![Eltex ESR-100-ST [2/92] Маршрутизаторы серии esr st руководство по эксплуатации](/img/pdf.png)
Eltex ESR-100-ST [2/92] Маршрутизаторы серии esr st руководство по эксплуатации
![Eltex ESR-200-ST [2/92] Маршрутизаторы серии esr st руководство по эксплуатации](/views2/1832223/page2/bg2.png)
2 Маршрутизаторы серии ESR-ST, Руководство по эксплуатации
Версия документа
Дата выпуска
Содержание изменений
Версия 1.1
02.10.2016
Изменены:
5. Заводская конфигурация и подключение
6. Конфигурирование базовых параметров
8. Пример развертывания криптомаршрутизатора
Версия 1.0
06.09.2016
Первая публикация.
Версия программного
обеспечения
1.0.7-ST
Содержание
- Маршрутизаторы серии esr st руководство по эксплуатации 2
- Аннотация 5
- Введение 5
- Условные обозначения 5
- Целевая аудитория 5
- Назначение 7
- Описание изделия 7
- Функции 7
- Функции интерфейсов 7
- В таблице 2 приведены функции и особенности второго уровня уровень 2 osi 8
- В таблице 2 приведены функции устройства при работе с mac адресами 8
- Маршрутизаторы серии esr st руководство по эксплуатации 8
- Протокол связующего дерева spanning tree protocol 8
- Режим обучения 8
- Таблица 2 описание функций второго уровня уровень 2 osi поддержка vlan 8
- Таблица 2 функции работы с mac адресами таблица mac адресов 8
- Функции второго уровня сетевой модели osi 8
- Функции при работе с mac адресами 8
- Dynamic host configuration protoco 9
- Nat network address translation 9
- В таблице 2 приведены функции третьего уровня уровень 3 osi 9
- Динамическая маршрутизация 9
- Клиент dhcp 9
- Маршрутизаторы серии esr st руководство по эксплуатации 9 9
- Сервер dhcp 9
- Статические ip маршруты 9
- Таблица 2 описание функций третьего уровня layer 3 9
- Таблица arp 9
- Трансляция сетевых адресов 9
- Функции третьего уровня сетевой модели osi 9
- Syslog 10
- Автоматическое восстановление конфигурации 10
- Аутентификация 10
- Интерфейс командной строки cli 10
- Маршрутизаторы серии esr st руководство по эксплуатации 10
- Протоколы 10
- Сервер ssh 10
- Сетевые утилиты ping traceroute 10
- Таблица 2 основные функции управления и конфигурирования загрузка и выгрузка файла настройки 10
- Таблица 2 функции туннелирования трафика 10
- Туннелирования 10
- Управление контролируемым доступом уровни привилегий 10
- Функции туннелирования трафика 10
- Функции управления и конфигурирования 10
- В таблице приведены функции сетевой защиты выполняемые устройством 11
- Зоны безопасности 11
- Маршрутизаторы серии esr st руководство по эксплуатации 11 11
- Основные технические параметры маршрутизатора приведены в таблице 2 11
- Основные технические характеристики 11
- Таблица 2 основные технические характеристики 11
- Таблица 2 функции сетевой защиты 11
- Фильтрация данных 11
- Функции сетевой защиты 11
- Маршрутизаторы серии esr st руководство по эксплуатации 12
- В данном разделе описано конструктивное исполнение устройства представлены 13
- В таблице 2 приведен перечень разъемов светодиодных индикаторов и органов 13
- Внешний вид передней панели показан на рисунке 2 13
- Высота корпуса 1u 13
- Изображения передней задней и боковых панелей устройства описаны разъемы светодиодные индикаторы и органы управления 13
- Конструктивное исполнение 13
- Конструктивное исполнение esr 1000 st 13
- Маршрутизаторы серии esr st руководство по эксплуатации 13 13
- Передняя панель устройства esr 1000 st 13
- Рисунок 2 передняя панель esr 1000 st 13
- Таблица 2 описание разъемов индикаторов и органов управления передней панели 13
- Управления расположенных на передней панели устройства 13
- Устройство выполнено в металлическом корпусе с возможностью установки в 19 конструктив 13
- В таблице 2 1 приведен перечень разъемов светодиодных индикаторов и органов 15
- Внешний вид передней панели esr 100 st показан на рисунке 2 15
- Внешний вид передней панели esr 200 st показан на рисунке 2 15
- Конструктивное исполнение esr 100 st esr 200 st 15
- Маршрутизаторы серии esr st руководство по эксплуатации 15 15
- Передняя панель устройств esr 100 st esr 200 st 15
- Рисунок 2 передняя панель esr 100 st 15
- Рисунок 2 передняя панель esr 200 st 15
- Таблица 2 1 описание разъемов индикаторов и органов управления передней панели 15
- Управления расположенных на передней панели устройств esr 100 st esr 200 st 15
- Световая индикация 17
- В следующей таблице приведено описание состояний системных индикаторов устройства и их 18
- Значений 18
- Маршрутизаторы серии esr st руководство по эксплуатации 18
- Таблица 2 4 световая индикация состояния sfp sfp интерфейсов 18
- Таблица 2 5 состояния системных индикаторов 18
- В следующей таблице приведено описание состояний системных индикаторов устройства и их 19
- Значений 19
- Маршрутизаторы серии esr st руководство по эксплуатации 19 19
- Рисунок 2 2 расположение индикаторов оптических интерфейсов 19
- Световая индикация esr 100 st esr 200 st 19
- Светодиодными индикаторами link act зеленого цвета и speed янтарного цвета расположение индикаторов медных интерфейсов показано на рисунке 2 0 состояние sfp интерфейсов указано на рисунке 2 2 значения световой индикации описаны в таблице 2 6 19
- Состояние медных интерфейсов gigabitethernet и sfp интерфейсов отображается двумя 19
- Таблица 2 6 световая индикация состояния медных интерфейсов и sfp интерфейсов 19
- Таблица 2 7 состояния системных индикаторов 19
- Комплект поставки 20
- Крепление кронштейнов 21
- Установка и подключение 21
- Установка устройства в стойку 22
- Подключение питающей сети 23
- Установка модулей питания esr 1000 st 23
- Установка и удаление sfp трансиверов 24
- Интерфейс командной строки cli 25
- Интерфейсы управления 25
- Заводская конфигурация и подключение 26
- Заводская конфигурация маршрутизатора esr 26
- Инициализация 26
- Подключение маршрутизатора 26
- Administrator esr change user password administrator 27
- Администрирования устройства 27
- Аналогично необходимо сменить пароль для пользователя cscons 27
- Для защищенного входа в систему необходимо сменить пароль привилегированного 27
- Для изменения пароля пользователя admin используются следующие команды 27
- Для изменения пароля пользователя administrator в локальном cli используются 27
- Для создания нового пользователя системы или настройки любого из параметров имени 27
- Изменение пароля пользователей 27
- Имя пользователя и пароль вводится при входе в систему во время сеансов 27
- Конфигурирование базовых параметро 27
- Маршрутизаторы серии esr st руководство по эксплуатации 27 27
- Пользователей administrator admin cscons 27
- Пользователя пароля уровня привилегий используются команды 27
- Следующая команда 27
- Создание новых пользователей 27
- Удалить пользователей admin cscons techsupport remote нельзя можно только сменить пароль и уровень привилегий 27
- Уровни привилегий 1 9 разрешают доступ к устройству и просмотр его оперативного состояния но запрещают настройку уровни привилегий 10 14 разрешают как доступ так и настройку большей части функций устройства уровень привилегий 15 разрешает как доступ так и настройку всех функций устройства 27
- Уровни привилегий пользователей esr cli 27
- Учетная запись remote аутентификация radius tacacs ldap 27
- Учетная запись techsupport необходима для удаленного обслуживания сервисным центром 27
- Назначение имени устройства 28
- Настройка параметров публичной сети 28
- Для применения выполненных изменений конфигурации маршрутизатора требуется ввести 29
- Для того чтобы убедиться что адрес был назначен интерфейсу введите следующую команду 29
- Если ввести команду confirm не удастся то по истечении таймера подтверждения 29
- Если при конфигурировании использовался удаленный доступ к устройству и сетевые 29
- Конфигурация устройства вернётся в прежнее состояние существовавшее до ввода команды commit 29
- Маршрутизаторы серии esr st руководство по эксплуатации 29 29
- Параметры интерфейса управления изменились то после ввода команды commit соединение с устройством может быть потеряно используйте новые сетевые параметры заданные в конфигурации для подключения к устройству и ввода команды confirm 29
- Получения ip адреса может использоваться протокол dhcp если в сети присутствует сервер dhcp 29
- После применения конфигурации 29
- Применение базовых настроек 29
- Пример настройки предназначенной для получения динамического ip адреса от dhcp сервера на интерфейсе gigabitethernet 1 0 10 29
- Провайдер может использовать динамически назначаемые адреса в своей сети для 29
- Следующие команды из корневого раздела командного интерфейса 29
- Обновление программного обеспечения 30
- Обновление программного обеспечения средствами системы 30
- Загрузчика 33
- Обновление программного обеспечения из начального 33
- Импортирование необходимых сертификатов и списка отозванных сертификатов 34
- Настройка точного времени 34
- Пример развертывания криптомаршрутизатора 34
- Administrator r1 35
- State active c ru ou devel cn r1 2 state active 1 40 13549 support cryptopro ru c ru l moscow o crypto pro llc cn crypto pro test center 2 35
- Выпущенный локальный сертификат импортируйте в базу продукта например 35
- Доставьте запрос на удостоверяющий центр уц и выпустите сертификат 3 поместите сертификаты сертификат уц ca cer список отозванных сертификатов crl и выпущенный сертификат r1 cer на usb накопитель который затем устанавливается в esr st 35
- Загрузить сос crl например 35
- Криптомаршрутизатор 35
- Маршрутизаторы серии esr st руководство по эксплуатации 35 35
- Настраиваем правила фильтрации между зонами 35
- Настройки интерфейсов и сетевой защиты 35
- Осуществляется в esr cli 35
- Порт 22 для ssh 35
- Порт 500 и 4500 для ike 35
- Проверьте состояние сертификатов 35
- Разрешим любой трафик из лвс в публичную сеть 35
- Создаем зоны доверенную для лвс trusted и внешнюю для интернета untrusted 35
- Создаем объекты для фильтрации входящего трафика 35
- Также импортируйте сертификат уц например 35
- Маршрутизаторы серии esr st руководство по эксплуатации 36
- Разрешим icmp трафик из публичной сети к esr st 36
- Разрешим icmp трафик к esr st 36
- Разрешим ike подключения порт 500 из публичной сети к esr st 36
- Разрешим ssh трафик подключения к esr st 36
- Разрешим любой трафик между портами принадлежащими лвс 36
- Разрешим только дешифрованный трафик из публичной сети в лвс 36
- Ipv4 адрес 37
- O локальный 10 16 o внешний 172 6 30 37
- Включаем ssh сервер для удаленного управления 37
- Включение интерфейса 37
- Зона в которой интерфейс находится 37
- Конфигурируем интерфейс для локальной и внешней сети 37
- Маршрутизаторы серии esr st руководство по эксплуатации 37 37
- Настраиваем маршрут по умолчанию 37
- Применяем и сохраняем конфигурацию 37
- Разрешим ike подключения порт 4500 из публичной сети к esr st 37
- Разрешим дешифрованный трафик из публичной сети к esr st 37
- Алгоритм хеширования gost r 34 1 2012 38
- В sterra cli интерфейс gi 1 0 1 отображается как gi 1 1 38
- Вид аутентификации gost r 34 0 38
- Если ipsec политика привязывается к саб интерфейсу или к port channel то нужно дать команду 38
- Маршрутизаторы серии esr st руководство по эксплуатации 38
- Настройка ipsec политики 38
- Настройка фильтра определяющего какой трафик будет шифроваться 38
- Настройки ipsec укажем алгоритм шифрования gost 28147 89 38
- Осуществляется в sterra cli 38
- Партнера с которым будем устанавливать безопасное зашифрованное соединение 38
- Создаем ipsec политику cmap с привязкой созданного фильтра настроек ipsec и указанием 38
- Создаем политику ike в которой указываем параметры установления соединения алгоритм 38
- Укажем тип идентификации для isakmp 38
- Указание криптографического протокола vko gost r 34 0 2012 38
- Указываем привязку фильтра 38
- Чтобы этот интерфейс отобразился в консоли 38
- Шифрование gost 28147 89 38
- Шифрования аутентификации и тд 38
- Настройка vlan 40
- Примеры настройки маршрутизатора 40
- В режиме trunk настроить порт gi1 0 2 в режиме access для vlan 2 на esr 100 st esr 200 st 41
- Задача 3 настроить порты gi1 0 1 для передачи и приема пакетов в vlan 2 vlan 64 vlan 41
- Изменения конфигурации вступят в действие после применения 41
- Маршрутизаторы серии esr st руководство по эксплуатации 41 41
- Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1 41
- Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1 2 41
- Пропишем vlan 2 на порт gi1 0 2 41
- Решение 41
- Рисунок 9 схема сети 41
- Создадим vlan 2 vlan 64 vlan 2000 на esr 100 st esr 200 st 41
- 192 68 6 24 42
- Aaa authentication authorization accounting используется для описания процесса 42
- Accounting учёт слежение за подключением пользователя или внесенным им изменениям 42
- Authentication аутентификация сопоставление персоны запроса существующей учётной записи в системе безопасности осуществляется по логину паролю 42
- Authorization авторизация проверка полномочий проверка уровня доступа сопоставление учётной записи в системе и определённых полномочий 42
- Задача настроить аутентификацию пользователей подключающихся по ssh через radius 42
- Изменения конфигурации вступят в действие после применения 42
- Маршрутизаторы серии esr st руководство по эксплуатации 42
- Настроим подключение к radius серверу и укажем ключ password 42
- Настройка ааа 42
- Посмотреть профили аутентификации можно командой 42
- Предоставления доступа и контроля над ним 42
- Просмотреть информацию по настройкам подключения к radius серверу можно командой 42
- Решение 42
- Создадим профиль аутентификации 42
- Укажем режим аутентификации используемый при подключении по telnet протоколу 42
- Настройка привилегий команд 43
- Настройка dhcp сервера 44
- Для разрешения прохождения сообщений протокола dhcp к серверу необходимо создать 45
- Для того чтобы dhcp сервер мог раздавать ip адреса из конфигурируемого пула на 45
- Изменения конфигурации вступят в действие после применения 45
- Маршрутизаторе должен быть создан ip интерфейс принадлежащий к той же подсети что и адреса пула 45
- Маршрутизаторы серии esr st руководство по эксплуатации 45 45
- Просмотреть сконфигурированные пулы адресов можно командами 45
- Просмотреть список арендованных адресов можно с помощью команды 45
- Разрешим работу сервера 45
- Соответствующие профили портов включающие порт источника 68 и порт назначения 67 используемые протоколом dhcp и создать разрешающее правило в политике безопасности для прохождения пакетов протокола udp 45
- Destinatio 46
- Конфигурирование 46
- Адресов в атрибутах набора укажем что правила применяются только для пакетов пришедших из зоны untrust набор правил включает в себя требования соответствия данных по адресу и порту назначения match destination address match destination port и по протоколу кроме этого в наборе задано действие применяемое к данным удовлетворяющим всем правилам action destination nat набор правил вводится в действие командой enable 47
- Войдем в режим конфигурирования функции dnat и создадим пул адресов и портов 47
- Для пропуска трафика идущего из зоны untrust в trust создадим соответствующую 47
- Изменения конфигурации вступят в действие после применения 47
- Маршрутизаторы серии esr st руководство по эксплуатации 47 47
- Назначения в которые будут транслироваться адреса пакетов поступающие на адрес 1 из внешней сети 47
- Пару зон пропускать следует только трафик с адресом назначения соответствующим заданному в профиле server_ip и прошедший преобразование dnat 47
- Произведенные настройки можно посмотреть с помощью команд 47
- Создадим набор правил dnat в соответствии с которыми будет производиться трансляция 47
- Для конфигурирования функции snat и настройки правил зон безопасности потребуется 48
- Задача 1 настроить доступ пользователей локальной сети 10 24 к публичной сети с 48
- Использованием функции source nat задать диапазон адресов публичной сети для использования snat 172 6 00 172 6 49 48
- Компьютерам находящимся в локальной сети при этом не требуется назначения публичных ip адресов этим компьютерам 48
- Конфигурирование source nat 48
- Конфигурирование начнем с создания зон безопасности настройки сетевых интерфейсов и 48
- Маршрутизаторы серии esr st руководство по эксплуатации 48
- Определения их принадлежности к зонам безопасности создадим доверенную зону trust для локальной сети и зону untrust для публичной сети 48
- Проходящих через сетевой шлюз при прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза дополнительно к адресу источника может применяться замена порта источника при прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта 48
- Решение 48
- Рисунок 9 схема сети 48
- Создать профиль адресов локальной сети local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool 48
- Функция snat может быть использована для предоставления доступа в интернет 48
- Функция source nat snat используется для подмены адреса источника у пакетов 48
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила 49
- Для пропуска трафика из зоны trust в зону untrust создадим пару зон и добавим 49
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в 49
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них 49
- Должна быть настроена маршрутизация адрес 10 должен быть назначен адресом шлюза 49
- Изменения конфигурации вступают в действие по команде применения 49
- Используемых для сервиса snat 49
- Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети 49
- Маршрутизаторы серии esr st руководство по эксплуатации 49 49
- На самом маршрутизаторе также должен быть создан маршрут для направления на 49
- Правила разрешающие проходить трафику в этом направлении дополнительно включена проверка адреса источника данных на принадлежность к диапазону адресов local_net для соблюдения ограничения на выход в публичную сеть действие правил разрешается командой enable 49
- Применяются только для пакетов направляющихся в публичную сеть в зону untrust правила включают проверку адреса источника данных на принадлежность к пулу local_net 49
- Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды 49
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool 49
- Local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool 50
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила 50
- Для конфигурирования функции snat потребуется создать профиль адресов локальной сети 50
- Задача 2 настроить доступ пользователей локальной сети 10 2 24 к публичной сети с 50
- Использованием функции source nat без использования межсетевого экрана firewall диапазон адресов публичной сети для использования snat 198 1 00 00 198 1 00 49 50
- Конфигурирование начнем с настройки сетевых интерфейсов и отключения межсетевого 50
- Конфигурируем сервис snat 50
- Маршрутизаторы серии esr st руководство по эксплуатации 50
- Первым шагом создаётся пул адресов публичной сети используемых для сервиса snat 50
- Применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net 50
- Решение 50
- Рисунок 9 схема сети 50
- Экрана 50
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в 51
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них 51
- Должна быть настроена маршрутизация адрес 10 2 должен быть назначен адресом шлюза 51
- Изменения конфигурации вступают в действие по команде применения 51
- Маршрутизаторы серии esr st руководство по эксплуатации 51 51
- На самом маршрутизаторе также должен быть создан маршрут для направления на 51
- Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды 51
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool 51
- Firewall комплекс аппаратных или программных средств осуществляющий контроль и 52
- Включающий адреса которым разрешен выход в сеть wan и профиль адресов сети wan 52
- Для каждой сети esr st создадим свою зону безопасности 52
- Для настройки правил зон безопасности потребуется создать профиль адресов сети lan 52
- Для пропуска трафика из зоны lan в зону wan создадим пару зон и добавим правило 52
- Задача разрешить обмен сообщениями по протоколу icmp между устройствами пк1 пк2 и b 52
- Конфигурирование firewall 52
- Маршрутизатором esr st 52
- Маршрутизаторы серии esr st руководство по эксплуатации 52
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 52
- Разрешающее проходить icmp трафику от пк1 к пк2 действие правил разрешается командой enable 52
- Решение 52
- Рисунок 9 схема сети 52
- Фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами 52
- Для пропуска трафика из зоны wan в зону lan создадим пару зон и добавим правило 53
- Изменения конфигурации вступят в действие по следующим командам 53
- Маршрутизаторы серии esr st руководство по эксплуатации 53 53
- На маршрутизаторе всегда существует зона безопасности с именем self если в качестве 53
- Получателя трафика выступает сам маршрутизатор то есть трафик не является транзитным то в качестве параметра указывается зона self создадим пару зон для трафика идущего из зоны wan в зону self добавим правило разрешающее проходить icmp трафику между пк2 и маршрутизатором esr st для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны wan 53
- Посмотреть членство портов в зонах можно с помощью команды 53
- Разрешающее проходить icmp трафику между пк1 и esr st для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны lan 53
- Разрешающее проходить icmp трафику от пк2 к пк1 действие правил разрешается командой enable 53
- Создадим пару зон для трафика идущего из зоны lan в зону self добавим правило 53
- Access control list или acl список контроля доступа содержит правила определяющие 54
- Задача разрешить прохождения трафика только из подсети 192 68 0 24 54
- Изменения конфигурации вступят в действие по следующим командам 54
- Маршрутизаторы серии esr st руководство по эксплуатации 54
- Настроим список доступа для фильтрации по подсетям 54
- Настройка списков доступа acl 54
- Посмотреть активные сессии можно с помощью команд 54
- Посмотреть пары зон и их конфигурацию можно с помощью команд 54
- Применим список доступа на интерфейс gi1 0 19 для входящего трафика 54
- Просмотреть детальную информацию о списке доступа возможно через команду 54
- Прохождение трафика через интерфейс 54
- Решение 54
- 8 используя статическую маршрутизацию на устройстве r1 создать шлюз для доступа к сети internet трафик внутри локальной сети должен маршрутизироваться внутри зоны lan трафик из сети internet должен относиться к зоне wan 55
- R1 будет подключен к сети 192 68 24 55
- Для интерфейса gi1 0 1 укажем адрес 192 68 24 и зону lan через данный интерфейс 55
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный 55
- Для интерфейса gi1 0 3 укажем адрес 198 1 00 30 и зону wan через данный 55
- Зададим имя устройства для маршрутизатора r1 55
- Задача настроить доступ к сети internet для пользователей локальной сети 192 68 24 и 55
- Интерфейс r1 будет подключен к сети internet 55
- Интерфейс r1 будет подключен к устройству r2 для последующей маршрутизации трафика 55
- Конфигурирование статических маршрутов 55
- Маршрутизаторы серии esr st руководство по эксплуатации 55 55
- Решение 55
- Рисунок 9 схема сети 55
- Статическая маршрутизация вид маршрутизации при котором маршруты указываются в 55
- Явном виде при конфигурации маршрутизатора без использования протоколов динамической маршрутизации 55
- Будет подключен к сети 10 8 56
- Для интерфейса gi1 0 1 укажем адрес 10 8 и зону lan через данный интерфейс r2 56
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный 56
- Зададим имя устройства для маршрутизатора r2 56
- Изменения конфигурации на маршрутизаторе r1 вступят в действие по следующим командам 56
- Изменения конфигурации на маршрутизаторе r2 вступят в действие по следующим командам 56
- Интерфейс r2 будет подключен к устройству r1 для последующей маршрутизации трафика 56
- Маршрутизатора r1 192 68 00 56
- Маршрутизаторы серии esr st руководство по эксплуатации 56
- Провайдера 198 1 00 56
- Проверить таблицу маршрутов можно командой 56
- Создадим маршрут для взаимодействия с сетью 10 8 используя в качестве шлюза 56
- Создадим маршрут для взаимодействия с сетью internet используя в качестве nexthop шлюз 56
- Создадим маршрут по умолчанию указав в качестве nexthop ip адрес интерфейса gi1 0 2 56
- Устройство r2 192 68 00 56
- Multilink ppp mlppp предоставляет собой агрегированный канал включающий в себя 57
- Включим interface e1 1 0 1 interface e1 1 0 4 в группу агрегации mlppp 3 57
- Задача настроить mlppp соединение с встречной стороной с ip адресом 10 7 24 через 57
- Изменения конфигурации вступят в действие по следующим командам 57
- Маршрутизаторы серии esr st руководство по эксплуатации 57 57
- Методы для распространения трафика через несколько физических каналов имея одно логическое соединение этот вариант позволяет расширить пропускную способность и обеспечивает балансировку нагрузки 57
- Настроим mlppp 3 57
- Настройка mlppp 57
- Переключаем интерфейс gigabitethernet 1 0 10 в режим работы е1 57
- Решение 57
- Рисунок 9 схема сети 57
- Устройство mxe 57
- Bridge мост это способ соединения двух сегментов ethernet на канальном уровне без 58
- Добавим интерфейсы gi1 0 11 gi1 0 12 в vlan 333 58
- Задача 1 объединить в единый l2 домен интерфейсы маршрутизатора относящиеся к 58
- Использования протоколов более высокого уровня таких как ip пакеты передаются на основе ethernet адресов а не ip адресов поскольку передача выполняется на канальном уровне уровень 2 модели osi трафик протоколов более высокого уровня прозрачно проходит через мост 58
- Локальной сети и l2tpv3 туннель проходящий по публичной сети для объединения использовать vlan 333 58
- Маршрутизаторы серии esr st руководство по эксплуатации 58
- Настройка bridge 58
- Настройка l2tpv3 туннеля рассматривается в разделе 9 7 в общем случае идентификаторы моста и туннеля не должны совпадать с vid как в данном примере 58
- Решение 58
- Рисунок 9 0 схема сети 58
- Создадим bridge 333 привяжем к нему vlan 333 и укажем членство в зоне trusted 58
- Создадим vlan 333 58
- Создадим зону безопасности trusted 58
- Установим принадлежность l2tpv3 туннеля к мосту который связан с локальной сетью 58
- Vlan 50 должен относиться к зоне lan1 vlan 60 к зоне lan2 разрешить свободную передачу трафика между зонами 59
- Задача 2 настроить маршрутизацию между vlan 50 10 0 24 и vlan 60 10 0 24 59
- Маршрутизаторы серии esr st руководство по эксплуатации 59 59
- Назначим интерфейсам gi1 0 11 gi1 0 12 vlan 50 59
- Назначим интерфейсу gi1 0 14 vlan 60 59
- Решение 59
- Рисунок 9 1 схема сети 59
- Создадим bridge 50 привяжем vlan 50 укажем ip адрес 10 0 24 и членство в зоне 59
- Создадим bridge 60 привяжем vlan 60 укажем ip адрес 10 0 24 и членство в зоне 59
- Создадим vlan 50 60 59
- Создадим зоны безопасности lan1 и lan2 59
- Изменения конфигурации вступят в действие по следующим командам 60
- Маршрутизаторы серии esr st руководство по эксплуатации 60
- Посмотреть членство интерфейсов в мосте можно командой 60
- Создадим правила в firewall разрешающие свободное прохождение трафика между зонами 60
- Настройка rip 61
- Настройка ospf 62
- Включим ospf процесс 63
- Включим анонсирование маршрутной информации из протокола rip 63
- Задача 2 изменить тип области 1 область должна быть тупиковой тупиковый 63
- Изменения конфигурации вступят в действие после применения 63
- Изменим тип области на тупиковый на каждом маршрутизаторе из области 1 в режиме 63
- Конфигурирования области выполним команду 63
- Маршрутизатор должен анонсировать маршруты полученные по протоколу rip 63
- Маршрутизаторы серии esr st руководство по эксплуатации 63 63
- Предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме 63
- Приведенной на рисунке рисунок 9 4 63
- Решение 63
- Рисунок 9 4 схема сети 63
- Соседние маршрутизаторы подключены к интерфейсам gi1 0 5 и gi1 0 15 для установления 63
- Соседства с другими маршрутизаторами привяжем их к ospf процессу и области далее включим на интерфейсе маршрутизацию по протоколу ospf 63
- Virtual link это специальное соединение которое позволяет соединять разорванную на 64
- Задача 3 объединить две магистральные области в одну с помощью virtual link 64
- Изменения конфигурации вступают в действие по команде применения 64
- Изменения конфигурации вступят в действие после применения 64
- Маршрутизаторы серии esr st руководство по эксплуатации 64
- На маршрутизаторе r1 перейдем в режим конфигурирования области 1 64
- На маршрутизаторе r3 перейдем в режим конфигурирования области 1 64
- На тупиковом маршрутизаторе r3 включим анонсирование маршрутной информации из 64
- Предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме 64
- Приведенной на рисунке 9 5 64
- Протокола rip 64
- Рассмотрим таблицу маршрутизации на маршрутизаторе r1 64
- Решение 64
- Рисунок 9 5 схема сети 64
- Создадим virtual link с идентификатором 0 и включим его 64
- Части зону или присоединить зону к магистральной через другую зону настраивается между двумя пограничными маршрутизаторами зоны area border router abr 64
- Настройка bgp 65
- Включим работу протокола 66
- Входим в режим конфигурирования маршрутной информации для ipv4 66
- Изменения конфигурации вступят в действие после применения 66
- Маршрутизаторы серии esr st руководство по эксплуатации 66
- Объявим подсети подключённые напрямую 66
- Процесса 66
- Решение 66
- Сконфигурируем необходимые сетевые параметры 66
- Создадим bgp процесс для as 2500 и войдем в режим конфигурирования параметров 66
- Создадим соседства с 10 85 10 19 с указанием автономных систем 66
- Настройка route map для bgp 67
- Настройка политики маршрутизации pbr 67
- Med равный 240 и указать источник маршрутной информации egp 68
- В bgp процессе as 2500 заходим в настройки параметров соседа 68
- Если community содержит 2500 25 то назначаем ему med 240 и origin egp 68
- Задача 2 для всей передаваемой маршрутной информации с community 2500 25 назначить 68
- Изменения конфигурации вступят в действие после применения 68
- Маршрутизаторы серии esr st руководство по эксплуатации 68
- Предварительно настроить bgp c as 2500 на esr решение 68
- Привязываем политику к анонсируемой маршрутной информации 68
- Привязываем политику к принимаемой маршрутной информации 68
- Создаем политику 68
- Создаем правило 68
- Route map на основе списков доступа policy based routing 69
- Адресов 10 0 24 через isp2 198 1 00 3 требуется контролировать доступность адресов провайдеров работоспособность подключений к isp и при неработоспособности одного из подключений переводить с него на рабочее подключение весь трафик 69
- Задача 1 распределить трафик между интернет провайдерами на основе подсетей 69
- Маршрутизаторы серии esr st руководство по эксплуатации 69 69
- Назначить ip адреса на интерфейсы 69
- Пользователей 69
- Предварительно нужно выполнить следующие действия 69
- Решение решение 69
- Рисунок 9 8 схема сети 69
- Создаем acl 69
- Создаем политику 69
- Создаем правило 1 69
- Требуется направлять трафик с адресов 10 0 24 через isp1 192 50 а трафик с требуется направлять трафик с адресов 10 0 24 через isp1 192 50 а трафик с 69
- 1 00 3 а при его недоступности на адрес 192 50 приоритетность задается значениями метрик 70
- 50 а при его недоступности на адрес 198 1 00 3 приоритетность шлюзов задается значениями метрик 10 и 30 70
- Заходим на интерфейс te 1 0 1 70
- Маршрутизаторы серии esr st руководство по эксплуатации 70
- Правилом 1 будет обеспечена маршрутизация трафика с сети 10 0 24 на адрес 70
- Правилом 2 будет обеспечена маршрутизация трафика с сети 10 0 24 на адрес 70
- Привязываем политику на соответствующий интерфейс 70
- Создаем правило 2 70
- Указываем nexthop для sub20 70
- Указываем nexthop для sub30 и выходим 70
- Указываем список доступа acl в качестве фильтра 70
- Настройка gre туннелей 71
- Включить вычисление и включение в пакет контрольной суммы заголовка gre и инкапсулированного пакета для исходящего трафика 72
- Включить проверку наличия и корректности контрольной суммы gre для входящего трафика 72
- Для применения изменений конфигурации выполним следующие команды 72
- Интерфейса назначения указываем ранее созданный туннель gre 72
- Конфигурацию туннеля можно посмотреть командой 72
- Маршрутизаторы серии esr st руководство по эксплуатации 72
- На маршрутизаторе должен быть создан маршрут до локальной сети партнера в качестве 72
- Настройка туннеля ipv4 over ipv4 производится аналогичным образом 72
- Опционально для gre туннеля можно указать следующие параметры 72
- Партеру независимо от наличия gre туннеля и правильности настроек с его стороны 72
- После применения настроек трафик будет инкапсулироваться в туннель и отправляться 72
- При создании туннеля необходимо в firewall разрешить протокол gre 47 72
- Состояние туннеля можно посмотреть командой 72
- Счетчики входящих и отправленных пакетов можно посмотреть командой 72
- Указать значение dscp mtu ttl 72
- Указать уникальный идентификатор 72
- Настройка l2tpv3 туннелей 73
- Настройка dual homing 75
- Qos quality of service технология предоставления различным классам трафика различных 76
- Базовый qos 76
- Включим qos на входящем интерфейсе со стороны lan 76
- Включим qos на интерфейсе со стороны wan 76
- Для того чтобы восьмая очередь стала приоритетной а с первой по седьмую взвешенной 76
- Задача настроить следующие ограничения на интерфейсе gigabitethernet 1 0 8 передавать 76
- Маршрутизаторы серии esr st руководство по эксплуатации 76
- Настройка qos 76
- Ограничим количество приоритетных очередей до 1 76
- Перенаправим трафик с dscp 14 в седьмую взвешенную очередь 76
- Перенаправим трафик с dscp 22 в восьмую приоритетную очередь 76
- Приоритетов в обслуживании использование службы qos позволяет сетевым приложениям сосуществовать в одной сети не уменьшая при этом пропускную способность других приложений 76
- Просмотреть информацию о резервных интерфейсах можно командой 76
- Решение 76
- Рисунок 9 2 схема сети 76
- Трафик с dscp 22 в восьмую приоритетную очередь трафик с dscp 14 в седьмую взвешенную очередь установить ограничение по скорости в 60 мбит с для седьмой очереди 76
- Установим ограничение по скорости в 60 мбит с для седьмой очереди 76
- Задача классифицировать приходящий трафик по подсетям 10 1 24 10 2 24 77
- Изменения конфигурации вступят в действие после применения 77
- Конфигурации 77
- Маркировку 77
- Маршрутизаторы серии esr st руководство по эксплуатации 77 77
- Настроим списки доступа для фильтрации по подсетям выходим в глобальный режим 77
- Произвести маркировку по dscp 38 и 42 и произвести разграничение по подсетям 40 мбит с и 60 мбит с ограничить общую полосу до 250 мбит с остальной трафик обрабатывать через механизм sfq 77
- Просмотреть статистику по qos можно командой 77
- Расширенный qos 77
- Решение 77
- Рисунок 9 3 схема сети 77
- Создаем классы fl1 и fl2 указываем соответствующие списки доступа настраиваем 77
- Включаем qos на интерфейсах политику на входе интерфейса gi 1 0 19 для классификации и 78
- Выходим 78
- Для другого трафика настраиваем класс с режимом sfq 78
- Для просмотра статистики используется команда 78
- Изменения конфигурации вступят в действие после применения 78
- Маршрутизаторы серии esr st руководство по эксплуатации 78
- На выходе gi1 0 20 для применения ограничений и режима sfq для класса по умолчанию 78
- Осуществляем привязку класса к политике настраиваем ограничение полосы пропускания и 78
- Создаём политику и определяем ограничение общей полосы пропускания 78
- Настройка зеркалирования 79
- Настройка netflow 80
- Sflow стандарт для мониторинга компьютерных сетей беспроводных сетей и сетевых 81
- Включим экспорт статистики по протоколу sflow для любого трафика в правиле rule1 для 81
- Для сетей esr st создадим две зоны безопасности 81
- Задача организовать учет трафика между зонами trusted и untrusted 81
- Маршрутизаторы серии esr st руководство по эксплуатации 81 81
- Направления trusted untrusted 81
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности 81
- Настройка netflow для учета трафика между зонами аналогична настройке sflow описание приведено в разделе 9 2 настройка sflow 81
- Настройка sflow 81
- Решение 81
- Рисунок 9 6 схема сети 81
- Укажем ip адрес коллектора 81
- Устройств предназначенный для учета и анализа трафика 81
- Lacp протокол для агрегирования каналов позволяет объединить несколько 82
- Активируем sflow на маршрутизаторе 82
- Задача настроить агрегированный канал между маршрутизатором esr st и 82
- Изменения конфигурации вступят в действие после применения 82
- Коммутатором 82
- Маршрутизаторы серии esr st руководство по эксплуатации 82
- На интерфейсах gi1 0 1 gi1 0 2 отключить зону безопасности командой no security 82
- Настройка lacp 82
- Настройка sflow для учета трафика с интерфейса осуществляется аналогично 9 1 настройка netflow 82
- Предварительно нужно выполнить следующие настройки 82
- Решение 82
- Рисунок 9 7 схема сети 82
- Физических каналов в один логический такое объединение позволяет увеличивать пропускную способность и надежность канала 82
- Настройка vrrp 83
- Включим vrrp 85
- Изменения конфигурации вступят в действие после применения 85
- Маршрутизаторы серии esr st руководство по эксплуатации 85 85
- Настроим vrrp для подсети 192 68 0 24 в созданном саб интерфейсе 85
- Настроим vrrp для подсети 192 68 24 в созданном саб интерфейсе 85
- Настроим маршрутизатор r1 85
- Помимо создания туннеля необходимо в firewall разрешить протокол vrrp 112 85
- Произвести аналогичные настройки на r2 85
- Укажем ip адрес виртуального шлюза 192 68 85
- Укажем ip адрес виртуального шлюза 192 68 0 85
- Укажем идентификатор vrrp группы 85
- Укажем уникальный идентификатор vrrp 85
- Настройка multiwan 86
- В режиме конфигурирования интерфейса te1 0 1 включаем wan режим и выходим 87
- В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки 87
- В режиме конфигурирования интерфейса te1 0 2 включаем wan режим и выходим 87
- В режиме конфигурирования интерфейса te1 0 2 указываем nexthop 87
- Для переключения в режим резервирования настроим следующее 87
- Зададим адрес для проверки включим проверку указанного адреса и выйдем 87
- Заходим в режим настройки правила wan 87
- Изменения конфигурации вступят в действие после применения 87
- Маршрутизаторы серии esr st руководство по эксплуатации 87 87
- Направляться в активный интерфейс c наибольшим весом включить данный режим можно следующей командой 87
- Настроим интерфейсы в режиме конфигурирования интерфейса te1 0 1 указываем nexthop 87
- Соединения 87
- Функция multiwan также может работать в режиме резервирования в котором трафик будет 87
- Настройка snmp 88
- Esr esr config snmp server host 192 68 2 1 89
- Активируем snmpv3 пользователя 89
- Изменения конфигурации вступят в действие после применения 89
- Маршрутизаторы серии esr st руководство по эксплуатации 89 89
- Определяем сервер приемник trap pdu сообщений 89
- Часто задаваемые вопросы 90
Похожие устройства
- Eltex ESR-200-ST Техническое описание
- Eltex ESR-200-ST Руководство по эксплуатации
- Eltex ESR-1000-ST Техническое описание
- Eltex ESR-1000-ST Руководство по эксплуатации
- Eltex NTU-52V Краткое техническое описание
- Eltex NTU-52V Руководство по эксплуатации
- Eltex NTU-RG-1421G-WZ Руководство пользователя
- Eltex NTU-RG-1421G-WZ Краткое техническое описание
- Eltex NTU-MD500P Краткое техническое описание
- Eltex NTU-MD500P Руководство по эксплуатации
- Eltex NTU-RG-5421GC-WAC Краткое техническое описание
- Eltex NTU-RG-5421GC-WAC Руководство пользователя
- Brayer BR4222 Инструкция по эксплуатации
- Brayer BR4221 Инструкция по эксплуатации
- Brayer BR4223 Инструкция по эксплуатации
- Brayer BR4950 Инструкция по эксплуатации
- Brayer BR4951 Инструкция по эксплуатации
- Brayer BR4957 Инструкция по эксплуатации
- Brayer BR4954 Инструкция по эксплуатации
- Brayer BR4956 Инструкция по эксплуатации