![Eltex ESR-1000 FSTEC [170/236] Межсетевые экраны серии esr руководство по эксплуатации](/img/pdf.png)
Eltex ESR-1000 FSTEC [170/236] Межсетевые экраны серии esr руководство по эксплуатации
![Eltex ESR-1000 FSTEC [170/236] Межсетевые экраны серии esr руководство по эксплуатации](/views2/1832199/page170/bgaa.png)
170 Межсетевые экраны серии ESR. Руководство по эксплуатации
31
Определить режим
согласования данных,
необходимых для активации
VPN.
esr(config-ipsec-vpn)#
mode <MODE>
<MODE> – режим работы VPN.
32
Привязать IPsec политику к
VPN.
esr(config-ipsec-vpn)#ike
ipsec-policy <NAME>
<NAME> – имя IPsec-политики,
задаётся строка до 31 символа.
33
Задать значение DSCP для
использования в IP-заголовке
исходящих пакетов IKE-
протокола (не обязательно).
esr(config-ipsec-vpn)#ike
dscp <DSCP>
DSCP> – значение кода DSCP,
принимает значения в
диапазоне [0..63].
34
Устанавливается режим
активации VPN.
esr(config-ipsec-vpn)#ike
establish-tunnel <MODE>
<MODE> – режим активации
VPN:
by-request – соединение
активируется встречной
стороной;
route – соединение активируется
при появлении трафика,
маршрутизируемого в туннель;
immediate – туннель
активируется автоматически
после применения
конфигурации.
35
Осуществить привязка IKE-
шлюза к VPN.
esr(config-ipsec-vpn)#
ike gateway <NAME>
<NAME> – имя IKE-шлюза,
задаётся строкой до 31 символа.
36
Установить значение
временного интервала в
секундах, по истечению
которого соединение
закрывается, если не было
принято или передано ни
одного пакета через SA (не
обязательно).
esr(config-ipsec-vpn)#
ike idle-time <TIME>
<TIME> – интервал в секундах,
принимает значения [4..86400].
37
Отключить пересогласование
ключей до разрыва IKE
соединения по истечению
времени, количеству
переданных пакетов или байт
(не обязательно).
esr(config-ipsec-vpn)#ike
rekey disable
38
Настроить начало
пересогласования ключей IKE
соединения до истечения
времени жизни (не
обязательно).
esr(config-ipsec-vpn)#
Ike rekey margin
{ seconds <SEC> | packets
<PACKETS> | kilobytes
<KB> }
<SEC> – интервал времени в
секундах, оставшийся до
закрытия соединения (задается
командой lifetimeseconds) .
Принимает значения [4..86400].
<PACKETS> – количество пакетов,
оставшихся до закрытия
соединения (задается командой
lifetimepackets). Принимает
значения [4..86400].
<KB> – объем трафика в
килобайтах, оставшийся до
закрытия соединения (задается
командой lifetimekilobytes).
Принимает значения [4..86400]
39
Установить уровень случайного
разброса значений параметров
marginseconds, marginpackets,
marginkilobytes (не
обязательно).
esr(config-ipsec-vpn)#
ike rekey randomization
<VALUE>
<VALUE> – максимальный
процент разброса значений,
принимает значения [1..100].
Содержание
- Межсетевые экраны серии esr 1
- Аннотация 10
- Введение 10
- Условные обозначения 10
- Целевая аудитория 10
- Назначение 12
- Описание изделия 12
- Функции 12
- Функции интерфейсов 12
- В таблице 2 приведены функции устройства при работе с mac адресами 13
- В таблице 3 приведены функции и особенности второго уровня уровень 2 osi 13
- Межсетевые экраны серии esr руководство по эксплуатации 13 13
- Поддержка vlan 13
- Протокол связующего дерева spanning tree protocol 13
- Режим обучения 13
- Таблица 2 функции работы с mac адресами 13
- Таблица 3 описание функций второго уровня уровень 2 osi 13
- Таблица mac адресов 13
- Функции второго уровня сетевой модели osi 13
- Функции при работе с mac адресами 13
- В таблице 4 приведены функции третьего уровня уровень 3 osi 14
- Динамическая маршрутизация 14
- Клиент dhcp 14
- Межсетевые экраны серии esr руководство по эксплуатации 14
- Сервер dhcp 14
- Статические ip маршруты 14
- Таблица 4 описание функций третьего уровня layer 3 14
- Таблица arp 14
- Трансляция сетевых адресов nat network address translation 14
- Функции третьего уровня сетевой модели osi 14
- Syslog 15
- Автоматическое восстановление конфигурации 15
- Аутентификация 15
- Загрузка и выгрузка файла настройки 15
- Интерфейс командной строки cli 15
- Межсетевые экраны серии esr руководство по эксплуатации 15 15
- Протоколы туннелирования 15
- Сервер ssh сервер telnet 15
- Сетевые утилиты ping traceroute 15
- Таблица 5 функции туннелирования трафика 15
- Таблица 6 основные функции управления и конфигурирования 15
- Управление контролируемым доступом уровни привилегий 15
- Функции туннелирования трафика 15
- Функции управления и конфигурирования 15
- В таблице 7 приведены функции сетевой защиты выполняемые устройством 16
- Зоны безопасности 16
- Межсетевые экраны серии esr руководство по эксплуатации 16
- Основные технические параметры маршрутизатора приведены в таблице 8 16
- Основные технические характеристики 16
- Таблица 7 функции сетевой защиты 16
- Таблица 8 основные технические характеристики 16
- Фильтрация данных 16
- Функции сетевой защиты 16
- Межсетевые экраны серии esr руководство по эксплуатации 17 17
- В данном разделе описано конструктивное исполнение устройства представлены 18
- В таблице 9 приведен перечень разъемов светодиодных индикаторов и органов управления 18
- Внешний вид передней панели показан на рисунке 1 18
- Высота корпуса 1u 18
- Изображения передней задней и боковых панелей устройства описаны разъемы светодиодные индикаторы и органы управления 18
- Конструктивное исполнение 18
- Конструктивное исполнение esr 1000 18
- Межсетевые экраны серии esr руководство по эксплуатации 18
- Передняя панель устройства esr 1000 18
- Расположенных на передней панели устройства esr 1000 18
- Рисунок 1 передняя панель устройства esr 1000 18
- Таблица 9 описание разъемов индикаторов и органов управления передней панели esr 1000 18
- Устройство выполнено в металлическом корпусе с возможностью установки в 19 конструктив 18
- В таблице 11 приведен перечень разъемов светодиодных индикаторов и органов управления 20
- Внешний вид передней панели esr 100 показан на рисунке 6 20
- Внешний вид передней панели esr 200 показан на рисунке 5 20
- Конструктивное исполнение esr 200 esr 100 20
- Межсетевые экраны серии esr руководство по эксплуатации 20
- Передняя панель устройств esr 200 esr 100 20
- Привести к перегреву компонентов устройства и вызвать нарушения в его работе рекомендации по установке устройства расположены в разделе установка и подключение 20
- Расположенных на передней панели устройств esr 200 esr 100 20
- Рисунок 5 передняя панель esr 200 20
- Рисунок 6 передняя панель esr 100 20
- Таблица 11 описание разъемов индикаторов и органов управления передней панели esr 200 esr 100 20
- Световая индикация 22
- В следующей таблице приведено описание состояний системных индикаторов устройства и их 23
- Значений 23
- Межсетевые экраны серии esr руководство по эксплуатации 23 23
- Световая индикация esr 200 esr 100 23
- Светодиодными индикаторами link act зеленого цвета и speed янтарного цвета расположение индикаторов медных интерфейсов показано на рисунке 10 состояние sfp интерфейсов указано на рисунке 12 значения световой индикации описаны в таблице 16 23
- Состояние медных интерфейсов gigabit ethernet и sfp интерфейсов отображается двумя 23
- Таблица 15 состояния системных индикаторов 23
- В следующей таблице приведено описание состояний системных индикаторов устройства и их 24
- Значений 24
- Межсетевые экраны серии esr руководство по эксплуатации 24
- Рисунок 12 расположение индикаторов оптических интерфейсов 24
- Таблица 16 световая индикация состояния медных интерфейсов и sfp интерфейсов 24
- Таблица 17 состояния системных индикаторов 24
- Комплект поставки 25
- Крепление кронштейнов 26
- Установка и подключение 26
- Установка устройства в стойку 27
- Подключение питающей сети 28
- Установка модулей питания esr 1000 28
- Удаление трансивера 29
- Установка и удаление sfp трансиверов 29
- Установка трансивера 29
- Интерфейс командной строки cli 31
- Интерфейсы управления 31
- Типы и порядок именования интерфейсов маршрутизатора 32
- Типы и порядок именования туннелей маршрутизатора 34
- Заводская конфигурация маршрутизатора esr 35
- Начальная настройка маршрутизатора 35
- Описание заводской конфигурации 35
- Подключение и конфигурирование маршрутизатора 36
- Подключение к маршрутизатору 36
- Базовая настройка маршрутизатора 37
- Применение изменения конфигурации 37
- Администрирования устройства 38
- Для защищенного входа в систему необходимо сменить пароль привилегированного 38
- Для изменения пароля пользователя admin используются следующие команды 38
- Для создания нового пользователя системы или настройки любого из параметров имени 38
- Изменение пароля пользователя admin 38
- Имя пользователя и пароль вводится при входе в систему во время сеансов 38
- Межсетевые экраны серии esr руководство по эксплуатации 38
- Настройка удаленного доступа к маршрутизатору 38
- Пользователя admin 38
- Пользователя пароля уровня привилегий используются команды 38
- Привилегий 15 и создания пользователя ivan с паролем password и уровнем привилегий 1 38
- Применение базовых настроек 38
- Пример команд для создания пользователя fedor c паролем 12345678 и уровнем 38
- Создание новых пользователей 38
- Удалить пользователей admin techsupport remote нельзя можно только сменить пароль и уровень привилегий 38
- Уровни привилегий 1 9 разрешают доступ к устройству и просмотр его оперативного состояния но запрещают настройку уровни привилегий 10 14 разрешают как доступ так и настройку большей части функций устройства уровень привилегий 15 разрешает как доступ так и настройку всех функций устройства 38
- Установка параметров подключения к публичной сети в соответствии с требованиями провайдера 38
- Учетная запись remote аутентификация radius tacacs ldap 38
- Учетная запись techsupport необходима для удаленного обслуживания сервисным центром 38
- Gigabitethernet 1 0 2 50 для доступа к маршрутизатору через vlan 150 39
- Ip адрес 192 68 6 44 39
- Ip адрес шлюза по умолчанию 192 68 6 39
- Для назначения имени устройства используются следующие команды 39
- Для настройки сетевого интерфейса маршрутизатора в публичной сети необходимо назначить 39
- Для того чтобы убедиться что адрес был назначен интерфейсу введите следующую команду 39
- Для того чтобы убедиться что адрес был назначен интерфейсу после применения 39
- Конфигурации введите следующую команду 39
- Маска подсети 255 55 55 39
- Межсетевые экраны серии esr руководство по эксплуатации 39 39
- Назначение имени устройства 39
- Настройка параметров публичной сети 39
- Параметры интерфейса 39
- Получения ip адреса может использоваться протокол dhcp если в сети присутствует сервер dhcp 39
- После применения конфигурации 39
- После применения конфигурации приглашение командной строки изменится на значение 39
- Пример команд настройки статического ip адреса для субинтерфейса 39
- Пример настройки предназначенной для получения динамического ip адреса от dhcp 39
- Провайдер может использовать динамически назначаемые адреса в своей сети для 39
- Сервера на интерфейсе gigabitethernet 1 0 10 39
- Устройству параметры определённые провайдером сети ip адрес маска подсети и адрес шлюза по умолчанию 39
- 6 132 6 0 подключаться к маршрутизатору с ip адресом 40 3 2 по протоколу ssh 40
- Self зона в которой находится интерфейс управления маршрутизатором 40
- Source zone зона из которой будет осуществляться удаленный доступ 40
- Telnet или ssh из зоны trusted для того чтобы разрешить удаленный доступ к маршрутизатору из других зон например из публичной сети необходимо создать соответствующие правила в firewall 40
- В заводской конфигурации разрешен удаленный доступ к маршрутизатору по протоколам 40
- Для создания разрешающего правила используются следующие команды 40
- Межсетевые экраны серии esr руководство по эксплуатации 40
- Настройка удаленного доступа к маршрутизатору 40
- При конфигурировании доступа к маршрутизатору правила создаются для пары зон 40
- Пример команд для разрешения пользователям из зоны untrusted с ip адресами 40
- Обновление программного обеспечения 41
- Обновление программного обеспечения средствами системы 41
- Запустите процедуру обновления программного обеспечения 43
- Межсетевые экраны серии esr руководство по эксплуатации 43 43
- Можно сохранить окружение командой saveenv для будущих обновлений 43
- Обновление программного обеспечения из начального загрузчика 43
- Остановите загрузку устройства после окончания инициализации маршрутизатора 43
- Программное обеспечение маршрутизатора можно обновить из начального загрузчика 43
- Следующим образом 43
- Укажите ip адрес tftp сервера 43
- Укажите ip адрес маршрутизатора 43
- Укажите имя файла программного обеспечения на tftp сервере 43
- Вторичный загрузчик занимается инициализацией nand и маршрутизатора при обновлении 44
- Для просмотра текущей версии загрузочного файла работающего на устройстве введите 44
- Команду version в cli u boot также версия отображается в процессе загрузки маршрутизатора 44
- Межсетевые экраны серии esr руководство по эксплуатации 44
- Можно сохранить окружение командой saveenv для будущих обновлений 44
- Новый файл вторичного загрузчика сохраняется на flash на месте старого 44
- Обновление вторичного загрузчика u boot 44
- Остановите загрузку устройства после окончания инициализации маршрутизатора 44
- Перезагрузите роутер 44
- Процедура обновления по 44
- Укажите ip адрес tftp сервера 44
- Укажите ip адрес маршрутизатора 44
- Укажите имя файла загрузчика на tftp сервере 44
- Установите загруженное программное обеспечение в качестве образа для запуска системы и 44
- Запустите процедуру обновления программного обеспечения 45
- Межсетевые экраны серии esr руководство по эксплуатации 45 45
- Перезагрузите маршрутизатор 45
- Vlan virtual local area network логическая виртуальная локальная сеть представляет 46
- Алгоритм настройки 46
- Межсетевые экраны серии esr руководство по эксплуатации 46
- Настройка vlan 46
- Примеры настройки маршрутизатора 46
- Собой группу устройств которые взаимодействуют между собой на канальном уровне независимо от их физического местонахождения работа vlan основана на использовании дополнительных полей ethernet заголовка согласно стандарту 802 q по сути vlan изолирует широковещательный домен путем ограничения коммутации ethernet фреймов только с одинаковым vlan id в ethernet заголовке 46
- Задача 47
- Идентификатор vlan задаётся в диапазоне 2 094 47
- Идентификатор vlan задаётся в диапазоне 2 094 также есть возможность создания нескольких vlan через запятую или диапазона vlan через дефис 47
- Межсетевые экраны серии esr руководство по эксплуатации 47 47
- На основе заводской конфигурации удалить из vlan 2 порт gi1 0 1 47
- Настроить vlan на интерфейсе в нетегированном режиме не обязательно 47
- Настроить порты gi1 0 1 и gi1 0 2 для передачи и приема пакетов в vlan 2 vlan 64 vlan 47
- Пример настройки 1 удаление vlan с интерфейса 47
- Пример настройки 2 разрешение обработки vlan в тегированном 47
- Разрешить на интерфейсе обработку ethernet фреймов всех созданных на маршрутизаторе vlan не обязательно 47
- Режиме 47
- Решение 47
- Рисунок 21 схема сети 47
- Только для esr 100 200 47
- Только для esr 1000 47
- Удалим vlan 2 с порта gi1 0 1 47
- И не тегированном режиме 48
- Пример настройки 3 разрешение обработки vlan в тегированном 48
- Link layer discovery protocol lldp протокол канального уровня позволяющий сетевому 49
- Алгоритм настройки 49
- Межсетевые экраны серии esr руководство по эксплуатации 49 49
- Настройка lldp 49
- Оборудованию оповещать оборудование работающее в локальной сети о своём существовании и передавать ему свои характеристики а также получать от него аналогичные сведения 49
- Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1 49
- Пропишем vlan 2 на порт gi1 0 2 49
- Пример настройки 50
- Lldp med расширение стандарта lldp которое позволяет передавать сетевые политики 51
- Vlan id dscp priority 51
- Алгоритм настройки 51
- Межсетевые экраны серии esr руководство по эксплуатации 51 51
- Настройка lldp med 51
- Gi 1 0 1 52
- Voice vlan vlan id при получении которого ip телефон переходит в режим trunk с 52
- Wan lan 52
- Включим lldp и поддержку med в lldp глобально на маршрутизаторе 52
- Для телефонии и настроить отправку voice vlan с порта gi 1 0 1 esr при этом на ip телефоне должен поддерживаться и быть включен voice vlan 52
- Заданным vlan id для приема и отправки voip трафика передача vlan id осуществляется посредством расширения med протокола lldp 52
- Задача 52
- Межсетевые экраны серии esr руководство по эксплуатации 52
- Настроим lldp на интерфейсе и установим на него сетевую политику 52
- Необходимо разделить трафик телефонии и данных по разным vlan vid 10 для данных и vid 52
- Предварительно необходимо создать vlan 10 и 20 и настроить интерфейс gi 1 0 1 в режиме 52
- Пример настройки voice vlan 52
- Решение 52
- Рисунок 25 схема сети 52
- Создадим и настроим сетевую политику таким образом чтобы для приложения voice 52
- Указывался vlan id 20 52
- Gigabitethernet 1 0 1 53
- Алгоритм настройки 53
- Для терминирования ethernet фреймов конкретного vlan на определенном физическом 53
- Задача 53
- Интерфейсе необходимо создать саб интерфейс с указанием номера vlan фреймы которого будут терминироваться при создании двух саб интерфейсов с одинаковыми vlan но на разных физических агрегированных интерфейсах коммутация ethernet фреймов между данными саб интерфейсами будет невозможна т к сегменты за пределами саб интерфейсов будут являться отдельными широковещательными доменами для обмена данными между абонентами разных саб интерфейсов даже с одинаковым vlan id будет использоваться маршрутизация т е обмен данными будет происходить на третьем уровне модели osi 53
- Межсетевые экраны серии esr руководство по эксплуатации 53 53
- Настроить терминацию подсети 192 68 24 в vlan 828 на физическом интерфейсе 53
- Настройка терминации на саб интерфейсе 53
- Пример настройки саб интерфейса 53
- Q in q 54
- Алгоритм настройки 54
- Для расширения количества используемых vlan в сети передачи данных внутренним тегом innertag называется 802 q заголовок ближе к payload так же внутренний тег называют c vlan customer vlan внешний тег outertag 54
- Межсетевые экраны серии esr руководство по эксплуатации 54
- Настроим ip адрес из необходимой подсети 54
- Настройка терминации на q in q интерфейсе 54
- Помимо назначения ip адреса на саб интерфейсе необходимо либо отключить firewall либо настроить соответствующую зону безопасности 54
- Решение 54
- Создадим саб интерфейс для vlan 828 54
- Технология передачи пакетов с двумя 802 q тегами данная технология используется 54
- Это 802 q заголовок добавленный к изначальному 802 q пакетом так же называется s vlan service vlan использование двойных меток в ethernet фреймах описывается протоколом 802 ad 54
- Алгоритм настройки usb модемов 55
- Задача 55
- Использование usb модемов позволяет организовать дополнительный канал связи для 55
- Концентраторы одновременно в системе может быть сконфигурировано до 10 ти usb модемов 55
- Межсетевые экраны серии esr руководство по эксплуатации 55 55
- Настроить терминацию подсети 192 68 24 комбинации c vlan 741 s vlan 828 на 55
- Настройка usb модемов 55
- Помимо назначения ip адреса на q in q саб интерфейсе необходимо либо отключить firewall либо настроить соответствующую зону безопасности 55
- Пример настройки q in q интерфейса 55
- Работы маршрутизатора при подключении usb модемов возможно использовать usb 55
- Решение 55
- Создадим q in q саб интерфейс для s vlan 741 и настроим ip адрес из необходимой подсети 55
- Создадим саб интерфейс для s vlan 828 55
- Физическом интерфейсе gigabitethernet 1 0 1 55
- Межсетевые экраны серии esr руководство по эксплуатации 56
- Активировать usb модем 57
- Аутентификации 57
- Для примера разберём подключение к сотовому оператору мтс 57
- Допустимый режим работы usb модема 2g 3g 4g по умолчанию разрешены все режимы поддерживаемые модемом 57
- Зададим apn который требует провайдер или иной необходимый адрес ниже показан 57
- Задать предпочтительный режим работы usb модема в мобильной сети не обязательно 57
- Задать размер максимального принимаемого пакета не обязательно 57
- Задача 57
- Значение mru принимает значения в диапазоне 128 6383 57
- Межсетевые экраны серии esr руководство по эксплуатации 57 57
- Настроить подключение к сети интернет используя usb модем 57
- Определим порт устройства который был назначен на подключённый usb модем 57
- После подключения модема необходимо дождаться когда система обнаружит устройство 57
- Предпочтительный режим работы usb модема 2g 3g 4g 57
- При необходимости задаём имя пользователя пароль номер дозвона и метод 57
- Пример настройки 57
- Пример подключения к apn мтс 57
- Разрешить использование того или иного режима работы usb модема не обязательно 57
- Решение 57
- Создадим профиль настроек для usb модема 57
- Aaa authentication authorization accounting используется для описания процесса 58
- Accounting учёт слежение за подключением пользователя или внесенным им изменениям 58
- Authentication аутентификация сопоставление персоны запроса существующей учётной записи в системе безопасности осуществляется по логину паролю 58
- Authorization авторизация проверка полномочий проверка уровня доступа сопоставление учётной записи в системе и определённых полномочий 58
- Алгоритм настройки локальной аутентификации 58
- Межсетевые экраны серии esr руководство по эксплуатации 58
- Назначим соответствующий профиль настроек и активируем модем 58
- Настройка ааа 58
- Перейдём к конфигурированию usb модема и зададим идентификатор соответствующий 58
- Порту устройства который был определён в начале 58
- Предоставления доступа и контроля над ним 58
- Межсетевые экраны серии esr руководство по эксплуатации 59 59
- Алгоритм настройки aaa по протоколу radius 60
- Межсетевые экраны серии esr руководство по эксплуатации 60
- Межсетевые экраны серии esr руководство по эксплуатации 61 61
- Алгоритм настройки aaa по протоколу tacacs 62
- Межсетевые экраны серии esr руководство по эксплуатации 62
- Межсетевые экраны серии esr руководство по эксплуатации 63 63
- Алгоритм настройки aaa по протоколу ldap 64
- Межсетевые экраны серии esr руководство по эксплуатации 64
- Межсетевые экраны серии esr руководство по эксплуатации 65 65
- Межсетевые экраны серии esr руководство по эксплуатации 66
- 192 68 6 24 67
- Задача 67
- Межсетевые экраны серии esr руководство по эксплуатации 67 67
- Настроим подключение к radius серверу и укажем ключ password 67
- Настроить аутентификацию пользователей подключающихся по telnet через radius 67
- Пример настройки аутентификации по telnet через radius сервер 67
- Решение 67
- Создадим профиль аутентификации 67
- Алгоритм настройки 68
- Настройка привилегий команд 68
- Пример настройки привилегий команд 68
- Default router ip адрес маршрутизатора используемого в качестве шлюза по умолчанию 69
- Dns server список адресов серверов доменных имен в данной сети о которых должен знать клиент адреса серверов в списке располагаются в порядке убывания предпочтения 69
- Domain name доменное имя которое должен будет использовать клиент при разрешении имен хостов через систему доменных имен dns 69
- Алгоритм настройки 69
- Встроенный dhcp сервер маршрутизатора может быть использован для настройки сетевых 69
- Межсетевые экраны серии esr руководство по эксплуатации 69 69
- Настройка dhcp сервера 69
- Параметров устройств в локальной сети dhcp сервер маршрутизаторов способен передавать дополнительные опции на сетевые устройства например 69
- Межсетевые экраны серии esr руководство по эксплуатации 70
- Межсетевые экраны серии esr руководство по эксплуатации 71 71
- Адресов для выдачи в аренду клиентам сервера укажем параметры подсети к которой принадлежит данный пул и время аренды для выдаваемых адресов 72
- Для того чтобы dhcp сервер мог раздавать ip адреса из конфигурируемого пула на 72
- Задать пул ip адресов из подсети 192 68 24 для раздачи клиентам задать время аренды адресов 1 день настроить передачу клиентам маршрута по умолчанию доменного имени и адресов dns серверов с помощью dhcp опций 72
- Задача 72
- Имя домена eltex loc 72
- Интерфейсов к зонам 72
- Маршрут по умолчанию 192 68 72
- Маршрутизаторе должен быть создан ip интерфейс принадлежащий к той же подсети что и адреса пула 72
- Межсетевые экраны серии esr руководство по эксплуатации 72
- Настроить работу dhcp сервера в локальной сети относящейся к зоне безопасности trusted 72
- Пример настройки dhcp сервера 72
- Решение 72
- Сконфигурируем передачу клиентам дополнительных сетевых параметров 72
- Создадим зону безопасности trusted и установим принадлежность используемых сетевых 72
- Создадим пул адресов с именем simple и добавим в данный пул адресов диапазон ip 72
- Список dns серверов dns1 172 6 dns2 8 72
- Cоздать пул ip адресов и или tcp udp портов с 73
- Dnat используется для перенаправления трафика идущего на некоторый виртуальный 73
- Адрес в публичной сети на реальный сервер в локальной сети находящийся за сетевым шлюзом эту функцию можно использовать для организации публичного доступа к серверам находящимся в частной сети и не имеющим публичного сетевого адреса 73
- Алгоритм настройки 73
- Для разрешения прохождения сообщений протокола dhcp к серверу необходимо создать 73
- Имя пула nat адресов задаётся строкой до 31 символа 73
- Конфигурирование destination nat 73
- Конфигурирование настроек для ipv6 производится по аналогии с ipv4 73
- Межсетевые экраны серии esr руководство по эксплуатации 73 73
- Перейти в режим настройки сервиса трансляции адресов получателя 73
- Просмотреть сконфигурированные пулы адресов можно командами 73
- Просмотреть список арендованных адресов можно с помощью команды 73
- Проходящих через сетевой шлюз 73
- Разрешим работу сервера 73
- Соответствующие профили портов включающие порт источника 68 и порт назначения 67 используемые протоколом dhcp и создать разрешающее правило в политике безопасности для прохождения пакетов протокола udp 73
- Функция destination nat dnat состоит в преобразовании ip адреса назначения у пакетов 73
- Шаг описание команда ключи 73
- Межсетевые экраны серии esr руководство по эксплуатации 74
- Более подробная информация о командах для настройки межсетевого экрана содержится в 75
- Задача 75
- Используемых сетевых интерфейсов к зонам одновременно назначим ip адреса интерфейсам 75
- Каждая команда match может содержать ключ not при использовании данного ключа 75
- Межсетевые экраны серии esr руководство по эксплуатации 75 75
- Организовать доступ из публичной сети относящейся к зоне untrust к серверу локальной 75
- Под правило будут подпадать пакеты не удовлетворяющие заданному критерию 75
- Пример настройки destination nat 75
- Решение 75
- Рисунок 26 схема сети 75
- Сети в зоне trust адрес сервера в локальной сети 10 00 сервер должен быть доступным извне по адресу 1 доступный порт 80 75
- Создадим зоны безопасности untrust и trust установим принадлежность 75
- Справочнике команд cli 75
- Net_uplink профиль адресов публичной сети 76
- Server_ip профиль адресов локальной сети 76
- Srv_http профиль портов 76
- Адресов в атрибутах набора укажем что правила применяются только для пакетов пришедших из зоны untrust набор правил включает в себя требования соответствия данных по адресу и порту назначения match destination address match destination port и по протоколу кроме этого в наборе задано действие применяемое к данным удовлетворяющим всем правилам action destination nat набор правил вводится в действие командой enable 76
- Войдем в режим конфигурирования функции dnat и создадим пул адресов и портов 76
- Межсетевые экраны серии esr руководство по эксплуатации 76
- Назначения в которые будут транслироваться адреса пакетов поступающие на адрес 1 из внешней сети 76
- Правил dnat 76
- Создадим набор правил dnat в соответствии с которыми будет производиться трансляция 76
- Создадим профили ip адресов и портов которые потребуются для настройки правил firewall и 76
- Cоздать пул ip адресов и или tcp udp портов с определённым именем не обязательно 77
- Алгоритм настройки 77
- Для пропуска трафика идущего из зоны untrust в trust создадим соответствующую 77
- Имя пула nat адресов задаётся строкой до 31 символа 77
- Компьютерам находящимся в локальной сети при этом не требуется назначения публичных ip адресов этим компьютерам 77
- Конфигурирование source nat 77
- Межсетевые экраны серии esr руководство по эксплуатации 77 77
- Пару зон пропускать следует только трафик с адресом назначения соответствующим заданному в профиле server_ip и прошедший преобразование dnat 77
- Перейти в режим настройки сервиса трансляции адресов отправителя 77
- Произведенные настройки можно посмотреть с помощью команд 77
- Проходящих через сетевой шлюз при прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза дополнительно к адресу источника может применяться замена порта источника при прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта 77
- Функция snat может быть использована для предоставления доступа в интернет 77
- Функция source nat snat используется для подмены адреса источника у пакетов 77
- Шаг описание команда ключи 77
- Межсетевые экраны серии esr руководство по эксплуатации 78
- Более подробная информация о командах для настройки межсетевого экрана содержится в 79
- Задача 79
- Использованием функции source nat задать диапазон адресов публичной сети для использования snat 100 00 100 49 79
- Каждая команда match может содержать ключ not при использовании данного ключа 79
- Межсетевые экраны серии esr руководство по эксплуатации 79 79
- Настроить доступ пользователей локальной сети 10 24 к публичной сети с 79
- Под правило будут подпадать пакеты не удовлетворяющие заданному критерию 79
- Пример настройки 1 79
- Справочнике команд cli 79
- Для конфигурирования функции snat и настройки правил зон безопасности потребуется 80
- Для пропуска трафика из зоны trust в зону untrust создадим пару зон и добавим 80
- Конфигурирование начнем с создания зон безопасности настройки сетевых интерфейсов и 80
- Межсетевые экраны серии esr руководство по эксплуатации 80
- Определения их принадлежности к зонам безопасности создадим доверенную зону trust для локальной сети и зону untrust для публичной сети 80
- Правила разрешающие проходить трафику в этом направлении дополнительно включена проверка адреса источника данных на принадлежность к диапазону адресов local_net для соблюдения ограничения на выход в публичную сеть действие правил разрешается командой enable 80
- Решение 80
- Рисунок 27 схема сети 80
- Создать профиль адресов локальной сети local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool 80
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила 81
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в 81
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них 81
- Должна быть настроена маршрутизация адрес 10 должен быть назначен адресом шлюза 81
- Задача 81
- Использованием функции source nat без использования межсетевого экрана firewall диапазон адресов публичной сети для использования snat 200 0 00 200 0 49 81
- Используемых для сервиса snat 81
- Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети 81
- Межсетевые экраны серии esr руководство по эксплуатации 81 81
- На самом маршрутизаторе также должен быть создан маршрут для направления на 81
- Настроить доступ пользователей локальной сети 21 2 24 к публичной сети с 81
- Применяются только для пакетов направляющихся в публичную сеть в зону untrust правила включают проверку адреса источника данных на принадлежность к пулу local_net 81
- Пример настройки 2 81
- Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды 81
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool 81
- Рисунок 28 схема сети 81
- Local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool 82
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила 82
- Для конфигурирования функции snat потребуется создать профиль адресов локальной сети 82
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в 82
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них 82
- Должна быть настроена маршрутизация адрес 21 2 должен быть назначен адресом шлюза 82
- Конфигурирование начнем с настройки сетевых интерфейсов и отключения межсетевого 82
- Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети используемых для сервиса snat 82
- Межсетевые экраны серии esr руководство по эксплуатации 82
- Применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net 82
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool 82
- Решение 82
- Экрана 82
- Static nat статический nat задает однозначное соответствие одного адреса другому 83
- Адресов 21 2 00 21 2 50 в публичную сеть 200 0 24 диапазон адресов публичной сети для использования трансляции 200 0 00 200 0 50 83
- Алгоритм настройки 83
- Задача 83
- Иными словами при прохождении через маршрутизатор адрес меняется на другой строго заданный адрес один к одному запись о такой трансляции хранится неограниченно долго пока не будет произведена перенастройка nat на маршрутизаторе 83
- Конфигурирование static nat 83
- Межсетевые экраны серии esr руководство по эксплуатации 83 83
- На самом маршрутизаторе также должен быть создан маршрут для направления на 83
- Настроить двухстороннюю и постоянную трансляцию из локальной сети для диапазона 83
- Настройка static nat осуществляется средствами source nat алгоритм настройки которой 83
- Начнем конфигурирование с настройки сетевых интерфейсов и отключения межсетевого 83
- Описан в разделе 7 1 настоящего руководства 83
- Пример настройки static nat 83
- Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды 83
- Решение 83
- Рисунок 29 схема сети 83
- Экрана 83
- Local_net включающий локальную подсеть и профиль адресов публичной сети public_pool 84
- Диапазон адресов публичной сети для использования static nat задаем в профиле proxy 84
- Для конфигурирования static nat потребуется создать профиль адресов локальной сети 84
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в 84
- Для того чтобы устройства локальной сети могли получить доступ к cети 200 0 24 на них 84
- Должна быть настроена маршрутизация адрес 21 2 должен быть назначен адресом шлюза 84
- Изменения конфигурации вступают в действие по команде применения 84
- Конфигурируем сервис static nat в режиме конфигурирования snat в атрибутах набора 84
- Межсетевые экраны серии esr руководство по эксплуатации 84
- Посмотреть активные трансляции можно с помощью команды 84
- Пул трансляции proxy необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов proxy 84
- Укажем что правила применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net и проверку адресов назначения на принадлежность к пулу public_pool 84
- Блокировать доступ к ресурсам youtube bittorrent и facebook 85
- Внимание использование механизма фильтрации приложений многократно снижает производительность маршрутизатора из за необходимости проверки каждого пакета производительность снижается с ростом количества выбранных приложений для фильтрации 85
- Для каждой сети esr создадим свою зону безопасности 85
- Для настройки правил зон безопасности потребуется создать профиль приложений которые 85
- Для установки правил прохождения трафика из зоны wan в зону lan создадим пару зон 85
- Задача 85
- И добавим правило запрещающее проходить трафику приложений и правило разрешающее проходить остальному трафику действие правил разрешается командой enable 85
- Межсетевые экраны серии esr руководство по эксплуатации 85 85
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 85
- Необходимо будет блокировать 85
- Пример настройки фильтрации приложений dpi 85
- Решение 85
- Рисунок 30 схема сети 85
- Cоздать объект с url 86
- Адрес веб страницы сайта 86
- Адрес хоста на который будут передаваться запросы 86
- Алгоритм настройки 86
- Выбрать действие по умолчанию 86
- Для установки правил прохождения трафика из зоны lan в зону wan создадим пару зон 86
- До 255 символов 86
- И добавим правило разрешающее прохождение всего трафика действие правил разрешается командой enable 86
- Межсетевые экраны серии esr руководство по эксплуатации 86
- Название профиля 86
- Посмотреть активные сессии можно с помощью команд 86
- Посмотреть пары зон и их конфигурацию можно с помощью команд 86
- Посмотреть членство портов в зонах можно с помощью команды 86
- Проксирование http https трафика 86
- Создать профиль проксирования 86
- Указать набор 86
- Указать название объекта содержащего набор url 86
- Указать описание не обязательно 86
- Указать удаленный или локальный список url и тип операции блокировка пропуск трафика перенаправление не обязательно 86
- Шаг описание команда ключи 86
- Если функция firewall на esr принудительно не отключена необходимо создать разрешающее правило для зоны self 87
- Межсетевые экраны серии esr руководство по эксплуатации 87 87
- Включим проксирование на интерфейсе по профилю list 88
- Если используется firewall создадим для него разрешающие правила 88
- Задача 88
- И укажем действия для созданного набора url 88
- Межсетевые экраны серии esr руководство по эксплуатации 88
- Организовать фильтрацию по url для ряда адресов посредством прокси 88
- Пример настройки http прокси 88
- Решение 88
- Рисунок 31 схема сети 88
- Создадим набор url по которым будет осуществляться фильтрация настроим прокси фильтр 88
- Создаем профиль 88
- Создаем профиль портов прокси сервера 88
- Создаем разрешающе правило межзонового взаимодействия 88
- Алгоритм настройки 89
- Межсетевые экраны серии esr руководство по эксплуатации 89 89
- Настройка логирования и защиты от сетевых атак 89
- Межсетевые экраны серии esr руководство по эксплуатации 90
- Firewall screen dos defense land 91
- Ip firewall screen dos defense icmp threshold 91
- Ip firewall screen dos defense limit session destination 91
- Ip firewall screen dos defense limit session source 91
- Данная команда включает защиту от icmp flood атак при включенной защите ограничивается 91
- Данная команда включает защиту от land атак при включенной защите блокируются пакеты с 91
- Когда таблица ip сессий хоста переполняется он больше не в состоянии организовывать 91
- Количество icmp пакетов всех типов в секунду для одного адреса назначения атака приводит к перегрузке хоста и выводу его из строя из за необходимости обрабатывать каждый запрос и отвечать на него 91
- Межсетевые экраны серии esr руководство по эксплуатации 91 91
- Новые сессии и отбрасывает запросы такое может происходить при различных dos атаках syn flood udp flood icmp flood и т д команда включает ограничение количества одновременных сессий на основании адреса источника которое смягчает dos атаки 91
- Новые сессии и отбрасывает запросы такое может происходить при различных атаках syn flood udp flood icmp flood и т д команда включает ограничение количества одновременных сессий на основании адреса назначения которое смягчает dos атаки 91
- Одинаковыми source и destination ip адресами и флагом syn в заголовке tcp атака приводит к перегрузке хоста и выводу его из строя из за необходимости обрабатывать каждый tcp syn пакет и попыток хоста установить tcp сессию с самим собой 91
- Описание механизмов защиты от атак 91
- Ip firewall screen dos defense syn flood 92
- Ip firewall screen dos defense udp threshold 92
- Ip firewall screen dos defense winnuke 92
- Ip firewall screen spy blocking fin no ack 92
- Ip firewall screen spy blocking icmp type destination unreachable 92
- Ip firewall screen spy blocking icmp type echo request 92
- Ip firewall screen spy blocking icmp type reserved 92
- Ip firewall screen spy blocking icmp type source quench 92
- Ip firewall screen spy blocking icmp type time exceeded 93
- Ip firewall screen spy blocking ip sweep 93
- Ip firewall screen spy blocking port scan 93
- Ip firewall screen spy blocking spoofing 93
- Ip firewall screen spy blocking syn fin 93
- Ip firewall screen spy blocking tcp all flag 93
- Ip firewall screen spy blocking tcp no flag 93
- Ip firewall screen suspicious packets icmp fragment 94
- Ip firewall screen suspicious packets ip fragment 94
- Ip firewall screen suspicious packets large icmp 94
- Ip firewall screen suspicious packets syn fragment 94
- Ip firewall screen suspicious packets udp fragment 94
- Ip firewall screen suspicious packets unknown protocols 94
- Пример настройки логирования и защиты от сетевых атак 94
- Firewall комплекс аппаратных или программных средств осуществляющий контроль и 95
- Конфигурирование firewall 95
- Межсетевые экраны серии esr руководство по эксплуатации 95 95
- Настроим snmp сервер на который будут отправляться трапы 95
- Настроим защиту от land syn flood icmp flood атак 95
- Настроим логирование обнаруженных атак 95
- Отсутствие не повлияют на работу защиты от сетевых атак 95
- Посмотреть статистику по зафиксированным сетевым атакам можно командой 95
- Предварительно необходимо настроить интерфейсы и firewall настройка firewall или ее 95
- Решение 95
- Фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами 95
- Алгоритм настройки 96
- Межсетевые экраны серии esr руководство по эксплуатации 96
- Межсетевые экраны серии esr руководство по эксплуатации 97 97
- Межсетевые экраны серии esr руководство по эксплуатации 98
- Межсетевые экраны серии esr руководство по эксплуатации 99 99
- Более подробная информация о командах для настройки межсетевого экрана содержится в 100
- Каждая команда match может содержать ключ not при использовании данного ключа 100
- Межсетевые экраны серии esr руководство по эксплуатации 100
- Под правило будут подпадать пакеты не удовлетворяющие заданному критерию 100
- Справочнике команд cli 100
- Включающий адреса которым разрешен выход в сеть wan и профиль адресов сети wan 101
- Для каждой сети esr создадим свою зону безопасности 101
- Для настройки правил зон безопасности потребуется создать профиль адресов сети lan 101
- Для пропуска трафика из зоны lan в зону wan создадим пару зон и добавим правило 101
- Задача 101
- Маршрутизатором esr 101
- Межсетевые экраны серии esr руководство по эксплуатации 101 101
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 101
- Пример настройки firewall 101
- Разрешающее проходить icmp трафику от пк1 к пк2 действие правил разрешается командой enable 101
- Разрешить обмен сообщениями по протоколу icmp между устройствами пк1 пк2 и 101
- Решение 101
- Рисунок 33 схема сети 101
- Для пропуска трафика из зоны wan в зону lan создадим пару зон и добавим правило 102
- Межсетевые экраны серии esr руководство по эксплуатации 102
- На маршрутизаторе всегда существует зона безопасности с именем self если в качестве 102
- Получателя трафика выступает сам маршрутизатор то есть трафик не является транзитным то в качестве параметра указывается зона self создадим пару зон для трафика идущего из зоны wan в зону self добавим правило разрешающее проходить icmp трафику между пк2 и маршрутизатором esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны wan 102
- Посмотреть членство портов в зонах можно с помощью команды 102
- Разрешающее проходить icmp трафику между пк1 и esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны lan 102
- Разрешающее проходить icmp трафику от пк2 к пк1 действие правил разрешается командой enable 102
- Создадим пару зон для трафика идущего из зоны lan в зону self добавим правило 102
- Access control list или acl список контроля доступа содержит правила определяющие 103
- Алгоритм настройки 103
- Межсетевые экраны серии esr руководство по эксплуатации 103 103
- Настройка списков доступа acl 103
- Посмотреть активные сессии можно с помощью команд 103
- Посмотреть пары зон и их конфигурацию можно с помощью команд 103
- Прохождение трафика через интерфейс 103
- Межсетевые экраны серии esr руководство по эксплуатации 104
- Адрес назначения может быть задан в следующем формате 105
- Добавить статический маршрут возможно командой в режиме глобальной конфигурации 105
- Задача 105
- Имя списка контроля доступа задаётся строкой до 31 символа 105
- Имя экземпляра vrf задается строкой до 31 символа 105
- Конфигурирование статических маршрутов 105
- Межсетевые экраны серии esr руководство по эксплуатации 105 105
- Настроим список доступа для фильтрации по подсетям 105
- Применим список доступа на интерфейс gi1 0 19 для входящего трафика 105
- Пример настройки списка доступа 105
- Просмотреть детальную информацию о списке доступа возможно через команду 105
- Процесс настройки 105
- Разрешить прохождения трафика только из подсети 192 68 0 24 105
- Решение 105
- Статическая маршрутизация вид маршрутизации при котором маршруты указываются в 105
- Также списки доступа могут использоваться для организации политик qos 105
- Указать список контроля доступа к конфигурируемому интерфейсу для фильтрации входящего трафика 105
- Явном виде при конфигурации маршрутизатора без использования протоколов динамической маршрутизации 105
- 8 используя статическую маршрутизацию на устройстве r1 создать шлюз для доступа к сети internet трафик внутри локальной сети должен маршрутизироваться внутри зоны lan трафик из сети internet должен относиться к зоне wan 107
- R1 будет подключен к сети 192 68 24 107
- R1 будет подключен к сети internet 107
- Для интерфейса gi1 0 1 укажем адрес 192 68 24 и зону lan через данный интерфейс 107
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный 107
- Для интерфейса gi1 0 3 укажем адрес 128 07 30 и зону wan через данный интерфейс 107
- Зададим имя устройства для маршрутизатора r1 107
- Задача 107
- Интерфейс r1 будет подключен к устройству r2 для последующей маршрутизации трафика 107
- Межсетевые экраны серии esr руководство по эксплуатации 107 107
- Настроить доступ к сети internet для пользователей локальных сетей 192 68 24 и 107
- Пример настройки статических маршрутов 107
- Решение 107
- Рисунок 34 схема сети 107
- Ppp point to point protocol двухточечный протокол канального уровня используется для 108
- Topgate sfp в маршрутизаторе esr 108
- Будет подключен к сети 10 8 108
- Для интерфейса gi1 0 1 укажем адрес 10 8 и зону lan через данный интерфейс r2 108
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный 108
- Для установления ppp соединения через поток e1 необходимо наличие медиаконвертера 108
- Зададим имя устройства для маршрутизатора r2 108
- Интерфейс r2 будет подключен к устройству r1 для последующей маршрутизации трафика 108
- Маршрутизатора r1 192 68 00 108
- Межсетевые экраны серии esr руководство по эксплуатации 108
- Настройка ppp через e1 108
- Провайдера 128 07 108
- Проверить таблицу маршрутов можно командой 108
- Создадим маршрут для взаимодействия с сетью 10 8 используя в качестве шлюза 108
- Создадим маршрут для взаимодействия с сетью internet используя в качестве nexthop шлюз 108
- Создадим маршрут по умолчанию указав в качестве nexthop ip адрес интерфейса gi1 0 2 108
- Установления прямой связи между двумя узлами сети может обеспечить аутентификацию соединения шифрование и сжатие данных 108
- Устройство r2 192 68 00 108
- Межсетевые экраны серии esr руководство по эксплуатации 109 109
- Процесс настройки 109
- Межсетевые экраны серии esr руководство по эксплуатации 110
- Multilink ppp mlppp предоставляет собой агрегированный канал включающий в себя 111
- Sfp используя 1 8 канальные интервалы для передачи данных источник синхросигнала встречная сторона 111
- Включим interface e1 1 3 1 111
- Задача 111
- Изменения конфигурации вступят в действие по следующим командам 111
- Межсетевые экраны серии esr руководство по эксплуатации 111 111
- Методы для распространения трафика через несколько физических каналов имея одно логическое соединение этот вариант позволяет расширить пропускную способность и обеспечивает балансировку нагрузки 111
- Настроить ppp соединение со встречной стороной с ip адресом 10 7 24 через topgate 111
- Настройка mlppp 111
- Переключаем интерфейс в котором установлен topgate sfp gigabitethernet 1 0 3 в режим 111
- Пример конфигурации 111
- Работы е1 111
- Решение 111
- Рисунок 35 схема сети 111
- Рисунок 36 схема сети 111
- Алгоритм настройки 112
- Межсетевые экраны серии esr руководство по эксплуатации 112
- Межсетевые экраны серии esr руководство по эксплуатации 113 113
- Bridge мост это способ соединения двух сегментов ethernet на канальном уровне без 114
- Алгоритм настройки 114
- Включим interface e1 1 0 1 interface e1 1 0 2 в группу агрегации mlppp 3 114
- Добавить сетевой мост bridge в систему и 114
- Задача 114
- Идентификационный номер моста принимает значения в 114
- Использования протоколов более высокого уровня таких как ip пакеты передаются на основе ethernet адресов а не ip адресов поскольку передача выполняется на канальном уровне уровень 2 модели osi трафик протоколов более высокого уровня прозрачно проходит через мост 114
- Межсетевые экраны серии esr руководство по эксплуатации 114
- Настроим mlppp 3 114
- Настроить mlppp соединение с встречной стороной с ip адресом 10 7 24 через 114
- Настройка bridge 114
- Переключаем интерфейс gigabitethernet 1 0 10 в режим работы е1 114
- Пример настройки 114
- Решение 114
- Рисунок 37 схема сети 114
- Устройство mxe 114
- Шаг описание команда ключи 114
- Межсетевые экраны серии esr руководство по эксплуатации 115 115
- Задача 116
- И l2tpv3 туннель проходящий по публичной сети для объединения использовать vlan 333 116
- Межсетевые экраны серии esr руководство по эксплуатации 116
- Объединить в единый l2 домен интерфейсы маршрутизатора относящиеся к локальной сети 116
- Пример настройки bridge для vlan и l2tpv3 туннеля 116
- Решение 116
- Рисунок 38 схема сети 116
- Создадим vlan 333 116
- Создадим зону безопасности trusted 116
- Добавим интерфейсы gi1 0 11 gi1 0 12 в vlan 333 117
- Должен относиться к зоне lan1 vlan 60 к зоне lan2 разрешить свободную передачу трафика между зонами 117
- Задача 117
- Межсетевые экраны серии esr руководство по эксплуатации 117 117
- Настроить маршрутизацию между vlan 50 10 0 24 и vlan 60 10 0 24 vlan 50 117
- Настройка l2tpv3 туннеля рассматривается в разделе 7 7 настройка l2tpv3 туннелей в общем случае идентификаторы моста и туннеля не должны совпадать с vid как в данном примере 117
- Пример настройки bridge для vlan 117
- Решение 117
- Рисунок 39 схема сети 117
- Создадим bridge 333 привяжем к нему vlan 333 и укажем членство в зоне trusted 117
- Создадим vlan 50 60 117
- Создадим зоны безопасности lan1 и lan2 117
- Установим принадлежность l2tpv3 туннеля к мосту который связан с локальной сетью 117
- Задача 118
- Межсетевые экраны серии esr руководство по эксплуатации 118
- На интерфейс gigabitethernet 1 0 1 поступают ethernet кадры с различными vlan тегами 118
- Назначим интерфейсам gi1 0 11 gi1 0 12 vlan 50 118
- Назначим интерфейсу gi1 0 14 vlan 60 118
- Необходимо перенаправить их в интерфейс gigabitethernet 1 0 2 добавив второй vlan id 828 при поступлении на интерфейс gigabitethernet 1 0 2 ethernet кадров с vlan id 828 данный тег должен быть удален и отправлен в интерфейс gigabitethernet 1 0 1 118
- Посмотреть членство интерфейсов в мосте можно командой 118
- Пример настройки добавления удаления второго vlan тега 118
- Создадим bridge 50 привяжем vlan 50 укажем ip адрес 10 0 24 и членство в зоне 118
- Создадим bridge 60 привяжем vlan 60 укажем ip адрес 10 0 24 и членство в зоне 118
- Создадим правила в firewall разрешающие свободное прохождение трафика между зонами 118
- Rip дистанционно векторный протокол динамической маршрутизации который использует 119
- Алгоритм настройки 119
- Включим интерфейс gigabitethernet 1 0 1 в bridge 1 119
- Включим саб интерфейс gigabitethernet 1 0 2 28 в bridge 1 119
- Количество маршрутов протокола rip в маршрутной таблице принимает значения в диапазоне 1 0000 значение по умолчанию 10000 119
- Количество транзитных участков в качестве метрики маршрута максимальное количество транзитных участков hop разрешенное в rip равно 15 каждый rip маршрутизатор по умолчанию вещает в сеть свою полную таблицу маршрутизации один раз в 30 секунд rip работает на 3 м уровне стека tcp ip используя udp порт 520 119
- Межсетевые экраны серии esr руководство по эксплуатации 119 119
- Настроить емкость таблиц маршрутизации протокола rip не обязательно 119
- Настроить приоритетность протокола rip маршрутизации для основной таблицы маршрутизации не обязательно 119
- Настройка rip 119
- При добавлении второго vlan тега в ethernet кадр его размер увеличивается на 4 байта на интерфейсе маршрутизатора gigabitethernet 1 0 2 и на всем оборудовании передающем q in q кадры необходимо увеличить mtu на 4 байта или более 119
- Приоритетность протокола принимает значения в диапазоне 1 55 значение по умолчанию rip 100 119
- Решение 119
- Создадим на маршрутизаторе bridge без vlan и без ip адреса 119
- Шаг описание команда ключи 119
- Межсетевые экраны серии esr руководство по эксплуатации 120
- Межсетевые экраны серии esr руководство по эксплуатации 121 121
- Задача 122
- Межсетевые экраны серии esr руководство по эксплуатации 122
- Настроить на маршрутизаторе протокол rip для обмена маршрутной информацией с 122
- Пример настройки rip 122
- Рисунок 40 схема сети 122
- Соседними маршрутизаторами маршрутизатор должен анонсировать статические маршруты и подсети 115 24 14 24 10 24 анонсирование маршрутов должно происходить каждые 25 секунд 122
- Ospf протокол динамической маршрутизации основанный на технологии отслеживания 123
- Алгоритм настройки 123
- Для анонсирования протоколом статических маршрутов выполним команду 123
- Для того чтобы просмотреть таблицу маршрутов rip воспользуемся командой 123
- Количество маршрутов протокола ospf в маршрутной таблице 123
- Межсетевые экраны серии esr руководство по эксплуатации 123 123
- Настроим таймер отвечающий за отправку маршрутной информации 123
- Настроить емкость таблиц маршрутизации 123
- Настроить приоритетность протокола ospf маршрутизации для основной таблицы маршрутизации не обязательно 123
- Настройка ospf 123
- Перейдём в режим конфигурирования протокола rip 123
- Помимо настройки протокола rip необходимо в firewall разрешить udp порт 520 123
- После установки всех требуемых настроек включаем протокол 123
- Предварительно нужно настроить ip адреса на интерфейсах согласно схеме сети 123
- Приведенной на рисунке 40 123
- Приоритетность протокола принимает значения в диапазоне 1 55 значение по умолчанию 150 123
- Решение 123
- Состояния канала link state technology и использующий для нахождения кратчайшего пути алгоритм дейкстры 123
- Укажем подсети которые будут анонсироваться протоколом 115 24 14 24 и 123
- Шаг описание команда ключи 123
- Межсетевые экраны серии esr руководство по эксплуатации 124
- Межсетевые экраны серии esr руководство по эксплуатации 125 125
- Межсетевые экраны серии esr руководство по эксплуатации 126
- Межсетевые экраны серии esr руководство по эксплуатации 127 127
- Межсетевые экраны серии esr руководство по эксплуатации 128
- Межсетевые экраны серии esr руководство по эксплуатации 129 129
- Включим ospf процесс 130
- Включим анонсирование маршрутной информации из протокола rip 130
- Задача 130
- Межсетевые экраны серии esr руководство по эксплуатации 130
- Настроить протокол ospf на маршрутизаторе для обмена маршрутной информацией с 130
- Предварительно нужно настроить ip адреса на интерфейсах согласно схеме приведенной на 130
- Пример настройки ospf 130
- Протокола ospf 130
- Решение 130
- Рисунке 41 130
- Рисунок 41 схема сети 130
- Создадим ospf процесс с идентификатором 10 и перейдём в режим конфигурирования 130
- Создадим и включим требуемую область 130
- Соседние маршрутизаторы подключены к интерфейсам gi1 0 5 и gi1 0 15 для установления 130
- Соседними маршрутизаторами маршрутизатор должен находится в области с идентификатором 1 и анонсировать маршруты полученные по протоколу rip 130
- Соседства с другими маршрутизаторами привяжем их к ospf процессу и области далее включим на интерфейсе маршрутизацию по протоколу ospf 130
- Должен анонсировать маршруты полученные по протоколу rip 131
- Задача 131
- Изменим тип области на тупиковый на каждом маршрутизаторе из области 1 в режиме 131
- Изменить тип области 1 область должна быть тупиковой тупиковый маршрутизатор 131
- Конфигурирования области выполним команду 131
- Межсетевые экраны серии esr руководство по эксплуатации 131 131
- На тупиковом маршрутизаторе r3 включим анонсирование маршрутной информации из 131
- Объединить две магистральные области в одну с помощью virtual link 131
- Предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме 131
- Приведенной на рисунке 42 131
- Пример настройки ospf stub area 131
- Пример настройки virtual link 131
- Протокола rip 131
- Решение 131
- Рисунок 42 схема сети 131
- Автономными системами далее ас то есть группами маршрутизаторов под единым техническим управлением использующими протокол внутридоменной маршрутизации для определения маршрутов внутри себя и протокол междоменной маршрутизации для определения маршрутов доставки пакетов в другие ас передаваемая информация включает в себя список ас к которым имеется доступ через данную систему выбор наилучших маршрутов осуществляется исходя из правил принятых в сети 133
- Алгоритм настройки 133
- В firewall необходимо разрешить протокол ospf 89 133
- Для просмотра соседей можно воспользоваться следующей командой 133
- Межсетевые экраны серии esr руководство по эксплуатации 133 133
- Настройка bgp 133
- Протокол bgp предназначен для обмена информацией о достижимости подсетей между 133
- Таблицу маршрутов протокола ospf можно просмотреть командой 133
- Межсетевые экраны серии esr руководство по эксплуатации 134
- Межсетевые экраны серии esr руководство по эксплуатации 135 135
- Межсетевые экраны серии esr руководство по эксплуатации 136
- Межсетевые экраны серии esr руководство по эксплуатации 137 137
- Межсетевые экраны серии esr руководство по эксплуатации 138
- Необходимо настроить несколько bgp neighbor с одинаковыми параметрами во избежание избыточности конфигурации рекомендуется использовать bgp peer group в которой возможно описать общие параметры а в конфигурации bgp neighbor просто указать причастность к bgp peer group 138
- Часто бывает особенно при конфигурировании ibgp что в одном bgp address family 138
- Анонсирование подсетей подключенных напрямую 139
- Второе соседство подсеть 185 30 собственный ip адрес 185 ip адрес соседа 185 as 20 139
- Входим в режим конфигурирования маршрутной информации для ipv4 139
- Задача 139
- Межсетевые экраны серии esr руководство по эксплуатации 139 139
- Настроить bgp протокол на маршрутизаторе со следующими параметрами 139
- Первое соседство подсеть 219 30 собственный ip адрес 219 ip адрес соседа 219 as 2500 139
- Пример настройки 139
- Процесса 139
- Решение 139
- Рисунок 44 схема сети 139
- Сконфигурируем необходимые сетевые параметры 139
- Собственная as 2500 139
- Собственные подсети 80 6 24 80 6 6 24 139
- Создадим bgp процесс для as 2500 и войдем в режим конфигурирования параметров 139
- Bfd bidirectional forwarding detection это протокол работающий поверх других 140
- Активировать bfd для протокола bgp neighbor на интерфейсе 140
- Активировать bfd для протокола ospf на интерфейсе 140
- Алгоритм настройки 140
- Включим работу протокола 140
- Задать интервал по истечении которого происходит отправка bfd сообщения соседу глобально не обязательно 140
- Интервал по истечении которого происходит отправка bfd пакета принимает значение в миллисекундах в диапазоне 200 5535 для esr 1000 и 300 5535 для esr 100 200 140
- Информацию о bgp пирах можно посмотреть командой 140
- Межсетевые экраны серии esr руководство по эксплуатации 140
- Настройка bfd 140
- Необходимо в firewall разрешить tcp порт 179 140
- Объявим подсети подключённые напрямую 140
- По умолчанию 1 секунда 140
- Протоколов позволяющий сократить время обнаружения проблемы до 50 мс bfd является двусторонним протоколом т е требует настройки обоих маршрутизаторов оба маршрутизатора генерируют bfd пакеты и отвечают друг другу 140
- Создадим соседства с 185 219 с указанием автономных систем и включим их 140
- Таблицу маршрутов протокола bgp можно просмотреть с помощью команды 140
- Шаг описание команда ключи 140
- Межсетевые экраны серии esr руководство по эксплуатации 141 141
- Межсетевые экраны серии esr руководство по эксплуатации 142
- Задача 143
- Конфигурирование r1 143
- Конфигурирование r2 143
- Межсетевые экраны серии esr руководство по эксплуатации 143 143
- Настроим ebgp с bfd 143
- Необходимо настроить ebgp между esr r1 и r2 и включить bfd 143
- Предварительно необходимо настроить интерфейс gi1 0 1 143
- Пример настройки bfd c bgp 143
- Решение 143
- Рисунок 45 схема сети 143
- Route map могут служить фильтрами позволяющими обрабатывать маршрутную 144
- Алгоритм настройки 144
- Информацию при приеме этой информации от соседа либо при ее передаче соседу обработка может включать в себя фильтрацию на основании различных признаков маршрута а также установку атрибутов med as path community localpreference и другое на соответствующие маршруты 144
- Межсетевые экраны серии esr руководство по эксплуатации 144
- Настройка route map для bgp 144
- Настройка политики маршрутизации pbr 144
- Также route map может назначать маршруты на основе списков доступа acl 144
- Межсетевые экраны серии esr руководство по эксплуатации 145 145
- Межсетевые экраны серии esr руководство по эксплуатации 146
- Задача 147
- Межсетевые экраны серии esr руководство по эксплуатации 147 147
- Назначить сommunity для маршрутной информации приходящей из as 20 147
- Настроить bgp c as 2500 на маршрутизаторе esr 147
- Предварительно нужно выполнить следующие действия 147
- Пример настройки 1 147
- Решение 147
- Рисунок 46 схема сети 147
- Создаем политику 147
- Создаем правило 1 147
- Установить соседство с as20 147
- В bgp процессе as 2500 заходим в настройки параметров соседа 148
- Для всей передаваемой маршрутной информации с community 2500 25 назначить med 148
- Если as path содержит as 20 то назначаем ему сommunity 20 2020 и выходим 148
- Если community содержит 2500 25 то назначаем ему med 240 и origin egp 148
- Задача 148
- Межсетевые экраны серии esr руководство по эксплуатации 148
- Настроить bgp c as 2500 на esr 148
- Предварительно 148
- Привязываем политику к анонсируемой маршрутной информации 148
- Привязываем политику к принимаемой маршрутной информации 148
- Пример настройки 2 148
- Равный 240 и указать источник маршрутной информации egp 148
- Решение 148
- Создаем политику 148
- Создаем правило 148
- Route map на основе списков доступа policy based routing 149
- Адресов 10 0 24 через isp2 80 6 3 требуется контролировать доступность адресов 149
- Алгоритм настройки 149
- Задача 149
- Межсетевые экраны серии esr руководство по эксплуатации 149 149
- Предварительно нужно назначить ip адреса на интерфейсы 149
- Пример настройки 149
- Распределить трафик между интернет провайдерами на основе подсетей пользователей 149
- Рисунок 47 схема сети 149
- Требуется направлять трафик с адресов 10 0 24 через isp1 184 5 50 а трафик с 149
- 5 50 а при его недоступности на адрес 80 6 3 приоритетность шлюзов задается значениями метрик 10 и 30 150
- Межсетевые экраны серии esr руководство по эксплуатации 150
- Правилом 1 будет обеспечена маршрутизация трафика из сети 10 0 24 на адрес 150
- Провайдеров работоспособность подключений к isp и при неработоспособности одного из подключений переводить с него на рабочее подключение весь трафик 150
- Решение 150
- Создаем acl 150
- Создаем политику 150
- Создаем правило 1 150
- Создаем правило 2 150
- Указываем next hop для sub20 150
- Указываем список доступа acl в качестве фильтра 150
- 3 а при его недоступности на адрес 184 5 50 приоритетность задается значениями метрик 151
- Gre англ generic routing encapsulation общая инкапсуляция маршрутов протокол 151
- Алгоритм настройки 151
- Заходим на интерфейс te 1 0 1 151
- Межсетевые экраны серии esr руководство по эксплуатации 151 151
- Настройка gre туннелей 151
- Правилом 2 будет обеспечена маршрутизация трафика из сети 10 0 24 на адрес 151
- Привязываем политику на соответствующий интерфейс 151
- Туннелирования сетевых пакетов его основное назначение инкапсуляция пакетов сетевого уровня сетевой модели osi в ip пакеты gre может использоваться для организации vpn на 3 м уровне модели osi в маршрутизаторе esr реализованы статические неуправляемые gre туннели то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах параметры туннеля для каждой из сторон должны быть взаимосогласованными или переносимые данные не будут декапсулироваться партнером 151
- Указываем nexthop для sub30 и выходим 151
- Межсетевые экраны серии esr руководство по эксплуатации 152
- Ip адрес туннеля на локальной стороне 25 24 153
- В качестве локального шлюза для туннеля используется ip адрес 115 153
- В качестве удаленного шлюза для туннеля используется ip адрес 114 0 153
- Задача 153
- Межсетевые экраны серии esr руководство по эксплуатации 153 153
- Организовать l3 vpn между офисами компании через ip сеть используя для туннелирования 153
- Пример настройки ip gre туннеля 153
- Трафика протокол gre 153
- L2tpv3 layer 2 tunneling protocol version 3 протокол для туннелирования пакетов 2 го 155
- Алгоритм настройки 155
- Включить и настроить механизм keepalive 155
- Включить проверку наличия и корректности контрольной суммы gre для входящего трафика 155
- Идентификатор туннеля в диапазоне для esr 100 200 1 50 для esr 1000 1 00 155
- Конфигурацию туннеля можно посмотреть командой 155
- Межсетевые экраны серии esr руководство по эксплуатации 155 155
- Настройка l2tpv3 туннелей 155
- Настройка туннеля ipv4 over ipv4 производится аналогичным образом 155
- Описание туннеля 155
- При создании туннеля необходимо в firewall разрешить протокол gre 47 155
- Сконфигурировать l3 интерфейс от которого будет строиться l2tpv3 туннель 155
- Создать l2tpv3 туннель и перейти в режим его конфигурирования 155
- Состояние туннеля можно посмотреть командой 155
- Счетчики входящих и отправленных пакетов можно посмотреть командой 155
- Указать значение dscp mtu ttl 155
- Указать описание 155
- Указать уникальный идентификатор 155
- Уровня модели osi между двумя ip узлами в качестве инкапсулирующего протокола используется ip или udp l2tpv3 может использоваться как альтернатива mpls p2p l2vpn vll для организации vpn уровня l2 в маршрутизаторе esr реализованы статические неуправляемые l2tpv3 туннели то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах параметры туннеля на каждой из сторон должны быть взаимосогласованными или переносимые данные не будут декапсулироваться партнером 155
- Шаг описание команда ключи 155
- Межсетевые экраны серии esr руководство по эксплуатации 156
- В качестве инкапсулирующего протокола используется udp номер порта на локальной стороне и номер порта на стороне партнера 519 157
- В качестве локального шлюза для туннеля используется ip адрес 21 157
- В качестве удаленного шлюза для туннеля используется ip адрес 183 0 157
- В туннель направим трафик из bridge с идентификатором 333 157
- Задать интервал времени за который усредняется статистика о нагрузке на туннеле не обязательно 157
- Задача 157
- Идентификатор сессии внутри туннеля равен 100 на стороне партнера 200 157
- Идентификатор туннеля на локальной стороне равен 2 на стороне партнера 3 157
- Интервал в секундах принимает значения 5 50 значение по умолчанию 5 157
- Межсетевые экраны серии esr руководство по эксплуатации 157 157
- Организовать l2 vpn между офисами компании через ip сеть используя для туннелирования 157
- Пример настройки l2tpv3 туннеля 157
- Решение 157
- Рисунок 49 схема сети 157
- Создадим туннель l2tpv3 333 157
- Трафика протокол l2tpv3 157
- Укажем идентификаторы сессии внутри туннеля для локальной и удаленной сторон 157
- Укажем локальный и удаленный шлюз ip адреса интерфейсов граничащих с wan 157
- Укажем тип инкапсулирующего протокола и номера udp портов 157
- Настройка ipsec vpn 158
- Алгоритм настройки 159
- Межсетевые экраны серии esr руководство по эксплуатации 159 159
- Настройка route based ipsec vpn 159
- Межсетевые экраны серии esr руководство по эксплуатации 160
- Межсетевые экраны серии esr руководство по эксплуатации 161 161
- Межсетевые экраны серии esr руководство по эксплуатации 162
- Isakmp 163
- R1 ip адрес 120 1 163
- R2 ip адрес 180 00 163
- Алгоритм аутентификации md5 163
- Алгоритм шифрования aes 128 bit 163
- Группа диффи хэллмана 2 163
- Для настройки правил зон безопасности потребуется создать профиль порта протокола 163
- Задача 163
- Конфигурирование r1 163
- Локального и удаленного шлюза указываются ip адреса интерфейсов граничащих с wan 163
- Межсетевые экраны серии esr руководство по эксплуатации 163 163
- Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности 163
- Настроить ipsec туннель между r1 и r2 163
- Пример настройки 163
- Решение 163
- Рисунок 50 схема сети 163
- Создадим туннель vti трафик будет перенаправляться через vti в ipsec туннель в качестве 163
- Которым могут согласовываться узлы и ключ аутентификации 164
- Межсетевые экраны серии esr руководство по эксплуатации 164
- Находится за ipsec туннелем нужно указать маршрут через vti туннель 164
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 164
- По которым могут согласовываться узлы 164
- Протокола и режим перенаправления трафика в туннель 164
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 164
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля 164
- Создадим политику протокола ike в политике указывается список профилей протокола ike по 164
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 164
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм 164
- Создадим статический маршрут до удаленной lan сети для каждой подсети которая 164
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия 164
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения 164
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 164
- Isakmp 165
- Для настройки правил зон безопасности потребуется создать профиль порта протокола 165
- Конфигурирование r2 165
- Которым могут согласовываться узлы и ключ аутентификации 165
- Локального и удаленного шлюза указываются ip адреса интерфейсов граничащих с wan 165
- Межсетевые экраны серии esr руководство по эксплуатации 165 165
- Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности 165
- Находится за ipsec туннелем нужно указать маршрут через vti туннель 165
- Создадим политику протокола ike в политике указывается список профилей протокола ike по 165
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм 165
- Создадим статический маршрут до удаленной lan сети для каждой подсети которая 165
- Создадим туннель vti трафик будет перенаправляться через vti в ipsec туннель в качестве 165
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения 165
- В firewall необходимо разрешить протокол esp и isakmp udp порт 500 166
- Конфигурацию туннеля можно посмотреть командой 166
- Межсетевые экраны серии esr руководство по эксплуатации 166
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 166
- По которым могут согласовываться узлы 166
- Протокола и режим перенаправления трафика в туннель 166
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 166
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля 166
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 166
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия 166
- Состояние туннеля можно посмотреть командой 166
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 166
- Алгоритм настройки 167
- Межсетевые экраны серии esr руководство по эксплуатации 167 167
- Настройка policy based ipsec vpn 167
- Межсетевые экраны серии esr руководство по эксплуатации 168
- Межсетевые экраны серии esr руководство по эксплуатации 169 169
- Межсетевые экраны серии esr руководство по эксплуатации 170
- Которым могут согласовываться узлы и ключ аутентификации 172
- Межсетевые экраны серии esr руководство по эксплуатации 172
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 172
- По которым могут согласовываться узлы 172
- Протокола и режим перенаправления трафика в туннель 172
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 172
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля 172
- Создадим политику протокола ike в политике указывается список профилей протокола ike по 172
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 172
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм 172
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия 172
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения 172
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 172
- Isakmp 173
- Для настройки правил зон безопасности потребуется создать профиль порта протокола 173
- Конфигурирование r2 173
- Которым могут согласовываться узлы и ключ аутентификации 173
- Межсетевые экраны серии esr руководство по эксплуатации 173 173
- Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности 173
- Протокола и режим перенаправления трафика в туннель 173
- Создадим политику протокола ike в политике указывается список профилей протокола ike по 173
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 173
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм 173
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия 173
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения 173
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 173
- Lt англ logical tunnel логический туннель тип туннелей предназначенный для передачи 174
- Алгоритм настройки 174
- В firewall необходимо разрешить протокол esp и isakmp udp порт 500 174
- Включить каждый lt туннель в зону безопасности и настроить правила взаимодействия между зонами или отключить firewall для lt туннеля 174
- Включить каждый lt туннель в соответствующий vfr 174
- Идентификатор туннеля в диапазоне 1 28 174
- Имя vrf задается строкой до 31 символа 174
- Имя зоны безопасности задаётся строкой до 12 символов 174
- Использоваться для организации взаимодействия между двумя или более vrf с применением ограничений firewall 174
- Конфигурацию туннеля можно посмотреть командой 174
- Маршрутной информации и трафика между различными виртуальными маршрутизаторами vrf lite сконфигурированными на одном аппаратном маршрутизаторе lt туннель может 174
- Межсетевые экраны серии esr руководство по эксплуатации 174
- Настройка lt туннелей 174
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 174
- Описание туннеля задаётся строкой до 255 символов 174
- По которым могут согласовываться узлы 174
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 174
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля 174
- Создать lt туннели для каждого из существующих vrf 174
- Состояние туннеля можно посмотреть командой 174
- Указать описание конфигурируемых туннелей не обязательно 174
- Шаг описание команда ключи 174
- Задача организовать взаимодействие между хостами терминированными в двух vrf vrf_1 и 175
- Исходная конфигурация 175
- Межсетевые экраны серии esr руководство по эксплуатации 175 175
- Пример настройки 175
- Local аутентификация пользователя по локальной базе radius аутентификация пользователя по базе radius сервера 176
- Pptp англ point to point tunneling protocol туннельный протокол типа точка точка 176
- Активируем их 176
- Алгоритм настройки 176
- Выбрать режим аутентификации pptp клиентов 176
- Если в vrf не работает ни один из протоколов динамической маршрутизации то необходимо указать статические маршруты для каждого vrf 176
- Имя профиля pptp сервера задаётся строкой до 31 символа 176
- Межсетевые экраны серии esr руководство по эксплуатации 176
- Настройка удаленного доступа к корпоративной сети по pptp 176
- Позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в обычной незащищенной сети pptp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет pptp может также использоваться для организации туннеля между двумя локальными сетями рртр использует дополнительное tcp соединение для обслуживания туннеля 176
- Протоколу 176
- Решение 176
- Создадим lt туннели для каждого vrf с указанием ip адресов из одной подсети 176
- Создать профиль pptp сервера 176
- Укажем для каждого lt туннеля lt туннель из vrf с которым необходимо установить связь и 176
- Шаг описание команда ключи 176
- Межсетевые экраны серии esr руководство по эксплуатации 177 177
- Dns серверы 8 8 178
- Адрес pptp сервера 120 1 178
- Активировать пользователя 178
- Задача 178
- Имя профиля ip адресов который содержит адреса необходимых wins серверов задаётся строкой до 31 символа 178
- Межсетевые экраны серии esr руководство по эксплуатации 178
- Настроить pptp сервер на маршрутизаторе 178
- Пароль пользователя задается строкой до 32 символов 178
- Пример настройки pptp сервера 178
- Пул ip адресов для выдачи 10 0 0 10 0 0 5 178
- Решение 178
- Рисунок 52 схема сети 178
- Создадим профиль адресов содержащий адрес который должен слушать сервер 178
- Создадим профиль адресов содержащий адрес локального шлюза 178
- Указать пароль пользователя 178
- Указать список wins серверов которые будут использовать удаленные пользователи не обязательно 178
- Учетные записи для подключения fedor ivan 178
- Шлюз внутри туннеля для подключающихся клиентов 10 0 0 178
- Включим pptp сервер 179
- Выберем метод аутентификации пользователей pptp сервера 179
- Завершить сессию пользователя fedor pptp сервера можно одной из следующих команд 179
- Межсетевые экраны серии esr руководство по эксплуатации 179 179
- Очистить счетчики сессий pptp сервера можно командой 179
- После применения конфигурации маршрутизатор будет прослушивать 120 1 1723 179
- Создадим pptp пользователей ivan и fedor для pptp сервера 179
- Создадим pptp сервер и привяжем вышеуказанные профили 179
- Создадим профиль адресов содержащий dns серверы 179
- Создадим профиль адресов содержащий адреса клиентов 179
- Состояние сессий pptp сервера можно посмотреть командой 179
- Счетчики сессий pptp сервера можно посмотреть командой 179
- Укажем зону безопасности к которой будут относиться сессии пользователей 179
- Ipsec протоколу 180
- L2tp англ layer 2 tunneling protocol протокол туннелирования второго уровня 180
- Алгоритм настройки 180
- Конфигурацию pptp сервера можно посмотреть командой 180
- Межсетевые экраны серии esr руководство по эксплуатации 180
- Настройка удаленного доступа к корпоративной сети по l2tp over 180
- Помимо создания pptp сервера необходимо в firewall открыть tcp порт 1723 для обслуживания соединений и разрешить протокол gre 47 для туннельного трафика 180
- Туннельный протокол использующийся для поддержки виртуальных частных сетей l2tp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет l2tp может также использоваться для организации туннеля между двумя локальными сетями l2тр использует дополнительное udp соединение для обслуживания туннеля l2tp протокол не предоставляет средств шифрования данных и поэтому он обычно используется в связке с группой протоколов ipsec которая предоставляет безопасность на пакетном уровне 180
- Межсетевые экраны серии esr руководство по эксплуатации 181 181
- Wins серверов задаётся строкой до 31 символа 182
- Адрес l2tp сервера 120 1 182
- Адрес radius сервера 192 68 182
- Аутентификация пользователей проходит на radius сервере 182
- Для ipsec используется метод аутентификации по ключу ключ password 182
- Задача 182
- Межсетевые экраны серии esr руководство по эксплуатации 182
- Настроить l2tp сервер на маршрутизаторе для подключения удаленных пользователей к лвс 182
- Настроить зоны для интерфейсов te1 0 1 и gi1 0 1 182
- Настроить подключение к radius серверу 182
- Обязательно 182
- Предварительно нужно выполнить следующие действия 182
- Пример настройки 182
- Решение 182
- Рисунок 53 схема сети 182
- Создадим l2tp сервер и привяжем к нему вышеуказанные профили 182
- Создадим профиль адресов содержащий dns серверы 182
- Создадим профиль адресов содержащий адрес локального шлюза 182
- Указать ip адреса для интерфейсов te1 0 1 и te1 0 1 182
- Шлюз внутри туннеля 10 0 0 182
- Openvpn полнофункциональное средство для построения виртуальных частных сетей 183
- Virtual private networks vpn организации удалённого доступа и решения ряда других задач связанных с безопасностью передачи данных базирующееся на ssl 183
- Включим l2tp сервер 183
- Выберем метод аутентификации первой фазы ike и зададим ключ аутентификации 183
- Выберем метод аутентификации пользователей l2tp сервера 183
- Завершить сессию пользователя fedor l2tp сервера можно одной из следующих команд 183
- Конфигурацию l2tp сервера можно посмотреть командой 183
- Межсетевые экраны серии esr руководство по эксплуатации 183 183
- Настройка удаленного доступа к корпоративной сети по openvpn 183
- Очистить счетчики сессий l2tp сервера можно командой 183
- Помимо создания l2tp сервера необходимо в firewall открыть udp порты 500 1701 4500 для обслуживания соединений и разрешить протоколы esp 50 и gre 47 для туннельного трафика 183
- Порт 1701 состояние сессий l2tp сервера можно посмотреть командой 183
- После применения конфигурации маршрутизатор будет прослушивать ip адрес 120 1 и 183
- Протоколу 183
- Счетчики сессий l2tp сервера можно посмотреть командой 183
- Укажем зону безопасности к которой будут относиться сессии пользователей 183
- Алгоритм настройки 184
- Межсетевые экраны серии esr руководство по эксплуатации 184
- Межсетевые экраны серии esr руководство по эксплуатации 185 185
- Пример настройки 186
- Openvpn сервером 187
- Pppoe это туннелирующий протокол tunneling protocol который позволяет 187
- Включим openvpn сервер 187
- Выберем алгоритм шифрования aes128 187
- Завершить сессию пользователя fedor openvpn сервера можно одной из следующих команд 187
- Инкапсулировать ip ppp через соединения ethernet и обладает программными возможностями ppp 187
- Используется по умолчанию 187
- Конфигурацию openvpn сервера можно посмотреть командой 187
- Межсетевые экраны серии esr руководство по эксплуатации 187 187
- Настройка клиента удаленного доступа по протоколу pppoe 187
- Очистить счетчики сессий openvpn сервера можно командой 187
- Помимо создания openvpn сервера необходимо в firewall открыть tcp порт 1194 187
- После применения конфигурации маршрутизатор будет прослушивать порт 1194 187
- Состояние сессий openvpn сервера можно посмотреть командой 187
- Счетчики сессий openvpn сервера можно посмотреть командой 187
- Укажем зону безопасности к которой будут относиться сессии пользователей 187
- Укажем ранее импортированные сертификаты и ключи которые будет использоваться 187
- Алгоритм настройки 188
- Межсетевые экраны серии esr руководство по эксплуатации 188
- Соединений что позволяет использовать его для виртуальных соединений на соседнюю ethernet машину и устанавливать соединение точка точка которое используется для транспортировки ip пакетов а также работает с возможностями ppp это позволяет применять традиционное ppp ориентированное по для настройки соединения которое использует не последовательный канал а пакетно ориентированную сеть например ethernet чтобы организовать классическое соединение с логином и паролем для интернет соединений кроме того ip адрес по другую сторону соединения назначается только когда pppoe соединение открыто позволяя динамическое переиспользование ip адресов 188
- Активировать конфигурируемый профиль 189
- Задача 189
- Зайдем в режим конфигурирования pppoe клиента и отключим межсетевой экран 189
- Имя vrf задается строкой до 31 символа 189
- Имя зоны безопасности задаётся строкой до 31 символа 189
- Межсетевые экраны серии esr руководство по эксплуатации 189 189
- Настроить pppoe клиент на маршрутизаторе 189
- Настройка зоны безопасности 189
- Отключения функции firewall на сетевом интерфейсе не обязательно 189
- Пароли учетных записей password 189
- Подключение должно осуществляться с интерфейса gigabitethernet 1 0 7 189
- Предварительно настроить pppoe сервер с учетными записями 189
- Пример настройки pppoe клиента 189
- Решение 189
- Рисунок 55 схема сети 189
- Укажем интерфейс через который будет устанавливаться pppoe соединение 189
- Укажем пользователя и пароль для подключения к pppoe серверу 189
- Указать имя экземпляра vrf в котором будут использоваться указанные сетевой интерфейс мост зона безопасности сервер динамической авторизации das или группа правил nat не обязательно 189
- Учетные записи для подключения tester 189
- Pptp англ point to point tunneling protocol туннельный протокол типа точка точка 190
- Алгоритм настройки 190
- Межсетевые экраны серии esr руководство по эксплуатации 190
- Настройка клиента удаленного доступа по протоколу pptp 190
- Позволяющий устанавливать защищённое соединение за счёт создания специального туннеля в обычной незащищенной сети pptp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет pptp может также использоваться для организации туннеля между двумя локальными сетями рртр использует дополнительное tcp соединение для обслуживания туннеля 190
- Состояние pppoe туннеля можно посмотреть командой 190
- Счетчики сессий pppoe клиента можно посмотреть командой 190
- Пример настройки удаленного подключения по pptp протоколу 191
- L2tp англ layer 2 tunneling protocol протокол туннелирования второго уровня 192
- Алгоритм настройки 192
- Конфигурацию туннеля можно посмотреть командой 192
- Межсетевые экраны серии esr руководство по эксплуатации 192
- Настройка клиента удаленного доступа по протоколу l2tp 192
- Счетчики входящих и отправленных пакетов можно посмотреть командой 192
- Туннельный протокол использующийся для поддержки виртуальных частных сетей l2tp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет l2tp может также использоваться для организации туннеля между двумя локальными сетями l2тр использует дополнительное udp соединение для обслуживания туннеля l2tp протокол не предоставляет средств шифрования данных и поэтому он обычно используется в связке с группой протоколов ipsec которая предоставляет безопасность на пакетном уровне 192
- Адрес pptp сервера 20 0 193
- Задача 193
- Межсетевые экраны серии esr руководство по эксплуатации 193 193
- Настроить pptp туннель на маршрутизаторе 193
- Пример настройки удаленного подключения по l2tp протоколу 193
- Решение 193
- Рисунок 57 схема сети 193
- Создадим туннель l2tp 193
- Укажем удаленный шлюз 193
- Укажем учетную запись пользователя ivan для подключения к серверу 193
- Учетная запись для подключения логин ivan пароль simplepass 193
- Dual homing технология резервирования соединений позволяет организовать надежное 194
- Алгоритм настройки 194
- Включим туннель 194
- Конфигурацию туннеля можно посмотреть командой 194
- Межсетевые экраны серии esr руководство по эксплуатации 194
- Настройка dual homing 194
- Соединение ключевых ресурсов сети на основе наличия резервных линков 194
- Состояние туннеля можно посмотреть командой 194
- Счетчики входящих и отправленных пакетов можно посмотреть командой 194
- Укажем зону безопасности 194
- Укажем ключ безопасности для ipsec 194
- Укажем метод аутентификации ipsec 194
- Пример настройки 195
- Qos quality of service технология предоставления различным классам трафика различных 196
- Алгоритм настройки 196
- Базовый qos 196
- Межсетевые экраны серии esr руководство по эксплуатации 196
- Настройка qos 196
- Приоритетов в обслуживании использование службы qos позволяет сетевым приложениям сосуществовать в одной сети не уменьшая при этом пропускную способность других приложений 196
- Межсетевые экраны серии esr руководство по эксплуатации 197 197
- Алгоритм настройки 199
- Включим qos на интерфейсе со стороны wan для правильной обработки очередей и 199
- Межсетевые экраны серии esr руководство по эксплуатации 199 199
- Ограничения полосы пропускания 199
- Просмотреть статистику по qos можно командой 199
- Расширенный qos 199
- Установим ограничение по скорости в 60мбит с для седьмой очереди 199
- Межсетевые экраны серии esr руководство по эксплуатации 200
- Межсетевые экраны серии esr руководство по эксплуатации 201 201
- Задача классифицировать приходящий трафик по подсетям 10 1 24 10 2 24 202
- Межсетевые экраны серии esr руководство по эксплуатации 202
- Пример настройки 202
- Произвести маркировку по dscp 38 и 42 и произвести разграничение по подсетям 40 мбит с и 60 мбит с ограничить общую полосу до 250 мбит с остальной трафик обрабатывать через механизм sfq 202
- Рисунок 60 схема сети 202
- Выходим 203
- Для другого трафика настраиваем класс с режимом sfq 203
- Конфигурации 203
- Маркировку 203
- Межсетевые экраны серии esr руководство по эксплуатации 203 203
- Настроим списки доступа для фильтрации по подсетям выходим в глобальный режим 203
- Осуществляем привязку класса к политике настраиваем ограничение полосы пропускания и 203
- Решение 203
- Создаем классы fl1 и fl2 указываем соответствующие списки доступа настраиваем 203
- Создаём политику и определяем ограничение общей полосы пропускания 203
- Алгоритм настройки 204
- Включаем qos на интерфейсах политику на входе интерфейса gi 1 0 19 для классификации и 204
- Для просмотра статистики используется команда 204
- Зеркалирование трафика функция маршрутизатора предназначенная для 204
- Межсетевые экраны серии esr руководство по эксплуатации 204
- На выходе gi1 0 20 для применения ограничений и режима sfq для класса по умолчанию 204
- Настройка зеркалирования 204
- Перенаправления трафика с одного порта маршрутизатора на другой порт этого же маршрутизатора локальное зеркалирование или на удаленное устройство удаленное зеркалирование 204
- Настройка netflow 205
- Пример настройки 205
- Gi1 0 8 для обработки 206
- Алгоритм настройки 206
- Задача 206
- Межсетевые экраны серии esr руководство по эксплуатации 206
- Организовать учет трафика с интерфейса gi1 0 1 для передачи на сервер через интерфейс 206
- Пример настройки 206
- Рисунок 62 схема сети 206
- Sflow стандарт для мониторинга компьютерных сетей беспроводных сетей и сетевых 207
- Активируем netflow на маршрутизаторе 207
- Алгоритм настройки 207
- Включим сбор экспорта статистики netflow на сетевом интерфейсе gi1 0 1 207
- Для просмотра статистики netflow используется команда 207
- Межсетевые экраны серии esr руководство по эксплуатации 207 207
- На интерфейсах gi1 0 1 gi1 0 8 отключить firewall командой ip firewall disable 207
- Назначить ip адреса на портах 207
- Настройка netflow для учета трафика между зонами аналогична настройке sflow описание приведено в разделе 7 0 настройка sflow 207
- Настройка sflow 207
- Основной этап конфигурирования 207
- Предварительно нужно выполнить следующие действия 207
- Решение 207
- Укажем ip адрес коллектора 207
- Устройств предназначенный для учета и анализа трафика 207
- Включить отправку статистики на sflow сервер в режим конфигурирования интерфейса туннеля сетевого моста 208
- Для сетей esr создадим две зоны безопасности 208
- Задача 208
- Межсетевые экраны серии esr руководство по эксплуатации 208
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 208
- Организовать учет трафика между зонами trusted и untrusted 208
- Пример настройки 208
- Решение 208
- Рисунок 63 схема сети 208
- Lacp протокол для агрегирования каналов позволяет объединить несколько физических 209
- Активируем sflow на маршрутизаторе 209
- Алгоритм настройки 209
- Включим экспорт статистики по протоколу sflow для любого трафика в правиле rule1 для 209
- Каналов в один логический такое объединение позволяет увеличивать пропускную способность и надежность канала 209
- Межсетевые экраны серии esr руководство по эксплуатации 209 209
- Направления trusted untrusted 209
- Настройка lacp 209
- Настройка sflow для учета трафика с интерфейса осуществляется аналогично 7 9 настройка netflow 209
- Укажем ip адрес коллектора 209
- Cоздадим интерфейс port channel 2 210
- Включим физические интерфейсы gi1 0 1 gi1 0 2 в созданную группу агрегации каналов 210
- Дальнейшая конфигурация port channel проводится как на обычном физическом интерфейсе 210
- Задача 210
- Межсетевые экраны серии esr руководство по эксплуатации 210
- На интерфейсах gi1 0 1 gi1 0 2 отключить зону безопасности командой no security zone 210
- Настроить агрегированный канал между маршрутизатором esr и коммутатором 210
- Основной этап конфигурирования 210
- Предварительно нужно выполнить следующие настройки 210
- Пример настройки 210
- Решение 210
- Рисунок 64 схема сети 210
- Vrrp virtual router redundancy protocol сетевой протокол предназначенный для 211
- Алгоритм настройки 211
- Межсетевые экраны серии esr руководство по эксплуатации 211 211
- Настройка vrrp 211
- Увеличения доступности маршрутизаторов выполняющих роль шлюза по умолчанию это достигается путём объединения группы маршрутизаторов в один виртуальный маршрутизатор и назначения им общего ip адреса который и будет использоваться как шлюз по умолчанию для компьютеров в сети 211
- Межсетевые экраны серии esr руководство по эксплуатации 212
- Межсетевые экраны серии esr руководство по эксплуатации 213 213
- Пример настройки 1 214
- Пример настройки 2 215
- Vrrp tracking механизм позволяющий активировать статические маршруты в зависимости 216
- Алгоритм настройки 216
- Включим vrrp 216
- Включить tracking объект 216
- Добавить в систему tracking объект и перейти в режим настройки параметров tracking объекта 216
- Задать правило слежения за состоянием vrrp процесса 216
- Идентификатор отслеживаемого vrrp маршрутизатора принимает значения 1 55 216
- Межсетевые экраны серии esr руководство по эксплуатации 216
- Настроим vrrp для подсети 192 68 0 24 в созданном саб интерфейсе 216
- Настроить vrrp согласно разделу 7 216
- Настройка vrrp tracking 216
- Номер tracking объекта принимает значения 1 0 216
- От состояния vrrp 216
- Помимо создания туннеля необходимо в firewall разрешить протокол vrrp 112 помимо создания туннеля необходимо в firewall разрешить протокол vrrp 112 216
- Произвести аналогичные настройки на r2 216
- Укажем ip адрес виртуального шлюза 192 68 0 216
- Укажем идентификатор vrrp группы 216
- Укажем уникальный идентификатор vrrp 216
- Шаг описание команда ключи 216
- Для подсети 192 68 24 организован виртуальный шлюз 192 68 24 с использованием 217
- Задача 217
- Межсетевые экраны серии esr руководство по эксплуатации 217 217
- Пример настройки 217
- Протокола vrrp на основе аппаратных маршрутизаторов r1 и r2 так же между маршрутизаторами 217
- 24 пойдет без дополнительных настроек когда маршрутизатор r1 находится в состоянии vrrp master необходим дополнительный маршрут для подсети 10 24 через интерфейс 192 68 218
- R1 и r2 есть линк с вырожденной подсетью 192 68 30 подсеть 10 24 терминируется только на маршрутизаторе r2 пк имеет ip адрес 192 68 24 и шлюз по умолчанию 192 68 218
- Исходные конфигурации маршрутизаторов 218
- Когда маршрутизатор r1 находится в состоянии vrrp backup трафик от пк в подсеть 218
- Маршрутизатор r1 218
- Маршрутизатор r2 218
- Межсетевые экраны серии esr руководство по эксплуатации 218
- Рисунок 67 схема сети 218
- Для этого создадим tracking object с соответствующим условием 219
- Межсетевые экраны серии esr руководство по эксплуатации 219 219
- На маршрутизаторе r2 никаких изменений не требуется так как подсеть 10 24 219
- Работать в случае удовлетворения условия из tracking 1 219
- Решение 219
- Создадим статический маршрут в подсеть 10 24 через 192 68 который будет 219
- Терминируется на нем и в момент когда r2 выступает в роли vrrp master пакеты будут переданы в соответствующий интерфейс на маршрутизаторе необходимо создать маршрут для пакетов с ip адресом назначения из сети 10 24 в момент когда r1 выступает в роли vrrp master 219
- Vrf virtual routing and forwarding технология которая позволяет изолировать маршрутную 220
- Алгоритм настройки 220
- Информацию принадлежащую различным классам например маршруты одного клиента 220
- Межсетевые экраны серии esr руководство по эксплуатации 220
- Настройка vrf lite 220
- Рисунок 68 схема сети 220
- Задача 221
- К маршрутизатору серии esr подключены 2 сети которые необходимо изолировать от 221
- Которого будет использоваться при необходимости 221
- Межсетевые экраны серии esr руководство по эксплуатации 221 221
- Настроить lt туннель для передачи трафика в глобальный режим или другие vrf при необходимости 221
- Остальных сетей 221
- Пример настройки 221
- Решение 221
- Создадим vrf 221
- Создадим зону безопасности 221
- Создадим правило для пары зон и разрешим любой tcp udp трафик 221
- Создадим привязку интерфейсов назначим ip адреса укажем принадлежность к зоне 221
- Алгоритм настройки 222
- Информацию об интерфейсах привязанных к vrf можно посмотреть командой 222
- Межсетевые экраны серии esr руководство по эксплуатации 222
- Настройка multiwan 222
- Резервированием линков от нескольких провайдеров а также решает проблему балансировки трафика между резервными линками 222
- Таблицу маршрутов vrf можно просмотреть с помощью команды 222
- Технология multiwan позволяет организовать отказоустойчивое соединение с 222
- Межсетевые экраны серии esr руководство по эксплуатации 223 223
- Задача 224
- Межсетевые экраны серии esr руководство по эксплуатации 224
- Настроить зоны для интерфейсов te1 0 1 и te1 0 2 224
- Настроить маршрут к серверу 108 6 28 с возможностью балансировки нагрузки 224
- Предварительно нужно выполнить следующие действия 224
- Пример настройки 224
- Решение 224
- Рисунок 69 схема сети 224
- Указать ip адреса для интерфейсов te1 0 1 и te1 0 2 224
- В режиме конфигурирования интерфейса te1 0 1 включаем wan режим и выходим 225
- В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки 225
- В режиме конфигурирования интерфейса te1 0 2 указываем nexthop 225
- Включим созданное правило балансировки и выйдем из режима конфигурирования правила 225
- Зададим адрес для проверки включим проверку указанного адреса и выйдем 225
- Межсетевые экраны серии esr руководство по эксплуатации 225 225
- Настроим интерфейсы в режиме конфигурирования интерфейса te1 0 1 указываем nexthop 225
- Настроим маршрутизацию 225
- Основной этап конфигурирования 225
- Соединения 225
- Создадим правило wan 225
- Создадим список для проверки целостности соединения 225
- Создадим цель проверки целостности 225
- Укажем участвующие интерфейсы 225
- Snmp англ simple network management protocol простой протокол сетевого управления 226
- Алгоритм настройки 226
- В режиме конфигурирования интерфейса te1 0 2 включаем wan режим и выходим 226
- В режиме конфигурирования интерфейса te1 0 2 указываем список целей для проверки 226
- Для переключения в режим резервирования настроим следующее 226
- Заходим в режим настройки правила wan 226
- Межсетевые экраны серии esr руководство по эксплуатации 226
- Направляться в активный интерфейс с наибольшим весом включить данный режим можно следующей командой 226
- Настройка snmp 226
- Протокол предназначенный для управления устройствами в ip сетях на основе архитектур tcp udp snmp предоставляет данные для управления в виде переменных описывающих конфигурацию управляемой системы 226
- Соединения 226
- Функция multiwan также может работать в режиме резервирования в котором трафик будет 226
- Межсетевые экраны серии esr руководство по эксплуатации 227 227
- Межсетевые экраны серии esr руководство по эксплуатации 228
- Пример настройки 229
- Syslog англ system log системный журнал стандарт отправки и регистрации сообщений о 230
- Алгоритм настройки 230
- Межсетевые экраны серии esr руководство по эксплуатации 230
- Настройка syslog 230
- Определяем сервер приемник trap pdu сообщений 230
- Происходящих в системе событиях используется в сетях работающих по протоколу ip 230
- Межсетевые экраны серии esr руководство по эксплуатации 231 231
- Пример настройки syslog 232
- Проверка целостности 233
- Часто задаваемые вопросы 234
Похожие устройства
- Eltex ESR-1000 FSTEC Справочник команд CLI. Версия 1.5
- Eltex ESR-1500 FSTEC Техническое описание
- Eltex ESR-1500 FSTEC Краткая техническая информация по сопутствующим блокам питания
- Eltex ESR-1500 FSTEC Руководство по эксплуатации
- Eltex ESR-1511 FSTEC Краткая техническая информация по сопутствующим блокам питания
- Eltex ESR-1511 FSTEC Техническое описание
- Eltex ESR-1511 FSTEC Руководство по эксплуатации
- Eltex ESR-100-ST Техническое описание
- Eltex ESR-100-ST Руководство по эксплуатации
- Eltex ESR-200-ST Техническое описание
- Eltex ESR-200-ST Руководство по эксплуатации
- Eltex ESR-1000-ST Техническое описание
- Eltex ESR-1000-ST Руководство по эксплуатации
- Eltex NTU-52V Краткое техническое описание
- Eltex NTU-52V Руководство по эксплуатации
- Eltex NTU-RG-1421G-WZ Руководство пользователя
- Eltex NTU-RG-1421G-WZ Краткое техническое описание
- Eltex NTU-MD500P Краткое техническое описание
- Eltex NTU-MD500P Руководство по эксплуатации
- Eltex NTU-RG-5421GC-WAC Краткое техническое описание