![Eltex ESR-1000 FSTEC Руководство по эксплуатации онлайн [95/173] 625190](/icons/site-icon-64.png){kind=icon}
Eltex ESR-1000 FSTEC Руководство по эксплуатации онлайн [95/173] 625190
Превью страниц
Страница 95 /
173
![Eltex ESR-1000 FSTEC Руководство по эксплуатации онлайн [95/173] 625190](/views2/1832198/page95/bg5f.png)
95
приведенной на рисунке 10.13
Перейдём в режим конфигурирования протокола RIP:
esr:esr(config)# router rip
Укажем подсети, которые будут анонсироваться протоколом: 10.0.115.0/24, 10.0.14.0/24 и
10.0.0.0/24:
esr:esr(config-rip)# network 10.0.115.0/24
esr:esr(config-rip)# network 10.0.14.0/24
esr:esr(config-rip)# network 10.0.0.0/24
Для анонсирования протоколом статических маршрутов выполним команду:
esr:esr(config-rip)# redistribute static
Настроим таймер, отвечающий за отправку маршрутной информации:
esr:esr(config-rip)# timers update 25
После установки всех требуемых настроек включаем протокол:
esr:esr(config-rip)# enable
Изменения конфигурации вступят в действие после применения:
esr:esr# commit
Configuration has been successfully committed
esr:esr# confirm
Configuration has been successfully confirmed
esr:esr#
Для того чтобы просмотреть таблицу маршрутов RIP воспользуемся командой:
esr:esr# show ip rip
Помимо настройки протокола RIP, необходимо в firewall разрешить UDP-порт 520.
10.13 Настройка OSPF
OSPF — протокол динамической маршрутизации, основанный на технологии отслеживания
состояния канала (link-state technology) и использующий для нахождения кратчайшего пути
алгоритм Дейкстры.
Процесс настройки
Шаг
Описание
Команда
Ключи
1
Настроить
приоритетность
протокола OSPF
маршрутизации для
esr:esr(config)# ip
protocols ospf
preference <VALUE>
<VALUE> – приоритетность
протокола, принимает значения в
диапазоне [1..255]
Значение по умолчанию: OSPF (150)
Содержание
335- Общие сведения о маршрутизаторе
- Назначение маршрутизатора
- Требования к персоналу
- Обозначение описание
- Аннотация
- Условные обозначения
- Функции интерфейсов
- Функции при работе с mac адресами
- Функции маршрутизатора
- Функции третьего уровня сетевой модели osi
- Функции второго уровня сетевой модели osi
- Функции туннелирования трафика
- Функции управления и конфигурирования
- Функции сетевой защиты
- Основные технические характеристики
- Передняя панель устройства esr 1000 st
- Конструктивное исполнение esr 1000 st
- Конструктивное исполнение
- Задняя панель устройства esr 1000 st
- Боковые панели устройства
- Передняя панель устройств esr 100 st esr 200 st
- Конструктивное исполнение esr 100 st esr 200 st
- Задняя панель устройств esr 100 st esr 200 st
- Боковые панели устройства esr 100 st esr 200 st
- Световая индикация esr 1000 st
- Световая индикация
- Световая индикация esr 100 st esr 200 st
- Установка и подключение
- Установка устройства в стойку
- Крепление кронштейнов
- Установка модулей питания esr 1000 st
- Установка и удаление sfp трансиверов
- Подключение питающей сети
- Установка трансивера
- Удаление трансивера
- Заводская конфигурация и подключение
- Подключение маршрутизатора
- Интерфейс командной строки cli
- Заводская конфигурация маршрутизатора esr
- Обновление программного обеспечения средствами системы
- Обновление программного обеспечения
- Обновление программного обеспечения из начального загрузчика
- Пример
- Перезагрузите устройство и дождитесь запуска ос должна появиться возможность
- Авторизации в консоли управления initial cli как в примере ниже
- Конфигурирование маршрутизатора
- Конфигурирование базовых параметров
- Создание новых пользователей
- Изменение пароля пользователей
- Настройка параметров публичной сети
- Назначение имени устройства
- Применение базовых настроек
- Примеры настройки маршрутизатора
- Процесс настройки
- Настройка vlan
- Пример конфигурации 1
- Пример конфигурации 2
- Пример конфигурации 3
- Процесс настройки aaa по протоколу radius
- Настройка ааа
- Процесс настройки aaa по протоколу tacacs
- Процесс настройки aaa по протоколу ldap
- Пример конфигурации
- Процесс настройки
- Пример настройки
- Настройка привилегий команд
- Настройка dhcp сервера
- Процесс настройки
- Пример настройки
- Список dns серверов dns1 172 6 dns2 8
- Соответствующие профили портов включающие порт источника 68 и порт назначения 67 используемые протоколом dhcp и создать разрешающее правило в политике безопасности для прохождения пакетов протокола udp
- Разрешим работу сервера
- Маршрутизаторе должен быть создан ip интерфейс принадлежащий к той же подсети что и адреса пула
- Имя домена eltex loc
- Изменения конфигурации вступят в действие после применения
- Для того чтобы dhcp сервер мог раздавать ip адреса из конфигурируемого пула на
- Для разрешения прохождения сообщений протокола dhcp к серверу необходимо создать
- Просмотреть список арендованных адресов можно с помощью команды
- Просмотреть сконфигурированные пулы адресов можно командами
- Процесс настройки
- Конфигурирование destination nat
- Пример конфигурации
- Адресов в атрибутах набора укажем что правила применяются только для пакетов пришедших из зоны untrust набор правил включает в себя требования соответствия данных по адресу и порту назначения match destination address match destination port по протоколу кроме этого в наборе задано действие применяемое к данным удовлетворяющим всем правилам action destination nat набор правил вводится в действие командой enable
- Server_ip профиль адресов локальной сети
- Net_uplink профиль адресов публичной сети
- Создадим профили ip адресов и портов которые потребуются для настройки правил firewall
- Создадим набор правил dnat в соответствии с которыми будет производиться трансляция
- Назначения в которые будут транслироваться адреса пакетов поступающие на адрес 1 из внешней сети
- И правил dnat
- Войдем в режим конфигурирования функции dnat и создадим пул адресов и портов
- Srv_http профиль портов
- Функция snat может быть использована для предоставления доступа в интернет
- Проходящих через сетевой шлюз при прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза дополнительно к адресу источника может применяться замена порта источника при прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта
- Произведенные настройки можно посмотреть с помощью команд
- Пару зон пропускать следует только трафик с адресом назначения соответствующим заданному в профиле server_ip и прошедший преобразование dnat
- Конфигурирование source nat
- Компьютерам находящимся в локальной сети при этом не требуется назначения публичных
- Изменения конфигурации вступят в действие после применения
- Для пропуска трафика идущего из зоны untrust в trust создадим соответствующую
- Ip адресов этим компьютера
- Функция source nat snat используется для подмены адреса источника у пакетов
- Процесс настройки
- Пример конфигурации 1
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на
- Применяются только для пакетов направляющихся в публичную сеть в зону untrust правила включают проверку адреса источника данных на принадлежность к пулу local_net
- Правила разрешающие проходить трафику в этом направлении дополнительно включена проверка адреса источника данных на принадлежность к диапазону адресов local_net для соблюдения ограничения на выход в публичную сеть действие правил разрешается командой enable
- Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети
- Используемых для сервиса snat
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в
- Для пропуска трафика из зоны trust в зону untrust создадим пару зон и добавим
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила
- Пример конфигурации 2
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в
- Для конфигурирования функции snat потребуется создать профиль адресов локальной сети
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила
- Local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool
- Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды
- Применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net
- Первым шагом создаётся пул адресов публичной сети используемых для сервиса snat
- На самом маршрутизаторе также должен быть создан маршрут для направления на
- Конфигурируем сервис snat
- Должна быть настроена маршрутизация адрес 10 2 должен быть назначен адресом шлюза
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них
- Процесс настройки
- Конфигурирование firewall
- Пример конфигурации
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности
- Для пропуска трафика из зоны lan в зону wan создадим пару зон и добавим правило
- Для настройки правил зон безопасности потребуется создать профиль адресов сети lan
- Для каждой сети esr создадим свою зону безопасности
- Включающий адреса которым разрешен выход в сеть wan и профиль адресов сети wan а также профиль портов для ssh сессий
- Решение
- Разрешающее проходить icmp трафику от r1 к r2 действие правил разрешается командой enable
- Создадим пару зон для трафика идущего из зоны lan в зону self добавим правило
- Разрешающее проходить icmp трафику от r2 к r1 действие правил разрешается командой enable
- Разрешающее проходить icmp трафику между r1 и esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны lan
- Получателя трафика выступает сам маршрутизатор esr то есть трафик не является транзитным то в качестве параметра указывается зона self создадим пару зон для трафика идущего из зоны wan в зону self добавим правило разрешающее проходить icmp трафику между r2 и маршрутизатором esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны wan
- На маршрутизаторе всегда существует зона безопасности с именем self если в качестве
- Для пропуска трафика из зоны wan в зону lan создадим пару зон и добавим правило
- Фильтрации фрагментов
- Создадим пару зон для фильтрации фрагментов из зоны wan добавим правило для
- Разрешающее ssh трафик от r2 к r1 и правило со следующим порядковым номером для логирования блокировок ssh сессии до r1 со всех ip
- Второй зоной безопасности по умолчанию является зона с именем any в эту зону
- Включаются все зоны безопасности маршрутизатора за исключением зоны self т е все зоны безопасности созданные администратором
- В пару зон из wan в зону lan добавим правило c порядковым номером 2
- Процесс настройки
- Настройка списков доступа acl
- Пример конфигурации
- Конфигурирование статических маршрутов
- Процесс настройки
- Пример конфигурации
- Устройство r2 192 68 00
- Создадим маршрут для взаимодействия с сетью 10 8 используя в качестве шлюза
- Рисунок 10 схема сети
- Решение
- Интерфейс r1 будет подключен к устройству r2 для последующей маршрутизации трафика
- Зададим имя устройства для маршрутизатора r1
- Для интерфейса gi1 0 3 укажем адрес 198 1 00 30 и зону wan через данный интерфейс
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный
- Для интерфейса gi1 0 1 укажем адрес 192 68 24 и зону lan через данный интерфейс
- R1 будет подключен к сети internet
- R1 будет подключен к сети 192 68 24
- Будет подключен к сети 10 8
- Создадим маршрут по умолчанию указав в качестве nexthop ip адрес интерфейса gi1 0 2
- Создадим маршрут для взаимодействия с сетью internet используя в качестве nexthop шлюз
- Проверить таблицу маршрутов можно командой
- Провайдера 198 1 00
- Маршрутизатора r1 192 68 00
- Командам
- Интерфейс r2 будет подключен к устройству r1 для последующей маршрутизации трафика
- Изменения конфигурации на маршрутизаторе r2 вступят в действие по следующим
- Изменения конфигурации на маршрутизаторе r1 вступят в действие по следующим
- Зададим имя устройства для маршрутизатора r2
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный
- Для интерфейса gi1 0 1 укажем адрес 10 8 и зону lan через данный интерфейс r2
- Процесс настройки
- Настройка ppp через e1
- Пример конфигурации
- Настройка bridge
- Процесс настройки
- Пример конфигурации 1
- Пример конфигурации 2
- Создадим правила в firewall разрешающие свободное прохождение трафика между зонами
- Создадим bridge 60 привяжем vlan 60 укажем ip адрес 10 0 24 и членство в зоне
- Посмотреть членство интерфейсов в мосте можно командой
- Изменения конфигурации вступят в действие по следующим командам
- Процесс настройки
- Настройка rip
- Пример конфигурации
- Процесс настройки
- Настройка ospf
- Пример конфигурации 1
- Изменения конфигурации вступают в действие по команде применения
- Задача изменить тип области 1 область должна быть nssa маршрутизатор r3 должен
- Анонсировать маршруты полученные по протоколу rip
- Рисунок 10 6 схема сети
- Решение предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме
- Протокола rip
- Пример конфигурации 2
- Приведенной на рисунке 10 7
- На тупиковом маршрутизаторе r3 включим анонсирование маршрутной информации из
- Конфигурирования области выполним команду
- Изменим тип области на nssa на каждом маршрутизаторе из области 1 в режиме
- Изменения конфигурации вступят в действие после применения
- Пример конфигурации 3
- Процесс настройки
- Настройка bgp
- Пример конфигурации
- Изменения конфигурации вступят в действие после применения
- Входим в режим конфигурирования маршрутной информации для ipv4
- Включим работу протокола
- Таблицу маршрутов протокола bgp можно просмотреть с помощью команды
- Создадим соседства с 10 85 10 19 с указанием автономных систем
- Создадим bgp процесс для as 2500 и войдем в режим конфигурирования параметров
- Процесса
- Объявим подсети подключённые напрямую
- Необходимо в firewall разрешить tcp порт 179
- Информацию о bgp пирах можно посмотреть командой
- Процесс настройки
- Настройка политики маршрутизации pbr
- Настройка route map для bgp
- Пример конфигурации 1
- Изменения конфигурации вступят в действие после применения
- Задача
- Если community содержит 2500 25 то назначаем ему med 240 и origin egp
- Для всей передаваемой маршрутной информации с community 2500 25 назначить med
- В bgp процессе as 2500 заходим в настройки параметров соседа
- Создаем правило
- Создаем политику
- Решение
- Равный 240 и указать источник маршрутной информации egp
- Пример конфигурации 2
- Привязываем политику к анонсируемой маршрутной информации
- Предварительно
- Настроить bgp c as 2500 на esr
- Процесс настройки
- Пример конфигурации
- Route map на основе списков доступа policy based routing
- Создаем правило 1
- Создаем политику
- Создаем acl
- Рисунок 10 1 схема сети
- Решение
- Указываем список доступа acl в качестве фильтра
- Указываем nexthop для sub20
- Указываем список доступа acl в качестве фильтра
- Указываем nexthop для sub30 и выходим
- Туннелирования сетевых пакетов его основное назначение инкапсуляция пакетов сетевого уровня сетевой модели osi в ip пакеты gre может использоваться для организации vpn на 3 м уровне модели osi в маршрутизаторе esr реализованы статические неуправляемые gre туннели то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах параметры туннеля для каждой из сторон должны быть взаимосогласованными или
- Создаем правило 2
- Привязываем политику на соответствующий интерфейс
- Правилом 2 будет обеспечена маршрутизация трафика с сети 10 0 24 на адрес
- Правилом 1 будет обеспечена маршрутизация трафика с сети 10 0 24 на адрес
- Настройка gre туннелей
- Изменения конфигурации вступят в действие после применения
- Заходим на интерфейс te 1 0 1
- Gre англ generic routing encapsulation общая инкапсуляция маршрутов протокол
- 50 а при его недоступности на адрес 198 1 00 3 приоритетность шлюзов задается значениями метрик 10 и 30
- 1 00 3 а при его недоступности на адрес 192 50 приоритетность задается значениями метрик
- Процесс настройки
- Пример конфигурации
- Настройка l2tpv3 туннелей
- Процесс настройки
- Пример конфигурации
- Процесс настройки
- Настройка dual homin
- Пример конфигурации
- Настройка qos
- Процесс настройки
- Базовый qos
- Пример конфигурации
- Расширенный qos
- Процесс настройки
- Пример конфигурации
- Выходим
- Включаем qos на интерфейсах политику на входе интерфейса gi 1 0 19 для классификации и
- Создаём политику и определяем ограничение общей полосы пропускания
- Создаем классы fl1 и fl2 указываем соответствующие списки доступа настраиваем
- Осуществляем привязку класса к политике настраиваем ограничение полосы пропускания и
- На выходе gi1 0 20 для применения ограничений и режима sfq для класса по умолчанию
- Маркировку
- Для другого трафика настраиваем класс с режимом sfq
- Процесс настройки удаленного зеркалирования
- Настройка зеркалировани
- Процесс настройки локального зеркалирования
- Пример конфигурации
- Настройка netflow
- Процесс настройки
- Пример конфигурации
- Настройка sflow
- Процесс настройки
- Пример конфигурации
- Укажем ip адрес коллектора
- Рисунок 10 9 схема сети
- Решение
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности
- Направления trusted untrusted
- Для сетей esr создадим две зоны безопасности
- Включим экспорт статистики по протоколу sflow для любого трафика в правиле rule1 для
- Настройка sflow для учета трафика с интерфейса осуществляется аналогично 10 1 настройка
- Изменения конфигурации вступят в действие после применения
- Активируем sflow на маршрутизаторе
- Netflow
- Процесс настройки
- Настройка lacp
- Пример конфигурации
- Процесс настройки
- Настройка vrrp
- Пример конфигурации 1
- Пример конфигурации 2
- Процесс настройки
- Настройка multiwan
- Пример конфигурации
- Соединения
- Правила
- Настроим интерфейсы в режиме конфигурирования интерфейса te1 0 1 указываем nexthop
- Изменения конфигурации вступят в действие после применения
- Зададим адрес для проверки включим проверку указанного адреса и выйдем
- Для переключения в режим резервирования настроим следующее
- Включим созданное правило балансировки и выйдем из режима конфигурирования
- В режиме конфигурирования интерфейса te1 0 2 указываем nexthop
- В режиме конфигурирования интерфейса te1 0 2 включаем wan режим и выходим
- В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки
- В режиме конфигурирования интерфейса te1 0 1 включаем wan режим и выходим
- Создадим цель проверки целостности
- Создадим список для проверки целостности соединения
- Процесс настройки
- Настройка snmp
- Пример конфигурации
- Настройка syslog
- Процесс настройки
- Пример конфигурации
- Процесс настройки
- Проверка целостности
- Пример конфигурации
Похожие устройства
-
Eltex RG-5440G-WZРуководство по работе с устройством -
Eltex RG-5440G-WACРуководство по настройке
-
Eltex RG-35-WACРуководство по эксплуатации -
Eltex ME5100SСправочник команд CLI -
Eltex ME5100SТехническое описание -
Eltex ME5100SРуководство по настройке -
Eltex ME5100SРуководство по установке и быстрому запуску -
Eltex ME5000MСправочник команд CLI
-
Eltex ME5000MТехническое описание -
Eltex ME5000MРуководство по настройке
-
Eltex ME5000MРуководство по установке и быстрому запуску
-
Eltex ME2001Техническое описание