![Eltex ESR-100-ST — настройка Source NAT для локальной сети и доступа в Интернет [48/92]](/icons/site-icon-64.png){kind=icon}
Eltex ESR-100-ST — настройка Source NAT для локальной сети и доступа в Интернет [48/92]
Превью страниц
Страница 48 /
92
![Eltex ESR-100-ST Руководство по эксплуатации онлайн [48/92] 625193](/views2/1832223/page48/bg30.png)
48 Маршрутизаторы серии ESR-ST, Руководство по эксплуатации
9.6 Конфигурирование Source NAT
Функция Source NAT (SNAT) используется для подмены адреса источника у пакетов,
проходящих через сетевой шлюз. При прохождении пакетов из локальной сети в публичную сеть,
адрес источника заменяется на один из публичных адресов шлюза. Дополнительно к адресу
источника может применяться замена порта источника. При прохождении пакетов из публичной
сети в локальную происходит обратная подмена адреса и порта.
Функция SNAT может быть использована для предоставления доступа в Интернет
компьютерам, находящимся в локальной сети. При этом не требуется назначения публичных IP-
адресов этим компьютерам.
Задача 1: Настроить доступ пользователей локальной сети 10.1.2.0/24 к публичной сети с
использованием функции Source NAT. Задать диапазон адресов публичной сети для использования
SNAT 172.16.0.100-172.16.0.249.
Рисунок 9.5 – Схема сети
Решение:
Конфигурирование начнем с создания зон безопасности, настройки сетевых интерфейсов и
определения их принадлежности к зонам безопасности. Создадим доверенную зону «TRUST» для
локальной сети и зону «UNTRUST» для публичной сети.
esr:esr# configure
esr:esr(config)# security zone UNTRUST
esr:esr(config-zone)# exit
esr:esr(config)# security zone TRUST
esr:esr(config-zone)# exit
esr:esr(config)# interface gigabitethernet 1/0/1
esr:esr(config-if-gi)# ip address 10.1.2.1/24
esr:esr(config-if-gi)# security-zone TRUST
esr:esr(config-if-gi)# exit
esr:esr(config)# interface tengigabitethernet 1/0/1
esr:esr(config-if-te)# ip address 172.16.0.99/24
esr:esr(config-if-te)# security-zone UNTRUST
esr:esr(config-if-te)# exit
Для конфигурирования функции SNAT и настройки правил зон безопасности потребуется
создать профиль адресов локальной сети «LOCAL_NET», включающий адреса, которым разрешен
выход в публичную сеть, и профиль адресов публичной сети «PUBLIC_POOL».
esr:esr(config)# object-group network LOCAL_NET
esr:esr(config-object-group-network)# ip address-range 10.1.2.2-10.1.2.254
esr:esr(config-object-group-network)# exit
esr:esr(config)# object-group network PUBLIC_POOL
esr:esr(config-object-group-network)# ip address-range 172.16.0.100-172.16.0.249
esr:esr(config-object-group-network)# exit
Содержание
604- Маршрутизаторы серии esr st руководство по эксплуатации
- Целевая аудитория
- Условные обозначения
- Введение
- Аннотация
- Функции интерфейсов
- Функции
- Описание изделия
- Назначение
- Режим обучения
- Протокол связующего дерева spanning tree protocol
- Маршрутизаторы серии esr st руководство по эксплуатации
- Функции второго уровня сетевой модели osi
- Таблица 2 описание функций второго уровня уровень 2 osi поддержка vlan
- В таблице 2 приведены функции устройства при работе с mac адресами
- В таблице 2 приведены функции и особенности второго уровня уровень 2 osi
- Функции при работе с mac адресами
- Таблица 2 функции работы с mac адресами таблица mac адресов
- Nat network address translation
- Динамическая маршрутизация
- Dynamic host configuration protoco
- Трансляция сетевых адресов
- Таблица arp
- Таблица 2 описание функций третьего уровня layer 3
- Статические ip маршруты
- Сервер dhcp
- Маршрутизаторы серии esr st руководство по эксплуатации 9
- Клиент dhcp
- В таблице 2 приведены функции третьего уровня уровень 3 osi
- Функции третьего уровня сетевой модели osi
- Автоматическое восстановление конфигурации
- Функции управления и конфигурирования
- Функции туннелирования трафика
- Управление контролируемым доступом уровни привилегий
- Туннелирования
- Таблица 2 функции туннелирования трафика
- Таблица 2 основные функции управления и конфигурирования загрузка и выгрузка файла настройки
- Сетевые утилиты ping traceroute
- Сервер ssh
- Протоколы
- Маршрутизаторы серии esr st руководство по эксплуатации
- Интерфейс командной строки cli
- Аутентификация
- Syslog
- В таблице приведены функции сетевой защиты выполняемые устройством
- Функции сетевой защиты
- Фильтрация данных
- Таблица 2 функции сетевой защиты
- Таблица 2 основные технические характеристики
- Основные технические характеристики
- Основные технические параметры маршрутизатора приведены в таблице 2
- Маршрутизаторы серии esr st руководство по эксплуатации 11
- Зоны безопасности
- Маршрутизаторы серии esr st руководство по эксплуатации
- Конструктивное исполнение esr 1000 st
- Конструктивное исполнение
- Изображения передней задней и боковых панелей устройства описаны разъемы светодиодные индикаторы и органы управления
- Высота корпуса 1u
- Внешний вид передней панели показан на рисунке 2
- В таблице 2 приведен перечень разъемов светодиодных индикаторов и органов
- В данном разделе описано конструктивное исполнение устройства представлены
- Устройство выполнено в металлическом корпусе с возможностью установки в 19 конструктив
- Управления расположенных на передней панели устройства
- Таблица 2 описание разъемов индикаторов и органов управления передней панели
- Рисунок 2 передняя панель esr 1000 st
- Передняя панель устройства esr 1000 st
- Маршрутизаторы серии esr st руководство по эксплуатации 13
- Управления расположенных на передней панели устройств esr 100 st esr 200 st
- Таблица 2 1 описание разъемов индикаторов и органов управления передней панели
- Рисунок 2 передняя панель esr 200 st
- Рисунок 2 передняя панель esr 100 st
- Передняя панель устройств esr 100 st esr 200 st
- Маршрутизаторы серии esr st руководство по эксплуатации 15
- Конструктивное исполнение esr 100 st esr 200 st
- Внешний вид передней панели esr 200 st показан на рисунке 2
- Внешний вид передней панели esr 100 st показан на рисунке 2
- В таблице 2 1 приведен перечень разъемов светодиодных индикаторов и органов
- Световая индикация
- Таблица 2 5 состояния системных индикаторов
- Таблица 2 4 световая индикация состояния sfp sfp интерфейсов
- Маршрутизаторы серии esr st руководство по эксплуатации
- Значений
- В следующей таблице приведено описание состояний системных индикаторов устройства и их
- Таблица 2 7 состояния системных индикаторов
- Таблица 2 6 световая индикация состояния медных интерфейсов и sfp интерфейсов
- Состояние медных интерфейсов gigabitethernet и sfp интерфейсов отображается двумя
- Светодиодными индикаторами link act зеленого цвета и speed янтарного цвета расположение индикаторов медных интерфейсов показано на рисунке 2 0 состояние sfp интерфейсов указано на рисунке 2 2 значения световой индикации описаны в таблице 2 6
- Световая индикация esr 100 st esr 200 st
- Рисунок 2 2 расположение индикаторов оптических интерфейсов
- Маршрутизаторы серии esr st руководство по эксплуатации 19
- Значений
- В следующей таблице приведено описание состояний системных индикаторов устройства и их
- Комплект поставки
- Установка и подключение
- Крепление кронштейнов
- Установка устройства в стойку
- Установка модулей питания esr 1000 st
- Подключение питающей сети
- Установка и удаление sfp трансиверов
- Интерфейсы управления
- Интерфейс командной строки cli
- Подключение маршрутизатора
- Инициализация
- Заводская конфигурация маршрутизатора esr
- Заводская конфигурация и подключение
- Уровни привилегий 1 9 разрешают доступ к устройству и просмотр его оперативного состояния но запрещают настройку уровни привилегий 10 14 разрешают как доступ так и настройку большей части функций устройства уровень привилегий 15 разрешает как доступ так и настройку всех функций устройства
- Пользователей administrator admin cscons
- Учетная запись techsupport необходима для удаленного обслуживания сервисным центром
- Для защищенного входа в систему необходимо сменить пароль привилегированного
- Учетная запись remote аутентификация radius tacacs ldap
- Аналогично необходимо сменить пароль для пользователя cscons
- Уровни привилегий пользователей esr cli
- Администрирования устройства
- Administrator esr change user password administrator
- Удалить пользователей admin cscons techsupport remote нельзя можно только сменить пароль и уровень привилегий
- Создание новых пользователей
- Следующая команда
- Пользователя пароля уровня привилегий используются команды
- Маршрутизаторы серии esr st руководство по эксплуатации 27
- Конфигурирование базовых параметро
- Имя пользователя и пароль вводится при входе в систему во время сеансов
- Изменение пароля пользователей
- Для создания нового пользователя системы или настройки любого из параметров имени
- Для изменения пароля пользователя administrator в локальном cli используются
- Для изменения пароля пользователя admin используются следующие команды
- Настройка параметров публичной сети
- Назначение имени устройства
- Следующие команды из корневого раздела командного интерфейса
- Провайдер может использовать динамически назначаемые адреса в своей сети для
- Пример настройки предназначенной для получения динамического ip адреса от dhcp сервера на интерфейсе gigabitethernet 1 0 10
- Применение базовых настроек
- После применения конфигурации
- Получения ip адреса может использоваться протокол dhcp если в сети присутствует сервер dhcp
- Параметры интерфейса управления изменились то после ввода команды commit соединение с устройством может быть потеряно используйте новые сетевые параметры заданные в конфигурации для подключения к устройству и ввода команды confirm
- Маршрутизаторы серии esr st руководство по эксплуатации 29
- Конфигурация устройства вернётся в прежнее состояние существовавшее до ввода команды commit
- Если при конфигурировании использовался удаленный доступ к устройству и сетевые
- Если ввести команду confirm не удастся то по истечении таймера подтверждения
- Для того чтобы убедиться что адрес был назначен интерфейсу введите следующую команду
- Для применения выполненных изменений конфигурации маршрутизатора требуется ввести
- Обновление программного обеспечения
- Обновление программного обеспечения средствами системы
- Обновление программного обеспечения из начального
- Загрузчика
- Пример развертывания криптомаршрутизатора
- Настройка точного времени
- Импортирование необходимых сертификатов и списка отозванных сертификатов
- Осуществляется в esr cli
- Настройки интерфейсов и сетевой защиты
- Настраиваем правила фильтрации между зонами
- Маршрутизаторы серии esr st руководство по эксплуатации 35
- Криптомаршрутизатор
- Загрузить сос crl например
- Доставьте запрос на удостоверяющий центр уц и выпустите сертификат 3 поместите сертификаты сертификат уц ca cer список отозванных сертификатов crl и выпущенный сертификат r1 cer на usb накопитель который затем устанавливается в esr st
- Выпущенный локальный сертификат импортируйте в базу продукта например
- State active c ru ou devel cn r1 2 state active 1 40 13549 support cryptopro ru c ru l moscow o crypto pro llc cn crypto pro test center 2
- Также импортируйте сертификат уц например
- Administrator r1
- Создаем объекты для фильтрации входящего трафика
- Создаем зоны доверенную для лвс trusted и внешнюю для интернета untrusted
- Разрешим любой трафик из лвс в публичную сеть
- Проверьте состояние сертификатов
- Порт 500 и 4500 для ike
- Порт 22 для ssh
- Разрешим только дешифрованный трафик из публичной сети в лвс
- Разрешим любой трафик между портами принадлежащими лвс
- Разрешим ssh трафик подключения к esr st
- Разрешим ike подключения порт 500 из публичной сети к esr st
- Разрешим icmp трафик к esr st
- Разрешим icmp трафик из публичной сети к esr st
- Маршрутизаторы серии esr st руководство по эксплуатации
- O локальный 10 16 o внешний 172 6 30
- Ipv4 адрес
- Разрешим дешифрованный трафик из публичной сети к esr st
- Разрешим ike подключения порт 4500 из публичной сети к esr st
- Применяем и сохраняем конфигурацию
- Настраиваем маршрут по умолчанию
- Маршрутизаторы серии esr st руководство по эксплуатации 37
- Конфигурируем интерфейс для локальной и внешней сети
- Зона в которой интерфейс находится
- Включение интерфейса
- Включаем ssh сервер для удаленного управления
- Настройка фильтра определяющего какой трафик будет шифроваться
- Настройка ipsec политики
- Маршрутизаторы серии esr st руководство по эксплуатации
- Если ipsec политика привязывается к саб интерфейсу или к port channel то нужно дать команду
- Вид аутентификации gost r 34 0
- В sterra cli интерфейс gi 1 0 1 отображается как gi 1 1
- Шифрования аутентификации и тд
- Алгоритм хеширования gost r 34 1 2012
- Шифрование gost 28147 89
- Чтобы этот интерфейс отобразился в консоли
- Указываем привязку фильтра
- Указание криптографического протокола vko gost r 34 0 2012
- Укажем тип идентификации для isakmp
- Создаем политику ike в которой указываем параметры установления соединения алгоритм
- Создаем ipsec политику cmap с привязкой созданного фильтра настроек ipsec и указанием
- Партнера с которым будем устанавливать безопасное зашифрованное соединение
- Осуществляется в sterra cli
- Настройки ipsec укажем алгоритм шифрования gost 28147 89
- Примеры настройки маршрутизатора
- Настройка vlan
- Изменения конфигурации вступят в действие после применения
- Задача 3 настроить порты gi1 0 1 для передачи и приема пакетов в vlan 2 vlan 64 vlan
- В режиме trunk настроить порт gi1 0 2 в режиме access для vlan 2 на esr 100 st esr 200 st
- Создадим vlan 2 vlan 64 vlan 2000 на esr 100 st esr 200 st
- Рисунок 9 схема сети
- Решение
- Пропишем vlan 2 на порт gi1 0 2
- Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1 2
- Пропишем vlan 2 vlan 64 vlan 2000 на порт gi1 0 1
- Маршрутизаторы серии esr st руководство по эксплуатации 41
- Настроим подключение к radius серверу и укажем ключ password
- Маршрутизаторы серии esr st руководство по эксплуатации
- Изменения конфигурации вступят в действие после применения
- Задача настроить аутентификацию пользователей подключающихся по ssh через radius
- Authorization авторизация проверка полномочий проверка уровня доступа сопоставление учётной записи в системе и определённых полномочий
- Authentication аутентификация сопоставление персоны запроса существующей учётной записи в системе безопасности осуществляется по логину паролю
- Accounting учёт слежение за подключением пользователя или внесенным им изменениям
- Aaa authentication authorization accounting используется для описания процесса
- 192 68 6 24
- Укажем режим аутентификации используемый при подключении по telnet протоколу
- Создадим профиль аутентификации
- Решение
- Просмотреть информацию по настройкам подключения к radius серверу можно командой
- Предоставления доступа и контроля над ним
- Посмотреть профили аутентификации можно командой
- Настройка ааа
- Настройка привилегий команд
- Настройка dhcp сервера
- Просмотреть список арендованных адресов можно с помощью команды
- Просмотреть сконфигурированные пулы адресов можно командами
- Маршрутизаторы серии esr st руководство по эксплуатации 45
- Маршрутизаторе должен быть создан ip интерфейс принадлежащий к той же подсети что и адреса пула
- Изменения конфигурации вступят в действие после применения
- Для того чтобы dhcp сервер мог раздавать ip адреса из конфигурируемого пула на
- Для разрешения прохождения сообщений протокола dhcp к серверу необходимо создать
- Соответствующие профили портов включающие порт источника 68 и порт назначения 67 используемые протоколом dhcp и создать разрешающее правило в политике безопасности для прохождения пакетов протокола udp
- Разрешим работу сервера
- Конфигурирование
- Destinatio
- Создадим набор правил dnat в соответствии с которыми будет производиться трансляция
- Произведенные настройки можно посмотреть с помощью команд
- Пару зон пропускать следует только трафик с адресом назначения соответствующим заданному в профиле server_ip и прошедший преобразование dnat
- Назначения в которые будут транслироваться адреса пакетов поступающие на адрес 1 из внешней сети
- Маршрутизаторы серии esr st руководство по эксплуатации 47
- Изменения конфигурации вступят в действие после применения
- Для пропуска трафика идущего из зоны untrust в trust создадим соответствующую
- Войдем в режим конфигурирования функции dnat и создадим пул адресов и портов
- Адресов в атрибутах набора укажем что правила применяются только для пакетов пришедших из зоны untrust набор правил включает в себя требования соответствия данных по адресу и порту назначения match destination address match destination port и по протоколу кроме этого в наборе задано действие применяемое к данным удовлетворяющим всем правилам action destination nat набор правил вводится в действие командой enable
- Использованием функции source nat задать диапазон адресов публичной сети для использования snat 172 6 00 172 6 49
- Задача 1 настроить доступ пользователей локальной сети 10 24 к публичной сети с
- Для конфигурирования функции snat и настройки правил зон безопасности потребуется
- Функция source nat snat используется для подмены адреса источника у пакетов
- Функция snat может быть использована для предоставления доступа в интернет
- Создать профиль адресов локальной сети local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool
- Рисунок 9 схема сети
- Решение
- Проходящих через сетевой шлюз при прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза дополнительно к адресу источника может применяться замена порта источника при прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта
- Определения их принадлежности к зонам безопасности создадим доверенную зону trust для локальной сети и зону untrust для публичной сети
- Маршрутизаторы серии esr st руководство по эксплуатации
- Конфигурирование начнем с создания зон безопасности настройки сетевых интерфейсов и
- Конфигурирование source nat
- Компьютерам находящимся в локальной сети при этом не требуется назначения публичных ip адресов этим компьютерам
- Должна быть настроена маршрутизация адрес 10 должен быть назначен адресом шлюза
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в
- Для пропуска трафика из зоны trust в зону untrust создадим пару зон и добавим
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool
- Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды
- Применяются только для пакетов направляющихся в публичную сеть в зону untrust правила включают проверку адреса источника данных на принадлежность к пулу local_net
- Правила разрешающие проходить трафику в этом направлении дополнительно включена проверка адреса источника данных на принадлежность к диапазону адресов local_net для соблюдения ограничения на выход в публичную сеть действие правил разрешается командой enable
- На самом маршрутизаторе также должен быть создан маршрут для направления на
- Маршрутизаторы серии esr st руководство по эксплуатации 49
- Конфигурируем сервис snat первым шагом создаётся пул адресов публичной сети
- Используемых для сервиса snat
- Изменения конфигурации вступают в действие по команде применения
- Конфигурируем сервис snat
- Конфигурирование начнем с настройки сетевых интерфейсов и отключения межсетевого
- Использованием функции source nat без использования межсетевого экрана firewall диапазон адресов публичной сети для использования snat 198 1 00 00 198 1 00 49
- Задача 2 настроить доступ пользователей локальной сети 10 2 24 к публичной сети с
- Для конфигурирования функции snat потребуется создать профиль адресов локальной сети
- Вторым шагом создаётся набор правил snat в атрибутах набора укажем что правила
- Local_net включающий адреса которым разрешен выход в публичную сеть и профиль адресов публичной сети public_pool
- Экрана
- Рисунок 9 схема сети
- Решение
- Применяются только для пакетов направляющихся в публичную сеть через порт te1 0 1 правила включают проверку адреса источника данных на принадлежность к пулу local_net
- Первым шагом создаётся пул адресов публичной сети используемых для сервиса snat
- Маршрутизаторы серии esr st руководство по эксплуатации
- Публичный пул необходимо запустить сервис arp proxy сервис arp proxy настраивается на интерфейсе которому принадлежит ip адрес из подсети профиля адресов публичной сети public_pool
- Публичную сеть этот маршрут может быть назначен маршрутом по умолчанию с помощью следующей команды
- На самом маршрутизаторе также должен быть создан маршрут для направления на
- Маршрутизаторы серии esr st руководство по эксплуатации 51
- Изменения конфигурации вступают в действие по команде применения
- Должна быть настроена маршрутизация адрес 10 2 должен быть назначен адресом шлюза
- Для того чтобы устройства локальной сети могли получить доступ к публичной сети на них
- Для того чтобы маршрутизатор отвечал на запросы протокола arp для адресов входящих в
- Включающий адреса которым разрешен выход в сеть wan и профиль адресов сети wan
- Firewall комплекс аппаратных или программных средств осуществляющий контроль и
- Фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами
- Рисунок 9 схема сети
- Решение
- Разрешающее проходить icmp трафику от пк1 к пк2 действие правил разрешается командой enable
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности
- Маршрутизаторы серии esr st руководство по эксплуатации
- Маршрутизатором esr st
- Конфигурирование firewall
- Задача разрешить обмен сообщениями по протоколу icmp между устройствами пк1 пк2 и b
- Для пропуска трафика из зоны lan в зону wan создадим пару зон и добавим правило
- Для настройки правил зон безопасности потребуется создать профиль адресов сети lan
- Для каждой сети esr st создадим свою зону безопасности
- На маршрутизаторе всегда существует зона безопасности с именем self если в качестве
- Маршрутизаторы серии esr st руководство по эксплуатации 53
- Изменения конфигурации вступят в действие по следующим командам
- Для пропуска трафика из зоны wan в зону lan создадим пару зон и добавим правило
- Создадим пару зон для трафика идущего из зоны lan в зону self добавим правило
- Разрешающее проходить icmp трафику от пк2 к пк1 действие правил разрешается командой enable
- Разрешающее проходить icmp трафику между пк1 и esr st для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны lan
- Посмотреть членство портов в зонах можно с помощью команды
- Получателя трафика выступает сам маршрутизатор то есть трафик не является транзитным то в качестве параметра указывается зона self создадим пару зон для трафика идущего из зоны wan в зону self добавим правило разрешающее проходить icmp трафику между пк2 и маршрутизатором esr st для того чтобы маршрутизатор начал отвечать на icmp запросы из зоны wan
- Прохождение трафика через интерфейс
- Просмотреть детальную информацию о списке доступа возможно через команду
- Применим список доступа на интерфейс gi1 0 19 для входящего трафика
- Посмотреть пары зон и их конфигурацию можно с помощью команд
- Посмотреть активные сессии можно с помощью команд
- Настройка списков доступа acl
- Настроим список доступа для фильтрации по подсетям
- Маршрутизаторы серии esr st руководство по эксплуатации
- Изменения конфигурации вступят в действие по следующим командам
- Задача разрешить прохождения трафика только из подсети 192 68 0 24
- Access control list или acl список контроля доступа содержит правила определяющие
- Решение
- Явном виде при конфигурации маршрутизатора без использования протоколов динамической маршрутизации
- Статическая маршрутизация вид маршрутизации при котором маршруты указываются в
- Рисунок 9 схема сети
- Решение
- Маршрутизаторы серии esr st руководство по эксплуатации 55
- Конфигурирование статических маршрутов
- Интерфейс r1 будет подключен к устройству r2 для последующей маршрутизации трафика
- Интерфейс r1 будет подключен к сети internet
- Задача настроить доступ к сети internet для пользователей локальной сети 192 68 24 и
- Зададим имя устройства для маршрутизатора r1
- Для интерфейса gi1 0 3 укажем адрес 198 1 00 30 и зону wan через данный
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный
- Для интерфейса gi1 0 1 укажем адрес 192 68 24 и зону lan через данный интерфейс
- R1 будет подключен к сети 192 68 24
- 8 используя статическую маршрутизацию на устройстве r1 создать шлюз для доступа к сети internet трафик внутри локальной сети должен маршрутизироваться внутри зоны lan трафик из сети internet должен относиться к зоне wan
- Устройство r2 192 68 00
- Создадим маршрут по умолчанию указав в качестве nexthop ip адрес интерфейса gi1 0 2
- Создадим маршрут для взаимодействия с сетью internet используя в качестве nexthop шлюз
- Создадим маршрут для взаимодействия с сетью 10 8 используя в качестве шлюза
- Проверить таблицу маршрутов можно командой
- Провайдера 198 1 00
- Маршрутизаторы серии esr st руководство по эксплуатации
- Маршрутизатора r1 192 68 00
- Интерфейс r2 будет подключен к устройству r1 для последующей маршрутизации трафика
- Изменения конфигурации на маршрутизаторе r2 вступят в действие по следующим командам
- Изменения конфигурации на маршрутизаторе r1 вступят в действие по следующим командам
- Зададим имя устройства для маршрутизатора r2
- Для интерфейса gi1 0 2 укажем адрес 192 68 00 30 и зону lan через данный
- Для интерфейса gi1 0 1 укажем адрес 10 8 и зону lan через данный интерфейс r2
- Будет подключен к сети 10 8
- Multilink ppp mlppp предоставляет собой агрегированный канал включающий в себя
- Устройство mxe
- Рисунок 9 схема сети
- Решение
- Переключаем интерфейс gigabitethernet 1 0 10 в режим работы е1
- Настройка mlppp
- Настроим mlppp 3
- Методы для распространения трафика через несколько физических каналов имея одно логическое соединение этот вариант позволяет расширить пропускную способность и обеспечивает балансировку нагрузки
- Маршрутизаторы серии esr st руководство по эксплуатации 57
- Изменения конфигурации вступят в действие по следующим командам
- Задача настроить mlppp соединение с встречной стороной с ip адресом 10 7 24 через
- Включим interface e1 1 0 1 interface e1 1 0 4 в группу агрегации mlppp 3
- Локальной сети и l2tpv3 туннель проходящий по публичной сети для объединения использовать vlan 333
- Использования протоколов более высокого уровня таких как ip пакеты передаются на основе ethernet адресов а не ip адресов поскольку передача выполняется на канальном уровне уровень 2 модели osi трафик протоколов более высокого уровня прозрачно проходит через мост
- Задача 1 объединить в единый l2 домен интерфейсы маршрутизатора относящиеся к
- Добавим интерфейсы gi1 0 11 gi1 0 12 в vlan 333
- Bridge мост это способ соединения двух сегментов ethernet на канальном уровне без
- Установим принадлежность l2tpv3 туннеля к мосту который связан с локальной сетью
- Создадим зону безопасности trusted
- Создадим vlan 333
- Создадим bridge 333 привяжем к нему vlan 333 и укажем членство в зоне trusted
- Рисунок 9 0 схема сети
- Решение
- Настройка l2tpv3 туннеля рассматривается в разделе 9 7 в общем случае идентификаторы моста и туннеля не должны совпадать с vid как в данном примере
- Настройка bridge
- Маршрутизаторы серии esr st руководство по эксплуатации
- Рисунок 9 1 схема сети
- Решение
- Назначим интерфейсу gi1 0 14 vlan 60
- Назначим интерфейсам gi1 0 11 gi1 0 12 vlan 50
- Маршрутизаторы серии esr st руководство по эксплуатации 59
- Задача 2 настроить маршрутизацию между vlan 50 10 0 24 и vlan 60 10 0 24
- Vlan 50 должен относиться к зоне lan1 vlan 60 к зоне lan2 разрешить свободную передачу трафика между зонами
- Создадим зоны безопасности lan1 и lan2
- Создадим vlan 50 60
- Создадим bridge 60 привяжем vlan 60 укажем ip адрес 10 0 24 и членство в зоне
- Создадим bridge 50 привяжем vlan 50 укажем ip адрес 10 0 24 и членство в зоне
- Создадим правила в firewall разрешающие свободное прохождение трафика между зонами
- Посмотреть членство интерфейсов в мосте можно командой
- Маршрутизаторы серии esr st руководство по эксплуатации
- Изменения конфигурации вступят в действие по следующим командам
- Настройка rip
- Настройка ospf
- Конфигурирования области выполним команду
- Изменим тип области на тупиковый на каждом маршрутизаторе из области 1 в режиме
- Изменения конфигурации вступят в действие после применения
- Задача 2 изменить тип области 1 область должна быть тупиковой тупиковый
- Включим анонсирование маршрутной информации из протокола rip
- Включим ospf процесс
- Соседства с другими маршрутизаторами привяжем их к ospf процессу и области далее включим на интерфейсе маршрутизацию по протоколу ospf
- Соседние маршрутизаторы подключены к интерфейсам gi1 0 5 и gi1 0 15 для установления
- Рисунок 9 4 схема сети
- Решение
- Приведенной на рисунке рисунок 9 4
- Предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме
- Маршрутизаторы серии esr st руководство по эксплуатации 63
- Маршрутизатор должен анонсировать маршруты полученные по протоколу rip
- На тупиковом маршрутизаторе r3 включим анонсирование маршрутной информации из
- На маршрутизаторе r3 перейдем в режим конфигурирования области 1
- На маршрутизаторе r1 перейдем в режим конфигурирования области 1
- Маршрутизаторы серии esr st руководство по эксплуатации
- Изменения конфигурации вступят в действие после применения
- Изменения конфигурации вступают в действие по команде применения
- Задача 3 объединить две магистральные области в одну с помощью virtual link
- Virtual link это специальное соединение которое позволяет соединять разорванную на
- Части зону или присоединить зону к магистральной через другую зону настраивается между двумя пограничными маршрутизаторами зоны area border router abr
- Создадим virtual link с идентификатором 0 и включим его
- Рисунок 9 5 схема сети
- Решение
- Рассмотрим таблицу маршрутизации на маршрутизаторе r1
- Протокола rip
- Приведенной на рисунке 9 5
- Предварительно нужно настроить протокол ospf и ip адреса на интерфейсах согласно схеме
- Настройка bgp
- Решение
- Процесса
- Объявим подсети подключённые напрямую
- Маршрутизаторы серии esr st руководство по эксплуатации
- Изменения конфигурации вступят в действие после применения
- Входим в режим конфигурирования маршрутной информации для ipv4
- Включим работу протокола
- Создадим соседства с 10 85 10 19 с указанием автономных систем
- Создадим bgp процесс для as 2500 и войдем в режим конфигурирования параметров
- Сконфигурируем необходимые сетевые параметры
- Настройка политики маршрутизации pbr
- Настройка route map для bgp
- Создаем правило
- Создаем политику
- Привязываем политику к принимаемой маршрутной информации
- Привязываем политику к анонсируемой маршрутной информации
- Предварительно настроить bgp c as 2500 на esr решение
- Маршрутизаторы серии esr st руководство по эксплуатации
- Изменения конфигурации вступят в действие после применения
- Задача 2 для всей передаваемой маршрутной информации с community 2500 25 назначить
- Если community содержит 2500 25 то назначаем ему med 240 и origin egp
- В bgp процессе as 2500 заходим в настройки параметров соседа
- Med равный 240 и указать источник маршрутной информации egp
- Требуется направлять трафик с адресов 10 0 24 через isp1 192 50 а трафик с требуется направлять трафик с адресов 10 0 24 через isp1 192 50 а трафик с
- Создаем правило 1
- Создаем политику
- Создаем acl
- Рисунок 9 8 схема сети
- Решение решение
- Предварительно нужно выполнить следующие действия
- Пользователей
- Назначить ip адреса на интерфейсы
- Маршрутизаторы серии esr st руководство по эксплуатации 69
- Задача 1 распределить трафик между интернет провайдерами на основе подсетей
- Адресов 10 0 24 через isp2 198 1 00 3 требуется контролировать доступность адресов провайдеров работоспособность подключений к isp и при неработоспособности одного из подключений переводить с него на рабочее подключение весь трафик
- Route map на основе списков доступа policy based routing
- Заходим на интерфейс te 1 0 1
- 50 а при его недоступности на адрес 198 1 00 3 приоритетность шлюзов задается значениями метрик 10 и 30
- 1 00 3 а при его недоступности на адрес 192 50 приоритетность задается значениями метрик
- Указываем список доступа acl в качестве фильтра
- Указываем nexthop для sub30 и выходим
- Указываем nexthop для sub20
- Создаем правило 2
- Привязываем политику на соответствующий интерфейс
- Правилом 2 будет обеспечена маршрутизация трафика с сети 10 0 24 на адрес
- Правилом 1 будет обеспечена маршрутизация трафика с сети 10 0 24 на адрес
- Маршрутизаторы серии esr st руководство по эксплуатации
- Настройка gre туннелей
- На маршрутизаторе должен быть создан маршрут до локальной сети партнера в качестве
- Маршрутизаторы серии esr st руководство по эксплуатации
- Конфигурацию туннеля можно посмотреть командой
- Интерфейса назначения указываем ранее созданный туннель gre
- Для применения изменений конфигурации выполним следующие команды
- Включить проверку наличия и корректности контрольной суммы gre для входящего трафика
- Включить вычисление и включение в пакет контрольной суммы заголовка gre и инкапсулированного пакета для исходящего трафика
- Указать уникальный идентификатор
- Указать значение dscp mtu ttl
- Счетчики входящих и отправленных пакетов можно посмотреть командой
- Состояние туннеля можно посмотреть командой
- При создании туннеля необходимо в firewall разрешить протокол gre 47
- После применения настроек трафик будет инкапсулироваться в туннель и отправляться
- Партеру независимо от наличия gre туннеля и правильности настроек с его стороны
- Опционально для gre туннеля можно указать следующие параметры
- Настройка туннеля ipv4 over ipv4 производится аналогичным образом
- Настройка l2tpv3 туннелей
- Настройка dual homing
- Для того чтобы восьмая очередь стала приоритетной а с первой по седьмую взвешенной
- Включим qos на интерфейсе со стороны wan
- Включим qos на входящем интерфейсе со стороны lan
- Базовый qos
- Qos quality of service технология предоставления различным классам трафика различных
- Установим ограничение по скорости в 60 мбит с для седьмой очереди
- Трафик с dscp 22 в восьмую приоритетную очередь трафик с dscp 14 в седьмую взвешенную очередь установить ограничение по скорости в 60 мбит с для седьмой очереди
- Рисунок 9 2 схема сети
- Решение
- Просмотреть информацию о резервных интерфейсах можно командой
- Приоритетов в обслуживании использование службы qos позволяет сетевым приложениям сосуществовать в одной сети не уменьшая при этом пропускную способность других приложений
- Перенаправим трафик с dscp 22 в восьмую приоритетную очередь
- Перенаправим трафик с dscp 14 в седьмую взвешенную очередь
- Ограничим количество приоритетных очередей до 1
- Настройка qos
- Маршрутизаторы серии esr st руководство по эксплуатации
- Задача настроить следующие ограничения на интерфейсе gigabitethernet 1 0 8 передавать
- Маркировку
- Конфигурации
- Изменения конфигурации вступят в действие после применения
- Задача классифицировать приходящий трафик по подсетям 10 1 24 10 2 24
- Создаем классы fl1 и fl2 указываем соответствующие списки доступа настраиваем
- Рисунок 9 3 схема сети
- Решение
- Расширенный qos
- Просмотреть статистику по qos можно командой
- Произвести маркировку по dscp 38 и 42 и произвести разграничение по подсетям 40 мбит с и 60 мбит с ограничить общую полосу до 250 мбит с остальной трафик обрабатывать через механизм sfq
- Настроим списки доступа для фильтрации по подсетям выходим в глобальный режим
- Маршрутизаторы серии esr st руководство по эксплуатации 77
- Осуществляем привязку класса к политике настраиваем ограничение полосы пропускания и
- На выходе gi1 0 20 для применения ограничений и режима sfq для класса по умолчанию
- Маршрутизаторы серии esr st руководство по эксплуатации
- Изменения конфигурации вступят в действие после применения
- Для просмотра статистики используется команда
- Для другого трафика настраиваем класс с режимом sfq
- Выходим
- Включаем qos на интерфейсах политику на входе интерфейса gi 1 0 19 для классификации и
- Создаём политику и определяем ограничение общей полосы пропускания
- Настройка зеркалирования
- Настройка netflow
- Устройств предназначенный для учета и анализа трафика
- Укажем ip адрес коллектора
- Рисунок 9 6 схема сети
- Решение
- Настройка sflow
- Настройка netflow для учета трафика между зонами аналогична настройке sflow описание приведено в разделе 9 2 настройка sflow
- Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности
- Направления trusted untrusted
- Маршрутизаторы серии esr st руководство по эксплуатации 81
- Задача организовать учет трафика между зонами trusted и untrusted
- Для сетей esr st создадим две зоны безопасности
- Включим экспорт статистики по протоколу sflow для любого трафика в правиле rule1 для
- Sflow стандарт для мониторинга компьютерных сетей беспроводных сетей и сетевых
- Физических каналов в один логический такое объединение позволяет увеличивать пропускную способность и надежность канала
- Рисунок 9 7 схема сети
- Решение
- Предварительно нужно выполнить следующие настройки
- Настройка sflow для учета трафика с интерфейса осуществляется аналогично 9 1 настройка netflow
- Настройка lacp
- На интерфейсах gi1 0 1 gi1 0 2 отключить зону безопасности командой no security
- Маршрутизаторы серии esr st руководство по эксплуатации
- Коммутатором
- Изменения конфигурации вступят в действие после применения
- Задача настроить агрегированный канал между маршрутизатором esr st и
- Активируем sflow на маршрутизаторе
- Lacp протокол для агрегирования каналов позволяет объединить несколько
- Настройка vrrp
- Изменения конфигурации вступят в действие после применения
- Включим vrrp
- Укажем уникальный идентификатор vrrp
- Укажем идентификатор vrrp группы
- Укажем ip адрес виртуального шлюза 192 68 0
- Укажем ip адрес виртуального шлюза 192 68
- Произвести аналогичные настройки на r2
- Помимо создания туннеля необходимо в firewall разрешить протокол vrrp 112
- Настроим маршрутизатор r1
- Настроим vrrp для подсети 192 68 24 в созданном саб интерфейсе
- Настроим vrrp для подсети 192 68 0 24 в созданном саб интерфейсе
- Маршрутизаторы серии esr st руководство по эксплуатации 85
- Настройка multiwan
- Для переключения в режим резервирования настроим следующее
- В режиме конфигурирования интерфейса te1 0 2 указываем nexthop
- В режиме конфигурирования интерфейса te1 0 2 включаем wan режим и выходим
- В режиме конфигурирования интерфейса te1 0 1 указываем список целей для проверки
- В режиме конфигурирования интерфейса te1 0 1 включаем wan режим и выходим
- Функция multiwan также может работать в режиме резервирования в котором трафик будет
- Соединения
- Настроим интерфейсы в режиме конфигурирования интерфейса te1 0 1 указываем nexthop
- Направляться в активный интерфейс c наибольшим весом включить данный режим можно следующей командой
- Маршрутизаторы серии esr st руководство по эксплуатации 87
- Изменения конфигурации вступят в действие после применения
- Заходим в режим настройки правила wan
- Зададим адрес для проверки включим проверку указанного адреса и выйдем
- Настройка snmp
- Определяем сервер приемник trap pdu сообщений
- Маршрутизаторы серии esr st руководство по эксплуатации 89
- Изменения конфигурации вступят в действие после применения
- Активируем snmpv3 пользователя
- Esr esr config snmp server host 192 68 2 1
- Часто задаваемые вопросы
Похожие устройства
-
Eltex RG-5440G-WZРуководство по работе с устройством -
Eltex RG-5440G-WACРуководство по настройке
-
Eltex RG-35-WACРуководство по эксплуатации -
Eltex ME5100SСправочник команд CLI -
Eltex ME5100SТехническое описание -
Eltex ME5100SРуководство по настройке -
Eltex ME5100SРуководство по установке и быстрому запуску -
Eltex ME5000MСправочник команд CLI
-
Eltex ME5000MТехническое описание -
Eltex ME5000MРуководство по настройке
-
Eltex ME5000MРуководство по установке и быстрому запуску
-
Eltex ME2001Техническое описание
Узнайте, как настроить функцию Source NAT для обеспечения доступа локальных устройств в публичную сеть без назначения публичных IP-адресов. Пошаговое руководство.