![Eltex ESR-1511 FSTEC [149/253] Настройка bgp](/img/pdf.png)
Eltex ESR-1511 FSTEC [149/253] Настройка bgp
![Eltex ESR-20 FSTEC [149/253] Настройка bgp](/views2/1832192/page149/bg95.png)
Межсетевые экраны серии ESR. Руководство по эксплуатации 149
Для просмотра соседей можно воспользоваться следующей командой:
esr# show ip ospf neighbors 10
Таблицу маршрутов протокола OSPF можно просмотреть командой:
esr# show ip ospf 10
В firewall необходимо разрешить протокол OSPF (89).
9.23 Настройка BGP
Протокол BGP предназначен для обмена информацией о достижимости подсетей между
автономными системами (далее АС), то есть группами маршрутизаторов под единым техническим
управлением, использующими протокол внутридоменной маршрутизации для определения
маршрутов внутри себя и протокол междоменной маршрутизации для определения маршрутов
доставки пакетов в другие АС. Передаваемая информация включает в себя список АС, к которым
имеется доступ через данную систему. Выбор наилучших маршрутов осуществляется исходя из
правил, принятых в сети.
Расширение протокола BGP Flow Specification позволяет получать и передавать информацию о
потоках трафика и применять ее для фильтрации трафика и применения политик безопасности.
Основное предназначение функции BGP Flow Specification – защита от атак, направленных на отказ в
обслуживании (Distributed Denial of Service, DDoS).
9.23.1 Алгоритм настройки
Шаг
Описание
Команда
Ключи
1
Настроить приоритетность
протокола BGP
маршрутизации для
основной таблицы
маршрутизации (не
обязательно).
esr(config)# ip
protocols bgp
preference <VALUE>
<VALUE> – приоритетность протокола,
принимает значения в диапазоне
[1..255].
Значение по умолчанию: BGP (170).
2
Настроить емкость таблиц
маршрутизации
протокола BGP (не
обязательно).
esr(config)# ip
protocols bgp max-
routes <VALUE>
<VALUE> – количество маршрутов
протокола BGP в маршрутной таблице,
принимает значения в диапазоне:
для ESR-1511/1500 [1..2800000];
для ESR-20/21 [1..1500000].
Значение по умолчанию:
для ESR-1511/1500 (2800000);
для ESR-20/21 (1500000).
esr(config)# ipv6
protocols bgp max-
routes <VALUE>
esr(config-vrf)# ip
protocols bgp max-
routes <VALUE>
esr(config-vrf)# ipv6
protocols bgp max-
routes <VALUE>
3
Включить вывод
информации о состоянии
отношений с соседями
для протокола
маршрутизации BGP (не
обязательно).
esr(config)# router
bgp log-neighbor-
changes
esr(config)# ipv6
router bgp log-
neighbor-changes
Содержание
- Межсетевые экраны серии esr 1
- Аннотация 11
- Введение 11
- Условные обозначения 11
- Целевая аудитория 11
- Назначение 13
- Описание изделия 13
- Функции 13
- Функции интерфейсов 13
- В таблице приведены функции и особенности второго уровня уровень 2 osi 14
- В таблице приведены функции третьего уровня уровень 3 osi 14
- В таблице приведены функции устройства при работе с mac адресами 14
- Динамическая маршрутизация 14
- Межсетевые экраны серии esr руководство по эксплуатации 14
- Поддержка vlan 14
- Режим обучения 14
- Статические ip маршруты 14
- Таблица 2 функции работы с mac адресами 14
- Таблица 3 описание функций второго уровня уровень 2 osi 14
- Таблица 4 описание функций третьего уровня layer 3 14
- Таблица arp 14
- Таблица mac адресов 14
- Функции второго уровня сетевой модели osi 14
- Функции при работе с mac адресами 14
- Функции третьего уровня сетевой модели osi 14
- Клиент dhcp 15
- Межсетевые экраны серии esr руководство по эксплуатации 15 15
- Протоколы туннелирования 15
- Сервер dhcp 15
- Таблица 5 функции туннелирования трафика 15
- Трансляция сетевых адресов nat network address translation 15
- Функции туннелирования трафика 15
- Syslog 16
- Автоматическое восстановление конфигурации 16
- Аутентификация 16
- В таблице приведены функции сетевой защиты выполняемые устройством 16
- Загрузка и выгрузка файла настройки 16
- Зоны безопасности 16
- Интерфейс командной строки cli 16
- Межсетевые экраны серии esr руководство по эксплуатации 16
- Сервер ssh сервер telnet 16
- Сетевые утилиты ping traceroute 16
- Таблица 6 основные функции управления и конфигурирования 16
- Таблица 7 функции сетевой защиты 16
- Управление контролируемым доступом уровни привилегий 16
- Фильтрация данных 16
- Функции сетевой защиты 16
- Функции управления и конфигурирования 16
- Межсетевые экраны серии esr руководство по эксплуатации 17 17
- Основные технические параметры маршрутизатора приведены в таблице 17
- Основные технические характеристики 17
- Таблица 8 основные технические характеристики 17
- Межсетевые экраны серии esr руководство по эксплуатации 18
- В данном разделе описано конструктивное исполнение устройства представлены 19
- В таблице приведен перечень разъемов светодиодных индикаторов и органов управления 19
- Внешний вид передней панели показан на рисунке 19
- Высота корпуса 1u 19
- Изображения передней задней и боковых панелей устройства описаны разъемы светодиодные индикаторы и органы управления 19
- Конструктивное исполнение 19
- Конструктивное исполнение esr 1511 esr 1500 19
- Межсетевые экраны серии esr руководство по эксплуатации 19 19
- Передняя панель устройств esr 1511 esr 1500 19
- Расположенных на передней панели устройств esr 1511 esr 1500 19
- Рисунок 1 передняя панель esr 1511 esr 1500 19
- Таблица 9 описание разъемов индикаторов и органов управления передней панели esr 1511 esr 1500 19
- Устройство выполнено в металлическом корпусе с возможностью установки в 19 конструктив 19
- В таблице 10 приведен перечень разъемов расположенных на задней панели маршрутизатора 20
- Внешний вид задней панели устройств esr 1511 esr 1500 приведен на рисунке 20
- Задняя панель устройств esr 1511 esr 1500 20
- Межсетевые экраны серии esr руководство по эксплуатации 20
- Рисунок 2 задняя панель esr 1511 esr 1500 20
- Таблица 10 описание разъемов задней панели маршрутизатора 20
- Конструктивное исполнение esr 21 21
- Боковые панели устройства esr 21 22
- В таблице 12 приведен перечень разъемов расположенных на задней панели 22
- Внешний вид боковых панелей устройства esr 21 приведен на рисунках и 22
- Внешний вид задней панели устройства esr 21 показан на рисунке 22
- Задняя панель устройств esr 21 22
- Маршрутизатора 22
- Межсетевые экраны серии esr руководство по эксплуатации 22
- Рисунок 6 задняя панель esr 21 22
- Рисунок 7 левая панель esr 21 22
- Рисунок 8 правая панель esr 21 22
- Таблица 12 описание разъемов задней панели маршрутизатора 22
- В таблице 13 приведен перечень разъемов светодиодных индикаторов и органов управления 23
- Внешний вид задней панели устройства esr 20 показан на рисунке 10 23
- Внешний вид передней панели показан на рисунке 23
- Высота корпуса 1u 23
- Задняя панель устройств esr 20 23
- Конструктивное исполнение esr 20 23
- Межсетевые экраны серии esr руководство по эксплуатации 23 23
- Передняя панель устройства esr 20 23
- Расположенных на передней панели устройства esr 20 23
- Рисунок 9 передняя панель esr 20 23
- Таблица 13 описание разъемов индикаторов и органов управления передней панели esr 20 23
- Устройство выполнено в металлическом корпусе с возможностью установки в 19 конструктив 23
- Световая индикация 24
- В следующей таблице приведено описание состояний системных индикаторов устройства и их 25
- Значений 25
- Межсетевые экраны серии esr руководство по эксплуатации 25 25
- Рисунок 13 расположение индикаторов разъема rj 45 25
- Рисунок 14 расположение индикаторов оптических интерфейсов 25
- Таблица 15 световая индикация состояния медных интерфейсов 25
- Таблица 16 световая индикация состояния sfp sfp интерфейсов 25
- Индикаторами link act зеленого цвета и speed янтарного цвета 26
- Межсетевые экраны серии esr руководство по эксплуатации 26
- Световая индикация esr 21 esr 20 26
- Состояние медных интерфейсов gigabit ethernet отображается двумя светодиодными 26
- Таблица 17 состояния системных индикаторов 26
- Таблица 18 световая индикация состояния медных интерфейсов и sfp интерфейсов 26
- Комплект поставки 27
- Крепление кронштейнов 29
- Установка и подключение 29
- Установка устройства в стойку 30
- Подключение питающей сети 31
- Установка модулей питания esr 1511 esr 1500 31
- Удаление трансивера 32
- Установка и удаление sfp трансиверов 32
- Установка трансивера 32
- Интерфейс командной строки cli 34
- Интерфейсы управления 34
- Типы и порядок именования интерфейсов маршрутизатора 35
- Типы и порядок именования туннелей маршрутизатора 36
- Описание заводской конфигурации 38
- Для обеспечения возможности конфигурирования устройства при первом включении в конфигурации маршрутизатора создана учётная запись администратора admin пользователю будет предложено изменить пароль администратора при начальном конфигурировании маршрутизатора 39
- Для сетевого доступа к управлению маршрутизатором при первом включении в конфигурации задан статический ip адрес на интерфейсе bridge 1 192 68 24 39
- Межсетевые экраны серии esr руководство по эксплуатации 39 39
- Таблица 22 описание политик зон безопасности 39
- Безопасная настройка 40
- Настройка системы логирования событий 40
- Общие правила 40
- Правила настройки 40
- Настройка политики использования паролей 41
- Предупреждения 41
- Пример настройки 41
- Настройка политики aaa 42
- Правила настройки 42
- Пример настройки 42
- Правила настройки 43
- Предупреждения 43
- Пример настройки 43
- Задаем локальный enable пароль 44
- Межсетевые экраны серии esr руководство по эксплуатации 44
- Настраиваем логирование 44
- Настраиваем политику ааа 44
- Настраиваем связь с двумя radius серверами основным 192 68 1 и резервным 44
- Настройка доступа ssh telnet справочника команд cli 44
- Настройка удаленного управления 44
- Остальные 44
- Отключите удаленное управление по протоколу telnet не включайте удаленное управление по протоколам snmp v1 snmp v2 по умолчанию на 44
- Подробная информация о командах настройки удаленного доступа приведена в разделе 30 44
- Понижаем привилегии пользователя admin 44
- Правила настройки 44
- Сгенерируйте новые криптографические ключи используйте криптостойкие алгоритмы аутентификации sha2 256 sha2 512 и отключите все 44
- Устройстве выключено 44
- Sha256 и отключите все остальные 45
- Генерируем новые ключи шифрования 45
- Задача 45
- Используйте криптостойкие алгоритмы шифрования aes256 aes256ctr и отключите все 45
- Используйте криптостойкий алгоритм обмена ключами шифрования dh group exchange 45
- Криптостойкие алгоритмы 45
- Межсетевые экраны серии esr руководство по эксплуатации 45 45
- Остальные 45
- Отключаем удаленное управление по протоколу telnet 45
- Отключаем устаревшие и не криптостойкие алгоритмы 45
- Отключить протокол telnet сгенерировать новые ключи шифрования использовать 45
- Пример настройки 45
- Разрешите доступ к удаленному управлению устройством только с определенных ip адресов 45
- Решение 45
- Настройка механизмов защиты от сетевых атак 46
- Правила настройки 46
- Пример настройки 46
- Включаем защиту от незарегистрированных ip протоколов и логирование механизма защиты 47
- Межсетевые экраны серии esr руководство по эксплуатации 47 47
- Подключение и конфигурирование маршрутизатора 48
- Подключение к маршрутизатору 48
- Базовая настройка маршрутизатора 49
- Применение изменения конфигурации 49
- Gigabitethernet 1 0 2 50 для доступа к маршрутизатору через vlan 150 50
- Для изменения пароля пользователя admin используются следующие команды 50
- Для назначения имени устройства используются следующие команды 50
- Для настройки сетевого интерфейса маршрутизатора в публичной сети необходимо назначить 50
- Для создания нового пользователя системы или настройки любого из параметров имени 50
- Межсетевые экраны серии esr руководство по эксплуатации 50
- Назначение имени устройства 50
- Настройка параметров публичной сети 50
- Пользователя пароля уровня привилегий используются команды 50
- После применения конфигурации приглашение командной строки изменится на значение 50
- Привилегий 15 и создания пользователя ivan с паролем password и уровнем привилегий 1 50
- Пример команд для создания пользователя fedor c паролем 12345678 и уровнем 50
- Пример команд настройки статического ip адреса для субинтерфейса 50
- Создание новых пользователей 50
- Уровни привилегий 1 9 разрешают доступ к устройству и просмотр его оперативного состояния но запрещают настройку уровни привилегий 10 14 разрешают как доступ так и настройку большей части функций устройства уровень привилегий 15 разрешает как доступ так и настройку всех функций устройства 50
- Устройству параметры определённые провайдером сети ip адрес маска подсети и адрес шлюза по умолчанию 50
- Ip адрес 192 68 6 44 51
- Ip адрес шлюза по умолчанию 192 68 6 51
- Ip адреса может использоваться протокол dhcp если в сети присутствует сервер dhcp 51
- Self зона в которой находится интерфейс управления маршрутизатором 51
- Source zone зона из которой будет осуществляться удаленный доступ 51
- Telnet или ssh из зоны trusted для того чтобы разрешить удаленный доступ к маршрутизатору из других зон например из публичной сети необходимо создать соответствующие правила в firewall 51
- В заводской конфигурации разрешен удаленный доступ к маршрутизатору по протоколам 51
- Для создания разрешающего правила используются следующие команды 51
- Для того чтобы убедиться что адрес был назначен интерфейсу введите следующую команду 51
- Для того чтобы убедиться что адрес был назначен интерфейсу после применения 51
- Конфигурации введите следующую команду 51
- Маска подсети 255 55 55 51
- Межсетевые экраны серии esr руководство по эксплуатации 51 51
- На интерфейсе gigabitethernet 1 0 10 51
- Настройка удаленного доступа к маршрутизатору 51
- Параметры интерфейса 51
- После применения конфигурации 51
- При конфигурировании доступа к маршрутизатору правила создаются для пары зон 51
- Пример настройки предназначенной для получения динамического ip адреса от dhcp сервера 51
- Провайдер может использовать динамически назначаемые адреса в своей сети для получения 51
- 6 0 подключаться к маршрутизатору с ip адресом 40 3 2 по протоколу ssh 52
- Межсетевые экраны серии esr руководство по эксплуатации 52
- Пример команд для разрешения пользователям из зоны untrusted с ip адресами 132 6 52
- Обновление программного обеспечения 53
- Обновление программного обеспечения средствами системы 53
- Вторичного загрузчика 55
- Обновление программного обеспечения firmware из 55
- Вторичный загрузчик занимается инициализацией nand и маршрутизатора при обновлении 56
- Для обновления вторичного загрузчика на esr 1500 1511 возможно использовать только oob интерфейс маршрутизатора 56
- Для обновления вторичного загрузчика на esr 20 21 возможно использовать любой ethernet интерфейс маршрутизатора 56
- Для просмотра текущей версии загрузочного файла работающего на устройстве введите 56
- Команду version в cli u boot также версия отображается в процессе загрузки маршрутизатора 56
- Межсетевые экраны серии esr руководство по эксплуатации 56
- Новый файл вторичного загрузчика сохраняется на flash на месте старого 56
- Обновление вторичного загрузчика u boot 56
- Остановите загрузку устройства после окончания инициализации маршрутизатора 56
- Перезагрузите роутер 56
- Процедура обновления по 56
- Укажите ip адрес tftp сервера 56
- Установите загруженное программное обеспечение в качестве образа для запуска системы и 56
- Для esr 1500 1511 57
- Обновление первичного загрузчика bl1 для esr 20 21 и x loader 57
- Для esr 1500 1511 58
- Для esr 20 21 58
- Для будущих обновлений можно сохранить окружение командой 58
- Запустите процедуру обновления программного обеспечения 58
- Межсетевые экраны серии esr руководство по эксплуатации 58
- Укажите ip адрес tftp сервера 58
- Укажите ip адрес маршрутизатора 58
- Укажите имя файла загрузчика на tftp сервере 58
- Выгрузка программного обеспечения и загрузчиков 59
- Vlan virtual local area network логическая виртуальная локальная сеть представляет 61
- Алгоритм настройки 61
- Межсетевые экраны серии esr руководство по эксплуатации 61 61
- Настройка vlan 61
- Примеры настройки маршрутизатора 61
- Собой группу устройств которые взаимодействуют между собой на канальном уровне независимо от их физического местонахождения работа vlan основана на использовании дополнительных полей ethernet заголовка согласно стандарту 802 q по сути vlan изолирует широковещательный домен путем ограничения коммутации ethernet фреймов только с одинаковым vlan id в ethernet заголовке 61
- Задача 62
- Идентификатор vlan задаётся в диапазоне 2 094 62
- Идентификатор vlan задаётся в диапазоне 2 094 также есть возможность создания нескольких vlan через запятую или диапазона vlan через дефис 62
- Межсетевые экраны серии esr руководство по эксплуатации 62
- На основе заводской конфигурации удалить из vlan 2 порт gi1 0 1 62
- Настроить vlan на интерфейсе в нетегированном режиме не обязательно 62
- Настроить порты gi1 0 1 и gi1 0 2 для передачи и приема пакетов в vlan 2 vlan 64 vlan 2000 62
- Пример настройки 1 удаление vlan с интерфейса 62
- Пример настройки 2 разрешение обработки vlan в тегированном режиме 62
- Разрешить на интерфейсе обработку ethernet фреймов всех созданных на маршрутизаторе vlan не обязательно 62
- Решение 62
- Рисунок 25 схема сети 62
- Рисунок 26 схема сети 62
- Только для esr 1511 1500 62
- Только для esr 20 21 62
- Удалим vlan 2 с порта gi1 0 1 62
- Trunk настроить порт gi1 0 2 в режиме access для vlan 2 на esr 20 esr 21 63
- Задача 63
- Межсетевые экраны серии esr руководство по эксплуатации 63 63
- Настроить порты gi1 0 1 для передачи и приема пакетов в vlan 2 vlan 64 vlan 2000 в режиме 63
- Пример настройки 3 разрешение обработки vlan в тегированном и не 63
- Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1 63
- Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1 2 63
- Пропишем vlan 2 на порт gi1 0 2 63
- Решение 63
- Рисунок 27 схема сети 63
- Создадим vlan 2 vlan 64 vlan 2000 на esr 1500 63
- Создадим vlan 2 vlan 64 vlan 2000 на esr 20 esr 21 63
- Тегированном режиме 63
- Link layer discovery protocol lldp протокол канального уровня позволяющий сетевому 64
- Алгоритм настройки 64
- Межсетевые экраны серии esr руководство по эксплуатации 64
- Настройка lldp 64
- Оборудованию оповещать оборудование работающее в локальной сети о своём существовании и передавать ему свои характеристики а также получать от него аналогичные сведения 64
- Пример настройки 65
- Lldp med расширение стандарта lldp которое позволяет передавать сетевые политики 66
- Vlan id dscp priority 66
- Алгоритм настройки 66
- Межсетевые экраны серии esr руководство по эксплуатации 66
- Настройка lldp med 66
- Gi 1 0 1 67
- Vlan id для приема и отправки voip трафика передача vlan id осуществляется посредством расширения med протокола lldp 67
- Voice vlan vlan id при получении которого ip телефон переходит в режим trunk с заданным 67
- Wan lan 67
- Включим lldp и поддержку med в lldp глобально на маршрутизаторе 67
- Для телефонии и настроить отправку voice vlan с порта gi 1 0 1 esr при этом на ip телефоне должен поддерживаться и быть включен voice vlan 67
- Задача 67
- Межсетевые экраны серии esr руководство по эксплуатации 67 67
- Настроим lldp на интерфейсе и установим на него сетевую политику 67
- Необходимо разделить трафик телефонии и данных по разным vlan vid 10 для данных и vid 67
- Предварительно необходимо создать vlan 10 и 20 и настроить интерфейс gi 1 0 1 в режиме 67
- Пример настройки voice vlan 67
- Решение 67
- Рисунок 29 схема сети 67
- Создадим и настроим сетевую политику таким образом чтобы для приложения voice 67
- Указывался vlan id 20 67
- Gigabitethernet 1 0 1 68
- Алгоритм настройки 68
- Для терминирования ethernet фреймов конкретного vlan на определенном физическом 68
- Задача 68
- Интерфейсе необходимо создать саб интерфейс с указанием номера vlan фреймы которого будут терминироваться при создании двух саб интерфейсов с одинаковыми vlan но на разных физических агрегированных интерфейсах коммутация ethernet фреймов между данными саб интерфейсами будет невозможна т к сегменты за пределами саб интерфейсов будут являться отдельными широковещательными доменами для обмена данными между абонентами разных саб интерфейсов даже с одинаковым vlan id будет использоваться маршрутизация т е обмен данными будет происходить на третьем уровне модели osi 68
- Межсетевые экраны серии esr руководство по эксплуатации 68
- Настроить терминацию подсети 192 68 24 в vlan 828 на физическом интерфейсе 68
- Настройка терминации на саб интерфейсе 68
- Пример настройки саб интерфейса 68
- Q in q 69
- Алгоритм настройки 69
- Для расширения количества используемых vlan в сети передачи данных внутренним тегом innertag называется 802 q заголовок ближе к payload так же внутренний тег называют c vlan customer vlan внешний тег outertag 69
- Межсетевые экраны серии esr руководство по эксплуатации 69 69
- Настроим ip адрес из необходимой подсети 69
- Настройка терминации на q in q интерфейсе 69
- Помимо назначения ip адреса на саб интерфейсе необходимо либо отключить firewall либо настроить соответствующую зону безопасности 69
- Решение 69
- Создадим саб интерфейс для vlan 828 69
- Технология передачи пакетов с двумя 802 q тегами данная технология используется 69
- Это 802 q заголовок добавленный к изначальному 802 q пакетом так же называется s vlan service vlan использование двойных меток в ethernet фреймах описывается протоколом 802 ad 69
- Задача 70
- Использование usb модемов позволяет организовать дополнительный канал связи для работы 70
- Маршрутизатора при подключении usb модемов возможно использовать usb концентраторы одновременно в системе может быть сконфигурировано до 10 ти usb модемов 70
- Межсетевые экраны серии esr руководство по эксплуатации 70
- Настроить терминацию подсети 192 68 24 комбинации c vlan 741 s vlan 828 на 70
- Настройка usb модемов 70
- Помимо назначения ip адреса на q in q саб интерфейсе необходимо либо отключить firewall либо настроить соответствующую зону безопасности 70
- Пример настройки q in q интерфейса 70
- Решение 70
- Создадим q in q саб интерфейс для s vlan 741 и настроим ip адрес из необходимой подсети 70
- Создадим саб интерфейс для s vlan 828 70
- Физическом интерфейсе gigabitethernet 1 0 1 70
- Алгоритм настройки usb модемов 71
- Межсетевые экраны серии esr руководство по эксплуатации 71 71
- Активировать usb модем 72
- Аутентификации 72
- Для примера разберём подключение к сотовому оператору мтс 72
- Допустимый режим работы usb модема 2g 3g 4g по умолчанию разрешены все режимы поддерживаемые модемом 72
- Зададим apn который требует провайдер или иной необходимый адрес ниже показан 72
- Задать код разблокировки sim карты в случае необходимости 72
- Задать предпочтительный режим работы usb модема в мобильной сети не обязательно 72
- Задать размер максимального принимаемого пакета не обязательно 72
- Задача 72
- Значение mru принимает значения в диапазоне 128 6383 72
- Идентификатор профиля настроек для usb модема в системе 1 0 72
- Код разблокировки sim карты 4 возможно использование только цифр 72
- Межсетевые экраны серии esr руководство по эксплуатации 72
- Назначить ранее созданный профиль настроек для usb модема 72
- Настроить подключение к сети интернет используя usb модем 72
- Определим порт устройства который был назначен на подключённый usb модем 72
- После подключения модема необходимо дождаться когда система обнаружит устройство 72
- Предпочтительный режим работы usb модема 2g 3g 4g 72
- При необходимости задаём имя пользователя пароль номер дозвона и метод 72
- Пример настройки 72
- Пример подключения к apn мтс 72
- Разрешить использование того или иного режима работы usb модема не обязательно 72
- Решение 72
- Создадим профиль настроек для usb модема 72
- Aaa authentication authorization accounting используется для описания процесса 73
- Accounting учёт слежение за подключением пользователя или внесенным им изменениям 73
- Authentication аутентификация сопоставление персоны запроса существующей учётной записи в системе безопасности осуществляется по логину паролю 73
- Authorization авторизация проверка полномочий проверка уровня доступа сопоставление учётной записи в системе и определённых полномочий 73
- Алгоритм настройки локальной аутентификации 73
- Межсетевые экраны серии esr руководство по эксплуатации 73 73
- Назначим соответствующий профиль настроек и активируем модем 73
- Настройка ааа 73
- Перейдём к конфигурированию usb модема и зададим идентификатор соответствующий 73
- Порту устройства который был определён в начале 73
- Предоставления доступа и контроля над ним 73
- Межсетевые экраны серии esr руководство по эксплуатации 74
- Алгоритм настройки aaa по протоколу radius 75
- Межсетевые экраны серии esr руководство по эксплуатации 75 75
- Межсетевые экраны серии esr руководство по эксплуатации 76
- Межсетевые экраны серии esr руководство по эксплуатации 77 77
- Алгоритм настройки aaa по протоколу tacacs 78
- Межсетевые экраны серии esr руководство по эксплуатации 78
- Алгоритм настройки aaa по протоколу ldap 79
- Межсетевые экраны серии esr руководство по эксплуатации 79 79
- Межсетевые экраны серии esr руководство по эксплуатации 80
- Межсетевые экраны серии esr руководство по эксплуатации 81 81
- 192 68 6 24 82
- Задача 82
- Межсетевые экраны серии esr руководство по эксплуатации 82
- Настроим подключение к radius серверу и укажем ключ password 82
- Настроить аутентификацию пользователей подключающихся по telnet через radius 82
- Пример настройки аутентификации по telnet через radius сервер 82
- Решение 82
- 14 уровни позволяют использовать все команды кроме команд перезагрузки устройства управления пользователями и ряда других 83
- 9 уровни позволяют использовать все команды мониторинга show 83
- Алгоритм настройки 83
- Для изменения минимального уровня привилегий необходимого для выполнения команды cli 83
- Используется команда 83
- Командный режим 83
- Межсетевые экраны серии esr руководство по эксплуатации 83 83
- Набору команд минимально необходимый уровень пользовательских привилегий 1 15 в дальнейшем при создании пользователя можно задать уровень привилегий определяя ему доступный набор команд 83
- Настройка привилегий команд 83
- Настройка привилегий команд является гибким инструментом который позволяет назначить 83
- Необходимый уровень привилегий поддерева команд принимает значение 1 5 83
- Поддерево команд задается строкой до 255 символов 83
- Посмотреть профили аутентификации можно командой 83
- Просмотреть информацию по настройкам подключения к radius серверу можно командой 83
- Создадим профиль аутентификации 83
- Укажем режим аутентификации используемый при подключении по telnet протоколу 83
- Уровень позволяет использовать все команды 83
- Default router ip адрес маршрутизатора используемого в качестве шлюза по умолчанию 84
- Dns server список адресов серверов доменных имен в данной сети о которых должен знать клиент адреса серверов в списке располагаются в порядке убывания предпочтения 84
- Domain name доменное имя которое должен будет использовать клиент при разрешении имен хостов через систему доменных имен dns 84
- Алгоритм настройки 84
- В режиме конфигурирования определим команды разрешенные на использование с уровнем 84
- Встроенный dhcp сервер маршрутизатора может быть использован для настройки сетевых 84
- Задача 84
- Кроме команды show interfaces bridges команду show interfaces bridges перевести на уровень привилегий 3 84
- Межсетевые экраны серии esr руководство по эксплуатации 84
- Настройка dhcp сервера 84
- Параметров устройств в локальной сети dhcp сервер маршрутизаторов способен передавать дополнительные опции на сетевые устройства например 84
- Перевести все команды просмотра информации об интерфейсах на уровень привилегий 10 84
- Привилегий 10 и уровнем привилегий 3 84
- Пример настройки привилегий команд 84
- Решение 84
- Межсетевые экраны серии esr руководство по эксплуатации 85 85
- Межсетевые экраны серии esr руководство по эксплуатации 86
- Ip адрес dns сервера задаётся в виде aaa bbb ccc ddd где каждая часть принимает значения 0 55 87
- Ip адрес netbios сервера задаётся в виде aaa bbb ccc ddd где каждая часть принимает значения 0 55 можно задать до 4 ip адресов 87
- Адресов для выдачи в аренду клиентам сервера укажем параметры подсети к которой принадлежит данный пул и время аренды для выдаваемых адресов 87
- Задать ip адрес netbios сервера dhcp опция 44 не обязательно 87
- Задать ip адрес tftp сервера dhcpoption 150 не обязательно 87
- Задать пул ip адресов из подсети 192 68 24 для раздачи клиентам задать время аренды адресов 1 день настроить передачу клиентам маршрута по умолчанию доменного имени и адресов dns серверов с помощью dhcp опций 87
- Задача 87
- Имя домена eltex loc 87
- Интерфейсов к зонам 87
- Маршрут по умолчанию 192 68 87
- Межсетевые экраны серии esr руководство по эксплуатации 87 87
- Настроить работу dhcp сервера в локальной сети относящейся к зоне безопасности trusted 87
- Пример настройки dhcp сервера 87
- Решение 87
- Сконфигурируем передачу клиентам дополнительных сетевых параметров 87
- Создадим зону безопасности trusted и установим принадлежность используемых сетевых 87
- Создадим пул адресов с именем simple и добавим в данный пул адресов диапазон ip 87
- Список dns серверов dns1 172 6 dns2 8 87
- Dnat используется для перенаправления трафика идущего на некоторый виртуальный 88
- Адрес в публичной сети на реальный сервер в локальной сети находящийся за сетевым шлюзом эту функцию можно использовать для организации публичного доступа к серверам находящимся в частной сети и не имеющим публичного сетевого адреса 88
- Для разрешения прохождения сообщений протокола dhcp к серверу необходимо создать 88
- Для того чтобы dhcp сервер мог раздавать ip адреса из конфигурируемого пула на 88
- Конфигурирование destination nat 88
- Конфигурирование настроек для ipv6 производится по аналогии с ipv4 88
- Маршрутизаторе должен быть создан ip интерфейс принадлежащий к той же подсети что и адреса пула 88
- Межсетевые экраны серии esr руководство по эксплуатации 88
- Просмотреть сконфигурированные пулы адресов можно командами 88
- Просмотреть список арендованных адресов можно с помощью команды 88
- Проходящих через сетевой шлюз 88
- Разрешим работу сервера 88
- Соответствующие профили портов включающие порт источника 68 и порт назначения 67 используемые протоколом dhcp и создать разрешающее правило в политике безопасности для прохождения пакетов протокола udp 88
- Функция destination nat dnat состоит в преобразовании ip адреса назначения у пакетов 88
- Алгоритм настройки 89
- Межсетевые экраны серии esr руководство по эксплуатации 89 89
- Более подробная информация о командах для настройки межсетевого экрана содержится в 90
- Задача 90
- Каждая команда match может содержать ключ not при использовании данного ключа под 90
- Межсетевые экраны серии esr руководство по эксплуатации 90
- Организовать доступ из публичной сети относящейся к зоне untrust к серверу локальной 90
- Правило будут подпадать пакеты не удовлетворяющие заданному критерию 90
- Пример настройки destination nat 90
- Рисунок 30 схема сети 90
- Сети в зоне trust адрес сервера в локальной сети 10 00 сервер должен быть доступным извне по адресу 1 доступный порт 80 90
- Справочнике команд cli 90
- Net_uplink профиль адресов публичной сети 91
- Server_ip профиль адресов локальной сети 91
- Srv_http профиль портов 91
- Адресов в атрибутах набора укажем что правила применяются только для пакетов пришедших из зоны untrust набор правил включает в себя требования соответствия данных по адресу и порту назначения match destination address match destination port и по протоколу кроме этого в наборе задано действие применяемое к данным удовлетворяющим всем правилам action destination nat набор правил вводится в действие командой enable 91
- Войдем в режим конфигурирования функции dnat и создадим пул адресов и портов 91
- Используемых сетевых интерфейсов к зонам одновременно назначим ip адреса интерфейсам 91
- Межсетевые экраны серии esr руководство по эксплуатации 91 91
- Назначения в которые будут транслироваться адреса пакетов поступающие на адрес 1 из внешней сети 91
- Правил dnat 91
- Решение 91
- Создадим зоны безопасности untrust и trust установим принадлежность 91
- Создадим набор правил dnat в соответствии с которыми будет производиться трансляция 91
- Создадим профили ip адресов и портов которые потребуются для настройки правил firewall и 91
- Алгоритм настройки 92
- Для пропуска трафика идущего из зоны untrust в trust создадим соответствующую 92
- Компьютерам находящимся в локальной сети при этом не требуется назначения публичных ip адресов этим компьютерам 92
- Конфигурирование source nat 92
- Межсетевые экраны серии esr руководство по эксплуатации 92
- Пару зон пропускать следует только трафик с адресом назначения соответствующим заданному в профиле server_ip и прошедший преобразование dnat 92
- Перейти в режим настройки сервиса трансляции адресов отправителя 92
- Произведенные настройки можно посмотреть с помощью команд 92
- Функция snat может быть использована для предоставления доступа в интернет 92
- Функция source nat snat используется для подмены адреса источника у пакетов проходящих 92
- Через сетевой шлюз при прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза дополнительно к адресу источника может применяться замена порта источника при прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта 92
- Шаг описание команда ключи 92
- Межсетевые экраны серии esr руководство по эксплуатации 93 93
- Более подробная информация о командах для настройки межсетевого экрана содержится в 94
- Задача 94
- Использованием функции source nat задать диапазон адресов публичной сети для использования snat 100 00 100 49 94
- Каждая команда match может содержать ключ not при использовании данного ключа под 94
- Межсетевые экраны серии esr руководство по эксплуатации 94
- Настроить доступ пользователей локальной сети 10 24 к публичной сети с 94
- Правило будут подпадать пакеты не удовлетворяющие заданному критерию 94
- Пример настройки 1 94
- Справочнике команд cli 94
- Для конфигурирования функции snat и настройки правил зон безопасности потребуется 95
- Для пропуска трафика из зоны trust в зону untrust создадим пару зон и добавим 95
- Используемых для сервиса snat 95
- Конфигурирование начнем с создания зон безопасности настройки сетевых интерфейсов и 95
- Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети 95
- Межсетевые экраны серии esr руководство по эксплуатации 95 95
- Определения их принадлежности к зонам безопасности создадим доверенную зону trust для локальной сети и зону untrust для публичной сети 95
- Правила разрешающие проходить трафику в этом направлении дополнительно включена проверка адреса источника данных на принадлежность к диапазону адресов local_net для соблюдения ограничения на выход в публичную сеть действие правил разрешается командой enable 95
- Решение 95
- Рисунок 31 схема сети 95
- Создать профиль адресов локальной сети local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool 95
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила 96
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в 96
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них 96
- Должна быть настроена маршрутизация адрес 10 должен быть назначен адресом шлюза 96
- Задача 96
- Использованием функции source nat без использования межсетевого экрана firewall диапазон адресов публичной сети для использования snat 200 0 00 200 0 49 96
- Конфигурирование начнем с настройки сетевых интерфейсов и отключения межсетевого 96
- Межсетевые экраны серии esr руководство по эксплуатации 96
- На самом маршрутизаторе также должен быть создан маршрут для направления на публичную 96
- Настроить доступ пользователей локальной сети 21 2 24 к публичной сети с 96
- Применяются только для пакетов направляющихся в публичную сеть в зону untrust правила включают проверку адреса источника данных на принадлежность к пулу local_net 96
- Пример настройки 2 96
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool 96
- Решение 96
- Рисунок 32 схема сети 96
- Сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды 96
- Экрана 96
- Local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool 97
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила 97
- Для конфигурирования функции snat потребуется создать профиль адресов локальной сети 97
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в 97
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них 97
- Должна быть настроена маршрутизация адрес 21 2 должен быть назначен адресом шлюза 97
- Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети используемых для сервиса snat 97
- Межсетевые экраны серии esr руководство по эксплуатации 97 97
- На самом маршрутизаторе также должен быть создан маршрут для направления на публичную 97
- Применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net 97
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool 97
- Сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды 97
- 00 21 2 50 в публичную сеть 200 0 24 диапазон адресов публичной сети для использования трансляции 200 0 00 200 0 50 98
- Local_net включающий локальную подсеть и профиль адресов публичной сети public_pool 98
- Static nat статический nat задает однозначное соответствие одного адреса другому 98
- Алгоритм настройки 98
- Для конфигурирования static nat потребуется создать профиль адресов локальной сети 98
- Задача 98
- Иными словами при прохождении через маршрутизатор адрес меняется на другой строго заданный адрес один к одному запись о такой трансляции хранится неограниченно долго пока не будет произведена перенастройка nat на маршрутизаторе 98
- Конфигурирование static nat 98
- Межсетевые экраны серии esr руководство по эксплуатации 98
- Настроить двухстороннюю и постоянную трансляцию из локальной сети для диапазона адресов 98
- Настройка static nat осуществляется средствами source nat алгоритм настройки которой 98
- Начнем конфигурирование с настройки сетевых интерфейсов и отключения межсетевого 98
- Описан в разделе 9 1 настоящего руководства 98
- Пример настройки static nat 98
- Решение 98
- Рисунок 33 схема сети 98
- Экрана 98
- Блокировать доступ к ресурсам youtube bittorrent и facebook 99
- Внимание использование механизма фильтрации приложений многократно снижает производительность маршрутизатора из за необходимости проверки каждого пакета производительность снижается с ростом количества выбранных приложений для фильтрации 99
- Диапазон адресов публичной сети для использования static nat задаем в профиле proxy 99
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в пул 99
- Для того чтобы устройства локальной сети могли получить доступ к cети 200 0 24 на них 99
- Должна быть настроена маршрутизация адрес 21 2 должен быть назначен адресом шлюза 99
- Задача 99
- Изменения конфигурации вступают в действие по команде применения 99
- Конфигурируем сервис static nat в режиме конфигурирования snat в атрибутах набора 99
- Межсетевые экраны серии esr руководство по эксплуатации 99 99
- Посмотреть активные трансляции можно с помощью команды 99
- Пример настройки фильтрации приложений dpi 99
- Трансляции proxy необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов proxy 99
- Укажем что правила применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net и проверку адресов назначения на принадлежность к пулу public_pool 99
- Для каждой сети esr создадим свою зону безопасности 100
- Для настройки правил зон безопасности потребуется создать профиль приложений которые 100
- Для установки правил прохождения трафика из зоны lan в зону wan создадим пару зон 100
- Для установки правил прохождения трафика из зоны wan в зону lan создадим пару зон 100
- И добавим правило запрещающее проходить трафику приложений и правило разрешающее проходить остальному трафику действие правил разрешается командой enable 100
- И добавим правило разрешающее прохождение всего трафика действие правил разрешается командой enable 100
- Межсетевые экраны серии esr руководство по эксплуатации 100
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 100
- Необходимо будет блокировать 100
- Решение 100
- Рисунок 34 схема сети 100
- Межсетевые экраны серии esr руководство по эксплуатации 101 101
- Посмотреть активные сессии можно с помощью команд 101
- Посмотреть пары зон и их конфигурацию можно с помощью команд 101
- Посмотреть членство портов в зонах можно с помощью команды 101
- Алгоритм настройки 102
- Межсетевые экраны серии esr руководство по эксплуатации 102
- Проксирование http https трафика 102
- Если функция firewall на esr принудительно не отключена необходимо создать разрешающее правило для зоны self 103
- Задача 103
- Межсетевые экраны серии esr руководство по эксплуатации 103 103
- Организовать фильтрацию по url для ряда адресов посредством прокси 103
- Пример настройки http прокси 103
- Рисунок 35 схема сети 103
- Включим проксирование на интерфейсе по профилю list 104
- Если используется firewall создадим для него разрешающие правила 104
- И укажем действия для созданного набора url 104
- Межсетевые экраны серии esr руководство по эксплуатации 104
- Решение 104
- Создадим набор url по которым будет осуществляться фильтрация настроим прокси фильтр 104
- Создаем профиль 104
- Создаем профиль портов прокси сервера 104
- Создаем разрешающе правило межзонового взаимодействия 104
- Алгоритм настройки 105
- Межсетевые экраны серии esr руководство по эксплуатации 105 105
- Настройка логирования и защиты от сетевых атак 105
- Межсетевые экраны серии esr руководство по эксплуатации 106
- Firewall screen dos defense land 107
- Ip firewall screen dos defense icmp threshold 107
- Ip firewall screen dos defense limit session destination 107
- Ip firewall screen dos defense limit session source 107
- Данная команда включает защиту от icmp flood атак при включенной защите ограничивается 107
- Данная команда включает защиту от land атак при включенной защите блокируются пакеты с 107
- Когда таблица ip сессий хоста переполняется он больше не в состоянии организовывать новые 107
- Количество icmp пакетов всех типов в секунду для одного адреса назначения атака приводит к перегрузке хоста и выводу его из строя из за необходимости обрабатывать каждый запрос и отвечать на него 107
- Межсетевые экраны серии esr руководство по эксплуатации 107 107
- Одинаковыми source и destination ip адресами и флагом syn в заголовке tcp атака приводит к перегрузке хоста и выводу его из строя из за необходимости обрабатывать каждый tcp syn пакет и попыток хоста установить tcp сессию с самим собой 107
- Описание механизмов защиты от атак 107
- Сессии и отбрасывает запросы такое может происходить при различных dos атаках syn flood udp flood icmp flood и т д команда включает ограничение количества одновременных сессий на основании адреса источника которое смягчает dos атаки 107
- Сессии и отбрасывает запросы такое может происходить при различных атаках syn flood udp flood icmp flood и т д команда включает ограничение количества одновременных сессий на основании адреса назначения которое смягчает dos атаки 107
- Ip firewall screen dos defense syn flood 108
- Ip firewall screen dos defense udp threshold 108
- Ip firewall screen dos defense winnuke 108
- Ip firewall screen spy blocking fin no ack 108
- Ip firewall screen spy blocking icmp type destination unreachable 108
- Ip firewall screen spy blocking icmp type echo request 108
- Ip firewall screen spy blocking icmp type reserved 108
- Ip firewall screen spy blocking icmp type source quench 108
- Ip firewall screen spy blocking icmp type time exceeded 109
- Ip firewall screen spy blocking ip sweep 109
- Ip firewall screen spy blocking port scan 109
- Ip firewall screen spy blocking spoofing 109
- Ip firewall screen spy blocking syn fin 109
- Ip firewall screen spy blocking tcp all flag 109
- Ip firewall screen spy blocking tcp no flag 109
- Ip firewall screen suspicious packets icmp fragment 110
- Ip firewall screen suspicious packets ip fragment 110
- Ip firewall screen suspicious packets large icmp 110
- Ip firewall screen suspicious packets syn fragment 110
- Ip firewall screen suspicious packets udp fragment 110
- Ip firewall screen suspicious packets unknown protocols 110
- Пример настройки логирования и защиты от сетевых атак 110
- Firewall комплекс аппаратных или программных средств осуществляющий контроль и 111
- Алгоритм настройки 111
- До 12 символов 111
- Конфигурирование firewall 111
- Межсетевые экраны серии esr руководство по эксплуатации 111 111
- Настроим snmp сервер на который будут отправляться трапы 111
- Настроим защиту от land syn flood icmp flood атак 111
- Настроим логирование обнаруженных атак 111
- Посмотреть статистику по зафиксированным сетевым атакам можно командой 111
- Создать зоны безопасности 111
- Фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами 111
- Шаг описание команда ключи 111
- Межсетевые экраны серии esr руководство по эксплуатации 112
- Межсетевые экраны серии esr руководство по эксплуатации 113 113
- Межсетевые экраны серии esr руководство по эксплуатации 114
- Межсетевые экраны серии esr руководство по эксплуатации 115 115
- Межсетевые экраны серии esr руководство по эксплуатации 116
- Активировать фильтрацию и режим отслеживания сессий при прохождении пакетов между участниками одной bridge группы не обязательно доступно только на esr 1511 1500 117
- Более подробная информация о командах для настройки межсетевого экрана содержится в 117
- Включающий адреса которым разрешен выход в сеть wan и профиль адресов сети wan 117
- Для каждой сети esr создадим свою зону безопасности 117
- Для настройки правил зон безопасности потребуется создать профиль адресов сети lan 117
- Задача 117
- Каждая команда match может содержать ключ not при использовании данного ключа под 117
- Маршрутизатором esr 117
- Межсетевые экраны серии esr руководство по эксплуатации 117 117
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 117
- Правило будут подпадать пакеты не удовлетворяющие заданному критерию 117
- Пример настройки firewall 117
- Разрешить обмен сообщениями по протоколу icmp между устройствами пк1 пк2 и 117
- Решение 117
- Рисунок 37 схема сети 117
- Справочнике команд cli 117
- Для пропуска трафика из зоны lan в зону wan создадим пару зон и добавим правило 118
- Для пропуска трафика из зоны wan в зону lan создадим пару зон и добавим правило 118
- Межсетевые экраны серии esr руководство по эксплуатации 118
- На маршрутизаторе всегда существует зона безопасности с именем self если в качестве 118
- Получателя трафика выступает сам маршрутизатор то есть трафик не является транзитным то в качестве параметра указывается зона self создадим пару зон для трафика идущего из зоны wan в зону self добавим правило разрешающее проходить icmp трафику между пк2 и маршрутизатором esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны wan 118
- Разрешающее проходить icmp трафику между пк1 и esr для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны lan 118
- Разрешающее проходить icmp трафику от пк1 к пк2 действие правил разрешается командой enable 118
- Разрешающее проходить icmp трафику от пк2 к пк1 действие правил разрешается командой enable 118
- Создадим пару зон для трафика идущего из зоны lan в зону self добавим правило 118
- Access control list или acl список контроля доступа содержит правила определяющие 119
- Алгоритм настройки 119
- Межсетевые экраны серии esr руководство по эксплуатации 119 119
- Настройка списков доступа acl 119
- Посмотреть активные сессии можно с помощью команд 119
- Посмотреть пары зон и их конфигурацию можно с помощью команд 119
- Посмотреть членство портов в зонах можно с помощью команды 119
- Прохождение трафика через интерфейс 119
- Межсетевые экраны серии esr руководство по эксплуатации 120
- Адрес назначения может быть задан в следующем формате 121
- Активировать правило 121
- Добавить статический маршрут возможно командой в режиме глобальной конфигурации 121
- Задача 121
- Имя списка контроля доступа задаётся строкой до 31 символа 121
- Имя экземпляра vrf задается строкой до 31 символа 121
- Конфигурирование статических маршрутов 121
- Межсетевые экраны серии esr руководство по эксплуатации 121 121
- Настроим список доступа для фильтрации по подсетям 121
- Применим список доступа на интерфейс gi1 0 19 для входящего трафика 121
- Пример настройки списка доступа 121
- Просмотреть детальную информацию о списке доступа возможно через команду 121
- Процесс настройки 121
- Разрешить прохождения трафика только из подсети 192 68 0 24 121
- Решение 121
- Статическая маршрутизация вид маршрутизации при котором маршруты указываются в 121
- Также списки доступа могут использоваться для организации политик qos 121
- Указать список контроля доступа к конфигурируемому интерфейсу для фильтрации входящего трафика 121
- Явном виде при конфигурации маршрутизатора без использования протоколов динамической маршрутизации 121
- 8 используя статическую маршрутизацию на устройстве r1 создать шлюз для доступа к сети internet трафик внутри локальной сети должен маршрутизироваться внутри зоны lan трафик из сети internet должен относиться к зоне wan 123
- R1 будет подключен к сети 192 68 24 123
- R1 будет подключен к сети internet 123
- R1 будет подключен к устройству r2 для последующей маршрутизации трафика 123
- Для интерфейса gi1 0 1 укажем адрес 192 68 24 и зону lan через данный интерфейс 123
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный интерфейс 123
- Для интерфейса gi1 0 3 укажем адрес 128 07 30 и зону wan через данный интерфейс 123
- Зададим имя устройства для маршрутизатора r1 123
- Задача 123
- Межсетевые экраны серии esr руководство по эксплуатации 123 123
- Настроить доступ к сети internet для пользователей локальных сетей 192 68 24 и 123
- Пример настройки статических маршрутов 123
- Решение 123
- Рисунок 38 схема сети 123
- Ppp point to point protocol двухточечный протокол канального уровня используется для 124
- R2 будет подключен к устройству r1 для последующей маршрутизации трафика 124
- Topgate sfp в маршрутизаторе esr 124
- Будет подключен к сети 10 8 124
- Для интерфейса gi1 0 1 укажем адрес 10 8 и зону lan через данный интерфейс r2 124
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный интерфейс 124
- Для установления ppp соединения через поток e1 необходимо наличие медиаконвертера 124
- Зададим имя устройства для маршрутизатора r2 124
- Маршрутизатора r1 192 68 00 124
- Межсетевые экраны серии esr руководство по эксплуатации 124
- Настройка ppp через e1 124
- Провайдера 128 07 124
- Проверить таблицу маршрутов можно командой 124
- Создадим маршрут для взаимодействия с сетью 10 8 используя в качестве шлюза 124
- Создадим маршрут для взаимодействия с сетью internet используя в качестве nexthop шлюз 124
- Создадим маршрут по умолчанию указав в качестве nexthop ip адрес интерфейса gi1 0 2 124
- Установления прямой связи между двумя узлами сети может обеспечить аутентификацию соединения шифрование и сжатие данных 124
- Устройство r2 192 68 00 124
- Межсетевые экраны серии esr руководство по эксплуатации 125 125
- Процесс настройки 125
- Межсетевые экраны серии esr руководство по эксплуатации 126
- Multilink ppp mlppp предоставляет собой агрегированный канал включающий в себя методы 127
- Sfp используя 1 8 канальные интервалы для передачи данных источник синхросигнала встречная сторона 127
- Включим interface e1 1 3 1 127
- Для распространения трафика через несколько физических каналов имея одно логическое соединение этот вариант позволяет расширить пропускную способность и обеспечивает балансировку нагрузки 127
- Задача 127
- Изменения конфигурации вступят в действие по следующим командам 127
- Межсетевые экраны серии esr руководство по эксплуатации 127 127
- Настроить ppp соединение со встречной стороной с ip адресом 10 7 24 через topgate 127
- Настройка mlppp 127
- Переключаем интерфейс в котором установлен topgate sfp gigabitethernet 1 0 3 в режим 127
- Пример конфигурации 127
- Работы е1 127
- Решение 127
- Рисунок 39 схема сети 127
- Рисунок 40 схема сети 127
- Алгоритм настройки 128
- Межсетевые экраны серии esr руководство по эксплуатации 128
- Межсетевые экраны серии esr руководство по эксплуатации 129 129
- Bridge мост это способ соединения двух сегментов ethernet на канальном уровне без 130
- Включим interface e1 1 0 1 interface e1 1 0 2 в группу агрегации mlppp 3 130
- Задача 130
- Использования протоколов более высокого уровня таких как ip пакеты передаются на основе ethernet адресов а не ip адресов поскольку передача выполняется на канальном уровне уровень 2 модели osi трафик протоколов более высокого уровня прозрачно проходит через мост 130
- Межсетевые экраны серии esr руководство по эксплуатации 130
- Настроим mlppp 3 130
- Настроить mlppp соединение с встречной стороной с ip адресом 10 7 24 через устройство 130
- Настройка bridge 130
- Переключаем интерфейс gigabitethernet 1 0 10 в режим работы е1 130
- Пример настройки 130
- Решение 130
- Рисунок 41 схема сети 130
- Алгоритм настройки 131
- Межсетевые экраны серии esr руководство по эксплуатации 131 131
- Задача 132
- И l2tpv3 туннель проходящий по публичной сети для объединения использовать vlan 333 132
- Межсетевые экраны серии esr руководство по эксплуатации 132
- Объединить в единый l2 домен интерфейсы маршрутизатора относящиеся к локальной сети 132
- Пример настройки bridge для vlan и l2tpv3 туннеля 132
- Решение 132
- Рисунок 42 схема сети 132
- Создадим vlan 333 132
- Создадим зону безопасности trusted 132
- Добавим интерфейсы gi1 0 11 gi1 0 12 в vlan 333 133
- Должен относиться к зоне lan1 vlan 60 к зоне lan2 разрешить свободную передачу трафика между зонами 133
- Задача 133
- Межсетевые экраны серии esr руководство по эксплуатации 133 133
- Настроить маршрутизацию между vlan 50 10 0 24 и vlan 60 10 0 24 vlan 50 133
- Настройка l2tpv3 туннеля рассматривается в разделе 9 7 настройка l2tpv3 туннелей в общем случае идентификаторы моста и туннеля не должны совпадать с vid как в данном примере 133
- Пример настройки bridge для vlan 133
- Решение 133
- Рисунок 43 схема сети 133
- Создадим bridge 333 привяжем к нему vlan 333 и укажем членство в зоне trusted 133
- Создадим vlan 50 60 133
- Создадим зоны безопасности lan1 и lan2 133
- Установим принадлежность l2tpv3 туннеля к мосту который связан с локальной сетью 133
- Задача 134
- Межсетевые экраны серии esr руководство по эксплуатации 134
- На интерфейс gigabitethernet 1 0 1 поступают ethernet кадры с различными vlan тегами 134
- Назначим интерфейсам gi1 0 11 gi1 0 12 vlan 50 134
- Назначим интерфейсу gi1 0 14 vlan 60 134
- Необходимо перенаправить их в интерфейс gigabitethernet 1 0 2 добавив второй vlan id 828 при поступлении на интерфейс gigabitethernet 1 0 2 ethernet кадров с vlan id 828 данный тег должен быть удален и отправлен в интерфейс gigabitethernet 1 0 1 134
- Посмотреть членство интерфейсов в мосте можно командой 134
- Пример настройки добавления удаления второго vlan тега 134
- Создадим bridge 50 привяжем vlan 50 укажем ip адрес 10 0 24 и членство в зоне lan1 134
- Создадим bridge 60 привяжем vlan 60 укажем ip адрес 10 0 24 и членство в зоне lan2 134
- Создадим правила в firewall разрешающие свободное прохождение трафика между зонами 134
- Rip дистанционно векторный протокол динамической маршрутизации который использует 135
- Алгоритм настройки 135
- Включим интерфейс gigabitethernet 1 0 1 в bridge 1 135
- Включим саб интерфейс gigabitethernet 1 0 2 28 в bridge 1 135
- Количество маршрутов протокола rip в маршрутной таблице принимает значения в диапазоне 1 0000 значение по умолчанию 10000 135
- Количество транзитных участков в качестве метрики маршрута максимальное количество транзитных участков hop разрешенное в rip равно 15 каждый rip маршрутизатор по умолчанию вещает в сеть свою полную таблицу маршрутизации один раз в 30 секунд rip работает на 3 м уровне стека tcp ip используя udp порт 520 135
- Межсетевые экраны серии esr руководство по эксплуатации 135 135
- Настроить емкость таблиц маршрутизации протокола rip не обязательно 135
- Настроить приоритетность протокола rip маршрутизации для основной таблицы маршрутизации не обязательно 135
- Настройка rip 135
- При добавлении второго vlan тега в ethernet кадр его размер увеличивается на 4 байта на интерфейсе маршрутизатора gigabitethernet 1 0 2 и на всем оборудовании передающем q in q кадры необходимо увеличить mtu на 4 байта или более 135
- Приоритетность протокола принимает значения в диапазоне 1 55 значение по умолчанию rip 100 135
- Решение 135
- Создадим на маршрутизаторе bridge без vlan и без ip адреса 135
- Шаг описание команда ключи 135
- Межсетевые экраны серии esr руководство по эксплуатации 136
- Межсетевые экраны серии esr руководство по эксплуатации 137 137
- Задача 138
- Межсетевые экраны серии esr руководство по эксплуатации 138
- Настроить на маршрутизаторе протокол rip для обмена маршрутной информацией с 138
- Пример настройки rip 138
- Рисунок 44 схема сети 138
- Соседними маршрутизаторами маршрутизатор должен анонсировать статические маршруты и подсети 115 24 14 24 10 24 анонсирование маршрутов должно происходить каждые 25 секунд 138
- Ospf протокол динамической маршрутизации основанный на технологии отслеживания 139
- Алгоритм настройки 139
- Для анонсирования протоколом статических маршрутов выполним команду 139
- Для того чтобы просмотреть таблицу маршрутов rip воспользуемся командой 139
- Количество маршрутов протокола ospf в маршрутной таблице 139
- Межсетевые экраны серии esr руководство по эксплуатации 139 139
- На рисунке 44 139
- Настроим таймер отвечающий за отправку маршрутной информации 139
- Настроить емкость таблиц маршрутизации 139
- Настроить приоритетность протокола ospf маршрутизации для основной таблицы маршрутизации не обязательно 139
- Настройка ospf 139
- Перейдём в режим конфигурирования протокола rip 139
- Помимо настройки протокола rip необходимо в firewall разрешить udp порт 520 139
- После установки всех требуемых настроек включаем протокол 139
- Предварительно нужно настроить ip адреса на интерфейсах согласно схеме сети приведенной 139
- Приоритетность протокола принимает значения в диапазоне 1 55 значение по умолчанию 150 139
- Решение 139
- Состояния канала link state technology и использующий для нахождения кратчайшего пути алгоритм дейкстры 139
- Укажем подсети которые будут анонсироваться протоколом 115 24 14 24 и 139
- Шаг описание команда ключи 139
- Межсетевые экраны серии esr руководство по эксплуатации 140
- Межсетевые экраны серии esr руководство по эксплуатации 141 141
- Межсетевые экраны серии esr руководство по эксплуатации 142
- Межсетевые экраны серии esr руководство по эксплуатации 143 143
- Межсетевые экраны серии esr руководство по эксплуатации 144
- Межсетевые экраны серии esr руководство по эксплуатации 145 145
- Включим ospf процесс 146
- Включим анонсирование маршрутной информации из протокола rip 146
- Включить протокол bfd для протокола ospf 146
- Задача 146
- Межсетевые экраны серии esr руководство по эксплуатации 146
- Настроить протокол ospf на маршрутизаторе для обмена маршрутной информацией с 146
- Предварительно нужно настроить ip адреса на интерфейсах согласно схеме приведенной на 146
- Пример настройки ospf 146
- Протокола ospf 146
- Решение 146
- Рисунке 45 146
- Рисунок 45 схема сети 146
- Создадим ospf процесс с идентификатором 10 и перейдём в режим конфигурирования 146
- Создадим и включим требуемую область 146
- Соседними маршрутизаторами маршрутизатор должен находится в области с идентификатором 1 и анонсировать маршруты полученные по протоколу rip 146
- Должен анонсировать маршруты полученные по протоколу rip 147
- Задача 147
- Изменим тип области на тупиковый на каждом маршрутизаторе из области 1 в режиме 147
- Изменить тип области 1 область должна быть тупиковой тупиковый маршрутизатор 147
- Конфигурирования области выполним команду 147
- Межсетевые экраны серии esr руководство по эксплуатации 147 147
- На тупиковом маршрутизаторе r3 включим анонсирование маршрутной информации из 147
- Объединить две магистральные области в одну с помощью virtual link 147
- Предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме 147
- Приведенной на рисунке 46 147
- Пример настройки ospf stub area 147
- Пример настройки virtual link 147
- Протокола rip 147
- Решение 147
- Рисунок 46 схема сети 147
- Соседние маршрутизаторы подключены к интерфейсам gi1 0 5 и gi1 0 15 для установления 147
- Соседства с другими маршрутизаторами привяжем их к ospf процессу и области далее включим на интерфейсе маршрутизацию по протоколу ospf 147
- Автономными системами далее ас то есть группами маршрутизаторов под единым техническим управлением использующими протокол внутридоменной маршрутизации для определения маршрутов внутри себя и протокол междоменной маршрутизации для определения маршрутов доставки пакетов в другие ас передаваемая информация включает в себя список ас к которым имеется доступ через данную систему выбор наилучших маршрутов осуществляется исходя из правил принятых в сети 149
- Алгоритм настройки 149
- В firewall необходимо разрешить протокол ospf 89 149
- Для просмотра соседей можно воспользоваться следующей командой 149
- Межсетевые экраны серии esr руководство по эксплуатации 149 149
- Настройка bgp 149
- Потоках трафика и применять ее для фильтрации трафика и применения политик безопасности основное предназначение функции bgp flow specification защита от атак направленных на отказ в обслуживании distributed denial of service ddos 149
- Протокол bgp предназначен для обмена информацией о достижимости подсетей между 149
- Расширение протокола bgp flow specification позволяет получать и передавать информацию о 149
- Таблицу маршрутов протокола ospf можно просмотреть командой 149
- Межсетевые экраны серии esr руководство по эксплуатации 150
- Межсетевые экраны серии esr руководство по эксплуатации 151 151
- Межсетевые экраны серии esr руководство по эксплуатации 152
- Межсетевые экраны серии esr руководство по эксплуатации 153 153
- Межсетевые экраны серии esr руководство по эксплуатации 154
- Logging firewall screen flow spec 155
- Анонсирование подсетей подключенных напрямую 155
- Включить логирование срабатывания правил фильтрации полученных от bgp flowspec не обязательно 155
- Второе соседство подсеть 185 30 собственный ip адрес 185 ip адрес соседа 185 as 20 155
- Задача 155
- Межсетевые экраны серии esr руководство по эксплуатации 155 155
- Настроить bgp протокол на маршрутизаторе со следующими параметрами 155
- Необходимо настроить несколько bgp neighbor с одинаковыми параметрами во избежание избыточности конфигурации рекомендуется использовать bgp peer group в которой возможно описать общие параметры а в конфигурации bgp neighbor просто указать причастность к bgp peer group 155
- Первое соседство подсеть 219 30 собственный ip адрес 219 ip адрес соседа 219 as 2500 155
- Пример настройки 155
- Решение 155
- Рисунок 48 схема сети 155
- Сконфигурируем необходимые сетевые параметры 155
- Собственная as 2500 155
- Собственные подсети 80 6 24 80 6 6 24 155
- Часто бывает особенно при конфигурировании ibgp что в одном bgp address family 155
- Bfd bidirectional forwarding detection это протокол работающий поверх других протоколов 156
- Алгоритм настройки 156
- Включим работу протокола 156
- Входим в режим конфигурирования маршрутной информации для ipv4 156
- Информацию о bgp пирах можно посмотреть командой 156
- Межсетевые экраны серии esr руководство по эксплуатации 156
- Настройка bfd 156
- Необходимо в firewall разрешить tcp порт 179 156
- Объявим подсети подключённые напрямую 156
- Позволяющий сократить время обнаружения проблемы до 50 мс bfd является двусторонним протоколом т е требует настройки обоих маршрутизаторов оба маршрутизатора генерируют bfd пакеты и отвечают друг другу 156
- Создадим bgp процесс для as 2500 и войдем в режим конфигурирования параметров процесса 156
- Создадим соседства с 185 219 с указанием автономных систем и включим их 156
- Таблицу маршрутов протокола bgp можно просмотреть с помощью команды 156
- Межсетевые экраны серии esr руководство по эксплуатации 157 157
- Межсетевые экраны серии esr руководство по эксплуатации 158
- Задать число пропущенных пакетов после достижения которого bfd сосед считается недоступным на интерфейсе не обязательно 159
- Задача 159
- Конфигурирование r1 159
- Конфигурирование r2 159
- Межсетевые экраны серии esr руководство по эксплуатации 159 159
- Настроим ebgp с bfd 159
- Необходимо настроить ebgp между esr r1 и r2 и включить bfd 159
- Перевести bfd сессию в пассивный режим то есть bfd сообщения не будут отправляться до тех пор пока не будут получены сообщения от bfd соседа на интерфейсе не обязательно 159
- По умолчанию 5 159
- Предварительно необходимо настроить интерфейс gi1 0 1 159
- Пример настройки bfd c bgp 159
- Решение 159
- Рисунок 49 схема сети 159
- Число пропущенных пакетов после достижения которого сосед считается недоступным принимает значение в диапазоне 1 00 159
- Route map могут служить фильтрами позволяющими обрабатывать маршрутную информацию 160
- Алгоритм настройки 160
- Межсетевые экраны серии esr руководство по эксплуатации 160
- Настроим ebgp с bfd 160
- Настройка route map для bgp 160
- Настройка политики маршрутизации pbr 160
- При приеме этой информации от соседа либо при ее передаче соседу обработка может включать в себя фильтрацию на основании различных признаков маршрута а также установку атрибутов med as path community localpreference и другое на соответствующие маршруты 160
- Также route map может назначать маршруты на основе списков доступа acl 160
- Межсетевые экраны серии esr руководство по эксплуатации 161 161
- Межсетевые экраны серии esr руководство по эксплуатации 162
- Задача 163
- Межсетевые экраны серии esr руководство по эксплуатации 163 163
- Назначить сommunity для маршрутной информации приходящей из as 20 163
- Настроить bgp c as 2500 на маршрутизаторе esr 163
- Предварительно нужно выполнить следующие действия 163
- Пример настройки 1 163
- Решение 163
- Рисунок 50 схема сети 163
- Создаем политику 163
- Установить соседство с as20 163
- В bgp процессе as 2500 заходим в настройки параметров соседа 164
- Для всей передаваемой маршрутной информации с community 2500 25 назначить med 164
- Если as path содержит as 20 то назначаем ему сommunity 20 2020 и выходим 164
- Если community содержит 2500 25 то назначаем ему med 240 и origin egp 164
- Задача 164
- Межсетевые экраны серии esr руководство по эксплуатации 164
- Настроить bgp c as 2500 на esr 164
- Предварительно 164
- Привязываем политику к принимаемой маршрутной информации 164
- Пример настройки 2 164
- Равный 240 и указать источник маршрутной информации egp 164
- Решение 164
- Создаем политику 164
- Создаем правило 164
- Создаем правило 1 164
- Route map на основе списков доступа policy based routing 165
- Алгоритм настройки 165
- Межсетевые экраны серии esr руководство по эксплуатации 165 165
- Привязываем политику к анонсируемой маршрутной информации 165
- Пример настройки 165
- Рисунок 51 схема сети 165
- 5 50 а при его недоступности на адрес 80 6 3 приоритетность шлюзов задается значениями метрик 10 и 30 166
- Адресов 10 0 24 через isp2 80 6 3 требуется контролировать доступность адресов провайдеров работоспособность подключений к isp и при неработоспособности одного из подключений переводить с него на рабочее подключение весь трафик 166
- Задача 166
- Межсетевые экраны серии esr руководство по эксплуатации 166
- Правилом 1 будет обеспечена маршрутизация трафика из сети 10 0 24 на адрес 166
- Предварительно нужно назначить ip адреса на интерфейсы 166
- Распределить трафик между интернет провайдерами на основе подсетей пользователей 166
- Решение 166
- Создаем acl 166
- Создаем политику 166
- Создаем правило 1 166
- Требуется направлять трафик с адресов 10 0 24 через isp1 184 5 50 а трафик с 166
- Указываем next hop для sub20 166
- Указываем список доступа acl в качестве фильтра 166
- Gre англ generic routing encapsulation общая инкапсуляция маршрутов протокол 167
- А при его недоступности на адрес 184 5 50 приоритетность задается значениями метрик 167
- Алгоритм настройки 167
- Заходим на интерфейс te 1 0 1 167
- Идентификатор туннеля в диапазоне для esr 20 21 1 50 для esr 1511 1500 1 00 167
- Имя vrf задается строкой до 31 символа 167
- Межсетевые экраны серии esr руководство по эксплуатации 167 167
- Настройка gre туннелей 167
- Описание туннеля задаётся строкой до 255 символов 167
- Правилом 2 будет обеспечена маршрутизация трафика из сети 10 0 24 на адрес 80 6 3 167
- Привязываем политику на соответствующий интерфейс 167
- Сконфигурировать l3 интерфейс от которого будет строиться gre туннель 167
- Создаем правило 2 167
- Создать gre туннель и перейти в режим его конфигурирования 167
- Туннелирования сетевых пакетов его основное назначение инкапсуляция пакетов сетевого уровня сетевой модели osi в ip пакеты gre может использоваться для организации vpn на 3 м уровне модели osi в маршрутизаторе esr реализованы статические неуправляемые gre туннели то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах параметры туннеля для каждой из сторон должны быть взаимосогласованными или переносимые данные не будут декапсулироваться партнером 167
- Указать описание конфигурируемого туннеля не обязательно 167
- Указать экземпляр vrf в котором будет работать данный gre туннель не обязательно 167
- Указываем nexthop для sub30 и выходим 167
- Указываем список доступа acl в качестве фильтра 167
- Шаг описание команда ключи 167
- Межсетевые экраны серии esr руководство по эксплуатации 168
- В качестве локального шлюза для туннеля используется ip адрес 115 169
- В качестве удаленного шлюза для туннеля используется ip адрес 114 0 169
- Задача 169
- Межсетевые экраны серии esr руководство по эксплуатации 169 169
- Организовать l3 vpn между офисами компании через ip сеть используя для туннелирования 169
- Пример настройки ip gre туннеля 169
- Трафика протокол gre 169
- L2tpv3 layer 2 tunneling protocol version 3 протокол для туннелирования пакетов 2 го уровня 171
- Алгоритм настройки 171
- Включить и настроить механизм keepalive 171
- Включить проверку наличия и корректности контрольной суммы gre для входящего трафика 171
- Идентификатор туннеля в диапазоне для esr 20 21 1 50 для esr 1511 1500 1 00 171
- Конфигурацию туннеля можно посмотреть командой 171
- Межсетевые экраны серии esr руководство по эксплуатации 171 171
- Модели osi между двумя ip узлами в качестве инкапсулирующего протокола используется ip или udp l2tpv3 может использоваться как альтернатива mpls p2p l2vpn vll для организации vpn уровня l2 в маршрутизаторе esr реализованы статические неуправляемые l2tpv3 туннели то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах параметры туннеля на каждой из сторон должны быть взаимосогласованными или переносимые данные не будут декапсулироваться партнером 171
- Настройка l2tpv3 туннелей 171
- Настройка туннеля ipv4 over ipv4 производится аналогичным образом 171
- При создании туннеля необходимо в firewall разрешить протокол gre 47 171
- Сконфигурировать l3 интерфейс от которого будет строиться l2tpv3 туннель 171
- Создать l2tpv3 туннель и перейти в режим его конфигурирования 171
- Состояние туннеля можно посмотреть командой 171
- Счетчики входящих и отправленных пакетов можно посмотреть командой 171
- Указать значение dscp mtu ttl 171
- Указать уникальный идентификатор 171
- Шаг описание команда ключи 171
- Межсетевые экраны серии esr руководство по эксплуатации 172
- В качестве инкапсулирующего протокола используется udp номер порта на локальной стороне и номер порта на стороне партнера 519 173
- В качестве локального шлюза для туннеля используется ip адрес 21 173
- В качестве удаленного шлюза для туннеля используется ip адрес 183 0 173
- В туннель направим трафик из bridge с идентификатором 333 173
- Задать интервал времени за который усредняется статистика о нагрузке на туннеле не обязательно 173
- Задача 173
- Идентификатор сессии внутри туннеля равен 100 на стороне партнера 200 173
- Идентификатор туннеля на локальной стороне равен 2 на стороне партнера 3 173
- Интервал в секундах принимает значения 5 50 значение по умолчанию 5 173
- Межсетевые экраны серии esr руководство по эксплуатации 173 173
- Организовать l2 vpn между офисами компании через ip сеть используя для туннелирования 173
- Пример настройки l2tpv3 туннеля 173
- Решение 173
- Рисунок 53 схема сети 173
- Создадим туннель l2tpv3 333 173
- Трафика протокол l2tpv3 173
- Укажем идентификаторы сессии внутри туннеля для локальной и удаленной сторон 173
- Укажем локальный и удаленный шлюз ip адреса интерфейсов граничащих с wan 173
- Укажем тип инкапсулирующего протокола и номера udp портов 173
- Настройка ipsec vpn 174
- Алгоритм настройки 175
- Межсетевые экраны серии esr руководство по эксплуатации 175 175
- Настройка route based ipsec vpn 175
- Межсетевые экраны серии esr руководство по эксплуатации 176
- Межсетевые экраны серии esr руководство по эксплуатации 177 177
- Межсетевые экраны серии esr руководство по эксплуатации 178
- R1 ip адрес 120 1 179
- R2 ip адрес 180 00 179
- Алгоритм аутентификации md5 179
- Алгоритм шифрования aes 128 bit 179
- Группа диффи хэллмана 2 179
- Для настройки правил зон безопасности потребуется создать профиль порта протокола isakmp 179
- Задача 179
- Конфигурирование r1 179
- Локального и удаленного шлюза указываются ip адреса интерфейсов граничащих с wan 179
- Межсетевые экраны серии esr руководство по эксплуатации 179 179
- Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности 179
- Настроить ipsec туннель между r1 и r2 179
- Пример настройки 179
- Решение 179
- Рисунок 54 схема сети 179
- Создадим туннель vti трафик будет перенаправляться через vti в ipsec туннель в качестве 179
- Которым могут согласовываться узлы и ключ аутентификации 180
- Межсетевые экраны серии esr руководство по эксплуатации 180
- Находится за ipsec туннелем нужно указать маршрут через vti туннель 180
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 180
- По которым могут согласовываться узлы 180
- Протокола и режим перенаправления трафика в туннель 180
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 180
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля 180
- Создадим политику протокола ike в политике указывается список профилей протокола ike по 180
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 180
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм 180
- Создадим статический маршрут до удаленной lan сети для каждой подсети которая 180
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия 180
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения 180
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 180
- Для настройки правил зон безопасности потребуется создать профиль порта протокола isakmp 181
- Конфигурирование r2 181
- Которым могут согласовываться узлы и ключ аутентификации 181
- Локального и удаленного шлюза указываются ip адреса интерфейсов граничащих с wan 181
- Межсетевые экраны серии esr руководство по эксплуатации 181 181
- Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности 181
- Находится за ipsec туннелем нужно указать маршрут через vti туннель 181
- Протокола и режим перенаправления трафика в туннель 181
- Создадим политику протокола ike в политике указывается список профилей протокола ike по 181
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм 181
- Создадим статический маршрут до удаленной lan сети для каждой подсети которая 181
- Создадим туннель vti трафик будет перенаправляться через vti в ipsec туннель в качестве 181
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия 181
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения 181
- В firewall необходимо разрешить протокол esp и isakmp udp порт 500 182
- Конфигурацию туннеля можно посмотреть командой 182
- Межсетевые экраны серии esr руководство по эксплуатации 182
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 182
- По которым могут согласовываться узлы 182
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 182
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля 182
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 182
- Состояние туннеля можно посмотреть командой 182
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 182
- Алгоритм настройки 183
- Межсетевые экраны серии esr руководство по эксплуатации 183 183
- Настройка policy based ipsec vpn 183
- Межсетевые экраны серии esr руководство по эксплуатации 184
- Межсетевые экраны серии esr руководство по эксплуатации 185 185
- Межсетевые экраны серии esr руководство по эксплуатации 186
- Конфигурирование r2 188
- Которым могут согласовываться узлы и ключ аутентификации 188
- Межсетевые экраны серии esr руководство по эксплуатации 188
- Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности 188
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 188
- По которым могут согласовываться узлы 188
- Протокола и режим перенаправления трафика в туннель 188
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 188
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля 188
- Создадим политику протокола ike в политике указывается список профилей протокола ike по 188
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 188
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия 188
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 188
- Для настройки правил зон безопасности потребуется создать профиль порта протокола isakmp 189
- Которым могут согласовываться узлы и ключ аутентификации 189
- Межсетевые экраны серии esr руководство по эксплуатации 189 189
- По которым могут согласовываться узлы 189
- Протокола и режим перенаправления трафика в туннель 189
- Создадим политику для ipsec туннеля в политике указывается список профилей ipsec туннеля 189
- Создадим политику протокола ike в политике указывается список профилей протокола ike по 189
- Создадим профиль параметров безопасности для ipsec туннеля в профиле укажем алгоритм 189
- Создадим профиль протокола ike в профиле укажем группу диффи хэллмана 2 алгоритм 189
- Создадим шлюз протокола ike в данном профиле указывается vti туннель политика версия 189
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ike соединения 189
- Шифрования aes 128 bit алгоритм аутентификации md5 данные параметры безопасности используются для защиты ipsec туннеля 189
- Lt англ logical tunnel логический туннель тип туннелей предназначенный для передачи 190
- Алгоритм настройки 190
- В firewall необходимо разрешить протокол esp и isakmp udp порт 500 190
- Конфигурацию туннеля можно посмотреть командой 190
- Маршрутной информации и трафика между различными виртуальными маршрутизаторами vrf lite сконфигурированными на одном аппаратном маршрутизаторе lt туннель может использоваться для организации взаимодействия между двумя или более vrf с применением ограничений firewall 190
- Межсетевые экраны серии esr руководство по эксплуатации 190
- Настройка lt туннелей 190
- Обмена ключами и способ установления соединения после ввода всех параметров включим туннель командой enable 190
- Создадим ipsec vpn в vpn указывается шлюз ike протокола политика ipsec туннеля режим 190
- Состояние туннеля можно посмотреть командой 190
- Включить туннели 191
- Для каждого vrf настроить необходимые протоколы маршрутизации через lt туннель 191
- Задать интервал времени за который усредняется статистика о нагрузке на туннеле не обязательно 191
- Задача организовать взаимодействие между хостами терминированными в двух vrf vrf_1 и 191
- Значение mtu принимает значения в диапазоне для esr 20 21 1280 500 для esr 1511 1500 1280 0000 значение по умолчанию 1500 191
- Интервал в секундах принимает значения 5 50 значение по умолчанию 5 191
- Исходная конфигурация 191
- Межсетевые экраны серии esr руководство по эксплуатации 191 191
- Пример настройки 191
- Решение 191
- Создадим lt туннели для каждого vrf с указанием ip адресов из одной подсети 191
- Указать размер mtu maximum transmition unit пакетов которые может пропускать данный bridge не обязательно возможно если в bridge включен только vlan mtu более 1500 будет активно только в случае применения команды system jumbo frames 191
- Dscp приоритет исходящих пакетов 0 3 192
- Local аутентификация пользователя по локальной базе radius аутентификация пользователя по базе radius сервера 192
- Pptp англ point to point tunneling protocol туннельный протокол типа точка точка 192
- Активируем их 192
- Алгоритм настройки 192
- Включить шифрование mppe для pptp соединений не обязательно 192
- Выбрать режим аутентификации pptp клиентов 192
- Если в vrf не работает ни один из протоколов динамической маршрутизации то необходимо указать статические маршруты для каждого vrf 192
- Имя профиля ip адресов содержащего который содержит адреса необходимых dns серверов задаётся строкой до 31 символа 192
- Имя профиля pptp сервера задаётся строкой до 31 символа 192
- Межсетевые экраны серии esr руководство по эксплуатации 192
- Настройка удаленного доступа к корпоративной сети по pptp 192
- Описание pptp сервера задаётся строкой до 255 символов 192
- Позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в обычной незащищенной сети pptp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет pptp может также использоваться для организации туннеля между двумя локальными сетями рртр использует дополнительное tcp соединение для обслуживания туннеля 192
- Протоколу 192
- Создать профиль pptp сервера 192
- Укажем для каждого lt туннеля lt туннель из vrf с которым необходимо установить связь и 192
- Указать dscp приоритет исходящих пакетов не обязательно 192
- Указать описание конфигурируемого сервера не обязательно 192
- Указать список dns серверов которые будут использовать удаленные пользователи не обязательно 192
- Шаг описание команда ключи 192
- Межсетевые экраны серии esr руководство по эксплуатации 193 193
- Dns серверы 8 8 194
- Адрес pptp сервера 120 1 194
- Задача 194
- Межсетевые экраны серии esr руководство по эксплуатации 194
- Настроить pptp сервер на маршрутизаторе 194
- Пример настройки pptp сервера 194
- Пул ip адресов для выдачи 10 0 0 10 0 0 5 194
- Решение 194
- Рисунок 56 схема сети 194
- Создадим профиль адресов содержащий dns серверы 194
- Создадим профиль адресов содержащий адрес который должен слушать сервер 194
- Создадим профиль адресов содержащий адрес локального шлюза 194
- Создадим профиль адресов содержащий адреса клиентов 194
- Учетные записи для подключения fedor ivan 194
- Шлюз внутри туннеля для подключающихся клиентов 10 0 0 194
- Включим pptp сервер 195
- Выберем метод аутентификации пользователей pptp сервера 195
- Завершить сессию пользователя fedor pptp сервера можно одной из следующих команд 195
- Конфигурацию pptp сервера можно посмотреть командой 195
- Межсетевые экраны серии esr руководство по эксплуатации 195 195
- Очистить счетчики сессий pptp сервера можно командой 195
- Помимо создания pptp сервера необходимо в firewall открыть tcp порт 1723 для обслуживания соединений и разрешить протокол gre 47 для туннельного трафика 195
- После применения конфигурации маршрутизатор будет прослушивать 120 1 1723 195
- Создадим pptp пользователей ivan и fedor для pptp сервера 195
- Создадим pptp сервер и привяжем вышеуказанные профили 195
- Состояние сессий pptp сервера можно посмотреть командой 195
- Счетчики сессий pptp сервера можно посмотреть командой 195
- Укажем зону безопасности к которой будут относиться сессии пользователей 195
- L2tp англ layer 2 tunneling protocol протокол туннелирования второго уровня туннельный 196
- Over ipsec протоколу 196
- Алгоритм настройки 196
- Межсетевые экраны серии esr руководство по эксплуатации 196
- Настройка удаленного доступа к корпоративной сети по l2tp 196
- Протокол использующийся для поддержки виртуальных частных сетей l2tp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет l2tp может также использоваться для организации туннеля между двумя локальными сетями l2тр использует дополнительное udp соединение для обслуживания туннеля l2tp протокол не предоставляет средств шифрования данных и поэтому он обычно используется в связке с группой протоколов ipsec которая предоставляет безопасность на пакетном уровне 196
- Межсетевые экраны серии esr руководство по эксплуатации 197 197
- Адрес l2tp сервера 120 1 198
- Адрес radius сервера 192 68 198
- Аутентификация пользователей проходит на radius сервере 198
- Выберем метод аутентификации пользователей l2tp сервера 198
- Для ipsec используется метод аутентификации по ключу ключ password 198
- Задача 198
- Межсетевые экраны серии esr руководство по эксплуатации 198
- Настроить l2tp сервер на маршрутизаторе для подключения удаленных пользователей к лвс 198
- Настроить зоны для интерфейсов te1 0 1 и gi1 0 1 198
- Настроить подключение к radius серверу 198
- Предварительно нужно выполнить следующие действия 198
- Пример настройки 198
- Решение 198
- Рисунок 57 схема сети 198
- Создадим l2tp сервер и привяжем к нему вышеуказанные профили 198
- Создадим профиль адресов содержащий dns серверы 198
- Создадим профиль адресов содержащий адрес локального шлюза 198
- Указать ip адреса для интерфейсов te1 0 1 и te1 0 1 198
- Шлюз внутри туннеля 10 0 0 198
- Openvpn полнофункциональное средство для построения виртуальных частных сетей 199
- Openvpn протоколу 199
- Virtual private networks vpn организации удалённого доступа и решения ряда других задач связанных с безопасностью передачи данных базирующееся на ssl 199
- Включим l2tp сервер 199
- Выберем метод аутентификации первой фазы ike и зададим ключ аутентификации 199
- Завершить сессию пользователя fedor l2tp сервера можно одной из следующих команд 199
- Конфигурацию l2tp сервера можно посмотреть командой 199
- Межсетевые экраны серии esr руководство по эксплуатации 199 199
- Настройка удаленного доступа к корпоративной сети по 199
- Очистить счетчики сессий l2tp сервера можно командой 199
- Помимо создания l2tp сервера необходимо в firewall открыть udp порты 500 1701 4500 для обслуживания соединений и разрешить протоколы esp 50 и gre 47 для туннельного трафика 199
- Порт 1701 состояние сессий l2tp сервера можно посмотреть командой 199
- После применения конфигурации маршрутизатор будет прослушивать ip адрес 120 1 и 199
- Счетчики сессий l2tp сервера можно посмотреть командой 199
- Укажем зону безопасности к которой будут относиться сессии пользователей 199
- Алгоритм настройки 200
- Межсетевые экраны серии esr руководство по эксплуатации 200
- Межсетевые экраны серии esr руководство по эксплуатации 201 201
- Пример настройки 202
- Openvpn сервером 203
- Pppoe это туннелирующий протокол tunneling protocol который позволяет 203
- Включим openvpn сервер 203
- Выберем алгоритм шифрования aes128 203
- Завершить сессию пользователя fedor openvpn сервера можно одной из следующих команд 203
- Инкапсулировать ip ppp через соединения ethernet и обладает программными возможностями ppp 203
- Конфигурацию openvpn сервера можно посмотреть командой 203
- Межсетевые экраны серии esr руководство по эксплуатации 203 203
- Настройка клиента удаленного доступа по протоколу pppoe 203
- Очистить счетчики сессий openvpn сервера можно командой 203
- По умолчанию 203
- Помимо создания openvpn сервера необходимо в firewall открыть tcp порт 1194 203
- После применения конфигурации маршрутизатор будет прослушивать порт 1194 используется 203
- Состояние сессий openvpn сервера можно посмотреть командой 203
- Счетчики сессий openvpn сервера можно посмотреть командой 203
- Укажем зону безопасности к которой будут относиться сессии пользователей 203
- Укажем ранее импортированные сертификаты и ключи которые будет использоваться 203
- Алгоритм настройки 204
- Межсетевые экраны серии esr руководство по эксплуатации 204
- Соединений что позволяет использовать его для виртуальных соединений на соседнюю ethernet машину и устанавливать соединение точка точка которое используется для транспортировки ip пакетов а также работает с возможностями ppp это позволяет применять традиционное ppp ориентированное по для настройки соединения которое использует не последовательный канал а пакетно ориентированную сеть например ethernet чтобы организовать классическое соединение с логином и паролем для интернет соединений кроме того ip адрес по другую сторону соединения назначается только когда pppoe соединение открыто позволяя динамическое переиспользование ip адресов 204
- Активировать конфигурируемый профиль 205
- Задача 205
- Зайдем в режим конфигурирования pppoe клиента и отключим межсетевой экран 205
- Имя vrf задается строкой до 31 символа 205
- Имя зоны безопасности задаётся строкой до 31 символа 205
- Межсетевые экраны серии esr руководство по эксплуатации 205 205
- Настроить pppoe клиент на маршрутизаторе 205
- Настройка зоны безопасности 205
- Отключения функции firewall на сетевом интерфейсе не обязательно 205
- Пароли учетных записей password 205
- Подключение должно осуществляться с интерфейса gigabitethernet 1 0 7 205
- Предварительно настроить pppoe сервер с учетными записями 205
- Пример настройки pppoe клиента 205
- Решение 205
- Рисунок 59 схема сети 205
- Укажем интерфейс через который будет устанавливаться pppoe соединение 205
- Укажем пользователя и пароль для подключения к pppoe серверу 205
- Указать имя экземпляра vrf в котором будут использоваться указанные сетевой интерфейс мост зона безопасности сервер динамической авторизации das или группа правил nat не обязательно 205
- Учетные записи для подключения tester 205
- Pptp англ point to point tunneling protocol туннельный протокол типа точка точка 206
- Алгоритм настройки 206
- Межсетевые экраны серии esr руководство по эксплуатации 206
- Настройка клиента удаленного доступа по протоколу pptp 206
- Позволяющий устанавливать защищённое соединение за счёт создания специального туннеля в обычной незащищенной сети pptp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет pptp может также использоваться для организации туннеля между двумя локальными сетями рртр использует дополнительное tcp соединение для обслуживания туннеля 206
- Состояние pppoe туннеля можно посмотреть командой 206
- Счетчики сессий pppoe клиента можно посмотреть командой 206
- Адрес pptp сервера 20 0 207
- Включим туннель pptp 207
- Задача 207
- Межсетевые экраны серии esr руководство по эксплуатации 207 207
- Настроить pptp туннель на маршрутизаторе 207
- Пример настройки удаленного подключения по pptp протоколу 207
- Решение 207
- Рисунок 60 схема сети 207
- Создадим туннель pptp 207
- Укажем зону безопасности 207
- Укажем удаленный шлюз 207
- Укажем учетную запись пользователя ivan для подключения к серверу 207
- Учетная запись для подключения логин ivan пароль simplepass 207
- L2tp англ layer 2 tunneling protocol протокол туннелирования второго уровня 208
- Алгоритм настройки 208
- Конфигурацию туннеля можно посмотреть командой 208
- Межсетевые экраны серии esr руководство по эксплуатации 208
- Настройка клиента удаленного доступа по протоколу l2tp 208
- Состояние туннеля можно посмотреть командой 208
- Счетчики входящих и отправленных пакетов можно посмотреть командой 208
- Туннельный протокол использующийся для поддержки виртуальных частных сетей l2tp помещает инкапсулирует кадры ppp в ip пакеты для передачи по глобальной ip сети например интернет l2tp может также использоваться для организации туннеля между двумя локальными сетями l2тр использует дополнительное udp соединение для обслуживания туннеля l2tp протокол не предоставляет средств шифрования данных и поэтому он обычно используется в связке с группой протоколов ipsec которая предоставляет безопасность на пакетном уровне 208
- Адрес pptp сервера 20 0 209
- Задача 209
- Межсетевые экраны серии esr руководство по эксплуатации 209 209
- Настроить pptp туннель на маршрутизаторе 209
- Пример настройки удаленного подключения по l2tp протоколу 209
- Решение 209
- Рисунок 61 схема сети 209
- Создадим туннель l2tp 209
- Учетная запись для подключения логин ivan пароль simplepass 209
- Qos quality of service технология предоставления различным классам трафика различных 210
- Алгоритм настройки 210
- Базовый qos 210
- Включим туннель 210
- Конфигурацию туннеля можно посмотреть командой 210
- Межсетевые экраны серии esr руководство по эксплуатации 210
- Настройка qos 210
- Приоритетов в обслуживании использование службы qos позволяет сетевым приложениям сосуществовать в одной сети не уменьшая при этом пропускную способность других приложений 210
- Состояние туннеля можно посмотреть командой 210
- Счетчики входящих и отправленных пакетов можно посмотреть командой 210
- Укажем зону безопасности 210
- Укажем ключ безопасности для ipsec 210
- Укажем метод аутентификации ipsec 210
- Укажем удаленный шлюз 210
- Укажем учетную запись пользователя ivan для подключения к серверу 210
- Межсетевые экраны серии esr руководство по эксплуатации 211 211
- Dscp 22 в первую приоритетную очередь трафик с dscp 14 в седьмую взвешенную очередь установить ограничение по скорости в 60 мбит с для седьмой очереди 212
- Задача 212
- Межсетевые экраны серии esr руководство по эксплуатации 212
- Настроить следующие ограничения на интерфейсе gigabitethernet 1 0 8 передавать трафик с 212
- Пример настройки 212
- Алгоритм настройки 213
- В соответствующую очередь со стороны lan 213
- Взвешенными ограничим количество приоритетных очередей до 1 213
- Включим qos на входящем интерфейсе для корректной классификации трафика и направления 213
- Включим qos на интерфейсе со стороны wan для правильной обработки очередей и 213
- Для того чтобы первая очередь осталась приоритетной а очереди со второй по восьмую стали 213
- Межсетевые экраны серии esr руководство по эксплуатации 213 213
- Ограничения полосы пропускания 213
- Перенаправим трафик с dscp 14 в седьмую взвешенную очередь 213
- Перенаправим трафик с dscp 22 в первую приоритетную очередь 213
- Просмотреть статистику по qos можно командой 213
- Расширенный qos 213
- Решение 213
- Рисунок 62 схема сети 213
- См раздел настройка списков доступа см раздел настройка списков доступа acl 213
- Создать списки доступа для определения трафика к которому должен быть применен расширенный qos 213
- Установим ограничение по скорости в 60мбит с для седьмой очереди 213
- Шаг описание команда ключи 213
- Межсетевые экраны серии esr руководство по эксплуатации 214
- Межсетевые экраны серии esr руководство по эксплуатации 215 215
- Межсетевые экраны серии esr руководство по эксплуатации 216
- Задача классифицировать приходящий трафик по подсетям 10 1 24 10 2 24 217
- Конфигурации 217
- Межсетевые экраны серии esr руководство по эксплуатации 217 217
- Настроим списки доступа для фильтрации по подсетям выходим в глобальный режим 217
- Пример настройки 217
- Произвести маркировку по dscp 38 и 42 и произвести разграничение по подсетям 40 мбит с и 60 мбит с ограничить общую полосу до 250 мбит с остальной трафик обрабатывать через механизм sfq 217
- Решение 217
- Рисунок 63 схема сети 217
- Создаем классы fl1 и fl2 указываем соответствующие списки доступа настраиваем маркировку 217
- Создаём политику и определяем ограничение общей полосы пропускания 217
- Алгоритм настройки 218
- Включаем qos на интерфейсах политику на входе интерфейса gi 1 0 19 для классификации и 218
- Включить режим удаленного зеркалирования в случае использования удаленного зеркалирования 218
- Выходим 218
- Для другого трафика настраиваем класс с режимом sfq 218
- Для просмотра статистики используется команда 218
- Зеркалирование трафика функция маршрутизатора предназначенная для перенаправления 218
- Межсетевые экраны серии esr руководство по эксплуатации 218
- На выходе gi1 0 20 для применения ограничений и режима sfq для класса по умолчанию 218
- Настройка зеркалирования 218
- Определить режим порта передающего отзеркалированный трафик 218
- Осуществляем привязку класса к политике настраиваем ограничение полосы пропускания и 218
- Режим network совмещенный режим передачи данных и зеркалирование monitor only только зеркалирование 218
- Трафика с одного порта маршрутизатора на другой порт этого же маршрутизатора локальное зеркалирование или на удаленное устройство удаленное зеркалирование 218
- Шаг описание команда ключи 218
- Пример настройки 219
- Gi1 0 8 для обработки 220
- Netflow сетевой протокол предназначенный для учета и анализа трафика netflow позволяет 220
- Алгоритм настройки 220
- Задача 220
- Межсетевые экраны серии esr руководство по эксплуатации 220
- Настройка netflow 220
- Организовать учет трафика с интерфейса gi1 0 1 для передачи на сервер через интерфейс 220
- Передавать данные о трафике адрес отправителя и получателя порт количество информации и др с сетевого оборудования сенсора на коллектор в качестве коллектора может использоваться обычный сервер 220
- Пример настройки 220
- Алгоритм настройки 221
- Настройка sflow 221
- Для сетей esr создадим две зоны безопасности 222
- Задача 222
- Межсетевые экраны серии esr руководство по эксплуатации 222
- Организовать учет трафика между зонами trusted и untrusted 222
- Пример настройки 222
- Решение 222
- Рисунок 66 схема сети 222
- Lacp протокол для агрегирования каналов позволяет объединить несколько физических 223
- Активируем sflow на маршрутизаторе 223
- Алгоритм настройки 223
- Включим экспорт статистики по протоколу sflow для любого трафика в правиле rule1 для 223
- Каналов в один логический такое объединение позволяет увеличивать пропускную способность и надежность канала 223
- Межсетевые экраны серии esr руководство по эксплуатации 223 223
- Направления trusted untrusted 223
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 223
- Настройка lacp 223
- Настройка sflow для учета трафика с интерфейса осуществляется аналогично 9 8 настройка netflow 223
- Приоритет указывается в диапазоне 1 5535 значение по умолчанию 1 223
- Укажем ip адрес коллектора 223
- Установить приоритет системы для протокола lacp 223
- Шаг описание команда ключи 223
- Задача 224
- Межсетевые экраны серии esr руководство по эксплуатации 224
- Настроить агрегированный канал между маршрутизатором esr и коммутатором 224
- Пример настройки 224
- Рисунок 67 схема сети 224
- Cоздадим интерфейс port channel 2 225
- Vrrp virtual router redundancy protocol сетевой протокол предназначенный для 225
- Алгоритм настройки 225
- Включим физические интерфейсы gi1 0 1 gi1 0 2 в созданную группу агрегации каналов 225
- Дальнейшая конфигурация port channel проводится как на обычном физическом интерфейсе 225
- Межсетевые экраны серии esr руководство по эксплуатации 225 225
- На интерфейсах gi1 0 1 gi1 0 2 отключить зону безопасности командой no security zone 225
- Настройка vrrp 225
- Основной этап конфигурирования 225
- Предварительно нужно выполнить следующие настройки 225
- Решение 225
- Увеличения доступности маршрутизаторов выполняющих роль шлюза по умолчанию это достигается путём объединения группы маршрутизаторов в один виртуальный маршрутизатор и назначения им общего ip адреса который и будет использоваться как шлюз по умолчанию для компьютеров в сети 225
- Межсетевые экраны серии esr руководство по эксплуатации 226
- Межсетевые экраны серии esr руководство по эксплуатации 227 227
- Пример настройки 1 228
- Пример настройки 2 229
- Vrrp tracking механизм позволяющий активировать статические маршруты в зависимости от 230
- Алгоритм настройки 230
- Включим vrrp 230
- Добавить в систему tracking объект и перейти в режим настройки параметров tracking объекта 230
- Задать правило слежения за состоянием vrrp процесса 230
- Идентификатор отслеживаемого vrrp маршрутизатора принимает значения 1 55 230
- Межсетевые экраны серии esr руководство по эксплуатации 230
- Настроим vrrp для подсети 192 68 0 24 в созданном саб интерфейсе 230
- Настроить vrrp согласно разделу 9 230
- Настройка vrrp tracking 230
- Номер tracking объекта принимает значения 1 0 230
- Помимо создания туннеля необходимо в firewall разрешить протокол vrrp 112 помимо создания туннеля необходимо в firewall разрешить протокол vrrp 112 230
- Произвести аналогичные настройки на r2 230
- Состояния vrrp 230
- Укажем ip адрес виртуального шлюза 192 68 0 230
- Укажем идентификатор vrrp группы 230
- Укажем уникальный идентификатор vrrp 230
- Шаг описание команда ключи 230
- Межсетевые экраны серии esr руководство по эксплуатации 231 231
- Пример настройки 232
- Для этого создадим tracking object с соответствующим условием 233
- Маршрутизатор r2 233
- Межсетевые экраны серии esr руководство по эксплуатации 233 233
- На маршрутизаторе r2 никаких изменений не требуется так как подсеть 10 24 233
- Работать в случае удовлетворения условия из tracking 1 233
- Решение 233
- Создадим статический маршрут в подсеть 10 24 через 192 68 который будет 233
- Терминируется на нем и в момент когда r2 выступает в роли vrrp master пакеты будут переданы в соответствующий интерфейс на маршрутизаторе необходимо создать маршрут для пакетов с ip адресом назначения из сети 10 24 в момент когда r1 выступает в роли vrrp master 233
- Vrf virtual routing and forwarding технология которая позволяет изолировать маршрутную 234
- Алгоритм настройки 234
- Информацию принадлежащую различным классам например маршруты одного клиента 234
- Межсетевые экраны серии esr руководство по эксплуатации 234
- Настройка vrf lite 234
- Рисунок 71 схема сети 234
- Задача 235
- К маршрутизатору серии esr подключены 2 сети которые необходимо изолировать от 235
- Которого будет использоваться при необходимости 235
- Межсетевые экраны серии esr руководство по эксплуатации 235 235
- Настроить lt туннель для передачи трафика в глобальный режим или другие vrf при необходимости 235
- Остальных сетей 235
- Пример настройки 235
- Решение 235
- Создадим vrf 235
- Создадим зону безопасности 235
- Создадим правило для пары зон и разрешим любой tcp udp трафик 235
- Создадим привязку интерфейсов назначим ip адреса укажем принадлежность к зоне 235
- Алгоритм настройки 236
- Информацию об интерфейсах привязанных к vrf можно посмотреть командой 236
- Межсетевые экраны серии esr руководство по эксплуатации 236
- Настройка multiwan 236
- Резервированием линков от нескольких провайдеров а также решает проблему балансировки трафика между резервными линками 236
- Таблицу маршрутов vrf можно просмотреть с помощью команды 236
- Технология multiwan позволяет организовать отказоустойчивое соединение с 236
- Межсетевые экраны серии esr руководство по эксплуатации 237 237
- Задача 238
- Межсетевые экраны серии esr руководство по эксплуатации 238
- Настроить зоны для интерфейсов te1 0 1 и te1 0 2 238
- Настроить маршрут к серверу 108 6 28 с возможностью балансировки нагрузки 238
- Предварительно нужно выполнить следующие действия 238
- Пример настройки 238
- Решение 238
- Рисунок 72 схема сети 238
- Указать ip адреса для интерфейсов te1 0 1 и te1 0 2 238
- В режиме конфигурирования интерфейса te1 0 1 включаем wan режим и выходим 239
- В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки соединения 239
- В режиме конфигурирования интерфейса te1 0 2 указываем nexthop 239
- Включим созданное правило балансировки и выйдем из режима конфигурирования правила 239
- Зададим адрес для проверки включим проверку указанного адреса и выйдем 239
- Межсетевые экраны серии esr руководство по эксплуатации 239 239
- Настроим интерфейсы в режиме конфигурирования интерфейса te1 0 1 указываем nexthop 239
- Настроим маршрутизацию 239
- Основной этап конфигурирования 239
- Создадим правило wan 239
- Создадим список для проверки целостности соединения 239
- Создадим цель проверки целостности 239
- Укажем участвующие интерфейсы 239
- Ntp англ network time protocol протокол сетевого времени сетевой протокол для 240
- Алгоритм настройки 240
- В режиме конфигурирования интерфейса te1 0 2 включаем wan режим и выходим 240
- В режиме конфигурирования интерфейса te1 0 2 указываем список целей для проверки 240
- Для переключения в режим резервирования настроим следующее 240
- Заходим в режим настройки правила wan 240
- Межсетевые экраны серии esr руководство по эксплуатации 240
- Направляться в активный интерфейс с наибольшим весом включить данный режим можно следующей командой 240
- Настройка ntp 240
- Синхронизации внутренних часов оборудования с использованием ip сетей использует для своей работы протокол udp учитывает время передачи и использует алгоритмы для достижения высокой точности синхронизации времени 240
- Соединения 240
- Функция multiwan также может работать в режиме резервирования в котором трафик будет 240
- Межсетевые экраны серии esr руководство по эксплуатации 241 241
- 68 2 1 242
- Ip адрес ntp сервера 242
- Задача 242
- Межсетевые экраны серии esr руководство по эксплуатации 242
- Настроить ip адрес для интерфейсов gi1 0 1 242
- Настроить синхронизацию времени от ntp сервера ip адрес маршрутизатора esr 192 68 2 242
- Предварительно нужно выполнить следующие действия 242
- Пример настройки 242
- Решение 242
- Рисунок 73 схема сети 242
- Указать зону безопасности для интерфейса gi1 0 1 242
- Ipv6 адрес клиента задаётся в виде x x x x x где каждая часть принимает значения в шестнадцатеричном формате 0 ffff 243
- Snmp англ simple network management protocol простой протокол сетевого управления 243
- Алгоритм настройки 243
- Включение синхронизации системных часов с удаленными серверами 243
- Включить snmp сервер 243
- Команда для просмотра текущего состояние ntp серверов пиров 243
- Команда для просмотра текущей конфигурации протокола ntp 243
- Межсетевые экраны серии esr руководство по эксплуатации 243 243
- Настроика ntp сервера 243
- Настройка snmp 243
- Определить community для доступа по протоколу snmpv2c 243
- Основной этап конфигурирования основной этап конфигурирования 243
- Протокол предназначенный для управления устройствами в ip сетях на основе архитектур tcp udp snmp предоставляет данные для управления в виде переменных описывающих конфигурацию управляемой системы 243
- Указать интервал времени между отправкой сообщений ntp серверу 243
- Указать предпочтительность данного ntp сервера необязательно 243
- Шаг описание команда ключи 243
- Межсетевые экраны серии esr руководство по эксплуатации 244
- Межсетевые экраны серии esr руководство по эксплуатации 245 245
- Пример настройки 246
- Syslog англ system log системный журнал стандарт отправки и регистрации сообщений о 247
- Активируем snmpv3 пользователя 247
- Алгоритм настройки 247
- Межсетевые экраны серии esr руководство по эксплуатации 247 247
- Настройка syslog 247
- Определяем сервер приемник trap pdu сообщений 247
- Происходящих в системе событиях используется в сетях работающих по протоколу ip 247
- Межсетевые экраны серии esr руководство по эксплуатации 248
- Пример настройки syslog 249
- Проверка целостности 250
- Часто задаваемые вопросы 251
Похожие устройства
- Eltex ESR-100-ST Техническое описание
- Eltex ESR-100-ST Руководство по эксплуатации
- Eltex ESR-200-ST Техническое описание
- Eltex ESR-200-ST Руководство по эксплуатации
- Eltex ESR-1000-ST Техническое описание
- Eltex ESR-1000-ST Руководство по эксплуатации
- Eltex NTU-52V Краткое техническое описание
- Eltex NTU-52V Руководство по эксплуатации
- Eltex NTU-RG-1421G-WZ Руководство пользователя
- Eltex NTU-RG-1421G-WZ Краткое техническое описание
- Eltex NTU-MD500P Краткое техническое описание
- Eltex NTU-MD500P Руководство по эксплуатации
- Eltex NTU-RG-5421GC-WAC Краткое техническое описание
- Eltex NTU-RG-5421GC-WAC Руководство пользователя
- Brayer BR4222 Инструкция по эксплуатации
- Brayer BR4221 Инструкция по эксплуатации
- Brayer BR4223 Инструкция по эксплуатации
- Brayer BR4950 Инструкция по эксплуатации
- Brayer BR4951 Инструкция по эксплуатации
- Brayer BR4957 Инструкция по эксплуатации