Боковые панели устройства esr 100 st esr 200 st
- Световая индикация esr 1000 st
- Световая индикация
- Световая индикация esr 100 st esr 200 st
- Установка и подключение
- Установка устройства в стойку
- Крепление кронштейнов
- Установка модулей питания esr 1000 st
- Установка и удаление sfp трансиверов
- Подключение питающей сети
- Установка трансивера
- Удаление трансивера
- Заводская конфигурация и подключение
- Подключение маршрутизатора
- Интерфейс командной строки cli
- Заводская конфигурация маршрутизатора esr
- Обновление программного обеспечения средствами системы
- Обновление программного обеспечения
- Обновление программного обеспечения из начального загрузчика
- Пример
- Перезагрузите устройство и дождитесь запуска ос должна появиться возможность
- Авторизации в консоли управления initial cli как в примере ниже
- Конфигурирование маршрутизатора
- Конфигурирование базовых параметров
- Создание новых пользователей
- Изменение пароля пользователей
- Настройка параметров публичной сети
- Назначение имени устройства
- Применение базовых настроек
- Примеры настройки маршрутизатора
- Процесс настройки
- Настройка vlan
- Пример конфигурации 1
- Пример конфигурации 2
- Пример конфигурации 3
- Процесс настройки aaa по протоколу radius
- Настройка ааа
- Процесс настройки aaa по протоколу tacacs
- Процесс настройки aaa по протоколу ldap
- Пример конфигурации
- Процесс настройки
- Пример настройки
- Настройка привилегий команд
- Настройка dhcp сервера
- Процесс настройки
- Пример настройки
- Список dns серверов dns1 172 6 dns2 8
- Соответствующие профили портов включающие порт источника 68 и порт назначения 67 используемые протоколом dhcp и создать разрешающее правило в политике безопасности для прохождения пакетов протокола udp
- Разрешим работу сервера
- Маршрутизаторе должен быть создан ip интерфейс принадлежащий к той же подсети что и адреса пула
- Имя домена eltex loc
- Изменения конфигурации вступят в действие после применения
- Для того чтобы dhcp сервер мог раздавать ip адреса из конфигурируемого пула на
- Для разрешения прохождения сообщений протокола dhcp к серверу необходимо создать
- Просмотреть список арендованных адресов можно с помощью команды
- Просмотреть сконфигурированные пулы адресов можно командами
- Процесс настройки
- Конфигурирование destination nat
- Пример конфигурации
- Адресов в атрибутах набора укажем что правила применяются только для пакетов пришедших из зоны untrust набор правил включает в себя требования соответствия данных по адресу и порту назначения match destination address match destination port по протоколу кроме этого в наборе задано действие применяемое к данным удовлетворяющим всем правилам action destination nat набор правил вводится в действие командой enable
- Server_ip профиль адресов локальной сети
- Net_uplink профиль адресов публичной сети
- Создадим профили ip адресов и портов которые потребуются для настройки правил firewall
- Создадим набор правил dnat в соответствии с которыми будет производиться трансляция
- Назначения в которые будут транслироваться адреса пакетов поступающие на адрес 1 из внешней сети
- И правил dnat
- Войдем в режим конфигурирования функции dnat и создадим пул адресов и портов
- Srv_http профиль портов
- Функция snat может быть использована для предоставления доступа в интернет
- Проходящих через сетевой шлюз при прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза дополнительно к адресу источника может применяться замена порта источника при прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта
- Произведенные настройки можно посмотреть с помощью команд
- Пару зон пропускать следует только трафик с адресом назначения соответствующим заданному в профиле server_ip и прошедший преобразование dnat
- Конфигурирование source nat
- Компьютерам находящимся в локальной сети при этом не требуется назначения публичных
- Изменения конфигурации вступят в действие после применения
- Для пропуска трафика идущего из зоны untrust в trust создадим соответствующую
- Ip адресов этим компьютера
- Функция source nat snat используется для подмены адреса источника у пакетов
- Процесс настройки
- Пример конфигурации 1
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на
- Применяются только для пакетов направляющихся в публичную сеть в зону untrust правила включают проверку адреса источника данных на принадлежность к пулу local_net
- Правила разрешающие проходить трафику в этом направлении дополнительно включена проверка адреса источника данных на принадлежность к диапазону адресов local_net для соблюдения ограничения на выход в публичную сеть действие правил разрешается командой enable
- Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети
- Используемых для сервиса snat
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в
- Для пропуска трафика из зоны trust в зону untrust создадим пару зон и добавим
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила
- Пример конфигурации 2
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в
- Для конфигурирования функции snat потребуется создать профиль адресов локальной сети
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила
- Local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool
- Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды
- Применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net
- Первым шагом создаётся пул адресов публичной сети используемых для сервиса snat
- На самом маршрутизаторе также должен быть создан маршрут для направления на
- Конфигурируем сервис snat
- Должна быть настроена маршрутизация адрес 10 2 должен быть назначен адресом шлюза
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них
- Процесс настройки
- Конфигурирование firewall
- Пример конфигурации
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности
- Для пропуска трафика из зоны lan в зону wan создадим пару зон и добавим правило
- Для настройки правил зон безопасности потребуется создать профиль адресов сети lan
- Для каждой сети esr создадим свою зону безопасности
- Включающий адреса которым разрешен выход в сеть wan и профиль адресов сети wan а также профиль портов для ssh сессий
- Решение
- Разрешающее проходить icmp трафику от r1 к r2 действие правил разрешается командой enable
- Создадим пару зон для трафика идущего из зоны lan в зону self добавим правило
- Разрешающее проходить icmp трафику от r2 к r1 действие правил разрешается командой enable
- Разрешающее проходить icmp трафику между r1 и esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны lan
- Получателя трафика выступает сам маршрутизатор esr то есть трафик не является транзитным то в качестве параметра указывается зона self создадим пару зон для трафика идущего из зоны wan в зону self добавим правило разрешающее проходить icmp трафику между r2 и маршрутизатором esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны wan
- На маршрутизаторе всегда существует зона безопасности с именем self если в качестве
- Для пропуска трафика из зоны wan в зону lan создадим пару зон и добавим правило
- Фильтрации фрагментов
- Создадим пару зон для фильтрации фрагментов из зоны wan добавим правило для
- Разрешающее ssh трафик от r2 к r1 и правило со следующим порядковым номером для логирования блокировок ssh сессии до r1 со всех ip
- Второй зоной безопасности по умолчанию является зона с именем any в эту зону
- Включаются все зоны безопасности маршрутизатора за исключением зоны self т е все зоны безопасности созданные администратором
- В пару зон из wan в зону lan добавим правило c порядковым номером 2
- Процесс настройки
- Настройка списков доступа acl
- Пример конфигурации
- Конфигурирование статических маршрутов
- Процесс настройки
- Пример конфигурации
- Устройство r2 192 68 00
- Создадим маршрут для взаимодействия с сетью 10 8 используя в качестве шлюза
- Рисунок 10 схема сети
- Решение
- Интерфейс r1 будет подключен к устройству r2 для последующей маршрутизации трафика
- Зададим имя устройства для маршрутизатора r1
- Для интерфейса gi1 0 3 укажем адрес 198 1 00 30 и зону wan через данный интерфейс
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный
- Для интерфейса gi1 0 1 укажем адрес 192 68 24 и зону lan через данный интерфейс
- R1 будет подключен к сети internet
- R1 будет подключен к сети 192 68 24
- Будет подключен к сети 10 8
- Создадим маршрут по умолчанию указав в качестве nexthop ip адрес интерфейса gi1 0 2
- Создадим маршрут для взаимодействия с сетью internet используя в качестве nexthop шлюз
- Проверить таблицу маршрутов можно командой
- Провайдера 198 1 00
- Маршрутизатора r1 192 68 00
- Командам
- Интерфейс r2 будет подключен к устройству r1 для последующей маршрутизации трафика
- Изменения конфигурации на маршрутизаторе r2 вступят в действие по следующим
- Изменения конфигурации на маршрутизаторе r1 вступят в действие по следующим
- Зададим имя устройства для маршрутизатора r2
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный
- Для интерфейса gi1 0 1 укажем адрес 10 8 и зону lan через данный интерфейс r2
- Процесс настройки
- Настройка ppp через e1
- Пример конфигурации
- Настройка bridge
- Процесс настройки
- Пример конфигурации 1
- Пример конфигурации 2
- Создадим правила в firewall разрешающие свободное прохождение трафика между зонами
- Создадим bridge 60 привяжем vlan 60 укажем ip адрес 10 0 24 и членство в зоне
- Посмотреть членство интерфейсов в мосте можно командой
- Изменения конфигурации вступят в действие по следующим командам
- Процесс настройки
- Настройка rip
- Пример конфигурации
- Процесс настройки
- Настройка ospf
- Пример конфигурации 1
- Изменения конфигурации вступают в действие по команде применения
- Задача изменить тип области 1 область должна быть nssa маршрутизатор r3 должен
- Анонсировать маршруты полученные по протоколу rip
- Рисунок 10 6 схема сети
- Решение предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме
- Протокола rip
- Пример конфигурации 2
- Приведенной на рисунке 10 7
- На тупиковом маршрутизаторе r3 включим анонсирование маршрутной информации из
- Конфигурирования области выполним команду
- Изменим тип области на nssa на каждом маршрутизаторе из области 1 в режиме
- Изменения конфигурации вступят в действие после применения
- Пример конфигурации 3
- Процесс настройки
- Настройка bgp
- Пример конфигурации
- Изменения конфигурации вступят в действие после применения
- Входим в режим конфигурирования маршрутной информации для ipv4
- Включим работу протокола
- Таблицу маршрутов протокола bgp можно просмотреть с помощью команды
- Создадим соседства с 10 85 10 19 с указанием автономных систем
- Создадим bgp процесс для as 2500 и войдем в режим конфигурирования параметров
- Процесса
- Объявим подсети подключённые напрямую
- Необходимо в firewall разрешить tcp порт 179
- Информацию о bgp пирах можно посмотреть командой
- Процесс настройки
- Настройка политики маршрутизации pbr
- Настройка route map для bgp
- Пример конфигурации 1
- Изменения конфигурации вступят в действие после применения
- Задача
- Если community содержит 2500 25 то назначаем ему med 240 и origin egp
- Для всей передаваемой маршрутной информации с community 2500 25 назначить med
- В bgp процессе as 2500 заходим в настройки параметров соседа
- Создаем правило
- Создаем политику
- Решение
- Равный 240 и указать источник маршрутной информации egp
- Пример конфигурации 2
- Привязываем политику к анонсируемой маршрутной информации
- Предварительно
- Настроить bgp c as 2500 на esr
- Процесс настройки
- Пример конфигурации
- Route map на основе списков доступа policy based routing
- Создаем правило 1
- Создаем политику
- Создаем acl
- Рисунок 10 1 схема сети
- Решение
- Указываем список доступа acl в качестве фильтра
- Указываем nexthop для sub20
- Указываем список доступа acl в качестве фильтра
- Указываем nexthop для sub30 и выходим
- Туннелирования сетевых пакетов его основное назначение инкапсуляция пакетов сетевого уровня сетевой модели osi в ip пакеты gre может использоваться для организации vpn на 3 м уровне модели osi в маршрутизаторе esr реализованы статические неуправляемые gre туннели то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах параметры туннеля для каждой из сторон должны быть взаимосогласованными или
- Создаем правило 2
- Привязываем политику на соответствующий интерфейс
- Правилом 2 будет обеспечена маршрутизация трафика с сети 10 0 24 на адрес
- Правилом 1 будет обеспечена маршрутизация трафика с сети 10 0 24 на адрес
- Настройка gre туннелей
- Изменения конфигурации вступят в действие после применения
- Заходим на интерфейс te 1 0 1
- Gre англ generic routing encapsulation общая инкапсуляция маршрутов протокол
- 50 а при его недоступности на адрес 198 1 00 3 приоритетность шлюзов задается значениями метрик 10 и 30
- 1 00 3 а при его недоступности на адрес 192 50 приоритетность задается значениями метрик
- Процесс настройки
- Пример конфигурации
- Настройка l2tpv3 туннелей
- Процесс настройки
- Пример конфигурации
- Процесс настройки
- Настройка dual homin
- Пример конфигурации
- Настройка qos
- Процесс настройки
- Базовый qos
- Пример конфигурации
- Расширенный qos
- Процесс настройки
- Пример конфигурации
- Выходим
- Включаем qos на интерфейсах политику на входе интерфейса gi 1 0 19 для классификации и
- Создаём политику и определяем ограничение общей полосы пропускания
- Создаем классы fl1 и fl2 указываем соответствующие списки доступа настраиваем
- Осуществляем привязку класса к политике настраиваем ограничение полосы пропускания и
- На выходе gi1 0 20 для применения ограничений и режима sfq для класса по умолчанию
- Маркировку
- Для другого трафика настраиваем класс с режимом sfq
- Процесс настройки удаленного зеркалирования
- Настройка зеркалировани
- Процесс настройки локального зеркалирования
- Пример конфигурации
- Настройка netflow
- Процесс настройки
- Пример конфигурации
- Настройка sflow
- Процесс настройки
- Пример конфигурации
- Укажем ip адрес коллектора
- Рисунок 10 9 схема сети
- Решение
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности
- Направления trusted untrusted
- Для сетей esr создадим две зоны безопасности
- Включим экспорт статистики по протоколу sflow для любого трафика в правиле rule1 для
- Настройка sflow для учета трафика с интерфейса осуществляется аналогично 10 1 настройка
- Изменения конфигурации вступят в действие после применения
- Активируем sflow на маршрутизаторе
- Netflow
- Процесс настройки
- Настройка lacp
- Пример конфигурации
- Процесс настройки
- Настройка vrrp
- Пример конфигурации 1
- Пример конфигурации 2
- Процесс настройки
- Настройка multiwan
- Пример конфигурации
- Соединения
- Правила
- Настроим интерфейсы в режиме конфигурирования интерфейса te1 0 1 указываем nexthop
- Изменения конфигурации вступят в действие после применения
- Зададим адрес для проверки включим проверку указанного адреса и выйдем
- Для переключения в режим резервирования настроим следующее
- Включим созданное правило балансировки и выйдем из режима конфигурирования
- В режиме конфигурирования интерфейса te1 0 2 указываем nexthop
- В режиме конфигурирования интерфейса te1 0 2 включаем wan режим и выходим
- В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки
- В режиме конфигурирования интерфейса te1 0 1 включаем wan режим и выходим
- Создадим цель проверки целостности
- Создадим список для проверки целостности соединения
- Процесс настройки
- Настройка snmp
- Пример конфигурации
- Настройка syslog
- Процесс настройки
- Пример конфигурации
- Процесс настройки
- Проверка целостности
- Пример конфигурации
Похожие устройства
-
Eltex RG-5440G-WZРуководство по работе с устройством -
Eltex RG-5440G-WACРуководство по настройке
-
Eltex RG-35-WACРуководство по эксплуатации -
Eltex ME5100SСправочник команд CLI -
Eltex ME5100SТехническое описание -
Eltex ME5100SРуководство по настройке -
Eltex ME5100SРуководство по установке и быстрому запуску -
Eltex ME5000MСправочник команд CLI
-
Eltex ME5000MТехническое описание -
Eltex ME5000MРуководство по настройке
-
Eltex ME5000MРуководство по установке и быстрому запуску
-
Eltex ME2001Техническое описание