0
Корзина пуста
Кеймбридж
+7 (383) 227 89 40
+7 (499) 647 50 48
+7 (846) 300 27 79
+7 (831) 261 32 52
+7 (351) 220 53 95
+7 (343) 339 40 53
+7 (863) 303 42 21
+7 (365) 2 888 136
Заказать звонок
Главная Каталог Сервисные маршрутизаторы ESR-1200 Маршрутизатор L4, 8 портов SFP+, 12 портов 1G

ESR-1200 Маршрутизатор L4, 8 портов SFP+, 12 портов 1G

Сервисный маршрутизатор ESR-1200: 4х combo 10/100/1000BASE-T/1000BaseX, 8х 10GBASE-R SFP+, 12x 10/100/1000BASE-T, 2xUSB 2.0, 1 слот для SD-карт, 4Gb RAM, 1Gb Flash, 2 слота для модулей питания

Цена GPL ?

 520 729
В наличии Москва: 1 шт.
Новосибирск: 5 шт.
520729 Оформить заявку
Получить счет Выставить счет i
Посмотреть аналогичные устройства >
Количество портов24
Производительность, Гбит/с9,8
Установка в стойку1U
BRASДа
  • масштабируемое решение для различных областей применения
  • развитый интерфейс командной строки для управления
  • гибкое конфигурирование сервисов
  • возможность сопряжения с оборудованием ведущих производителей
  • аппаратное ускорение обработки данных
  • пропускная способность до 10 Гбит/c

Семейство маршрутизаторов ESR– это устройства, представляющие собой универсальную аппаратную платформу и способные предоставить широкий набор сетевых функций. В линейке представлены модели, ориентированные на применение в сетях различных масштабов – от сетей малых предприятий, до сетей операторов связи и дата-центров.

Типовые задачи, решаемые с помощью сервисных маршрутизаторов:

  • предоставление сервисов NAT, Firewall
  • организация защищенных сетевых туннелей для объединения офисов компаний (IPsec VPN, L2TPv3, IP-IP, GRE)
  • организация удаленного доступа к локальным ресурсам в сетях предприятий (L2TP, PPTP)
  • средства для постепенного перехода от адресации IPv4 к IPv6 (6to4, 4to6)
  • фильтрация сетевых данных по различнымкритериям
  • обнаружение и предотвращение попыток сетевых вторжений, защита от утечек данных
  • анализ сетевого трафика и сетевой активности в привязке к приложениям и пользователям
  • резервирование подключений к сетям Internet-провайдеров
  • ряд других задач, перечень которых постоянно расширяется по мере развития сетей передачи данных и появления новых сетевых сервисов

Перечисленные функции сочетаются с традиционными сервисами. Устройства поддерживают функции L2 коммутатора и L3 маршрутизатора.

Производительность

Ключевыми элементами ESR-1000 являются средства аппаратного ускорения обработки данных, позволяющие достичь высоких уровней производительности. Программная и аппаратная обработка распределена между узлами устройства.
Пакетный процессор Broadcom XLP316L

Интерфейсы
  • 12хEthernet 10/100/1000BASE-T
  • 8x10GBASE-R SFP+/1000BASE-X
  • 1xConsole (RJ-45)
  • 2хUSB 2.0
Подключаемые интерфейсы
  • USB 3G/4G/LTE модем
  • E1 TopGate SFP
Производительность
  • Производительность Firewall/NAT/маршрутизации (фреймы 1518B) - 9,8 Гбит/с; 808 k пакетов/с
  • Производительность IPsec VPN (фреймы 1456B) - 3,8 Гбит/с; 328 k пакетов/с
  • Производительность IPS/IDS 10k правил - 493,94 Мбит/с; 92,66 k пакетов/с
Системные характеристики
  • Количество VPN-туннелей - 500
  • Статические маршруты - 11k
  • Количество конкурентных сессий - 512k
  • Поддержка VLAN - до 4k активных VLAN в соответствии с 802.1Q
  • Количество маршрутов BGP - 2,8M
  • Количество маршрутов OSPF - 500k
  • Количество маршрутов RIP - 10k
  • Таблица MAC-адресов - 128k
  • Размер базы FIB - 1,7M
  • VRF Lite - 32
Клиенты Remote Access VPN
  • PPTP  
  • PPPoE
  • L2TP
  • OpenVPN
  • IPsec XAUTH
Сервер Remote Access VPN
  • L2TP
  • PPTP
  • OpenVPN
  • IPsec XAUTH 
Site-to-site VPN
  • IPSec: Policy-based и route-based режимы
  • DMVPN
  • Алгоритмы шифрования DES, 3DES, AES, Blowfish, Camelia
  • Аутентификация сообщений IKE MD5, SHA-1, SHA-2
Туннелирование
  • IPoGRE, EoGRE
  • IPIP
  • L2TPv3
  • LT (inter VRF-lite routing)
Функции L2
  • Коммутация пакетов (bridging)
  • Агрегация интерфейсов LAG/LACP (802.3ad)
  • Поддержка VLAN (802.1Q) 
  • Логические интерфейсы
  • LLDP, LLDP MED
  • VLAN на основе MAC
Функции L3 (IPv4/IPv6)
  • Трансляция адресов NAT, Static NAT, ALG
  • Статические маршруты
  • Динамические протоколы маршрутизации RIPv2, OSPFv2/v3, BGP
  • Фильтрация маршрутов (prefix list)
  • VRF Lite
  • Policy Based Routing (PBR)
  • BFD для BGP, OSPF, статических маршрутов
BRAS (IPoE)1
  • Терминация пользователей
  • Белые/черные списки URL
  • Квотирование по объёму трафика, по времени сессии, по сетевым приложениям
  • HTTP/HTTPS Proxy
  • HTTP/HTTPS Redirect
  • Аккаунтинг сессий по протоколу Netflow
  • Взаимодействие с серверами ААА, PCRF
  • Управление полосой пропускания по офисам и SSID, сессиям пользователей
  • Аутентификация пользователей по MAC- или IP-адресам
Функции сетевой защиты 
  • Система обнаружения и предотвращения вторжений (IPS/IDS)1  
  • Web-фильтрация по URL, по содержимому (cookies, ActiveX, Javascript) 
  • Zone-based Firewall
  • Фильтрация фаерволом на базе L2/L3/L4 полей и по приложениям
  • Поддержка списков контроля доступа на базе L2/L3/L4 полей
  • Защита от DoS/DDoS атак и оповещение об атаках
  • Логирование событий атак, событий срабатывания правил
Управление IP-адресацией (IPv4/IPv6)
  • Статические IP-адреса
  • DHCP-клиент
  • DHCP Relay Option 82
  • Встроенный сервер DHCP, поддержка опций 43, 60, 61, 150
  • DNS resolver
  • IP unnumbered
Качество обслуживания (QoS)
  • До 8-ми приоритетных очередей на порт
  • L2 и L3 приоритизация трафика (802.1p, DSCP, IP Precedence)
  • Предотвращение перегрузки очередей RED, GRED
  • Назначение приоритетов по портам, по VLAN
  • Средства перемаркирования приоритетов
  • Применение политик (policy-map)
  • Управление полосой пропускания (shaping)
  • Иерархический QоS
  • Маркировка сессий
Средства обеспечения надежности сети
  • Dual homing
  • VRRP v2,v3
  • Управление маршрутами на основе состояния VRRP (tracking)
  • Балансировка нагрузки на WAN-интерфейсах, перенаправление потоков данных, переключение при оценке качества канала
  • Резервирование сессий firewall
Мониторинг и управление
  • Поддержка стандартных и расширенных SNMP MIB, RMONv1
  • Встроенный Zabbix agent
  • Аутентификация по локальной базе пользователей, RADIUS, TACACS+, LDAP
  • Защита от ошибок конфигурирования, автоматическое восстановление конфигурации. Возможность сброса конфигурации к заводским настройкам
  • Интерфейсы управления CLI
  • Поддержка Syslog
  • Монитор использования системных ресурсов
  • Ping, traceroute (IPv4/IPv6), вывод информации о пакетах в консоли
  • Обновление ПО, загрузка и выгрузка конфигурации по TFTP, SCP, FTP, SFTP, HTTP(S)
  • Поддержка NTP
  • Netflow v5/v9/v10 (экспорт статистики URL для HTTP, host для HTTPS)
  • Локальное управление через консольный порт RS-232 (RJ-45)
  • Удаленное управление, протоколы Telnet, SSH (IPv4/IPv6)
  • Вывод информации по сервисам/процессам
  • Локальное/удаленное сохранение конфигураций
    маршрутизатора
Функции контроля SLA
  • Eltex SLA 
  • Оценка параметров каналов связи:
    • One-waydelay/two-waydelay
    • One-wayjitter/two-wayjitter
    • One-waypacket-loss/two-waypacket-loss
    • Коэффициент ошибок в пакета
    • Нарушение последовательности доставки пакетов
  • Wellink SLA (wiSLA)1
Физические характеристики и условия окружающей среды
  • Максимальная потребляемая мощность: 85 Вт
  • Питание: 220V AC +-20%, 50 Гц, -36..-72V DC, до двух источников питания с
    возможностью горячей замены 
  • Интервал рабочих температур: от -10 до +45°С
  • Интервал температуры хранения от -40 до +70°С
  • Относительная влажность при эксплуатации: не более 80%
  • Относительная влажность при хранении: от 10% до 95%
  • Габаритные размеры (ШхВхГ): 430х352х44 мм
  • Вес: 5,5 кг
_________________________________________
Набор функций соответствует версии ПО 1.8.1
1 Активизируется лицензией  

ESR-1200

Сервисный маршрутизатор ESR-1200, 4х combo 10/100/1000BASE-T/1000BaseX, 8х 10GBASE-R SFP+, 12x 10/100/1000BASE-T, 2xUSB 2.0, 1 слот для SD-карт, 4Gb RAM, 1Gb Flash, 2 слота для модулей питания

PM160-220/12

Модуль питания PM160-220/12, напряжение 220V AC, 160W

PM100-48/12

Модуль питания PM100-48/12, напряжение 48V DC, 100W
[ESR] Настройка BRAS без поддержки SoftWLC

Шаг 1.  Настройка FreeRADIUS - сервера.

Для FreeRADIUS сервера нужно задать подсеть, из которой могут приходить запросы и добавить список пользователей. Для этого в файл users в директории с файлами конфигурации FreeRADIUS сервера нужно добавить:

 

Профиль пользователя:

 

<MACADDR> Cleartext-Password := <MACADDR>

# Имя пользователя

User-Name = <USER_NAME>,

# Максимальное время жизни сессии

Session-Timeout = <SECONDS>,

# Максимальное время жизни сесиии при бездействии пользователя

Idle-Timeout = <SECONDS>,

# Время на обновление статистики по сессии

Acct-Interim-Interval = <SECONDS>,

# Имя сервиса для сессии (A - сервис включен, N - сервис выключен)

Cisco-Account-Info = "{A|N}<SERVICE_NAME>"

 

Профиль сервиса:

 

<SERVICE_NAME> Cleartext-Password := <MACADDR>

# Соответствует имени class-map в настройках ESR

Cisco-AVPair = "subscriber:traffic-class=<CLASS_MAP>",

# Действие, которое применяет ESR к трафику (permit, deny, redirect)

Cisco-AVPair = "subscriber:filter-default-action=<ACTION>",

# Возможность прохождения IP потоков (enabled-uplink, enabled-downlink, enabled, disabled)

Cisco-AVPair = "subscriber:flow-status=<STATUS>"

В файл clients.conf нужно добавить подсеть, в которой находится ESR:

client ESR {

ipaddr = <SUBNET>

secret = <RADIUS_KEY>

}

 

Шаг 2.  Настройка ESR - нужно сконфигурировать:

 

radius-server host <IP_ADDRESS>

key ascii-text <RADIUS_KEY>

exit

aaa radius-profile bras_radius

radius-server host <IP_ADDRESS>

exit

das-server das

key ascii-text <RADIUS_KEY>

exit

aaa das-profile bras_das

das-server das

exit

ip access-list extended user_acl

rule 1

action permit

match protocol any

match source-address any

match destination-address any

enable

exit

exit

subscriber-control

aaa das-profile bras_das

aaa sessions-radius-profile bras_radius

nas-ip-address <IP_ADDRESS>

session mac-authentication

default-service default-action redirect <URL>

exit

enable

exit

 

На интерфейсах, для которых требуется работа BRAS настроить (для успешного запуска требуется как минимум один интерфейс):

 

service-subscriber-control {object-group <NAME> | any}

location <L2LOCATION>

 

!!! Настройка действие фильтрации по URL обязательно, а именно, необходимо настроить фильтрацию http-proxy на BRAS для неавторизованных пользователей:
1. Создаем локальный список URL (можно указать свои URL, на которые неавторизованные пользователи смогут проходить без авторизации и без редиректа, например локальные сервисы вашей сети и ваш сайт):
object-group url defaultserv
  url http://eltex.nsk.ru
  url http://ya.ru
  url https://ya.ru
exit
2. Добавим действие фильтрации для локального списка URL в BRAS:

subscriber-control
  default-service
    filter-name local defaultserv
    filter-action permit
end
Теперь неавторизированные пользователи будут иметь доступ к URL defaultserv без редирект, а при попытке пройти на другие сайты для них отработает редирект:
default-service
    default-action redirect http://192.168.16.54:8080/eltex_portal/

 

 

 

Пример настройки:

 

Дано:

Шаг 1. Настройка FreeRADIUS - сервера:

 
подсеть с клиентами 10.10.0.0/16, подсеть для работы с FreeRADIUS сервером 192.168.16.140/23. Настраиваем FreeRADIUS сервер. В файл «clients.conf» добавляем строки:
client BRAS {
ipaddr = 192.168.16.140
secret = password
}

 

В файл «users» добавляем строки (вместо <MAC> нужно указать MAC адрес клиента):

"00-00-00-33-96-3D" Cleartext-Password := "00-00-00-33-96-3D"
User-Name = "Bras_user",
Session-Timeout = 259200,
Idle-Timeout = 259200,
Cisco-AVPair += "subscriber:policer-rate-in=1000",
Cisco-AVPair += "subscriber:policer-rate-out=1000",
Cisco-AVPair += "subscriber:policer-burst-in=188",
Cisco-AVPair += "subscriber:policer-burst-out=188",
Cisco-Account-Info = "AINTERNET"

INTERNET Cleartext-Password := "INTERNET"
User-Name = "INTERNET",
Cisco-AVPair = "subscriber:traffic-class=INTERNET",
Cisco-AVPair += "subscriber:filter-default-action=permit"

Для traffic-class в настройках сервиса нужно указать access-list из настроек ESR. Он нужен для определения какой трафик пользователя считать за трафик этого сервиса.

 

Шаг 2. Конфигурация ESR:

 

configure

object-group url defaultserv
url http://eltex.nsk.ru
url http://ya.ru
url https://ya.ru
exit


radius-server host 192.168.16.54
key ascii-text encrypted 8CB5107EA7005AFF
source-address 192.168.16.140
exit
 aaa radius-profile bras_radius
radius-server host 192.168.16.54
 exit
 aaa radius-profile bras_radius_servers
 radius-server host 192.168.16.54
 exit
das-server das
key ascii-text encrypted 8CB5107EA7005AFF
 exit
 aaa das-profile bras_das
 das-server das
exit


 vlan 10
 exit


 ip access-list extended BYPASS
rule 1
 action permit
match protocol udp
 match source-address any
match destination-address any
 match source-port 68
 match destination-port 67
enable
 exit
 rule 2
 action permit
 match protocol udp
 match source-address any
 match destination-address any
 match source-port any
 match destination-port 53
enable
exit
 rule 3
 exit
 exit


ip access-list extended INTERNET
rule 1
 action permit
match protocol any
match source-address any
match destination-address any
enable
 exit
 exit

ip access-list extended WELCOME
rule 10
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port 443
enable
exit
rule 20
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port 8443
enable
exit
rule 30
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port 80
enable
exit
rule 40
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port 8080
enable
exit
exit


 subscriber-control
aaa das-profile bras_das
aaa sessions-radius-profile bras_radius
aaa services-radius-profile bras_radius_servers
nas-ip-address 192.168.16.140
session mac-authentication
bypass-traffic-acl BYPASS
default-service
class-map BYPASS
filter-name local defaultserv
filter-action permit
default-action redirect http://192.168.16.54/eltex_portal
session-timeout 121
exit
enable
exit


 bridge 10
vlan 10
ip firewall disable
 ip address 10.10.0.1/16
 ip helper-address 192.168.16.54
service-subscriber-control any
location USER
 protected-ports
 protected-ports exclude vlan
enable
 exit
 interface gigabitethernet 1/0/2
ip firewall disable
ip address 192.168.16.140/23
 exit
 interface gigabitethernet 1/0/3.10
 bridge-group 10
ip firewall disable
 exit
 interface gigabitethernet 1/0/4
ip firewall disable
 ip address 30.30.30.2/24
 exit
 interface tengigabitethernet 1/0/1
ip firewall disable
 exit
 interface tengigabitethernet 1/0/1.10
 bridge-group 10
exit
 interface tengigabitethernet 1/0/1.20
 ip firewall disable
ip address 20.20.20.1/24
 exit
interface tengigabitethernet 1/0/1.30
bridge-group 10
 exit
 interface tengigabitethernet 1/0/1.40
 bridge-group 10
exit

nat source
ruleset factory
to interface gigabitethernet 1/0/2
rule 10
description "replace 'source ip' by outgoing interface ip address"
match protocol any
match source-address any
match destination-address any
action source-nat interface
enable
exit
exit


 ip route 0.0.0.0/0 192.168.16.145

 ip telnet server

[ESR] Очистка конфигурации ESR или сброс на заводскую конфигурацию для версий до 1.1.0 включительно

Очистка конфигурации происходит путем копирования конфигурации по умолчанию в candidate-config и применения внесенных изменений:

esr# copy fs://default-config fs://candidate-config

Процесс сброса на заводскую конфигурацию аналогичен.

esr# copy fs://factory-config fs://candidate-config

Изменения конфигурации вступают в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

[ESR] Настройка SNMP

SNMP (англ. Simple Network Management Protocol — простой протокол сетевого управления) — протокол, предназначенный для управления устройствами в IP-сетях на основе архитектур TCP/UDP. SNMP предоставляет данные для управления в виде переменных, описывающих конфигурацию управляемой системы.

Задача: Настроить SNMPv3 сервер с аутентификацией и шифрованием данных для пользователя admin. IP-адрес маршрутизатора esr - 192.168.52.41, ip-адрес сервера - 192.168.52.8.

Рисунок 1 - Схема сети.
Рисунок 1 – Схема сети

Решение:

Предварительно нужно выполнить следующие действия:

  • указать зону для интерфейса gi1/0/1;
  • настроить IP-адрес для интерфейсов gi1/0/1.

Основной этап конфигурирования:

Включаем SNMP-сервер:

esr(config)# snmp-server

Создаем пользователя SNMPv3:

esr(config)# snmp-server user admin

Определим режим безопасности:

esr(snmp-user)# authentication access priv

Определим алгоритм аутентификации для SNMPv3-запросов:

esr(snmp-user)# authentication algorithm md5

Устанавим пароль для аутентификации SNMPv3-запросов:

esr(snmp-user)# authentication key ascii-text 123456789

Определим алгоритм шифрования передаваемых данных:

esr(snmp-user)# privacy algorithm aes128

Устанавим пароль для шифрования передаваемых данных:

esr(snmp-user)# privacy key ascii-text 123456789

Активируем SNMPv3-пользователя :

esr(snmp-user)# enable

Определяем сервер-приемник Trap-PDU сообщений:

esr(config)# snmp-server host 192.168.52.41

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

[ESR] Настройка MultiWAN

ми.

Задача: Настроить маршрут к серверу (108.16.0.1/28) с возможностью балансировки нагрузки.

Рисунок 1 - Схема сети.
Рисунок 1 – Схема сети

Решение:

Предварительно нужно выполнить следующие действия:

  • настроить зоны для интерфейсов te1/0/1 и te1/0/2;
  • указать IP-адреса для интерфейсов te1/0/1 и te1/0/2.

Основной этап конфигурирования:

Настроим маршрутизацию:

еsr(config)# ip route 108.16.0.0/28 wan load-balance rule 1

Создадим правило WAN:

еsr(config)# wan load-balance rule 1

Укажем участвующие интерфейсы:

еsr(config-wan-rule)# outbound interface tengigabitethernet 1/0/2
еsr(config-wan-rule)# outbound interface tengigabitethernet 1/0/1

Включим созданное правило балансировки и выйдем из режима конфигурирования правила:

еsr(config-wan-rule)# enable
еsr(config-wan-rule)# exit

Создадим список для проверки целостности соединения:

еsr(config)# wan load-balance target-list google

Создадим цель проверки целостности:

esr(config-target-list)# target 1

Зададим адрес для проверки, включим проверку указанного адреса и выйдем:

еsr(config-wan-target)# ip address 8.8.8.8
еsr(config-wan-target)# enable
еsr(config-wan-target)# exit

Настроим интерфейсы. В режиме конфигурирования интерфейса te1/0/1 указываем nexthop:

еsr(config)# interface tengigabitethernet 1/0/1
еsr(config-if)# wan load-balance nexthop 203.0.0.1

В режиме конфигурирования интерфейса te1/0/1 указываем список целей для проверки соединения:

еsr(config-if)# wan load-balance target-list google

В режиме конфигурирования интерфейса te1/0/1 включаем WAN-режим и выходим:

еsr(config-if)# wan load-balance enable
еsr(config-if)# exit

В режиме конфигурирования интерфейса te1/0/2 указываем nexthop:

еsr(config)# interface tengigabitethernet 1/0/2
еsr(config-if)# wan load-balance nexthop 65.6.0.1

В режиме конфигурирования интерфейса te1/0/2 указываем список целей для проверки соединения:

еsr(config-if)# wan load-balance target-list google

В режиме конфигурирования интерфейса te1/0/2 включаем WAN-режим и выходим:

еsr(config-if)# wan load-balance enable
еsr(config-if)# exit

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Для переключения в режим резервирования настроим следующее:

Заходим в режим настройки правила WAN:

еsr(config)# wan load-balance rule 1

Функция MultiWAN также может работать в режиме резервирования, в котором трафик будет направляться в активный интерфейс c наибольшим весом. Включить данный режим можно следующей командой:

еsr(config-wan-rule)# failover

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

[ESR] Конфигурирование Destination NAT

Функция Destination NAT (DNAT) состоит в преобразовании IP-адреса назначения у пакетов, проходящих через сетевой шлюз.

DNAT используется для перенаправления трафика, идущего на некоторый «виртуальный» адрес в публичной сети, на «реальный» сервер в локальной сети, находящийся за сетевым шлюзом. Эту функцию можно использовать для организации публичного доступа к серверам, находящимся в частной сети и не имеющим публичного сетевого адреса.

Задача: Организовать доступ из публичной сети, относящейся к зоне «UNTRUST», к серверу локальной сети в зоне «TRUST». Адрес сервера в локальной сети - 10.1.1.100. Сервер должен быть доступным извне по адресу 1.2.3.4, доступный порт 80.

Решение:

Создадим зоны безопасности «UNTRUST» и «TRUST». Установим принадлежность используемых сетевых интерфейсов к зонам. Одновременно назначим IP-адреса интерфейсам.

esr# configure
esr(config)# security zone UNTRUST
esr(config-zone)# exit
esr(config)# security zone TRUST
esr(config-zone)# exit
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# security-zone TRUST
esr(config-if-gi)# ip address 10.1.1.1/25
esr(config-if-gi)# exit
esr(config)# interface tengigabitethernet 1/0/1
esr(config-if-te)# ip address 1.2.3.4/29
esr(config-if-te)# security-zone UNTRUST
esr(config-if-te)# exit

Создадим профили IP-адресов и портов, которые потребуются для настройки правил Firewall и правил DNAT.

  • NET_UPLINK – профиль адресов публичной сети;
  • SERVER_IP – профиль адресов локальной сети;
  • SRV_HTTP – профиль портов.

esr(config)# object-group network NET_UPLINK
esr(config-object-group-network)# ip address 1.2.3.4
esr(config-object-group-network)# exit
esr(config)# object-group service SRV_HTTP
esr(config-object-group-network)# port 80
esr(config-object-group-network)# exit
esr(config)# object-group network SERVER_IP
esr(config-object-group-network)# ip address 10.1.1.100
esr(config-object-group-network)# exit

Войдем в режим конфигурирования функции DNAT и создадим пул адресов и портов назначения, в которые будут транслироваться адреса пакетов, поступающие на адрес 1.2.3.4 из внешней сети.

esr(config)# nat destination
esr(config-dnat)# pool SERVER_POOL
esr(config-dnat-pool)# ip address 10.1.1.100
esr(config-dnat-pool)# ip port 80
esr(config-dnat-pool)# exit

Создадим набор правил «DNAT», в соответствии с которыми будет производиться трансляция адресов. В атрибутах набора укажем, что правила применяются только для пакетов, пришедших из зоны «UNTRUST». Набор правил включает в себя требования соответствия данных по адресу и порту назначения (match destination-address, match destination-port) и по протоколу. Кроме этого в наборе задано действие, применяемое к данным, удовлетворяющим всем правилам (action destination-nat). Набор правил вводится в действие командой «enable».

esr(config-dnat)# ruleset DNAT
esr(config-dnat-ruleset)# from zone UNTRUST
esr(config-dnat-ruleset)# rule 1
esr(config-dnat-rule)# match destination-address NET_UPLINK
esr(config-dnat-rule)# match protocol tcp
esr(config-dnat-rule)# match destination-port SERV_HTTP
esr(config-dnat-rule)# action destination-nat pool SERVER_POOL
esr(config-dnat-rule)# enable
esr(config-dnat-rule)# exit
esr(config-dnat-ruleset)# exit
esr(config-dnat)# exit

Для пропуска трафика, идущего из зоны «UNTRUST» в «TRUST», создадим соответствующую пару зон. Пропускать следует только трафик с адресом назначения, соответствующим заданному в профиле «SERVER_IP», и прошедший преобразование DNAT.

esr(config)# security zone-pair UNTRUST TRUST
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# match source-address any
esr(config-zone-rule)# match destination-address SERVER_IP
esr(config-zone-rule)# match protocol any
esr(config-zone-rule)# match destination-nat
esr(config-zone-rule)# action permit
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit
esr(config)# exit

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Произведенные настройки можно посмотреть с помощью команд:

esr# show ip nat destination pools
esr# show ip nat destination rulesets
esr# show ip nat proxy-arp
esr# show ip nat translations

[ESR] Применение заводских настроек на ESR

Чтобы выполнить сброс к заводским настройкам, нужно выполнить команды:

Сброс конфигурации до заводских настроек
esr-Х# copy system:factory-config system:candidate-config 
Copy factory configuration to candidate configuration...
Read factory configuration...
 
Применение конфигурации
esr-Х# commit 
Nothing to commit in configuration
2017-01-16T08:57:27+00:00 %CLI-I-CRIT: user admin from console input: commit
esr-Х# confirm 
Nothing to confirm in configuration. You must commit some changes first.
2017-01-16T08:57:30+00:00 %CLI-I-CRIT: user admin from console input: confirm

 

Если нет удаленного доступа, то нужно нажать функциональную кнопку F на передней панели более, чем на 10 секунд. При отпускании кнопки маршрутизатор перезагрузится с заводскими настройками.

[ESR] Настройка VRF Lite

VRF (Virtual Routing and Forwarding) – технология, которая позволяет изолировать маршрутную информацию, принадлежащую различным классам (например, маршруты одного клиента).

Рисунок 1 - Схема сети.
Рисунок 1 – Схема сети

Задача: К маршрутизатору серии ESR подключены 2 сети, которые необходимо изолировать от остальных сетей.

Решение:

Создадим VRF:

esr(config)# ip vrf bit
esr(config-vrf)# exit

Создадим зону безопасности:

esr(config)# security zone vrf-sec
esr(config-zone)# ip vrf forwarding bit
esr(config-zone)# exit

Создадим правило для пары зон и разрешим любой TCP/UDP-трафик:

esr(config)# security zone-pair vrf-sec vrf-sec
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# match source-address any
esr(config-zone-rule)# match destination-address any
esr(config-zone-rule)# match protocol udp
esr(config-zone-rule)# match source-port any
esr(config-zone-rule)# match destination-port any
esr(config-zone-rule)# action permit
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# rule 2
esr(config-zone-rule)# match source-address any
esr(config-zone-rule)# match destination-address any
esr(config-zone-rule)# match protocol tcp
esr(config-zone-rule)# match source-port any
esr(config-zone-rule)# match destination-port any
esr(config-zone-rule)# action permit
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit

Создадим привязку интерфейсов, назначим IP-адреса, укажем принадлежность к зоне:

esr(config)# interface gigabitethernet 1/0/7
esr(config-if-gi)# ip vrf forwarding bit
esr(config-if-gi)# ip address 10.20.0.1/24
esr(config-if-gi)# security-zone vrf-sec
esr(config-if-gi)# exit
esr(config)# interface gigabitethernet 1/0/14.10
esr(config-subif)# ip vrf forwarding bit
esr(config-subif)# ip address 10.30.0.1/16
esr(config-subif)# security-zone vrf-sec
esr(config-subif)# exit
esr(config)# exit

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Информацию об интерфейсах, привязанных к VRF, можно посмотреть командой:

esr# show ip vrf

Таблицу маршрутов VRF можно просмотреть с помощью команды:

esr# show ip route vrf bit

[ESR] Настройка Netflow

Netflow — сетевой протокол, предназначенный для учета и анализа трафика. Netflow позволяет передавать данные о трафике (адрес отправителя и получателя, порт, количество информации и др.) с сетевого оборудования (сенсора) на коллектор. В качестве коллектора может использоваться обычный сервер.

Задача: Организовать учет трафика с интерфейса gi1/0/1 для передачи на сервер через интерфейс gi1/0/8 для обработки.

Рисунок 1 - Схема сети.
Рисунок 1 – Схема сети

Решение:

Предварительно нужно выполнить следующие действия:

  • На интерфейсах gi1/0/1, gi1/0/8 отключить firewall командой «ip firewall disable». (С версии ПО 1.1.0 необязательно отключать firewall)
  • Назначить IP-адреса на портах.

Основной этап конфигурирования:

Укажем IP-адрес коллектора:

esr(config)# netflow collector 10.10.0.2

Включим сбор экспорта статистики netflow на сетевом интерфейсе gi1/0/1:

esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# ip netflow export

Активируем netflow на маршрутизаторе.:

еsr(config)# netflow enable

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Для просмотра статистики Netflow используется команда:

esr# show netflow statistics

[ESR] Базовый QoS

QoS (Quality of Service) – технология предоставления различным классам трафика различных приоритетов в обслуживании. Использование службы QoS позволяет сетевым приложениям сосуществовать в одной сети, не уменьшая при этом пропускную способность других приложений.

Задача: Настроить следующие ограничения на интерфейсе gigabitethernet 1/0/8: передавать трафик с DSCP 22 в восьмую приоритетную очередь, трафик с DSCP 14 в седьмую взвешенную очередь, установить ограничение по скорости в 60 Мбит/с для седьмой очереди.

Рисунок 1 - Схема сети.
Рисунок 1 – Схема сети

Решение:

Для того чтобы восьмая очередь стала приоритетной, а с первой по седьмую взвешенной, ограничим количество приоритетных очередей до 1:

esr(config)# priority-queue out num-of-queues 1

Перенаправим трафик с DSCP 22 в восьмую приоритетную очередь:

esr(config)# qos map dscp-queue 22 to 8

Перенаправим трафик с DSCP 14 в седьмую взвешенную очередь:

esr(config)# qos map dscp-queue 14 to 7

Включим QoS на входящем интерфейсе со стороны LAN:

esr(config)# interface gigabitethernet 1/0/5
esr(config-if-gi)# qos enable
esr(config-if-gi)# exit

Включим QoS на интерфейсе со стороны WAN:

esr(config)# interface gigabitethernet 1/0/8
esr(config-if-gi)# qos enable

Установим ограничение по скорости в 60Мбит/с для седьмой очереди:

esr(config-if)# traffic-shape queue 7 60000
esr(config-if)# exit

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Просмотреть статистику по QoS можно командой (только для ESR-100/ESR-200):

esr# show qos statistics gigabitethernet 1/0/8

[ESR] Расширенный QoS

QoS (Quality of Service) – технология предоставления различным классам трафика различных приоритетов в обслуживании. Использование службы QoS позволяет сетевым приложениям сосуществовать в одной сети, не уменьшая при этом пропускную способность других приложений.

Задача: Классифицировать приходящий трафик по подсетям (10.0.11.0/24, 10.0.12.0/24), произвести маркировку по DSCP (38 и 42) и произвести разграничение по подсетям (40 Мбит/с и 60 Мбит/с), ограничить общую полосу до 250 Мбит/с, остальной трафик обрабатывать через механизм SFQ.

Рисунок 1 - Схема сети.
Рисунок 1 – Схема сети

Решение:

Настроим списки доступа для фильтрации по подсетям, выходим в глобальный режим конфигурации:

esr(config)# ip access-list extended fl1
esr(config-acl)# rule 1
esr(config-acl-rule)# action permit
esr(config-acl-rule)# match protocol any
esr(config-acl-rule)# match source-address 10.0.11.0 255.255.255.0
esr(config-acl-rule)# match destination-address any
esr(config-acl-rule)# enable
esr(config-acl-rule)# exit
esr(config-acl)# exit
esr(config)# ip access-list extended fl2
esr(config-acl)# rule 1
esr(config-acl-rule)# action permit
esr(config-acl-rule)# match protocol any
esr(config-acl-rule)# match source-address 10.0.12.0 255.255.255.0
esr(config-acl-rule)# match destination-address any
esr(config-acl-rule)# enable
esr(config-acl-rule)# exit
esr(config-acl)# exit

Создаем классы fl1 и fl2, указываем соответствующие списки доступа, настраиваем маркировку:

esr(config)# class-map fl1
esr(config-class-map)# set dscp 38
esr(config-class-map)# match access-group fl1
esr(config-class-map)# exit
esr(config)# class-map fl2
esr(config-class-map)# set dscp 42
esr(config-class-map)# match access-group fl2
esr(config-class-map)# exit

Создаём политику и определяем ограничение общей полосы пропускания:

esr(config)# policy-map fl
esr(config-policy-map)# shape average 250000

Осуществляем привязку класса к политике, настраиваем ограничение полосы пропускания и выходим:

esr(config-policy-map)# class fl1
esr(config-class-policy-map)# shape average 40000
esr(config-class-policy-map)# exit
esr(config-policy-map)# class fl2
esr(config-class-policy-map)# shape average 60000
esr(config-class-policy-map)# exit

Для другого трафика настраиваем класс с режимом SFQ:

esr(config-policy-map)# class class-default
esr(config-class-policy-map)# mode sfq
esr(config-class-policy-map)# fair-queue 800
esr(config-class-policy-map)# exit
esr(config-policy-map)# exit

Включаем QoS на интерфейсах, политику на входе интерфейса gi 1/0/19 для классификации и на выходе gi1/0/20 для применения ограничений и режима SFQ для класса по умолчанию:

esr(config)# interface gigabitethernet 1/0/19
esr(config-if-gi)# qos enable
esr(config-if-gi)# service-policy input fl
esr(config-if-gi)# exit
esr(config)# interface gigabitethernet 1/0/20
esr(config-if-gi)# qos enable
esr(config-if-gi)# service-policy output fl
esr(config-if-gi)# exit

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Для просмотра статистики используется команда:

esr# do show qos policy statistics gigabitethernet 1/0/20

[ESR] Конфигурирование Firewall

Firewall – комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Задача: Разрешить обмен сообщениями по протоколу ICMP между устройствами ПК1, ПК2 и маршрутизатором ESR.

Рисунок 1 - Схема сети.
Рисунок 1 - схема сети.

Решение:

Для каждой сети ESR создадим свою зону безопасности:

esr# configure
esr(config)# security zone LAN
esr(config-zone)# exit
esr(config)# security zone WAN
esr(config-zone)# exit

Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности:

esr(config)# interface gi1/0/2
esr(config-if-gi)# ip address 192.168.12.2/24
esr(config-if-gi)# security-zone LAN
esr(config-if-gi)# exit
esr(config)# interface gi1/0/3
esr(config-if-gi)# ip address 192.168.23.2/24
esr(config-if-gi)# security-zone WAN
esr(config-if-gi)# exit

Для настройки правил зон безопасности потребуется создать профиль адресов сети «LAN», включающий адреса, которым разрешен выход в сеть «WAN», и профиль адресов сети «WAN».

esr(config)# object-group network WAN
esr(config-object-group-network)# ip address-range 192.168.23.2
esr(config-object-group-network)# exit
esr(config)# object-group network LAN
esr(config-object-group-network)# ip address-range 192.168.12.2
esr(config-object-group-network)# exit
esr(config)# object-group network LAN_GATEWAY
esr(config-object-group-network)# ip address-range 192.168.12.1
esr(config-object-group-network)# exit
esr(config)# object-group network WAN_GATEWAY
esr(config-object-group-network)# ip address-range 192.168.23.3
esr(config-object-group-network)# exit

Для пропуска трафика из зоны «LAN» в зону «WAN» создадим пару зон и добавим правило, разрешающее проходить ICMP-трафику от ПК1 к ПК2. Действие правил разрешается командой enable:

esr(config)# security zone-pair LAN WAN
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol icmp
esr(config-zone-rule)# match destination-address WAN
esr(config-zone-rule)# match source-address LAN
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit

Для пропуска трафика из зоны «WAN» в зону «LAN» создадим пару зон и добавим правило, разрешающее проходить ICMP-трафику от ПК2 к ПК1. Действие правил разрешается командой enable:

esr(config)# security zone-pair WAN LAN
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol icmp
esr(config-zone-rule)# match destination-address LAN
esr(config-zone-rule)# match source-address WAN
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit

На маршрутизаторе всегда существует зона безопасности с именем «self». Если в качестве получателя трафика выступает сам маршрутизатор, то есть трафик не является транзитным, то в качестве параметра указывается зона «self». Создадим пару зон для трафика, идущего из зоны «WAN» в зону «self». Добавим правило, разрешающее проходить ICMP-трафику между ПК2 и маршрутизатором ESR, для того чтобы маршрутизатор начал отвечать на ICMP-запросы из зоны «WAN»:

esr(config)# security zone-pair WAN self
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol icmp
esr(config-zone-rule)# match destination-address WAN
esr(config-zone-rule)# match source-address WAN_GATEWAY
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit

Создадим пару зон для трафика, идущего из зоны «LAN» в зону «self». Добавим правило, разрешающее проходить ICMP-трафику между ПК1 и ESR, для того чтобы маршрутизатор начал отвечать на ICMP-запросы из зоны «LAN»:

esr(config)# security zone-pair LAN self
esr(config-zone-pair)# rule 1
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol icmp
esr(config-zone-rule)# match destination-address LAN
esr(config-zone-rule)# match source-address LAN_GATEWAY
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit
esr(config)# exit

Изменения конфигурации вступят в действие по следующим командам:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Посмотреть членство портов в зонах можно с помощью команды:

esr# show security zone

Посмотреть пары зон и их конфигурацию можно с помощью команд:

esr# show security zone-pair
esr# show security zone-pair configuration

Посмотреть активные сессии можно с помощью команд:

esr# show ip firewall sessions

[ESR] Настройка LACP

LACP — протокол для агрегирования каналов, позволяет объединить несколько физических каналов в один логический. Такое объединение позволяет увеличивать пропускную способность и надежность канала.

Задача: Настроить агрегированный канал между маршрутизатором ESR и коммутатором.

Рисунок 1 - Схема сети.
Рисунок 1 – Схема сети

Решение:

Предварительно нужно выполнить следующие настройки:

  • На интерфейсах gi1/0/1, gi1/0/2 отключить зону безопасности командой «no security-zone».

Основной этап конфигурирования:

Cоздадим интерфейс port-channel 2:

esr(config)# interface port-channel 2

Включим физические интерфейсы gi1/0/1, gi1/0/2 в созданную группу агрегации каналов:

esr(config)# interface gigabitethernet 1/0/1-2
esr(config-if-gi)# channel-group 2 mode auto

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Дальнейшая конфигурация port-channel проводится как на обычном физическом интерфейсе.

[ESR] Настройка VRRP

VRRP (Virtual Router Redundancy Protocol) — сетевой протокол, предназначенный для увеличения доступности маршрутизаторов, выполняющих роль шлюза по умолчанию. Это достигается путём объединения группы маршрутизаторов в один виртуальный маршрутизатор и назначения им общего IP-адреса, который и будет использоваться как шлюз по умолчанию для компьютеров в сети.

Задача 1: Организовать виртуальный шлюз для локальной сети в VLAN 50, используя протокол VRRP. В качестве локального виртуального шлюза используется IP адрес 192.168.1.1.

Рисунок 1 - Схема сети.
Рисунок 1 – Схема сети

Решение:

Предварительно нужно выполнить следующие действия:

  • создать соответствующий саб-интерфейс;
  • настроить зону для саб-интерфейса;
  • указать IP-адрес для саб-интерфейса.

Основной этап конфигурирования:

Настроим маршрутизатор R1.

В созданном саб-интерфейсе настроим VRRP. Укажем уникальный идентификатор VRRP:

R1(config)# interface gi 1/0/5.50
R1(config-subif)# vrrp id 10

Укажем IP-адрес виртуального шлюза 192.168.1.1/24:

R1(config-subif)# vrrp ip 192.168.1.1

Включим VRRP:

R1(config-subif)# vrrp
R1(config-subif)# exit

Изменения конфигурации вступят в действие после применения:

R1# commit
Configuration has been successfully committed
R1# confirm
Configuration has been successfully confirmed

Произвести аналогичные настройки на R2.

Задача 2: Организовать виртуальные шлюзы для подсети 192.168.20.0/24 в VLAN 50 и подсети 192.168.1.0/24 в VLAN 60, используя протокол VRRP c функцией синхронизации Мастера. Для этого используем объединение VRRP-процессов в группу. В качестве виртуальных шлюзов используются IP-адреса 192.168.1.1 и 192.168.20.1.


Рисунок 2 – Схема сети

Решение:

Предварительно нужно выполнить следующие действия:

  • создать соответствующие саб-интерфейсы;
  • настроить зону для саб-интерфейсов;
  • указать IP-адреса для саб-интерфейсов.

Основной этап конфигурирования:

Настроим маршрутизатор R1.

Настроим VRRP для подсети 192.168.1.0/24 в созданном саб-интерфейсе.

Укажем уникальный идентификатор VRRP:

R1(config-sub)# interface gi 1/0/5.50
R1(config-subif)# vrrp id 10

Укажем IP-адрес виртуального шлюза 192.168.1.1:

R1(config-subif)# vrrp ip 192.168.1.1

Укажем идентификатор VRRP-группы:

R1(config-subif)# vrrp group 5

Включим VRRP:

R1(config-subif)# vrrp
R1(config-subif)# exit

Настроим VRRP для подсети 192.168.20.0/24 в созданном саб-интерфейсе.

Укажем уникальный идентификатор VRRP:

R1(config-sub)# interface gi 1/0/6.60
R1(config-subif)# vrrp id 20

Укажем IP-адрес виртуального шлюза 192.168.20.1:

R1(config-subif)# vrrp ip 192.168.20.1

Укажем идентификатор VRRP-группы:

R1(config-subif)# vrrp group 5

Включим VRRP:

R1(config-subif)# vrrp
R1(config-subif)# exit

Изменения конфигурации вступят в действие после применения:

R1# commit
Configuration has been successfully committed
R1# confirm
Configuration has been successfully confirmed

Произвести аналогичные настройки на R2.

[ESR] Настройка RIP

RIP — дистанционно-векторный протокол динамической маршрутизации, который использует количество транзитных участков в качестве метрики маршрута. Максимальное количество транзитных участков (hop), разрешенное в RIP, равно 15. Каждый RIP-маршрутизатор по умолчанию вещает в сеть свою полную таблицу маршрутизации один раз в 30 секунд. RIP работает на 3-м уровне стека TCP/IP, используя UDP-порт 520.

Задача: Настроить на маршрутизаторе протокол RIP для обмена маршрутной информацией с соседними маршрутизаторами. Маршрутизатор должен анонсировать статические маршруты и подсети 115.0.0.0/24, 14.0.0.0/24, 10.0.0.0/24. Анонсирование маршрутов должно происходить каждые 25 секунд.

Рисунок 1 - Схема сети.
Рисунок 1 - Схема сети.

Решение:

Предварительно нужно настроить IP-адреса на интерфейсах согласно схеме сети, приведенной на рисунке 1.

Перейдём в режим конфигурирования протокола RIP:

esr(config)# router rip

Укажем подсети, которые будут анонсироваться протоколом: 115.0.0.0/24, 14.0.0.0/24 и 10.0.0.0/24:

esr(config-rip)# network 115.0.0.0/24
esr(config-rip)# network 14.0.0.0/24
esr(config-rip)# network 10.0.0.0/24

Для анонсирования протоколом статических маршрутов выполним команду:

esr(config-rip)# redistribute static

Настроим таймер, отвечающий за отправку маршрутной информации:

esr(config-rip)# timers update 25

После установки всех требуемых настроек включаем протокол:

esr(config-rip)# enable

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Для того чтобы просмотреть таблицу маршрутов RIP воспользуемся командой:

esr# show ip rip

Помимо настройки протокола RIP, необходимо в firewall разрешить UDP-порт 520.

[ESR] Настройка зеркалирования

Зеркалирование трафика — функция маршрутизатора, предназначенная для перенаправления трафика с одного порта маршрутизатора на другой порт этого же маршрутизатора (локальное зеркалирование) или на удаленное устройство (удаленное зеркалирование).

Задача: Организовать удаленное зеркалирование трафика по VLAN 50 с интерфейса gi1/0/11 для передачи на сервер для обработки.

Рисунок 1 - Схема сети.
Рисунок 1 – Схема сети

Решение:

Предварительно нужно выполнить следующие действия:

  • Создать VLAN 50;
  • На интерфейсе gi 1/0/5 добавить VLAN 50 в режиме general.

Основной этап конфигурирования:

Укажем VLAN, по которой будет передаваться зеркалированный трафик:

еsr1000(config)# port monitor remote vlan 50

На интерфейсе gi 1/0/5 укажем порт для зеркалирования:

еsr1000(config)# interface gigabitethernet 1/0/5
еsr1000(config-if-gi)# port monitor interface gigabitethernet 1/0/11

Укажем на интерфейсе gi 1/0/5 режим удаленного зеркалирования:

еsr1000(config-if-gi)# port monitor remote

Изменения конфигурации вступят в действие после применения:

esr1000# commit
Configuration has been successfully committed
esr1000# confirm
Configuration has been successfully confirmed

[ESR] Конфигурирование статических маршрутов

Статическая маршрутизация – вид маршрутизации, при котором маршруты указываются в явном виде при конфигурации маршрутизатора без использования протоколов динамической маршрутизации.

Задача: Настроить доступ к сети Internet для пользователей локальной сети 192.168.1.0/24 и 10.0.0.0/8, используя статическую маршрутизацию. На устройстве R1 создать шлюз для доступа к сети Internet. Трафик внутри локальной сети должен маршрутизироваться внутри зоны LAN, трафик из сети Internet должен относиться к зоне WAN.

Рисунок 1 - Схема сети.
Рисунок 1 - схема сети.

Решение:

Зададим имя устройства для маршрутизатора R1:

esr# hostname R1
esr#(config)# do commit
R1#(config)# do confirm

Для интерфейса gi1/0/1 укажем адрес 192.168.1.1/24 и зону «LAN». Через данный интерфейс R1 будет подключен к сети 192.168.1.0/24:

R1(config)# interface gi1/0/1
R1(config-if-gi)# security-zone LAN
R1(config-if-gi)# ip address 192.168.1.1/24
R1(config-if-gi)# exit

Для интерфейса gi1/0/2 укажем адрес 192.168.100.1/30 и зону «LAN». Через данный интерфейс R1 будет подключен к устройству R2 для последующей маршрутизации трафика:

R1(config)# interface gi1/0/2
R1(config-if-gi)# security-zone LAN
R1(config-if-gi)# ip address 192.168.100.1/30
R1(config-if-gi)# exit

Для интерфейса gi1/0/3 укажем адрес 128.107.1.2/30 и зону «WAN». Через данный интерфейс R1 будет подключен к сети Internet:

R1(config)# interface gi1/0/3
R1(config-if-gi)# security-zone WAN
R1(config-if-gi)# ip address 128.107.1.2/30
R1(config-if-gi)# exit

Создадим маршрут для взаимодействия с сетью 10.0.0.0/8, используя в качестве шлюза устройство R2 (192.168.100.2):

R1(config)# ip route 10.0.0.0/8 192.168.100.2

Создадим маршрут для взаимодействия с сетью Internet, используя в качестве nexthop шлюз провайдера (128.107.1.1):

R1(config)# ip route 0.0.0.0/0 128.107.1.1

Изменения конфигурации на маршрутизаторе R1 вступят в действие по следующим командам:

R1# commit
Configuration has been successfully committed
R1# confirm
Configuration has been successfully confirmed

Зададим имя устройства для маршрутизатора R2:

esr# hostname R2
esr#(config)# do commit
R2#(config)# do confirm

Для интерфейса gi1/0/1 укажем адрес 10.0.0.1/8 и зону «LAN». Через данный интерфейс R2 будет подключен к сети 10.0.0.0/8:

R2(config)# interface gi1/0/1
R2(config-if-gi)# security-zone LAN
R2(config-if-gi)# ip address 10.0.0.1/8
R2(config-if-gi)# exit

Для интерфейса gi1/0/2 укажем адрес 192.168.100.2/30 и зону «LAN». Через данный интерфейс R2 будет подключен к устройству R1 для последующей маршрутизации трафика:

R2(config)# interface gi1/0/2
R2(config-if-gi)# security-zone LAN
R2(config-if-gi)# ip address 192.168.100.2/30
R2(config-if-gi)# exit

Создадим маршрут по умолчанию, указав в качестве nexthop IP-адрес интерфейса gi1/0/2 маршрутизатора R1 (192.168.100.1):

R2(config)# ip route 0.0.0.0/0 192.168.100.1

Изменения конфигурации на маршрутизаторе R2 вступят в действие по следующим командам:

R2# commit
Configuration has been successfully committed
R2# confirm
Configuration has been successfully confirmed

Проверить таблицу маршрутов можно командой:

esr# show ip route

[ESR] DHCP Relay

В случае, если DHCP-клиент не имеет возможности обратиться к DHCP-серверу напрямую (например, если они находятся в разных широковещательных доменах), используется так называемый DHCP-ретранслятор (relay agent), который обрабатывает клиентский широковещательный DHCP-запрос и отправляет его на DHCP-сервер в виде unicast пакета, а полученный от DHCP-сервера ответ, в свою очередь, перенаправляет DHCP-клиенту.

Рисунок 1 - Схема сети

 

Предварительно необходимо сконфигурировать интерфейсы:

esr(config)# interface gigabitethernet 1/0/1

esr(config-if-gi)# ip address 10.0.0.1/24

esr(config)# interface gigabitethernet 1/0/2

esr(config-if-gi)# ip address 192.168.0.1/24

 

Настройки DHCP-ретранслятора на ESR сводятся к:

 

1. Включению DHCP relay глобально на устройстве командой

 

esr(config)# ip dhcp-relay

 

2. Указанию на интерфейсе со стороны DHCP-клинта IP адреса DHCP-сервера, на который будут перенаправляться клиентские запросы.

 

esr(config)# interface gigabitethernet 1/0/2

esr(config-if-gi)# ip helper-address 10.0.0.2

 

Чтобы изменения вступили в силу, необходимо ввести следующие команды:

esr# commit

Configuration has been commited

esr# confirm

 Configuration has been confirmed

[ESR] Настройка Route-based IPsec VPN

IPsec – это набор протоколов, которые обеспечивают защиту передаваемых с помощью IP-протокола данных. Данный набор протоколов позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и шифрование IP-пакетов, а также включает в себя протоколы для защищённого обмена ключами в сети Интернет.

Рисунок 1 - Схема сети.
Рисунок 1 – Схема сети

Задача: Настроить IPsec-туннель между R1 и R2.

  • R1 IP адрес - 120.11.5.1;
  • R2 IP адрес - 180.100.0.1;
  • IKE:
    группа Диффи-Хэллмана: 2;
    алгоритм шифрования: AES 128 bit;
    алгоритм аутентификации: MD5.
  • IPSec:
    алгоритм шифрования: AES 128 bit;
    алгоритм аутентификации: MD5.

Решение:

1. Конфигурирование R1

Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:

esr# configure
esr(config)# interface gi 1/0/1
esr(config-if-gi)# ip address 120.11.5.1/24
esr(config-if-gi)# security-zone untrusted
esr(config-if-gi)# exit

Создадим туннель VTI. Трафик будет перенаправляться через VTI в IPsec-туннель. В качестве локального и удаленного шлюза указываются IP-адреса интерфейсов, граничащих с WAN:

esr(config)# tunnel vti 1
esr(config-vti)# local address 120.11.5.1
esr(config-vti)# remote address 180.100.0.1
esr(config-vti)# enable
esr(config-vti)# exit

Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:

esr(config)# object-group service ISAKMP
esr(config-object-group-service)# port-range 500
esr(config-object-group-service)# exit

Создадим статический маршрут до удаленной LAN-сети. Для каждой подсети, которая находится за IPsec-туннелем, нужно указать маршрут через VTI-туннель:

esr(config)# ip route 10.0.0.0/16 tunnel vti 1

Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:

esr(config)# security ike proposal ike_prop1
esr(config-ike-proposal)# dh-group 2
esr(config-ike-proposal)# authentication algorithm md5
esr(config-ike-proposal)# encryption algorithm aes128
esr(config-ike-proposal)# exit

Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:

esr(config)# security ike policy ike_pol1
esr(config-ike-policy)# pre-shared-key hexadecimal 123FFF
esr(config-ike-policy)# proposal ike_prop1
esr(config-ike-policy)# exit

Создадим шлюз протокола IKE. В данном профиле указывается VTI-туннель, политика, версия протокола и режим перенаправления трафика в туннель:

esr(config)# security ike gateway ike_gw1
esr(config-ike-gw)# ike-policy ike_pol1
esr(config-ike-gw)# mode route-based
esr(config-ike-gw)# bind-interface vti 1
esr(config-ike-gw)# version v2-only
esr(config-ike-gw)# exit

Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:

esr(config)# security ipsec proposal ipsec_prop1
esr(config-ipsec-proposal)# authentication algorithm md5
esr(config-ipsec-proposal)# encryption algorithm aes128
esr(config-ipsec-proposal)# exit

Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.

esr(config)# security ipsec policy ipsec_pol1
esr(config-ipsec-policy)# proposal ipsec_prop1
esr(config-ipsec-policy)# exit

Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.

esr(config)# security ipsec vpn ipsec1
esr(config-ipsec-vpn)# mode ike
esr(config-ipsec-vpn)# ike establish-tunnel immediate
esr(config-ipsec-vpn)# ike gateway ike_gw1
esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
esr(config-ipsec-vpn)# enable
esr(config-ipsec-vpn)# exit
esr(config)# exit

2. Конфигурирование R2

Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:

esr# configure
esr(config)# interface gi 1/0/1
esr(config-if)# ip address 180.100.0.1/24
esr(config-if)# security-zone untrusted
esr(config-if)# exit

Создадим туннель VTI. Трафик будет перенаправляться через VTI в IPsec-туннель. В качестве локального и удаленного шлюза указываются IP-адреса интерфейсов, граничащих с WAN:

esr(config)# tunnel vti 1
esr(config-vti)# remote address 120.11.5.1
esr(config-vti)# local address 180.100.0.1
esr(config-vti)# enable
esr(config-vti)# exit

Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:

esr(config)# object-group service ISAKMP
esr(config-addr-set)# port-range 500
esr(config-addr-set)# exit

Создадим статический маршрут до удаленной LAN-сети. Для каждой подсети, которая находится за IPsec-туннелем, нужно указать маршрут через VTI-туннель:

esr(config)# ip route 10.0.0.0/16 tunnel vti 1

Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:

esr(config)# security ike proposal ike_prop1
esr(config-ike-proposal)# dh-group 2
esr(config-ike-proposal)# authentication algorithm md5
esr(config-ike-proposal)# encryption algorithm aes128
esr(config-ike-proposal)# exit

Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:

esr(config)# security ike policy ike_pol1
esr(config-ike-policy)# pre-shared-key hexadecimal 123FFF
esr(config-ike-policy)# proposal ike_prop1
esr(config-ike-policy)# exit

Создадим шлюз протокола IKE. В данном профиле указывается VTI-туннель, политика, версия протокола и режим перенаправления трафика в туннель:

esr(config)# security ike gateway ike_gw1
esr(config-ike-gw)# ike-policy ike_pol1
esr(config-ike-gw)# mode route-based
esr(config-ike-gw)# bind-interface vti 1
esr(config-ike-gw)# version v2-only
esr(config-ike-gw)# exit

Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec туннеля:

esr(config)# security ipsec proposal ipsec_prop1
esr(config-ipsec-proposal)# authentication algorithm md5
esr(config-ipsec-proposal)# encryption algorithm aes128
esr(config-ipsec-proposal)# exit

Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.

esr(config)# security ipsec policy ipsec_pol1
esr(config-ipsec-policy)# proposal ipsec_prop1
esr(config-ipsec-policy)# exit

Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.

esr(config)# security ipsec vpn ipsec1
esr(config-ipsec-vpn)# mode ike
esr(config-ipsec-vpn)# ike establish-tunnel immediate
esr(config-ipsec-vpn)# ike gateway ike_gw1
esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
esr(config-ipsec-vpn)# enable
esr(config-ipsec-vpn)# exit
esr(config)# exit

Состояние туннеля можно посмотреть командой:

esr# show security ipsec vpn status ipsec1

Конфигурацию туннеля можно посмотреть командой:

esr# show security ipsec vpn configuration ipsec1

[ESR] Настройка GRE-туннелей

GRE (англ. Generic Routing Encapsulation — общая инкапсуляция маршрутов) — протокол туннелирования сетевых пакетов. Его основное назначение — инкапсуляция пакетов сетевого уровня сетевой модели OSI в IP-пакеты. GRE может использоваться для организации VPN на 3-м уровне модели OSI. В маршрутизаторе ESR реализованы статические неуправляемые GRE-туннели, то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах. Параметры туннеля для каждой из сторон должны быть взаимосогласованными или переносимые данные не будут декапсулироваться партнером.

Задача: Организовать L3-VPN между офисами компании через IP-сеть, используя для туннелирования трафика протокол GRE.

  • в качестве локального шлюза для туннеля используется IP-адрес 115.0.0.1;
  • в качестве удаленного шлюза для туннеля используется IP-адрес 114.0.0.10;
  • IP-адрес туннеля на локальной стороне 25.0.0.1/24.

Рисунок 1 - Схема сети.
Рисунок 1 – Схема сети

Решение:

Создадим туннель GRE 10:

esr(config)# tunnel gre 10

Укажем локальный и удаленный шлюз (IP-адреса интерфейсов, граничащих с WAN):

esr(config-gre)# local address 115.0.0.1
esr(config-gre)# remote address 114.0.0.10

Укажем IP-адрес туннеля 25.0.0.1/24:

esr(config-gre)# ip address 25.0.0.1/24

Также туннель должен принадлежать к зоне безопасности, для того чтобы можно было создать правила, разрешающие прохождение трафика в firewall. Принадлежность туннеля к зоне задается следующей командой:

esr(config-gre)# security-zone untrusted

Включим туннель:

esr(config-gre)# enable
esr(config-gre)# exit

На маршрутизаторе должен быть создан маршрут до локальной сети партнера. В качестве интерфейса назначения указываем ранее созданный туннель GRE:

esr(config)# ip route 172.16.0.0/16 tunnel gre 10

Для применения изменений конфигурации выполним следующие команды:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

После применения настроек трафик будет инкапсулироваться в туннель и отправляться партеру, независимо от наличия GRE-туннеля и правильности настроек с его стороны.

Опционально для GRE-туннеля можно указать следующие параметры:

  • Включить вычисление и включение в пакет контрольной суммы заголовка GRE и инкапсулированного пакета для исходящего трафика:

esr(config-gre)# local checksum

  • Включить проверку наличия и корректности контрольной суммы GRE для входящего трафика:

esr(config-gre)# remote checksum

  • Указать уникальный идентификатор:

esr(config-gre)# key 15808

  • Указать значение DSCP, MTU, TTL:

esr(config-gre)# dscp 44
esr(config-gre)# mtu 1426
esr(config-gre)# ttl 18

Состояние туннеля можно посмотреть командой:

esr# show tunnels status gre 10

Счетчики входящих и отправленных пакетов можно посмотреть командой:

esr# show tunnels counters gre 10

Конфигурацию туннеля можно посмотреть командой:

esr# show tunnels configuration gre 10

Настройка туннеля IPv4-over-IPv4 производится аналогичным образом.

[ESR] Установка и активация лицензий

В текущей релизной версия ПО - 1.2.0 доступны лицензии для функционала BRAS, Wi-Fi, wiSLA (активация SLA агента, используемого для мониторинга параметров качества канала связи).

Для установки лицензии необходимо файл лицензии загрузить на маршрутизатор с TFTP, FTP или SCP сервера:

esr# copy tftp://А.B.C.D:/NPXXXXXXXX.lic system:licence

esr# copy ftp://admin:password@А.B.C.D:/NPXXXXXXXX.lic system:licence

esr# copy scp://admin:password@A.B.C.D:/NPXXXXXXXX.lic system:licence

Процесс активации лицензии происходит автоматически после перезагрузки оборудования.

esr# reload system

Сопутствующее оборудование

MES5248 Eltex | Коммутатор агрегации 10G

MES5248 Eltex | Коммутатор агрегации 10G

48 портов 10G Base-X (SFP+)/1000 Base-X (SFP)
Узнать цену
MES3124F Eltex | Коммутатор 24 порта SFP, 4 порта SFP+, L3

MES3124F Eltex | Коммутатор 24 порта SFP, 4 порта SFP+, L3

20 портов 1G (SFP), 4 combo-порта 1G, 4 порта 10G(SFP+)
139 297